TOPIC/Cloud

프라이빗 엔드포인트 VS VNET 통합 (프라이빗 액세스)

H-Y-E-N 2024. 4. 30. 15:49

안녕하세요. HYEN입니다.

라우팅 테스트를 하는 중 Azure Database for PostgreSQL Flexible Server를 생성할 때 선택할 수 있는 네트워킹 옵션에 대해 정리해 봐야겠다는 생각이 들어 이번 글을 작성하게 되었습니다. 😆

가상 네트워크에 배포할 수 있는 Azure 서비스는 다양하며 리소스마다 VNET 통합도 성격이 조금씩 다르기 때문에 하기 링크를 참고하시어 각 리소스에 대한 자세한 설명을 확인하시기 바랍니다. 

 

참고 링크 : https://learn.microsoft.com/ko-kr/azure/virtual-network/virtual-network-for-azure-services#services-that-can-be-deployed-into-a-virtual-network

 

Azure 서비스에 대한 가상 네트워크

전용 Azure 서비스를 가상 네트워크에 배포하는 방법과 해당 배포에서 제공하는 기능을 알아봅니다.

learn.microsoft.com

 

※ 본 글은 Azure Database for PostgreSQL Flexible Server의 네트워킹 옵션에 대해 다루고 있습니다.※


Contents

     

    1. 프라이빗 엔드포인트 (Private Endpoint)

    • 배포 
      • PaaS 서비스를 위해 가상 네트워크에 NIC를 생성합니다. 

      • 여러 가상 네트워크에 하나의 PaaS 서비스를 위한 프라이빗 엔드포인트를 생성할 수 있습니다. 

     

    • 특징 
      • PaaS 서비스에 대한 인바운드 연결만 지원합니다. 따라서 PaaS 서비스는 가상 네트워크의 리소스에 액세스 할 수 없습니다. 

      • 프라이빗 엔드포인트 사용 시 가상 네트워크, 피어링된 가상 네트워크, VPN 또는 ExpressRoute를 사용하는 온프레미스 환경 등에서 PaaS 리소스에 연결이 가능합니다. 

      • Azure 서비스에 프라이빗하게 액세스할 수 있는 IP 주소를 제공하지만 프라이빗 엔드포인트를 구성한다고 공용 네트워크 액세스가 반드시 제한되는 것은 아닙니다. 각 리소스의 [네트워킹] 탭에서 "공용 액세스" 사용을 비활성화하는 작업이 추가로 필요할 수 있습니다. 

      • 프라이빗 엔드포인트가 배포되어 있는 서브넷에 대해 [프라이빗 엔드포인트에 대한 네트워크 정책]을 활성화할 경우, NSG(네트워크 보안 그룹), UDR(사용자 정의 경로), ASG(애플리케이션 보안 그룹)를 지원합니다. 

     

    • 네트워크 플로우

     

    1. 주황색 선의 경우 온프레미스에서 VPN이나 ExpressRoute를 통해 Azure 대역으로 들어가서 프라이빗 엔드포인트를 거쳐 PaaS 서비스에 진입하는 트래픽을 나타 냅니다. 

    2. 파란색 선의 경우 Azure의 가상 네트워크 내에 배포된 가상 머신에서 프라이빗 엔드포인트를 거쳐 PaaS 서비스에 진입하는 트래픽을 나타 냅니다. (이 경우 가상 머신이 배포된 가상 네트워크와 PaaS 서비스가 존재하는 가상 네트워크 간 피어링이 구성되어 있어야 합니다.) 

    3. 검은색 선의 경우 인터넷을 통해 PaaS 서비스에 접근하는 트래픽을 나타냅니다. 프라이빗 엔드포인트를 생성한다고 해서 인터넷을 통해 액세스할 수 있는 퍼블릭 엔드포인트가 사라지는 것은 아니며 PaaS 서비스의 방화벽 정책에서 해당 부분을 허용/차단함에 따라 액세스가 가능/불가능합니다. 

     

    2. VNET 통합 (VNET Integration), 프라이빗 액세스 (Private Access) 

    • 배포
      • 위임된 서브넷의 주소를 사용하는 가상 인터페이스를 생성하여 작동합니다. (사용되는 가상 인터페이스는 사용자가 직접 액세스할 수 없습니다.)

      • 하나의 PaaS 서비스는 하나의 가상 네트워크에만 통합할 수 있습니다.

     

    • 특징
      • PaaS 서비스와 가상 네트워크의 리소스는 개인 IP 주소를 통해 프라이빗하게 서로 통신할 수 있습니다. 

      • 프라이빗 엔드포인트를 구성할 필요 없이 피어링 된 가상 네트워크나 가상 네트워크 내 존재하는 Azure 리소스들에서 PaaS 서비스로 연결이 가능합니다. 

      • 온프레미스 리소스는 VPN 또는 ExpressRoute를 통해 개인 IP 주소를 사용하여 가상 네트워크의 리소스에 액세스 할 수 있습니다. 

      • PaaS 서비스 인스턴스는 가상 네트워크의 서브넷에 배포되기 때문에 서브넷에 대한 인바운드 및 아웃바운드 네트워크 액세스를 별도로 설정해 주어야 합니다.

      • 인터넷을 통해 액세스 할 수 있는 퍼블릭 엔드포인트가 존재하지 않습니다. 

     

    • 네트워크 트래픽 

    1. 주황색 선의 경우 온프레미스에서 VPN이나 ExpressRoute를 통해 Azure 대역으로 들어가서 서브넷 내에 있는 PaaS 서비스에 접근하는 트래픽을 나타냅니다. 

    2. 파란색 선의 경우 Azure의 가상 네트워크 내에 배포된 가상 머신에서 서브넷 내에 있는 PaaS 서비스에 진입하는 트래픽을 나타 냅니다. (이 경우 가상 머신이 배포된 가상 네트워크와 PaaS 서비스가 존재하는 가상 네트워크 간 피어링이 구성되어 있어야 합니다.) 

    3. 검은색 선의 경우 인터넷을 통해 PaaS 서비스에 접근하는 트래픽을 나타냅니다. VNet 통합 옵션 사용 시, PaaS 서비스에 인터넷을 통해 액세스 할 수 있는 퍼블릭 엔드포인트가 존재하지 않게 됩니다. 

    이상으로 이번 글을 마치도록 하겠습니다. 

    다음에는 Routing 테스트 관련 환경 구성 글로 돌아오겠습니다!  

    728x90
    320x100
    SMALL