1. Azure Private Endpoint 소개
- Azure에서 제공 중인 PaaS 서비스(Azure Storage, Azure SQL Database, Azure App Service 등)는 기본적으로 공용 인터넷을 통해 접근하게 된다. 이때, Azure Private Endpoint를 사용하면 네트워크 트래픽이 Microsoft 백본 네트워크를 통해 흐르게 되며 공용 인터넷에서 노출되지 않는다.
- Private Endpoint는 프라이빗 IP 주소를 사용하여 통신하기 때문에, 공용 IP 주소나 인터넷을 통한 외부 접속을 허용하지 않는다. 이를 통해 외부에서의 접근을 제한하고, 보안을 강화할 수 있다. 또한, Azure Private Endpoint는 트래픽을 암호화하여 데이터의 안전성을 보장한다.
- Azure Private Endpoint는 다양한 Azure 서비스와 통합되어 사용할 수 있다. 예를 들어, Azure Storage, Azure SQL Database, Azure App Service 등과 같은 다양한 서비스에 Azure Private Endpoint를 설정하여 보안을 강화하고, 안전한 통신이 가능하다.
2. Azure Private Endpoint DNS Resolution Flow
- 서버 → Azure 플랫폼 DNS: `test-sql.database.windows.net` 으로 DNS 쿼리
- Azure 플랫폼 DNS → Azure Recursive reolver: `test-sql.database.windows.net` 으로 DNS 쿼리
- Azure Recursive reolver → Azure 플랫폼 DNS: CNAME으로 `test-sql.privatelink.database.windows.net` 응답
- Azure 플랫폼 DNS → Azure Private DNS : `test-sql.privatelink.database.windows.net`으로 쿼리
- Azure Private DNS → Azure 플랫폼 DNS: A 레코드로 10.3.5.4 반환
- Azure 플랫폼 DNS: CNAME `test-sql.privatelink.database.windows.net`으로 A 레코드 `test-sql.privatelink.database.windows.net` 10.3.5.4로 응답
3. 온프레미스에서 Azure Private endpoint에 연결된 서비스에 접속 또는 쿼리하는 방법
- Azure Vnet 내에서는 위의 그림과 같이 Azure Private DNS에 대한 DNS 쿼리가 가능하기 때문에 Private endpoint 구성이 되어 있다면 추가적인 작업 없이 프라이빗 통신이 가능하다.
- 하지만, 온-프레미스 환경에서는 Azure와 VPN 구성이 되었더라도 Azure Private DNS 영역을 쿼리 할 수 없기 때문에 하기 옵션을 사용하여 Private endpoint에 대한 DNS 설정을 진행해야 한다.
- hosts 파일 수정(테스트에만 권장): 온프레미스 서버 또는 PC의 hosts 파일에서 Private endpoint의 Private IP 및 서버 이름(URL)을 직접 등록
- Azure DNS Private Resolver 서비스 구성
- Azure에서 VM 기반 DNS 서버 구성
참고
프라이빗 엔드포인트란? - Azure Private Link
이 문서에서는 Azure Private Link의 프라이빗 엔드포인트 기능을 사용하는 방법을 알아봅니다.
learn.microsoft.com
Azure 프라이빗 엔드포인트 DNS 통합
Azure 프라이빗 엔드포인트 DNS 구성 시나리오에 대해 알아봅니다.
learn.microsoft.com
Azure 프라이빗 엔드포인트 프라이빗 DNS 영역 값
프라이빗 엔드포인트를 지원하는 Azure 서비스의 프라이빗 DNS 영역 값에 대해 알아봅니다.
learn.microsoft.com
'Cloud > Azure' 카테고리의 다른 글
| [Azure] Azure Virtual WAN 개념 및 테스트 (32) | 2024.05.16 |
|---|---|
| [Azure] AKS Managed Identity 및 Service Principal (0) | 2024.04.08 |
| [Network] AWS 및 Azure 간의 Active-Active VPN 구성 (0) | 2024.02.08 |
| [Network] SSL 인증서 구입 및 Azure Application Gateway에 SSL 인증서 등록 (0) | 2024.01.03 |
| [Network] Http/Https 및 SSL/TLS 인증서 (12) | 2024.01.03 |
