Azure Backup용 프라이빗 엔드포인트(v2 환경) 만들기 및 사용
Azure Backup을 통해 프라이빗 엔드포인트를 사용하여 Recovery Services 자격 증명 모음에서 데이터 백업 및 복원 작업을 안전하게 수행할 수 있습니다. 프라이빗 엔드포인트는 Azure VNet(가상 네트워크)에서 하나 이상의 개인 IP 주소를 사용하여 서비스를 VNet에 효과적으로 제공합니다.
이제 Azure Backup은 클래식 환경(v1)에 비해 프라이빗 엔드포인트를 만들고 사용하는 데 향상된 환경을 제공합니다.
이 문서에서는 Recovery Services 자격 증명 모음에서 Azure Backup에 대한 프라이빗 엔드포인트를 만들고 관리하는 방법을 설명합니다.
Recovery Services 자격 증명 모음 만들기
보호된 항목이 없거나 이전에 항목을 보호하거나 등록하지 않은 Recovery Services 자격 증명 모음에 대해서만 Azure Backup에 대한 프라이빗 엔드포인트를 만들 수 있습니다. 따라서 프라이빗 엔드포인트 구성을 위한 새 자격 증명 모음을 만드는 것이 좋습니다.
새 자격 증명 모음 만들기에 대한 자세한 내용은 Recovery Services 자격 증명 모음 만들기 및 구성을 참조하세요. 그러나 프라이빗 엔드포인트가 이미 만들어진 기존 자격 증명 모음이 있는 경우 향상된 환경을 사용하여 프라이빗 엔드포인트를 다시 만들 수 있습니다.
자격 증명 모음에 대한 공용 네트워크 액세스 거부
공용 네트워크에서 액세스를 거부하도록 자격 증명 모음을 구성할 수 있습니다.
다음 단계를 수행합니다.
자격 증명 모음>네트워킹으로 이동합니다.
공용 액세스 탭에서 거부를 선택하여 공용 네트워크에서의 액세스를 차단합니다.
참고 항목
액세스를 거부하면 자격 증명 모음에 계속 액세스할 수 있지만 프라이빗 엔드포인트가 포함되지 않은 네트워크 간에 데이터를 이동할 수 없습니다. 자세한 내용은 Azure Backup용 프라이빗 엔드포인트 만들기를 참조하세요.
적용을 선택하여 변경 내용을 저장합니다.
Azure Backup에 대한 프라이빗 엔드포인트 만들기
Azure Backup에 대한 프라이빗 엔드포인트를 만들려면 다음 단계를 따릅니다.
프라이빗 엔드포인트 >네트워킹을 만들려는 *\vault로 이동합니다.
프라이빗 액세스 탭으로 이동하고 +프라이빗 엔드포인트를 선택하여 새 프라이빗 엔드포인트 만들기를 시작합니다.
프라이빗 엔드포인트 만들기에서 필요한 세부 정보를 제공합니다.
a. 기본: 프라이빗 엔드포인트에 대한 기본 세부 정보를 제공합니다. 지역은 백업할 자격 증명 모음 및 리소스와 동일해야 합니다.
b. 리소스: 이 탭에서 연결을 만들려는 PaaS 리소스를 선택한 다음 필요한 구독에 대한 리소스 종류에서 Microsoft.RecoveryServices/vaults를 선택합니다. 완료되면 Recovery Services 자격 증명 모음 이름을 Resource로, AzureBackup 이름을 대상 하위 리소스로 선택합니다.
c. 가상 네트워크: 이 탭에서 프라이빗 엔드포인트를 만들려는 가상 네트워크 및 서브넷을 지정합니다. VM이 있는 VNet입니다.
d. DNS: 비공개로 연결하려면 필수 DNS 레코드가 필요합니다. 네트워크 설정에 따라 다음 중 하나를 선택할 수 있습니다.
- 프라이빗 DNS 영역과 프라이빗 엔드포인트 통합: 통합하려는 경우 예를 선택합니다.
- 사용자 지정 DNS 서버 사용: 자체 DNS 서버를 사용하려면 아니요를 선택합니다. e. 태그: 필요에 따라 프라이빗 엔드포인트에 대한 태그를 추가할 수 있습니다.
검토 + 만들기를 선택합니다.
유효성 검사가 완료되면 만들기를 선택하여 프라이빗 엔드포인트를 만듭니다.
프라이빗 엔드포인트 승인
Recovery Services 자격 증명 모음의 소유자로 프라이빗 엔드포인트를 만드는 경우 만든 프라이빗 엔드포인트는 자동 승인됩니다. 그렇지 않으면 자격 증명 모음 소유자가 프라이빗 엔드포인트를 사용하기 전에 승인해야 합니다.
Azure Portal을 통해 프라이빗 엔드포인트를 수동으로 승인하려면 다음 단계를 따릅니다.
Recovery Services 자격 증명 모음에서 왼쪽 창의 프라이빗 엔드포인트 연결로 이동합니다.
승인하려는 프라이빗 엔드포인트 연결을 선택합니다.
승인을 선택합니다.
엔드포인트 연결을 거부하거나 삭제하려는 경우 거부 또는 제거를 선택할 수도 있습니다.
Azure Resource Manager 클라이언트를 사용하여 프라이빗 엔드포인트를 승인하기 위해 Azure Resource Manager 클라이언트를 사용하여 프라이빗 엔드포인트를 수동으로 승인하는 방법에 대해 알아봅니다.
DNS 레코드 관리
비공개로 연결하려면 프라이빗 DNS 영역 또는 서버에 필요한 DNS 레코드가 필요합니다. 사용자의 네트워크 기본 설정에 따라 프라이빗 엔드포인트를 Azure 프라이빗 DNS 영역에 직접 통합하거나 사용자 지정 DNS 서버를 사용하여 이 작업을 수행할 수 있습니다. Azure Backup, Azure Blob 및 큐의 세 가지 서비스 모두에 대해 이 작업을 수행해야 합니다.
프라이빗 엔드포인트를 Azure 프라이빗 DNS 영역과 통합하는 경우
프라이빗 엔드포인트를 프라이빗 DNS 영역과 통합하도록 선택하는 경우 Azure Backup에서 필수 DNS 레코드를 추가합니다. 프라이빗 엔드포인트의 DNS 구성에서 사용되는 프라이빗 DNS 영역을 볼 수 있습니다. 이러한 DNS 영역이 없으면 프라이빗 엔드포인트를 만드는 중에 자동으로 만들어집니다.
그러나 아래에 설명된 대로 가상 네트워크(백업할 리소스가 포함됨)가 세 개의 프라이빗 DNS 영역 모두에 올바르게 연결되어 있는지 확인해야 합니다.
참고 항목
프록시 서버를 사용하는 경우 프록시 서버를 무시하거나 프록시 서버를 통해 백업을 수행할 수 있습니다. 프록시 서버를 무시하기 위해 다음 섹션을 계속 진행합니다. 백업을 수행하는 데 프록시 서버를 사용하려면 Recovery Services 자격 증명 모음에 대한 프록시 서버 설정 세부 정보를 참조하세요.
프라이빗 DNS 영역에서 가상 네트워크 링크의 유효성 검사
나열된 각 프라이빗 DNS 영역(Azure Backup, Blob 및 큐의 경우)에 대해 각각의 가상 네트워크 링크로 이동합니다.
프라이빗 엔드포인트를 만든 가상 네트워크에 대한 항목이 표시됩니다. 항목이 표시되지 않으면 가상 네트워크 링크를 포함하지 않는 모든 DNS 영역에 가상 네트워크 링크를 추가합니다.
사용자 지정 DNS 서버 또는 호스트 파일을 사용하는 경우
사용자 지정 DNS 서버를 사용하는 경우 백업 서비스, Blob 및 큐 FQDN에 대한 조건부 전달자를 사용하여 DNS 요청을 Azure DNS(168.63.129.16)로 리디렉션할 수 있습니다. Azure DNS는 이를 Azure 프라이빗 DNS 영역으로 리디렉션합니다. 이러한 설정에서 이 문서에 언급된 대로 Azure 프라이빗 DNS 영역에 대한 가상 네트워크 링크가 존재하는지 확인합니다.
다음 표에는 Azure Backup에 필요한 Azure 프라이빗 DNS 영역이 나열되어 있습니다.
존 서비스 *.privatelink.<geo>.backup.windowsazure.comBackup *.blob.core.windows.netBlob *.queue.core.windows.net큐 *.storage.azure.netBlob 참고 항목
위의 텍스트에서는
<geo>는 지역 코드(예: 미국 동부 및 북유럽의 경우 각각 eus 및 ne)를 나타냅니다. 지역 코드에 대해서는 다음 목록을 참조하세요.사용자 지정 DNS 서버 또는 호스트 파일을 사용 중이고 Azure 프라이빗 DNS 영역 설정이 없는 경우 프라이빗 엔드포인트에 필요한 DNS 레코드를 DNS 서버 또는 호스트 파일에 추가해야 합니다.
만든 프라이빗 엔드포인트로 이동한 다음 DNS 구성으로 이동합니다. 그런 다음 DNS에서 형식 A 레코드로 표시되는 각 FQDN 및 IP에 대한 항목을 추가합니다.
이름 확인에 호스트 파일을 사용하는 경우
<private ip><space><FQDN>형식에 따라 호스트 파일에 각 IP 및 FQDN에 대한 해당 항목을 만듭니다.
참고 항목
Azure Backup은 백업 데이터용 자격 증명 모음에 대한 새 스토리지 계정을 할당할 수 있으며 확장 또는 에이전트는 해당 엔드포인트에 액세스해야 합니다. 등록 및 백업 후 DNS 레코드를 더 추가하는 방법에 대한 자세한 내용은 백업에 프라이빗 엔드포인트를 사용하는 방법을 참조하세요.
백업에 프라이빗 엔드포인트 사용
VNet의 자격 증명 모음에 대해 만들어진 프라이빗 엔드포인트가 승인되면 해당 엔드포인트를 사용하여 백업 및 복원을 시작할 수 있습니다.
Important
계속하기 전에 문서의 위에서 언급한 단계를 모두 완료했는지 확인합니다. 요약하면 다음 검사 목록의 단계를 완료했어야 합니다.
- (새) Recovery Services 자격 증명 모음 만들기
- 시스템이 할당한 관리 ID를 사용하도록 자격 증명 모음 설정
- 자격 증명 모음의 관리 ID에 관련 권한 할당
- 자격 증명 모음에 대한 프라이빗 엔드포인트 만들기
- 프라이빗 엔드포인트 승인(자동 승인되지 않은 경우)
- 모든 DNS 레코드가 적절히 추가되었는지 확인(다음 섹션에서 설명하는 사용자 지정 서버의 Blob 및 큐 레코드 제외)
VM 연결 확인
잠긴 네트워크의 VM에서 다음을 확인합니다.
- VM은 Microsoft Entra ID에 액세스할 수 있어야 합니다.
- VM에서 백업 URL(
xxxxxxxx.privatelink.<geo>.backup.windowsazure.com)에 대해 nslookup을 실행하여 연결을 확인합니다. 그러면 가상 네트워크에 할당된 개인 IP가 반환됩니다.
백업 구성
위의 검사 목록 및 액세스가 성공적으로 완료되었는지 확인한 후 자격 증명 모음에 워크로드에 대한 백업을 계속 구성할 수 있습니다. 사용자 지정 DNS 서버를 사용하는 경우 첫 번째 백업을 구성한 후에 사용할 수 있는 Blob 및 큐에 대한 DNS 항목을 추가해야 합니다.
첫 번째 등록 후 Blob 및 큐(사용자 지정 DNS 서버/호스트 파일만 해당)에 대한 DNS 레코드
프라이빗 엔드포인트 사용 자격 증명 모음에서 하나 이상의 리소스에 대한 백업을 구성한 후에 아래에 설명된 대로 Blob 및 큐의 필수 DNS 레코드를 추가합니다.
자격 증명 모음용으로 만들어진 각 프라이빗 엔드포인트로 이동하여 DNS 구성으로 이동합니다.
DNS에서 형식 A 레코드로 표시되는 각 FQDN 및 IP에 대한 항목을 추가합니다.
이름 확인에 호스트 파일을 사용하는 경우
<private ip><space><FQDN>형식에 따라 호스트 파일에 각 IP 및 FQDN에 대한 해당 항목을 만듭니다.위의 항목 외에도 첫 번째 백업 후에 다른 항목이 필요합니다. 이러한 항목에 대해서는 여기에서 설명합니다.
Azure VM에서 워크로드 백업 및 복원(SQL 및 SAP HANA)
프라이빗 엔드포인트를 만들고 승인한 후에는 프라이빗 엔드포인트를 사용하기 위해 클라이언트 쪽에서 다른 변경이 필요하지 않습니다(이 섹션의 뒷부분에서 설명하는 SQL 가용성 그룹을 사용하지 않는 경우). 보안 네트워크에서 자격 증명 모음으로의 모든 통신 및 데이터 전송은 프라이빗 엔드포인트를 통해 수행됩니다. 그러나 서버(SQL 또는 SAP HANA)를 등록한 후에 자격 증명 모음에 대한 프라이빗 엔드포인트를 제거하는 경우 컨테이너를 자격 증명 모음에 다시 등록해야 합니다. 보호를 중지할 필요는 없습니다.
첫 번째 백업 후 Blob(사용자 지정 DNS 서버/호스트 파일만 해당)에 대한 DNS 레코드
첫 번째 백업을 실행하고 사용자 지정 DNS 서버를 사용하는 경우(조건부 전달 제외) 백업이 실패할 수 있습니다. 이 경우 다음을 수행합니다.
자격 증명 모음용으로 만들어진 프라이빗 엔드포인트로 이동하고 DNS 구성으로 이동합니다.
DNS에서 형식 A 레코드로 표시되는 각 FQDN 및 IP에 대한 항목을 추가합니다.
이름 확인에 호스트 파일을 사용하는 경우
<private ip><space><FQDN>형식에 따라 호스트 파일에 각 IP 및 FQDN에 대한 해당 항목을 만듭니다.
참고 항목
이 시점에서 자격 증명 모음 백업 및 스토리지 URL에서 작업을 수행하면 VM에서 nslookup을 실행하고 개인 IP 주소를 확인할 수 있습니다.
SQL 가용성 그룹을 사용하는 경우
SQL AG(가용성 그룹)를 사용하는 경우 아래에 설명된 대로 사용자 지정 AG DNS에서 조건부 전달을 프로비저닝해야 합니다.
- 도메인 컨트롤러에 로그인합니다.
- DNS 애플리케이션에서 필요에 따라 호스트 IP 168.63.129.16 또는 사용자 지정 DNS 서버 IP 주소에 세 개의 DNS 영역(백업, Blob, 큐) 모두에 대한 조건부 전달자를 추가합니다. 다음 스크린샷은 Azure 호스트 IP에 전달하는 경우를 보여 줍니다. 고유한 DNS 서버를 사용하는 경우 DNS 서버의 IP로 바꿉니다.
MARS 에이전트 및 DPM 서버를 통한 백업 및 복원
MARS 에이전트를 사용하여 온-프레미스 리소스를 백업하는 경우 (백업할 리소스가 포함된) 온-프레미스 네트워크는 자격 증명 모음의 프라이빗 엔드포인트를 포함하는 Azure VNet과 피어링되므로 사용할 수 있습니다. 그러면 MARS 에이전트를 계속 설치하고 여기에 설명된 대로 백업을 구성할 수 있습니다. 다만 백업을 위한 모든 통신은 피어링된 네트워크를 통해 수행되어야 합니다.
하지만 MARS 에이전트를 등록한 후에 자격 증명 모음의 프라이빗 엔드포인트를 제거하는 경우 컨테이너를 자격 증명 모음에 다시 등록해야 합니다. 보호를 중지할 필요는 없습니다.
참고 항목
- 프라이빗 엔드포인트는 DPM 서버 2022(10.22.123.0) 이상에서만 지원됩니다.
- 프라이빗 엔드포인트는 MABS V4(14.0.30.0) 이상에서만 지원됩니다.
프라이빗 엔드포인트 지원 자격 증명 모음에 대한 구독 간 복원
프라이빗 엔드포인트 지원 자격 증명 모음에 구독 간 복원을 수행하려면 다음을 수행합니다.
- 원본 Recovery Services 자격 증명 모음에서 네트워킹 탭으로 이동합니다.
- 프라이빗 액세스 섹션으로 이동하여 프라이빗 엔드포인트를 만듭니다.
- 복원하려는 대상 자격 증명 모음의 구독을 선택합니다.
- 가상 네트워크 섹션에서 구독 전체에서 복원하려는 대상 VM의 VNet을 선택합니다.
- 프라이빗 엔드포인트를 만들고 복원 프로세스를 트리거합니다.
프라이빗 엔드포인트 지원 자격 증명 모음에 대한 지역 간 복원
자격 증명 모음에 보호된 항목을 추가하기 전이나 후에 보조 프라이빗 엔드포인트를 만들 수 있습니다.
여러 지역의 데이터를 프라이빗 엔드포인트 지원 자격 증명 모음으로 복원하려면 다음 단계를 따릅니다.
대상 Recovery Services Vault>설정>네트워킹으로 이동하여 모든 항목을 보호하기 전에 대상 VM VNet을 사용하여 프라이빗 엔드포인트가 만들어졌는지 확인합니다.
프라이빗 엔드포인트가 사용하도록 설정되지 않은 경우 사용하도록 설정합니다.
프라이빗 액세스 탭에서 보조 지역에 프라이빗 엔드포인트를 만듭니다.
프라이빗 엔드포인트 만들기 블레이드의 기본 사항 탭에서 지역 간 복원 작업을 수행하려는 대상 VM의 보조 지역으로 지역을 선택합니다.
리소스 탭에서 대상 하위 리소스를 AzureBackup_Secondary로 선택합니다.
가상 네트워크 블레이드에서 지역 간 복원 작업을 수행하려는 대상 VM의 가상 네트워크를 선택합니다.
참고 항목
자격 증명 모음에 최대 12개의 Azure Backup 보조 프라이빗 엔드포인트를 추가할 수 있습니다.
프라이빗 엔드포인트 삭제
REST API를 사용하여 프라이빗 엔드포인트를 삭제하려면 이 섹션을 참조하세요.
다음 단계
- Azure Backup용 프라이빗 엔드포인트에 대해 알아봅니다.