다음을 통해 공유


Microsoft Entra 개인 네트워크 커넥터 이해

커넥터는 Microsoft Entra 개인 액세스 및 애플리케이션 프록시를 가능하게 만듭니다. 커넥터는 간단하고 배포 및 유지 관리가 쉬우며 기능이 매우 강력합니다. 이 문서에서는 커넥터가 무엇인지, 어떤 방식으로 작동하는지, 어떻게 하면 배포를 최적화할 수 있는지 살펴봅니다.

개인 네트워크 커넥터란?

커넥터는 개인 네트워크에 배치되고 Microsoft Entra 개인 액세스 및 애플리케이션 프록시 서비스에 대한 아웃바운드 연결을 용이하게 하는 경량 에이전트입니다. 커넥터는 백 엔드 리소스에 대한 액세스 권한이 있는 Windows Server에 설치해야 합니다. 커넥터를 커넥터 그룹으로 나누고, 각 그룹이 특정 리소스에 대한 트래픽을 처리하게 만들 수 있습니다. 애플리케이션 프록시에 대한 자세한 내용 및 애플리케이션 프록시 아키텍처의 다이어그램 표현은 Microsoft Entra 애플리케이션 프록시를 사용하여 원격 사용자용 온-프레미스 앱 게시를 참조하세요.

Microsoft Entra 개인 네트워크 커넥터를 구성하는 방법을 알아보려면 Microsoft Entra 개인 액세스에 대한 개인 네트워크 커넥터를 구성하는 방법을 참조하세요.

개인 네트워크 커넥터는 클라우드의 애플리케이션 프록시 서비스에 대한 아웃바운드 연결을 용이하게 하는 온-프레미스에 배포되는 경량 에이전트입니다. 커넥터는 백 엔드 애플리케이션에 대한 액세스 권한이 있는 Windows Server에 설치해야 합니다. 사용자는 커넥터를 통해 트래픽을 앱에 라우팅하는 애플리케이션 프록시 클라우드 서비스에 연결합니다.

커넥터와 애플리케이션 프록시 서비스 간의 설정 및 등록은 다음과 같이 수행됩니다.

  1. IT 관리자가 아웃바운드 트래픽에 포트 80 및 443을 열어서 커넥터, 애플리케이션 프록시 서비스, Microsoft Entra ID에 필요한 여러 URL에 액세스를 허용합니다.
  2. 관리자는 Microsoft Entra 관리 센터에 로그인하고 실행 파일을 실행하여 온-프레미스 Windows 서버에 커넥터를 설치합니다.
  3. 커넥터가 애플리케이션 프록시 서비스를 “수신 대기”하기 시작합니다.
  4. 관리자가 온-프레미스 애플리케이션을 Microsoft Entra ID에 추가하고 사용자가 앱에 연결하는 데 필요한 URL과 같은 설정을 구성합니다.

중복성 및 확장성을 위해 항상 여러 커넥터를 배포하는 것이 좋습니다. 커넥터는 서비스와 함께 모든 고가용성 작업을 처리하며, 동적으로 추가 또는 제거될 수 있습니다. 새 요청이 수신될 때마다 사용할 수 있는 커넥터 중 하나로 라우팅됩니다. 커넥터가 실행 중인 경우 서비스에 연결됨에 따라 활성 상태가 유지됩니다. 일시적으로 사용할 수 없는 커넥터는 트래픽에 응답하지 않습니다. 사용되지 않는 커넥터는 비활성으로 태그가 지정되고 10일 동안 비활성 상태이면 제거됩니다.

커넥터는 또한 서버를 풀링하여 최신 버전의 커넥터가 있는지 찾습니다. 수동 업데이트를 수행할 수 있지만, 개인 네트워크 커넥터 업데이터 서비스가 실행되고 있다면 커넥터는 자동으로 업데이트됩니다. 다중 커넥터가 있는 테넌트의 경우 자동 업데이트는 각 그룹에서 한 번에 하나의 커넥터를 대상으로 하여 사용자 환경의 가동 중지 시간을 방지합니다.

참고 항목

버전 기록 페이지를 모니터링하여 최신 업데이트에 대한 정보를 얻을 수 있습니다.

각 개인 네트워크 커넥터는 커넥터 그룹에 할당됩니다. 동일한 커넥터 그룹의 커넥터는 고가용성 및 부하 분산을 위한 단일 장치로 작동합니다. 새 그룹을 만들고 Microsoft Entra 관리 센터에서 커넥터를 할당한 다음 특정 커넥터를 할당하여 특정 애플리케이션을 제공할 수 있습니다. 고 가용성을 위해 각 커넥터 그룹에 커넥터를 둘 이상 설치하는 것이 좋습니다.

커넥터 그룹은 다음 시나리오를 지원해야 하는 경우 유용합니다.

  • 지리적 앱 게시
  • 애플리케이션 분할/격리
  • 클라우드 또는 온-프레미스에서 실행되는 웹앱 게시

커넥터를 설치할 위치를 선택하고 네트워크를 최적화하는 방법에 대한 자세한 내용은 Microsoft Entra 애플리케이션 프록시를 사용할 때 네트워크 토폴로지 고려 사항을 참조하세요.

유지 관리

커넥터와 서비스는 모든 고가용성 작업을 처리합니다. 동적으로 추가하거나 제거할 수 있습니다. 새 요청은 사용 가능한 커넥터 중 하나로 라우팅됩니다. 일시적으로 사용할 수 없는 커넥터는 트래픽에 응답하지 않습니다.

커넥터는 상태 비저장이며 컴퓨터에 구성 데이터가 없습니다. 커넥터가 저장하는 유일한 데이터는 서비스와 인증 인증서를 연결하기 위한 설정입니다. 서비스에 연결할 때 필요한 모든 구성 데이터를 끌어오고 몇 분마다 새로 고쳐집니다.

커넥터는 또한 서버를 풀링하여 최신 버전의 커넥터가 있는지 확인합니다. 최신 버전이 있으면 커넥터가 자체적으로 업데이트합니다.

커넥터가 실행 중인 머신에서 이벤트 로그 및 성능 카운터를 사용하여 커넥터를 모니터링할 수 있습니다. Microsoft Entra 관리 센터에서 해당 상태를 볼 수도 있습니다. Microsoft Entra 개인 액세스 전역 보안 액세스로 이동하여 연결하고 커넥터를 선택합니다. 애플리케이션 프록시의 경우 ID, 애플리케이션, 엔터프라이즈 애플리케이션으로 이동하고 애플리케이션을 선택합니다. 애플리케이션 페이지에서 애플리케이션 프록시를 선택합니다.

사용하지 않은 커넥터를 수동으로 삭제할 필요가 없습니다. 커넥터가 실행 중인 경우 서비스에 연결됨에 따라 활성 상태가 유지됩니다. 사용되지 않는 커넥터는 _inactive_로 태그가 지정되고 비활성 상태가 된 지 10일 후에 제거됩니다. 하지만 커넥터를 제거하려면 서버에서 커넥터 서비스와 업데이트 프로그램 서비스를 모두 제거해야 합니다. 서비스를 완전히 제거하려면 컴퓨터를 다시 시작합니다.

자동 업데이트

Microsoft Entra ID에서는 사용자가 배포하는 모든 커넥터에 자동 업데이트를 제공합니다. 개인 네트워크 커넥터 업데이터 서비스가 실행 중인 동안에는 자동으로 커넥터가 최신 주요 커넥터 릴리스로 업데이트됩니다. 서버에 커넥터 업데이터 서비스가 표시되지 않는 경우 업데이트를 받으려면 커넥터를 다시 설치해야 합니다.

커넥터에 대한 자동 업데이트를 기다리지 않으려면 수동 업그레이드를 수행할 수 있습니다. 커넥터가 있는 서버에서 커넥터 다운로드 페이지로 이동하여 다운로드를 선택합니다. 그러면 로컬 커넥터의 업그레이드가 시작됩니다.

다중 커넥터가 있는 테넌트의 경우 자동 업데이트는 각 그룹에서 한 번에 하나의 커넥터를 대상으로 하여 사용자 환경의 가동 중지 시간을 방지합니다.

다음과 같은 경우 커넥터를 업데이트할 때 가동 중지 시간이 발생할 수 있습니다.

  • 하나의 커넥터만 있습니다. 가동 중지 시간을 방지하고 더 높은 가용성을 제공하려면 두 번째 커넥터와 커넥터 그룹을 사용하는 것이 좋습니다.
  • 업데이트를 시작했을 때 커넥터가 트랜잭션 중에 있었습니다. 초기 트랜잭션이 손실되지만, 브라우저에서 자동으로 작업을 다시 시도하거나 사용자가 페이지를 새로 고칠 수 있습니다. 요청을 다시 보내면 백업 커넥터에 트래픽이 라우팅됩니다.

이전에 릴리스된 버전 및 변경 내용에 대한 정보를 보려면 애플리케이션 프록시-버전 릴리스 내역을 참조하세요.

커넥터 그룹 만들기

커넥터 그룹을 사용하면 특정 애플리케이션을 서비스하기 위해 특정 커넥터를 할당할 수 있습니다. 여러 커넥터를 하나로 그룹화한 다음 각 리소스 또는 애플리케이션을 그룹에 할당할 수 있습니다.

커넥터 그룹을 사용하면 대규모 배포를 관리하기 쉽습니다. 또한 로컬 애플리케이션만 서비스하기 위해 위치 기반 커넥터 그룹을 만들 수 있으므로 서로 다른 지역에서 호스팅되는 리소스 및 애플리케이션이 있는 테넌트의 대기 시간을 낮출 수 있습니다.

커넥터 그룹에 대한 자세한 내용은 Microsoft Entra 개인 네트워크 커넥터 그룹 이해를 참조하세요.

보안 및 네트워킹

커넥터는 Microsoft Entra 개인 액세스 및 애플리케이션 프록시 서비스로 요청을 전송할 수 있는 네트워크 어느 곳에나 설치할 수 있습니다. 중요한 것은 커넥터를 실행 중인 컴퓨터에 앱 및 리소스에 대한 액세스가 있는 것입니다. 회사 네트워크 내부 또는 클라우드에서 실행되는 가상 머신에 커넥터를 설치할 수 있습니다. 커넥터를 DMZ(완충 영역)이라고도 하는 경계 네트워크 내에서 실행할 수는 있지만 꼭 그래야 하는 것은 아닙니다. 모든 트래픽이 아웃바운드이므로 네트워크 보안이 유지되기 때문입니다.

커넥터는 아웃바운드 요청만 보냅니다. 아웃바운드 트래픽은 서비스와 게시된 리소스 및 애플리케이션으로 전송됩니다. 세션이 설정된 후에는 트래픽이 양방향으로 흐르므로 인바운드 포트를 열지 않아도 됩니다. 또한 방화벽을 통해 인바운드 액세스를 구성할 필요가 없습니다.

아웃바운드 방화벽 규칙 구성에 대한 자세한 내용은 기존 온-프레미스 프록시 서버 작업을 참조하세요.

성능 및 확장성

Microsoft Entra 개인 액세스 및 애플리케이션 프록시 서비스의 규모가 투명하더라도 규모는 커넥터와 관련된 요소입니다. 최고 트래픽을 처리할 만큼 충분한 커넥터를 마련해야 합니다. 커넥터는 상태 비저장이며, 사용자 또는 세션 수는 영향을 주지 않습니다. 대신, 요청의 수와 페이로드 크기에 반응합니다. 표준 웹 트래픽을 사용하면 평균적인 컴퓨터는 초당 2,000개의 요청을 처리할 수 있습니다. 특정 용량은 정확한 컴퓨터 특성에 따라 다릅니다.

CPU 및 네트워크는 커넥터 성능을 정의합니다. TLS 암호화 및 암호 해독에는 CPU 성능이 필요한 반면, 애플리케이션 및 온라인 서비스에 신속히 연결하기 위해서는 네트워킹이 중요합니다.

반면, 커넥터에서는 메모리가 중요하지 않습니다. 온라인 서비스는 대부분의 프로세싱과 인증되지 않은 모든 트래픽을 처리합니다. 클라우드에서 수행할 수 있는 모든 작업은 클라우드에서 수행됩니다.

커넥터나 컴퓨터를 사용할 수 없는 경우 트래픽은 그룹의 다른 커넥터로 이동합니다. 커넥터 그룹의 여러 커넥터는 복원력을 제공합니다.

성능에 영향을 주는 또 다른 요소는 커넥터 간 네트워킹의 품질이며 다음과 같습니다.

  • 온라인 서비스: Microsoft Entra 서비스에 대한 느린 또는 높은 대기 시간 연결은 커넥터 성능에 영향을 줍니다. 최상의 성능을 위해 ExpressRoute를 사용하여 조직을 Microsoft에 연결합니다. 그렇지 않은 경우 네트워킹 팀에서 Microsoft 연결을 최대한 효율적으로 처리하도록 합니다.
  • 백 엔드 애플리케이션: 커넥터와 백 엔드 리소스 및 애플리케이션 사이에 추가 프록시가 있는 경우가 가끔 있습니다. 이 시나리오를 해결하려면 커넥터 서버에서 브라우저를 열고 애플리케이션 또는 리소스에 액세스합니다. 클라우드에서 커넥터를 실행하고 애플리케이션이 온-프레미스 상태이면 사용자가 기대한 환경이 아닐 수 있습니다.
  • 도메인 컨트롤러: 커넥터가 Kerberos 제한된 위임을 사용하여 SSO(Single Sign-On)를 수행하는 경우 커넥터는 도메인 컨트롤러에 연결한 후 백 엔드에 요청을 보냅니다. 커넥터에는 Kerberos 티켓 캐시가 있지만 사용량이 많은 환경에서는 도메인 컨트롤러의 응답성이 성능에 영향을 줄 수 있습니다. 이 문제는 Azure에서 실행되지만 온-프레미스 도메인 컨트롤러와 통신하는 커넥터에서 좀 더 자주 발생합니다.

네트워크 최적화에 대한 자세한 내용은 Microsoft Entra 애플리케이션 프록시를 사용할 때 네트워크 토폴로지 고려 사항을 참조하세요.

사양 및 크기 조정 요구 사항

각 Entra Private Network 커넥터에 대해 다음 사양을 사용하는 것이 좋습니다.

  • 메모리: 8 GiB 이상
  • CPU: 4개 이상의 CPU 코어

최대 메모리 사용률 및 최대 CPU 사용률에 대해 커넥터가 70% 미만인지 확인합니다. CPU 또는 메모리 사용률이 제안된 최대값보다 높은 경우 워크로드를 효과적으로 배포하기 위해 커넥터를 더 추가하는 것이 좋습니다.

  • 처리량: 위의 사양으로 구성된 각 커넥터는 Azure VM에서 TCP를 통해 최대 1.5Gbps의 처리량을 지원할 수 있습니다. 처리량은 인바운드 및 아웃바운드 트래픽의 합계로 측정됩니다. 메모리 증가, CPU 리소스 및 향상된 네트워크 연결 속도로 VM에서 커넥터를 실행하여 더 높은 처리량을 달성할 수 있습니다.

추가 세부 정보:

  • 위에서 만든 크기 조정 권장 사항은 TCP 데이터 스트림과 함께 iPerf3 도구를 사용하여 테스트 테넌트에서 수행된 성능 테스트를 기반으로 합니다. 실제 성능은 테스트 환경마다 다를 수 있습니다. 특정 테스트 사례에 대한 자세한 내용은 다음 달에 이 설명서의 일부로 게시될 예정입니다.
  • 커넥터가 등록되면 프라이빗 액세스 클라우드 인프라에 대한 아웃바운드 TLS 터널을 설정합니다. 이러한 터널은 모든 데이터 경로 트래픽을 처리합니다. 또한 몇 가지 컨트롤 플레인 채널이 있어 활성 유지 하트비트, 상태 보고, 커넥터 업그레이드 등을 통해 최소 대역폭을 활용할 수 있습니다.
  • 적절한 네트워크 및 인터넷 연결을 사용할 수 있는 경우 동일한 커넥터 그룹 내에 추가 커넥터를 배포하여 전체 처리량을 늘릴 수 있습니다. 복원력과 일관된 가용성을 보장하기 위해 정상 커넥터를 두 개 이상 유지하는 것이 좋습니다. 고가용성 관련 모범 사례는 여기지침을 참조하세요.

도메인 가입

도메인 조인되지 않은 머신에서 커넥터를 실행할 수 있습니다. 하지만 Windows 통합 인증(IWA)을 사용하는 애플리케이션에 SSO(Single Sign-On)를 사용하려는 경우에는 도메인 가입된 머신이 필요합니다. 이 경우 커넥터 컴퓨터는 게시된 애플리케이션에 대한 사용자를 대신하여 Kerberos 제한된 위임을 수행할 수 있는 도메인에 가입되어야 합니다.

커넥터는 부분 신뢰하는 포리스트의 도메인 또는 읽기 전용 도메인 컨트롤러에 가입할 수도 있습니다.

강화된 환경에 커넥터 배포

일반적으로 커넥터 배포는 매우 간단하며 특별한 구성이 필요하지 않습니다.

그러나 고려해야 할 몇 가지 고유한 조건이 있습니다.

  • 아웃바운드 트래픽을 사용하려면 특정 포트를 열어야 합니다. 자세한 내용은 커넥터 구성을 참조하세요.
  • FIPS 규격 머신은 커넥터 프로세스에서 인증서를 생성 및 저장할 수 있도록 구성을 변경해야 할 수 있습니다.
  • 아웃바운드 전달 프록시는 양방향 인증서 인증을 중단하고 통신이 실패할 수 있습니다.

커넥터 인증

안전한 서비스를 제공하기 위해 커넥터는 서비스에 대해 인증되어야 하고 서비스는 커넥터에 대해 인증되어야 합니다. 커넥터에서 연결을 시작하면 클라이언트 및 서버 인증서를 사용하여 이 인증이 수행됩니다. 이 경우 관리자의 사용자 이름 및 암호는 커넥터 머신에 저장되지 않습니다.

사용된 인증서는 서비스로 국한됩니다. 인증서는 초기 등록 중에 생성되며 몇 개월마다 자동으로 갱신됩니다.

첫 번째 성공적인 인증서 갱신 후 Microsoft Entra 개인 네트워크 커넥터 서비스(네트워크 서비스)에는 로컬 컴퓨터 저장소에서 이전 인증서를 제거할 수 있는 권한이 없습니다. 인증서가 만료되거나 서비스에서 사용하지 않는 경우 안전하게 삭제할 수 있습니다.

인증서 갱신 문제를 방지하려면 커넥터에서 문서화된 대상으로의 네트워크 통신을 사용하도록 설정해야 합니다.

커넥터가 몇 달 동안 서비스에 연결되지 않으면 해당 인증서가 오래되었을 수 있습니다. 이 경우 커넥터를 제거 후 다시 설치하여 등록을 트리거합니다. 다음 PowerShell 명령을 실행하면 됩니다.

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"

정부의 경우 -EnvironmentName "AzureUSGovernment"를 사용합니다. 자세한 내용은 Azure Government 클라우드용 에이전트 설치를 참조하세요.

인증서를 확인하고 문제를 해결하는 방법을 알아보려면 애플리케이션 프록시 신뢰 인증서에 대한 머신 및 백 엔드 구성 요소 지원을 참조하세요.

기본적인 이해

커넥터는 Windows Server에 설치되므로 Windows 이벤트 로그 및 Windows 성능 카운터를 비롯한 대부분의 동일한 관리 도구가 있습니다.

커넥터에는 관리세션 로그가 모두 포함됩니다. 관리 로그에는 주요 이벤트와 해당 오류가 포함됩니다. 세션 로그에는 모든 트랜잭션 및 처리 세부 정보가 포함됩니다.

로그를 보려면 이벤트 뷰어를 열고 애플리케이션 및 서비스 로그>Microsoft>Microsoft Entra 개인 네트워크>커넥터로 이동합니다. 세션 로그를 표시하려면 보기 메뉴에서 분석 및 디버그 로그 표시를 선택합니다. 세션 로그는 일반적으로 문제 해결에 사용되며 기본적으로 사용하지 않도록 설정됩니다. 이벤트 수집을 시작하려면 사용하도록 설정하고, 더 이상 필요하지 않을 때 사용하지 않도록 설정합니다.

서비스 창에서 서비스 상태를 검사할 수 있습니다. 커넥터는 두 개의 Windows 서비스(실제 커넥터와 업데이터)로 구성됩니다. 둘 다 항상 실행되어야 합니다.

비활성 커넥터

일반적인 문제는 커넥터가 커넥터 그룹에서 비활성 상태로 표시된다는 것입니다. 필수 포트를 차단하는 방화벽은 커넥터가 비활성화되는 일반적인 원인입니다.

다음 단계