다음을 통해 공유

Fabric에 대한 보안 액세스를 위한 프라이빗 엔드포인트

  • 아티클

프라이빗 링크를 사용하여 Fabric에서 데이터 트래픽에 대한 보안 액세스를 제공할 수 있습니다. Azure Private Link 및 Azure 네트워킹 프라이빗 엔드포인트는 인터넷을 통해 이동하지 않고 Microsoft의 백본 네트워크 인프라를 사용하여 데이터 트래픽의 프라이빗 전송을 수행하는 데 사용됩니다.

프라이빗 링크 연결을 사용하는 경우 Fabric 사용자가 Fabric의 리소스에 액세스할 때 이러한 연결은 Microsoft 프라이빗 네트워크 백본을 통과합니다.

Azure Private Link에 대한 자세한 내용은 Azure Private Link란을 참조하세요.

프라이빗 엔드포인트를 사용하면 많은 항목에 영향을 주므로, 프라이빗 엔드포인트를 사용하기 전에 이 전체 문서를 검토해야 합니다.

프라이빗 엔드포인트란?

프라이빗 엔드포인트는 조직의 Fabric 항목(예: OneLake에 파일 업로드)으로 들어가는 트래픽이 항상 조직의 구성된 프라이빗 링크 네트워크 경로를 따르도록 보장합니다. 구성된 네트워크 경로에서 들어오지 않는 모든 요청을 거부하도록 Fabric을 구성할 수 있습니다.

프라이빗 엔드포인트는클라우드에 있든 온-프레미스에 있든 Fabric에서 외부 데이터 원본으로 이동하는 트래픽의 보안은 보증하지 않습니다. 데이터 원본에 대한 보안을 강화하는 방화벽 규칙 및 가상 네트워크를 구성합니다.

프라이빗 엔드포인트는 클라이언트에서 지정된 서비스에 대한 연결을 시작할 수 있지만, 서비스에서 고객 네트워크에 대한 연결을 시작할 수 없는 단방향 기술입니다. 서비스는 고객 네트워크 정책 구성과 독립적으로 작동할 수 있으므로 이 프라이빗 엔드포인트 통합 패턴에서는 관리 격리를 제공합니다. 다중 테넌트 서비스의 경우 이 프라이빗 엔드포인트 모델에서 링크 식별자를 제공하여 동일한 서비스 내에서 호스트되는 다른 고객의 리소스에 대한 액세스를 방지합니다.

Fabric 서비스는 서비스 엔드포인트가 아닌 프라이빗 엔드포인트를 구현합니다.

Fabric에서 프라이빗 엔드포인트를 사용하면 다음과 같은 이점이 있습니다.

  • 인터넷에서 Fabric으로 트래픽을 제한하고 Microsoft 백본 네트워크를 통해 라우팅합니다.
  • 권한 있는 클라이언트 컴퓨터만 Fabric에 액세스할 수 있는지 확인합니다.
  • 데이터 및 분석 서비스에 대한 프라이빗 액세스를 의무화하는 규제 및 규정 준수 요구 사항을 준수합니다.

프라이빗 엔드포인트 구성 이해

Fabric 관리 포털에는 프라이빗 링크 구성과 관련된 Azure Private Link공용 인터넷 액세스 차단이라는 두 가지 테넌트 설정이 있습니다.

Azure Private Link가 올바르게 구성되고 공용 인터넷 액세스 차단사용으로 설정된 경우:

  • 지원되는 Fabric 항목은 조직에서 프라이빗 엔드포인트로부터만 액세스할 수 있으며 공용 인터넷에서는 액세스할 수 없습니다.
  • 프라이빗 링크를 지원하는 엔드포인트 및 시나리오를 대상으로 하는 가상 네트워크의 트래픽은 프라이빗 링크를 통해 전송됩니다.
  • 프라이빗 링크를 지원하지 않는 엔드포인트 및 시나리오를 대상으로 하는 가상 네트워크의 트래픽은 서비스에서 차단되고 작동하지 않습니다.
  • 프라이빗 링크를 지원하지 않는 시나리오가 있을 수 있으며, 이 경우에는 공용 인터넷 액세스 차단이 사용으로 설정될 때 서비스에서 차단됩니다.

Azure Private Link가 올바르게 구성되고 공용 인터넷 액세스 차단사용 안 함으로 설정된 경우:

  • 공용 인터넷의 트래픽은 Fabric 서비스에서 허용됩니다.
  • 프라이빗 링크를 지원하는 엔드포인트 및 시나리오를 대상으로 하는 가상 네트워크의 트래픽은 프라이빗 링크를 통해 전송됩니다.
  • 프라이빗 링크를 지원하지 않는 엔드포인트 및 시나리오를 대상으로 하는 가상 네트워크의 트래픽은 공용 인터넷을 통해 전송되고 Fabric 서비스에서 허용됩니다.
  • 가상 네트워크가 공용 인터넷 액세스를 차단하도록 구성된 경우 프라이빗 링크를 지원하지 않는 시나리오는 가상 네트워크에 의해 차단되고 작동하지 않습니다.

OneLake

OneLake는 프라이빗 링크를 지원합니다. OneLake 파일 탐색기, Azure Storage Explorer, PowerShell 등을 사용하여 패브릭 포털 또는 설정된 가상 네트워크 내의 모든 컴퓨터에서 OneLake를 탐색할 수 있습니다.

OneLake 하위 지역별 엔드포인트를 사용하는 직접 호출은 Fabric에 대한 프라이빗 링크를 통해 작동하지 않습니다. OneLake 및 하위 지역별 엔드포인트에 연결하는 방법에 대한 자세한 내용은 OneLake에 연결하려면 어떻게 해야 하나요?를 참조하세요.

웨어하우스 및 레이크하우스 SQL 분석 엔드포인트

Fabric 포털에서 Lakehouse의 웨어하우스 또는 SQL 분석 엔드포인트에 액세스하는 것은 프라이빗 링크로 보호됩니다. 고객은 TDS(테이블 형식 데이터 스트림) 엔드포인트(예: SQL Server Management Studio, Azure Data Studio)를 사용하여 프라이빗 링크를 통해 웨어하우스에 연결할 수도 있습니다.

공용 인터넷 액세스 차단 테넌트 설정을 사용하는 경우 웨어하우스의 시각적 쿼리가 작동하지 않습니다.

레이크하우스, Notebook, Spark 작업 정의, 환경

Azure Private Link 테넌트 설정을 사용하면 첫 번째 Spark 작업(Notebook 또는 Spark 작업 정의)을 실행하거나 Lakehouse 작업(테이블에 로드, 최적화 또는 진공과 같은 테이블 유지 관리 작업)을 수행하면 작업 영역에 대한 관리형 가상 네트워크가 생성됩니다.

관리형 가상 네트워크가 프로비전되면 Spark에 대한 시작 풀(기본 컴퓨팅 옵션)이 사용 중지됩니다. 이러한 풀은 공유 가상 네트워크에 호스트되는 미리 설치되어 있는 미리 준비된 클러스터이기 때문입니다. Spark 작업은 작업 영역의 전용 관리형 가상 네트워크 내에서 작업을 제출할 때 요청 시 생성되는 사용자 지정 풀에서 실행됩니다. 관리형 가상 네트워크가 작업 영역에 할당된 경우 다른 하위 지역의 용량 간에 작업 영역 마이그레이션이 지원되지 않습니다.

프라이빗 링크 설정을 사용하면 이를 수행하는 다른 하위 지역의 Fabric 용량을 사용하는 경우에도 홈 지역이 Fabric 데이터 엔지니어링을 지원하지 않는 테넌트에서 Spark 작업은 작동하지 않습니다.

자세한 내용은 Fabric용 관리형 VNet을 참조하세요.

데이터 흐름 Gen2

데이터 흐름 gen2를 사용하여 데이터를 가져오고 변환하며 프라이빗 링크를 통해 데이터 흐름을 게시할 수 있습니다. 데이터 원본이 방화벽 뒤에 있는 경우 VNet 데이터 게이트웨이를 사용하여 데이터 원본에 연결할 수 있습니다. VNet 데이터 게이트웨이를 사용하면 게이트웨이(컴퓨팅)를 기존 가상 네트워크에 삽입하여 관리형 게이트웨이 환경을 제공할 수 있습니다. VNet 게이트웨이 연결을 사용하여 가상 네트워크에서 다른 데이터 원본에 연결하거나 프라이빗 링크가 필요한 테넌트에서 레이크하우스 또는 웨어하우스에 연결할 수 있습니다.

파이프라인

프라이빗 링크를 통해 파이프라인에 연결하는 경우 데이터 파이프라인을 사용하여 퍼블릭 엔드포인트가 있는 모든 데이터 원본의 데이터를 프라이빗 링크 기반 Microsoft Fabric 레이크하우스로 로드할 수 있습니다. 고객은 프라이빗 링크를 통해 Notebook 및 데이터 흐름 활동을 비롯한 활동을 사용하여 데이터 파이프라인을 작성하고 운영할 수도 있습니다. 그러나 현재 Fabric의 프라이빗 링크를 사용하는 경우 데이터 웨어하우스 사이에서 데이터를 복사할 수 없습니다.

ML 모델, 실험 및 AI 기술

ML 모델, 실험 및 AI 기술은 프라이빗 링크를 지원합니다.

Power BI

  • 인터넷 액세스가 사용되지 않고 Power BI 의미 체계 모델, 데이터 마트 또는 데이터 흐름 Gen1이 데이터 원본으로 Power BI 의미 체계 모델 또는 데이터 흐름에 연결되면 연결이 실패합니다.

  • Direct Lake 모드는 현재 Private Link를 사용하여 지원되지 않습니다.

  • Fabric에서 테넌트 설정 Azure Private Link를 사용하는 경우 웹에 게시는 지원되지 않습니다.

  • Fabric에서 공용 인터넷 액세스 차단을 사용하는 경우 이메일 구독은 지원되지 않습니다.

  • Fabric에서 Azure Private Link를 사용하는 경우 Power BI 보고서를 PDF 또는 PowerPoint로 내보내기는 지원되지 않습니다.

  • 조직에서 Fabric에서 Azure Private Link를 사용하는 경우 최신 사용 현황 메트릭 보고서에는 부분 데이터(보고서 열기 이벤트만)가 포함됩니다. 프라이빗 링크를 통해 클라이언트 정보를 전송할 때 적용되는 현재 제한 사항으로 인해 Fabric에서는 프라이빗 링크를 통해 보고서 페이지 보기와 성능 데이터를 캡처할 수 없습니다. 조직이 Fabric에서 Azure Private Link공용 인터넷 액세스 차단을 사용하는 경우 데이터 세트 새로 고침이 실패하고 사용 현황 메트릭 보고서에는 어떤 데이터도 표시되지 않습니다.

Eventhouse

Eventhouse는 프라이빗 링크를 통해 Azure Virtual Network에서 보안 데이터 수집 및 쿼리를 허용하는 Private Link를 지원합니다. Azure Storage 계정, 로컬 파일 및 데이터 흐름 Gen2를 비롯한 다양한 원본에서 데이터를 수집할 수 있습니다. 스트리밍 수집은 즉각적인 데이터 가용성을 보장합니다. 또한 KQL 쿼리 또는 Spark를 활용하여 Eventhouse 내의 데이터에 액세스할 수 있습니다.

제한 사항:

  • OneLake에서 데이터를 수집하는 작업은 지원되지 않습니다.
  • Eventhouse에 대한 바로 가기를 만들 수 없습니다.
  • 데이터 파이프라인에서 Eventhouse에 연결할 수 없습니다.
  • 큐에서 대기 중인 수집을 사용하여 데이터를 수집하는 작업은 지원되지 않습니다.
  • 큐에서 대기 중인 수집을 사용하는 데이터 커넥터는 지원되지 않습니다.
  • T-SQL을 사용하여 Eventhouse를 쿼리할 수 없습니다.

의료 데이터 솔루션(미리 보기)

고객은 프라이빗 링크를 통해 Microsoft Fabric에서 의료 데이터 솔루션을 프로비전하고 활용할 수 있습니다. 프라이빗 링크를 통해 사용되는 테넌트 내에서 고객은 의료 데이터 솔루션 기능을 배포하여 임상 데이터에 대한 포괄적인 데이터 수집 및 변환 시나리오를 실행할 수 있습니다. 여기에는 Azure Storage 계정 등과 같은 다양한 원본에서 의료 데이터를 수집하는 기능이 포함됩니다.

기타 Fabric 항목

Eventstream과 같은 다른 Fabric 항목은 현재 프라이빗 링크를 지원하지 않으며, 규정 준수 상태를 보호하기 위해 공용 인터넷 액세스 차단 테넌트 설정을 켜면 자동으로 사용 중지됩니다.

Microsoft Purview 정보 보호

Microsoft Purview Information Protection은 현재 프라이빗 링크를 지원하지 않습니다. 따라서 격리된 네트워크에서 실행 중인 Power BI Desktop에서는 민감도 버튼이 회색으로 표시되고, 레이블 정보가 표시되지 않으며, .pbix 파일의 암호 해독이 실패합니다.

데스크톱에서 이러한 기능을 사용하기 위해 관리자는 Microsoft Purview Information Protection, EOP(Exchange Online Protection) 및 AIP(Azure Information Protection)를 지원하는 기본 서비스에 대한 서비스 태그를 구성할 수 있습니다. 프라이빗 링크 격리 네트워크에서 서비스 태그를 사용하는 것의 영향을 이해해야 합니다.

기타 고려 사항 및 제한 사항

Fabric에서 프라이빗 엔드포인트를 사용하는 동안 유의해야 할 몇 가지 고려 사항이 있습니다.

  • Fabric은 프라이빗 링크를 사용하는 테넌트에서 최대 450개의 용량을 지원합니다.

  • 용량이 새로 만들어지면 해당 엔드포인트는 프라이빗 DNS 영역에 반영될 때까지 프라이빗 링크를 지원하지 않습니다. 최대 24시간이 걸릴 수 있습니다.

  • Fabric 관리 포털에서 프라이빗 링크가 설정되면 테넌트 마이그레이션이 차단됩니다.

  • 고객은 단일 가상 네트워크의 여러 테넌트에 있는 Fabric 리소스에 연결할 수 없으며 프라이빗 링크를 설정하는 마지막 테넌트에서만 연결할 수 있습니다.

  • 프라이빗 링크는 평가판 용량에서 지원되지 않습니다. 프라이빗 링크 트래픽을 통해 Fabric에 액세스하는 경우 평가판 용량이 작동하지 않습니다.

  • 프라이빗 링크 환경을 사용하는 경우에는 외부 이미지 또는 테마를 사용할 수 없습니다.

  • 각 프라이빗 엔드포인트는 하나의 테넌트에만 연결할 수 있습니다. 둘 이상의 테넌트에서 사용할 프라이빗 링크를 설정할 수 없습니다.

  • Fabric 사용자의 경우 온-프레미스 데이터 게이트웨이가 지원되지 않으며 프라이빗 링크가 사용되는 경우 등록에 실패합니다. 게이트웨이 구성자를 실행하려면 프라이빗 링크를 사용 중지해야 합니다. 이 시나리오에 대해 자세히 알아보세요. VNet 데이터 게이트웨이가 작동합니다. 자세한 내용은 이 고려 사항을 참조하세요.

  • 비 PowerBI(PowerApps 또는 LogicApps) 게이트웨이 사용자의 경우: Private Link를 사용하는 경우 온-프레미스 데이터 게이트웨이가 지원되지 않습니다. 프라이빗 링크와 함께 사용할 수 있는 VNET 데이터 게이트웨이의 사용을 살펴보는 것이 좋습니다.

  • 프라이빗 링크는 VNet 데이터 게이트웨이 다운로드 진단에서 작동하지 않습니다.

  • 프라이빗 링크 리소스 REST API는 태그를 지원하지 않습니다.

  • 클라이언트 브라우저에서 다음 URL에 액세스할 수 있어야 합니다.

    • 인증에 필수:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com, 계정 유형에 따라 다를 수 있습니다.

    • 데이터 엔지니어링 및 데이터 과학 환경에 필요합니다.

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/*(예: https://pypi.org/pypi/azure-storage-blob/json)
      • condaPackages에 대한 로컬 정적 엔드포인트
      • https://cdn.jsdelivr.net/npm/monaco-editor*

관련 콘텐츠