프라이빗 링크 설정 및 사용
Fabric에서 조직의 Fabric에 대한 프라이빗 액세스를 허용하는 엔드포인트를 구성 및 사용할 수 있습니다. 프라이빗 엔드포인트를 구성하려면 Fabric 관리자여야 하며, Azure에서 VM(가상 머신) 및 VNet(가상 네트워크) 같은 리소스를 만들고 구성할 수 있는 권한이 있어야 합니다.
프라이빗 엔드포인트에서 Fabric에 안전하게 액세스하기 위한 단계는 다음과 같습니다.
- Power BI에 대한 프라이빗 엔드포인트 설정.
- Azure Portal에서 Power BI 리소스에 대한 Microsoft.PowerBI 프라이빗 링크 서비스 만들기.
- 가상 네트워크를 만듭니다.
- 가상 머신(VM) 만들기
- 프라이빗 엔드포인트 만들기
- Bastion을 사용하여 VM에 연결.
- 가상 머신에서 Power BI에 프라이빗 액세스.
- Fabric에 대한 공용 액세스 사용 중지.
다음 섹션에서는 각 단계에 대한 추가 정보를 제공합니다.
1단계. Fabric에 대한 프라이빗 엔드포인트 설정
Fabric에 관리자로 로그인합니다.
Azure Private Link 설정을 찾아서 확장합니다.
토글을 사용으로 설정합니다.
테넌트에 대한 프라이빗 링크를 구성하는 데 약 15분이 걸립니다. 여기에는 Fabric 서비스와의 프라이빗 통신을 지원하기 위해 테넌트에 대해 별도의 FQDN(정규화된 도메인 이름)을 구성하는 작업이 포함됩니다.
이 프로세스가 완료되면 다음 단계로 진행합니다.
2단계. Azure Portal에서 Power BI 리소스에 대한 Microsoft.PowerBI 프라이빗 링크 서비스 만들기
이 단계는 Fabric 리소스와 Azure 프라이빗 엔드포인트 연결을 지원하는 데 사용됩니다.
Azure Portal에 로그인합니다.
리소스 만들기를 선택합니다.
템플릿 배포 아래에서 만들기를 선택합니다.
사용자 지정 배포 페이지에서 편집기에서 사용자 고유의 템플릿 빌드를 선택합니다.
편집기에서 아래와 같이 ARM 템플릿을 사용하여 다음 Fabric 리소스를 만듭니다.
<resource-name>
은 Fabric 리소스에 대해 선택한 이름입니다.<tenant-object-id>
는 Microsoft Entra 테넌트 ID입니다. Microsoft Entra 테넌트 ID를 찾는 방법을 참조하세요.
{ "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": {}, "resources": [ { "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI", "apiVersion": "2020-06-01", "name" : "<resource-name>", "location": "global", "properties" : { "tenantId": "<tenant-object-id>" } } ] }
Power BI에 대한 Azure Government 클라우드를 사용하는 경우
location
은 테넌트의 하위 지역 이름이어야 합니다. 예를 들어 테넌트가 US Gov 텍사스에 있는 경우 ARM 템플릿에"location": "usgovtexas"
를 삽입해야 합니다. Power BI 미국 정부 지역 목록은 미국 정부용 Power BI 문서에서 찾을 수 있습니다.Important
Fabric에 대해 리소스를 만드는 경우에도
Microsoft.PowerBI/privateLinkServicesForPowerBI
를type
값으로 사용합니다.템플릿을 저장합니다. 그런 다음, 다음 정보를 입력합니다.
설정 값 프로젝트 세부 정보 Subscription 구독을 선택합니다. Resource group **새로 만들기를 선택합니다. 이름으로 test-PL을 입력합니다. 확인을 선택합니다. 인스턴스 세부 정보 지역을 선택합니다. 지역 검토 화면에서 만들기를 선택하여 계약조건에 동의합니다.
3단계 가상 네트워크 만들기
다음 절차에서는 리소스 서브넷, Azure Bastion 서브넷 및 Azure Bastion 호스트를 사용하여 가상 네트워크를 만듭니다.
서브넷에 필요한 IP 주소 수는 테넌트에서 만든 용량에 15를 더한 수입니다. 예를 들어 7개의 용량을 가진 테넌트에 대한 서브넷을 만드는 경우 22개의 IP 주소가 필요합니다.
Azure Portal에서 가상 네트워크를 검색하여 선택합니다.
가상 네트워크 페이지에서 + 만들기를 선택합니다.
가상 네트워크 만들기의 기본 사항 탭에서 다음 정보를 입력하거나 선택합니다.
설정 값 프로젝트 세부 정보 Subscription 구독을 선택합니다. Resource group 2단계에서 만든 이름인 test-PL을 선택합니다. 인스턴스 세부 정보 Name vnet-1을 입력합니다. 지역 Fabric에 대한 연결을 시작할 하위 지역을 선택합니다. 다음을 선택하여 보안 탭으로 이동합니다. 기본값으로 그대로 두거나 비즈니스 요구 사항에 따라 변경할 수 있습니다.
다음을 선택하여 IP 주소 탭으로 이동합니다. 기본값으로 그대로 두거나 비즈니스 요구 사항에 따라 변경할 수 있습니다.
저장을 선택합니다.
화면 하단에서 검토 + 만들기를 선택합니다. 유효성 검사를 통과하면 만들기를 선택합니다.
4단계 가상 머신 만들기
다음 단계는 가상 머신을 만드는 것입니다.
Azure Portal에서 리소스 만들기 > 컴퓨팅 > 가상 머신으로 이동합니다.
‘기본 사항’ 탭에서 다음 정보를 입력하거나 선택합니다.
설정 값 프로젝트 세부 정보 구독 Azure 구독을 선택합니다. Resource group 2단계에서 제공한 리소스 그룹을 선택합니다. 인스턴스 세부 정보 가상 머신 이름 새 가상 머신의 이름을 입력합니다. 필드 이름 옆에 있는 정보 도움말 풍선을 선택하여 가상 머신 이름에 대한 중요한 정보를 확인합니다. 지역 3단계에서 선택한 하위 지역을 선택합니다. 가용성 옵션 테스트의 경우 인프라 중복은 필요하지 않음을 선택합니다. 보안 유형 기본값을 그대로 둡니다. 이미지 원하는 이미지를 선택합니다. 예를 들어 Windows Server 2022를 선택합니다. VM 아키텍처 x64(기본값)를 그대로 둡니다. 크기 크기를 선택합니다. 관리자 계정 사용자 이름 선택한 사용자 이름을 입력합니다. 암호 선택한 암호를 입력합니다. 암호는 12자 이상이어야 하며 정의된 복잡성 요구 사항을 충족해야 합니다. 암호 확인 암호를 다시 입력합니다. 인바운드 포트 규칙 공용 인바운드 포트 없음을 선택합니다. 완료되면 다음: 디스크를 선택합니다.
디스크 탭에서 기본값을 그대로 두고 다음: 네트워킹을 선택합니다.
네트워킹 탭에서 다음 정보를 선택합니다.
설정 값 가상 네트워크 3단계에서 만든 가상 네트워크를 선택합니다. 서브넷 3단계에서 만든 기본값(10.0.0.0/24)을 선택합니다. 나머지 필드는 기본값을 그대로 둡니다.
검토 + 만들기를 선택합니다. Azure에서 구성의 유효성을 검사하는 검토 + 만들기 페이지로 이동합니다.
유효성 검사를 통과했습니다 메시지가 표시되면 만들기를 선택합니다.
5단계 프라이빗 엔드포인트 만들기
다음 단계는 Fabric의 프라이빗 엔드포인트를 만드는 것입니다.
포털 상단의 검색 상자에 프라이빗 엔드포인트를 입력합니다. 프라이빗 엔드포인트를 선택합니다.
프라이빗 엔드포인트에서 + 만들기를 선택합니다.
프라이빗 엔드포인트 만들기의 기본 사항 탭에서 다음 정보를 입력하거나 선택합니다.
설정 값 프로젝트 세부 정보 구독 Azure 구독을 선택합니다. Resource group 2단계에서 만든 리소스 그룹을 선택하세요. 인스턴스 세부 정보 속성 FabricPrivateEndpoint를 입력합니다. 이 이름을 사용하는 경우 고유한 이름을 만듭니다. 지역 3단계에서 가상 네트워크에 대해 만든 하위 지역을 선택합니다. 다음 이미지는 프라이빗 엔드포인트 만들기 - 기본 창을 보여 줍니다.
다음: 리소스를 선택합니다. 리소스 창에서 다음 정보를 입력하거나 선택합니다.
설정 값 연결 방법 내 디렉터리의 Azure 리소스에 연결하도록 선택합니다. Subscription 구독을 선택합니다. 리소스 유형 Microsoft.PowerBI/privateLinkServicesForPowerBI를 선택합니다. 리소스 2단계에서 만든 Fabric 리소스를 선택합니다. 대상 하위 리소스 테넌트 다음 이미지는 프라이빗 엔드포인트 만들기 - 리소스 창을 보여 줍니다.
다음: Virtual Network를 선택합니다. Virtual Network에서 다음 정보를 입력하거나 선택합니다.
설정 값 네트워킹 가상 네트워크 3단계에서 만든 vnet-1을 선택합니다. 서브넷 3단계에서 만든 subnet-1을 선택합니다. 프라이빗 DNS 통합 프라이빗 DNS 영역과 통합 예를 선택합니다. 프라이빗 DNS 영역 선택
(New)privatelink.analysis.windows.net
(New)privatelink.pbidedicated.windows.net
(New)privatelink.prod.powerquery.microsoft.com다음: 태그를 선택하고 다음: 검토 + 만들기를 선택합니다.
만들기를 실행합니다.
6단계 Bastion을 사용하여 VM에 연결
Azure Bastion은 공용 IP 주소를 통해 노출할 필요 없이 간단한 브라우저 기반 연결을 제공하여 가상 머신을 보호합니다. 자세한 내용은 Azure Bastion이란?을 참조하세요.
다음 단계를 사용하여 VM에 연결합니다.
3단계에서 만든 가상 네트워크에서 AzureBastionSubnet이라는 서브넷을 만듭니다.
포털의 검색 표시줄에서 4단계에서 만든 testVM을 입력합니다.
연결 버튼을 선택하고 드롭다운 메뉴에서 Bastion을 통해 연결을 선택합니다.
Bastion 배포를 선택합니다.
Bastion 페이지에서 필요한 인증 자격 증명을 입력한 다음, 연결을 클릭합니다.
7단계 VM에서 Fabric에 프라이빗 액세스
다음 단계는, 이전 단계에서 만든 가상 머신에서 Fabric에 대한 프라이빗 액세스를 수행하는 것입니다. 다음 단계를 사용합니다.
가상 머신에서 PowerShell을 엽니다.
nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net
를 입력합니다.다음 메시지와 비슷한 응답을 받고 프라이빗 IP 주소가 반환되는 것을 확인할 수 있습니다. OneLake 엔드포인트 및 웨어하우스 엔드포인트도 프라이빗 IP를 반환하는 것을 볼 수 있습니다.
브라우저를 열고 app.fabric.microsoft.com으로 이동하여 Fabric에 대한 프라이빗 액세스를 수행합니다.
8단계. Fabric에 대한 공용 액세스 사용 중지
마지막으로 필요에 따라 Fabric에 대한 공용 액세스를 사용 중지할 수 있습니다.
Fabric에 대한 공용 액세스를 사용하지 않는 경우 Fabric 서비스에 대한 액세스에 다음 섹션에 설명된 일부 제약 조건이 적용됩니다.
Important
인터넷 액세스 차단을 켜면 지원되지 않는 일부 Fabric 항목이 사용 중지됩니다. 프라이빗 링크 정보에서 제한 사항 및 고려 사항의 전체 목록 알아보기
Fabric에 대한 공용 액세스를 사용하지 않으려면 Fabric에 관리자로 로그인하고 관리 포털로 이동합니다. 테넌트 설정을 선택하고 고급 네트워킹 섹션으로 스크롤합니다. 공용 인터넷 액세스 차단 테넌트 설정에서 토글 버튼을 사용하도록 설정합니다.
시스템에서 조직이 공용 인터넷을 통해 Fabric에 액세스하지 못하도록 설정하는 데 약 15분이 걸립니다.
프라이빗 엔드포인트 구성 완료
이전 섹션의 단계를 수행하고 프라이빗 링크가 성공적으로 구성되면 조직은 선택 항목이 초기 구성 시 설정되든 또는 이후 변경되든, 다음 구성 선택 항목에 따라 프라이빗 링크를 구현합니다.
Azure Private Link가 올바르게 구성되고 공용 인터넷 액세스 차단이 사용으로 설정된 경우:
- Fabric은 프라이빗 엔드포인트에서만 조직에 액세스할 수 있으며 공용 인터넷에서는 액세스할 수 없습니다.
- 프라이빗 링크를 지원하는 엔드포인트 및 시나리오를 대상으로 하는 가상 네트워크의 트래픽은 프라이빗 링크를 통해 전송됩니다.
- 프라이빗 링크를 지원하지 않는 엔드포인트 및 시나리오를 대상으로 하는 가상 네트워크의 트래픽은 서비스에서 차단되고 작동하지 않습니다.
- 프라이빗 링크를 지원하지 않는 시나리오가 있을 수 있으며, 이 경우에는 공용 인터넷 액세스 차단이 사용으로 설정될 때 서비스에서 차단됩니다.
Azure Private Link가 올바르게 구성되고 공용 인터넷 액세스 차단이 사용 안 함으로 설정된 경우:
- 공용 인터넷의 트래픽은 Fabric 서비스에서 허용됩니다.
- 프라이빗 링크를 지원하는 엔드포인트 및 시나리오를 대상으로 하는 가상 네트워크의 트래픽은 프라이빗 링크를 통해 전송됩니다.
- 프라이빗 링크를 지원하지 않는 엔드포인트 및 시나리오를 대상으로 하는 가상 네트워크의 트래픽은 공용 인터넷을 통해 전송되고 Fabric 서비스에서 허용됩니다.
- 가상 네트워크가 공용 인터넷 액세스를 차단하도록 구성된 경우 프라이빗 링크를 지원하지 않는 시나리오는 가상 네트워크에 의해 차단되고 작동하지 않습니다.
다음 동영상에서는 프라이빗 엔드포인트를 사용하여 모바일 디바이스를 Fabric에 연결하는 방법을 보여줍니다.
참고 항목
이 비디오에서는 이전 버전의 Power BI Desktop 또는 Power BI 서비스를 사용할 수 있습니다.
추가 질문이 있으신가요? Fabric 커뮤니티에 문의하세요.
프라이빗 링크 사용 중지
Private Link 설정을 사용하지 않도록 설정하려면 설정을 사용하지 않도록 설정하기 전에 만든 모든 프라이빗 엔드포인트와 해당 프라이빗 DNS 영역이 삭제되었는지 확인합니다. VNet에 프라이빗 엔드포인트가 설정되어 있지만 Private Link가 비활성화된 경우 이 VNet의 연결이 실패할 수 있습니다.
Private Link 설정을 사용하지 않도록 설정하려는 경우 업무 외 시간에 사용하는 것이 좋습니다. 일부 시나리오에서 변경 사항을 반영하는 데 최대 15분의 가동 중지 시간이 걸릴 수 있습니다.