Microsoft Purview에 연결하고 데이터 원본을 사적으로 안전하게 검사합니다.
중요
이 문서에서는 클래식 Microsoft Purview 거버넌스 포털(https://web.purview.azure.com)에 대한 프라이빗 엔드포인트에 대해 설명합니다. 새 Microsoft Purview 포털(https://purview.microsoft.com/)을 사용하는 경우 Microsoft Purview 포털의 프라이빗 엔드포인트에 대한 설명서를 따릅니다.
이 가이드에서는 Microsoft Purview 계정에 대한 계정, _portal 및 수집 프라이빗 엔드포인트 를 배포하여 purview 계정에 액세스하고 자체 호스팅 통합 런타임을 사용하여 데이터 원본을 안전하고 개인적으로 검사하여 엔드 투 엔드 네트워크 격리를 사용하도록 설정하는 방법을 알아봅니다.=
Microsoft Purview 계정 프라이빗 엔드포인트는 가상 네트워크 내에서 시작된 클라이언트 호출만 Microsoft Purview 계정에 액세스할 수 있는 시나리오를 사용하도록 설정하여 다른 보안 계층을 추가하는 데 사용됩니다. 이 프라이빗 엔드포인트는 포털 프라이빗 엔드포인트의 필수 구성 요소이기도 합니다.
프라이빗 네트워크를 사용하여 Microsoft Purview 거버넌스 포털에 연결할 수 있도록 하려면 Microsoft Purview 포털 프라이빗 엔드포인트가 필요합니다.
Microsoft Purview는 수집 프라이빗 엔드포인트를 사용하여 Azure 또는 온-프레미스 환경에서 데이터 원본 을 검색할 수 있습니다. 계정 배포 날짜 및 구성에 따라 프라이빗 엔드포인트를 수집할 때 최대 3개의 프라이빗 엔드포인트 리소스를 배포하고 Microsoft Purview 구성 리소스에 연결해야 합니다.
kafka 알림에 관리되는 Event Hubs를 사용하는 경우 네임스페이스 프라이빗 엔드포인트는 Microsoft Purview가 구성한 Event Hubs 네임스페이스에 연결됩니다.
계정이 2023년 12월 15일 이전에 만들어진 경우:
- Blob 프라이빗 엔드포인트는 Microsoft Purview 관리형 스토리지 계정에 연결됩니다.
- 큐 프라이빗 엔드포인트는 Microsoft Purview 관리 스토리지 계정에 연결됩니다.
계정이 2023년 12월 15일 이후에 생성되었거나 API 버전 2023-05-01-preview를 사용하여 배포된 경우:
- Blob 프라이빗 엔드포인트는 Microsoft Purview 수집 스토리지에 연결됩니다.
- 큐 프라이빗 엔드포인트는 Microsoft Purview 수집 스토리지에 연결됩니다.
배포 체크리스트
이 가이드의 지침에 따라 기존 Microsoft Purview 계정에 대해 이러한 프라이빗 엔드포인트를 배포할 수 있습니다.
적절한 Azure 가상 네트워크 및 서브넷을 선택하여 Microsoft Purview 프라이빗 엔드포인트를 배포합니다. 다음 옵션 중 하나를 선택합니다.
- Azure 구독에 새 가상 네트워크를 배포합니다.
- Azure 구독에서 기존 Azure 가상 네트워크 및 서브넷을 찾습니다.
Microsoft Purview 계정에 액세스하고 프라이빗 네트워크를 사용하여 데이터 원본을 검사할 수 있도록 적절한 DNS 이름 확인 방법을 정의합니다. 다음 옵션 중에서 사용할 수 있습니다.
- 이 가이드에서 자세히 설명한 단계를 사용하여 새 Azure DNS 영역을 배포합니다.
- 이 가이드에서 자세히 설명한 단계를 사용하여 기존 Azure DNS 영역에 필요한 DNS 레코드를 추가합니다.
- 이 가이드의 단계를 완료한 후 기존 DNS 서버에 필요한 DNS A 레코드를 수동으로 추가합니다.
기존 Microsoft Purview 계정에 대한 프라이빗 엔드포인트를 배포합니다.
프라이빗 네트워크에 모든 공용 인터넷 트래픽에 대해 거부하도록 설정된 네트워크 보안 그룹 규칙이 있는 경우 Microsoft Entra ID 대한 액세스를 사용하도록 설정합니다.
Microsoft Purview 계정 및 수집 프라이빗 엔드포인트가 배포되는 동일한 가상 네트워크 또는 피어링된 가상 네트워크 내에 자체 호스팅 통합 런타임 을 배포하고 등록합니다.
이 가이드를 완료한 후 필요한 경우 DNS 구성을 조정합니다.
관리 컴퓨터, 자체 호스팅 IR VM 및 Microsoft Purview에 대한 데이터 원본 간의 네트워크 및 이름 확인의 유효성을 검사합니다.
참고
수집 프라이빗 엔드포인트를 배포한 후 고유한 Event Hubs 네임스페이스를 구성하거나 관리되는 Event Hubs 네임스페이스를 사용하도록 설정하는 경우 수집 프라이빗 엔드포인트를 다시 배포해야 합니다.
계정 및 포털 프라이빗 엔드포인트 사용
Azure Portal 이동한 다음 Microsoft Purview 계정을 선택하고 설정에서 네트워킹을 선택한 다음 프라이빗 엔드포인트 연결을 선택합니다.
+ 프라이빗 엔드포인트를 선택하여 새 프라이빗 엔드포인트를 만듭니다.
기본 정보를 입력합니다.
리소스 탭의 리소스 종류에 대해 Microsoft.Purview/accounts를 선택합니다.
리소스의 경우 Microsoft Purview 계정을 선택하고 대상 하위 리소스에대해 계정을 선택합니다.
구성 탭에서 가상 네트워크를 선택하고 필요에 따라 Azure 프라이빗 DNS 영역을 선택하여 새 Azure DNS 영역을 만듭니다.
참고
DNS 구성의 경우 드롭다운 목록에서 기존 Azure 프라이빗 DNS 영역을 사용하거나 나중에 DNS 서버에 필요한 DNS 레코드를 수동으로 추가할 수도 있습니다. 자세한 내용은 프라이빗 엔드포인트에 대한 DNS 이름 확인 구성을 참조하세요.
요약 페이지로 이동하고 만들기 를 선택하여 계정 프라이빗 엔드포인트를 만듭니다.
2~7단계를 반복하여 포털 프라이빗 엔드포인트를 만듭니다. 대상 하위 리소스에 대한 포털을 선택해야 합니다.
수집 프라이빗 엔드포인트 배포
수집 프라이빗 엔드포인트는 새 Microsoft Purview 포털 및 클래식 거버넌스 포털을 사용하는지 여부에 관계없이 모든 Microsoft Purview 인스턴스에 대한 Azure Portal 배포됩니다.
Azure Portal 이동한 다음 Microsoft Purview 계정을 검색하여 선택합니다.
Microsoft Purview 계정의 설정 에서 네트워킹을 선택한 다음, 수집 프라이빗 엔드포인트 연결을 선택합니다.
수집 프라이빗 엔드포인트 연결에서 + 새로 만들기를 선택하여 새 수집 프라이빗 엔드포인트를 만듭니다.
기본 정보를 입력하고 기존 가상 네트워크 및 서브넷 세부 정보를 선택합니다. 필요에 따라 프라이빗 DNS 통합을 선택하여 Azure 프라이빗 DNS 영역을 사용합니다. 각 목록에서 올바른 Azure 프라이빗 DNS 영역을 선택합니다.
참고
또한 기존 Azure 프라이빗 DNS 영역을 사용하거나 나중에 DNS 서버에서 수동으로 DNS 레코드를 만들 수도 있습니다. 자세한 내용은 프라이빗 엔드포인트에 대한 DNS 이름 확인 구성을 참조하세요.
만들기를 선택하여 프라이빗 엔드포인트를 만듭니다.
아직 없는 경우 프라이빗 엔드포인트를 사용하여 원본에 연결하기 위해 자체 호스팅 통합 런타임을 배포해야 합니다.
Event Hubs 네임스페이스에 대한 네트워킹 구성
Microsoft Purview의 Apache Atlas Kafka topics 이벤트를 보내고 받도록 Event Hubs를 구성한 경우 Event Hubs 네트워크 설정에서 통신을 허용하는지 확인해야 합니다.
자체 호스팅 IR(통합 런타임) 배포 및 데이터 원본 검사
Microsoft Purview에 대한 수집 프라이빗 엔드포인트를 배포한 후에는 하나 이상의 자체 호스팅 IR(통합 런타임)을 설치하고 등록해야 합니다.
Microsoft SQL Server, Oracle, SAP 등과 같은 모든 온-프레미스 원본 형식은 현재 자체 호스팅 IR 기반 검사를 통해서만 지원됩니다. 자체 호스팅 IR은 프라이빗 네트워크 내에서 실행된 다음 Azure의 가상 네트워크와 피어링되어야 합니다.
Azure Blob Storage 및 Azure SQL Database와 같은 모든 Azure 원본 형식의 경우 동일한 가상 네트워크에 배포된 자체 호스팅 통합 런타임 또는 Microsoft Purview 계정 및 수집 프라이빗 엔드포인트가 배포된 피어링된 가상 네트워크를 사용하여 검사를 실행하도록 명시적으로 선택해야 합니다.
자체 호스팅 통합 런타임 만들기 및 관리의 단계에 따라 자체 호스팅 IR을 설정합니다. 그런 다음 , 통합 런타임을 통해 연결 드롭다운 목록에서 자체 호스팅 IR을 선택하여 Azure 원본에서 검사를 설정하여 네트워크 격리를 보장합니다.
중요
Microsoft 다운로드 센터에서 최신 버전의 자체 호스팅 통합 런타임을 다운로드하고 설치해야 합니다.
Microsoft Entra ID 대한 액세스 사용
참고
VM, VPN Gateway 또는 VNet 피어링 게이트웨이에 공용 인터넷 액세스 권한이 있는 경우 프라이빗 엔드포인트에서 사용하도록 설정된 Microsoft Purview 거버넌스 포털 및 Microsoft Purview 계정에 액세스할 수 있습니다. 따라서 나머지 지침을 따를 필요가 없습니다. 개인 네트워크에 모든 공용 인터넷 트래픽을 거부하도록 설정된 네트워크 보안 그룹 규칙이 있는 경우 Microsoft Entra ID 액세스를 사용하도록 설정하는 몇 가지 규칙을 추가해야 합니다. 지침에 따라 수행합니다.
이러한 지침은 Azure VM에서 Microsoft Purview에 안전하게 액세스하기 위해 제공됩니다. VPN 또는 다른 가상 네트워크 피어링 게이트웨이를 사용하는 경우 유사한 단계를 따라야 합니다.
Azure Portal 가상 머신으로 이동하고 네트워킹에서 네트워크 설정을 선택합니다.
+ 포트 규칙 만들기를 선택합니다.
아웃바운드 포트 규칙 선택
아웃바운드 보안 규칙 추가 창에서 다음을 수행합니다.
- 대상에서 서비스 태그를 선택합니다.
- 대상 서비스 태그에서 AzureActiveDirectory를 선택합니다.
- 대상 포트 범위에서 *를 선택합니다.
- 작업에서 허용을 선택합니다.
- 우선 순위에서 값은 모든 인터넷 트래픽을 거부한 규칙보다 높아야 합니다.
규칙을 만듭니다.
동일한 단계에 따라 AzureResourceManager 서비스 태그를 허용하는 다른 규칙을 만듭니다. Azure Portal 액세스해야 하는 경우 AzurePortal 서비스 태그에 대한 규칙을 추가할 수도 있습니다.
VM에 연결하고 브라우저를 엽니다. Ctrl+Shift+J를 선택하여 브라우저 콘솔로 이동하고 네트워크 탭으로 전환하여 네트워크 요청을 모니터링합니다. URL 상자에 web.purview.azure.com 입력하고 Microsoft Entra 자격 증명을 사용하여 로그인합니다. 로그인이 실패할 수 있으며 콘솔의 네트워크 탭에서 aadcdn.msauth.net 액세스하려고 하지만 차단되는 Microsoft Entra ID 확인할 수 있습니다.
이 경우 VM에서 명령 프롬프트를 열고 ping aadcdn.msauth.net 해당 IP를 가져와서 VM의 네트워크 보안 규칙에서 IP에 대한 아웃바운드 포트 규칙을 추가합니다. 대상을 IP 주소로 설정하고 대상 IP 주소를 aadcdn IP로 설정합니다. Azure Load Balancer 및 Azure Traffic Manager로 인해 Microsoft Entra Content Delivery Network IP가 동적일 수 있습니다. IP를 받은 후 VM의 호스트 파일에 추가하여 브라우저가 해당 IP를 강제로 방문하여 Microsoft Entra Content Delivery Network를 가져오는 것이 좋습니다.
새 규칙을 만든 후 VM으로 돌아가서 Microsoft Entra 자격 증명을 다시 사용하여 로그인합니다. 로그인이 성공하면 Microsoft Purview 거버넌스 포털을 사용할 준비가 된 것입니다. 그러나 경우에 따라 Microsoft Entra ID 고객의 계정 유형에 따라 로그인하도록 다른 도메인으로 리디렉션됩니다. 예를 들어 live.com 계정의 경우 Microsoft Entra ID 로그인할 live.com 리디렉션한 다음 해당 요청이 다시 차단됩니다. Microsoft 직원 계정의 경우 Microsoft Entra ID 로그인 정보에 대한 msft.sts.microsoft.com 액세스합니다.
브라우저 네트워킹 탭에서 네트워킹 요청을 확인하여 차단되는 도메인의 요청을 확인하고, 이전 단계를 다시 실행하여 IP를 가져오고, 네트워크 보안 그룹에 아웃바운드 포트 규칙을 추가하여 해당 IP에 대한 요청을 허용합니다. 가능하면 VM의 호스트 파일에 URL 및 IP를 추가하여 DNS 확인을 수정합니다. 정확한 로그인 도메인의 IP 범위를 알고 있는 경우 네트워킹 규칙에 직접 추가할 수도 있습니다.
이제 Microsoft Entra 로그인에 성공해야 합니다. Microsoft Purview 거버넌스 포털은 성공적으로 로드되지만 특정 Microsoft Purview 계정에만 액세스할 수 있으므로 모든 Microsoft Purview 계정을 나열해도 작동하지 않습니다. 프라이빗 엔드포인트를 성공적으로 설정한 Microsoft Purview 계정을 직접 방문하려면 를 입력
web.purview.azure.com/resource/{PurviewAccountName}
합니다.
공용 액세스를 제한하는 방화벽
공용 인터넷에서 Microsoft Purview 계정에 대한 액세스를 완전히 차단하려면 다음 단계를 수행합니다. 이 설정은 프라이빗 엔드포인트 및 수집 프라이빗 엔드포인트 연결 모두에 적용됩니다.
Azure Portal Microsoft Purview 계정으로 이동하고 설정에서 네트워킹을 선택합니다.
방화벽 탭으로 이동하여 토글이 모든 네트워크에서 사용 안 함으로 설정되어 있는지 확인합니다.