다음을 통해 공유

Azure Arc에서 사용하도록 설정된 SQL Server에 대한 프라이빗 경로를 사용하여 Azure에 연결

이 문서에서는 인터넷 경로를 거치지 않고 Azure에 연결하도록 Azure Arc 인스턴스에서 사용하도록 설정된 SQL Server에 대한 통신을 구성하는 방법을 설명합니다.

이 디자인은 SQL Server가 개인 IP 주소로 사이트-사이트 VPN 또는 ExpressRouteConnection을 통해 통신할 수 있도록 Azure에 프록시 서버를 배포합니다. 프록시는 Azure 백본 네트워크를 통해 Arc URL과 통신합니다.

중요합니다

이 구현에서는 현재 미리 보기로 제공되는 Azure Firewall 명시적 프록시 를 사용합니다.

다음 다이어그램은 이 패턴을 나타냅니다.

프라이빗 경로 배포를 나타내는 다이어그램.

정방향 프록시의 경우 다음 중 하나를 선택합니다.

  • PaaS(Platform as a Service) 네트워크 보안 서비스인 Azure Firewall 명시적 프록시(미리 보기) 기능입니다.

    또는

  • 네트워크 가상 장비 (NVA)를 이용한 타사 프록시입니다.

    다이어그램은 Azure Firewall 명시적 프록시를 보여줍니다.

사용 사례

다음과 같은 경우 Azure Arc에서 사용하도록 설정된 SQL Server에 이 아키텍처를 사용합니다.

  • SQL Server 인스턴스는 격리되고 보호됩니다.

  • Azure Connected Machine 에이전트는 Azure의 Virtual Network 내에서 호스트되는 개인 IP를 통해서만 전달 프록시와 통신할 수 있습니다. Arc 관련 URL에 액세스하기 위해 전달 프록시가 통신하는 URL 및 공용 IP는 인터넷을 통해서가 아니라 Microsoft 백본 내에 있습니다. 따라서 트래픽은 공용 인터넷을 통해 이동하지 않습니다.

  • SQL Server 인스턴스와 전달 프록시 간의 트래픽은 안전해야 합니다. 이전 다이어그램에서 ExpressRoute는 SQL 서버와 정방향 프록시 간의 연결에 대해 설명하지만 사이트 간 VPN을 사용하여 수행할 수도 있습니다.

  • 트래픽은 공용 피어링 대신 ExpressRoute의 프라이빗 피어링을 통해 전송됩니다.

  • 프록시 구성은 OS 수준이 아닌 Arc Connected Machine 에이전트 내에서 수행됩니다. 이 구성은 보안 관련 정책에 영향을 미치지 않을 수 있습니다.

  • Arc 통신은 포트 443을 통해 암호화되며 ExpressRoute 또는 사이트 간 VPN을 사용하면 추가 보안 계층이 추가됩니다.

필수 구성 요소 - 두 개의 서브넷이 있는 Azure 가상 네트워크

이 아키텍처에는 두 개의 서브넷이 있는 Azure의 가상 네트워크가 필요합니다. 다음 단계에서는 ExpressRoute 대신 사이트 및 사이트 간의 VPN을 준비합니다.

  1. Azure VPN Gateway에 대한 가상 네트워크 및 서브넷을 만듭니다.
  2. Azure Firewall에 대한 별도의 서브넷을 만듭니다.

이후 단계에서는 Azure Firewall을 전달 프록시로 배포합니다.

SQL Server와 Azure 간에 VPN 만들기

SQL Server 위치에서 Azure로 사이트-간 VPN을 생성합니다.

  1. 자습서의 단계를 따릅니다. Azure Portal을 사용하여 VPN Gateway를 만들고 관리 하여 VPN Gateway를 만듭니다.

  2. 사이트 2 사이트 VPN을 만들기 전에 로컬 네트워크 게이트웨이를 만듭니다. 자습서의 단계를 수행합니다. Azure Portal에서 사이트 및 사이트 간의 VPN 연결을 만듭니다.

방화벽 만들기 및 프록시 구성

  1. Firewall Manager와 함께 Azure Firewall을 만듭니다.
  2. 전달 프록시 역할을 하도록 Azure Firewall 명시적 프록시(미리 보기) 설정을 구성합니다.
  3. SQL Server IP(10.2.1.4)를 허용하는 규칙을 만듭니다.

Azure 연결 장치 에이전트는 해당 규칙을 사용하여 방화벽을 통해 외부로 https 액세스합니다.

Azure Arc를 사용하여 SQL Server 연결

Azure Portal에서 온보딩 스크립트를 생성합니다. 여기에 설명된 대로 SQL Server를 Azure Arc에 연결합니다.

스크립트를 실행하여 올바른 구성으로 Azure Connected Machine 에이전트를 설치합니다. 스크립트를 생성할 때 프록시 설정을 구성할 수 있습니다.

이 문서에서는 Arc Connected Machine 에이전트 확장을 설치한 후 프라이빗 경로 프록시 설정을 업데이트합니다.

Azure Connected Machine 에이전트 구성

Azure Connected Machine 에이전트를 구성하려면 azcmagent CLI를 사용합니다.

  1. 프록시 URL 설정

    azcmagent config set proxy.url "http://<ip address>:8443"

  2. 프록시 URL 확인

    azcmagent config get proxy.url

    콘솔은 현재 프록시 URL을 반환합니다.

  3. 에이전트가 연결되어 있는지 확인합니다.

    azcmagent show | find | "Agent Status"

    콘솔에서 에이전트 상태를 반환합니다. 에이전트가 구성된 경우 콘솔은 다음을 반환합니다.

    Agent Status: Connected

URL 무시

특정 URL이 프록시를 통과하지 못하도록 에이전트를 구성하고 대신 직접 액세스를 허용해야 할 수 있습니다. 프라이빗 엔드포인트를 지원하려면 프록시 URL을 우회해야 합니다. 자세한 내용은 프라이빗 엔드포인트에 대한 프록시 바이패스를 검토하세요.

로그 분석을 위한 방화벽 구성

Azure Log Analytics에 로그를 보내도록 방화벽을 구성할 수도 있습니다. 자세한 내용은 Azure Firewall 모니터링을 검토하세요.

자원을 정리하세요

이 애플리케이션을 계속 사용하지 않려면 이러한 리소스를 삭제합니다.

Azure Portal에서 리소스를 삭제하려면 다음을 수행합니다.

  1. 검색 상자에 리소스 그룹의 이름을 입력하여 검색 결과에서 선택합니다.
  2. 리소스 그룹 삭제를 선택합니다.
  3. 리소스 그룹 이름을 입력할 때 리소스 그룹 이름을 확인하고 삭제를 선택합니다.

확장 버전 업그레이드

SQL Server용 Azure 확장을 업그레이드하는 방법에 대한 자세한 내용은 업그레이드 확장을 참조하세요.

현재 확장 버전을 확인하려면 릴리스 정보 - Azure Arc에서 사용하도록 설정된 SQL Server를 확인하세요.

관련 콘텐츠