본문 바로가기
Azure 자격증 쉽게 공부하기/Microsoft Azure AZ-700 핵심

AZ-700 핵심 #4, Private Endpoint & Service Endpoint

by 네트워크 엔지니어 환영 2025. 10. 24.
반응형
Azure 자격증(AZ-700) 대비 네트워크 핵심 개념 요약집의 무료 공개본입니다.

Service Endpoint

  • Virtual Network 내 리소스(Virtual Machine 등)가 Azure PaaS 서비스(공인 IP 형태)에 인터넷을 거치지 않고 접근할 수 있도록 기능하는 서비스
  • Service Endpoint를 생성하면 Azure PaaS 서비스(Azure Storage, SQL, Key Vault, CosmosDB, Event Hubs, Service Bus 등)에 공인 IP를 통하지 않고 Azure 백본망을 거쳐 진입 가능
  • Service Endpoint가 설정된 Subnet의 Route Table과 NSG의 설정에 영향을 받음
    • 사용자가 설정한 Route Table과 NSG의 설정에 의해 오동작할 수 있음
  • 하나의 Subnet에 여러 Service Endpoint 생성 가능
  • 기본적으로 Service Endpoint를 생성한 Subnet에서만 Service Endpoint 접근이 가능
    • 다른 Subnet에서 Service Endpoint를 접근하고자 한다면 PaaS 서비스의 Network Rule에서 해당 Subnet을 허용 필요
    • "Service Endpoint가 설정된 VNet"과 Peering된 VNet은 Service Endpoint에 접근이 불가능
    • On-premise에서 Service Endpoint 접근은 불가능
  • Service Endpoint 설정 전후 Traffic Flow 차이
    • 설정 전 : Virtual Machine > NAT Gateway 혹은 VM의 공인 IP > Internet > Azure PaaS 서비스
    • 설정 후 : Virtual Machine > Service Endpoint > Azure Backbone > Azure PaaS 서비스
  • TCP 트래픽만을 처리하므로 ICMP(Ping, tracert)를 처리하지 않아 ICMP를 활용한 테스트 불가

 

Private Endpoint

  • Prviate Link를 활용해 제공하는 서비스
  • Virtual Network 내 리소스(Virtual Machine 등)가 Azure PaaS 서비스(공인 IP 형태)에 인터넷을 거치지 않고 사설 IP를 목적지 삼아 접근할 수 있도록 기능하는 서비스
    • 여기서 사설 IP는 Subnet 내 사설 IP를 할당받은 Network Interface(NIC)를 말하며, Private Endpoint의 접근지점
  • Private Endpoint를 생성하면 Azure PaaS 서비스(Azure Storage, SQL, Key Vault, CosmosDB, Event Hubs, Service Bus 등)에 사설 IP를 통해 접근 가능
  • 사설 IP(NIC)를 보유한다는 특징 덕분에 Route Table과 NSG의 직접적인 통제가 가능
  • Private Endpoint가 설정된 Subnet 이외의 다른 Subnet에서도 접근 가능
    • "Private Endpoint가 설정된 VNet"과 Peering된 VNet은 Private Endpoint에 접근 가능
    • On-premise에서 Private Endpoint의 사설 IP를 목적지 삼아 IP Routing을 활용해 접근 가능
  • Private Endpoint 설정 전후 Traffic Flow 차이
    • 설정 전 : Virtual Machine > NAT Gateway 혹은 VM의 공인 IP > Internet > Azure PaaS 서비스
    • 설정 후 : Virtual Machine > Service Endpoint(Private IP) > Azure Backbone > Azure PaaS 서비스
  • DNS(Private DNS Zone) 설정이 반드시 수반되어야 함
    • Private Endpoint를 지정한다 한들, PaaS 서비스의 FQDN을 호출할 시 여전히 공인 IP를 반환하기에 이에 대한 사설 IP 해석이 필요함
    • 예시 : "myaccount.blob.core.windows.net"에 대한 Private Endpoint가 있어도 여전히 DNS 서버는 공인 IP를 반환
    • 공인 IP가 아닌 사설 IP를 반환하도록 가이드할 DNS Zone 정보가 없기에 발생하는 현상
  • 이러한 이유로 FQDN이 공인 IP가 아닌 사설 IP로 반환하도록 DNS를 재구성 필요(Azure DNS편 참조)
반응형
저작자표시 비영리 변경금지 (새창열림)

'Azure 자격증 쉽게 공부하기 > Microsoft Azure AZ-700 핵심' 카테고리의 다른 글

AZ-700 핵심 #5, IP Address 168.63.129.16  (0) 2025.12.03
AZ-700 핵심 #3, Subnet  (0) 2025.10.20
AZ-700 핵심 #2, Virtual Network(VNet)  (0) 2025.10.16
AZ-700 핵심 #1, Azure의 기본 개념과 Global Network  (0) 2025.10.13

관련글

티스토리툴바