적용 대상:
Azure Data Factory Azure Synapse Analytics
팁
Microsoft Fabric의 데이터 팩토리는 더 간단한 아키텍처, 기본 제공 AI 및 새로운 기능을 갖춘 차세대 Azure 데이터 팩토리입니다. 데이터 통합을 접하는 경우 Fabric Data Factory부터 시작합니다. 기존 ADF 워크로드는 Fabric 업그레이드하여 데이터 과학, 실시간 분석 및 보고 전반에 걸쳐 새로운 기능에 액세스할 수 있습니다.
- Fabric 무료 평가판을 시작합니다.
Microsoft Fabric의 Data Factory로 Azure Data Factory를 업그레이드합니다
조직의 중요한 보안 목표는 인터넷을 이용한 임의 액세스를 통해 온-프레미스 데이터 저장소 또는 클라우드/SaaS 데이터 저장소를 보호하는 데 있습니다.
일반적으로 클라우드 데이터 저장소는 다음과 같은 메커니즘을 사용하여 액세스를 제어합니다.
- 가상 네트워크에서 프라이빗 엔드포인트를 사용하는 데이터 원본에 대한 프라이빗 링크
- IP 주소를 통해 연결을 제한하는 방화벽 규칙
- 사용자에게 자신의 ID를 증명하도록 요구하는 인증 메커니즘
- 특정 작업 및 데이터로 사용자를 제한하는 권한 부여 메커니즘
팁
이제 고정 IP 주소 범위 도입으로 특정 Azure 통합 런타임 리전에 대한 IP 범위를 허용 목록에 등록하여 클라우드 데이터 저장소에 모든 Azure IP 주소를 허용할 필요가 없습니다. 이러한 식으로 데이터 저장소에 액세스할 수 있는 IP 주소를 제한할 수 있습니다.
참고 사항
IP 주소 범위는 Azure Integration Runtime 대해 차단되며 현재 데이터 이동, 파이프라인 및 외부 활동에만 사용됩니다. 이제 관리되는 Virtual Network 사용하도록 설정하는 데이터 흐름 및 Azure Integration Runtime 이러한 IP 범위를 사용하지 않습니다.
이는 많은 시나리오에서 작동해야 하며, integration runtime당 고유한 고정 IP 주소가 바람직하다는 것을 이해하지만 현재 서버리스인 Azure Integration Runtime 사용하면 불가능합니다. 필요한 경우 자체 호스팅된 Integration Runtime을 설정하고 고정 IP를 함께 사용할 수 있습니다.
Azure Data Factory 통한 데이터 액세스 전략
- Private Link - Azure Data Factory 관리되는 Virtual Network 내에 Azure Integration Runtime 만들 수 있으며 프라이빗 엔드포인트를 활용하여 지원되는 데이터 저장소에 안전하게 연결합니다. 가상 네트워크와 데이터 소스 간의 트래픽은 Microsoft 백본 네트워크를 통해 이동하며 공용 네트워크에 노출되지 않습니다.
- Trusted Service - Azure Storage(Blob, ADLS Gen2) 및 Azure Key Vault 신뢰할 수 있는 Azure 플랫폼 서비스를 선택하여 안전하게 액세스할 수 있도록 하는 방화벽 구성을 지원합니다. 신뢰할 수 있는 서비스는 관리 ID 인증을 강제로 적용하며, 관리 ID를 사용하여 스토리지에 연결하도록 승인하지 않는 한 다른 데이터 팩터리는 이 스토리지에 연결할 수 없습니다.
참고 사항
아래 시나리오는 신뢰할 수 있는 서비스 목록에 없습니다.
- 자체 호스팅 통합 런타임 또는 SSIS 통합 런타임 사용
- 다음 활동 유형 중 하나를 사용하세요. > - Webhook > - Custom > - Azure Function
- 다음 커넥터 사용: > - AzureBatch > - AzureFunction > - AzureFile > - OData
참고 사항
Azure Storage 대한 리소스 인스턴스 네트워크 규칙은 자체 호스팅 통합 런타임 및 SSIS 통합 런타임과 같은 사용자 관리 환경에서 지원되지 않습니다.
- 고유 고정 IP - Data Factory 커넥터에 대한 고정 IP를 가져오려면 자체 호스팅 통합 런타임을 설정해야 합니다. 이 메커니즘을 사용하면 다른 모든 IP 주소에서 액세스를 차단할 수 있습니다.
- 고정 IP 범위 - Azure Integration Runtime의 IP 주소를 사용하여 스토리지(예: S3, Salesforce 등)에 허용 목록에 추가할 수 있습니다. 또한 데이터 저장소에 연결할 수 있는 IP 주소를 제한할 뿐만 아니라 인증/권한 부여 규칙도 사용합니다.
- Service Tag - 서비스 태그는 지정된 Azure 서비스의 IP 주소 접두사 그룹(예: Azure Data Factory)을 나타냅니다. Microsoft 서비스 태그에 포함되는 주소 접두사를 관리하고 주소가 변경될 때 서비스 태그를 자동으로 업데이트하여 네트워크 보안 규칙에 대한 빈번한 업데이트의 복잡성을 최소화합니다. Virtual Network IaaS 호스팅 데이터 저장소에서 데이터 액세스를 필터링할 때 유용합니다.
- Azure 서비스 허용 - 일부 서비스에서는 이 옵션을 선택하는 경우 모든 Azure 서비스가 연결할 수 있도록 허용합니다.
Azure Integration Runtime 및 자체 호스팅 Integration Runtime 데이터 저장소에서 지원되는 네트워크 보안 메커니즘에 대한 자세한 내용은 아래 두 테이블을 참조하세요.
애저 통합 런타임
데이터 저장소 데이터 저장소에서 지원되는 네트워크 보안 메커니즘 비공개 링크 신뢰할 수 있는 서비스 고정 IP 범위 서비스 태그 Azure 서비스 허용 PaaS 데이터 저장소 Azure Azure Cosmos DB 예 - 예 - 예 Azure Data Explorer (Azure 데이터 탐색기) - - 예* 예* - Azure Data Lake Gen1 - - 예 - 예 MariaDB, MySQL, PostgreSQL용 Azure 데이터베이스 - - 예 - 예 Azure Files 예 - 예 - . Azure Blob Storage 및 ADLS Gen2 예 예(MSI 인증만 해당) 예 - . Azure SQL DB, Azure Synapse Analytics), SQL ML 예(Azure SQL DB/DW만 해당) - 예 - 예 Azure Key Vault(비밀 가져오기/ connection string) 예 예 예 - - 그 외 PaaS/SaaS 데이터 저장소 AWS S3, SalesForce, Google Cloud Storage 등 - - 예 - - 눈송이 예 - 예 - - Azure IaaS SQL Server, Oracle 등 - - 예 예 - 온-프레미스 IaaS SQL Server, Oracle 등 - - 예 - - * Azure Data Explorer가 가상 네트워크에 삽입된 경우에만 적용되며, IP 범위는 NSG/Firewall에 적용할 수 있습니다.
자체 호스팅 통합 런타임(VNet 내부/온-프레미스)
데이터 저장소 데이터 저장소에서 지원되는 네트워크 보안 메커니즘 고정 IP 신뢰할 수 있는 서비스 PaaS 데이터 저장소 Azure Azure Cosmos DB 예 - Azure Data Explorer (Azure 데이터 탐색기) - - Azure Data Lake Gen1 예 - MariaDB, MySQL, PostgreSQL용 Azure 데이터베이스 예 - Azure Files 예 - Azure Blob Storage 및 ADLS Gen2 예 - Azure SQL DB, Azure Synapse Analytics), SQL ML 예 - Azure Key Vault(비밀 가져오기/ connection string) 예 - 그 외 PaaS/SaaS 데이터 저장소 AWS S3, SalesForce, Google Cloud Storage 등 예 - Azure IaaS SQL Server, Oracle 등 예 - 내부 설치형 인프라 서비스 (IaaS) SQL Server, Oracle 등 예 -
관련 콘텐츠
자세한 내용은 다음 관련 문서를 참조하세요.