Azure SQL Managed Instance 대한 서비스 엔드포인트 정책 구성

적용 대상:Azure SQL Managed Instance

VNet(가상 네트워크) 서브넷의 Azure Storage 서비스 엔드포인트에 서비스 엔드포인트 정책을 사용하여 송신 가상 네트워크 트래픽을 필터링하여 Azure Storage 특정 스토리지 계정으로 데이터 전송을 제한할 수 있습니다.

주요 이점

Azure SQL Managed Instance Virtual Network Azure Storage 서비스 엔드포인트 정책을 구성하면 다음과 같은 이점이 제공됩니다.

• Azure Storage: 엔드포인트 정책은 중요 비즈니스용 데이터의 잘못되거나 악의적인 반출을 방지하는 보안 제어를 설정합니다. 데이터 거버넌스 요구 사항을 준수하는 스토리지 계정으로만 트래픽을 제한할 수 있습니다.

• 액세스할 수 있는 스토리지 계정에 대한 세분화된 제어: 서비스 엔드포인트 정책은 구독, 리소스 그룹, 개별 스토리지 계정 수준에서 스토리지 계정에 대한 트래픽을 허용할 수 있습니다. 관리자는 서비스 엔드포인트 정책을 사용하여 Azure 조직의 데이터 보안 아키텍처를 준수할 수 있습니다.

• 시스템 트래픽은 영향을 받지 않습니다: 서비스 엔드포인트 정책은 Azure SQL Managed Instance 작동하는 데 필요한 스토리지에 대한 액세스를 방해하지 않습니다. 이 스토리지에는 백업, 데이터 파일, 트랜잭션 로그 파일 및 기타 자산이 포함됩니다.

서비스 엔드포인트 정책은 SQL Managed Instance 서브넷에서 시작되고 Azure Storage 종료되는 트래픽만 제어합니다. 다른 데이터 송신 수단에는 영향을 주지 않습니다. 예를 들어 데이터베이스를 온-프레미스 BACPAC 파일, Azure Data Factory 통합, 다른 클라우드 공급자로의 데이터 반출 또는 Azure Storage 직접 대상으로 지정하지 않는 다른 데이터 추출 메커니즘으로 내보내는 데는 영향을 주지 않습니다. 사용자 정의 경로, 네트워크 보안 그룹 및 Azure Firewall 같은 다른 교통 제어 수단을 사용하여 이러한 경로를 보호할 수 있습니다.

제한 사항

Azure SQL Managed Instance 대한 서비스 엔드포인트 정책에는 다음과 같은 제한 사항이 있습니다.

• 관리되는 인스턴스 서브넷의 Azure Storage 대한 서비스 엔드포인트 정책은 서비스 엔드포인트 정책 지역별 가용성 나열된 정책을 제외하고 SQL Managed Instance 지원되는 모든 Azure 지역에서 사용할 수 있습니다.
• 이 기능은 Azure Resource Manager 배포 모델을 통해 배포된 가상 네트워크에서만 사용할 수 있습니다.
• 이 기능은 Azure Storage 사용하도록 설정된 서비스 엔드포인트 서브넷에서만 사용할 수 있습니다.
• 서비스 엔드포인트에 서비스 엔드포인트 정책을 할당하면 엔드포인트가 지역에서 전역 범위로 업그레이드됩니다. 즉, Azure Storage 모든 트래픽은 스토리지 계정이 있는 지역에 관계없이 서비스 엔드포인트를 통과합니다.
• 스토리지 계정을 허용하면 RA-GRS 보조 데이터베이스에 대한 액세스가 자동으로 허용됩니다(있는 경우).

스토리지 인벤토리 준비

서브넷에서 서비스 엔드포인트 정책을 구성하기 전에 관리되는 인스턴스가 해당 서브넷에 액세스해야 하는 스토리지 계정 목록을 만듭니다.

다음 워크플로는 Azure Storage 연결할 수 있습니다.

• Azure SQL Managed Instance의 SQL Server 감사를 Azure Storage에 저장.
• Azure Storage에 복사 전용 백업 수행
• Azure Storage에서 데이터베이스를 복원하는 것.
• BULK INSERT 또는 OPENROWSET(BULK ...)을 사용하여 데이터를 가져옵니다.
• Azure Storage 이벤트 파일 대상에 확장 이벤트 로깅
• Azure DMS 오프라인 마이그레이션을 Azure SQL 관리 인스턴스로
• Azure SQL Managed Instance로 Log Replay Service 마이그레이션.
• 트랜잭션 복제를 사용하여 테이블 동기화

이러한 워크플로 또는 스토리지에 액세스하는 다른 워크플로에 참여하는 모든 스토리지 계정에 대한 계정 이름, 리소스 그룹 및 구독을 확인합니다.

정책 구성

먼저 서비스 엔드포인트 정책을 만든 다음 SQL Managed Instance 서브넷과 연결합니다. 비즈니스 요구 사항에 맞게 이 섹션에서 워크플로를 수정합니다.

서비스 엔드포인트 정책 만들기

서비스 엔드포인트 정책을 만들려면 다음 단계를 수행합니다.

1. Azure 포털 로그인합니다.

2. + 리소스 만들기를 선택합니다.

3. 검색 창에 서비스 엔드포인트 정책을 입력하고, 서비스 엔드포인트 정책을 선택한 다음, 만들기를 선택합니다.

   

4. 기본 사항 페이지에서 다음 값을 입력합니다.

   • 구독: 드롭다운에서 정책에 대한 구독을 선택합니다.
   • 리소스 그룹: 관리형 인스턴스가 있는 리소스 그룹을 선택하거나, 새로 만들기를 선택하고 새 리소스 그룹의 이름을 입력합니다.
   • 이름: mySEP와 같은 정책의 이름을 입력합니다.
   • 위치: 관리형 인스턴스를 호스트하는 가상 네트워크의 지역을 선택합니다.

   

5. 정책 정의에서 별칭 추가를 선택하고 별칭 추가 창에 다음 정보를 입력합니다.

   • 서비스 별칭: /Services/Azure/ManagedInstance를 선택합니다.
   • 추가를 선택하여 서비스 별칭 추가를 완료합니다.

   

6. 정책 정의에서 리소스 아래에서 + 추가를 선택하고 리소스추가 창에서 다음 정보를 입력하거나 선택합니다.

   • 서비스: Microsoft.Storage를 선택합니다.
   • 범위: 구독의 모든 계정을 선택합니다.
   • 구독: 허용할 스토리지 계정이 포함된 구독을 선택합니다. 이전에 만든 Azure 스토리지 계정 목록을 확인하세요.
   • 추가를 선택하여 리소스 추가를 완료합니다.
   • 이 단계를 반복하여 구독을 더 추가합니다.

   

7. (선택 사항) 태그 아래의 서비스 엔드포인트 정책에서 태그를 구성합니다.

8. 검토 + 생성를 선택합니다. 정보의 유효성을 검사하고 만들기를 선택합니다. 추가로 편집하려면 이전을 선택합니다.

정책을 서브넷과 연결

서비스 엔드포인트 정책을 만든 후 정책을 SQL Managed Instance 서브넷과 연결합니다.

정책을 연결하려면 다음 단계를 수행합니다.

1. Azure Portal의 모든 서비스 상자에서 가상 네트워크 검색합니다. 가상 네트워크를 선택합니다.

2. 관리형 인스턴스를 호스트하는 가상 네트워크를 찾고 선택합니다.

3. 서브넷을 선택하고 관리형 인스턴스 전용 서브넷을 선택합니다. 서브넷 창에 다음 정보를 입력합니다.

   • 서비스: Microsoft.Storage를 선택합니다. 이 필드가 비어 있는 경우 이 서브넷에서 Azure Storage 서비스 엔드포인트를 구성해야 합니다.
   • 서비스 엔드포인트 정책: SQL Managed Instance 서브넷에 적용하려는 서비스 엔드포인트 정책을 선택합니다.

   

4. 저장을 선택하여 가상 네트워크 구성을 완료합니다.

관련 콘텐츠

• Azure Storage 계정 보안
• SQL Managed Instance 보안 기능
• Azure SQL Managed Instance를 위한 연결 아키텍처