Tip
Microsoft Fabric Data Warehouse는 데이터 레이크 기반의 엔터프라이즈 규모 관계형 웨어하우스로, 미래 대비 아키텍처, 기본 제공 AI 및 새로운 기능을 제공합니다. 데이터 웨어하우징이 처음이라면, Fabric Data Warehouse부터 시작하세요. 기존 전용 SQL 풀 워크로드는 업그레이드하면 Fabric을 통해 데이터 과학, 실시간 분석 및 보고 전반에 걸쳐 새로운 기능에 액세스할 수 있습니다.
예를 들어 mysqlserver라는 Azure Synapse Analytics 새 논리 서버를 만들 때 서버 수준 방화벽은 논리 서버 공용 엔드포인트에 대한 모든 액세스를 차단합니다. Azure Synapse 서버 수준 IP 방화벽 규칙을 지원합니다. Azure Synapse Analytics 작업 영역의 전용 SQL 풀은 논리 SQL 서버를 사용하지 않으며 작업 영역 수준 방화벽이 있습니다.
- Azure SQL Database 서버 및 데이터베이스 IP 방화벽 규칙에 대한 자세한 내용은
Azure SQL Database IP 방화벽 규칙 - Azure SQL Managed Instance의 네트워크 구성에 대한 자세한 내용은 애플리케이션을 Azure SQL Managed Instance에 연결을(를) 참조하세요.
방화벽 작동 방식
인터넷 및 Azure 연결 시도는 서버 또는 데이터베이스에 도달하기 전에 방화벽을 통과해야 합니다.
서버 수준 IP 방화벽 규칙
이러한 규칙을 통해 클라이언트는 전체 서버, 즉 서버에서 관리하는 모든 데이터베이스에 액세스할 수 있습니다. 규칙은 데이터베이스에 master 저장됩니다. 서버 수준 IP 방화벽 규칙의 최대 수는 서버에 대해 256개로 제한됩니다.
이 서버에 액세스할 수 있는 Azure 서비스 및 리소스 허용 설정이 설정된 경우 이는 서버에 대한 단일 방화벽 규칙으로 간주됩니다.
Azure 포털, PowerShell 또는 Transact-SQL 문을 사용하여 서버 수준 IP 방화벽 규칙을 구성할 수 있습니다.
메모
Azure 포털을 사용하여 구성할 때 서버 수준 IP 방화벽 규칙의 최대 수는 256개로 제한됩니다.
- Portal 또는 PowerShell을 사용하려면 구독 소유자 또는 구독 기여자여야 합니다.
- Transact-SQL을 사용하려면 서버 수준의 주 로그인 또는 Microsoft Entra 관리자 자격으로
master데이터베이스에 연결해야 합니다. (서버 수준 IP 방화벽 규칙은 먼저 Azure 수준의 권한이 있는 사용자가 만들어야 합니다.)
메모
기본적으로 Azure 포털에서 새 논리 SQL 서버를 만드는 동안 Azure 서비스 및 리소스가 이 서버에 액세스하도록 허용 설정은 No로 설정됩니다.
방화벽 규칙을 설정하는 방법에 대한 권장 사항
액세스 요구 사항이 동일한 데이터베이스가 많고 각 데이터베이스를 개별적으로 구성하지 않으려는 경우 서버 수준 IP 방화벽 규칙을 사용합니다.
인터넷에서 연결
컴퓨터가 인터넷에서 서버에 연결하려고 하면 방화벽이 먼저 요청의 원래 IP 주소를 확인합니다.
- 주소가 서버 수준 IP 방화벽 규칙의 범위 안에 있을 경우, 연결이 허용됩니다.
- 서버 수준 IP 방화벽 규칙은 서버가 관리하는 모든 데이터베이스에 적용됩니다.
- 주소가 서버 수준 IP 방화벽 규칙에 있는 범위 내에 있지 않으면 연결 요청이 실패합니다.
Permissions
IP 방화벽 규칙을 만들고 관리하려면 다음 역할 중 하나가 있어야 합니다.
- SQL Server 기여자 역할
- SQL Security Manager 역할에서
- 리소스의 소유자
IP 방화벽 규칙 만들기 및 관리
Azure 포털을 사용하거나 Azure PowerShell, Azure CLI 또는 Azure REST API를 사용하여 프로그래밍 방식으로 첫 번째 서버 수준 방화벽 설정을 만듭니다. 이러한 메서드 또는 Transact-SQL 사용하여 추가 서버 수준 IP 방화벽 규칙을 만들고 관리합니다. Azure Synapse는 서버 수준 IP 방화벽 규칙만 지원합니다. 데이터베이스 수준의 IP 방화벽 규칙을 지원하지 않습니다.
Tip
Azure 포털을 사용하여 서버 수준 IP 방화벽 규칙 관리
Azure 포털에서 서버 수준 IP 방화벽 규칙을 설정하려면 논리 서버의 Overview 페이지로 이동합니다.
네트워킹 페이지로 이동합니다.
방화벽 규칙 섹션에 규칙을 추가하여 사용 중인 컴퓨터의 IP 주소를 추가한 다음 저장을 선택합니다. 현재 IP 주소에 대한 서버 수준 IP 방화벽 규칙이 생성됩니다.
Transact-SQL 사용하여 IP 방화벽 규칙 관리
| 카탈로그 뷰 또는 저장 프로시저 | Level | Description |
|---|---|---|
| sp_set_firewall_rule | 서버 | 서버 수준 IP 방화벽 규칙을 생성 및 업데이트합니다. |
| sp_delete_firewall_rule | 서버 | 서버 수준 IP 방화벽 규칙을 제거합니다. |
서버 수준 IP 방화벽 규칙을 추가하려면
EXECUTE sp_set_firewall_rule @name = N'ContosoFirewallRule',
@start_ip_address = '192.168.1.1', @end_ip_address = '192.168.1.10'
서버 수준 IP 방화벽 규칙을 삭제하려면 저장 프로시저를 sp_delete_firewall_rule 실행합니다. 다음 예제에서는 규칙을 ContosoFirewallRule삭제합니다.
EXECUTE sp_delete_firewall_rule @name = N'ContosoFirewallRule'
PowerShell을 사용하여 서버 수준 IP 방화벽 규칙 관리
메모
이 문서에서는 Azure와 상호 작용하기 위해 권장되는 PowerShell 모듈인 Azure Az PowerShell 모듈을 사용합니다. Az PowerShell 모듈을 시작하려면 Azure PowerShell 설치를 참조하세요. Az PowerShell 모듈로 마이그레이션하는 방법을 알아보려면 Azure PowerShell을 AzureRM에서 Az로 마이그레이션을 참조하세요.
Important
PowerShell Azure Resource Manager(AzureRM) 모듈은 2024년 2월 29일에 사용 중단되었습니다. 향후 모든 개발에서는 Az.Sql 모듈을 사용해야 합니다. 사용자는 지속적인 지원 및 업데이트를 보장하기 위해 AzureRM에서 Az PowerShell 모듈로 마이그레이션하는 것이 좋습니다. AzureRM 모듈은 더 이상 유지 관리되거나 지원되지 않습니다. Az PowerShell 모듈 및 AzureRM 모듈의 명령에 대한 인수는 상당히 동일합니다. 호환성에 대한 자세한 내용은 새 Az PowerShell 모듈소개를 참조하세요.
| Cmdlet (커맨드렛) | Level | Description |
|---|---|---|
| Get-AzSynapseFirewallRule | 서버 | Synapse Analytics 방화벽 규칙을 반환합니다. |
| New-AzSynapseFirewallRule | 서버 | Synapse Analytics 방화벽 규칙을 만듭니다. |
| Remove-AzSynapseFirewallRule | 서버 | Synapse Analytics 방화벽 규칙을 제거합니다. |
| Update-AzSynapseFirewallRule | 서버 | Synapse Analytics 방화벽 규칙을 업데이트합니다. |
CLI를 사용하여 서버 수준 IP 방화벽 규칙 관리
| Cmdlet (커맨드렛) | Level | Description |
|---|---|---|
| az synapse sql | SQL 풀을 관리합니다. | |
| az synapse workspace firewall-rule | 작업 영역의 방화벽 규칙을 관리합니다. |
작업 영역 수준 방화벽 규칙은 다음을 참조하세요.
| Cmdlet (커맨드렛) | Level | Description |
|---|---|---|
| az synapse workspace firewall-rule create | 서버 | 방화벽 규칙을 만들기 |
| az synapse workspace firewall-rule delete 명령어는 Synapse 작업 공간의 방화벽 규칙을 삭제합니다. | 서버 | 방화벽 규칙 삭제 |
| az synapse workspace firewall-rule list | 서버 | 모든 방화벽 규칙 나열 |
| az synapse workspace firewall-rule show (명령어: Synapse 작업 공간의 방화벽 규칙을 표시합니다) | 서버 | 방화벽 규칙 가져오기 |
| az synapse 작업 공간 방화벽 규칙 업데이트 | 서버 | 방화벽 규칙 업데이트 |
| az synapse 작업 영역 방화벽 규칙 대기 | 서버 | 방화벽 규칙의 조건이 충족될 때까지 CLI를 대기 상태로 설정합니다 |
다음 예제에서는 CLI를 사용하여 Azure Synapse 서버 수준 IP 방화벽 규칙을 설정합니다.
az synapse workspace firewall-rule create --name AllowAllWindowsAzureIps --workspace-name $workspacename --resource-group $resourcegroupname --start-ip-address 0.0.0.0 --end-ip-address 0.0.0.0
REST API를 사용하여 서버 수준 IP 방화벽 규칙 관리
| Command | Description |
|---|---|
| Sql 풀 | Synapse SQL 풀 관리. |
| IP 방화벽 규칙 | Synapse Ip 방화벽 규칙 관리. |
방화벽 업데이트의 대기 시간 이해
데이터베이스가 포함되어 있지 않고 장애 조치(failover) 파트너가 없는 한 서버 인증 모델은 보안 설정에 대한 모든 변경 내용에 대해 5분의 대기 시간을 갖습니다. 장애 조치(failover) 파트너 없이 포함된 데이터베이스에 대한 변경 내용은 즉시 적용됩니다. 장애 조치(failover) 파트너가 있는 포함된 데이터베이스의 경우 각 보안 업데이트는 주 데이터베이스에서 즉시 수행되지만 보조 데이터베이스는 변경 내용을 반영하는 데 최대 5분이 걸릴 수 있습니다.
다음 표에서는 데이터베이스 유형 및 장애 조치(failover) 구성에 따라 보안 설정 변경의 대기 시간을 설명합니다.
| 인증 모델 | 구성 완료된 failover(장애 조치) | 보안 설정 변경에 대한 대기 시간 | 대기 인스턴스 |
|---|---|---|---|
| 서버 인증 | Yes | 5분 | 모든 데이터베이스 |
| 서버 인증 | No | 5분 | 모든 데이터베이스 |
| 포함된 데이터베이스 | Yes | 5분 | 보조 데이터베이스 |
| 포함된 데이터베이스 | No | 없음 | 없음 |
수동으로 방화벽 규칙 새로 고침
5분 대기 시간보다 더 빠르게 업데이트된 방화벽 규칙을 확인해야 하는 경우 방화벽 규칙을 수동으로 새로 고칠 수 있습니다. 규칙을 업데이트해야 하는 데이터베이스 인스턴스에 로그인하고 DBCC FLUSHAUTHCACHE를 실행합니다. 이로 인해 데이터베이스 인스턴스가 로컬 캐시를 플러시하고 방화벽 규칙을 새로 고칩니다.
DBCC FLUSHAUTHCACHE[;]
방화벽 문제 해결
액세스가 예상대로 작동하지 않는 경우 다음 사항을 고려합니다.
로컬 방화벽 구성:
컴퓨터에서 전용 SQL 풀에 액세스하려면 TCP 포트 1433에 대한 방화벽 예외를 컴퓨터에 만들어야 할 수 있습니다. Azure 클라우드 경계 내에서 연결하려면 추가 포트를 열어야 할 수 있습니다.
네트워크 주소 변환:
NAT(네트워크 주소 변환)로 인해 컴퓨터에서 Azure Synapse Analytics 연결하는 데 사용하는 IP 주소는 컴퓨터의 IP 구성 설정에 있는 IP 주소와 다를 수 있습니다. 컴퓨터에서 Azure에 연결하는 데 사용하는 IP 주소를 보려면
- 포털에 로그인합니다.
- 데이터베이스를 호스팅하는 서버에서 구성 탭으로 이동합니다.
- 현재 클라이언트 IP 주소는 허용된 IP 주소 섹션에 표시됩니다. 허용된 IP 주소에 대한 추가를 선택하여 이 컴퓨터가 서버에 액세스할 수 있도록 합니다.
허용 목록의 변경 내용은 아직 적용되지 않았습니다.
Azure Synapse Analytics 방화벽 구성 변경 내용이 적용되려면 최대 5분 정도 지연될 수 있습니다.
로그인에 권한이 없거나 잘못된 암호가 사용되었습니다.
로그인에 서버에 대한 사용 권한이 없거나 사용한 암호가 잘못된 경우 서버 연결이 거부됩니다. 방화벽 설정을 만들면 클라이언트가 서버에 연결할 수 있는 기회 만 제공됩니다. 클라이언트는 꼭 필요한 보안 자격 증명을 제공해야 합니다. 자세한 내용은 Azure Synapse Analytics 연결 설정 참조하세요.
동적 IP 주소:
동적 IP 주소를 사용하는 인터넷 연결이 있고 방화벽을 통과하는 데 문제가 있는 경우 다음 해결 방법 중 하나를 시도합니다.
- 인터넷 서비스 공급자에게 서버에 액세스하는 클라이언트 컴퓨터에 할당된 IP 주소 범위를 요청합니다. 해당 IP 주소 범위를 IP 방화벽 규칙으로 추가합니다.
- 클라이언트 컴퓨터 대신 고정 IP 주소를 얻습니다. IP 주소를 IP 방화벽 규칙으로 추가합니다.