1. 개요
이번에는 Private DNS Zone이라는 녀석입니다.
보통 회사에서 DB는 내부 전용으로 구성하고 운영합니다.
Azure에서 제공하는 Private Endpoint + Private DNS Zone을 활용하면 해당 리소스를 VNet 내부의 사설 IP로 연결하여 외부망을 완전히 차단한 상태로 사용할 수 있습니다.
2. 구성 요소
draw.io로 열심히 그린 구성도입니다.
3. 진행 과정
VNet 생성 및 서브넷 설정
VNet을 먼저 생성해 줍니다.
당연하지만 구독과 리소스 그룹은 같은 리전에 있어야 합니다
다른 리전으로 분리되면 Private Endpoint 연결이 실패됩니다.
주소 공간은 10.10.0.0/16으로 설정했습니다.
두 개의 서브넷을 아래와 같이 구성해 줍니다.
| 이름 | 주소 범위 | 용도 |
| subnet-vm | 10.10.1.0/24 | VM 배치용 |
| subnet-pe | 10.10.2.0/24 | Private Endpoint용 |
위까지 완료하면 내부 네트워크의 기본 골격은 완성입니다.
VM 배포
이제 만든 VNet에 붙여줄 VM을 만들어줍니다.
이 VM은 내부망에 위치하게 될 것이고 Private Endpoint를 통해 같은 VNet내의 SQL Database에 접근할 수 있습니다.
SQL Database 생성
SQL Database 메뉴로 이동해서 만들기를 클릭합니다.
새로운 SQL Server를 함께 생성합니다.
인증 방식은 SQL 인증으로 선택하여 로그인 계정과 비밀번호를 지정해 줍니다.
이 계정이 VM에서 SSMS로 연결할 때 인증할 정보가 됩니다.
연결 방법은 퍼블릭 엔드포인트로 두고 공개 접속은 잠시 허용한 뒤 나중에 Private Endpoint로 연결할 예정입니다.
만들어줍니다.
Private Endpoint 및 Private DNS Zone 구성
이번 실습의 핵심들입니다.
만들어진 SQL DB에서 네트워킹 부분을 클릭해 줍니다.
왼쪽 메뉴에서 네트워킹 → 프라이빗 액세스 탭을 선택합니다.
그다음 프라이빗 엔드포인트 만들기를 클릭합니다
이름과 리전을 적절하게 선택해 준 뒤...
다음 단계에서 연결할 대상 리소스를 선택합니다.
이제 프라이빗 엔드포인트를 어느 VNet/Subnet에 배치할지 선택합니다.
- 가상 네트워크: TerrywooVNet
- 서브넷: subnet-pe (10.10.2.0/24)
엔드포인트는 subnet-pe 내부 IP를 하나 자동으로 할당받아
VNet 내부 자원(VM 등)에서 전용 경로를 통해 SQL 서버로 트래픽을 보낼 수 있습니다.
Public Network 비활성화
SQL Database 리소스에서
상단의 서버 이름을 클릭해 SQL Server 리소스로 이동합니다.
네트워킹 → 공용 액세스 → 사용 안 함으로 설정해 줍니다.
내부 DNS 확인 및 프라이빗 연결 검증
Public Access를 비활성화한 상태에서, VNet 내부 VM(vm-terry)에서 SQL Database가
정상적으로 Private IP로 이름 해석되는지 확인해줘야 합니다.
왜 모자이크 한 지는 모르겠으나;; 저 공용 IP를 복사해서 mstsc로 접속해 줍니다.
저 서버 이름을 복사해 준 뒤...
접속한 VM에서 nslookup <서버 이름>으로 조회했을 때 다음과 같이 내부 IP로 표시되면 성공입니다.
또한 외부망 (로컬 PC)에서 동일하게 시도했을 때는 다음과 같이 권한 없는 응답으로 나오게 됩니다.
로컬 PC의 SSMS로 SQL 인증으로 DB에 접속하려 했을 때도
다음과 같이 확실하게 차단된 모습을 확인할 수 있었습니다.
이번 실습에서는 Azure SQL Database를
Public Access 없이, 오직 Private Endpoint와 Private DNS Zone을 통해
내부 네트워크로만 접근 가능한 구조로 구성해봤습니다
Azure의 네트워크 보안은 생각보다 깊고 섬세한 모습을 볼 수 있었습니다.
AWS로도 동일한 시나리오로 구성해볼까 합니다.
<참고 자료>
What is an Azure Private DNS zone? | Microsoft Learn
What is an Azure Private DNS zone?
Overview of Private DNS zones
learn.microsoft.com
Azure Private Link란? | Microsoft Learn
Azure Private Link란?
Azure Private Link 기능, 아키텍처 및 구현에 대한 개요입니다. Azure 프라이빗 엔드포인트와 Azure Private Link 서비스의 작동 방식 및 사용 방법을 알아봅니다.
learn.microsoft.com
프라이빗 엔드포인트란? - Azure Private Link | Microsoft Learn
프라이빗 엔드포인트란? - Azure Private Link
이 문서에서는 Azure Private Link의 프라이빗 엔드포인트 기능을 사용하는 방법을 알아봅니다.
learn.microsoft.com
'Azure > Azure Infra & Networking' 카테고리의 다른 글
| Azure Networking - Azure Firewall로 DNAT/SNAT 구성하기 (0) | 2025.12.01 |
|---|---|
| Azure Networking - UDR으로 경로 지정하기 (0) | 2025.11.05 |
| Azure Networking - VNet Peering (0) | 2025.10.20 |
| Azure Networking - DMZ/Internal Subnet으로 2-Tier 구성 (0) | 2025.10.17 |
| Azure Policy (0) | 2025.03.20 |
