서비스 태그는 지정된 Azure 서비스의 IP 주소 접두사 그룹을 나타냅니다. Microsoft는 서비스 태그에 포함되는 주소 접두사를 관리하고 주소가 변경되면 서비스 태그를 자동으로 업데이트하여 네트워크 보안 규칙을 자주 업데이트할 때 발생하는 복잡성을 최소화합니다.
서비스 태그는 다음을 통해 Azure에서 네트워크 보안 구성을 간소화합니다.
- Azure 서비스의 IP 주소를 수동으로 추적하고 업데이트할 필요가 없습니다.
- Azure 서비스 IP 범위가 변경되면 자동 업데이트 제공
- 보안 규칙 관리의 복잡성 감소
- Azure 서비스와의 네트워크 트래픽을 세부적으로 제어할 수 있도록 설정
서비스 태그를 사용하여 네트워크 보안 그룹, Azure Firewall 및 사용자 정의 경로에서 네트워크 액세스 제어를 정의할 수 있습니다. 보안 규칙 및 경로를 만들 때 특정 IP 주소 대신 서비스 태그를 사용합니다.
중요
서비스 태그는 IP 기반 ACL(액세스 제어 목록)을 사용하도록 설정하는 기능을 간소화하지만 서비스 태그만으로는 서비스의 특성과 전송되는 트래픽을 고려하지 않고 트래픽을 보호하는 데 충분하지 않습니다. IP 기반 ACL에 대한 자세한 내용은 IP 기반 ACL(액세스 제어 목록)이란?을 참조하세요.
트래픽의 특성에 대한 추가 정보는 각 서비스 및 해당 태그에 대한 이 문서의 뒷부분에서 확인할 수 있습니다. IP 기반 ACL에 대한 서비스 태그를 활용할 때 허용하는 트래픽에 익숙해지도록 하는 것이 중요합니다. 환경을 보호하기 위해 보안 수준을 추가하는 것이 좋습니다.
서비스 태그의 작동 방식
보안 규칙의 적절한 원본 또는 대상 필드에 서비스 태그 이름(예: ApiManagement)을 지정하는 경우 해당 서비스에 대한 트래픽을 허용하거나 거부합니다. 서비스 태그에는 해당 서비스에서 사용하는 모든 현재 및 이후 IP 주소 범위가 자동으로 포함됩니다.
서비스 태그로 캡슐화된 접두사에 대한 트래픽을 원하는 다음 홉 형식으로 라우팅할 수 있습니다. 경로의 주소 접두사에 서비스 태그 이름을 지정합니다.
일반적인 사용 사례
서비스 태그는 다음을 도와줍니다.
- 네트워크 격리 달성: 공용 엔드포인트가 있는 Azure 서비스에 액세스하는 동안 일반 인터넷에서 Azure 리소스 보호
- 보안 규칙 간소화: 개별 IP 주소를 관리하지 않고 규칙 만들기
- 자동 업데이트 확인: 수동 개입 없이 Azure 서비스 IP 범위를 최신 상태로 유지
예를 들어 다음과 같은 인바운드/아웃바운드 네트워크 보안 그룹 규칙을 만들 수 있습니다.
- 인터넷으로/인터넷에서 트래픽 거부
- AzureCloud 또는 특정 Azure 서비스의 사용 가능한 기타 서비스 태그로/에서 트래픽 허용
사용 가능한 서비스 태그
다음 표에는 네트워크 보안 그룹 규칙에서 사용할 수 있는 모든 서비스 태그가 포함되어 있습니다.
열은 태그가 다음에 해당하는지 여부를 나타냅니다.
- 인바운드 또는 아웃바운드 트래픽을 포함하는 규칙에 적합합니다.
- 지역 범위를 지원합니다.
- Azure Firewall 규칙에서 인바운드 또는 아웃바운드 트래픽에 대해서만 대상 규칙으로 사용할 수 있습니다.
기본적으로 서비스 태그는 전체 클라우드의 범위를 반영합니다. 일부 서비스 태그는 해당 IP 범위를 지정된 지역으로 제한하여 보다 자세히 제어할 수 있습니다. 예를 들어 서비스 태그 Storage 는 전체 클라우드에 대한 Azure Storage를 나타내지만 Storage.WestUS 는 범위를 WestUS 지역의 스토리지 IP 주소 범위로만 좁혀줍니다. 다음 표에서는 각 서비스 태그가 이러한 지역 범위를 지원하는지 여부를 나타내며 각 태그에 대해 나열된 방향이 권장 사항입니다. 예를 들어 AzureCloud 태그를 사용하여 인바운드 트래픽을 허용할 수 있습니다. 대부분의 시나리오에서는 다른 Azure 고객이 사용하는 IP가 서비스 태그의 일부로 포함되어 있으므로 모든 Azure IP의 트래픽을 허용하지 않는 것이 좋습니다.
태그 | 목적 | 인바운드 또는 아웃바운드를 사용할 수 있나요? | 지역적일 수 있나요? | Azure Firewall에서 사용할 수 있나요? |
---|---|---|---|---|
ActionGroup | 작업 그룹입니다. | 인바운드 | 아니요 | 예 |
ApiManagement | Azure API Management 전용 배포에 대한 관리 트래픽입니다. 참고: 이 태그는 지역당 컨트롤 플레인에 대한 Azure API Management 서비스 엔드포인트를 나타냅니다. 이 태그를 사용하면 고객이 API Management 서비스에 구성된 API, 작업, 정책, 명명된 값에 대해 관리 작업을 수행할 수 있습니다. |
인바운드 | 예 | 예 |
애플리케이션 인사이트 가용성 (ApplicationInsightsAvailability) | Application Insights 가용성입니다. | 인바운드 | 아니요 | 예 |
AppConfiguration | 앱 구성입니다. | 아웃바운드 | 아니요 | 예 |
AppService | Azure App Service 이 태그는 웹앱 및 함수 앱에 대한 아웃바운드 보안 규칙에 권장됩니다. 참고: 이 태그는 IP 기반 SSL(앱 할당 주소)을 사용할 때 할당된 IP 주소를 포함하지 않습니다. |
아웃바운드 | 예 | 예 |
AppServiceManagement | App Service Environment 전용 배포에 대한 관리 트래픽입니다. | 모두 | 아니요 | 예 |
AzureActiveDirectory | Microsoft Entra ID Services. 이 태그에는 이 표에 나열되지 않은 로그인, MS Graph 및 기타 Microsoft Entra 서비스가 포함됩니다. | 아웃바운드 | 아니요 | 예 |
AzureActiveDirectoryDomainServices | Microsoft Entra Domain Services 전용 배포에 대한 관리 트래픽입니다. | 모두 | 아니요 | 예 |
AzureAdvancedThreatProtection | Microsoft Defender for Identity | 아웃바운드 | 아니요 | 예 |
AzureArcInfrastructure | Azure Arc 지원 서버, Azure Arc 지원 Kubernetes 및 게스트 구성 트래픽. 참고: 이 태그는 AzureActiveDirectory, AzureTrafficManager 및 AzureResourceManager 태그에 종속됩니다. |
아웃바운드 | 아니요 | 예 |
AzureAttestation | Azure Attestation. | 아웃바운드 | 아니요 | 예 |
AzureBackup | Azure Backup. 참고: 이 태그는 Storage 및 AzureActiveDirectory 태그에 종속됩니다. |
아웃바운드 | 아니요 | 예 |
AzureBotService | Azure Bot Service | 모두 | 아니요 | 예 |
AzureCloud | 모든 데이터 센터 공용 IP 주소. 이 태그에는 IPv6이 포함되지 않습니다. | 모두 | 예 | 예 |
AzureCognitiveSearch | Azure AI 검색 기능입니다. 이 태그는 인덱서 기반 인덱싱을 위해 검색 서비스에서 사용하는 다중 테넌트 실행 환경 의 IP 범위를 지정합니다. 참고: 검색 서비스 자체의 IP는 이 서비스 태그에서 다루지 않습니다. Azure 리소스의 방화벽 구성에서는 서비스 태그와 검색 서비스 자체의 특정 IP 주소도 지정해야 합니다. |
인바운드 | 아니요 | 예 |
AzureConnectors | 이 태그는 Azure Logic Apps 서비스에 대한 인바운드 웹후크 콜백과 Azure Storage 또는 Azure Event Hubs와 같은 해당 서비스에 대한 아웃바운드 호출을 수행하는 관리되는 커넥터의 IP 주소를 나타냅니다. | 모두 | 예 | 예 |
AzureContainerRegistry | Azure Container Registry입니다. | 아웃바운드 | 예 | 예 |
AzureCosmosDB | Azure Cosmos DB | 아웃바운드 | 예 | 예 |
AzureDatabricks | Azure Databricks입니다. | 모두 | 아니요 | 예 |
AzureDataExplorerManagement | Azure Data Explorer 관리 기능입니다. | 인바운드 | 아니요 | 예 |
AzureDeviceUpdate | IoT Hub용 디바이스 업데이트. | 모두 | 아니요 | 예 |
AzureDevOps | Azure DevOps | 인바운드 | 예 | 예 |
AzureDigitalTwins | Azure Digital Twins. 참고: 이 태그 또는 이 태그에서 다루는 IP 주소를 사용하여 이벤트 경로에 대해 구성된 엔드포인트에 대한 액세스를 제한할 수 있습니다. |
인바운드 | 아니요 | 예 |
AzureEventGrid | Azure Event Grid. | 모두 | 아니요 | 예 |
AzureFrontDoor.Frontend AzureFrontDoor.Backend AzureFrontDoor.FirstParty AzureFrontDoor.MicrosoftSecurity |
Frontend 서비스 태그에는 클라이언트가 Front Door에 도달하는 데 사용하는 IP 주소가 포함되어 있습니다. Azure Front Door 뒤에 있는 서비스에 연결할 수 있는 아웃바운드 트래픽을 제어하려는 경우 AzureFrontDoor.Frontend 서비스 태그를 적용할 수 있습니다. Backend 서비스 태그에는 Azure Front Door에서 원본에 액세스하는 데 사용하는 IP 주소가 포함됩니다. 원본에 대한 보안을 구성할 때 이 서비스 태그를 적용할 수 있습니다. FirstParty 및 MicrosoftSecurity 는 Azure Front Door에서 호스트되는 Microsoft 서비스의 선택 그룹에 대해 예약된 특수 태그입니다. FirstParty 서비스 태그는 퍼블릭 클라우드에서만 사용할 수 있지만 다른 서비스 태그는 퍼블릭 및 정부 클라우드에서 사용할 수 있습니다. | 모두 | 예 | 예 |
AzureHealthcareAPIs | 이 태그가 적용되는 IP 주소는 Azure Health Data Services에 대한 액세스를 제한하는 데 사용할 수 있습니다. | 모두 | 아니요 | 예 |
AzureInformationProtection | Azure Information Protection입니다. 참고: 이 태그는 AzureActiveDirectory, AzureFrontDoor.Frontend 및 AzureFrontDoor.FirstParty 태그에 종속됩니다. |
아웃바운드 | 아니요 | 예 |
AzureIoTHub | Azure IoT Hub입니다. | 아웃바운드 | 예 | 예 |
AzureKeyVault | Azure Key Vault. 참고: 이 태그는 AzureActiveDirectory 태그에 종속됩니다. |
아웃바운드 | 예 | 예 |
AzureLoadBalancer | Azure 인프라 부하 분산 장치입니다. 이 태그는 Azure 상태 프로브가 시작되는 호스트의 가상 IP 주소 (168.63.129.16)로 변환됩니다. 이는 백엔드 리소스에 대한 실제 트래픽이 아닌 프로브 트래픽만 포함합니다. Azure Load Balancer를 사용하지 않는 경우 이 규칙을 재정의할 수 있습니다. | 모두 | 아니요 | 아니요 |
AzureMachineLearningInference | 이 서비스 태그는 프라이빗 네트워크 관리 추론 시나리오에서 공용 네트워크 수신을 제한하는 데 사용됩니다. | 인바운드 | 아니요 | 예 |
AzureManagedGrafana | Azure Managed Grafana 인스턴스 엔드포인트. | 아웃바운드 | 아니요 | 예 |
AzureMonitor | Log Analytics, Application Insights, Azure Monitor 작업 영역, AzMon 및 사용자 지정 메트릭(GIG 엔드포인트)입니다. 참고: Azure Monitor 에이전트의 경우 AzureResourceManager 도 필요합니다. Log Analytics 에이전트의 경우 스토리지 태그도 필요합니다. Linux Log Analytics 에이전트를 사용하는 경우 GuestAndHybridManagement 태그도 필요합니다. (레거시 Log Analytics 에이전트 는 2024년 8월 31일부터 더 이상 사용되지 않습니다.) |
아웃바운드 | 아니요 | 예 |
AzureOpenDatasets | Azure Open Datasets입니다. 참고: 이 태그는 AzureFrontDoor.Frontend 및 Storage 태그에 종속됩니다. |
아웃바운드 | 아니요 | 예 |
AzurePlatformDNS | 기본 인프라(기본값) DNS 서비스입니다. 이 태그를 사용하여 기본 DNS를 사용하지 않도록 설정할 수 있습니다. 이 태그를 사용할 때는 주의해야 합니다. Azure 플랫폼 고려 사항을 읽는 것이 좋습니다. 또한 이 태그를 사용하기 전에 테스트를 수행하는 것이 좋습니다. |
아웃바운드 | 아니요 | 아니요 |
AzurePlatformIMDS | 기본 인프라 서비스인 Azure IMDS(Instance Metadata Service)입니다. 이 태그를 사용하여 기본 IMDS를 사용하지 않도록 설정할 수 있습니다. 이 태그를 사용할 때는 주의해야 합니다. Azure 플랫폼 고려 사항을 읽는 것이 좋습니다. 또한 이 태그를 사용하기 전에 테스트를 수행하는 것이 좋습니다. |
아웃바운드 | 아니요 | 아니요 |
AzurePlatformLKM | Windows 라이선스 또는 키 관리 서비스입니다. 이 태그를 사용하여 라이선스에 대한 기본값을 사용하지 않도록 설정할 수 있습니다. 이 태그를 사용할 때는 주의해야 합니다. Azure 플랫폼 고려 사항을 읽는 것이 좋습니다. 또한 이 태그를 사용하기 전에 테스트를 수행하는 것이 좋습니다. |
아웃바운드 | 아니요 | 아니요 |
AzureResourceManager | Azure Resource Manager | 아웃바운드 | 아니요 | 예 |
AzureSentinel | Microsoft Sentinel. | 인바운드 | 아니요 | 예 |
AzureSignalR | Azure SignalR입니다. | 아웃바운드 | 아니요 | 예 |
AzureSiteRecovery | Azure Site Recovery 참고: 이 태그는 AzureActiveDirectory, AzureKeyVault, EventHub, GuestAndHybridManagement 및 Storage 태그에 종속됩니다. |
아웃바운드 | 아니요 | 예 |
AzureSphere | 이 태그 또는 이 태그에서 다루는 IP 주소를 사용하여 Azure Sphere Security Services에 대한 액세스를 제한할 수 있습니다. | 모두 | 아니요 | 예 |
AzureSpringCloud | Azure Spring Apps에서 호스트되는 애플리케이션에 대한 트래픽을 허용합니다. | 아웃바운드 | 아니요 | 예 |
AzureStack | Azure Stack Bridge 서비스. 이 태그는 지역별 Azure Stack Bridge 서비스 엔드포인트를 나타냅니다. |
아웃바운드 | 아니요 | 예 |
AzureTrafficManager | Azure Traffic Manager 프로브 IP 주소입니다. Traffic Manager 프로브 IP 주소에 대한 자세한 내용은 Azure Traffic Manager FAQ를 참조하세요. |
인바운드 | 아니요 | 예 |
AzureUpdateDelivery | Windows 업데이트에 액세스하는 데 사용되는 Azure 업데이트 배달 서비스 태그는 더 이상 사용되지 않습니다. 고객은 이 서비스 태그에 종속되지 않는 것이 좋습니다. 이미 사용하고 있는 고객의 경우 다음 옵션 중 하나로 마이그레이션하는 것이 좋습니다. 설명된 대로 Windows 10/11 디바이스에 대한 Azure Firewall 구성: • WSUS(Windows Server Update Services) 배포 한 다음 구성을 진행 합니다. 자세한 내용은 참조하세요. |
아웃바운드 | 아니요 | 예 |
AzureWebPubSub | AzureWebPubSub | 모두 | 예 | 예 |
BatchNodeManagement | Azure Batch 전용 배포에 대한 관리 트래픽입니다. | 모두 | 예 | 예 |
ChaosStudio | Azure Chaos Studio. 참고: Chaos Agent에서 Application Insights 통합을 사용하도록 설정한 경우 AzureMonitor 태그도 필요합니다. |
모두 | 아니요 | 예 |
CognitiveServicesFrontend | Azure AI 서비스 프런트 엔드 포털의 트래픽에 대한 주소 범위입니다. | 모두 | 아니요 | 예 |
CognitiveServicesManagement | Azure AI 서비스에 대한 트래픽 주소 범위입니다. | 모두 | 아니요 | 예 |
DataFactory | Azure Data Factory | 모두 | 예 | 예 |
DataFactoryManagement | Azure Data Factory에 대한 관리 트래픽입니다. | 아웃바운드 | 아니요 | 예 |
Dynamics365ForMarketingEmail | Dynamics 365 마케팅 메일 서비스의 주소 범위입니다. | 모두 | 예 | 예 |
Dynamics365BusinessCentral | 이 태그 또는 이 태그에서 다루는 IP 주소를 사용하여 Dynamics 365 Business Central Services에 대한 액세스를 제한할 수 있습니다. | 모두 | 아니요 | 예 |
EOP 외부 공개 IP | 이 태그는 보안 및 준수 센터 PowerShell에 사용되는 IP 주소를 나타냅니다. 자세한 내용은 EXO V2 모듈을 사용하여 보안 및 규정 준수 센터에 연결 센터 PowerShell을 참조하세요. | 모두 | 아니요 | 예 |
EventHub | Azure Event Hubs - | 아웃바운드 | 예 | 예 |
GatewayManager | Azure VPN Gateway 및 Application Gateway 전용 배포에 대한 관리 트래픽입니다. | 인바운드 | 아니요 | 아니요 |
GuestAndHybridManagement | Azure Automation 및 게스트 구성입니다. | 아웃바운드 | 아니요 | 예 |
HDInsight | Azure HDInsight. | 인바운드 | 예 | 예 |
인터넷 | 가상 네트워크 외부에 있으며 공용 인터넷으로 연결할 수 있는 IP 주소 공간입니다. 주소 범위에는 Azure 소유의 공용 IP 주소 공간이 포함됩니다. |
모두 | 아니요 | 아니요 |
KustoAnalytics | Kusto Analytics. | 모두 | 아니요 | 아니요 |
LogicApps | Logic Apps | 모두 | 아니요 | 예 |
LogicAppsManagement | Logic Apps에 대한 관리 트래픽입니다. | 인바운드 | 아니요 | 예 |
M365 관리 활동 API | Office 365 관리 작업 API는 Office 365 및 Microsoft Entra 활동 로그의 다양한 사용자, 관리자, 시스템 및 정책 작업과 이벤트 관련 정보를 제공합니다. 고객과 파트너는 이 정보를 사용하여 엔터프라이즈에 대한 기존 작업, 보안 및 규정 준수 모니터링 솔루션을 개선하거나 새로 만들 수 있습니다. 참고: 이 태그는 AzureActiveDirectory 태그에 종속됩니다. |
아웃바운드 | 예 | 예 |
M365ManagementActivityApiWebhook | 새 콘텐츠를 사용할 수 있게 되면 구독에 대해 구성된 webhook로 알림이 전송됩니다. | 인바운드 | 예 | 예 |
MicrosoftAzureFluidRelay | 이 태그는 Azure Microsoft Fluid Relay Server에 사용되는 IP 주소를 나타냅니다. 참고: 이 태그는 AzureFrontDoor.Frontend 태그에 종속됩니다. |
모두 | 아니요 | 예 |
MicrosoftCloudAppSecurity | Microsoft Defender for Cloud Apps | 모두 | 아니요 | 예 |
MicrosoftDefenderForEndpoint | 엔드포인트용 Microsoft Defender 핵심 서비스. 참고: 이 서비스 태그를 사용하려면 디바이스를 간소화된 연결로 온보딩하고 요구 사항을 충족해야 합니다. 엔드포인트용 Defender/서버에는 모든 기능을 지원하기 위해 OneDSCollector와 같은 더 많은 서비스 태그가 필요합니다. 자세한 내용은 엔드포인트용 Microsoft Defender에 대한 간소화된 연결을 사용하여 디바이스 온보딩을 참조하세요. |
모두 | 아니요 | 예 |
PowerBI | Power BI 플랫폼 백 엔드 서비스 및 API 엔드포인트. |
모두 | 예 | 예 |
PowerPlatformInfra | 이 태그는 Power Platform 서비스를 호스트하는 인프라에서 사용하는 IP 주소를 나타냅니다. | 모두 | 예 | 예 |
PowerPlatformPlex | 이 태그는 고객을 대신하여 Power Platform 확장 실행을 호스트하기 위해 인프라에서 사용하는 IP 주소를 나타냅니다. | 모두 | 예 | 예 |
PowerQueryOnline | 파워 쿼리 온라인입니다. | 모두 | 아니요 | 예 |
스쿠버 | Microsoft 보안 제품(Microsoft Sentinel, Defender 등)용 데이터 커넥터 | 인바운드 | 아니요 | 아니요 |
SerialConsole | 직렬 콘솔 서비스 태그에서만 부팅 진단 저장소 계정에 대한 액세스 제한 | 인바운드 | 아니요 | 예 |
Service Bus | Azure Service Bus 트래픽. | 아웃바운드 | 예 | 예 |
ServiceFabric | Azure Service Fabric 참고: 이 태그는 지역당 컨트롤 플레인에 대한 Service Fabric 서비스 엔드포인트를 나타냅니다. 이를 통해 고객은 가상 네트워크 엔드포인트에서 Service Fabric 클러스터에 대한 관리 작업을 수행할 수 있습니다. (예: https:// westus.servicefabric.azure.com) |
모두 | 아니요 | 예 |
Sql | Azure SQL Database, Azure Database for MariaDB 및 Azure Synapse Analytics. 참고: 이 태그는 서비스의 특정 인스턴스가 아닌 서비스를 나타냅니다. 예를 들어 태그는 특정 SQL 데이터베이스 또는 서버가 아닌 Azure SQL Database 서비스를 나타냅니다. 이 태그는 SQL Managed Instance에 적용되지 않습니다. |
아웃바운드 | 예 | 예 |
SqlManagement | SQL 전용 배포에 대한 관리 트래픽입니다. | 모두 | 아니요 | 예 |
보관 | Azure Storage. 참고: 이 태그는 서비스의 특정 인스턴스가 아닌 서비스를 나타냅니다. 예를 들어 태그는 특정 Azure Storage 계정이 아닌 Azure Storage 서비스를 나타냅니다. |
아웃바운드 | 예 | 예 |
StorageSyncService | 스토리지 동기화 서비스. | 모두 | 아니요 | 예 |
StorageMover | 스토리지 이동 도구 | 아웃바운드 | 예 | 예 |
WindowsAdminCenter | Windows Admin Center 백 엔드 서비스가 고객의 Windows Admin Center 설치와 통신하도록 허용합니다. | 아웃바운드 | 아니요 | 예 |
WindowsVirtualDesktop | Azure Virtual Desktop(이전의 Windows Virtual Desktop). | 모두 | 아니요 | 예 |
VideoIndexer | Video Indexer. 고객이 Video Indexer 서비스에 NSG를 열고 서비스에 대한 콜백을 받을 수 있도록 하는 데 사용됩니다. |
모두 | 아니요 | 예 |
VirtualNetwork | 가상 네트워크 주소 공간(가상 네트워크에 대해 정의된 모든 IP 주소 범위), 연결된 모든 온-프레미스 주소 공간, 피어된 가상 네트워크, 가상 네트워크 게이트웨이에 연결된 가상 네트워크, 호스트의 가상 IP 주소 및 사용자 정의 경로에 사용되는 주소 접두사입니다. 이 태그에는 기본 경로가 포함될 수도 있습니다. | 모두 | 아니요 | 아니요 |
참고
Azure Firewall에서 서비스 태그를 사용하는 경우 인바운드 및 아웃바운드 트래픽에 대한 대상 규칙만 만들 수 있습니다. 원본 규칙은 지원되지 않습니다. 자세한 내용은 Azure Firewall 서비스 태그 설명서를 참조하세요.
Azure 서비스의 서비스 태그는 사용되는 특정 클라우드의 주소 접두사를 나타냅니다. 예를 들어 Azure 퍼블릭 클라우드의 Sql 태그 값에 해당하는 기본 IP 범위는 21Vianet 클라우드에서 운영하는 Microsoft Azure의 기본 범위와 다릅니다.
Azure Storage 또는 Azure SQL Database와 같은 서비스에 대한 가상 네트워크 서비스 엔드포인트 를 구현하는 경우 Azure는 서비스에 대한 가상 네트워크 서브넷에 경로를 추가합니다. 경로의 주소 접두사는 해당하는 서비스 태그와 동일한 주소 접두사 또는 CIDR 범위입니다.
UDR(사용자 정의 경로)에 지원되지 않는 태그
다음 태그 목록은 현재 UDR(사용자 정의 경로)에서 사용할 수 없습니다.
- AzurePlatformDNS
- AzurePlatformIMDS
- AzurePlatformLKM
- VirtualNetwork
- AzureLoadBalancer (로드 밸런서)
- 인터넷
온-프레미스 서비스 태그
온-프레미스 방화벽 구성의 일부로 포함할 현재 서비스 태그 및 범위 정보를 얻을 수 있습니다. 이 정보는 각 서비스 태그에 해당하는 IP 범위의 현재 지정 시간 목록입니다. 다음 섹션에 설명된 대로 프로그래밍 방식으로 또는 JSON 파일 다운로드를 통해 정보를 가져와야 합니다.
서비스 태그 검색 API 사용
IP 주소 범위 세부 정보와 함께 서비스 태그의 현재 목록을 프로그래밍 방식으로 검색할 수 있습니다.
예를 들어 스토리지 서비스 태그에 대한 모든 접두사를 검색하려면 다음 PowerShell cmdlet을 사용합니다.
$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes
참고
- API 데이터는 해당 지역의 NSG 규칙과 함께 사용할 수 있는 태그를 나타냅니다. API 데이터는 JSON 다운로드 가능 파일과 다를 수 있으므로 사용 가능한 서비스 태그의 원본으로 사용합니다.
- 새 서비스 태그 데이터가 모든 Azure 지역에서 API 결과에 전파되는 데는 최대 4주가 걸립니다. 이 프로세스로 인해 API 데이터가 다운로드 가능한 JSON 파일에 현재 있는 태그의 하위 집합을 나타내므로 API 데이터 결과가 다운로드 가능한 JSON 파일과 동기화되지 않을 수 있습니다.
- 사용자는 인증을 받아야 하며 현재 구독에 대한 읽기 권한이 있는 역할이 있어야 합니다.
다운로드 가능한 JSON 파일을 사용하여 서비스 태그 검색
현재 서비스 태그 목록이 포함된 JSON 파일을 IP 주소 범위 정보와 함께 다운로드할 수 있습니다. 이러한 목록은 매주 업데이트되고 게시됩니다. 각 클라우드의 위치는 다음과 같습니다.
해당 파일의 IP 주소 범위는 CIDR 표기법으로 되어 있습니다.
다음 AzureCloud 태그에는 일반 스키마에 따라 서식이 지정된 지역 이름이 없습니다.
- AzureCloud.centralfrance(FranceCentral)
- AzureCloud.southfrance(FranceSouth)
- AzureCloud.germanywc(GermanyWestCentral)
- AzureCloud.germanyn(GermanyNorth)
- AzureCloud.norwaye(NorwayEast)
- AzureCloud.norwayw(NorwayWest)
- AzureCloud.switzerlandn(SwitzerlandNorth)
- AzureCloud.switzerlandw(SwitzerlandWest)
- AzureCloud.usstagee(EastUSSTG)
- AzureCloud.usstagec(SouthCentralUSSTG)
- AzureCloud.brazilse(BrazilSoutheast)
팁
- JSON 파일의 증가된 changeNumber 값을 확인하여 한 게시에서 다음 게시로의 업데이트를 검색할 수 있습니다. 각 하위 섹션(예: Storage.WestUS)에는 변경이 발생할 때 증가되는 고유한 changeNumber 가 있습니다. 하위 섹션이 변경될 때 파일의 changeNumber 최상위 수준이 증가합니다.
- 서비스 태그 정보를 구문 분석하는 방법의 예(예: WestUS의 Storage에 대한 모든 주소 범위 가져오기)는 서비스 태그 검색 API PowerShell 설명서를 참조하세요.
- 새 IP 주소가 서비스 태그에 추가되면 Azure에서 1주일 이상 사용되지 않습니다. 이 프로세스를 통해 서비스 태그와 연결된 IP 주소를 추적해야 할 수 있는 모든 시스템을 업데이트할 수 있습니다.
다음 단계
- 네트워크 보안 그룹을 만드는 방법을 알아봅니다.