Azure Database for PostgreSQL에 대한 네트워킹(허용되는 IP 주소)

 

내가 이렇게 기록을 하는 이유.

Azure Database for PostgreSQL을 구축했는데,

다른 직원들이 이 디비에 접속을 하게 하려면 pub ip로 접속해야 하는게 아닌가? 헷갈렸다.

AWS에서는 DB를 구축하고 해당DB 인스턴스의 엔드포인트를 통해 접속을 했는데,

아마 그게 Azure에서는 DB의 hostname인 것 같다.

 

 

(알면 끄덕여야 하는데 알면 알수록 점 점 더 헷갈려 지는 중..)

누군가 제 글을 보시고 틀린 부분이 있으면 조언 부탁 드려요^^...

 

 

---

 

 

Azure Database for PostgreSQL 유연한 서버 인스턴스를 만들 때 다음 네트워킹 옵션 중 하나를 선택해야 한다.

프라이빗 액세스(VNet 통합) or 공용 액세스(허용된 IP 주소) / 프라이빗 엔드포인트

 

• 허용된 IP 주소의 연결은 유효한 자격 증명을 사용하여 Azure Database for PostgreSQL 유연한 서버 인스턴스에 인증해야 한다.
• 네트워크 트래픽에 연결된 암호화를 적용할 수 있다.
• 서버에 FQDN이 있다. hotname 속성에는 IP주소 대신 FQDN을 사용하는 것이 좋다.
• 두 옵션 모두 데이터베이스 수준 또는 테이블 수준이 아닌 서버 수준에서 액세스를 제어한다. PostgreSQL의 역할 속성을 사용하여  데이터베이스, 테이블 및 기타 개체 액세스를 제어한다.

 

 

Azure Postgre에서 공용 액세스 네트워킹 사용

 

공용 액세스 방법을 선택하면 Azure database for PostgreSQL 유연한 서버 인스턴스는 퍼블릭 엔드포인트를 통해 액세스된다.

(퍼블릭 엔드포인트는 공개적으로 확인이 가능한 DNS 주소)

허용된 IP 주소라는 말은 선택하는 IP 주소 범에 액세스를 부여한다는 뜻이다.

이 권한을 방화벽 규칙이라고 한다.

 

 

이 기능을 원하는 경우 아래의 네트워킹 옵션을 선택해야 한다.

• 가상 네트워크를 지원하지 않는 Azure 리소스에서 연결
• VPN 또는 ExpressRoute로 연결되지 않은 Azure 외부의 리소스에서 연결
• Database for PostgreSQL 유연한 서버 인스턴스에 인터넷을 통해 액세스할 수 있는 공용 엔드포인트가 있는지 확인

 

퍼블릭 액세스 메서드의 특징.

• 허용한 IP주소에만 Database for PostgreSQL 유연한 서버 인스턴스에 액세스할 권한이 있고, 기본적으로 IP주소는 허용X. 서버를 생성시 or 추후에 IP주소는 추가가 가능함!
  
• PostgreSQL 유연한 서버 인스턴스에는 공개적으로 가능한 DNS가 있음.
• PostgreSQL 유연한 서버 인스턴스에는 vnet중 하나에 없다.
• 서버에 들어오고 나가는 네트워크 트래픽은 개인 네트워크를 통해 이동하지 않는다. 트래픽은 일반적인 인터넷 경로를 사용!

 

모든 Azure IP 주소 허용

애플리케이션 또는 서비스의 발신 IP 주소를 찾고 이러한 개별 IP 주소 또는 범위에 명시적으로 액세스를 허용하는 것이 좋다.

고정된 발신 IP 주소를 Azure 서비스에 사용할 수 없는 경우 모든 Azure 데이터 센터의 모든 IP주소에서 연결을 사용하도록 설정하는 것이 좋다. 이 설정은 네트워킹 창에서 Azure 내의 모든 Azure 서비스에서 이 서버에 대한 공용 액세스 허용 확인란을 선택하고 저장을 눌러 portal에서 사용하도록 설정이 가능하다.

 

**

Azure 서비스 및 Azure 내의 리소스에서 퍼블릭 액세스 허용 옵션은 다른 고객 구독의 연결을 포함하여

Azure에서의 모든 연결을 허용하도록 방화벽을 구성한다.

이 옵션을 선택할 때 로그인 및 사용자 권한이 부여된 사용자만으로 액세스를 제한하는지 확인할 것!

 

방화벽 규칙

- 방화벽 규칙에서 현재 IP 주소 추가를 선택하면 Azure 시스템에서 감지한 컴퓨터의 공용 IP주소를 사용하는 방화벽 규칙이 자동으로 생성된다. (좋은데?)

- 구성을 저장하기 전에 사용자의 IP 주소를 확인해주기!!

(상황에 따라 Portal에서 관찰하는 IP주소는 인터넷 및 Azure 서버에 액세스할 때 사용한 IP주소와 다를 수 있기 때문이다.)

- 더 많은 주소 범위를 추가하기.

(예를들어, 단일 IP주소에 규칙을 제한하는 경우, 시작 IP주소 및 끝 IP주소 필드에 동일한 주소를 입력한다. 방화벽을 열면 관리자, 사용자 및 애플리케이션이 유효한 자격 증명을 갖춘 Postgre 유연한 서버 인스턴스의 모든 데이터베이스에 액세스 가능.)

 

 

 

Azure에서 연결

Azure에 배포된 리소스 또는 애플리케이션을 사용하도록 설정할 수 있다!

 

Azure 내에서 애플리케이션 서버에 연결하려고 시도하면 방화벽에서 Azure연결이 허용되는지 확인해야 한다.

네트워킹 탭에서 포털의 Azure 내 Azure 서비스 및 리소스에서 이 서버로의 공용 액세스 허용 옵션을 선택하여 이 설정을 사용하도록 설정해야 한다.

 

 

Azure Database for PostgreSQL 유연한 서버에 안전하게 액세스하려면 프라이빗 액세스(VNet 통합)를 선택하는 것이 좋다.

 

 

 

 

 

https://learn.microsoft.com/ko-kr/azure/postgresql/flexible-server/how-to-manage-firewall-portal

방화벽 규칙 관리 - Azure Portal - Azure Database for PostgreSQL - Flexible Server