Azure개 대상에 대한 비공개 링크
Azure 개인 링크를 사용하면 공용 인터넷 대신 Microsoft Azure 백본의 개인 IP 주소를 통해 Adobe Experience Platform에서 Azure 리소스로 데이터 내보내기를 라우팅할 수 있습니다. 활성화 데이터가 공용 인프라를 절대 통과하지 않습니다.
Adobe은(는) Azure 리소스를 가리키는 Adobe 소유 가상 네트워크(VNet)에서 개인 끝점을 만들고 관리합니다. Azure이(가) 연결 요청을 중개하면 Azure 포털에서 승인합니다. 승인 후 해당 리소스에 대한 모든 활성화 트래픽이 개인 끝점을 통해 라우팅됩니다.
지원되는 대상 supported-destinations
Azure 전용 링크는 다음 대상에 대해 지원됩니다.
사전 요구 사항 prerequisites
대상에 대한 Azure 개인 링크에는 다음 권한 중 하나가 필요합니다.
- Adobe 헬스케어 실드
- Adobe Privacy & Security Shield
Azure 개인 링크 작동 방식 how-it-works
Adobe Experience Platform이(가) 전용 개인 연결 허브 VNet을 유지 관리합니다. 개인 링크 설정을 요청하면 Adobe에서 Azure 리소스를 타겟팅하는 개인 끝점을 이 VNet에 프로비저닝합니다. 그런 다음 Azure에서 대기 중인 승인 요청을 중개합니다.
Azure 포털에서 요청을 승인하면 Microsoft Azure 백본을 통해 개인 끝점을 통해 해당 리소스 경로에 대한 기존 및 새 대상 데이터 흐름이 모두 흐릅니다.
비공개 라우팅은 Experience Platform의 기존 대상 구성에 영향을 주지 않습니다. 비공개 끝점이 승인된 후에는 호스트 이름, 자격 증명 또는 다른 대상 설정을 업데이트할 필요가 없습니다.
비공개 링크를 비활성화하면 트래픽은 자동으로 공용 인터넷을 통해 라우팅됩니다. 기존 데이터 흐름은 중단 없이 계속됩니다.
가드레일 guardrails
대상의 Azure 개인 링크에 다음 제한이 적용됩니다.
비공개 링크 설정 요청 request-setup
현재 셀프서비스 모드의 대상에 대한 개인 링크 연결을 설정할 수 있는 UI가 없습니다. Adobe 계정 관리자에게 문의하여 개인 링크 구성을 요청하고 개인 링크 연결을 설정하는 대상에 따라 다음 정보를 제공하십시오.
Azure Event Hubs request-setup-event-hubs
- Event Hubs 네임스페이스의 Azure 리소스 ID
- Event Hubs 네임스페이스의 FQDN(정규화된 도메인 이름)(예:
<namespace>.servicebus.windows.net) - Azure 지역(최상의 성능을 위해 Experience Platform 데이터 지역과 일치)
Azure Blob Storage request-setup-blob
- 저장소 계정의 Azure 리소스 ID
- 저장소 계정의 FQDN(정규화된 도메인 이름)(예:
<account>.blob.core.windows.net) - Blob 끝점이 필요한지, DFS 끝점이 필요한지 또는 둘 다 필요한지 여부
- Azure 지역(최상의 성능을 위해 Experience Platform 데이터 지역과 일치)
Azure Data Lake Storage Gen2 request-setup-adls
- 저장소 계정의 Azure 리소스 ID
- 저장소 계정의 FQDN(정규화된 도메인 이름)(예:
<account>.dfs.core.windows.net) - Blob 끝점이 필요한지, DFS 끝점이 필요한지 또는 둘 다 필요한지 여부
- Azure 지역(최상의 성능을 위해 Experience Platform 데이터 지역과 일치)
Adobe은(는) 개인 끝점을 만들고 Azure 포털에서 승인 요청을 사용할 수 있는 경우 알립니다.
비공개 끝점 승인 approve-private-endpoint
Adobe이(가) 비공개 끝점을 만든 후 보류 중인 승인 요청이 Azure 포털에 나타납니다. 승인하려면:
- Azure 포털에서 Adobe과(와) 공유한 리소스(Event Hubs 네임스페이스, Blob Storage 계정 또는 Data Lake Storage Gen2 계정)로 이동합니다.
- 왼쪽 탐색에서 보안 + 네트워킹을 선택한 다음 네트워킹을 선택합니다.
- 계정과 연결된 비공개 끝점 목록 및 현재 연결 상태를 보려면 비공개 끝점을 선택하십시오.
- Adobe에서 보류 중인 연결을 찾은 다음 승인을 선택합니다.
몇 분 내에 해당 리소스 경로의 기존 및 새 대상 데이터 흐름이 모두 개인 끝점으로 이동합니다.
대신 거부를 선택하면 데이터가 공용 인터넷을 통해 계속 이동합니다.
모범 사례 best-practices
대상에 대한 Azure 개인 링크를 최대한 활용하려면 다음 권장 사항을 따르십시오.
- 전용 VNet를 만들거나 Adobe에 대한 네트워크를 열지 마십시오. 비공개 엔드포인트는 전적으로 Adobe의 VNet에 거주합니다.
- 최상의 성능을 위해 Azure 리소스 영역을 Experience Platform 데이터 영역에 맞춥니다.
- Private Endpoint를 활성화한 후 보안을 위해 Azure 리소스에 대한 공용 네트워크 액세스를 사용하지 않도록 설정하십시오.
제한 사항 limitations
Azure 개인 링크 설정을 요청하기 전에 다음 제약 조건을 알아 두십시오.
- 비공개 링크는 Azure 대상에만 사용할 수 있습니다. AWS 및 Google Cloud Platform 대상은 아직 지원되지 않습니다.
- 구성에는 Adobe개의 엔지니어링 참여가 필요합니다. 현재 셀프 서비스 프로비저닝을 사용할 수 없습니다.
Azure 리소스 삭제 resource-deletion
리소스를 삭제하면 비공개 끝점이 고립됩니다. 분리된 끝점에 연결 끊김 상태가 있으며 데이터를 전달할 수 없으며 Adobe 인프라에 계속 요금이 부과됩니다. 활성 개인 끝점이 있는 Azure 리소스를 삭제하기 전에 Adobe에 문의하십시오.
Adobe 내부 지침: 고객을 위한 개인 링크 활성화 internal-activation
고객에 대한 개인 링크를 활성화하려면 Jira 티켓 PLATIR-64767을 복제하고 계정 관리자가 수집한 고객 세부 정보로 채웁니다.
필수 필드는 대상 유형에 따라 다릅니다. 티켓을 복제하기 전에 고객으로부터 다음 사항을 수집하십시오.
Azure Event Hubs
- Event Hubs 네임스페이스의 Azure 리소스 ID
- 네임스페이스 FQDN(예:
<namespace>.servicebus.windows.net) - Azure 지역
- IMS 조직 ID
Azure Blob Storage
- 저장소 계정의 Azure 리소스 ID
- 저장소 계정 FQDN(예:
<account>.blob.core.windows.net) - Blob 끝점, DFS 끝점 또는 둘 다 필요한지 여부
- Azure 지역
- IMS 조직 ID
Azure Data Lake Storage Gen2
- 저장소 계정의 Azure 리소스 ID
- 저장소 계정 FQDN(예:
<account>.dfs.core.windows.net) - Blob 끝점, DFS 끝점 또는 둘 다 필요한지 여부
- Azure 지역
- IMS 조직 ID
프로비저닝 후 고객에게 Azure 포털에서 비공개 끝점 승인 요청을 사용할 수 있음을 알립니다.