Azure Storage - NSG 흐름 로그 보존 복원

NSG 흐름 로그에 대한 보존 기능을 최근에 사용할 수 없게 되었지만, GPv2(범용 v2) 계정 및 Blob Storage 계정 에 대해서는 이 기능이 복원되었습니다. GPv1(범용 v1) 스토리지 계정에 대해서는 이 기능이 복원되지 않습니다.

복원된 기능

이제 GPv2 및 Blob Storage 계정이 있는 사용자가 NSG 흐름 로그 보존을 사용할 수 있습니다. 흐름 로그 데이터는 이전에 구성된 보존 정책에 따라 삭제됩니다. 앞으로는 보존 기간을 구성하면 스토리지 계정에 데이터 수명 주기 관리 정책이 만들어집니다.

GPv1 계정이 있는 사용자에 대해서는 보존이 복원되지 않지만, 흐름 로그는 현재와 마찬가지로 계속 작동합니다. v1 스토리지 계정이 있는 사용자는 보존을 사용할 수 있도록 스토리지 계정을 v2로 업그레이드하는 것이 좋습니다. v2로의 업그레이드는 별도 비용이 없으며 v2 계정이 더 많은 기능을 제공합니다.

GPv2 계정에 대한 스토리지 제한

GPv2 계정에서 현재 메커니즘은 최대 1,000개의 NSG만 지원할 수 있습니다. 1,000개 이상의 NSG가 기록되는 경우, 고객은 여러 스토리지 계정을 사용하기 시작해야 합니다. 그 이유는 무엇입니까? 스토리지 계정을 사용해서 최대 100개의 규칙을 만들 수 있습니다. 이와 함께 규칙당 10개 일치 접두사가 지원됨을 고려할 때, 현재 스토리지 계정당 최대 1,000개의 NSG를 지원할 수 있습니다.

수행해야 할 작업

• NSG 흐름 로그에서 GPv2 및 Blob Storage 계정이 있는 사용자 - 보존을 복원하려면 사용자가 모든 NSG에서 흐름 로그를 사용하지 않도록 설정했다가 사용하도록 설정해야 합니다.
  • Portal: 각 NSG의 경우 – 흐름 로그 설정으로 이동하여 상태를 [끔]으로 전환합니다. [저장]을 클릭합니다. 상태를 [켬]으로 전환합니다. [저장]을 클릭합니다.
  • PowerShell: Set-AzureRmNetworkWatcherConfigFlowLog 모듈을 사용합니다. 모든 NSG의 경우 -EnableFlowLog를 false로 전환합니다. 그런 다음 다시 true로 전환합니다. 설명서에서 샘플 명령을 찾을 수 있습니다.
  • Azure CLI: az network watcher flow-log 모듈을 사용합니다. 모든 NSG의 경우 --enabled를 false로 전환합니다. 그런 다음 다시 true로 전환합니다. 설명서에서 샘플 명령을 찾을 수 있습니다.

이렇게 하면 흐름 로그가 다시 구성되고 보존이 복원됩니다. 이 작업을 수행하지 않으면 v2 스토리지 계정이 있는 모든 NSG 흐름 로그 사용자는 60일 후 수동 마이그레이션을 통해 보존이 복원됩니다.

• NSG 흐름 로그에 GPv1 스토리지 계정이 있는 사용자 - 데이터를 영구적으로 저장하려는 경우에는 별도의 조치가 필요하지 않습니다. v1 스토리지 계정의 기존 데이터는 현재 그대로 유지되고 NSG 흐름 로그는 계속 작동하지만, 데이터는 보존 서비스에 의해 삭제되지 않습니다. 보존을 사용할 수 있도록 이 지침에 따라 계정을 v2로 업그레이드하세요. 스토리지 계정을 업그레이드하지 않으려는 경우 이전에 제공된 삭제 스크립트를 사용할 수 있습니다.

계정을 업그레이드하는 방법

v2로 업그레이드하려면 이 지침을 따르세요.