Azure CLI를 사용하여 Bastion 배포
이 문서에서는 CLI를 사용하여 Azure Bastion을 배포하는 방법을 보여 줍니다. Azure Bastion은 VM에 설치하고 직접 유지 관리하는 베스천 호스트가 아니라 유지 관리되는 PaaS 서비스입니다. Azure Bastion 배포는 구독/계정 또는 가상 머신이 아니라 가상 네트워크별로 수행됩니다. Azure Bastion에 대한 자세한 내용은 Azure Bastion이란?을 참조하세요.
Bastion이 가상 네트워크에 배포되면 개인 IP 주소를 통해 VM에 연결할 수 있습니다. 이 원활한 RDP/SSH 환경은 동일한 가상 네트워크의 모든 VM에서 사용할 수 있습니다. 다른 항목에 필요하지 않은 공용 IP 주소가 VM에 있는 경우 제거할 수 있습니다.
이 문서에서는 가상 네트워크를 만들고(아직 없는 경우), CLI를 사용하여 Azure Bastion을 배포하고, VM에 연결합니다. 또한 다음과 같은 다른 방법을 사용하여 Bastion을 배포할 수 있습니다.
참고 항목
Azure 프라이빗 DNS 영역과 함께 Azure Bastion을 사용할 수 있습니다. 그러나 제한 사항이 있습니다. 자세한 내용은 Azure Bastion FAQ를 참조하세요.
시작하기 전에
Azure 구독
Azure 구독이 있는지 확인합니다. Azure 구독이 아직 없는 경우 MSDN 구독자 혜택을 활성화하거나 무료 계정에 등록할 수 있습니다.
Azure CLI
이 문서에서는 Azure CLI를 사용합니다. 명령을 실행하려면 Azure Cloud Shell을 사용하면 됩니다. Azure Cloud Shell은 이 항목의 단계를 실행하는 데 무료로 사용할 수 있는 대화형 셸입니다. 공용 Azure 도구가 사전 설치되어 계정에서 사용하도록 구성되어 있습니다.
Cloud Shell을 열려면 코드 블록의 오른쪽 위 모서리에 있는 사용해 보세요를 선택하기만 하면 됩니다. 또한 https://shell.azure.com으로 이동하여 별도의 브라우저 탭에서 Cloud Shell을 시작하고 왼쪽 모서리의 드롭다운을 전환하여 Bash 또는 PowerShell을 반영할 수 있습니다. 복사를 선택하여 코드 블록을 복사하여 Cloud Shell에 붙여넣고, Enter 키를 눌러 실행합니다.
Bastion 배포
이 섹션에서는 Azure CLI를 사용하여 Azure Bastion을 배포하는 데 도움이 됩니다.
Important
시간당 가격 책정은 아웃바운드 데이터 사용량에 관계없이 Bastion이 배포되는 순간부터 시작됩니다. 자세한 내용은 가격 책정 및 SKU를 참조하세요. 자습서 또는 테스트의 일부로 Bastion을 배포하는 경우 이 리소스 사용을 마친 후 삭제하는 것이 좋습니다.
가상 네트워크가 아직 없는 경우 az group create 및 az network vnet create를 사용하여 리소스 그룹 및 가상 네트워크를 만듭니다.
az group create --name TestRG1 --location eastus
az network vnet create --resource-group TestRG1 --name VNet1 --address-prefix 10.1.0.0/16 --subnet-name default --subnet-prefix 10.1.0.0/24
az network vnet subnet create를 사용하여 Bastion이 배포될 서브넷을 만듭니다. 만드는 서브넷 이름은 AzureBastionSubnet이어야 합니다. 이 서브넷은 Azure Bastion 리소스 전용으로 예약됩니다. 명명 값이 AzureBastionSubnet인 서브넷이 없는 경우 Bastion은 배포되지 않습니다.
- 만들 수 있는 가장 작은 서브넷 AzureBastionSubnet 크기는 /26입니다. 그러나 호스트 스케일링을 수용할 수 있도록 /26 이상 크기를 만드는 것이 좋습니다.
- 크기 조정에 대한 자세한 내용은 구성 설정 - 호스트 크기 조정을 참조하세요.
- 설정에 대한 자세한 내용은 구성 설정 - AzureBastionSubnet을 참조하세요.
- 경로 테이블 또는 위임 없이 AzureBastionSubnet을 만듭니다.
- AzureBastionSubnet의 네트워크 보안 그룹을 사용하는 경우 NSG 사용 문서를 참조하세요.
az network vnet subnet create --name AzureBastionSubnet --resource-group TestRG1 --vnet-name VNet1 --address-prefix 10.1.1.0/26
- 만들 수 있는 가장 작은 서브넷 AzureBastionSubnet 크기는 /26입니다. 그러나 호스트 스케일링을 수용할 수 있도록 /26 이상 크기를 만드는 것이 좋습니다.
Azure Bastion의 공용 IP 주소를 만듭니다. 공용 IP는 포트 443을 통해 RDP/SSH에 액세스할 Bastion 리소스의 공용 IP 주소입니다. 공용 IP 주소는 만드는 Bastion 리소스와 동일한 지역에 있어야 합니다. 이러한 이유로 지정한
--location
값에 특히 주의해야 합니다.az network public-ip create --resource-group TestRG1 --name VNet1-ip --sku Standard --location eastus
az network bastion create를 사용하여 가상 네트워크에 대한 새 Azure Bastion 리소스를 만듭니다. Bastion 리소스가 생성되고 배포될 때까지 약 5분 정도 걸립니다.
다음 예제에서는 기본 SKU 계층을 사용하여 Bastion을 배포합니다. 다른 SKU를 사용하여 배포할 수도 있습니다. SKU에 따라 Bastion 배포에서 지원하는 기능이 결정됩니다. 명령에서 SKU를 지정하지 않으면 SKU는 기본적으로 표준으로 설정됩니다. 자세한 내용은 Bastion SKU를 참조하세요.
az network bastion create --name VNet1-bastion --public-ip-address VNet1-ip --resource-group TestRG1 --vnet-name VNet1 --location eastus --sku Basic
VM에 연결
가상 네트워크에 VM이 아직 없는 경우 빠른 시작: Windows VM 만들기 또는 빠른 시작: Linux VM 만들기를 사용하여 VM을 만들 수 있습니다.
다음 문서 또는 다음 섹션의 단계를 사용하여 VM에 연결할 수 있습니다. 일부 연결 형식에는 Bastion 표준 SKU 이상이 필요합니다.
- Windows VM에 연결
- Linux VM에 연결
- 확장 집합에 연결
- IP 주소를 통해 연결
- 네이티브 클라이언트에서 연결
포털을 사용하여 연결
다음 단계에서는 Azure Portal을 사용하는 한 가지 유형의 연결을 안내합니다.
Azure Portal에서 연결하려는 가상 머신으로 이동합니다.
창 상단에서 연결>Bastion을 선택하여 Bastion 창으로 이동합니다. 왼쪽 메뉴를 사용하여 Bastion 창으로 이동할 수도 있습니다.
Bastion 창에서 사용할 수 있는 옵션은 Bastion SKU에 따라 다릅니다. 기본 SKU를 사용하는 경우 RDP 및 포트 3389를 사용하여 Windows 컴퓨터에 연결합니다. 또한 기본 SKU의 경우 SSH 및 포트 22를 사용하여 Linux 컴퓨터에 연결합니다. 포트 번호 또는 프로토콜을 변경할 수 있는 옵션이 없습니다. 그러나 연결 설정을 확장하여 RDP의 키보드 언어를 변경할 수 있습니다.
표준 SKU를 사용하는 경우 더 많은 연결 프로토콜 및 포트 옵션을 사용할 수 있습니다. 옵션을 보려면 연결 설정을 펼칩니다. 일반적으로 VM에 대해 다른 설정을 구성하지 않는 한 RDP 및 포트 3389를 사용하여 Windows 컴퓨터에 연결합니다. SSH 및 포트 22를 사용하여 Linux 컴퓨터에 연결합니다.
인증 유형의 경우 드롭다운 목록에서 선택합니다. 프로토콜은 사용 가능한 인증 형식을 결정합니다. 필수 인증 값을 완료합니다.
새 브라우저 탭에서 VM 세션을 열려면 새 브라우저 탭에서 열기가 선택된 상태로 둡니다.
연결을 선택하여 VM에 연결합니다.
포트 443 및 Bastion 서비스를 사용하여 가상 머신에 대한 연결이 HTML5를 통해 Azure Portal에서 직접 열리는지 확인합니다.
참고 항목
연결하면 VM의 데스크톱이 스크린샷 예제와 다르게 보입니다.
VM에 연결되어 있는 동안 바로 가기 키를 사용하면 로컬 컴퓨터의 바로 가기 키와 동일한 동작이 발생하지 않을 수 있습니다. 예를 들어 Windows 클라이언트에서 Windows VM에 연결된 경우 Ctrl+Alt+End는 로컬 컴퓨터에서 Ctrl+Alt+Delete의 바로 가기 키입니다. Windows VM에 연결된 동안 Mac에서 이 작업을 수행하려면 바로 가기 키는 fn+control+option+delete입니다.
오디오 출력을 사용하도록 설정하려면
VM에 대한 원격 오디오 출력을 사용하도록 설정할 수 있습니다. 일부 VM에서는 이 설정을 자동으로 사용하도록 설정하는 반면 다른 VM에서는 오디오 설정을 수동으로 사용하도록 설정해야 합니다. 설정은 VM 자체에서 변경됩니다. Bastion 배포에는 원격 오디오 출력을 사용하도록 설정하기 위해 특별한 구성 설정이 필요하지 않습니다.
참고 항목
오디오 출력은 인터넷 연결의 대역폭을 사용합니다.
Windows VM에서 원격 오디오 출력을 사용하도록 설정하려면 다음을 수행합니다.
- VM에 연결되면 도구 모음의 오른쪽 하단에 오디오 단추가 나타납니다. 오디오 단추를 마우스 오른쪽 단추로 클릭한 다음, 사운드를 선택합니다.
- Windows 오디오 서비스를 사용하도록 설정할지 묻는 팝업 메시지가 나타납니다. 예를 선택합니다. 사운드 기본 설정에서 더 많은 오디오 옵션을 구성할 수 있습니다.
- 사운드 출력을 확인하려면 도구 모음의 오디오 단추를 마우스로 가리킵니다.
VM 공용 IP 주소 제거
Azure Bastion은 공용 IP 주소를 사용하여 클라이언트 VM에 연결하지 않습니다. VM에 대한 공용 IP 주소가 필요하지 않은 경우 공용 IP 주소를 분리할 수 있습니다. Azure VM에서 공용 IP 주소 분리를 참조하세요.
다음 단계
- Azure Bastion 서브넷에서 네트워크 보안 그룹을 사용하려면 NSG 사용을 참조하세요.
- VNet 피어링을 이해하려면 VNet 피어링 및 Azure Bastion을 참조하세요.