다음을 통해 공유

네트워크 보안 그룹 흐름 로그에서 가상 네트워크 흐름 로그로 마이그레이션

  • 아티클

Important

2027년 9월 30일에 NSG(네트워크 보안 그룹) 흐름 로그가 사용 중지됩니다. 이러한 사용 중지의 일환으로 2025년 6월 30일부터 새로운 NSG 흐름 로그를 더 이상 만들 수 없습니다. NSG 흐름 로그의 제한을 극복하는 가상 네트워크 흐름 로그마이그레이션하는 것이 좋습니다. 사용 중지일 이후에는 NSG 흐름 로그를 사용한 트래픽 분석이 더 이상 지원되지 않으며, 구독에 포함된 기존 NSG 흐름 로그 리소스는 삭제됩니다. 그러나 NSG 흐름 로그 레코드는 삭제되지 않으며 각각의 보존 정책을 계속 따릅니다. 자세한 내용은 공식 공지를 참조하세요.

이 문서에서는 마이그레이션 스크립트를 사용하여 기존 네트워크 보안 그룹 흐름 로그를 가상 네트워크 흐름 로그로 마이그레이션하는 방법을 알아봅니다. 가상 네트워크 흐름 로그는 네트워크 보안 그룹 흐름 로그의 일부 제한 사항을 극복합니다. 자세한 내용은 Virtual Network 흐름 로그를 참조하세요.

참고 항목

다음과 같은 경우에 마이그레이션 스크립트를 사용합니다.

  • 가상 네트워크의 모든 네트워크 인터페이스 또는 서브넷에서 흐름 로깅을 활성화하지 않았으며 전체에서 가상 네트워크 흐름 로깅을 활성화하고 싶지 않은 경우
  • 가상 네트워크의 네트워크 보안 그룹 흐름 로그에 서로 다른 구성이 있고 이 서로 다른 구성을 네트워크 보안 그룹 흐름 로그로 사용하여 가상 네트워크 흐름 로그를 만들려는 경우

다음과 같은 경우에 Azure Policy를 사용합니다.

  • 가상 네트워크의 모든 네트워크 인터페이스 또는 서브넷에 동일한 네트워크 보안 그룹을 적용한 경우
  • 가상 네트워크의 모든 네트워크 인터페이스 또는 서브넷에 동일한 네트워크 보안 그룹 흐름 로그 구성이 있는 경우
  • 가상 네트워크 수준에서 가상 네트워크 흐름 로깅을 활성화하려는 경우

자세한 내용은 기본 제공 정책을 사용하여 가상 네트워크 흐름 로그 배포 및 구성을 참조하세요.

필수 조건

마이그레이션 스크립트 생성

이 섹션에서는 마이그레이션하려는 네트워크 보안 그룹 흐름 로그에 대한 마이그레이션 파일을 생성하고 다운로드하는 방법을 알아봅니다.

  1. 포털 맨 위에 있는 검색 상자에 Network Watcher를 입력합니다. 검색 결과에서 Network Watcher를 선택합니다.

    Azure Portal에서 Network Watcher를 검색하는 방법을 보여 주는 스크린샷.

  2. 로그에서 흐름 로그 마이그레이션을 선택합니다.

    Azure Portal의 네트워크 보안 그룹 흐름 로그 마이그레이션 페이지를 보여 주는 스크린샷.

  3. 마이그레이션하려는 네트워크 보안 그룹 흐름 로그가 포함된 구독을 선택합니다.

  4. 각 구독에 대해 마이그레이션하려는 흐름 로그가 포함된 지역을 선택합니다. 총 NSG 흐름 로그는 선택한 구독에 있는 총 흐름 로그 수를 표시합니다. 선택한 NSG 흐름 로그는 선택한 지역의 흐름 로그 수를 표시합니다.

  5. 구독 및 지역을 선택한 후 스크립트 및 JSON 파일 다운로드를 선택하여 마이그레이션 파일을 Zip 파일로 다운로드합니다.

    Azure Portal에서 마이그레이션 스크립트를 생성하는 방법을 보여 주는 스크린샷.

  6. 로컬 컴퓨터에서 MigrateFlowLogs.zip 파일을 추출합니다. Zip 파일에는 다음 두 파일이 포함되어 있습니다.

    • 스크립트 파일: MigrationFromNsgToAzureFlowLogging.ps1
    • JSON 파일: RegionSubscriptionConfig.json.

마이그레이션 스크립트 실행

이 섹션에서는 마이그레이션 섹션에서 다운로드한 스크립트 파일을 사용하여 네트워크 보안 그룹 흐름 로그를 마이그레이션하는 방법을 알아봅니다.

Important

스크립트 실행을 시작하면 마이그레이션하는 흐름 로그의 지역 및 구독에서 토폴로지를 변경하지 않아야 합니다.

  1. 스크립트 파일 MigrationFromNsgToAzureFlowLogging.ps1을 실행합니다.

  2. 분석 실행 옵션에 1을 입력합니다.

    .\MigrationFromNsgToAzureFlowLogging.ps1

Select one of the following options for flowlog migration:
1. Run analysis
2. Delete NSG flowlogs
3. Quit

  3. JSON 파일 이름을 입력합니다.

    Please enter the path to scope selecting config file: .\RegionSubscriptionConfig.json

  4. 기본값인 16을 사용하려면 스레드 수를 입력하거나 비워 두세요.

    Please enter the number of threads you would like to use, press enter for using default value of 16:

    분석이 완료되면 분석 보고서가 화면과 마이그레이션 파일과 동일한 디렉터리에 있는 html 파일로 표시됩니다. 보고서에는 사용하지 않도록 설정될 네트워크 보안 그룹 흐름 로그의 수와 이를 바꾸기 위해 만들어진 가상 네트워크 흐름 로그의 수가 나타납니다. 만들어지는 가상 네트워크 흐름 로그의 수는 선택한 마이그레이션 형식에 따라 다릅니다. 예를 들어, 흐름 로그를 마이그레이션하는 네트워크 보안 그룹이 동일한 가상 네트워크의 3개 네트워크 인터페이스와 연결된 경우 집계를 통한 마이그레이션을 선택하면 단일 가상 머신 흐름 로그 리소스가 가상 네트워크에 적용됩니다. 또한 집계 없이 마이그레이션을 선택하여 3개의 가상 네트워크 흐름 로그(네트워크 인터페이스당 하나의 가상 네트워크 흐름 로그 리소스)를 가질 수도 있습니다.

    참고 항목

    수행한 분석의 전체 보고서는 AnalysisReport-<subscriptionId>-<region>-<time>.html 파일을 참조하세요. 파일은 스크립트와 동일한 디렉터리에서 사용할 수 있습니다.

  5. 수행하려는 마이그레이션 형식을 선택하려면 2 또는 3을 입력합니다.

    Select one of the following options for flowlog migration:
1. Re-Run analysis
2. Proceed with migration with aggregation
3. Proceed with migration without aggregation
4. Quit

  6. 화면에 마이그레이션 요약이 표시된 후 마이그레이션을 취소하고 변경 내용을 되돌릴 수 있습니다. 마이그레이션을 수락하고 진행하려면 n을 입력하고, 그렇지 않으면 y를 입력합니다. 변경 내용을 적용하면 되돌릴 수 없습니다.

    Do you want to rollback? You won't get the option to revert the actions done now again (y/n): n

    참고 항목

    마이그레이션에 문제가 있는 경우 참조를 위해 스크립트와 분석 보고서 파일을 보관하세요.

  7. Azure Portal을 확인하여 마이그레이션한 네트워크 보안 그룹 흐름 로그의 상태가 사용하지 않도록 설정되었는지 확인합니다. 마이그레이션 프로세스의 결과로 새로 만들어진 가상 네트워크 흐름 로그도 확인합니다.

    네트워크 보안 그룹 흐름 로그에서 마이그레이션한 결과로 새로 만들어진 가상 네트워크 흐름 로그를 보여 주는 스크린샷.

  8. 선택한 구독 및 지역의 네트워크 보안 그룹 흐름 로그만 나열하려면 필터를 추가합니다. 소수의 네트워크 보안 그룹 흐름 로그만 마이그레이션한 경우 이 단계를 건너뛸 수 있습니다.

    필터를 사용하여 네트워크 보안 그룹 흐름 로그만 나열하는 방법을 보여 주는 스크린샷.

  9. 삭제하려는 흐름 로그를 선택한 다음 삭제를 선택합니다.

    마이그레이션된 네트워크 보안 그룹 흐름 로그를 선택하고 삭제하는 방법을 보여 주는 스크린샷.

  10. delete를 입력한 다음 삭제를 선택하여 삭제를 확인합니다.

    마이그레이션된 흐름 로그 삭제를 확인하는 방법을 보여 주는 스크린샷.

고려 사항

  • 부하 분산 장치가 있는 확장 집합: 마이그레이션 스크립트를 사용하면 확장 집합 가상 머신이 있는 서브넷에서 가상 네트워크 흐름 로깅을 사용할 수 있습니다.

    참고 항목

    확장 집합의 모든 네트워크 인터페이스에서 네트워크 보안 그룹 흐름 로깅이 활성화되지 않았거나 네트워크 인터페이스가 동일한 네트워크 보안 그룹 흐름 로그를 공유하지 않는 경우, 가상 네트워크 흐름 로그가 확장 집합의 네트워크 인터페이스 중 하나와 동일한 구성으로 서브넷에 생성됩니다.

  • PaaS: 마이그레이션 스크립트는 사용자의 구독에 네트워크 보안 그룹 흐름 로그가 있지만 대상 리소스가 다른 구독에 있는 PaaS 솔루션을 사용하는 환경을 지원하지 않습니다. 이러한 환경의 경우 PaaS 솔루션의 가상 네트워크 또는 서브넷에서 가상 네트워크 흐름 로깅을 수동으로 활성화해야 합니다.

관련 콘텐츠