프라이빗 엔드포인트를 사용하여 애플리케이션 보안 그룹 구성

Azure Private Link 프라이빗 엔드포인트는 네트워크 보안을 위해 ASG(애플리케이션 보안 그룹)를 지원합니다. 가상 머신 및 기타 네트워크 리소스와 함께 현재 인프라의 기존 ASG와 프라이빗 엔드포인트를 연결할 수 있습니다.

필수 조건

• 활성 구독이 있는 Azure 계정. Azure 계정이 아직 없는 경우 무료로 계정을 만듭니다.

• PremiumV2 계층 이상의 App Service 요금제가 Azure 구독에 배포된 Azure 웹앱

  • 자세한 내용 및 예제는 빠른 시작: Azure에서 ASP.NET Core 웹앱 만들기를 참조하세요.
  • 이 문서에 나오는 예 웹앱의 이름은 myWebApp1979입니다. 예를 웹앱 이름으로 바꿉니다.

• 구독의 기존 ASG입니다. ASG에 대한 자세한 내용은 애플리케이션 보안 그룹을 참조하세요.

  • 이 문서에 사용된 예제 ASG의 이름은 myASG입니다. 예제를 애플리케이션 보안 그룹으로 바꿉니다.

• Azure 구독에서 기존 Azure Virtual Network 및 서브넷을 찾습니다. 가상 네트워크를 만드는 방법에 대한 자세한 내용은 빠른 시작: Microsoft Azure Portal을 사용하여 가상 네트워크 만들기를 참조하세요.

  • 이 문서에 사용된 예제 가상 네트워크의 이름은 myVNet입니다. 예제를 가상 네트워크로 바꿉니다.

• 최신 버전의 Azure CLI가 설치되었습니다.

  • 터미널 또는 명령 창에서 az --version을 실행하여 Azure CLI 버전을 확인합니다. 최신 버전은 최신 릴리스 정보를 참조하세요.
  • 최신 버전의 Azure CLI가 없는 경우 운영 체제 또는 플랫폼용 설치 가이드에 따라 업데이트합니다.

PowerShell을 로컬로 설치하고 사용하도록 선택하는 경우, 이 문서에는 Azure PowerShell 모듈 버전 5.4.1 이상이 필요합니다. 설치되어 있는 버전을 확인하려면 Get-Module -ListAvailable Az을 실행합니다. 업그레이드해야 하는 경우 Azure PowerShell 모듈 설치를 참조하세요. 또한 PowerShell을 로컬로 실행하는 경우 Connect-AzAccount를 실행하여 Azure와 연결해야 합니다.

ASG를 사용하여 프라이빗 엔드포인트 만들기

ASG가 만들어지면 프라이빗 엔드포인트와 연결할 수 있습니다. 다음 절차에서는 ASG를 만들 때 프라이빗 엔드포인트와 연결하는 방법을 보여 줍니다.

포털

1. Azure Portal에 로그인합니다.

2. 포털 상단의 검색 상자에 프라이빗 엔드포인트를 입력합니다. 검색 결과에서 프라이빗 엔드포인트를 선택합니다.

3. 프라이빗 엔드포인트에서 + 만들기를 선택합니다.

4. 프라이빗 엔드포인트 만들기의 기본 사항 탭에서 다음 정보를 입력하거나 선택합니다.

   값	설정
   프로젝트 세부 정보
   Subscription	구독을 선택합니다.
   Resource group	리소스 그룹을 선택합니다. 이 예제에서는 myResourceGroup입니다.
   인스턴스 세부 정보
   이름	myPrivateEndpoint를 입력합니다.
   지역	미국 동부를 선택합니다.

5. 페이지 하단에서 다음: 리소스 를 선택합니다.

6. 리소스 탭에서 다음 정보를 입력하거나 선택합니다.

   값	설정
   연결 방법	내 디렉터리의 Azure 리소스에 연결을 선택합니다.
   Subscription	구독을 선택합니다.
   리소스 유형	Microsoft.Web/sites를 선택합니다.
   리소스	mywebapp1979를 선택합니다.
   대상 하위 리소스	사이트를 선택합니다.

7. 페이지 하단에서 다음: 가상 네트워크를 선택합니다.

8. 가상 네트워크 탭에서 다음 정보를 입력하거나 선택합니다.

   값	설정
   네트워킹
   가상 네트워크	myVNet을 선택합니다.
   서브넷	서브넷을 선택합니다. 이 예제에서는 myVNet/myBackendSubnet(10.0.0.0/24)입니다.
   이 서브넷의 모든 프라이빗 엔드포인트에 대해 네트워크 정책을 사용합니다.	선택된 기본값을 그대로 둡니다.
   애플리케이션 보안 그룹
   애플리케이션 보안 그룹	myASG를 선택합니다.

9. 페이지 아래쪽의 다음: DNS를 선택합니다.

10. 페이지 하단에서 다음: 태그를 선택합니다.

11. 완료되면 다음: 리뷰 + 만들기를 클릭합니다.

12. 만들기를 실행합니다.

PowerShell

## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979

## Create the private endpoint connection. ## 
$pec = @{
    Name = 'myConnection'
    PrivateLinkServiceId = $webapp.ID
    GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec

## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'

## Place the application security group you created previously into a variable. ##
$asg = Get-AzApplicationSecurityGroup -ResourceGroupName 'myResourceGroup' -Name 'myASG'

## Create the private endpoint. ##
$pe = @{
    ResourceGroupName = 'myResourceGroup'
    Name = 'myPrivateEndpoint'
    Location = 'eastus'
    Subnet = $vnet.Subnets[0]
    PrivateLinkServiceConnection = $privateEndpointConnection
    ApplicationSecurityGroup = $asg
}
New-AzPrivateEndpoint @pe

CLI

id=$(az webapp list \
    --resource-group myResourceGroup \
    --query '[].[id]' \
    --output tsv)

asgid=$(az network asg show \
    --name myASG \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

az network private-endpoint create \
    --connection-name myConnection \
    --name myPrivateEndpoint \
    --private-connection-resource-id $id \
    --resource-group myResourceGroup \
    --subnet myBackendSubnet \
    --asg id=$asgid \
    --group-id sites \
    --vnet-name myVNet    

기존 프라이빗 엔드포인트와 ASG 연결

ASG를 기존 프라이빗 엔드포인트와 연결할 수 있습니다. 다음 절차에서는 ASG를 기존 프라이빗 엔드포인트와 연결하는 방법을 보여 줍니다.

Important

이 섹션의 단계를 진행하려면 이전에 배포된 프라이빗 엔드포인트가 있어야 합니다. 이 섹션에서 사용되는 예제 엔드포인트의 이름은 myPrivateEndpoint입니다. 예제를 프라이빗 엔드포인트로 바꿉니다.

포털

1. Azure Portal에 로그인합니다.

2. 포털 상단의 검색 상자에 프라이빗 엔드포인트를 입력합니다. 검색 결과에서 프라이빗 엔드포인트를 선택합니다.

3. 프라이빗 엔드포인트에서 myPrivateEndpoint를 선택합니다.

4. myPrivateEndpoint의 설정에서 애플리케이션 보안 그룹을 선택합니다.

5. 애플리케이션 보안 그룹의 드롭다운 상자에서 myASG를 선택합니다.

6. 저장을 선택합니다.

PowerShell

ASG를 기존 프라이빗 엔드포인트와 Azure PowerShell과 연결하는 것은 현재 지원되지 않습니다.

CLI

asgid=$(az network asg show \
    --name myASG \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

az network private-endpoint asg add \
    --resource-group myResourceGroup \
    --endpoint-name myPrivateEndpoint \
    --asg-id $asgid

다음 단계

Azure Private Link에 대한 자세한 내용은 다음을 참조하세요.

• Azure Private Link란?