빠른 시작: 네트워크 보안 경계 만들기 - Azure CLI

Azure CLI를 사용하여 Azure Key Vault에 대한 네트워크 보안 경계를 만들어 네트워크 보안 경계를 시작합니다. 네트워크 보안 경계를 사용하면 Azure PaaS(PaaS) 리소스가 명시적으로 신뢰할 수 있는 경계 내에서 통신할 수 있습니다. 다음으로, 네트워크 보안 경계 프로필에서 PaaS 리소스 연결을 만들고 업데이트합니다. 그런 다음 네트워크 보안 경계 액세스 규칙을 만들고 업데이트합니다. 완료되면 이 빠른 시작에서 만든 모든 리소스를 삭제합니다.

Important

네트워크 보안 경계는 공개 미리 보기로 제공되며 모든 Azure 퍼블릭 클라우드 지역에서 사용할 수 있습니다. 이 미리 보기 버전은 서비스 수준 계약 없이 제공되며 프로덕션 워크로드에는 사용하지 않는 것이 좋습니다. 특정 기능이 지원되지 않거나 기능이 제한될 수 있습니다. 자세한 내용은 Microsoft Azure Preview에 대한 추가 사용 약관을 참조하세요.

필수 조건

• 활성 구독이 있는 Azure 계정. 체험 계정을 만듭니다.

• Azure 네트워크 보안 경계 공개 미리 보기 등록이 필요합니다. 등록하려면 구독에 AllowNSPInPublicPreview 기능 플래그를 추가합니다.

  기능 플래그를 추가하는 방법에 대한 자세한 내용은 Azure 구독에서 미리 보기 기능 설정을 참조하세요.

• 기능 플래그가 추가되면 구독에 리소스 공급자를 Microsoft.Network 다시 등록해야 합니다.

  • Azure Portal에서 리소스 공급자를 Microsoft.Network 다시 등록하려면 구독을 선택한 다음 리소스 공급자를 선택합니다. 다시 등록을 검색 Microsoft.Network 하고 선택합니다.

    

  • 리소스 공급자를 Microsoft.Network 다시 등록하려면 다음 Azure PowerShell 명령을 사용합니다.

  # Register the Microsoft.Network resource provider
  Register-AzResourceProvider -ProviderNamespace Microsoft.Network
  

  • 리소스 공급자를 Microsoft.Network 다시 등록하려면 다음 Azure CLI 명령을 사용합니다.

    # Register the Microsoft.Network resource provider
    az provider register --namespace Microsoft.Network
    

  리소스 공급자를 다시 등록하는 방법에 대한 자세한 내용은 Azure 리소스 공급자 및 유형을 참조 하세요.

• 최신 Azure CLI 또는 포털에서 Azure Cloud Shell을 사용할 수 있습니다.
  • 이 문서에 는 Azure CLI 버전 2.38.0 이상이 필요합니다. Azure Cloud Shell을 사용하는 경우 최신 버전이 이미 설치되어 있습니다.
• 최신 버전의 Azure CLI az extension add --name nsp로 업그레이드한 후 .

• Azure Cloud Shell에서 Bash 환경을 사용합니다. 자세한 내용은 Azure Cloud Shell의 Bash에 대한 빠른 시작을 참조하세요.

  

• CLI 참조 명령을 로컬에서 실행하려면 Azure CLI를 설치합니다. Windows 또는 macOS에서 실행 중인 경우 Docker 컨테이너에서 Azure CLI를 실행하는 것이 좋습니다. 자세한 내용은 Docker 컨테이너에서 Azure CLI를 실행하는 방법을 참조하세요.

  • 로컬 설치를 사용하는 경우 az login 명령을 사용하여 Azure CLI에 로그인합니다. 인증 프로세스를 완료하려면 터미널에 표시되는 단계를 수행합니다. 다른 로그인 옵션은 Azure CLI를 사용하여 로그인을 참조하세요.

  • 메시지가 표시되면 처음 사용할 때 Azure CLI 확장을 설치합니다. 확장에 대한 자세한 내용은 Azure CLI에서 확장 사용을 참조하세요.

  • az version을 실행하여 설치된 버전과 종속 라이브러리를 찾습니다. 최신 버전으로 업그레이드하려면 az upgrade를 실행합니다.

Azure 계정에 연결하고 구독 선택

시작하려면 Azure Cloud Shell에 연결하거나 로컬 CLI 환경을 사용합니다.

1. Azure Cloud Shell을 사용하는 경우 로그인하고 구독을 선택합니다.

2. CLI를 로컬로 설치한 경우 다음 명령을 사용하여 로그인합니다.

   # Sign in to your Azure account
   az login 
   

3. 셸에서 다음 명령을 사용하여 로컬로 활성 구독을 선택합니다.

   # List all subscriptions
   az account set --subscription <Azure Subscription>
   
   # Re-register the Microsoft.Network resource provider
   az provider register --namespace Microsoft.Network    
   

리소스 그룹 및 키 자격 증명 모음 만들기

네트워크 보안 경계를 만들려면 리소스 그룹 및 키 자격 증명 모음 리소스를 만들어야 합니다.
이 예제에서는 WestCentralUS 위치에 리소스 그룹이라는 리소스 그룹을 만들고 다음 명령을 사용하여 리소스 그룹에 key-vault-YYYYDDMM이라는 키 자격 증명 모음을 만듭니다.

az group create \
    --name resource-group \
    --location westcentralus

# Create a key vault using a datetime value to ensure a unique name

key_vault_name="key-vault-$(date +%s)"
az keyvault create \
    --name $key_vault_name \
    --resource-group resource-group \
    --location westcentralus \
    --query 'id' \
    --output tsv

네트워크 보안 경계 만들기

이 단계에서는 명령을 사용하여 네트워크 보안 경계를 만듭니다 az network perimeter create .

참고 항목

네트워크 보안 경계 규칙 또는 기타 네트워크 보안 경계 구성에 개인 식별 가능 또는 중요한 데이터를 배치하지 마세요.

az network perimeter create\
    --name network-security-perimeter \
    --resource-group resource-group \
    -l westcentralus

새 프로필과 PaaS 리소스의 연결 만들기 및 업데이트

이 단계에서는 새 프로필을 만들고 PaaS 리소스인 Azure Key Vault를 해당 및 명령을 사용하여 az network perimeter profile create 프로필과 az network perimeter association create 연결합니다.

참고 항목

및 --profile 매개 변수 값의 --private-link-resource 경우 각각 키 자격 증명 모음 및 <networkSecurityPerimeterProfileId> 프로필 ID의 값으로 바꿉 <PaaSArmId> 니다.

1. 다음 명령을 사용하여 네트워크 보안 경계에 대한 새 프로필을 만듭니다.

   # Create a new profile
   az network perimeter profile create \
       --name network-perimeter-profile \
       --resource-group resource-group \
       --perimeter-name network-security-perimeter
   
   

2. 다음 명령을 사용하여 Azure Key Vault(PaaS 리소스)를 네트워크 보안 경계 프로필과 연결합니다.

   
   # Get key vault id
   az keyvault show \
       --name $key_vault_name \
       --resource-group resource-group \
       --query 'id'
   
   # Get the profile id
   az network perimeter profile show \
       --name network-perimeter-profile \
       --resource-group resource-group \
       --perimeter-name network-security-perimeter
   
   # Associate the Azure Key Vault with the network security perimeter profile
   # Replace <PaaSArmId> and <networkSecurityPerimeterProfileId> with the ID values for your key vault and profile
   az network perimeter association create \
       --name network-perimeter-association \
       --perimeter-name network-security-perimeter \
       --resource-group resource-group \
       --access-mode Learning  \
       --private-link-resource "{id:<PaaSArmId>}" \
       --profile "{id:<networkSecurityPerimeterProfileId>}"
   
   

3. 다음과 같이 액세스 모드를 명령으로 az network perimeter association create 적용하도록 변경하여 연결을 업데이트합니다.

   az network perimeter association create \
       --name network-perimeter-association \
       --perimeter-name network-security-perimeter \
       --resource-group resource-group \
       --access-mode Enforced  \
       --private-link-resource "{id:<PaaSArmId>}" \
       --profile "{id:<networkSecurityPerimeterProfileId>}"
   

네트워크 보안 경계 액세스 규칙 관리

이 단계에서는 명령을 사용하여 공용 IP 주소 접두사를 사용하여 az network perimeter profile access-rule 네트워크 보안 경계 액세스 규칙을 만들고, 업데이트하고, 삭제합니다.

1. 다음 명령을 사용하여 만든 프로필에 대한 공용 IP 주소 접두사를 사용하여 인바운드 액세스 규칙을 만듭니다.

   
   # Create an inbound access rule
   az network perimeter profile access-rule create \
       --name access-rule \
       --profile-name network-perimeter-profile \
       --perimeter-name network-security-perimeter \
       --resource-group resource-group \
       --address-prefixes "[192.0.2.0/24]"
   
   

2. 다음 명령을 사용하여 다른 공용 IP 주소 접두사로 인바운드 액세스 규칙을 업데이트합니다.

   
   # Update the inbound access rule
   az network perimeter profile access-rule create\
       --name access-rule \
       --profile-name network-perimeter-profile \
       --perimeter-name network-security-perimeter \
       --resource-group resource-group \
       --address-prefixes "['198.51.100.0/24', '192.0.2.0/24']"
   
   

3. 액세스 규칙을 삭제해야 하는 경우 다음 명령을 사용합니다.

   # Delete the access rule
   az network perimeter profile access-rule delete \
       --Name network-perimeter-association \
       --profile-name network-perimeter-profile \
       --perimeter-name network-security-perimeter \
       --resource-group resource-group
   
   

참고 항목

관리 ID를 지원하는 리소스에 할당되지 않은 경우 동일한 경계 내의 다른 리소스에 대한 아웃바운드 액세스가 거부됩니다. 이 리소스의 액세스를 허용하기 위한 구독 기반 인바운드 규칙은 적용되지 않습니다.

모든 리소스 삭제

이 빠른 시작에서 네트워크 보안 경계 및 기타 리소스를 삭제하려면 다음 명령을 사용합니다.

    # Delete the network security perimeter association
    az network perimeter association delete \
        --name network-perimeter-association \
        --resource-group resource-group \
        --perimeter-name network-security-perimeter

    # Delete the network security perimeter
    az network perimeter delete \
        --resource-group resource-group \
        --name network-security-perimeter --yes
    
    # Delete the key vault
    az keyvault delete \
        --name $key_vault_name \
        --resource-group resource-group
    
    # Delete the resource group
    az group delete \
        --name resource-group \
        --yes \
        --no-wait

참고 항목

네트워크 보안 경계에서 리소스 연결을 제거하면 액세스 제어가 기존 리소스 방화벽 구성으로 대체됩니다. 이로 인해 리소스 방화벽 구성에 따라 액세스가 허용/거부될 수 있습니다. PublicNetworkAccess가 SecuredByPerimeter로 설정되고 연결이 삭제된 경우 리소스는 잠긴 상태가 됩니다. 자세한 내용은 Azure에서 네트워크 보안 경계로의 전환을 참조하세요.

다음 단계

Azure 네트워크 보안 경계에 대한 진단 로깅