Azure Bastion은 어떻게 작동하나요?

  • 5분

Azure Bastion은 가상 네트워크 또는 피어링된 가상 네트워크별로 배포됩니다. 구독, 계정 또는 VM(가상 머신)별로 배포되지 않습니다. 가상 네트워크에서 Azure Bastion 서비스를 프로비저닝한 후에는 동일한 가상 네트워크의 모든 VM에서 RDP 또는 SSH 환경을 사용할 수 있습니다.

다음 다이어그램은 포털을 통해 연결할 때 Azure Bastion이 작동하는 방식에 대한 개요를 보여 줍니다.

  1. Azure Portal에서 VM에 연결: Azure Portal의 VM 개요 페이지에서 연결>Bastion>Bastion 사용을 선택하고 VM의 자격 증명을 입력합니다.
  2. 브라우저가 Azure Bastion 호스트에 연결: 브라우저가 TLS(전송 계층 보안) 및 Azure Bastion 호스트의 공용 IP를 사용하여 인터넷을 통해 Azure Bastion에 연결합니다. Azure 게이트웨이 관리자는 포트 443 또는 4443에서 Azure Bastion 서비스에 대한 포털 연결을 관리합니다.
  3. Bastion이 RDP 또는 SSH를 사용하여 VM에 연결: Azure Bastion이 가상 네트워크에 있는 AzureBastionSubnet이라는 별도의 서브넷에 배포됩니다. 이 서브넷은 Azure Bastion을 배포할 때 만듭니다. 서브넷에는 /26 서브넷 마스크 이상의 주소 공간이 있을 수 있습니다. 이 서브넷에 다른 Azure 리소스를 배포하거나 서브넷 이름을 변경하지 마세요.
  4. Bastion이 VM을 브라우저로 스트리밍: Azure Bastion은 자동으로 로컬 디바이스로 스트리밍되는 HTML5 기반 웹 클라이언트를 사용합니다. Azure Bastion 서비스는 사용자 지정 프로토콜을 사용하여 세션 정보를 패키징합니다. 패키지는 TLS를 통해 전송됩니다.

Azure Bastion이 네트워크 보안 그룹을 사용하는지 확인

조직의 특정 네트워크 보안 그룹을 배포 및 구성하지 않은 경우에는 아무것도 수행할 필요가 없습니다. Azure Bastion은 VM으로 만든 기본 네트워크 보안 그룹을 사용합니다.

조직에 대해 구성된 네트워크 보안 그룹이 있는 경우 Azure Bastion이 RDP 또는 SSH를 통해 VM에 연결할 수 있는지 확인합니다. Azure Bastion 서브넷 IP 주소 범위에서 VM까지 RDP 및 SSH 연결을 허용하는 인바운드 규칙을 추가하는 것이 좋습니다.

Azure Bastion이 작동하려면 네트워크 보안 그룹이 다음 트래픽을 허용해야 합니다.

방향 허용
인바운드 Azure Bastion 서브넷 IP 주소 범위에서 VM 서브넷까지 RDP 및 SSH 연결.
인바운드 포트 443의 인터넷에서 Azure Bastion 공용 IP로의 TCP 액세스.
인바운드 포트 443 또는 4443에서 Azure 게이트웨이 관리자로부터의 TCP 액세스. Azure 게이트웨이 관리자는 Azure Bastion 서비스에 대한 포털 연결을 관리합니다.
아웃바운드 포트 443의 Azure 플랫폼에서 TCP 액세스. 이 트래픽은 진단 로깅에 사용됩니다.

Azure Portal에 Azure Bastion 호스트 배포

Azure Bastion을 배포하기 전에 가상 네트워크가 필요합니다. 기존 가상 네트워크를 사용하거나 가상 네트워크를 만들 때 Azure Bastion을 배포할 수 있습니다. 가상 네트워크에 AzureBastionSubnet이라는 서브넷을 만듭니다. 동일하거나 피어링된 가상 네트워크에 VM이 있는 경우 VM에 연결할 때 Azure Bastion을 선택하여 Azure Portal에서 배포를 완료합니다.

다음 두 섹션에서는 Azure Portal의 각 Azure Bastion 배포 옵션과 관련된 단계를 보여 줍니다. 이 작업은 다음 연습에서 수행하므로 아직은 이러한 단계를 완료할 필요가 없습니다.

가상 네트워크를 만들 때 Azure Bastion을 사용하도록 설정

Azure Bastion에 사용할 가상 네트워크가 아직 없는 경우 가상 네트워크를 만들고 보안 탭에서 Azure Bastion을 사용하도록 설정합니다.

가상 네트워크 만들기 워크플로에서 Azure Bastion 호스트를 사용하도록 설정하고 구성할 수 있는 보안 탭 스크린샷

  1. 사용을 선택하고 Azure Bastion 호스트의 이름을 입력합니다.
  2. 서브넷 마스크가 /26 이상인 서브넷 주소를 추가합니다.
  3. 사용할 공용 IP 주소가 아직 없는 경우 새로 만들기를 선택합니다.
  4. 가상 네트워크를 만든 후 이 가상 네트워크에 VM을 추가하거나 VM을 사용하여 가상 네트워크에 이 가상 네트워크를 피어합니다.

기존 가상 네트워크에 서브넷 추가 및 Azure Bastion 리소스 프로비저닝

기존 가상 네트워크에서 AzureBastionSubnet이라는 서브넷을 추가합니다.

서브넷 이름이 AzureBastionSubnet인 서브넷 추가 페이지 스크린샷

Azure Bastion을 프로비저닝하려면 포털의 VM에서 연결>Bastion>수동으로 구성을 선택합니다. Azure Bastion 리소스의 이름을 입력하고, 서브넷을 선택하고, 공용 IP를 만들고, 기타 작업을 수행합니다. Azure Bastion이 배포된 후 VM에 연결할 수 있습니다.

Azure Bastion 리소스 이름, 서브넷, 공용 IP 주소 만들기와 같이 기본적으로 채워진 필드가 있는 Bastion 만들기 페이지의 스크린샷.

Azure PowerShell 또는 Azure CLI를 사용하여 Azure Bastion 배포

Azure PowerShell 또는 Azure CLI를 사용하여 Azure Bastion을 배포하려면 명령을 실행하여 다음 리소스를 만듭니다.

  • 서브넷
  • 공용 IP
  • Azure Bastion 리소스

다음 섹션에서는 Azure Bastion 배포에 사용할 수 있는 예제를 보여 줍니다.

Azure PowerShell을 사용하여 Azure Bastion 배포

  1. cmdlet New-AzVirtualNetworkSubnetConfig를 사용하여 Azure Bastion 서브넷을 만든 다음 Add-AzVirtualNetworkSubnetConfig를 사용하여 기존 가상 네트워크에 서브넷을 추가합니다. 예를 들어 다음 명령은 가상 네트워크가 이미 있다고 가정합니다.

    $subnetName = "AzureBastionSubnet"
$virtualNetwork = MyVirtualNetwork
$addressPrefix = "10.0.2.0/24"
$subnet = New-AzVirtualNetworkSubnetConfig ` 
-Name $subnetName ` 
-AddressPrefix $addressPrefix `

Add-AzVirtualNetworkSubnetConfig ` 
-Name $subnetName `
-VirtualNetwork $virtualNetwork `
-AddressPrefix $addressprefix

  2. Azure Bastion의 공용 IP 주소를 만듭니다. Azure Bastion은 공용 IP 주소를 사용하여 포트 443을 통한 RDP/SSH 연결을 허용합니다. 공용 IP 주소는 Azure Bastion 리소스와 동일한 지역에 있어야 합니다.

    $publicip = New-AzPublicIpAddress `
-ResourceGroupName "myBastionRG" `
-name "myPublicIP" `
-location "westus2" `
-AllocationMethod Static `
-Sku Standard

  3. 가상 네트워크의 AzureBastionSubnet 서브넷에 Azure Bastion 리소스를 만듭니다.

    $bastion = New-AzBastion `
-ResourceGroupName "myBastionRG" `
-Name "myBastion" `
-PublicIpAddress $publicip `
-VirtualNetwork $virtualNetwork

Azure CLI를 사용하여 Azure Bastion 배포

  1. Azure Bastion 서브넷 만들기:

    az network vnet subnet create \
  --resource-group myBastionRG \
  --vnet-name MyVirtualNetwork \
  --name AzureBastionSubnet \
  --address-prefixes 10.0.2.0/24

  2. Azure Bastion의 공용 IP 주소를 만듭니다.

    az network public-ip create \
  --resource-group MyResourceGroup \
  --name MyPublicIp \
  --sku Standard \
  --location westus2

  3. Azure Bastion 리소스를 만듭니다.

    az network bastion create \
  --name MyBastion \
  --public-ip-address MyPublicIp \
  --resource-group MyResourceGroup \
  --vnet-name MyVnet \
  --location westus2

Azure Bastion을 사용하여 VM에 연결

필요한 리소스가 있다면 동일한 가상 네트워크 또는 피어링된 가상 네트워크에 있는 VM에 연결할 수 있어야 합니다. Azure Portal의 VM에서 Bastion을 선택하고 자격 증명을 입력합니다.

사용자 이름 및 인증 유형을 묻는 메시지가 표시된 Azure Bastion을 사용하여 연결 페이지 스크린샷

다음 단원에서는 기존 가상 네트워크에 Azure Bastion을 배포하는 단계를 진행합니다.