다음을 통해 공유


Azure Stack Hub에 대한 투명한 프록시

투명 프록시(가로채기, 인라인 또는 강제 프록시라고도 함)는 특별한 클라이언트 구성 없이 네트워크 계층에서 정상적인 통신을 가로채는 것입니다. 클라이언트는 프록시의 존재를 인식할 필요가 없습니다.

데이터 센터에서 프록시를 사용하기 위해 모든 트래픽이 필요한 경우 네트워크의 영역 간에 트래픽을 분리하여 정책에 따라 모든 트래픽을 처리하도록 투명 프록시를 구성합니다.

트래픽 유형

Azure Stack Hub의 아웃바운드 트래픽은 테넌트 트래픽 또는 인프라 트래픽으로 분류됩니다.

테넌트 트래픽은 가상 머신, 부하 분산 장치, VPN 게이트웨이, 앱 서비스 등을 통해 테넌트에서 생성됩니다.

인프라 트래픽은 ID, 패치 및 업데이트, 사용 메트릭, Marketplace 배포, 등록, 로그 수집, Windows Defender 등의 인프라 서비스에 할당된 공용 가상 IP 풀의 첫 번째 /27 범위에서 생성됩니다. 이러한 서비스의 트래픽은 Azure 엔드포인트로 라우팅됩니다. Azure는 프록시 또는 TLS/SSL이 가로채는 트래픽에 의해 수정된 트래픽을 허용하지 않습니다. 이러한 이유로 Azure Stack Hub는 네이티브 프록시 구성을 지원하지 않습니다.

투명한 프록시를 구성할 때 모든 아웃바운드 트래픽을 보내거나 프록시를 통해 인프라 트래픽만 보내도록 선택할 수 있습니다.

파트너 통합

Microsoft는 투명한 프록시 구성을 사용하여 Azure Stack Hub의 사용 사례 시나리오의 유효성을 검사하기 위해 업계 최고의 프록시 공급업체와 파트너십을 맺고 있습니다. 다음 다이어그램은 HA 프록시를 사용하는 Azure Stack Hub 네트워크 구성의 예입니다. 외부 프록시 디바이스는 테두리 디바이스의 북쪽에 배치해야 합니다.

테두리 디바이스 앞의 프록시가 있는 네트워크 다이어그램

또한 다음 방법 중 하나로 Azure Stack Hub에서 트래픽을 라우팅하도록 테두리 디바이스를 구성해야 합니다.

  • Azure Stack Hub에서 프록시 디바이스로 모든 아웃바운드 트래픽 라우팅
  • 정책 기반 라우팅을 통해 Azure Stack Hub 가상 IP 풀의 첫 번째 /27 범위에서 프록시 디바이스로 모든 아웃바운드 트래픽을 라우팅합니다.

샘플 테두리 구성은 이 문서의 예제 테두리 구성 섹션을 참조하세요.

Azure Stack Hub를 사용하여 유효성이 검사된 투명 프록시 구성에 대한 다음 문서를 검토합니다.

명시적 프록시를 통과하기 위해 Azure Stack Hub의 아웃바운드 트래픽이 필요한 시나리오에서 Sophos 및 Checkpoint 디바이스는 투명 모드를 통해 특정 트래픽 범위를 허용하는 이중 모드 기능을 제공하는 반면, 다른 범위는 명시적 모드를 통과하도록 구성할 수 있습니다. 이 기능을 사용하면 모든 테넌트 트래픽이 명시적 모드를 통해 전송되는 동안 인프라 트래픽만 투명 프록시를 통해 전송되도록 이러한 프록시 디바이스를 구성할 수 있습니다.

중요

SSL 트래픽 차단은 지원되지 않으며 엔드포인트에 액세스할 때 서비스 오류가 발생할 수 있습니다. ID에 필요한 엔드포인트와 통신하는 데 지원되는 최대 시간 제한은 3번의 재시도를 통해 60대입니다. 자세한 내용은 Azure Stack Hub 방화벽 통합을 참조하세요.

예제 테두리 구성

이 솔루션은 ACL(액세스 제어 목록)에 의해 구현된 관리자 정의 조건 집합을 사용하는 PBR(정책 기반 라우팅)을 기반으로 합니다. ACL은 대상 IP 주소만을 기반으로 하는 일반 라우팅이 아니라 경로 맵에 구현된 프록시 디바이스의 다음 홉 IP로 전달되는 트래픽을 분류합니다. 포트 80 및 443에 대한 특정 인프라 네트워크 트래픽은 국경 디바이스에서 투명한 프록시 배포로 라우팅됩니다. 투명 프록시는 URL 필터링을 수행하며 허용되는 트래픽은 삭제되지 않습니다 .

다음 구성 샘플은 Cisco Nexus 9508 섀시에 대한 것입니다.

이 시나리오에서는 인터넷에 액세스해야 하는 원본 인프라 네트워크는 다음과 같습니다.

  • 공용 VIP - 첫 번째 /27
  • 인프라 네트워크 - 마지막 /27
  • BMC 네트워크 - 마지막 /27

다음 서브넷은 이 시나리오에서 PBR(정책 기반 라우팅) 처리를 받습니다.

네트워크 IP 범위 PBR 치료를 받는 서브넷
공용 가상 IP 풀 172.21.107.0/27 중 첫 번째 /27 172.21.107.0/27 = 172.21.107.1 ~ 172.21.107.30
인프라 네트워크 마지막 /27/172.21.7.0/24 172.21.7.224/27 = 172.21.7.225 ~ 172.21.7.254
BMC 네트워크 마지막 /27/10.60.32.128/26 10.60.32.160/27 = 10.60.32.161 ~ 10.60.32.190

테두리 디바이스 구성

명령을 입력하여 PBR을 feature pbr 사용하도록 설정합니다.

****************************************************************************
PBR Configuration for Cisco Nexus 9508 Chassis
PBR Enivronment configured to use VRF08
The test rack has is a 4-node Azure Stack stamp with 2x TOR switches and 1x BMC switch. Each TOR switch 
has a single uplink to the Nexus 9508 chassis using BGP for routing. In this example the test rack 
is in it's own VRF (VRF08)
****************************************************************************
!
feature pbr
!

<Create VLANs that the proxy devices will use for inside and outside connectivity>

!
VLAN 801
name PBR_Proxy_VRF08_Inside
VLAN 802
name PBR_Proxy_VRF08_Outside
!
interface vlan 801
description PBR_Proxy_VRF08_Inside
no shutdown
mtu 9216
vrf member VRF08
no ip redirects
ip address 10.60.3.1/29
!
interface vlan 802
description PBR_Proxy_VRF08_Outside
no shutdown
mtu 9216
vrf member VRF08
no ip redirects
ip address 10.60.3.33/28
!
!
ip access-list PERMITTED_TO_PROXY_ENV1
100 permit tcp 172.21.107.0/27 any eq www
110 permit tcp 172.21.107.0/27 any eq 443
120 permit tcp 172.21.7.224/27 any eq www
130 permit tcp 172.21.7.224/27 any eq 443
140 permit tcp 10.60.32.160/27 any eq www
150 permit tcp 10.60.32.160/27 any eq 443
!
!
route-map TRAFFIC_TO_PROXY_ENV1 pbr-statistics
route-map TRAFFIC_TO_PROXY_ENV1 permit 10
  match ip address PERMITTED_TO_PROXY_ENV1
  set ip next-hop 10.60.3.34 10.60.3.35
!
!
interface Ethernet1/1
  description DownLink to TOR-1:TeGig1/0/47
  mtu 9100
  logging event port link-status
  vrf member VRF08
  ip address 192.168.32.193/30
  ip policy route-map TRAFFIC_TO_PROXY_ENV1
  no shutdown
!
interface Ethernet2/1
  description DownLink to TOR-2:TeGig1/0/48
  mtu 9100
  logging event port link-status
  vrf member VRF08
  ip address 192.168.32.205/30
  ip policy route-map TRAFFIC_TO_PROXY_ENV1
  no shutdown
!

<Interface configuration for inside/outside connections to proxy devices. In this example there are 2 firewalls>

!
interface Ethernet1/41
  description management interface for Firewall-1
  switchport
  switchport access vlan 801
  no shutdown
!
interface Ethernet1/42
  description Proxy interface for Firewall-1
  switchport
  switchport access vlan 802
  no shutdown
!
interface Ethernet2/41
  description management interface for Firewall-2
  switchport
  switchport access vlan 801
  no shutdown
!
interface Ethernet2/42
  description Proxy interface for Firewall-2
  switchport
  switchport access vlan 802
  no shutdown
!

<BGP network statements for VLAN 801-802 subnets and neighbor statements for R023171A-TOR-1/R023171A-TOR-2> 

!
router bgp 65000
!
vrf VRF08
address-family ipv4 unicast
network 10.60.3.0/29
network 10.60.3.32/28
!
neighbor 192.168.32.194
  remote-as 65001
  description LinkTo 65001:R023171A-TOR-1:TeGig1/0/47
  address-family ipv4 unicast
    maximum-prefix 12000 warning-only
neighbor 192.168.32.206
  remote-as 65001
  description LinkTo 65001:R023171A-TOR-2:TeGig1/0/48
  address-family ipv4 unicast
    maximum-prefix 12000 warning-only
!
!

PBR 처리를 가져올 트래픽을 식별하는 데 사용할 새 ACL을 만듭니다. 이 트래픽은 이 예제에 설명된 대로 프록시 서비스를 가져오는 테스트 랙의 호스트/서브넷에서 웹 트래픽(HTTP 포트 80 및 HTTPS 포트 443)입니다. 예를 들어 ACL 이름은 PERMITTED_TO_PROXY_ENV1.

ip access-list PERMITTED_TO_PROXY_ENV1
100 permit tcp 172.21.107.0/27 any eq www <<HTTP traffic from CL04 Public Admin VIPs leaving test rack>>
110 permit tcp 172.21.107.0/27 any eq 443 <<HTTPS traffic from CL04 Public Admin VIPs leaving test rack>>
120 permit tcp 172.21.7.224/27 any eq www <<HTTP traffic from CL04 INF-pub-adm leaving test rack>>
130 permit tcp 172.21.7.224/27 any eq 443 <<HTTPS traffic from CL04 INF-pub-adm leaving test rack>>
140 permit tcp 10.60.32.160/27 any eq www <<HTTP traffic from DVM and HLH leaving test rack>>
150 permit tcp 10.60.32.160/27 any eq 443 <<HTTPS traffic from DVM and HLH leaving test rack>>

PBR 기능의 핵심은 TRAFFIC_TO_PROXY_ENV1 경로 맵에 의해 구현됩니다. pbr-statistics 옵션이 추가되어 정책 일치 통계를 확인하여 PBR 전달을 수행하고 받지 않는 패킷 수를 확인할 수 있습니다. 경로 맵 시퀀스 10은 ACL PERMITTED_TO_PROXY_ENV1 조건을 충족하는 트래픽에 대한 PBR 처리를 허용합니다. 해당 트래픽은 예제 구성의 기본/보조 프록시 디바이스에 대한 VIP인 및 10.60.3.3510.60.3.34 다음 홉 IP 주소로 전달됩니다.

!
route-map TRAFFIC_TO_PROXY_ENV1 pbr-statistics
route-map TRAFFIC_TO_PROXY_ENV1 permit 10
  match ip address PERMITTED_TO_PROXY_ENV1
  set ip next-hop 10.60.3.34 10.60.3.35

ACL은 TRAFFIC_TO_PROXY_ENV1 경로 맵의 일치 조건으로 사용됩니다. 트래픽이 PERMITTED_TO_PROXY_ENV1 ACL과 일치하면 PBR은 일반 라우팅 테이블을 재정의하고 대신 나열된 IP 다음 홉에 트래픽을 전달합니다.

TRAFFIC_TO_PROXY_ENV1 PBR 정책은 CL04 호스트 및 공용 VIP와 테스트 랙의 HLH 및 DVM에서 테두리 디바이스로 들어오는 트래픽에 적용됩니다.

다음 단계

방화벽 통합에 대한 자세한 내용은 Azure Stack Hub 방화벽 통합을 참조하세요.