Azure Bastion FAQ
Bastion 서비스 및 배포 FAQ
어떤 브라우저가 지원되나요?
브라우저는 HTML 5를 지원해야 합니다. Windows에서 Microsoft Edge 브라우저 또는 Chrome을 사용합니다. Apple Mac의 경우 Google Chrome 브라우저를 사용하세요. Microsoft Edge Chromium도 각각 Windows와 Mac에서 모두 지원됩니다.
가격은 어떻게 책정됩니까?
Azure Bastion 가격 책정은 SKU 및 인스턴스(스케일 단위)를 기준으로 시간별 가격 책정과 데이터 전송 요금의 조합입니다. 시간별 가격 책정은 아웃바운드 데이터 사용량에 관계없이 Bastion이 배포된 순간부터 시작됩니다. 최신 가격 책정 정보는 Azure Bastion 가격 책정 페이지를 참조하세요.
IPv6이 지원되나요?
현재 IPv6은 지원되지 않습니다. Azure Bastion은 IPv4만 지원합니다. 즉, IPv4 공용 IP 주소만 Bastion 리소스에 할당할 수 있으며, Bastion을 사용하여 IPv4 대상 VM에 연결할 수 있습니다. Bastion을 사용하여 이중 스택 대상 VM에 연결할 수도 있지만, Azure Bastion을 통해서만 IPv4 트래픽을 보내고 받을 수 있습니다.
Azure Bastion은 고객 데이터를 어디에 저장하나요?
Azure Bastion은 배포된 지역 외부로 고객 데이터를 이동하거나 저장하지 않습니다.
Azure Bastion은 가용성 영역을 지원하나요?
Azure Bastion의 가용성 영역 지원에 대한 자세한 내용은 Azure Bastion의 안정성을 참조하세요.
Azure Bastion은 Virtual WAN을 지원하나요?
예, Virtual WAN 배포에 Azure Bastion을 사용할 수 있습니다. 그러나 Virtual WAN 허브 내에서 Azure Bastion 배포는 지원되지 않습니다. 스포크 가상 네트워크에 Azure Bastion을 배포하고 IP 기반 연결 기능을 사용하여 Virtual WAN 허브를 통해 다른 가상 네트워크에 배포된 가상 머신에 연결할 수 있습니다. Azure Virtual WAN 허브가 보안 가상 허브로 Azure Firewall과 통합되는 경우 AzureBastionSubnet은 가상 네트워크 연결 수준에서 기본 0.0.0.0/0 경로 전파를 사용하지 않도록 설정된 Virtual Network 내에 있어야 합니다.
인터넷 트래픽을 온-프레미스 위치로 강제 터널링하는 경우 Azure Bastion을 사용할 수 있나요?
아니요, ExpressRoute 또는 VPN을 통해 기본 경로(0.0.0.0/0)를 보급하고 이 경로가 Virtual Network에 삽입되는 경우 Azure Bastion 서비스가 중단됩니다.
Azure Bastion은 특정 내부 엔드포인트와 통신하여 대상 리소스에 성공적으로 연결할 수 있어야 합니다. 따라서 선택한 영역 이름이 이러한 내부 엔드포인트의 이름과 겹치지 않는 한 Azure 프라이빗 DNS 영역에서 Azure Bastion을 사용할 수 있습니다. Azure Bastion 리소스를 배포하기 전에 호스트 가상 네트워크가 다음과 같은 정확한 이름을 가진 프라이빗 DNS 영역에 연결되어 있지 않은지 확인합니다.
- management.azure.com
- blob.core.windows.net
- core.windows.net
- vaultcore.windows.net
- vault.azure.net
- azure.com
이전 목록의 이름 중 하나로 끝나는 프라이빗 DNS 영역(예: privatelink.blob.core.windows.net)을 사용할 수 있습니다.
Azure Bastion은 국가 클라우드의 Azure 프라이빗 DNS 영역에서 지원되지 않습니다.
내 privatelink.azure.com을 Management.privatelink.azure.com으로 확인할 수 없습니다.
이는 Bastion 가상 네트워크에 연결된 privatelink.azure.com의 프라이빗 DNS 영역으로 인해 management.azure.com CNAME이 백그라운드에서 management.privatelink.azure.com으로 확인되기 때문일 수 있습니다. 성공적인 DNS 확인을 위해 privatelink.azure.com 영역에서 management.privatelink.azure.com에 대한 CNAME 레코드를 arm-frontdoor-prod.trafficmanager.net에 만듭니다.
Azure Bastion은 Private Link를 지원하나요?
아니요, Azure Bastion은 현재 Azure Private Link를 지원하지 않습니다.
포털에서 "Bastion 배포"를 사용할 때 "서브넷 추가 실패" 오류가 발생하는 이유는 무엇인가요?
현재 대부분의 주소 공간의 경우 Bastion 배포를 선택하기 전에 가상 네트워크에 AzureBastionSubnet이라는 서브넷을 추가해야 합니다.
AzureBastionSubnet에 Bastion을 배포하려면 특별한 권한이 필요한가요?
AzureBastionSubnet에 Bastion을 배포하려면 쓰기 권한이 필요합니다. 예: Microsoft.Network/virtualNetworks/write.
크기가 /27 이하(/28, /29 등)인 Azure Bastion 서브넷을 사용할 수 있나요?
2021년 11월 2일 이후에 배포되는 Azure Bastion 리소스의 경우 최소 AzureBastionSubnet 크기는 /26 이상(/25, /24 등)입니다. 이 날짜 이전에 크기가 /27인 서브넷에 배포된 모든 Azure Bastion 리소스는 이 변경의 영향을 받지 않으며 계속 작동합니다. 그러나 향후 호스트 크기 조정을 활용하도록 선택하는 경우를 대비하여 기존 AzureBastionSubnet의 크기를 /26으로 늘리는 것이 좋습니다.
Azure Bastion 서브넷에 여러 Azure 리소스를 배포할 수 있나요?
아니요. Azure Bastion 서브넷(AzureBastionSubnet)은 Azure Bastion 리소스의 배포용으로만 예약되어 있습니다.
Azure Bastion 서브넷에서 UDR(사용자 정의 라우팅)이 지원되나요?
아니요. UDR은 Azure Bastion 서브넷에서 지원되지 않습니다.
동일한 가상 네트워크에서 Azure Bastion과 Azure Firewall/NVA(네트워크 가상 어플라이언스)를 모두 포함하는 시나리오의 경우, Azure Bastion과 VM 간의 통신이 비공개이기 때문에 Azure Bastion 서브넷에서 Azure Firewall으로 트래픽을 강제로 전송할 필요가 없습니다. 자세한 내용은 Bassion으로 Azure Firewall 뒤에 있는 VM에 액세스를 참조하세요.
어떤 SKU를 사용해야 하나요?
Azure Bastion에는 여러 SKU가 있습니다. 연결 및 기능 요구 사항에 따라 SKU를 선택해야 합니다. SKU 계층과 지원되는 연결 및 기능의 전체 목록을 보려면 구성 설정 문서를 참조하세요.
SKU를 업그레이드할 수 있나요?
예. 단계는 SKU 업그레이드를 참조하세요. SKU에 대한 자세한 내용은 구성 설정 문서를 참조하세요.
SKU를 다운그레이드할 수 있나요?
아니요. SKU 다운그레이드는 지원되지 않습니다. SKU에 대한 자세한 내용은 구성 설정 문서를 참조하세요.
Bastion에서 Azure Virtual Desktop에 대한 연결을 지원하나요?
아니요, Azure Virtual Desktop에 대한 Bastion 연결은 지원되지 않습니다.
배포 실패를 처리하는 방법은?
오류 메시지를 검토하고 필요에 따라 Azure Portal에서 지원 요청을 제기합니다. Azure 구독 제한, 할당량 및 제약 조건에서 배포 오류가 발생할 수 있습니다. 특히, 고객은 구독당 허용되는 공용 IP 주소 수 제한으로 인해 Azure Bastion 배포가 실패할 수 있습니다.
Bastion은 VNet을 다른 리소스 그룹으로 이동하는 것을 지원하나요?
아니요. 가상 네트워크를 다른 리소스 그룹으로 이동하는 경우(동일한 구독에 있더라도) 먼저 가상 네트워크에서 Bastion을 삭제한 다음, 가상 네트워크를 새 리소스 그룹으로 이동해야 합니다. 가상 네트워크가 새 리소스 그룹에 있으면 Bastion을 가상 네트워크에 배포할 수 있습니다.
Bastion은 Microsoft Entra 게스트 계정을 지원하나요?
예, Microsoft Entra 게스트 계정은 Bastion에 대한 액세스 권한을 부여받고 가상 머신에 연결할 수 있습니다. 그러나 Microsoft Entra 게스트 사용자는 Microsoft Entra 인증을 통해 Azure VM에 연결할 수 없습니다. 비게스트 사용자는 Microsoft Entra 인증을 통해 지원됩니다. Azure VM용 Microsoft Entra 인증(비게스트 사용자용)에 대한 자세한 내용은 Microsoft Entra ID를 사용하여 Azure에서 Windows 가상 머신에 로그인을 참조하세요.
Bastion 공유 가능 링크에서 사용자 지정 도메인이 지원되나요?
아니요, Bastion 공유 가능 링크에서는 사용자 지정 도메인이 지원되지 않습니다. 베스천 호스트 인증서의 CN/SAN에 특정 도메인을 추가하려고 하면 사용자에게 인증서 오류가 표시됩니다.
VM 연결 및 사용 가능한 기능 FAQ
가상 머신에 액세스할 때 꼭 필요한 역할이 있나요?
연결하려면 다음 역할이 필요합니다.
- 가상 머신에 대한 읽기 권한자 역할
- 가상 머신의 개인 IP를 사용하는 NIC에 대한 읽기 권한자 역할
- Azure Bastion 리소스에 대한 읽기 권한자 역할
- 대상 가상 머신의 가상 네트워크에 대한 읽기 권한자 역할(Bastion 배포가 피어링된 가상 네트워크에 있는 경우).
또한 사용자는 VM에 연결할 수 있는 권한(필요한 경우)이 있어야 합니다. 예를 들어, 사용자가 RDP를 통해 Windows VM에 연결하고 로컬 관리자 그룹의 멤버가 아닌 경우 원격 데스크톱 사용자 그룹의 멤버여야 합니다.
왜 Bastion 세션이 시작하기 전에 "세션이 만료되었습니다." 오류 메시지를 받나요?
다른 브라우저 세션이나 탭에서 URL로 직접 이동하는 경우 이 오류가 예상됩니다. 세션이 더 안전한지 Azure Portal을 통해서만 세션에 액세스할 수 있는지 확인하도록 돕습니다. Azure Portal에 로그인하고 세션을 다시 시작합니다.
Azure Bastion을 통해 연결하려면 내 가상 머신에 공용 IP가 필요한가요?
아니요. Azure Bastion을 사용하여 VM에 연결하는 경우 연결하려는 Azure 가상 머신에는 공용 IP가 필요하지 않습니다. Bastion 서비스는 가상 네트워크 내부에서 가상 머신의 개인 IP를 통해 가상 머신에 대한 RDP/SSH 세션/연결을 설정합니다.
RDP 또는 SSH 클라이언트가 필요하나요?
아니요. 브라우저를 사용하여 Azure Portal에서 가상 머신에 액세스할 수 있습니다. 사용 가능한 연결 및 방법은 VM 연결 및 기능 정보를 참조하세요.
사용자에게 RDP 연결을 위해 대상 VM에 대한 특정 권한이 필요하나요?
사용자가 RDP를 통해 Windows VM에 연결할 때 대상 VM에 대한 권한이 있어야 합니다. 사용자가 로컬 관리자가 아닌 경우 대상 VM의 원격 데스크톱 사용자 그룹에 사용자를 추가합니다.
네이티브 클라이언트를 사용하여 내 VM에 연결할 수 있나요?
예. 네이티브 클라이언트를 사용하여 로컬 컴퓨터에서 VM에 연결할 수 있습니다. 네이티브 클라이언트를 사용하여 VM에 연결을 참조하세요.
Azure 가상 머신에서 실행되는 에이전트가 필요하나요?
아니요. 브라우저 또는 Azure 가상 머신에 에이전트나 소프트웨어를 설치할 필요가 없습니다. Bastion 서비스는 에이전트 없이 사용할 수 있으며 RDP/SSH용 추가 소프트웨어가 필요하지 않습니다.
VM 세션에 지원되는 기능은 무엇인가요?
지원되는 기능은 VM 연결 및 기능 정보를 참조하세요.
공유 가능 링크를 통해 연결하는 로컬 사용자가 암호 초기화를 사용할 수 있나요?
아니요. 일부 조직에는 사용자가 처음으로 로컬 계정에 로그인할 때 암호 재설정을 요구하는 회사 정책이 있습니다. 공유 가능 링크를 사용할 때 "암호 초기화" 단추가 표시되더라도 사용자는 암호를 변경할 수 없습니다.
원격 오디오를 VM에 사용할 수 있나요?
예. VM 연결 및 기능 정보를 참조하세요.
Azure Bastion에서 파일 전송을 지원하나요?
Azure Bastion은 Bastion과 네이티브 RDP 또는 SSH 클라이언트를 사용하여 대상 VM과 로컬 컴퓨터 간의 파일 전송을 지원합니다. 현재 PowerShell을 사용하거나 Azure Portal을 통해 파일을 업로드하거나 다운로드할 수 없습니다. 자세한 내용은 네이티브 클라이언트를 사용하여 파일 업로드 및 다운로드를 참조하세요.
Bastion은 Entra ID 확장 조인 VM에서 작동하나요?
Bastion은 네이티브 클라이언트에서 RDP 및 SSH를 사용하는 Microsoft Entra 사용자용 Entra ID 확장 가입 VM과 포털에서만 SSH를 사용합니다. 포털의 RDP에 대한 Entra ID는 아직 지원되지 않습니다. 자세한 내용은 Microsoft Entra ID를 사용하여 Azure에서 Windows 가상 머신에 로그인을 참조하세요.
Bastion은 RDS 세션 호스트로 설정된 VM과 호환되나요?
Bastion은 RDS 세션 호스트로 설정된 VM에 대한 연결을 지원하지 않습니다.
Bastion 원격 세션 중에 지원되는 키보드 레이아웃은?
Azure Bastion은 현재 VM 내에서 다음 키보드 레이아웃을 지원합니다.
- en-us-qwerty
- en-gb-qwerty
- de-ch-qwertz
- de-de-qwertz
- fr-be-azerty
- fr-fr-azerty
- fr-ch-qwertz
- hu-hu-qwertz
- it-it-qwerty
- ja-jp-qwerty
- pt-br-qwerty
- es-es-qwerty
- es-latam-qwerty
- sv-se-qwerty
- tr-tr-qwerty
대상 언어에 대해 올바른 키 매핑을 설정하려면 로컬 컴퓨터에서 키보드 레이아웃을 대상 언어로 그리고 대상 VM 내의 키보드 레이아웃을 대상 언어로 설정해야 합니다. 대상 VM 내에서 올바른 키 매핑을 설정하기 위해서는 두 키보드를 대상 언어로 설정해야 합니다.
Windows 워크스테이션에서 대상 언어를 키보드 종류로 설정하려면 설정 > 시간 및 언어 > 언어 및 지역으로 차례로 이동합니다. “기본 설정 언어”에서 “언어 추가”를 선택하고 대상 언어를 추가합니다. 그러면 도구 모음에서 키보드 레이아웃을 볼 수 있습니다. 영어(미국)를 키보드 레이아웃으로 설정하려면 도구 모음에서 "ENG"를 선택하거나 Windows + 스페이스바를 클릭하여 키보드 레이아웃을 엽니다.
VM과 브라우저 간에 포커스를 전환하는 키보드 솔루션이 있나요?
사용자는 "Ctrl+Shift+Alt"를 사용하여 VM과 브라우저 간에 포커스를 효과적으로 전환할 수 있습니다.
인스턴스에서 키보드 또는 마우스 포커스를 되돌리려면 어떻게 해야 하나요?
Bastion 창 내에서 포커스를 다시 가져오려면 Windows 키를 연속 두 번 클릭합니다.
Bastion을 통해 지원되는 최대 화면 해상도는 얼마인가요?
현재 1920x1080(1080p)이 지원되는 최대 해상도입니다.
Azure Bastion은 대상 VM에 대한 표준 시간대 구성 또는 표준 시간대 리디렉션을 지원하나요?
Azure Bastion은 현재 표준 시간대 리디렉션을 지원하지 않으며 표준 시간대를 구성할 수 없습니다. 게스트 OS에 성공적으로 연결한 후 VM의 시간대 설정을 수동으로 업데이트할 수 있습니다.
Bastion 호스트의 유지 관리 중에 기존 세션의 연결이 끊어지나요?
예, 대상 Bastion 리소스의 기존 세션은 Bastion 리소스의 유지 관리 중에 연결이 끊어집니다.
JIT 정책을 사용하여 VM에 연결하고 있습니다. 추가 권한이 필요하나요?
사용자가 JIT 정책을 사용하여 VM에 연결하는 경우 추가 권한이 필요하지 않습니다. JIT 정책을 사용하여 VM에 연결하는 방법에 대한 자세한 내용은 VM에서 Just-In-Time 액세스 사용을 참조하세요.
VNet 피어링 FAQ
피어링된 가상 네트워크 간에 여러 Bastion 호스트를 배포할 수 있나요?
예. 기본적으로 사용자는 VM이 상주하는 동일한 가상 네트워크에 배포된 Bastion 호스트를 볼 수 있습니다. 그러나 연결 메뉴에서 사용자는 피어링된 네트워크에서 검색된 여러 Bastion 호스트를 볼 수 있습니다. 가상 네트워크에 배포된 VM에 연결하는 데 사용하고자 하는 Bastion 호스트를 선택할 수 있습니다.
피어링된 VNet이 다른 구독에 배포되는 경우 Bastion을 통한 연결이 작동하나요?
예, Bastion을 통한 연결은 단일 테넌트에 대한 다른 구독에서 피어링된 가상 네트워크에 대해 계속 작동합니다. 서로 다른 두 테넌트 간의 구독은 지원되지 않습니다. 연결 드롭다운 메뉴에서 Bastion을 보려면 사용자가 구독 > 전역 구독에서 액세스할 수 있는 하위 항목을 선택해야 합니다.
피어링된 VNet에 액세스할 수 있지만 여기에 배포된 VM은 볼 수 없습니다.
사용자에게 VM 및 피어링된 가상 네트워크 모두에 대한 읽기 액세스 권한이 있는지 확인합니다. 또한 사용자에게 다음 리소스에 대한 읽기 액세스 권한이 있는지 IAM에서 확인합니다.
- 가상 머신에 대한 읽기 권한자 역할
- 가상 머신의 개인 IP를 사용하는 NIC에 대한 읽기 권한자 역할
- Azure Bastion 리소스에 대한 읽기 권한자 역할
- 가상 네트워크의 읽기 권한자 역할(피어링된 가상 네트워크가 없는 경우 필요하지 않음)
사용 권한 | 설명 | 권한 유형 |
---|---|---|
Microsoft.Network/bastionHosts/read | 요새 호스트 가져오기 | 작업 |
Microsoft.Network/virtualNetworks/BastionHosts/action | 가상 네트워크의 베스천 호스트 참조를 가져옵니다. | 작업 |
Microsoft.Network/virtualNetworks/bastionHosts/default/action | 가상 네트워크의 베스천 호스트 참조를 가져옵니다. | 작업 |
Microsoft.Network/networkInterfaces/read | 네트워크 인터페이스 정의를 가져옵니다. | 작업 |
Microsoft.Network/networkInterfaces/ipconfigurations/read | 네트워크 인터페이스 IP 구성 정의를 가져옵니다. | 작업 |
Microsoft.Network/virtualNetworks/read | 가상 네트워크 정의를 가져옵니다. | 작업 |
Microsoft.Network/virtualNetworks/subnets/virtualMachines/read | 가상 네트워크 서브넷의 모든 가상 머신에 대한 참조를 가져옵니다. | 작업 |
Microsoft.Network/virtualNetworks/virtualMachines/read | 가상 네트워크의 모든 가상 머신에 대한 참조를 가져옵니다. | 작업 |
다음 단계
자세한 내용은 Azure Bastion이란?을 참조하세요.