Bastion 구성 설정 정보
이 문서의 섹션에서는 Azure Bastion에 대한 리소스 및 설정을 설명합니다.
SKU
SKU는 계층이라고도 합니다. Azure Bastion은 여러 SKU 계층을 지원합니다. Bastion을 구성할 때 SKU 계층을 선택합니다. 사용하려는 기능에 따라 SKU 계층을 결정합니다. 다음 표는 해당 SKU별 기능 가용성을 보여 줍니다.
| 기능 | 개발자 SKU | 기본 SKU | 표준 SKU |
|---|---|---|---|
| 동일한 가상 네트워크의 대상 VM에 연결 | 예 | 네 | 예 |
| 피어링 가상 네트워크의 대상 VM에 대한 연결 | 예 | 예 | 예 |
| 동시 연결 지원 | 예 | 네 | 예 |
| AKV(Azure Key Vault)에서 Linux VM 프라이빗 키에 액세스 | 예 | 네 | 예 |
| SSH를 사용하여 Linux VM에 연결 | 예 | 예 | 예 |
| RDP를 사용하여 Windows VM에 연결 | 예 | 예 | 예 |
| RDP를 사용하여 Linux VM에 연결 | 아니요 | 없음 | 예 |
| SSH를 사용하여 Windows VM에 연결 | 아니요 | 없음 | 예 |
| 사용자 지정 인바운드 포트 지정 | 아니요 | 없음 | 예 |
| Azure CLI를 사용하여 VM에 연결 | 아니요 | 없음 | 예 |
| 호스트 스케일링 | 아니요 | 없음 | 예 |
| 파일 업로드 또는 다운로드 | 아니요 | 없음 | 예 |
| Kerberos 인증 | 예 | 예 | 예 |
| 공유 가능한 링크 | 아니요 | 없음 | 예 |
| IP 주소를 통해 VM에 연결 | 아니요 | 없음 | 예 |
| VM 오디오 출력 | 예 | 네 | 예 |
| 복사/붙여넣기 사용 안 함(웹 기반 클라이언트) | 아니요 | 없음 | 예 |
개발자 SKU(미리 보기)
Bastion 개발자 SKU는 저렴한 새로운 경량 SKU입니다. 이 SKU는 VM에 안전하게 연결하고 추가 기능이나 크기 조정이 필요하지 않은 개발자/테스트 사용자에게 적합합니다. Virtual Machine 연결 페이지를 통해 한 번에 하나의 Azure VM에 직접 연결할 수 있습니다.
개발자 SKU에는 기타 SKU 계층과는 다른 요구 사항 및 제한 사항이 있습니다. 자세한 내용 및 배포 단계는 자동으로 Bastion 배포 - 개발자 SKU를 참조하세요.
개발자 SKU(미리 보기)는 현재 다음 지역에서 사용할 수 있습니다.
- 미국 중부 EUAP
- 미국 동부 2 EUAP
- 미국 중서부
- 미국 중북부
- 미국 서부
- 북유럽
참고 항목
VNet 피어링이 현재 개발자 SKU에 지원되지 않습니다.
SKU 지정
| 메서드 | SKU 값 | 링크 |
|---|---|---|
| Azure Portal | 계층 - 개발자 | 빠른 시작 |
| Azure Portal | 계층 - 기본 | 빠른 시작 |
| Azure Portal | 계층 - 기본 또는 표준 | 자습서 |
| Azure PowerShell | 계층 - 기본 또는 표준 | 방법 |
| Azure CLI | 계층 - 기본 또는 표준 | 방법 |
SKU 업그레이드
언제든지 SKU를 업그레이드하여 더 많은 기능을 추가할 수 있습니다.
참고 항목
SKU 다운그레이드는 지원되지 않습니다. 다운그레이드하려면 Azure Bastion을 삭제한 후 다시 만들어야 합니다.
다음 방법을 사용하여 이 설정을 구성할 수 있습니다.
| 메서드 | 값 | 링크 |
|---|---|---|
| Azure Portal | 계층 | 방법 |
Azure Bastion 서브넷
Important
2021년 11월 2일 이후에 배포되는 Azure Bastion 리소스의 경우 최소 AzureBastionSubnet 크기는 /26 이상(/25, /24 등)입니다. 이 날짜 이전에 크기가 /27인 서브넷에 배포된 모든 Azure Bastion 리소스는 이 변경의 영향을 받지 않고 계속 작동하지만, 나중에 호스트 크기 조정을 사용하도록 선택하는 경우에는 기존 AzureBastionSubnet의 크기를 /26으로 늘리는 것이 좋습니다.
개발자 SKU를 제외한 모든 SKU를 사용하여 Azure Bastion을 배포하는 경우 Bastion에는 AzureBastionSubnet이라는 전용 서브넷이 필요합니다. Azure Bastion을 배포하려는 동일한 가상 네트워크에 이 서브넷을 만들어야 합니다. 서브넷에는 다음 구성이 있어야 합니다.
- 서브넷 이름은 AzureBastionSubnet이어야 합니다.
- 서브넷 크기는 /26 이상(/25, /24 등)이어야 합니다.
- 호스트 크기 조정을 위해 26 이상의 서브넷이 권장됩니다. 더 작은 서브넷 공간을 사용하면 배율 단위 수가 제한됩니다. 자세한 내용은 이 문서의 호스트 크기 조정 섹션을 참조하세요.
- 서브넷은 베스천 호스트와 동일한 VNet 및 리소스 그룹에 있어야 합니다.
- 서브넷에는 다른 리소스가 포함될 수 없습니다.
다음과 같은 방법으로 이 설정을 구성할 수 있습니다.
| 메서드 | 값 | 링크 |
|---|---|---|
| Azure Portal | 서브넷 | 빠른 시작 자습서 |
| Azure PowerShell | -subnetName | cmdlet |
| Azure CLI | --subnet-name | command |
공용 IP 주소
Azure Bastion 배포에는 개발자 SKU 배포를 제외한 공용 IP 주소가 필요합니다. 공용 IP에는 다음 구성이 있어야 합니다.
- 공용 IP 주소 SKU는 표준이어야 합니다.
- 공용 IP 주소 할당 방법은 고정이어야 합니다.
- 공용 IP 주소 이름은 이 공용 IP 주소를 참조하는 리소스 이름입니다.
- Azure Bastion에서 요구하는 기준을 충족하고 아직 사용하지 않는 한, 이미 만든 공용 IP 주소를 사용하도록 선택할 수 있습니다.
다음과 같은 방법으로 이 설정을 구성할 수 있습니다.
| 메서드 | 값 | 링크 |
|---|---|---|
| Azure Portal | 공용 IP 주소 | Azure Portal |
| Azure PowerShell | -PublicIpAddress | cmdlet |
| Azure CLI | --public-ip create | command |
인스턴스 및 호스트 스케일링
인스턴스는 Azure Bastion을 구성할 때 생성되는 최적화된 Azure VM입니다. Azure에서 완전히 관리되며 Azure Bastion에 필요한 모든 프로세스를 실행합니다. 인스턴스를 배율 단위라고도 합니다. Azure Bastion 인스턴스를 통해 클라이언트 VM에 연결합니다. 기본 SKU를 사용하여 Azure Bastion을 구성하면 2개의 인스턴스가 생성됩니다. 표준 SKU를 사용하는 경우 인스턴스 수(최소 2개의 인스턴스 포함)를 지정할 수 있습니다. 이를 호스트 크기 조정이라고 합니다.
각 인스턴스는 중간 워크로드에 대해 20개의 동시 RDP 연결과 40개의 동시 SSH 연결을 지원할 수 있습니다(자세한 내용은 Azure 구독 제한 및 할당량 참조). 인스턴스당 연결 수는 클라이언트 VM에 연결할 때 수행하는 작업에 따라 다릅니다. 예를 들어 데이터 집약적인 작업을 수행하는 경우 인스턴스가 처리할 더 큰 로드가 생성됩니다. 동시 세션을 초과하면 추가 배율 단위(인스턴스)가 필요합니다.
인스턴스는 AzureBastionSubnet에서 생성됩니다. 호스트 스케일링을 허용하려면 AzureBastionSubnet은 /26 이상이어야 합니다. 더 작은 서브넷을 사용하면 생성할 수 있는 인스턴스 수가 제한됩니다. AzureBastionSubnet에 대한 자세한 내용은 이 문서의 서브넷 섹션을 참조하세요.
다음과 같은 방법으로 이 설정을 구성할 수 있습니다.
| 메서드 | 값 | 링크 | 표준 SKU 필요 |
|---|---|---|---|
| Azure Portal | 인스턴트 수 | 방법 | 예 |
| Azure PowerShell | ScaleUnit | 방법 | 예 |
사용자 지정 포트
VM에 연결하는 데 사용할 포트를 지정할 수 있습니다. 기본적으로 연결하는 데 사용되는 인바운드 포트는 RDP의 경우 3389, SSH의 경우 22입니다. 사용자 지정 포트 값을 구성하는 경우 VM에 연결할 때 해당 값을 지정합니다.
사용자 지정 포트 값은 표준 SKU에 대해서만 지원됩니다.
공유 가능한 링크
Bastion 공유 가능한 링크 기능을 사용하면 사용자가 Azure Portal에 액세스하지 않고도 Azure Bastion을 사용하여 대상 리소스에 연결할 수 있습니다.
Azure 자격 증명이 없는 사용자가 공유 가능한 링크를 클릭하면 사용자에게 RDP 또는 SSH를 통해 대상 리소스에 로그인하라는 메시지를 표시하는 웹 페이지가 열립니다. 사용자는 해당 대상 리소스에 대한 Azure Portal에서 구성한 내용에 따라 사용자 이름 및 암호 또는 프라이빗 키를 사용하여 인증합니다. 사용자는 현재 Azure Bastion(VM 또는 가상 머신 확장 집합)을 사용하여 연결할 수 있는 동일한 리소스에 연결할 수 있습니다.
| 메서드 | 값 | 링크 | 표준 SKU 필요 |
|---|---|---|---|
| Azure Portal | 공유 가능한 링크 | 구성 | 예 |
다음 단계
자주 묻는 질문은 Azure Bastion FAQ를 참조하세요.