Azure CLI 사용하여 Bastion 배포

이 문서에서는 CLI를 사용하여 Azure Bastion 배포하는 방법을 보여줍니다. Azure Bastion은 VM에 설치하여 사용자가 직접 유지 관리하는 요새 호스트가 아닌, 제공자가 유지 관리하는 PaaS 서비스입니다. Azure Bastion 배포는 구독/계정이나 가상 머신이 아닌 가상 네트워크별로 이루어집니다. Azure Bastion 대한 자세한 내용은 Azure Bastion?

Bastion이 가상 네트워크에 배포되면 개인 IP 주소를 통해 VM에 연결할 수 있습니다. 이 원활한 RDP/SSH 환경은 동일한 가상 네트워크의 모든 VM에서 사용할 수 있습니다. 다른 항목에 필요하지 않은 공용 IP 주소가 VM에 있는 경우 제거할 수 있습니다.

Azure Bastion architecture.

이 문서에서는 가상 네트워크를 만들고(아직 없는 경우), CLI를 사용하여 Azure Bastion 배포하고, VM에 연결합니다. 또한 다음과 같은 다른 방법을 사용하여 Bastion을 배포할 수 있습니다.

• Azure 포털
• Azure PowerShell
• 빠른 시작 - 기본 설정 및 표준 SKU를 사용하여 Bastion 배포

참고

Azure Private DNS 영역에서 Azure Bastion 사용할 수 있습니다. 그러나 제한 사항이 있습니다. 자세한 내용은 Azure Bastion FAQ 참조하세요.

시작하기 전에

Azure 구독

Azure 구독이 있는지 확인합니다. 아직 Azure 구독이 없는 경우 MSDN 구독자 혜택을 활성화하거나 free 계정 등록할 수 있습니다.

Azure CLI

이 문서에서는 Azure CLI 사용합니다. 명령을 실행하려면 Azure Cloud Shell 사용할 수 있습니다. Azure Cloud Shell 이 문서의 단계를 실행하는 데 사용할 수 있는 무료 대화형 셸입니다. 여기에는 계정과 함께 사용하도록 미리 설치되고 구성된 일반적인 Azure 도구가 있습니다.

Cloud Shell 열려면 코드 블록의 오른쪽 위 모서리에서 시도 선택합니다. 또한 https://shell.azure.com 이동하여 별도의 브라우저 탭에서 Cloud Shell 시작하고 왼쪽 모서리의 드롭다운을 전환하여 Bash 또는 PowerShell을 반영할 수 있습니다. Copy를 선택하여 코드 블록을 복사하고, Cloud Shell 붙여넣고, Enter 키를 눌러 실행합니다.

Bastion 배포

이 섹션에서는 Azure CLI 사용하여 Azure Bastion 배포하는 데 도움이 됩니다.

중요함

시간당 가격 책정은 아웃바운드 데이터 사용량에 관계없이 Bastion이 배포되는 순간부터 시작됩니다. 자세한 내용은 가격 책정 및 SKU를 참조하세요. 자습서 또는 테스트의 일부로 Bastion을 배포하는 경우 이 리소스 사용을 마친 후 삭제하는 것이 좋습니다.

1. 가상 네트워크가 아직 없는 경우 az group create 및 az network vnet create를 사용하여 리소스 그룹 및 가상 네트워크를 만듭니다.

   az group create --name TestRG1 --location eastus
   

   az network vnet create --resource-group TestRG1 --name VNet1 --address-prefix 10.1.0.0/16 --subnet-name default --subnet-prefix 10.1.0.0/24
   

2. az network vnet subnet create를 사용하여 Bastion이 배포될 서브넷을 만듭니다. 만드는 서브넷 이름은 AzureBastionSubnet이어야 합니다. 이 서브넷은 Azure Bastion 리소스에만 예약됩니다. 명명 값이 AzureBastionSubnet인 서브넷이 없는 경우 Bastion은 배포되지 않습니다.

   • 만들 수 있는 가장 작은 서브넷 AzureBastionSubnet 크기는 /26입니다. 그러나 호스트 스케일링을 수용할 수 있도록 /26 이상 크기를 만드는 것이 좋습니다.
     • 크기 조정에 대한 자세한 내용은 구성 설정 - 호스트 크기 조정을 참조하세요.
     • 설정에 대한 자세한 내용은 구성 설정 - AzureBastionSubnet을 참조하세요.
   • 경로 테이블 또는 위임 없이 AzureBastionSubnet을 만듭니다.
   • AzureBastionSubnet의 네트워크 보안 그룹을 사용하는 경우 NSG 사용 문서를 참조하세요.

   az network vnet subnet create --name AzureBastionSubnet --resource-group TestRG1 --vnet-name VNet1 --address-prefix 10.1.1.0/26
   

3. Azure Bastion 공용 IP 주소를 만듭니다. 공용 IP는 포트 443을 통해 RDP/SSH에 액세스할 Bastion 리소스의 공용 IP 주소입니다. 공용 IP 주소는 만드는 Bastion 리소스와 동일한 지역에 있어야 합니다. 이러한 이유로 지정한 --location 값에 특히 주의해야 합니다.

   az network public-ip create --resource-group TestRG1 --name VNet1-ip --sku Standard --location eastus
   

4. az network bastion create를 사용하여 가상 네트워크에 대한 새 Azure Bastion 리소스를 만듭니다. Bastion 리소스가 생성되고 배포될 때까지 약 5분 정도 걸립니다.

   다음 예제에서는 기본 SKU를 사용하여 Bastion을 배포합니다. 다른 SKU를 사용하여 배포할 수도 있습니다. SKU에 따라 Bastion 배포에서 지원하는 기능이 결정됩니다. 명령에서 SKU를 지정하지 않으면 SKU는 기본적으로 표준으로 설정됩니다. 자세한 내용은 Bastion SKU를 참조하세요.

   az network bastion create --name VNet1-bastion --public-ip-address VNet1-ip --resource-group TestRG1 --vnet-name VNet1 --location eastus --sku Basic
   

VM에 연결

가상 네트워크에 VM이 아직 없는 경우 Quickstart: Windows VM 만들기 또는 Quickstart: Linux VM 만들기

다음 문서 또는 다음 섹션의 단계를 사용하여 VM에 연결할 수 있습니다. 일부 연결 형식에는 Bastion 표준 SKU 이상이 필요합니다.

• Windows VM에 연결
  • RDP
  • SSH
• Linux VM에 연결
  • SSH
• 확장 집합에 연결
• IP 주소를 통해 연결
• 네이티브 클라이언트에서 연결
  • Windows 클라이언트
  • Linux/SSH 클라이언트

포털을 사용하여 연결

다음 단계에서는 Azure 포털을 사용하여 한 가지 유형의 연결을 안내합니다.

1. Azure 포털 연결하려는 가상 머신으로 이동합니다.

2. 페이지 상단 창에서 연결>Bastion 을 차례대로 선택하여 Bastion 창으로 이동합니다. 왼쪽 메뉴를 통해 Bastion 창으로 이동하실 수도 있습니다.

3. Bastion 창에서 선택 가능한 옵션은 Bastion SKU에 따라 차이가 있습니다.

   표준 이상의 SKU를 사용하는 경우 더 많은 연결 프로토콜 및 포트 옵션을 사용할 수 있습니다. 옵션을 보려면 연결 설정을 펼칩니다. 일반적으로 VM에 대해 다른 설정을 구성하지 않는 한 RDP 및 포트 3389를 사용하여 Windows 컴퓨터에 연결합니다. SSH 및 포트 22를 사용하여 Linux 컴퓨터에 연결합니다.

   Basic SKU 사용하는 경우 RDP 및 포트 3389를 사용하여 Windows 컴퓨터에 연결합니다. 또한 기본 SKU의 경우 SSH 및 포트 22를 사용하여 Linux 컴퓨터에 연결합니다. 포트 번호 또는 프로토콜을 변경할 수 있는 옵션이 없습니다. 하지만 이 창에서 연결 설정 을 확장하면 RDP의 키보드 언어를 변경할 수 있습니다.

   개발자 SKU를 사용하는 경우 처음으로 연결할 때 Bastion이 자동으로 배포됩니다. RDP 및 포트 3389를 사용하여 Windows 컴퓨터에 연결하거나 SSH 및 포트 22를 사용하여 Linux 컴퓨터에 연결합니다. 개발자 SKU는 공유 풀 아키텍처를 사용하며 선택 지역에서 추가 비용 없이 사용할 수 있습니다.

4. 인증 형식을 선택하려면 드롭다운 목록에서 원하는 인증 유형을 고르세요. 프로토콜은 사용 가능한 인증 형식을 결정합니다. 필수 인증 값을 완료합니다.

5. 새 브라우저 탭에서 VM 세션을 열려면 새 브라우저 탭에서 열기 옵션을 선택한 상태로 유지하세요.

6. 연결을 선택하여 VM에 연결합니다.

7. 포트 443 및 Bastion 서비스를 사용하여 Azure 포털(HTML5를 통해)에서 가상 머신에 대한 연결이 직접 열리는지 확인합니다.

VM에 연결되어 있는 동안 바로 가기 키를 사용하면 로컬 컴퓨터의 바로 가기 키와 동일한 동작이 발생하지 않을 수 있습니다. 예를 들어 Windows 클라이언트에서 Windows VM에 연결된 경우 Ctrl+Alt+End는 로컬 컴퓨터에서 Ctrl+Alt+Delete의 바로 가기 키입니다. Windows VM에 연결된 동안 Mac에서 이 작업을 수행하려면 바로 가기 키는 fn+control+option+delete입니다.

오디오 출력을 사용하도록 설정하려면

VM에 대한 원격 오디오 출력을 사용하도록 설정할 수 있습니다. 일부 VM에서는 이 설정을 자동으로 사용하도록 설정하는 반면 다른 VM에서는 오디오 설정을 수동으로 사용하도록 설정해야 합니다. 설정은 VM 자체에서 변경됩니다. Bastion 배포에는 원격 오디오 출력을 사용하도록 설정하기 위해 특별한 구성 설정이 필요하지 않습니다. 오디오 입력은 현재 지원되지 않습니다.

참고

오디오 출력은 인터넷 연결의 대역폭을 사용합니다.

Windows VM에서 원격 오디오 출력을 사용하도록 설정하려면 다음을 수행합니다.

1. VM에 연결되면 도구 모음의 오른쪽 하단에 오디오 단추가 나타납니다. 오디오 단추를 마우스 오른쪽 단추로 클릭한 다음, 사운드를 선택합니다.
2. 팝업 메시지는 Windows Audio Service를 사용하도록 설정할지 묻습니다. 예를 선택합니다. 사운드 기본 설정에서 더 많은 오디오 옵션을 구성할 수 있습니다.
3. 사운드 출력을 확인하려면 도구 모음의 오디오 단추를 마우스로 가리킵니다.

VM 공용 IP 주소 제거

Azure Bastion 공용 IP 주소를 사용하여 클라이언트 VM에 연결하지 않습니다. VM에 대한 공용 IP 주소가 필요하지 않은 경우 공용 IP 주소를 분리할 수 있습니다. Azure VM에서 공용 IP 주소 삭제 참조하세요.

다음 단계

• Azure Bastion 서브넷에서 네트워크 보안 그룹을 사용하려면 NSG와 작업하기를 참조하세요.
• VNet 피어링을 이해하려면 VNet 피어링 및 Azure Bastion 참조하세요.