다음을 통해 공유

가상 머신 원격 액세스 계획

  • 아티클

이 문서에서는 Azure 랜딩 존 아키텍처 내에 배포된 VM(가상 머신)에 대한 원격 액세스를 제공하기 위해 권장되는 지침을 설명합니다.

Azure는 VM에 대한 원격 액세스를 제공하기 위해 다양한 기술을 제공합니다.

  • 브라우저를 통해 또는 Windows 워크스테이션의 네이티브 SSH/RDP 클라이언트를 통해 현재 미리 보기로 VM에 액세스하기 위한 PaaS(Platform as a Service) 솔루션인 Azure Bastion
  • 클라우드용 Microsoft Defender를 통해 제공되는 JIT(Just-In-Time) 액세스
  • Azure ExpressRoute 및 VPN과 같은 하이브리드 연결 옵션
  • VM에 직접 연결되거나 Azure 공용 부하 분산 장치를 통해 NAT 규칙을 통해 연결된 공용 IP

가장 적합한 원격 액세스 솔루션의 선택은 규모, 토폴로지, 보안 요구 사항과 같은 요인에 따라 달라집니다.

디자인 고려 사항

  • 사용 가능한 경우 ExpressRoute 또는 S2S/P2S VPN 연결을 통해 Azure 가상 네트워크에 대한 기존 하이브리드 연결을 사용하여 온-프레미스에서 Windows 및 Linux Azure VM으로의 원격 액세스를 제공할 수 있습니다.
  • NSG를 사용하여 Azure VM에 대한 SSH/RDP 연결을 보호할 수 있습니다.
  • JIT를 사용하면 다른 인프라를 배포하지 않고도 인터넷을 통해 원격 SSH/RDP에 액세스할 수 있습니다.
  • JIT 액세스에는 몇 가지 가용성 제한 사항이 있습니다.
    • JIT 액세스는 Azure Firewall Manager에서 제어하는 Azure 방화벽으로 보호되는 VM에 사용할 수 없습니다.
  • Azure Bastion은 추가 제어 계층을 제공합니다. 보안 TLS 채널을 통해 미리 보기 형태로 Azure Portal 또는 네이티브 클라이언트에서 직접 VM에 대한 안전하고 원활한 RDP/SSH 연결을 지원합니다. 또한 Azure Bastion은 하이브리드 연결이 필요하지 않습니다.
  • Azure Bastion 구성 설정 정보에서 설명한 대로 요구 사항에 따라 사용할 적절한 Azure Bastion SKU를 고려합니다.
  • 서비스에 대한 일반적인 질문에 대한 답변은 Azure Bastion FAQ를 검토하세요.
  • Kerberos 인증을 사용하는 Azure Bastion을 사용하려면 도메인 컨트롤러와 Azure Bastion이 모두 동일한 가상 네트워크에 있어야 합니다. 자세한 내용은 Azure Bastion Kerberos 인증을 참조하세요.
  • Azure Bastion은 Azure Virtual WAN 토폴로지에서 사용할 수 있습니다. 그러나 몇 가지 제한 사항이 있습니다.
    • Azure Bastion은 Virtual WAN 가상 허브에 배포할 수 없습니다.
    • Azure Bastion은 Standard SKU를 사용해야 하며 Azure Bastion 리소스에서도 IP based connection 기능을 사용하도록 설정해야 합니다. Azure Bastion IP 기반 연결 설명서를 참조하세요.
    • 라우팅이 올바르게 구성된 경우 가상 WAN에 연결된 스포크 가상 네트워크에 Azure Bastion을 구축하여 가상 시스템에 액세스하거나, 자체적으로 또는 연결된 허브를 통해 동일한 가상 WAN에 연결된 다른 가상 네트워크에 액세스할 수 있습니다.

또한 Azure Bastion IP 기반 연결을 사용하면 온-프레미스 기반 머신에 연결할 수 있으며, Azure Bastion 리소스와 연결하려는 컴퓨터 간에 하이브리드 연결이 설정됩니다. 포털을 통해 지정된 개인 IP 주소를 통해 VM에 연결

디자인 권장 사항

  • 기존 ExpressRoute 또는 VPN 연결을 사용하여 ExpressRoute 또는 VPN 연결을 통해 온-프레미스에서 액세스할 수 있는 Azure VM에 대한 원격 액세스를 제공합니다.
  • 가상 WAN 기반 네트워크 토폴로지에서는 인터넷을 통해 Virtual Machines에 원격으로 액세스해야 합니다.
    • Azure Bastion은 각 VM의 각 스포크 가상 네트워크에 배포할 수 있습니다.
    • 또는 그림 1과 같이 중앙 집중식 Azure Bastion 인스턴스 Virtual WAN 토폴로지의 단일 스포크에 배포하도록 선택할 수 있습니다. 이 구성은 사용자 환경에서 관리할 Azure Bastion 인스턴스의 수를 줄입니다. 이 시나리오에서는 Azure Bastion을 통해 Windows 및 Linux VM에 로그인하는 사용자가 Azure Bastion 리소스 및 선택한 스포크 가상 네트워크에 대한 판독기 역할을 수행하도록 요구합니다. 일부 구현에는 이를 제한하거나 방지하는 보안 또는 규정 준수 고려 사항이 있을 수 있습니다.
  • 허브 및 스포크 네트워크 토폴로지에서는 인터넷을 통해 Azure Virtual Machines에 원격으로 액세스해야 합니다.
    • 단일 Azure Bastion 호스트를 허브 가상 네트워크에 배포할 수 있으며, 가상 네트워크 피어링을 통해 스포크 가상 네트워크의 Azure VM에 대한 연결을 제공할 수 있습니다. 이 구성은 사용자 환경에서 관리할 Azure Bastion 인스턴스의 수를 줄입니다. 이 시나리오에서는 Azure Bastion을 통해 Windows 및 Linux VM에 로그인하는 사용자가 Azure Bastion 리소스 및 허브 가상 네트워크에 대한 판독기 역할을 수행하도록 요구합니다. 일부 구현에는 보안 또는 규정 준수 고려 사항이 있을 수 있습니다. 그림 2를 참조하세요.
    • 사용자 환경은 사용자에게 Azure Bastion 리소스 및 허브 가상 네트워크에서 RBAC(읽기 권한자 역할 기반 액세스 제어) 역할을 부여하는 것을 허용하지 않을 수 있습니다. Azure Bastion Basic 또는 Standard를 사용하여 스포크 가상 네트워크 내의 VM에 대한 연결을 제공합니다. 원격 액세스가 필요한 각 스포크 가상 네트워크에 전용 Azure Bastion 인스턴스를 배포합니다. 그림 3을 참조하세요.
  • Azure Bastion 및 연결을 제공하는 VM을 보호하도록 NSG 규칙을 구성합니다. Azure Bastion에서 VM 및 NSG 사용하기에 있는 지침을 따릅니다.
  • 중앙 Log Analytics 작업 영역으로 전송되도록 Azure Bastion 진단 로그를 구성합니다. Azure Bastion 리소스 로그 사용 및 작업에 있는 지침을 따릅니다.
  • Azure Bastion을 통해 VM에 연결하는 사용자 또는 그룹에 필요한 RBAC 역할 할당이 수행되었는지 확인합니다.
  • SSH를 통해 Linux VM에 연결하는 경우 Azure Key Vault에 저장된 프라이빗 키를 사용하여 연결하는 기능을 사용합니다.
  • 긴급 중단 액세스와 같은 특정 요구 사항을 해결하기 위해 Azure Bastion 및 ExpressRoute 또는 VPN 액세스를 배포합니다.
  • VM에 직접 연결된 공용 IP를 통해 Windows 및 Linux VM에 원격으로 액세스하는 것은 권장되지 않습니다. 엄격한 NSG 규칙 및 방화벽 없이 원격 액세스를 배포하면 안 됩니다.

Azure Virtual WAN 토폴로지를 보여 주는 다이어그램

그림 1: Azure Virtual WAN 토폴로지

Azure 허브 및 스포크 토폴로지를 보여 주는 다이어그램

그림 2: Azure 허브 및 스포크 토폴로지

Azure 독립 실행형 가상 네트워크 토폴로지를 보여 주는 다이어그램

그림 3: Azure 독립 실행형 가상 네트워크 토폴로지