자습서: Azure Portal을 사용하여 하이브리드 네트워크에서 Azure Firewall과 정책 배포 및 구성

온-프레미스 네트워크를 Azure 가상 네트워크에 연결하여 하이브리드 네트워크를 만드는 경우 Azure 네트워크 리소스에 대한 액세스를 제어하는 기능은 전체 보안 계획의 중요한 부분입니다.

Azure Firewall 및 방화벽 정책을 사용하면 허용 및 거부된 네트워크 트래픽을 정의하는 규칙을 사용해 하이브리드 네트워크에서 네트워크 액세스를 제어할 수 있습니다.

이 자습서에서는 다음과 같은 세 가상 네트워크를 만듭니다.

  • VNet-Hub - 방화벽이 이 가상 네트워크에 있습니다.
  • VNet-Spoke - 스포크 가상 네트워크는 Azure에 있는 워크로드를 나타냅니다.
  • VNet-Onprem - 온-프레미스 가상 네트워크는 온-프레미스 네트워크를 나타냅니다. 실제 배포에서는 VPN 또는 ExpressRoute 연결을 통해 연결할 수 있습니다. 간단히 하기 위해 이 자습서에서는 VPN 게이트웨이 연결을 사용하며 Azure에 있는 가상 네트워크를 사용하여 온-프레미스 네트워크를 나타냅니다.

Firewall in a hybrid network

이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.

  • 방화벽 허브 가상 네트워크 만들기
  • 스포크 가상 네트워크 만들기
  • 온-프레미스 가상 네트워크 만들기
  • 방화벽 및 정책 구성 및 배포
  • VPN 게이트웨이 만들기 및 연결
  • 허브 및 스포크 가상 네트워크 피어링
  • 경로 만들기
  • 가상 머신 만들기
  • 방화벽 테스트

Azure PowerShell을 대신 사용하여 이 절차를 완료하려면 Azure PowerShell을 사용하여 하이브리드 네트워크에서 Azure Firewall 배포 및 구성을 참조하세요.

필수 조건

하이브리드 네트워크는 허브 및 스포크 아키텍처 모델을 사용하여 Azure VNet과 온-프레미스 네트워크 간에 트래픽을 라우팅합니다. 허브 및 스포크 아키텍처에는 다음과 같은 요구 사항이 있습니다.

  • VNet-Hub를 VNet-Spoke에 피어링할 경우 이 가상 네트워크의 게이트웨이 또는 Route Server 사용을 설정합니다. 허브 및 스포크 네트워크 아키텍처에서 스포크 가상 네트워크는 게이트웨이 전송을 통해 모든 스포크 가상 네트워크에서 VPN 게이트웨이를 배포하는 대신 허브에서 VPN 게이트웨이를 공유할 수 있습니다.

    또한 게이트웨이에 연결된 가상 네트워크 또는 온-프레미스 네트워크에 대한 경로는 게이트웨이 전송을 사용하여 피어링된 가상 네트워크에 대한 라우팅 테이블에 자동으로 전파됩니다. 자세한 내용은 가상 네트워크 피어링을 위한 VPN 게이트웨이 전송 구성을 참조하세요.

  • VNet-Spoke를 VNet-Hub에 피어링하는 경우 원격 가상 네트워크의 게이트웨이 또는 Route Server 사용을 설정합니다. 원격 가상 네트워크의 게이트웨이 또는 Route Server 사용을 설정하고 원격 피어링에서 이 가상 네트워크의 게이트웨이 또는 Route Server 사용도 설정한 경우 스포크 가상 네트워크에서 원격 가상 네트워크의 게이트웨이를 사용하여 전송합니다.

  • 허브 방화벽을 통해 스포크 서브넷 트래픽을 라우팅하려면 가상 네트워크 게이트웨이 경로 전파 옵션을 사용하지 않도록 설정된 방화벽을 가리키는 UDR(사용자 정의 경로)을 사용하면 됩니다. 가상 네트워크 게이트웨이 경로 전파 사용 안 함 옵션은 스포크 서브넷에 대한 경로 배포를 방지합니다. 이렇게 하면 학습된 경로가 UDR과 충돌하지 않습니다. 가상 네트워크 게이트웨이 경로 전파를 사용하도록 설정하려면 BGP를 통해 온-프레미스에서 게시된 경로를 재정의하도록 방화벽에 대한 특정 경로를 정의해야 합니다.

  • 스포크 네트워크에 대한 다음 홉으로 방화벽 IP 주소를 가리키는 허브 게이트웨이 서브넷에서 UDR을 구성합니다. Azure Firewall 서브넷에서는 BGP로부터 경로를 학습하므로 UDR이 필요하지 않습니다.

이 경로를 만드는 방법은 이 자습서의 경로 만들기 섹션을 참조하세요.

참고 항목

Azure Firewall에는 직접 인터넷 연결이 있어야 합니다. AzureFirewallSubnet이 BGP를 통해 온-프레미스 네트워크에 대한 기본 경로를 학습하는 경우 이 경로를 직접 인터넷 연결을 유지하기 위해 Internet으로 설정된 NextHopType 값을 통해 0.0.0.0/0 UDR로 재정의해야 합니다.

Azure Firewall은 강제 터널링을 지원하도록 구성할 수 있습니다. 자세한 내용은 Azure Firewall 강제 터널링을 참조하세요.

참고 항목

직접 피어링된 VNet 사이의 트래픽은 UDR이 기본 게이트웨이로 Azure Firewall을 가리키는 경우에도 직접 라우팅됩니다. 이 시나리오에서 서브넷 트래픽에 대한 서브넷을 방화벽으로 보내려면 UDR에 두 가지 서브넷에 명시적으로 지정된 대상 서브넷 네트워크 접두사가 포함되어 있어야 합니다.

Azure 구독이 없는 경우 시작하기 전에 체험 계정을 만듭니다.

방화벽 허브 가상 네트워크 만들기

먼저 이 자습서에 대한 리소스를 포함하는 리소스 그룹을 만듭니다.

  1. Azure Portal에 로그인합니다.
  2. Azure Portal 홈페이지에서 리소스 그룹>만들기를 선택합니다.
  3. 구독의 경우 사용자의 구독을 선택합니다.
  4. 리소스 그룹 이름에 대해 FW-Hybrid-Test를 입력합니다.
  5. 지역에 대해 (US) 미국 동부를 선택합니다. 나중에 만드는 모든 리소스는 동일한 위치에 있어야 합니다.
  6. 검토 + 생성를 선택합니다.
  7. 만들기를 선택합니다.

이제 VNet을 만듭니다.

참고 항목

AzureFirewallSubnet 서브넷의 크기는 /26입니다. 서브넷 크기에 대한 자세한 내용은 Azure Firewall FAQ를 참조하세요.

  1. Azure Portal 홈 페이지에서 리소스 만들기를 선택합니다.
  2. 네트워킹 아래에서 가상 네트워크를 선택합니다.
  3. 만들기를 실행합니다.
  4. 리소스 그룹에 대해 FW-Hybrid-Test를 선택합니다.
  5. 이름에 대해 VNet-hub를 입력합니다.
  6. 다음: IP 주소를 선택합니다.
  7. IPv4 주소 공간의 경우 기본 주소를 삭제하고 10.5.0.0/16을 입력합니다.
  8. 서브넷 이름 아래에서 서브넷 추가를 선택합니다.
  9. 서브넷 이름AzureFirewallSubnet을 입력합니다. 방화벽은 이 서브넷에 있고 해당 서브넷 이름은 AzureFirewallSubnet이 되어야 합니다.
  10. 서브넷 주소 범위10.5.0.0/26을 입력합니다.
  11. 추가를 선택합니다.
  12. 검토 + 만들기를 선택합니다.
  13. 만들기를 선택합니다.

스포크 가상 네트워크 만들기

  1. Azure Portal 홈 페이지에서 리소스 만들기를 선택합니다.
  2. 네트워킹에서 가상 네트워크를 선택합니다.
  3. 만들기를 실행합니다.
  4. 리소스 그룹에 대해 FW-Hybrid-Test를 선택합니다.
  5. 이름에 대해 VNet-Spoke를 입력합니다.
  6. 지역에 대해 (US) 미국 동부를 선택합니다.
  7. 다음: IP 주소를 선택합니다.
  8. IPv4 주소 공간의 경우 기본 주소를 삭제하고 10.6.0.0/16을 입력합니다.
  9. 서브넷 이름 아래에서 서브넷 추가를 선택합니다.
  10. 서브넷 이름SN-Workload를 입력합니다.
  11. 서브넷 주소 범위10.6.0.0/24를 입력합니다.
  12. 추가를 선택합니다.
  13. 검토 + 만들기를 선택합니다.
  14. 만들기를 선택합니다.

온-프레미스 가상 네트워크 만들기

  1. Azure Portal 홈 페이지에서 리소스 만들기를 선택합니다.
  2. 네트워킹에서 가상 네트워크를 선택합니다.
  3. 리소스 그룹에 대해 FW-Hybrid-Test를 선택합니다.
  4. 이름에 대해 VNet-OnPrem을 입력합니다.
  5. 지역에 대해 (US) 미국 동부를 선택합니다.
  6. 다음: IP 주소를 선택합니다.
  7. IPv4 주소 공간의 경우 기본 주소를 삭제하고 192.168.0.0/16을 입력합니다.
  8. 서브넷 이름 아래에서 서브넷 추가를 선택합니다.
  9. 서브넷 이름SN-Corp를 입력합니다.
  10. 서브넷 주소 범위192.168.1.0/24를 입력합니다.
  11. 추가를 선택합니다.
  12. 검토 + 만들기를 선택합니다.
  13. 만들기를 선택합니다.

이제 게이트웨이에 대한 두 번째 서브넷을 만듭니다.

  1. VNet-Onprem 페이지에서 서브넷을 선택합니다.
  2. +서브넷을 선택합니다.
  3. 이름에 대해 GatewaySubnet을 입력합니다.
  4. 서브넷 주소 범위192.168.2.0/24를 입력합니다.
  5. 저장을 선택합니다.

방화벽 구성 및 배포

이제 방화벽을 방화벽 허브 가상 네트워크에 배포합니다.

  1. Azure Portal 홈 페이지에서 리소스 만들기를 선택합니다.

  2. 왼쪽 열에서 네트워킹을 선택하고 방화벽을 검색하여 선택한 다음 만들기를 선택합니다.

  3. 방화벽 만들기 페이지에서 다음 표를 사용하여 방화벽을 구성합니다.

    설정
    구독 <구독>
    리소스 그룹 FW-Hybrid-Test
    이름 AzFW01
    지역 미국 동부
    방화벽 계층 Standard
    방화벽 관리 방화벽 정책을 사용하여 이 방화벽 관리
    방화벽 정책 새로 추가:
    hybrid-test-pol
    미국 동부
    가상 네트워크 선택 기존 리소스 사용:
    VNet-hub
    공용 IP 주소 새로 추가:
    fw-pip
  4. 검토 + 만들기를 선택합니다.

  5. 요약을 검토한 다음, 만들기를 선택하여 방화벽을 만듭니다.

    배포하는 데 몇 분 정도 걸립니다.

  6. 배포가 완료되면 FW-Hybrid-Test 리소스 그룹으로 이동하고, AzFW01 방화벽을 선택합니다.

  7. 개인 IP 주소를 참고합니다. 기본 경로를 만들 때 나중에 사용할 수 있습니다.

네트워크 규칙 구성

먼저 웹 트래픽을 허용하는 네트워크 규칙을 추가합니다.

  1. FW-Hybrid-Test 리소스 그룹에서 hybrid-test-pol 방화벽 정책을 선택합니다.
  2. 네트워크 규칙을 선택합니다.
  3. 규칙 컬렉션 추가를 선택합니다.
  4. 이름에 대해 RCNet01을 입력합니다.
  5. 우선 순위에 대해 100을 입력합니다.
  6. 규칙 컬렉션 작업에 대해 허용을 선택합니다.
  7. 규칙 아래에서 이름에 대해 AllowWeb을 입력합니다.
  8. 원본 유형에 대해 IP 주소를 선택합니다.
  9. 원본에 대해 192.168.1.0/24를 선택합니다.
  10. 프로토콜의 경우 TCP를 선택합니다.
  11. 대상 포트에 대해 80을 입력합니다.
  12. 대상 유형에 대해 IP 주소를 선택합니다.
  13. 대상에 대해 10.6.0.0/16을 입력합니다.

이제 RDP 트래픽을 허용하는 규칙을 추가합니다.

두 번째 규칙 행에서 다음 정보를 입력합니다.

  1. 이름에 대해 AllowRDP를 입력합니다.
  2. 원본 유형에 대해 IP 주소를 선택합니다.
  3. 원본에 대해 192.168.1.0/24를 선택합니다.
  4. 프로토콜의 경우 TCP를 선택합니다.
  5. 대상 포트에 대해 3389를 입력합니다.
  6. 대상 유형에 대해 IP 주소를 선택합니다.
  7. 대상10.6.0.0/16을 입력합니다.
  8. 추가를 선택합니다.

VPN 게이트웨이 만들기 및 연결

허브 및 온-프레미스 가상 네트워크는 VPN Gateway를 통해 연결됩니다.

허브 가상 네트워크에 대한 VPN Gateway 만들기

이제 허브 가상 네트워크에 대한 VPN Gateway를 만듭니다. 네트워크 간 구성에는 RouteBased VpnType이 필요합니다. 종종 선택한 VPN 게이트웨이 SKU에 따라 VPN 게이트웨이를 만드는 데 45분 이상 걸릴 수 있습니다.

  1. Azure Portal 홈 페이지에서 리소스 만들기를 선택합니다.
  2. 검색 텍스트 상자에서 가상 네트워크 게이트웨이를 입력합니다.
  3. 가상 네트워크 게이트웨이, 만들기를 차례로 선택합니다.
  4. 이름에 대해 GW-hub를 입력합니다.
  5. 지역에 대해 이전에 사용한 것과 동일한 지역을 선택합니다.
  6. 게이트웨이 유형에 대해 VPN을 선택합니다.
  7. VPN 종류에 대해 경로 기반을 선택합니다.
  8. SKU에 대해 기본을 선택합니다.
  9. 가상 네트워크에 대해 VNet-hub를 선택합니다.
  10. 공용 IP 주소에 대해 새로 만들기를 선택하고, 이름으로 VNet-hub-GW-pip를 입력합니다.
  11. 나머지 항목에 대해 기본값을 적용한 다음, 검토 + 만들기를 선택합니다.
  12. 구성을 검토한 다음, 만들기를 선택합니다.

온-프레미스 가상 네트워크에 대한 VPN Gateway 만들기

이제 온-프레미스 가상 네트워크에 대한 VPN Gateway를 만듭니다. 네트워크 간 구성에는 RouteBased VpnType이 필요합니다. 종종 선택한 VPN 게이트웨이 SKU에 따라 VPN 게이트웨이를 만드는 데 45분 이상 걸릴 수 있습니다.

  1. Azure Portal 홈 페이지에서 리소스 만들기를 선택합니다.
  2. 검색 텍스트 상자에서 가상 네트워크 게이트웨이를 입력하고, Enter 키를 누릅니다.
  3. 가상 네트워크 게이트웨이, 만들기를 차례로 선택합니다.
  4. 이름에 대해 GW-Onprem을 입력합니다.
  5. 지역에 대해 이전에 사용한 것과 동일한 지역을 선택합니다.
  6. 게이트웨이 유형에 대해 VPN을 선택합니다.
  7. VPN 종류에 대해 경로 기반을 선택합니다.
  8. SKU에 대해 기본을 선택합니다.
  9. 가상 네트워크에 대해 VNet-Onprem을 선택합니다.
  10. 공용 IP 주소에 대해 새로 만들기를 선택하고, 이름으로 VNet-Onprem-GW-pip를 입력합니다.
  11. 나머지 항목에 대해 기본값을 적용한 다음, 검토 + 만들기를 선택합니다.
  12. 구성을 검토한 다음, 만들기를 선택합니다.

VPN 연결 만들기

이제 허브와 온-프레미스 게이트웨이 간에 VPN 연결을 만들 수 있습니다.

이 단계에서는 허브 가상 네트워크에서 온-프레미스 가상 네트워크로의 연결을 만듭니다. 예제에서 참조된 공유 키를 볼 수 있습니다. 공유 키에 대해 고유한 값을 사용할 수 있습니다. 중요한 점은 두 연결에서 모두 공유 키가 일치해야 한다는 것입니다. 연결 만들기는 완료하는 데 꽤 오래 걸릴 수 있습니다.

  1. FW-Hybrid-Test 리소스 그룹을 열고, GW-hub 게이트웨이를 선택합니다.
  2. 왼쪽 열에서 연결을 선택합니다.
  3. 추가를 선택합니다.
  4. 연결 이름에 대해 Hub-to-Onprem을 입력합니다.
  5. 연결 형식에 대해 VNet 간을 선택합니다.
  6. 두 번째 가상 네트워크 게이트웨이에 대해 GW-Onprem을 선택합니다.
  7. 공유 키(PSK)에 대해 AzureA1b2C3을 입력합니다.
  8. 확인을 선택합니다.

온-프레미스에서 허브 가상 네트워크로의 연결을 만듭니다. 이 단계는 VNet-Onprem에서 VNet-hub로의 연결을 만든다는 점을 제외하고는 이전 단계와 유사합니다. 공유된 키가 일치하는지 확인합니다. 몇 분 후 연결이 설정됩니다.

  1. FW-Hybrid-Test 리소스 그룹을 열고, GW-Onprem 게이트웨이를 선택합니다.
  2. 왼쪽 열에서 연결을 선택합니다.
  3. 추가를 선택합니다.
  4. 연결 이름에 Onprem-to-Hub를 입력합니다.
  5. 연결 형식에 대해 VNet 간을 선택합니다.
  6. 두 번째 가상 네트워크 게이트웨이에 대해 GW-hub를 선택합니다.
  7. 공유 키(PSK)에 대해 AzureA1b2C3을 입력합니다.
  8. 확인을 선택합니다.

연결 확인

약 5분 후에 두 연결의 상태가 연결됨이 됩니다.

Gateway connections

허브 및 스포크 가상 네트워크 피어링

이제 허브 및 스포크 가상 네트워크를 피어링합니다.

  1. FW-Hybrid-Test 리소스 그룹을 열고, VNet-hub 가상 네트워크를 선택합니다.

  2. 왼쪽 열에서 피어링을 선택합니다.

  3. 추가를 선택합니다.

  4. 이 가상 네트워크에서 다음을 확인할 수 있습니다.

    설정 이름
    피어링 링크 이름 HubtoSpoke
    원격 가상 네트워크로의 트래픽 허용(기본값)
    원격 가상 네트워크에서 전달된 트래픽 허용(기본값)
    가상 네트워크 게이트웨이 이 가상 네트워크의 게이트웨이 사용
  5. 원격 가상 네트워크에서 다음을 확인할 수 있습니다.

    설정 이름
    피어링 링크 이름 SpoketoHub
    가상 네트워크 배포 모델 리소스 관리자
    구독 <구독>
    가상 네트워크 VNet-Spoke
    원격 가상 네트워크로의 트래픽 허용(기본값)
    원격 가상 네트워크에서 전달된 트래픽 허용(기본값)
    가상 네트워크 게이트웨이 원격 가상 네트워크의 게이트웨이 사용
  6. 추가를 선택합니다.

    Vnet peering

경로 만들기

다음으로 두 경로 만듭니다.

  • 허브 게이트웨이 서브넷에서 방화벽 IP 주소를 통해 스포크 서브넷으로 가는 경로
  • 방화벽 IP 주소를 통해 스포크 서브넷으로부터의 기본 경로
  1. Azure Portal 홈 페이지에서 리소스 만들기를 선택합니다.
  2. 검색 텍스트 상자에서 경로 테이블을 입력하고, Enter 키를 누릅니다.
  3. 경로 테이블을 선택합니다.
  4. 만들기를 실행합니다.
  5. 리소스 그룹에 대해 FW-Hybrid-Test를 선택합니다.
  6. 지역의 경우 전에 사용한 것과 동일한 위치를 선택합니다.
  7. 이름에 대해 UDR-Hub-Spoke를 입력합니다.
  8. 검토 + 생성를 선택합니다.
  9. 만들기를 선택합니다.
  10. 경로 테이블이 만들어지면 해당 테이블을 선택하여 경로 테이블 페이지를 엽니다.
  11. 왼쪽 열에서 경로를 선택합니다.
  12. 추가를 선택합니다.
  13. 경로 이름에 대해 ToSpoke를 입력합니다.
  14. 주소 접두사 대상으로 IP 주소를 선택합니다.
  15. 대상 IP 주소/CIDR 범위10.6.0.0/16을 입력합니다.
  16. 다음 홉 형식에 대해 가상 어플라이언스를 선택합니다.
  17. 다음 홉 주소에 대해 앞에서 적어둔 방화벽의 개인 IP 주소를 입력합니다.
  18. 추가를 선택합니다.

이제 경로를 서브넷에 연결합니다.

  1. UDR-Hub-Spoke - 경로 페이지에서 서브넷을 선택합니다.
  2. 연결을 선택합니다.
  3. 가상 네트워크 아래에서 VNet-hub를 선택합니다.
  4. 서브넷 아래에서 GatewaySubnet을 선택합니다.
  5. 확인을 선택합니다.

이제 스포크 서브넷에서 기본 경로를 만듭니다.

  1. Azure Portal 홈 페이지에서 리소스 만들기를 선택합니다.
  2. 검색 텍스트 상자에서 경로 테이블을 입력하고, Enter 키를 누릅니다.
  3. 경로 테이블을 선택합니다.
  4. 만들기를 실행합니다.
  5. 리소스 그룹에 대해 FW-Hybrid-Test를 선택합니다.
  6. 지역의 경우 전에 사용한 것과 동일한 위치를 선택합니다.
  7. 이름에 대해 UDR-DG를 입력합니다.
  8. 게이트웨이 경로 전파에 대해 아니요를 선택합니다.
  9. 검토 + 생성를 선택합니다.
  10. 만들기를 선택합니다.
  11. 경로 테이블이 만들어지면 해당 테이블을 선택하여 경로 테이블 페이지를 엽니다.
  12. 왼쪽 열에서 경로를 선택합니다.
  13. 추가를 선택합니다.
  14. 경로 이름에 대해 ToHub를 입력합니다.
  15. 주소 접두사 대상으로 IP 주소를 선택합니다.
  16. 대상 IP 주소/CIDR 범위0.0.0.0/0을 입력합니다.
  17. 다음 홉 형식에 대해 가상 어플라이언스를 선택합니다.
  18. 다음 홉 주소에 대해 앞에서 적어둔 방화벽의 개인 IP 주소를 입력합니다.
  19. 추가를 선택합니다.

이제 경로를 서브넷에 연결합니다.

  1. UDR-DG - 경로 페이지에서 서브넷을 선택합니다.
  2. 연결을 선택합니다.
  3. 가상 네트워크 아래에서 VNet-spoke를 선택합니다.
  4. 서브넷 아래에서 SN-Workload를 선택합니다.
  5. 확인을 선택합니다.

가상 머신 만들기

이제 스포크 워크로드 및 온-프레미스 가상 머신을 만들어 적절한 서브넷에 배치합니다.

워크로드 가상 머신 만들기

스포크 가상 네트워크에서 공용 IP 주소 없이 IIS를 실행하는 가상 머신을 만듭니다.

  1. Azure Portal 홈 페이지에서 리소스 만들기를 선택합니다.
  2. 인기 Marketplace 제품에서 Windows Server 2019 Datacenter를 선택합니다.
  3. 가상 머신에 대해 다음 값을 입력합니다.
    • 리소스 그룹 - FW-Hybrid-Test를 선택합니다.
    • 가상 머신 이름: VM-Spoke-01
    • 지역 - 이전에 사용한 것과 동일한 지역입니다.
    • 사용자 이름: <사용자 이름을 입력합니다.>
    • 암호: <암호를 입력합니다.>
  4. 공용 인바운드 포트에 대해 선택한 포트 허용을 선택한 다음, HTTP(80)RDP(3389)를 선택합니다.
  5. 다음: 디스크를 선택합니다.
  6. 기본값을 적용하고 다음: 네트워킹을 선택합니다.
  7. 가상 네트워크에 대해 VNet-Spoke를 선택하고, 서브넷은 SN-Workload입니다.
  8. 공용 IP에 대해 없음을 선택합니다.
  9. 다음: 관리를 선택합니다.
  10. 부트 진단에 대해 사용 안 함을 선택합니다.
  11. 검토 + 만들기를 선택하고, 요약 페이지에서 설정을 검토한 다음, 만들기를 선택합니다.

IIS 설치

가상 머신이 만들어지면 IIS를 설치합니다.

  1. Azure Portal에서 Cloud Shell을 열고, PowerShell로 설정되어 있는지 확인합니다.

  2. 다음 명령을 실행하여 가상 머신에 IIS를 설치하고 필요한 경우 위치를 변경합니다.

    Set-AzVMExtension `
            -ResourceGroupName FW-Hybrid-Test `
            -ExtensionName IIS `
            -VMName VM-Spoke-01 `
            -Publisher Microsoft.Compute `
            -ExtensionType CustomScriptExtension `
            -TypeHandlerVersion 1.4 `
            -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
            -Location EastUS
    

온-프레미스 가상 머신 만들기

원격 데스크톱을 사용하여 공용 IP 주소에 연결하는 데 사용하는 가상 머신입니다. 여기에서 방화벽을 통해 온-프레미스 서버에 연결할 수 있습니다.

  1. Azure Portal 홈 페이지에서 리소스 만들기를 선택합니다.
  2. 인기 Marketplace 제품에서 Windows Server 2019 Datacenter를 선택합니다.
  3. 가상 머신에 대해 다음 값을 입력합니다.
    • 리소스 그룹 - 기존 항목을 선택한 다음, FW-Hybrid-Test를 선택합니다.
    • 가상 머신 이름 - VM-Onprem
    • 지역 - 이전에 사용한 것과 동일한 지역입니다.
    • 사용자 이름: <사용자 이름을 입력합니다>.
    • 암호: <사용자 암호를 입력합니다>.
  4. 공용 인바운드 포트에 대해 선택한 포트 허용을 선택한 다음, RDP(3389)를 선택합니다.
  5. 다음: 디스크를 선택합니다.
  6. 기본값을 적용하고, 다음: 네트워킹을 선택합니다.
  7. 가상 네트워크에 대해 VNet-Onprem을 선택하고, 서브넷은 SN-Corp입니다.
  8. 다음: 관리를 선택합니다.
  9. 부트 진단에 대해 사용 안 함을 선택합니다.
  10. 검토 + 만들기를 선택하고, 요약 페이지에서 설정을 검토한 다음, 만들기를 선택합니다.

참고 항목

Azure는 공용 IP 주소가 할당되지 않았거나 내부 기본 Azure 부하 분산 장치의 백 엔드 풀에 있는 VM에 대한 기본 아웃바운드 액세스 IP를 제공합니다. 기본 아웃바운드 액세스 IP 메커니즘은 구성할 수 없는 아웃바운드 IP 주소를 제공합니다.

다음 이벤트 중 하나가 발생하면 기본 아웃바운드 액세스 IP가 사용하지 않도록 설정됩니다.

  • 공용 IP 주소가 VM에 할당됩니다.
  • VM은 아웃바운드 규칙을 사용하거나 사용하지 않고 표준 부하 분산 장치의 백 엔드 풀에 배치됩니다.
  • Azure Virtual Network NAT Gateway 리소스는 VM의 서브넷에 할당됩니다.

유연한 오케스트레이션 모드에서 가상 머신 확장 집합을 사용하여 만드는 VM에는 기본 아웃바운드 액세스 권한이 없습니다.

Azure의 아웃바운드 연결에 대한 자세한 내용은 Azure의 기본 아웃바운드 액세스아웃바운드 연결에 SNAT(원본 네트워크 주소 변환) 사용을 참조하세요.

방화벽 테스트

  1. 먼저 VM-spoke-01 가상 머신의 개인 IP 주소를 기록합니다.

  2. Azure Portal에서 VM-Onprem 가상 머신에 연결합니다.

  3. VM-Onprem에서 웹 브라우저를 열고 http://<VM-spoke-01 프라이빗 IP>로 이동합니다.

    VM-spoke-01 웹 페이지가 표시됩니다. VM-Spoke-01 web page

  4. VM-Onprem 가상 머신에서 개인 IP 주소의 VM-spoke-01에 대한 원격 데스크톱을 엽니다.

    연결이 성공하고 로그인할 수 있습니다.

이제 방화벽 규칙이 작동하는지 확인했습니다.

  • 스포크 가상 네트워크에서 웹 서버를 탐색할 수 있습니다.
  • RDP를 사용하여 스포크 가상 네트워크에 있는 서버에 연결할 수 있습니다.

이제 방화벽 규칙이 예상대로 작동하는지 호가인하기 위해 방화벽 네트워크 규칙 수집 동작을 거부로 변경합니다.

  1. hybrid-test-pol 방화벽 정책을 선택합니다.
  2. 규칙 컬렉션을 선택합니다.
  3. RCNet01 규칙 컬렉션을 선택합니다.
  4. 규칙 컬렉션 작업에 대해 거부를 선택합니다.
  5. 저장을 선택합니다.

변경된 규칙을 테스트하려면 먼저 기존 원격 데스크톱을 모두 닫습니다. 이제 테스트를 다시 실행합니다. 이번에는 모두 실패해야 합니다.

리소스 정리

다음 자습서에서 사용하기 위해 방화벽 리소스를 그대로 유지하거나, 더 이상 필요하지 않은 경우 FW-Hybrid-Test 리소스 그룹을 삭제하여 모든 방화벽 관련 리소스를 삭제할 수 있습니다.

다음 단계