빠른 시작: Azure PowerShell을 사용하여 프라이빗 엔드포인트 만들기
프라이빗 엔드포인트를 만들고 사용하여 Azure App Services 웹앱에 안전하게 연결하여 Azure Private Link를 시작합니다.
이 빠른 시작에서는 Azure App Services 웹앱에 대한 프라이빗 엔드포인트를 만든 다음, VM(가상 머신)을 만들고 배포하여 프라이빗 연결을 테스트합니다.
Azure SQL 및 Microsoft Azure Storage와 같은 다양한 Azure 서비스에 대한 프라이빗 엔드포인트를 만들 수 있습니다.
필수 조건
활성 구독이 있는 Azure 계정. Azure 계정이 아직 없는 경우 무료로 계정을 만듭니다.
PremiumV2 계층 이상의 App Service 요금제가 Azure 구독에 배포된 Azure 웹앱
자세한 내용 및 예제는 빠른 시작: Azure에서 ASP.NET Core 웹앱 만들기를 참조하세요.
이 문서의 예제 웹앱 이름은 webapp-1입니다. 이 예를 웹앱 이름으로 바꿉니다.
Azure Cloud Shell 또는 Azure PowerShell.
이 빠른 시작의 단계에서는 Azure Cloud Shell에서 대화형으로 Azure PowerShell cmdlet을 실행합니다. Cloud Shell에서 명령을 실행하려면 코드 블록의 오른쪽 위 모서리에서 Cloudshell 열기를 선택합니다. 복사를 선택하여 코드를 복사한 다음, 복사한 코드를 Cloud Shell에 붙여넣어 실행합니다. Azure Portal 내에서 Cloud Shell을 실행할 수도 있습니다.
Azure PowerShell을 로컬에 설치하여 cmdlet을 실행할 수도 있습니다. 이 문서에서 설명할 단계를 실행하기 위해서는 Azure PowerShell 모듈 버전 5.4.1 또는 그 이후 버전이 필요합니다. 설치되어 있는 버전을 확인하려면
Get-Module -ListAvailable Az
을 실행합니다. 업그레이드가 필요한 경우 Azure PowerShell 모듈 업데이트를 참조하세요.PowerShell을 로컬에서 실행하는 경우
Connect-AzAccount
를 실행하여 Azure에 연결합니다.
리소스 그룹 만들기
Azure 리소스 그룹은 Azure 리소스가 배포 및 관리되는 논리적 컨테이너입니다.
New-AzResourceGroup을 사용하여 다음 리소스 그룹을 만듭니다.
$rg = @{
Name = 'test-rg'
Location = 'eastus2'
}
New-AzResourceGroup @rg
가상 네트워크 만들기
New-AzVirtualNetwork를 사용하여 test-rg 리소스 그룹 및 eastus2 위치에 IP 주소 접두사가 10.0.0.0/16인 vnet-1이라는 가상 네트워크를 만듭니다.
$vnet = @{ Name = 'vnet-1' ResourceGroupName = 'test-rg' Location = 'eastus2' AddressPrefix = '10.0.0.0/16' } $virtualNetwork = New-AzVirtualNetwork @vnet
Azure는 가상 네트워크 내의 서브넷에 리소스를 배포합니다. Add-AzVirtualNetworkSubnetConfig를 사용하여 주소 접두사가 10.0.0.0/24인 subnet-1이라는 서브넷 구성을 만듭니다.
$subnet = @{ Name = 'subnet-1' VirtualNetwork = $virtualNetwork AddressPrefix = '10.0.0.0/24' } $subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet
그런 다음, Set-AzVirtualNetwork를 사용하여 서브넷 구성을 가상 네트워크에 연결합니다.
$virtualNetwork | Set-AzVirtualNetwork
Azure Bastion 배포
Azure Bastion은 브라우저를 사용하여 개인 IP 주소를 사용하여 SSH(보안 셸) 또는 RDP(원격 데스크톱 프로토콜)를 통해 가상 네트워크의 VM에 연결합니다. VM에는 공용 IP 주소, 클라이언트 소프트웨어 또는 특수 구성이 필요하지 않습니다. Azure Bastion에 대한 자세한 내용은 Azure Bastion을 참조하세요.
참고 항목
시간당 가격은 아웃바운드 데이터 사용량에 관계없이 Bastion이 배포되는 순간부터 시작됩니다. 자세한 내용은 가격 책정 및 SKU를 참조하세요. 자습서 또는 테스트의 일부로 Bastion을 배포하는 경우 이 리소스 사용을 마친 후 삭제하는 것이 좋습니다.
가상 네트워크에 대한 Azure Bastion 서브넷을 구성합니다. 이 서브넷은 Azure Bastion 리소스 전용으로 예약되어 있으며 이름을 AzureBastionSubnet으로 지정해야 합니다.
$subnet = @{ Name = 'AzureBastionSubnet' VirtualNetwork = $virtualNetwork AddressPrefix = '10.0.1.0/26' } $subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet
구성을 설정합니다.
$virtualNetwork | Set-AzVirtualNetwork
Azure Bastion의 공용 IP 주소를 만듭니다. 베스천 호스트는 공용 IP를 사용하여 포트 443을 통해 SSH(보안 셸) 및 RDP(원격 데스크톱 프로토콜)에 액세스합니다.
$ip = @{ ResourceGroupName = 'test-rg' Name = 'public-ip' Location = 'eastus2' AllocationMethod = 'Static' Sku = 'Standard' Zone = 1,2,3 } New-AzPublicIpAddress @ip
New-AzBastion 명령을 사용하여 AzureBastionSubnet에 새 표준 SKU Azure Bastion 호스트를 만듭니다.
$bastion = @{ Name = 'bastion' ResourceGroupName = 'test-rg' PublicIpAddressRgName = 'test-rg' PublicIpAddressName = 'public-ip' VirtualNetworkRgName = 'test-rg' VirtualNetworkName = 'vnet-1' Sku = 'Basic' } New-AzBastion @bastion
Bastion 리소스를 배포하는 데 몇 분 정도 걸립니다.
프라이빗 엔드포인트 만들기
프라이빗 엔드포인트를 지원하는 Azure 서비스는 프라이빗 엔드포인트 및 가상 네트워크 연결을 설정하는 데 필요합니다. 이 문서의 예에서는 필수 구성 요소의 Azure App Services WebApp을 사용하고 있습니다. 프라이빗 엔드포인트를 지원하는 Azure 서비스에 대한 자세한 내용은 Azure Private Link 가용성을 참조하세요.
프라이빗 엔드포인트에는 정적 또는 동적으로 할당된 IP 주소가 있을 수 있습니다.
Important
이 문서의 단계를 진행하려면 이전에 배포된 App Services 웹앱이 있어야 합니다. 자세한 내용은 필수 구성 요소를 참조하세요.
이 섹션에서는 다음을 수행합니다.
New-AzPrivateLinkServiceConnection을 사용하여 프라이빗 링크 서비스 연결을 만듭니다.
New-AzPrivateEndpoint를 사용하여 프라이빗 엔드포인트를 만듭니다.
경우에 따라 New-AzPrivateEndpointIpConfiguration을 사용하여 프라이빗 엔드포인트 고정 IP 구성을 만듭니다.
## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName test-rg -Name webapp-1
## Create the private endpoint connection. ##
$pec = @{
Name = 'connection-1'
PrivateLinkServiceId = $webapp.ID
GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec
## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'test-rg' -Name 'vnet-1'
## Create the private endpoint. ##
$pe = @{
ResourceGroupName = 'test-rg'
Name = 'private-endpoint'
Location = 'eastus2'
Subnet = $vnet.Subnets[0]
PrivateLinkServiceConnection = $privateEndpointConnection
}
New-AzPrivateEndpoint @pe
프라이빗 DNS 영역 구성
프라이빗 DNS 영역은 가상 네트워크에서 프라이빗 엔드포인트의 DNS 이름을 확인하는 데 사용됩니다. 이 예에서는 Azure App Services 웹앱에 대한 DNS 정보를 사용하고 있습니다. 프라이빗 엔드포인트의 DNS 구성에 대한 자세한 내용은 Azure 프라이빗 엔드포인트 DNS 구성을 참조하세요.
이 섹션에서는 다음을 수행합니다.
New-AzPrivateDnsZone을 사용하여 새 프라이빗 Azure DNS 영역 만들기
New-AzPrivateDnsVirtualNetworkLink를 사용하여 이전에 만든 가상 네트워크에 DNS 영역을 연결합니다.
New-AzPrivateDnsZoneConfig를 사용하여 DNS 영역 구성 만들기
New-AzPrivateDnsZoneGroup을 사용하여 DNS 영역 그룹 만들기
## Place the virtual network into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'test-rg' -Name 'vnet-1'
## Create the private DNS zone. ##
$zn = @{
ResourceGroupName = 'test-rg'
Name = 'privatelink.azurewebsites.net'
}
$zone = New-AzPrivateDnsZone @zn
## Create a DNS network link. ##
$lk = @{
ResourceGroupName = 'test-rg'
ZoneName = 'privatelink.azurewebsites.net'
Name = 'dns-link'
VirtualNetworkId = $vnet.Id
}
$link = New-AzPrivateDnsVirtualNetworkLink @lk
## Configure the DNS zone. ##
$cg = @{
Name = 'privatelink.azurewebsites.net'
PrivateDnsZoneId = $zone.ResourceId
}
$config = New-AzPrivateDnsZoneConfig @cg
## Create the DNS zone group. ##
$zg = @{
ResourceGroupName = 'test-rg'
PrivateEndpointName = 'private-endpoint'
Name = 'zone-group'
PrivateDnsZoneConfig = $config
}
New-AzPrivateDnsZoneGroup @zg
테스트 가상 머신 만들기
고정 IP 주소와 프라이빗 엔드포인트의 기능을 확인하려면 가상 네트워크에 연결된 테스트 가상 머신이 필요합니다.
이 섹션에서는 다음을 수행합니다.
Get-Credential을 사용하여 가상 머신에 대한 로그인 자격 증명을 만듭니다.
New-AzNetworkInterface를 사용하여 가상 머신용 네트워크 인터페이스를 만듭니다.
New-AzVMConfig, Set-AzVMOperatingSystem, Set-AzVMSourceImage 및 Add-AzVMNetworkInterface를 사용하여 가상 머신 구성을 만듭니다.
New-AzVM을 사용하여 가상 머신을 만듭니다.
## Create the credential for the virtual machine. Enter a username and password at the prompt. ##
$cred = Get-Credential
## Place the virtual network into a variable. ##
$vnet = Get-AzVirtualNetwork -Name vnet-1 -ResourceGroupName test-rg
## Create a network interface for the virtual machine. ##
$nic = @{
Name = 'nic-1'
ResourceGroupName = 'test-rg'
Location = 'eastus2'
Subnet = $vnet.Subnets[0]
}
$nicVM = New-AzNetworkInterface @nic
## Create the configuration for the virtual machine. ##
$vm1 = @{
VMName = 'vm-1'
VMSize = 'Standard_DS1_v2'
}
$vm2 = @{
ComputerName = 'vm-1'
Credential = $cred
}
$vm3 = @{
PublisherName = 'MicrosoftWindowsServer'
Offer = 'WindowsServer'
Skus = '2022-Datacenter'
Version = 'latest'
}
$vmConfig =
New-AzVMConfig @vm1 | Set-AzVMOperatingSystem -Windows @vm2 | Set-AzVMSourceImage @vm3 | Add-AzVMNetworkInterface -Id $nicVM.Id
## Create the virtual machine. ##
New-AzVM -ResourceGroupName 'test-rg' -Location 'eastus2' -VM $vmConfig
참고 항목
베스천 호스트가 있는 가상 네트워크의 가상 머신에는 공용 IP 주소가 필요하지 않습니다. Bastion은 공용 IP를 제공하고 VM은 개인 IP를 사용하여 네트워크 내에서 통신합니다. 베스천 호스트된 가상 네트워크의 모든 VM에서 공용 IP를 제거할 수 있습니다. 자세한 내용은 Azure VM에서 공용 IP 주소 연결 해제를 참조하세요.
참고 항목
Azure는 공용 IP 주소가 할당되지 않았거나 내부 기본 Azure Load Balancer의 백 엔드 풀에 있는 VM에 대한 기본 아웃바운드 액세스 IP를 제공합니다. 기본 아웃바운드 액세스 IP 메커니즘은 구성할 수 없는 아웃바운드 IP 주소를 제공합니다.
다음 이벤트 중 하나가 발생하면 기본 아웃바운드 액세스 IP가 사용하지 않도록 설정됩니다.
- 공용 IP 주소가 VM에 할당됩니다.
- VM은 아웃바운드 규칙 유무에 관계없이 표준 Load Balancer의 백 엔드 풀에 배치됩니다.
- Azure NAT Gateway 리소스는 VM의 서브넷에 할당됩니다.
유연한 오케스트레이션 모드에서 가상 머신 확장 집합을 사용하여 만드는 VM에는 기본 아웃바운드 액세스 권한이 없습니다.
Azure의 아웃바운드 연결에 대한 자세한 내용은 Azure의 기본 아웃바운드 액세스 및 아웃바운드 연결에 SNAT(원본 네트워크 주소 변환) 사용을 참조하세요.
프라이빗 엔드포인트에 대한 연결 테스트
이전에 만든 가상 머신을 사용하여 프라이빗 엔드포인트에서 웹앱에 연결합니다.
포털 맨 위에 있는 검색 상자에 가상 머신을 입력합니다. 가상 머신을 선택합니다.
vm-1을 선택합니다.
vm-1의 개요 페이지에서 연결을 선택한 다음 Bastion 탭을 선택합니다.
Bastion 사용을 선택합니다.
VM을 만들 때 사용한 사용자 이름과 암호를 입력합니다.
연결을 선택합니다.
연결한 후 서버에서 PowerShell을 엽니다.
nslookup webapp-1.azurewebsites.net
를 입력합니다. 다음 예제와 비슷한 메시지를 받게 됩니다.Server: UnKnown Address: 168.63.129.16 Non-authoritative answer: Name: webapp-1.privatelink.azurewebsites.net Address: 10.0.0.10 Aliases: webapp-1.azurewebsites.net
이전 단계에서 고정 IP 주소를 선택한 경우 웹앱 이름에 대해 10.0.0.10의 개인 IP 주소가 반환됩니다. 이 주소는 이전에 만든 가상 네트워크의 서브넷에 있습니다.
vm-1에 대한 베스천 연결에서 웹 브라우저를 엽니다.
웹앱의 URL(
https://webapp-1.azurewebsites.net
)을 입력합니다.웹앱이 배포되지 않은 경우 다음 기본 웹앱 페이지가 표시됩니다.
리소스 정리
더 이상 필요하지 않은 경우 Remove-AzResourceGroup 명령을 사용하여 리소스 그룹, 가상 네트워크 및 나머지 리소스를 제거할 수 있습니다.
Remove-AzResourceGroup -Name 'test-rg'
다음 단계
프라이빗 엔드포인트를 지원하는 서비스에 대한 자세한 내용은 다음을 참조하세요.