다음을 통해 공유

자습서: 보안 허브 및 스포크 네트워크 만들기

  • 아티클

이 자습서에서는 Azure Virtual Network Manager를 사용하여 허브 및 스포크 네트워크 토폴로지를 만듭니다. 그런 다음 허브 가상 네트워크에 가상 네트워크 게이트웨이를 배포하여 스포크 가상 네트워크의 리소스가 VPN을 사용하여 원격 네트워크와 통신할 수 있도록 합니다. 또한 포트 80 및 443에서 인터넷 아웃바운드 네트워크 트래픽을 차단하도록 보안 구성을 구성합니다. 마지막으로 가상 네트워크 및 가상 머신 설정을 확인하여 구성이 올바르게 적용되었는지 확인합니다.

이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.

  • 여러 가상 네트워크를 만듭니다.
  • 가상 네트워크 게이트웨이를 배포합니다.
  • 허브 및 스포크 네트워크 토폴로지를 만듭니다.
  • 포트 80 및 443에서 트래픽을 차단하는 보안 구성을 만듭니다.
  • 구성이 적용되었는지 확인합니다.

보안 허브 및 스포크 토폴로지 구성 요소의 다이어그램

전제 조건

  • 활성 구독이 있는 Azure 계정. 체험 계정을 만듭니다.
  • 이 자습서의 단계를 완료하려면 먼저 Azure Virtual Network Manager 인스턴스를 만들어야 합니다. 인스턴스에는 연결보안 관리자 기능이 포함되어야 합니다. 이 자습서에서는 vnm-learn-eastus-001이라는 Virtual Network Manager 인스턴스를 사용했습니다.

가상 네트워크 만들기

이 절차에서는 허브 및 스포크 네트워크 토폴로지를 통해 연결되는 가상 네트워크 3개를 만드는 방법을 안내합니다.

  1. Azure Portal에 로그인합니다.

  2. + 리소스 만들기를 선택하고 가상 네트워크를 검색합니다. 그런 다음 만들기를 선택하여 가상 네트워크 구성을 시작합니다.

  3. ‘기본 사항’ 탭에서 다음 정보를 입력하거나 선택합니다.

    허브 및 스포크 가상 네트워크에 대한 기본 사항 탭의 스크린샷.

    설정
    구독 이 가상 네트워크를 배포할 구독을 선택합니다.
    Resource group 가상 네트워크를 저장할 새 리소스 그룹을 선택하거나 만듭니다. 이 빠른 시작에서는 rg-learn-eastus-001이라는 리소스 그룹을 사용합니다.
    이름 가상 네트워크 이름에 vnet-learn-prod-eastus-001을 입력합니다.
    지역 미국 동부 지역을 선택합니다.

  4. 다음: IP 주소를 선택하고 다음 네트워크 주소 공간을 구성합니다.

    허브 및 스포크 가상 네트워크에 대한 IP 주소 탭의 스크린샷.

    설정
    IPv4 주소 공간 주소 공간으로 10.0.0.0/16을 입력합니다.
    서브넷 이름 서브넷 이름으로 default를 입력합니다.
    서브넷 주소 공간 서브넷 주소 공간에 10.0.0.0/24를 입력합니다.

  5. 검토 + 만들기를 선택하고 만들기를 선택하여 가상 네트워크를 배포합니다.

  6. 2~5단계를 반복하여 다음 정보를 사용해 동일한 리소스 그룹에 두 개의 가상 네트워크를 더 만듭니다.

    설정
    구독 3단계에서 선택한 것과 동일한 구독을 선택합니다.
    Resource group rg-learn-eastus-001을 선택합니다.
    이름 두 가상 네트워크에 vnet-learn-prod-eastus-002vnet-learn-hub-eastus-001을 입력합니다.
    지역 (미국) 미국 동부를 선택합니다.
    vnet-learn-prod-eastus-002 IP 주소 IPv4 주소 공간: 10.1.0.0/16
    서브넷 이름: default
    서브넷 주소 공간: 10.1.0.0/24
    vnet-learn-hub-eastus-001 IP 주소 IPv4 주소 공간: 10.2.0.0/16
    서브넷 이름: default
    서브넷 주소 공간: 10.2.0.0/24

가상 네트워크 게이트웨이 배포

허브 가상 네트워크에 가상 네트워크 게이트웨이를 배포합니다. 이 가상 네트워크 게이트웨이는 스포크에서 허브를 게이트웨이로 사용하도록 설정하는 데 필요합니다.

  1. + 리소스 만들기를 선택하고 가상 네트워크 게이트웨이를 검색합니다. 그런 다음 만들기를 선택하여 가상 네트워크 게이트웨이 구성을 시작합니다.

  2. 기본 사항 탭에서 다음 설정을 입력하거나 선택합니다.

    가상 네트워크 게이트웨이 만들기 기본 사항 탭의 스크린샷.

    설정
    구독 이 가상 네트워크를 배포할 구독을 선택합니다.
    이름 가상 네트워크 게이트웨이 이름에 gw-learn-hub-eastus-001을 입력합니다.
    SKU SKU로 VpnGW1을 선택합니다.
    Generation 세대에 대해 Generation1을 선택합니다.
    가상 네트워크 VNet에 vnet-learn-hub-eastus-001을 선택합니다.
    공용 IP 주소
    공용 IP 주소 이름 공용 IP에 gwpip-learn-hub-eastus-001 이름을 입력합니다.
    두 번째 공용 IP 주소
    공용 IP 주소 이름 공용 IP에 gwpip-learn-hub-eastus-002 이름을 입력합니다.

  3. 검토 + 만들기를 선택하고 유효성 검사를 통과하면 만들기를 선택합니다. 가상 네트워크 게이트웨이를 배포하는 데 약 30분이 걸릴 수 있습니다. 이 배포가 완료되기를 기다리는 동안 다음 섹션으로 이동할 수 있습니다. 그러나 Azure Portal에서 타이밍과 동기화로 인해 게이트웨이가 있음을 표시하지 않는 gw-learn-hub-eastus-001을 찾을 수 있습니다.

네트워크 그룹 만들기

참고 항목

이 방법 가이드에서는 빠른 시작 가이드를 사용하여 네트워크 관리자 인스턴스를 만들었다고 가정합니다 . 이 자습서의 네트워크 그룹을 ng-learn-prod-eastus-001이라 합니다.

  1. rg-learn-eastus-001 리소스 그룹으로 이동하고 vnm-learn-eastus-001 Network Manager 인스턴스를 선택합니다.

  2. 설정에서 네트워크 그룹을 선택합니다. 그런 다음, + 만들기를 선택합니다.

    네트워크 그룹의 빈 목록과 네트워크 그룹을 만들기 위한 단추의 스크린샷.

  3. 네트워크 그룹 만들기 창에서 만들기를 선택합니다.

    설정
    이름 ng-learn-prod-eastus-001을 입력합니다.
    설명 (선택 사항) 이 네트워크 그룹에 대한 설명을 제공합니다.
    멤버 유형 드롭다운 메뉴에서 가상 네트워크를 선택합니다.

    그리고 만들기를 선택합니다.

    네트워크 그룹을 만드는 창 스크린샷.

  4. 이제 새 네트워크 그룹이 네트워크 그룹 창에 나열되어 있는지 확인합니다.

    네트워크 그룹을 나열하는 창에서 새로 만든 네트워크 그룹의 스크린샷.

Azure Policy를 사용하여 동적 그룹 멤버 자격 정의

  1. 네트워크 그룹 목록에서 ng-learn-prod-eastus-001을 선택합니다. Create policy to dynamically add members(구성원을 동적으로 추가하는 정책 만들기)에서 Azure Policy 만들기를 선택합니다.

    정의된 동적 멤버십 단추의 스크린샷

  2. Azure Policy 만들기 페이지에서 다음 정보를 선택하거나 입력합니다.

    네트워크 그룹 조건문 만들기 탭의 스크린샷.

    설정
    정책 이름 텍스트 상자에 azpol-learn-prod-eastus-001을 입력합니다.
    범위 범위 선택을 선택하고, 현재 구독을 선택합니다.
    기준
    매개 변수 드롭다운에서 이름을 선택합니다.
    연산자 드롭다운에서 포함을 선택합니다.
    조건 텍스트 상자에 조건의 -prod를 입력합니다.

  3. 리소스 미리 보기를 선택하여 효과적인 가상 네트워크를 보고 닫기를 선택합니다. 이 페이지에는 Azure Policy에서 정의한 조건에 따라 네트워크 그룹에 추가될 가상 네트워크가 표시됩니다.

    조건문 결과가 포함된 유효 가상 네트워크 페이지의 스크린샷

  4. 저장을 선택하여 그룹 멤버 자격을 배포합니다. 정책이 적용되고 네트워크 그룹에 추가되는 데 최대 1분이 걸릴 수 있습니다.

  5. 네트워크 그룹 페이지의 설정 아래에서 그룹 멤버를 선택하여 Azure Policy에 정의된 조건에 따라 그룹의 멤버 자격을 확인합니다. 원본azpol-learn-prod-eastus-001로 나열됩니다.

    그룹 멤버 자격 아래의 동적 그룹 멤버 자격 스크린샷

허브 및 스포크 연결 구성 만들기

  1. 설정 아래에서 구성을 선택하고 + 구성 추가를 선택합니다.

  2. 드롭다운 메뉴에서 연결 구성을 선택하여 연결 구성 만들기를 시작합니다.

  3. 기본 페이지에서 다음 정보를 입력하고, 다음: 토폴로지 >를 선택합니다.

    연결 구성 추가 페이지의 스크린샷.

    설정
    속성 cc-learn-prod-eastus-001을 입력합니다.
    설명 (선택 사항) 이 연결 구성에 대한 설명을 제공합니다.

  4. 토폴로지 탭에서 허브 및 스포크를 선택합니다. 이렇게 하면 다른 설정이 표시됩니다.

    연결 구성의 허브 선택 스크린샷.

  5. 허브 설정에서 허브 선택을 선택합니다. 그런 다음, 네트워크 허브 역할을 할 vnet-learn-hub-eastus-001을 선택하고 선택을 선택합니다.

    허브 구성 선택의 스크린샷

    참고 항목

    배포 시점에 따라 게이트웨이 있음 아래에 게이트웨이가 있으므로 가상 네트워크로 연결된 대상 허브가 표시되지 않을 수 있습니다. 이는 가상 네트워크 게이트웨이의 배포 때문입니다. 배포하는 데 최대 30분이 걸릴 수 있으며 다양한 Azure Portal 보기에 즉시 표시되지 않을 수 있습니다.

  6. 스포크 네트워크 그룹에서 + 추가를 선택합니다. 그런 다음, 네트워크 그룹에 ng-learn-prod-eastus-001을 선택하고 선택을 선택합니다.

    네트워크 그룹 추가 페이지의 스크린샷

  7. 네트워크 그룹을 추가한 후 다음 옵션을 선택합니다. 그런 다음 추가를 선택하여 연결 구성을 만듭니다.

    네트워크 그룹 구성의 설정 스크린샷.

    설정
    직접 연결 네트워크 그룹 내 연결 사용하도록 설정 확인란을 선택합니다. 이 설정을 사용하면 같은 지역에 있는 네트워크 그룹의 스포크 가상 네트워크가 직접 서로 통신할 수 있습니다.
    글로벌 메시 지역 간 메시 연결 사용 옵션을 선택하지 않은 상태로 둡니다. 두 스포크가 모두 같은 지역에 있으므로 이 설정은 필요하지 않습니다.
    게이트웨이로서의 허브 게이트웨이로 허브 확인란을 선택합니다.

  8. 다음: 검토 + 만들기 >를 선택한 다음 연결 구성을 만듭니다.

연결 구성 배포

연결 구성을 배포하기 전에 가상 네트워크 게이트웨이가 성공적으로 배포되었는지 확인합니다. 허브를 게이트웨이로 사용을 사용하도록 설정하여 허브 및 스포크 구성을 배포했지만 게이트웨이가 없으면 배포가 실패합니다. 자세한 내용은 허브를 게이트웨이로 사용을 참조하세요.

  1. 설정에서 배포를 선택한 다음, 구성 배포를 선택합니다.

    네트워크 관리자의 배포 페이지의 스크린샷.

  2. 다음 설정을 선택합니다.

    구성 배포 페이지의 스크린샷.

    설정
    구성 목표 상태에 연결 구성 포함을 선택합니다.
    연결 구성 cc-learn-prod-eastus-001을 선택합니다.
    대상 지역 배포 지역으로 미국 동부를 선택합니다.

  3. 다음을 선택한 다음, 배포를 선택하여 배포를 완료합니다.

    배포 확인 메시지의 스크린샷.

  4. 선택한 지역에 대한 목록에 배포가 표시됩니다. 구성 배포를 완료하는 데 몇 분 정도 걸릴 수 있습니다.

    구성 배포 진행 중 상태의 스크린샷.

보안 관리자 구성 만들기

  1. 설정에서 구성을 다시 선택한 다음 + 만들기를 선택하고 메뉴에서 SecurityAdmin을 선택하여 SecurityAdmin 구성 만들기를 시작합니다.

  2. 구성에 sac-learn-prod-eastus-001 이름을 입력한 다음, 다음: 규칙 컬렉션을 선택합니다.

    보안 관리자 구성 페이지의 스크린샷.

  3. 규칙 컬렉션에 rc-learn-prod-eastus-001 이름을 입력하고 대상 네트워크 그룹에 ng-learn-prod-eastus-001을 선택합니다. + 추가를 선택합니다.

    규칙 컬렉션 추가 페이지의 스크린샷.

  4. 다음 설정을 입력하고 선택한 다음 추가를 선택합니다.

    규칙 페이지 및 규칙 설정 추가의 스크린샷

    설정
    속성 DENY_INTERNET 입력
    설명 이 규칙은 HTTP 및 HTTPS에서 인터넷 트래픽을 차단합니다.를 입력합니다.
    우선 순위 1 입력
    작업 거부를 선택합니다.
    방향 발신을 선택합니다.
    프로토콜 TCP 선택
    Source
    소스 형식 IP를 선택합니다.
    원본 IP 주소 *을 입력합니다.
    대상
    대상 형식 IP 주소를 선택합니다.
    대상 IP 주소 *을 입력합니다.
    대상 포트 80, 443를 입력합니다.

  5. 추가를 선택하여 규칙 컬렉션을 구성에 추가합니다.

    규칙 컬렉션에 대한 저장 단추의 스크린샷.

  6. 검토 + 만들기만들기를 선택하여 보안 관리자 구성을 만듭니다.

보안 관리자 구성 배포

  1. 설정 아래에서 배포를 선택한 다음, 구성 배포를 선택합니다.

  2. 구성에서 목표 상태에 보안 관리자 포함을 선택하고 마지막 섹션에서 만든 sac-learn-prod-eastus-001 구성을 선택합니다. 그런 다음, 대상 지역으로 미국 동부를 선택하고 다음을 선택합니다.

    보안 구성 배포 스크린샷.

  3. 다음을 선택한 다음 배포를 선택합니다. 이제 선택한 지역에 대한 목록에 배포가 표시됩니다. 구성 배포를 완료하는 데 몇 분 정도 걸릴 수 있습니다.

구성 배포 확인

가상 네트워크에서 확인

  1. vnet-learn-prod-eastus-001 가상 네트워크로 이동하고 설정에서 네트워크 관리자를 선택합니다. 연결 구성 탭에는 가상 네트워크에서 적용된 cc-learn-prod-eastus-001 연결 구성이 나열됩니다.

    가상 네트워크에 적용된 연결 구성의 스크린샷.

  2. 보안 관리자 구성 탭을 선택하고 아웃바운드를 펼쳐 이 가상 네트워크에 적용된 보안 관리자 규칙을 나열합니다.

    가상 네트워크에 적용된 보안 관리자 구성의 스크린샷

  3. 설정에서 피어링 선택하여 Virtual Network Manager에서 만든 가상 네트워크 피어링을 나열합니다. 이름은 ANM_으로 시작합니다.

    Virtual Network Manager가 만든 가상 네트워크 피어링의 스크린샷.

VM에서 확인

  1. vnet-learn-prod-eastus-001테스트 가상 머신을 배포합니다.

  2. vnet-learn-prod-eastus-001에서 만든 테스트 VM으로 이동하고 설정에서 네트워킹을 선택합니다. 아웃바운드 포트 규칙을 선택하고 DENY_INTERNET 규칙이 적용되었는지 확인합니다.

    테스트 VM의 네트워크 보안 규칙을 보여 주는 스크린샷.

  3. 네트워크 인터페이스 이름을 선택하고 도움말에서 유효 경로를 선택하여 가상 네트워크 피어링에 대한 경로를 확인합니다. VNet peering다음 홉 형식이 있는 10.2.0.0/16 경로는 허브 가상 네트워크에 대한 경로입니다.

    테스트 VM 네트워크 인터페이스의 유효 경로를 보여 주는 스크린샷.

리소스 정리

Azure Virtual Network Manager가 더 이상 필요하지 않은 경우 리소스를 삭제하기 전에 다음 사항을 모두 충족해야 합니다.

  • 어떤 지역에도 배포된 구성이 없습니다.
  • 모든 구성이 삭제되었습니다.
  • 모든 네트워크 그룹이 삭제되었습니다.

리소스 그룹을 삭제하기 전에 구성 요소 제거 검사 목록을 사용하여 여전히 사용할 수 있는 자식 리소스가 없는지 확인합니다.

다음 단계

보안 관리자 구성을 사용하여 네트워크 트래픽을 차단하는 방법에 대해 알아봅니다.