자습서: NSG(네트워크 보안 그룹)를 사용하여 네트워크 트래픽 필터링

네트워크 보안 그룹을 사용하여 Azure Virtual Network의 Azure 리소스에서 들어오고 나가는 인바운드 및 아웃바운드 네트워크 트래픽을 필터링할 수 있습니다.

네트워크 보안 그룹에는 IP 주소, 포트, 프로토콜에 따라 네트워크 트래픽을 필터링하는 보안 규칙이 포함됩니다. 네트워크 보안 그룹이 서브넷과 연결되면 해당 서브넷에 배포된 리소스에 보안 규칙이 적용됩니다.

이 자습서에서는 다음 작업 방법을 알아봅니다.

네트워크의 보안 그룹 및 보안 규칙을 만듭니다.
애플리케이션의 보안 그룹 만들기
가상 네트워크 만들기 및 서브넷에 네트워크 보안 그룹 연결
가상 머신을 배포하고 해당 네트워크 인터페이스를 애플리케이션 보안 그룹에 연결합니다.

필수 구성 요소

활성 구독이 있는 Azure 계정. 무료로 계정을 만들 수 있습니다.

활성 구독이 있는 Azure 계정. 무료로 계정을 만들 수 있습니다.

Azure Cloud Shell

Azure는 브라우저를 통해 사용할 수 있는 대화형 셸 환경인 Azure Cloud Shell을 호스트합니다. Cloud Shell에서 Bash 또는 PowerShell을 사용하여 Azure 서비스 작업을 수행할 수 있습니다. 로컬 환경에 아무 것도 설치할 필요 없이 Azure Cloud Shell의 미리 설치된 명령을 사용하여 이 문서의 코드를 실행할 수 있습니다.

Azure Cloud Shell을 시작하려면 다음을 수행합니다.

옵션	예제/링크
코드 또는 명령 블록의 오른쪽 상단에서 시도 를 선택합니다. 시도 를 선택해도 코드 또는 명령이 Cloud Shell에 자동으로 복사되지 않습니다.
https://shell.azure.com으로 이동하거나 Cloud Shell 시작 단추를 선택하여 브라우저에서 Cloud Shell을 엽니다.
Azure Portal의 오른쪽 위에 있는 메뉴 모음에서 Cloud Shell 단추를 선택합니다.

Azure Cloud Shell을 사용하려면:

Cloud Shell을 시작합니다.
코드 블록(또는 명령 블록)에서 복사 단추를 선택하여 코드 또는 명령을 복사합니다.
Windows 및 Linux에서 Ctrl+Shift+V 를 선택하거나 macOS에서 Cmd+Shift+V 를 선택하여 코드 또는 명령을 Cloud Shell 세션에 붙여넣습니다.
Enter 를 선택하여 코드 또는 명령을 실행합니다.

PowerShell을 로컬로 설치하고 사용하도록 선택하는 경우, 이 문서에는 Azure PowerShell 모듈 버전 1.0.0 이상이 필요합니다. 설치되어 있는 버전을 확인하려면 Get-Module -ListAvailable Az 을 실행합니다. 업그레이드해야 하는 경우 Azure PowerShell 모듈 설치를 참조하세요. 또한 PowerShell을 로컬로 실행하는 경우 Connect-AzAccount 를 실행하여 Azure와 연결해야 합니다.

다음 절차에 따라 가상 네트워크를 리소스 서브넷과 만듭니다.

포털에서 가상 네트워크를 검색하여 선택합니다.
가상 네트워크 페이지에서 + 만들기를 선택합니다.

가상 네트워크 만들기의 기본 사항 탭에서 다음 정보를 입력하거나 선택합니다.

설정	값
프로젝트 세부 정보
구독	구독을 선택합니다.
리소스 그룹	새로 만들기를 선택합니다. Test-rg를 이름에 입력 합니다. 확인 을 선택합니다.
인스턴스 세부 정보
이름	vnet-1을 입력하세요.
지역	미국 동부 2를 선택하세요.

다음 을 선택하여 보안 탭으로 이동합니다.
다음 을 선택하여 IP 주소 탭으로 이동합니다.
주소 공간 입력란서브넷에서 기본 서브넷을 선택합니다.

서브넷 편집 에서 다음 정보를 입력하거나 선택합니다.

설정	값
서브넷 세부 정보
서브넷 템플릿	기본값 을그대로 둡니다.
이름	subnet-1을 입력합니다.
시작 주소	10.0.0.0(기본값)을 그대로 둡니다.
서브넷의 크기: /24	기본값인 /24(256개 주소)를 그대로 둡니다.

기본 서브넷 이름 변경 및 구성을 보여 주는 스크린샷.

저장을 선택합니다.
검토 + 만들기를 화면 아래쪽에서 선택합니다. 유효성 검사를 통과하면 만들기를 선택합니다.

먼저 New-AzureRmResourceGroup으로 리소스 그룹을 이 문서의 모든 리소스 대상으로 만듭니다. 다음 예제의 리소스 그룹은 미국 서부에 위치합니다.

$rg = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
}

New-AzResourceGroup @rg

New-AzVirtualNetwork를 사용하여 가상 네트워크를 만듭니다. 다음 예제가 만든 가상 네트워크는myVirtualNetwork 입니다.

$vnet = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "vnet-1"
    AddressPrefix = "10.0.0.0/16"
}

$virtualNetwork = New-AzVirtualNetwork @vnet

서브넷 구성을 New-AzVirtualNetworkSubnetConfig를 통해 만든 다음 Set-AzVirtualNetwork를 통해 가상 네트워크에 서브넷 구성을 기록합니다. 다음 예에서는 subnet-1 이라는 서브넷을 가상 네트워크에 추가하고 nsg-1 네트워크 보안 그룹을 연결합니다.

$subnet = @{
    Name = "subnet-1"
    VirtualNetwork = $virtualNetwork
    AddressPrefix = "10.0.0.0/24"
}
Add-AzVirtualNetworkSubnetConfig @subnet

$virtualNetwork | Set-AzVirtualNetwork

먼저 az group으로 이 문서에서 만든 모든 리소스에 대한 리소스 그룹을 만듭니다. 다음 예제의 리소스 그룹은 미국 서부에 위치합니다.

az group create \
  --name test-rg \
  --location westus2

az network vnet create를 사용하여 가상 네트워크를 만듭니다. 다음 예제가 만든 가상 네트워크는myVirtualNetwork 입니다.

az network vnet create \
  --name vnet-1 \
  --resource-group test-rg \
  --address-prefixes 10.0.0.0/16

Az network vnet subnet 을 만들어가상 네트워크에 서브넷을 추가합니다. 다음 예에서는 subnet-1 이라는 서브넷을 가상 네트워크에 추가하고 nsg-1 네트워크 보안 그룹을 연결합니다.

az network vnet subnet create \
  --vnet-name vnet-1 \
  --resource-group test-rg \
  --name subnet-1 \
  --address-prefix 10.0.0.0/24

애플리케이션의 보안 그룹 만들기

ASG(애플리케이션 보안 그룹) 을 사용하면 웹 서버와 같은 유사한 기능을 갖는 서버를 함께 그룹화할 수 있습니다.

검색 상자 포털 상단에 애플리케이션 보안 그룹을 입력합니다. Select Application security groups in the search results.
만들기를 선택합니다.

애플리케이션 보안 그룹 만들기의 기본 사항 탭에서 다음 정보를 입력하거나 선택합니다.

설정	값
프로젝트 세부 정보
구독	구독을 선택합니다.
리소스 그룹	test-rg을 선택합니다.
인스턴스 세부 정보
이름	asg-web을 입력합니다.
지역	미국 서부 2을 선택합니다.

검토 + 만들기를 선택합니다.
만들기를 선택합니다.

다음 값을 지정하여 이전 단계를 반복합니다.

설정	값
프로젝트 세부 정보
구독	구독을 선택합니다.
리소스 그룹	test-rg을 선택합니다.
인스턴스 세부 정보
이름	asg-mgmt를 입력합니다.
지역	미국 서부 2을 선택합니다.

검토 + 만들기를 선택합니다.
만들기를 선택합니다.

New-AzApplicationSecurityGroup을 사용하여 애플리케이션 보안 그룹을 생성합니다. 애플리케이션 보안 그룹을 사용하면 유사한 포트 필터링 요구 사항을 갖는 서버를 그룹화할 수 있습니다. 다음 예제에서는 두 애플리케이션 보안 그룹을 만듭니다.

$web = @{
    ResourceGroupName = "test-rg"
    Name = "asg-web"
    Location = "westus2"
}
$webAsg = New-AzApplicationSecurityGroup @web

$mgmt = @{
    ResourceGroupName = "test-rg"
    Name = "asg-mgmt"
    Location = "westus2"
}
$mgmtAsg = New-AzApplicationSecurityGroup @mgmt

az network asg create를 사용하여 애플리케이션 보안 그룹을 생성합니다. 애플리케이션 보안 그룹을 사용하면 유사한 포트 필터링 요구 사항을 갖는 서버를 그룹화할 수 있습니다. 다음 예제에서는 두 애플리케이션 보안 그룹을 만듭니다.

az network asg create \
  --resource-group test-rg \
  --name asg-web \
  --location westus2

az network asg create \
  --resource-group test-rg \
  --name asg-mgmt \
  --location westus2

네트워크 보안 그룹 만들기

NSG(네트워크 보안 그룹)는 가상 네트워크의 네트워크 트래픽을 보호합니다.

포털 상단의 검색 상자에 네트워크 보안 그룹을 입력합니다. 검색 결과에서 네트워크 보안 그룹을 선택합니다.

참고

네트워크 보안 그룹 검색 결과에서 클래식 네트워크 보안 그룹이 표시될 수 있습니다. 네트워크 보안 그룹을 선택합니다.
만들기를 선택합니다.

네트워크 보안 그룹 만들기의 기본 사항 탭에서 다음 정보를 입력하거나 선택합니다.

설정	값
프로젝트 세부 정보
구독	구독을 선택합니다.
리소스 그룹	test-rg을 선택합니다.
인스턴스 세부 정보
이름	nsg-1을 입력합니다.
위치	미국 서부 2을 선택합니다.

검토 + 만들기를 선택합니다.
만들기를 선택합니다.

New-AzNetworkSecurityGroup을 사용하여 네트워크 보안 그룹을 생성합니다. 다음 예제는 nsg-1이라는 이름의 네트워크 보안 그룹을 생성합니다.

$nsgParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "nsg-1"
}
$nsg = New-AzNetworkSecurityGroup @nsgParams

az network nsg create를 사용하여 네트워크 보안 그룹을 생성합니다. 다음 예제는 nsg-1이라는 이름의 네트워크 보안 그룹을 생성합니다.

# Create a network security group
az network nsg create \
  --resource-group test-rg \
  --name nsg-1

네트워크 보안 그룹을 서브넷에 연결

이 섹션에서는 앞서 생성한 가상 네트워크의 서브넷에 네트워크 보안 그룹을 연결합니다.

포털 상단의 검색 상자에 네트워크 보안 그룹을 입력합니다. 검색 결과에서 네트워크 보안 그룹을 선택합니다.
nsg-1을 선택합니다.
nsg-1의 설정 섹션에서 서브넷을 선택합니다.
서브넷 페이지에서 + 연결을 선택합니다.
서브넷 연결에서 가상 네트워크에 vnet-1 (test-rg)을 선택합니다.
서브넷에 대해 subnet-1을 선택한 후, 확인을 클릭합니다.

Get-AzVirtualNetwork를 사용하여 가상 네트워크 객체를 가져온 다음, Set-AzVirtualNetworkSubnetConfig를 사용하여 네트워크 보안 그룹을 서브넷에 연결합니다. 다음 예제는 가상 네트워크 객체를 가져오고 서브넷 구성을 업데이트하여 네트워크 보안 그룹을 연결합니다.

# Retrieve the virtual network
$vnet = Get-AzVirtualNetwork -Name "vnet-1" -ResourceGroupName "test-rg"

# Update the subnet configuration to associate the network security group
$subnetConfigParams = @{
    VirtualNetwork = $vnet
    Name = "subnet-1"
    AddressPrefix = $vnet.Subnets[0].AddressPrefix
    NetworkSecurityGroup = Get-AzNetworkSecurityGroup -Name "nsg-1" -ResourceGroupName "test-rg"
}
Set-AzVirtualNetworkSubnetConfig @subnetConfigParams

# Update the virtual network with the new subnet configuration
$vnet | Set-AzVirtualNetwork

az network vnet subnet update를 사용하여 네트워크 보안 그룹을 서브넷에 연결합니다. 다음 예제는 nsg-1 네트워크 보안 그룹을 subnet-1 서브넷에 연결합니다.

az network vnet subnet update \
  --resource-group test-rg \
  --vnet-name vnet-1 \
  --name subnet-1 \
  --network-security-group nsg-1

보안 규칙 만들기

nsg-1의 설정 섹션에서 인바운드 보안 규칙을 선택합니다.
인바운드 보안 규칙 페이지에서 + 추가를 선택하십시오.

asg-web 애플리케이션 보안 그룹에 포트 80을 허용하는 보안 규칙을 만듭니다. 인바운드 보안 규칙 추가 페이지에서 다음 정보를 입력하거나 선택합니다.

설정	값
출처	모두인 상태를 기본으로 합니다.
원본 포트 범위	*()**의 기본값을 그대로 둡니다.
대상	애플리케이션 보안 그룹을 선택합니다.
대상 애플리케이션 보안 그룹	asg-web을 선택합니다.
서비스	기본값을 사용자 지정을 그대로 유지합니다.
대상 포트 범위	80을 입력합니다.
프로토콜	TCP을 선택합니다.
작업	허용(기본값)을 그대로 둡니다.
우선 순위	100(기본값)을 그대로 둡니다.
이름	allow-http-web을 입력합니다.

추가를 선택합니다.

이전 단계를 다음 정보를 사용하여 완료합니다.

설정	값
출처	모두인 상태를 기본으로 합니다.
원본 포트 범위	*()**의 기본값을 그대로 둡니다.
대상	애플리케이션 보안 그룹을 선택합니다.
대상 애플리케이션 보안 그룹	asg-mgmt를 선택합니다.
서비스	기본값을 사용자 지정을 그대로 유지합니다.
대상 포트 범위	8080을 입력합니다.
프로토콜	TCP을 선택합니다.
작업	허용(기본값)을 그대로 둡니다.
우선 순위	110(기본값)을 그대로 둡니다.
이름	allow-8080-mgmt를 입력합니다.

추가를 선택합니다.

New-AzNetworkSecurityRuleConfig를 사용하여 보안 규칙을 생성합니다. 다음 예제에서는 포트 80을 통해 인터넷에서 asg-web 애플리케이션 보안 그룹으로의 트래픽 인바운드를 허용하는 규칙을 만듭니다.

$webAsgParams = @{
    Name = "asg-web"
    ResourceGroupName = "test-rg"
}
$webAsg = Get-AzApplicationSecurityGroup @webAsgParams

$webRuleParams = @{
    Name = "Allow-HTTP-Web"
    Access = "Allow"
    Protocol = "Tcp"
    Direction = "Inbound"
    Priority = 100
    SourceAddressPrefix = "Internet"
    SourcePortRange = "*"
    DestinationApplicationSecurityGroupId = $webAsg.id
    DestinationPortRange = 80
}
$webRule = New-AzNetworkSecurityRuleConfig @webRuleParams

다음 예제에서는 포트 8080을 통해 인터넷에서 asg-mgmt 애플리케이션 보안 그룹으로의 트래픽 인바운드를 허용하는 규칙을 만듭니다.

$mgmtAsgParams = @{
    Name = "asg-mgmt"
    ResourceGroupName = "test-rg"
}
$mgmtAsg = Get-AzApplicationSecurityGroup @mgmtAsgParams

$mgmtRuleParams = @{
    Name = "Allow-8080-Mgmt"
    Access = "Allow"
    Protocol = "Tcp"
    Direction = "Inbound"
    Priority = 110
    SourceAddressPrefix = "Internet"
    SourcePortRange = "*"
    DestinationApplicationSecurityGroupId = $mgmtAsg.id
    DestinationPortRange = 8080
}
$mgmtRule = New-AzNetworkSecurityRuleConfig @mgmtRuleParams

Get-AzNetworkSecurityGroup를 사용하여 기존 네트워크 보안 그룹을 가져온 다음, += 연산자를 사용하여 새 규칙을 추가합니다. 마지막으로 Set-AzNetworkSecurityGroup을 사용하여 네트워크 보안 그룹을 업데이트합니다.

# Retrieve the existing network security group
$nsg = Get-AzNetworkSecurityGroup -Name "nsg-1" -ResourceGroupName "test-rg"

# Add the new rules to the security group
$nsg.SecurityRules += $webRule
$nsg.SecurityRules += $mgmtRule

# Update the network security group with the new rules
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $nsg

az network nsg rule create를 사용하여 보안 규칙을 생성합니다. 다음 예제에서는 포트 80을 통해 인터넷에서 asg-web 애플리케이션 보안 그룹으로의 트래픽 인바운드를 허용하는 규칙을 만듭니다.

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Allow-HTTP-Web \
  --access Allow \
  --protocol Tcp \
  --direction Inbound \
  --priority 100 \
  --source-address-prefix Internet \
  --source-port-range "*" \
  --destination-asgs "asg-web" \
  --destination-port-range 80

다음 예제에서는 포트 8080을 통해 인터넷에서 asg-mgmt 애플리케이션 보안 그룹으로의 트래픽 인바운드를 허용하는 규칙을 만듭니다.

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Allow-8080-Mgmt \
  --access Allow \
  --protocol Tcp \
  --direction Inbound \
  --priority 110 \
  --source-address-prefix Internet \
  --source-port-range "*" \
  --destination-asgs "asg-mgmt" \
  --destination-port-range 8080

가상 머신 만들기

가상 네트워크에 두 개의 VM(가상 머신)을 만듭니다.

포털에서 >가상 머신을 검색하여 선택합니다.
가상 머신에서 + 만들기, 가상 머신을 선택합니다.

가상 머신 만들기에서 기본 사항 탭에 다음 정보를 입력하거나 선택합니다.

설정	값
프로젝트 세부 정보
구독	구독을 선택합니다.
리소스 그룹	test-rg을 선택합니다.
인스턴스 세부 정보
가상 머신 이름	vm-web을 입력합니다.
지역	(미국) 미국 서부 2를 선택합니다.
가용성 옵션	기본값인 인프라 중복 필요 없음을 그대로 둡니다.
보안 유형	표준을 선택합니다.
이미지	Ubuntu Server 24.04 LTS - x64 Gen2를 선택합니다.
Azure Spot 인스턴스	기본값인 체크 해제 상태로 둡니다.
크기	크기를 선택합니다.
관리자 계정
인증 유형	SSH 공개 키를 선택합니다.
사용자 이름	azureuser를 입력합니다.
SSH 공개 키 원본	새 키 쌍 생성을 선택합니다.
키 쌍 이름	vm-web-key를 입력합니다.
인바운드 포트 규칙
인바운드 포트 선택	없음을 선택합니다.

다음: 디스크를 선택하고 다음: 네트워킹을 선택합니다.

네트워킹 탭에서 다음 정보를 입력하거나 선택합니다.

설정	값
네트워크 인터페이스
가상 네트워크	vnet-1을 선택합니다.
서브넷	subnet-1 (10.0.0.0/24)을 선택합니다.
공용 IP	새 공용 IP(기본값)를 그대로 둡니다.
NIC 네트워크 보안 그룹 추가	없음을 선택합니다.

검토 + 만들기 탭을 선택하거나, 페이지 아래쪽에서 파란색 검토 + 만들기 단추를 선택합니다.
만들기를 선택합니다.
새 키 쌍을 생성하라는 메시지가 표시되면 프라이빗 키 다운로드를 선택하고 리소스를 만듭니다. 프라이빗 키가 로컬 컴퓨터에 다운로드됩니다. 가상 머신 배포에는 몇 분 정도 소요될 수 있습니다.
이전 단계를 반복하여 키 쌍 이름 vm-mgmt-key를 사용하여 vm-mgmt 라는 두 번째 가상 머신 을 만듭니다.

가상 머신을 생성하기 전에, Get-AzVirtualNetwork를 사용하여 서브넷이 포함된 가상 네트워크 객체를 가져옵니다.

$virtualNetworkParams = @{
    Name = "vnet-1"
    ResourceGroupName = "test-rg"
}
$virtualNetwork = Get-AzVirtualNetwork @virtualNetworkParams

각 가상 머신에 대해 New-AzPublicIpAddress를 사용하여 공용 IP 주소를 생성합니다.

$publicIpWebParams = @{
    AllocationMethod = "Static"
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "public-ip-vm-web"
}
$publicIpWeb = New-AzPublicIpAddress @publicIpWebParams

$publicIpMgmtParams = @{
    AllocationMethod = "Static"
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "public-ip-vm-mgmt"
}
$publicIpMgmt = New-AzPublicIpAddress @publicIpMgmtParams

New-AzNetworkInterface를 사용하여 두 개의 네트워크 인터페이스를 생성하고, 각 네트워크 인터페이스에 공용 IP 주소를 할당합니다. 다음 예제는 네트워크 인터페이스를 생성하고, public-ip-vm-web 공용 IP 주소를 연결합니다.

$webNicParams = @{
    Location = "westus2"
    Name = "vm-web-nic"
    ResourceGroupName = "test-rg"
    SubnetId = $virtualNetwork.Subnets[0].Id
    PublicIpAddressId = $publicIpWeb.Id
}
$webNic = New-AzNetworkInterface @webNicParams

다음 예제는 네트워크 인터페이스를 생성하고, public-ip-vm-mgmt 공용 IP 주소를 연결합니다.

$mgmtNicParams = @{
    Location = "westus2"
    Name = "vm-mgmt-nic"
    ResourceGroupName = "test-rg"
    SubnetId = $virtualNetwork.Subnets[0].Id
    PublicIpAddressId = $publicIpMgmt.Id
}
$mgmtNic = New-AzNetworkInterface @mgmtNicParams

가상 네트워크에 두 개의 가상 머신을 생성하여, 이후 단계에서 트래픽 필터링을 검증할 수 있도록 합니다.

New-AzSshKey를 사용하여 Azure에서 SSH 키를 생성합니다. 다음 예제에서는 각 VM에 대한 SSH 키 리소스를 만듭니다.

# Create SSH key for vm-web
$webSshKeyParams = @{
    ResourceGroupName = "test-rg"
    Name = "vm-web-key"
}
New-AzSshKey @webSshKeyParams

# Create SSH key for vm-mgmt
$mgmtSshKeyParams = @{
    ResourceGroupName = "test-rg"
    Name = "vm-mgmt-key"
}
New-AzSshKey @mgmtSshKeyParams

New-AzVMConfig로 VM 구성을 만든 다음, New-AzVM으로 VM을 만듭니다. 다음 예제는 웹 서버 역할을 하는 가상 머신을 생성합니다. -AsJob 옵션은 다음 단계를 계속하기 위해 백그라운드에서 VM을 만듭니다.

# Get the SSH public key
$sshKey = Get-AzSshKey -Name "vm-web-key" -ResourceGroupName "test-rg"

$webVmConfigParams = @{
    VMName = "vm-web"
    VMSize = "Standard_DS1_V2"
}

$vmImageParams = @{
    PublisherName = "Canonical"
    Offer = "ubuntu-24_04-lts"
    Skus = "server"
    Version = "latest"
}

$webVmConfig = New-AzVMConfig @webVmConfigParams | `
    Set-AzVMOperatingSystem -Linux -ComputerName "vm-web" -Credential (New-Object System.Management.Automation.PSCredential("azureuser", (ConvertTo-SecureString "DummyP@ssw0rd" -AsPlainText -Force))) -DisablePasswordAuthentication | `
    Set-AzVMSourceImage @vmImageParams | `
    Add-AzVMNetworkInterface -Id $webNic.Id | `
    Set-AzVMOSDisk -CreateOption FromImage | `
    Set-AzVMBootDiagnostic -Disable | `
    Add-AzVMSshPublicKey -KeyData $sshKey.publicKey -Path "/home/azureuser/.ssh/authorized_keys"

$webVmParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VM = $webVmConfig
}

New-AzVM @webVmParams -AsJob

관리 서버 역할을 하는 가상 머신을 생성합니다.

# Get the SSH public key
$sshKey = Get-AzSshKey -Name "vm-mgmt-key" -ResourceGroupName "test-rg"

$mgmtVmConfigParams = @{
    VMName = "vm-mgmt"
    VMSize = "Standard_DS1_V2"
}

$vmImageParams = @{
    PublisherName = "Canonical"
    Offer = "ubuntu-24_04-lts"
    Skus = "server"
    Version = "latest"
}

$mgmtVmConfig = New-AzVMConfig @mgmtVmConfigParams | `
    Set-AzVMOperatingSystem -Linux -ComputerName "vm-mgmt" -Credential (New-Object System.Management.Automation.PSCredential("azureuser", (ConvertTo-SecureString "DummyP@ssw0rd" -AsPlainText -Force))) -DisablePasswordAuthentication | `
    Set-AzVMSourceImage @vmImageParams | `
    Add-AzVMNetworkInterface -Id $mgmtNic.Id | `
    Set-AzVMOSDisk -CreateOption FromImage | `
    Set-AzVMBootDiagnostic -Disable | `
    Add-AzVMSshPublicKey -KeyData $sshKey.publicKey -Path "/home/azureuser/.ssh/authorized_keys"

$mgmtVmParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VM = $mgmtVmConfig
}

New-AzVM @mgmtVmParams

가상 머신을 생성하는 데 몇 분 정도 소요됩니다. Azure에서 가상 머신 생성이 완료될 때까지 다음 단계로 진행하지 마십시오.

가상 네트워크에 두 개의 가상 머신을 생성하여, 이후 단계에서 트래픽 필터링을 검증할 수 있도록 합니다.

az vm create를 사용하여 VM을 만듭니다. 다음 예제는 웹 서버 역할을 하는 가상 머신을 생성합니다. --nsg "" 옵션은 Azure가 가상 머신 생성 시 생성하는 네트워크 인터페이스에 대해 기본 네트워크 보안 그룹을 생성하지 않도록 지정하는 것입니다. --generate-ssh-keys 매개 변수는 CLI가 ~/.ssh에서 사용 가능한 ssh 키를 찾도록 합니다. 하나가 발견되면, 해당 키가 사용됩니다. 그렇지 않은 경우 생성되어 다음 위치에 저장됩니다.~/.ssh

az vm create \
  --resource-group test-rg \
  --name vm-web \
  --image Ubuntu2404 \
  --vnet-name vnet-1 \
  --subnet subnet-1 \
  --nsg "" \
  --admin-username azureuser \
  --generate-ssh-keys

가상 머신을 생성하는 데 몇 분 정도 소요됩니다. 가상 머신이 생성된 후, 다음 예제와 유사한 출력이 반환됩니다.

{
  "fqdns": "",
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/test-rg/providers/Microsoft.Compute/virtualMachines/vm-web",
  "location": "westus2",
  "macAddress": "00-0D-3A-23-9A-49",
  "powerState": "VM running",
  "privateIpAddress": "10.0.0.4",
  "publicIpAddress": "203.0.113.24",
  "resourceGroup": "test-rg"
}

az vm create를 사용하여 VM을 만듭니다. 다음 예제에서는 관리 서버 역할을 하는 VM을 만듭니다.

az vm create \
  --resource-group test-rg \
  --name vm-mgmt \
  --image Ubuntu2404 \
  --vnet-name vnet-1 \
  --subnet subnet-1 \
  --nsg "" \
  --admin-username azureuser \
  --generate-ssh-keys

가상 머신을 생성하는 데 몇 분 정도 소요됩니다. Azure에서 가상 머신 생성이 완료될 때까지 다음 단계로 진행하지 마십시오.

네트워크 인터페이스를 ASG에 연결합니다.

VM을 만들 때 Azure는 각 VM에 대한 네트워크 인터페이스를 만들고 VM에 연결했습니다.

이전에 생성한 애플리케이션 보안 그룹 중 하나에 각 VM의 네트워크 인터페이스를 추가합니다.

포털 맨 위에 있는 검색 상자에 가상 머신을 입력합니다. 검색 결과에서 가상 머신을 선택한 후, vm-web을 선택합니다.
vm-web의 네트워킹 섹션에서 애플리케이션 보안 그룹을 선택합니다.
애플리케이션 보안 그룹 추가를 선택한 다음 애플리케이션 보안 그룹 추가 탭에서 asg-web을 선택합니다. 마지막으로 추가를 선택합니다.
이전 단계를 vm-mgmt에 대해 반복하고, 애플리케이션 보안 그룹 추가 탭에서 asg-mgmt를 선택합니다.

Get-AzNetworkInterface를 사용하여 가상 머신의 네트워크 인터페이스를 검색한 다음 Get-AzApplicationSecurityGroup을 사용하여 애플리케이션 보안 그룹을 검색 합니다. 마지막으로 Set-AzNetworkInterface를 사용하여 애플리케이션 보안 그룹을 네트워크 인터페이스에 연결합니다. 다음 예제에서는 asg-web 애플리케이션 보안 그룹을 vm-web-nic 네트워크 인터페이스와 연결합니다.

$params1 = @{
    Name = "vm-web-nic"
    ResourceGroupName = "test-rg"
}
$nic = Get-AzNetworkInterface @params1

$params2 = @{
    Name = "asg-web"
    ResourceGroupName = "test-rg"
}
$asg = Get-AzApplicationSecurityGroup @params2

$nic.IpConfigurations[0].ApplicationSecurityGroups = @($asg)

$params3 = @{
    NetworkInterface = $nic
}
Set-AzNetworkInterface @params3

이 명령을 반복하여 asg-mgmt 애플리케이션 보안 그룹을 vm-mgmt-nic 네트워크 인터페이스와 연결합니다.

$params1 = @{
    Name = "vm-mgmt-nic"
    ResourceGroupName = "test-rg"
}
$nic = Get-AzNetworkInterface @params1

$params2 = @{
    Name = "asg-mgmt"
    ResourceGroupName = "test-rg"
}
$asg = Get-AzApplicationSecurityGroup @params2

$nic.IpConfigurations[0].ApplicationSecurityGroups = @($asg)

$params3 = @{
    NetworkInterface = $nic
}
Set-AzNetworkInterface @params3

az network nic update를 사용하여 네트워크 인터페이스를 애플리케이션 보안 그룹에 연결합니다. 다음 예제에서는 asg-web 애플리케이션 보안 그룹을 vm-web-nic 네트워크 인터페이스와 연결합니다.

# Retrieve the network interface name associated with the virtual machine
nic_name=$(az vm show --resource-group test-rg --name vm-web --query 'networkProfile.networkInterfaces[0].id' -o tsv | xargs basename)

# Associate the application security group with the network interface
az network nic ip-config update \
    --name ipconfigvm-web \
    --nic-name $nic_name \
    --resource-group test-rg \
    --application-security-groups asg-web

이 명령을 반복하여 asg-mgmt 애플리케이션 보안 그룹을 vm-mgmt-nic 네트워크 인터페이스와 연결합니다.

# Retrieve the network interface name associated with the virtual machine
nic_name=$(az vm show --resource-group test-rg --name vm-mgmt --query 'networkProfile.networkInterfaces[0].id' -o tsv | xargs basename)

# Associate the application security group with the network interface
az network nic ip-config update \
    --name ipconfigvm-mgmt \
    --nic-name $nic_name \
    --resource-group test-rg \
    --application-security-groups asg-mgmt

트래픽 필터 테스트

포털 맨 위에 있는 검색 상자에 가상 머신을 입력합니다. 검색 결과에서 가상 머신을 선택합니다.
vm-web을 선택합니다.
작업 섹션에서 실행 명령을 선택합니다.
RunShellScript를 선택합니다.

명령 스크립트 실행 창에서 다음 명령을 입력합니다.

sudo apt-get update -y
sudo apt-get install -y nginx
sudo systemctl enable nginx
sudo systemctl start nginx

실행을 선택합니다. 스크립트가 성공적으로 완료되기를 기다립니다.
vm-web의 개요 페이지에서 VM의 공용 IP 주소를 확인합니다.
vm-web 웹 서버에 포트 80을 통해 인터넷에서 액세스할 수 있는지 확인하려면, 컴퓨터에서 인터넷 브라우저를 열고 http://<public-ip-address-from-previous-step>으로 이동합니다.

인터넷에서 asg-web 애플리케이션 보안 그룹으로의 인바운드 트래픽은 포트 80을 통해 허용되므로 nginx 기본 페이지가 표시됩니다.

vm-web에 연결된 네트워크 인터페이스는 asg-web 애플리케이션 보안 그룹과 연결되어 있으며, 연결을 허용합니다.
브라우저에서 https://<public-ip-address-vm-web>을(를) 탐색하여 포트 443에서 vm-web에 액세스해 보세요. asg-web의 보안 규칙에서 인터넷에서 포트 443 인바운드를 허용하지 않으므로 연결이 실패하거나 시간이 초과됩니다.
이제 포트 8080에서 nginx를 사용하여 vm-mgmt 를 구성합니다. 가상 머신 페이지에서 vm-mgmt를 선택합니다.
작업 섹션에서 실행 명령을 선택합니다.
RunShellScript를 선택합니다.

명령 스크립트 실행 창에서 다음 명령을 입력하여 포트 8080에 nginx를 설치합니다.

sudo apt-get update -y
sudo apt-get install -y nginx

# Configure nginx to listen on port 8080
sudo tee /etc/nginx/sites-available/default > /dev/null <<EOF
server {
    listen 8080 default_server;
    listen [::]:8080 default_server;
    root /var/www/html;
    index index.html index.htm index.nginx-debian.html;
    server_name _;
    location / {
        try_files \$uri \$uri/ =404;
    }
}
EOF

sudo systemctl restart nginx

실행을 선택합니다. 스크립트가 성공적으로 완료되기를 기다립니다.
vm-mgmt의 개요 페이지에서 VM의 공용 IP 주소를 확인합니다.
인터넷에서 포트 8080으로 vm-mgmt 웹 서버에 접속할 수 있는지 확인하려면, 컴퓨터에서 인터넷 브라우저를 열고 http://<public-ip-address-vm-mgmt>:8080로 이동합니다.

인터넷에서 asg-mgmt 애플리케이션 보안 그룹으로의 인바운드 트래픽은 포트 8080을 통해 허용되므로 nginx 기본 페이지가 표시됩니다.
vm-mgmt을 포트 80에서 브라우저로 열어 http://<public-ip-address-vm-mgmt>에 액세스해 보세요. asg-mgmt 애플리케이션 보안 그룹에 포트 80 인바운드를 허용하는 보안 규칙이 없으므로 연결이 실패하거나 시간이 초과됩니다.

vm-web에 연결된 네트워크 인터페이스는 asg-web 애플리케이션 보안 그룹과 연결되어 있으며, 연결을 허용합니다.

Invoke-AzVMRunCommand를 사용하여 vm-web에 nginx를 설치합니다.

$webInstallParams = @{
    ResourceGroupName = "test-rg"
    VMName = "vm-web"
    CommandId = "RunShellScript"
    ScriptString = @"
sudo apt-get update -y
sudo apt-get install -y nginx
sudo systemctl enable nginx
sudo systemctl start nginx
"@
}
Invoke-AzVMRunCommand @webInstallParams

명령을 완료하는 데 몇 분 정도 걸릴 수 있습니다. 완료 후 vm-web에서 웹 액세스를 테스트합니다.

vm-web의 공용 IP 주소를 가져옵니다.

$webIPParams = @{
    Name = "public-ip-vm-web"
    ResourceGroupName = "test-rg"
}
$webIP = Get-AzPublicIpAddress @webIPParams
Write-Host "vm-web IP: $($webIP.IpAddress)"

포트 80을 통해 인터넷에서 vm-web 웹 서버에 액세스할 수 있는지 확인하려면 컴퓨터에서 인터넷 브라우저를 열고 http://<vm-web-ip-address>로 이동합니다.

인터넷에서 asg-web 애플리케이션 보안 그룹으로의 인바운드 트래픽은 포트 80을 통해 허용되므로 nginx 기본 페이지가 표시됩니다. vm-web VM에 연결된 네트워크 인터페이스가 이 그룹에 있습니다.

브라우저에서 vm-web을(를) 포트 443으로 접속하기 위해 를 탐색해 보세요. asg-web의 보안 규칙에서 인터넷에서 포트 443 인바운드를 허용하지 않으므로 연결이 실패하거나 시간이 초과됩니다.

이제 vm-mgmt의 포트 8080에 nginx를 설치합니다.

$mgmtInstallParams = @{
    ResourceGroupName = "test-rg"
    VMName = "vm-mgmt"
    CommandId = "RunShellScript"
    ScriptString = @"
sudo apt-get update -y
sudo apt-get install -y nginx

# Configure nginx to listen on port 8080
sudo tee /etc/nginx/sites-available/default > /dev/null <<'EOF'
server {
    listen 8080 default_server;
    listen [::]:8080 default_server;
    root /var/www/html;
    index index.html index.htm index.nginx-debian.html;
    server_name _;
    location / {
        try_files \$uri \$uri/ =404;
    }
}
EOF

sudo systemctl restart nginx
"@
}
Invoke-AzVMRunCommand @mgmtInstallParams

vm-mgmt의 공용 IP 주소를 가져옵니다.

$mgmtIPParams = @{
    Name = "public-ip-vm-mgmt"
    ResourceGroupName = "test-rg"
}
$mgmtIP = Get-AzPublicIpAddress @mgmtIPParams
Write-Host "vm-mgmt IP: $($mgmtIP.IpAddress)"

컴퓨터에서 인터넷 브라우저를 열고 http://<vm-mgmt-ip-address>:8080으로 이동하여 포트 8080을 통해 인터넷에서 vm-mgmt 웹 서버에 액세스할 수 있는지 확인합니다.

인터넷에서 asg-mgmt 애플리케이션 보안 그룹으로의 인바운드 트래픽은 포트 8080을 통해 허용되므로 nginx 기본 페이지가 표시됩니다.

브라우저에서 http://<vm-mgmt-ip-address>로 이동하여 포트 80을 통해 vm-mgmt에 액세스해 보세요. asg-mgmt 애플리케이션 보안 그룹에 포트 80 인바운드를 허용하는 보안 규칙이 없으므로 연결이 실패하거나 시간이 초과됩니다.

az vm run-command invoke를 사용하여 vm-web에 nginx를 설치합니다.

az vm run-command invoke \
  --resource-group test-rg \
  --name vm-web \
  --command-id RunShellScript \
  --scripts "sudo apt-get update -y && sudo apt-get install -y nginx && sudo systemctl enable nginx && sudo systemctl start nginx"

vm-web의 공용 IP 주소를 가져옵니다.

webIP=$(az vm show --show-details --resource-group test-rg --name vm-web --query publicIps --output tsv)
echo "vm-web IP: $webIP"

포트 80의 인터넷에서 vm-web 웹 서버에 액세스할 수 있는지 확인하려면 curl을 사용합니다.

curl http://$webIP

vm-web VM에 연결된 네트워크 인터페이스가 있는 asg-web 애플리케이션 보안 그룹이 인터넷에서 80 포트 인바운드를 허용하므로 연결에 성공합니다.

포트 443에서 vm-web 에 액세스합니다.

curl -k https://$webIP

asg-web의 보안 규칙에서 인터넷에서 포트 443 인바운드를 허용하지 않으므로 연결이 실패하거나 시간이 초과됩니다.

이제 vm-mgmt의 포트 8080에 nginx를 설치합니다.

az vm run-command invoke \
  --resource-group test-rg \
  --name vm-mgmt \
  --command-id RunShellScript \
  --scripts "sudo apt-get update -y && \
sudo apt-get install -y nginx && \
sudo bash -c 'cat > /etc/nginx/sites-available/default <<EOF
server {
    listen 8080 default_server;
    listen [::]:8080 default_server;
    root /var/www/html;
    index index.html index.htm index.nginx-debian.html;
    server_name _;
    location / {
        try_files \\\$uri \\\$uri/ =404;
    }
}
EOF' && \
sudo systemctl restart nginx"

vm-mgmt의 공용 IP 주소를 가져옵니다.

mgmtIP=$(az vm show --show-details --resource-group test-rg --name vm-mgmt --query publicIps --output tsv)
echo "vm-mgmt IP: $mgmtIP"

포트 8080의 인터넷에서 vm-mgmt 웹 서버에 액세스할 수 있는지 확인하려면 curl을 사용합니다.

curl http://$mgmtIP:8080

인터넷에서 asg-mgmt 애플리케이션 보안 그룹으로의 인바운드 트래픽은 포트 8080을 통해 허용되므로 연결이 성공합니다.

포트 80에서 vm-mgmt 에 액세스합니다.

curl http://$mgmtIP

asg-mgmt 애플리케이션 보안 그룹에 포트 80 인바운드를 허용하는 보안 규칙이 없으므로 연결이 실패하거나 시간이 초과됩니다.

생성한 리소스 사용을 마치면, 리소스 그룹과 그 안의 모든 리소스를 삭제할 수 있습니다.

Azure Portal에서 리소스 그룹을 검색하고 선택합니다.
리소스 그룹 페이지에서 test-rg 리소스 그룹을 선택합니다.
test-rg 페이지에서 리소스 그룹 삭제를 선택합니다.
리소스 그룹 삭제 확인을 위해 이름 입력에 test-rg를 입력한 후, 삭제를 선택합니다.

더 이상 필요하지 않은 경우 Remove-AzResourceGroup를 사용하여 리소스 그룹과 그 안의 모든 리소스를 제거할 수 있습니다.

$params = @{
    Name = "test-rg"
    Force = $true
}
Remove-AzResourceGroup @params

더 이상 필요하지 않은 경우 az group delete를 사용하여 리소스 그룹과 그 안의 모든 리소스를 제거합니다.

az group delete \
    --name test-rg \
    --yes \
    --no-wait

다음 단계

이 자습서에서는 다음을 수행합니다.

네트워크 보안 그룹을 생성하고 이를 가상 네트워크 서브넷에 연결했습니다.
웹 및 관리 트래픽에 대한 애플리케이션 보안 그룹을 만들었습니다.
SSH 키 인증을 사용하여 두 개의 Linux 가상 머신을 만들고 해당 네트워크 인터페이스를 애플리케이션 보안 그룹과 연결했습니다.
서로 다른 포트 구성을 사용하는 두 VM에 nginx 웹 서버가 설치되었습니다.
vm-web에서 포트 80(HTTP)을 허용하지만 포트 443을 거부하는 반면 vm-mgmt는 포트 8080을 허용하지만 포트 80(HTTP)을 거부한다는 것을 보여줌으로써 애플리케이션 보안 그룹 네트워크 필터링을 테스트했습니다.

네트워크 보안 그룹에 대한 자세한 내용은 네트워크 보안 그룹 개요 및 네트워크 보안 그룹 관리를 참조하세요.

Azure는 기본적으로 서브넷 간 트래픽을 라우팅합니다. 대신, 트래픽을 가상 머신을 통해 라우팅하도록 선택할 수 있습니다. 예를 들어, 가상 머신을 방화벽으로 사용할 수 있습니다.

라우팅 테이블 생성 방법을 알아보려면, 다음 튜토리얼로 진행하십시오.

경로 테이블 만들기

피드백

이 페이지가 도움이 되었나요?

Last updated on 2026-02-05