IP 흐름 확인 및 NSG 진단

  • 6분

IP 흐름 확인 및 NSG 진단은 모두 네트워킹 구성이 네트워크 트래픽을 제한하는 방법을 진단할 수 있습니다.

IP 흐름 확인

IP 흐름 확인은 가상 머신 간 패킷이 허용 또는 거부되는지를 확인합니다. 해당 정보는 방향, 프로토콜, 로컬 IP, 원격 IP, 로컬 포트 및 원격 포트로 구성됩니다. 보안 그룹에서 패킷을 거부하면 해당 패킷을 거부한 규칙의 이름이 반환됩니다. 모든 원본 또는 대상 IP를 선택할 수 있는 동안 IP 흐름 확인을 통해 관리자는 인터넷 간 및 온-프레미스 환경 간 연결 문제를 신속하게 진단할 수 있습니다.

IP 흐름 확인은 서브넷 또는 가상 머신 NIC와 같은 네트워크 인터페이스에 적용되는 모든 NSG(네트워크 보안 그룹)에 대한 규칙을 검토합니다. 그런 다음 해당 네트워크 인터페이스 간에서 구성된 설정에 따라 트래픽 흐름이 확인됩니다. IP 흐름 확인은 네트워크 보안 그룹의 규칙이 가상 머신 간의 수신 또는 송신 트래픽을 차단하는 경우를 확인하는 데 유용합니다. 이제 NSG 규칙과 함께 Azure Virtual Network Manager 규칙도 평가됩니다.

AVNM(Azure Virtual Network Manager)는 구독에서 가상 네트워크를 전역적으로 그룹화, 구성하고 배포, 관리할 수 있는 관리 서비스입니다. AVNM 보안 구성을 통해 사용자는 전역 수준에서 하나 이상의 네트워크 그룹에 적용될 수 있는 규칙 컬렉션을 정의할 수 있습니다. 이러한 보안 규칙은 NSG(네트워크 보안 그룹) 규칙보다 우선 순위가 더 높습니다. 여기서 유의해야 할 중요한 차이점은 관리 규칙은 거버넌스 및 보안 팀이 제어하는 중앙 위치에서 AVNM이 제공하는 리소스이며, 이는 각 VNet까지 적용된다는 것입니다. NSG는 VNet 소유자가 제어하는 리소스이며, 이는 각 서브넷 또는 NIC 수준에서 적용됩니다.

Network Watcher의 인스턴스는 IP 흐름을 실행하려는 모든 지역에서 만들어져야 합니다. Network Watcher는 지역 서비스이며 동일한 지역의 리소스에 대해서만 실행할 수 있습니다. 사용되는 인스턴스는 IP 흐름 확인의 결과에 영향을 주지 않습니다. NIC 또는 서브넷과 연결된 경로가 여전히 반환되기 때문입니다.

NSG 진단

NSG(네트워크 보안 그룹) 진단은 Azure Network Watcher 도구로, 디버깅에 대한 자세한 정보와 함께 Azure 가상 네트워크에서 어떤 네트워크 트래픽이 허용 또는 거부되는지 이해하는 데 도움이 됩니다. NSG 진단은 네트워크 보안 그룹 규칙이 제대로 설정되었는지 확인하는 데 도움이 될 수 있습니다. NSG 진단은 IP 흐름 확인과 일부 기능을 공유합니다.

NSG 진단 도구는 사용자가 제공한 원본 및 대상에 따라 지정된 흐름을 시뮬레이션할 수 있습니다. 흐름을 허용 또는 거부하는 보안 규칙에 대한 자세한 정보와 함께 여 흐름의 허용 또는 거부 여부를 반환합니다.

NSG에 진단을 실행하려면 다음 단계를 수행합니다.

  1. 포털 상단의 검색 상자에서 Network Watcher를 검색하여 선택합니다.
  2. 네트워크 진단 도구에서 NSG 진단을 선택합니다.
  3. NSG 진단 페이지에서 다음 값을 입력하거나 선택합니다.
    • 대상 리소스
      • 대상 리소스 종류. 연결을 진단하는 리소스를 선택합니다.
      • 가상 머신. 진단을 실행하려는 VM을 선택합니다.
    • 트래픽 세부 정보
      • 프로토콜. TCP, UDP 및/또는 ICMP를 선택합니다.
      • 방향. 인바운드 또는 아웃바운드를 선택합니다.
      • 원본 종류. IPv4 주소/CIDR 또는 서비스 태그를 선택합니다.
      • Ipv4 주소/CIDR. 허용되는 값은 단일 IP 주소, 여러 IP 주소, 단일 IP 접두사 및 여러 IP 접두사입니다.
      • 대상 IP 주소. 허용되는 값은 단일 IP 주소, 여러 IP 주소, 단일 IP 접두사, 여러 IP 접두사입니다.
      • 대상 포트. *를 입력하여 모든 포트를 포함합니다.
  4. NSG 진단 실행을 선택하여 테스트를 실행합니다. NSG 진단이 모든 보안 규칙 확인을 완료하면 결과가 표시됩니다. 이 결과는 NSG에 있는 규칙과 트래픽을 거부하는 규칙을 나타냅니다.