Bastion을 프라이빗 전용으로 배포(미리 보기)

  • 아티클

이 문서는 Bastion을 프라이빗 전용 배포로 배포하는 데 도움이 됩니다. 프라이빗 전용 Bastion 배포는 개인 IP 주소 액세스만 허용하는 인터넷으로 라우팅할 수 없는 Bastion 배포를 만들어 워크로드를 엔드투엔드로 잠급니다. 프라이빗 전용 Bastion 배포에서는 공용 IP 주소를 통한 베스천 호스트 연결을 허용하지 않습니다. 이와 대조적으로 일반 Azure Bastion 배포에서는 사용자가 공용 IP 주소를 사용하여 베스천 호스트에 연결할 수 있습니다.

다음 다이어그램은 Bastion 프라이빗 전용 배포 아키텍처를 보여 줍니다. ExpressRoute 개인 피어링을 통해 Azure에 연결된 사용자는 베스천 호스트의 개인 IP 주소를 사용하여 Bastion에 안전하게 연결할 수 있습니다. 그런 다음 Bastion은 개인 IP 주소를 통해 베스천 호스트와 동일한 가상 네트워크 내에 있는 가상 머신에 연결할 수 있습니다. 프라이빗 전용 Bastion 배포에서 Bastion은 가상 네트워크 외부의 아웃바운드 액세스를 허용하지 않습니다.

Azure Bastion 아키텍처를 보여 주는 다이어그램

고려할 항목:

  • 프라이빗 전용 Bastion은 배포 시 구성되며 프리미엄 SKU 계층이 필요합니다.

  • 일반 Bastion 배포에서 프라이빗 전용 배포로 변경할 수 없습니다.

  • 이미 Bastion 배포가 있는 가상 네트워크에 프라이빗 전용 Bastion을 배포하려면 먼저 가상 네트워크에서 Bastion을 제거한 다음 가상 네트워크에 프라이빗 전용으로 Bastion을 다시 배포합니다. AzureBastionSubnet을 삭제하고 다시 만들 필요가 없습니다.

  • 엔드투엔드 프라이빗 연결을 만들려면 Azure Portal을 통해 연결하는 대신 네이티브 클라이언트를 사용하여 연결합니다.

  • 클라이언트 컴퓨터가 Azure가 아닌 온-프레미스인 경우 ExpressRoute 또는 VPN을 배포하고 Bastion 리소스에서 IP 기반 연결을 사용하도록 설정해야 합니다.

필수 조건

이 문서의 단계에서는 다음과 같은 필수 구성 요소가 있다고 가정합니다.

예제 값

이 구성을 만들 때 다음 예제 값을 사용해도 되고 자체적인 값으로 바꿔도 됩니다.

기본 가상 네트워크 및 가상 머신 값

속성
리소스 그룹 TestRG1
지역 미국 동부
가상 네트워크 VNet1
주소 공간 10.1.0.0/16
서브넷 1 이름: FrontEnd 10.1.0.0/24
서브넷 2 이름: AzureBastionSubnet 10.1.1.0/26

Bastion 값

속성
이름 VNet1-bastion
계층/SKU Premium
인스턴스 수(호스트 크기 조정) 2 이상
양도 Static

프라이빗 전용 베스천 배포

이 섹션에서는 Bastion을 가상 네트워크에 프라이빗 전용으로 배포하는 데 도움이 됩니다.

Important

시간당 가격 책정은 아웃바운드 데이터 사용량에 관계없이 Bastion이 배포되는 순간부터 시작됩니다. 자세한 내용은 가격 책정SKU를 참조하세요. 자습서 또는 테스트의 일부로 Bastion을 배포하는 경우 이 리소스 사용을 마친 후 삭제하는 것이 좋습니다.

  1. Azure Portal에 로그인하고 가상 네트워크로 이동합니다. 아직 가상 네트워크가 없다면 가상 네트워크를 만들 수 있습니다. 이 연습을 위해 가상 네트워크를 만드는 경우 가상 네트워크를 만드는 동시에 AzureBastionSubnet(다음 단계에서)을 만들 수 있습니다.

  2. Bastion 리소스가 배포될 서브넷을 만듭니다. 왼쪽 창에서 서브넷 -> +서브넷을 선택하여 AzureBastionSubnet을 추가합니다.

    • 프리미엄 SKU 계층에서 사용 가능한 기능을 수용하려면 서브넷이 /26 이상(예: /26, /25 또는 /24)이어야 합니다.
    • 서브넷 이름은 AzureBastionSubnet이어야 합니다.

  3. 값을 저장하려면 창 하단에 있는 저장을 선택합니다.

  4. 그런 다음 가상 네트워크 페이지의 왼쪽 창에서 Bastion을 선택합니다.

  5. Bastion 페이지에서 전용 배포 옵션(해당 섹션이 나타나는 경우)을 확장합니다. 수동 구성 단추를 선택합니다. 이 단추를 선택하지 않으면 Bastion을 프라이빗 전용으로 배포하는 데 필요한 설정을 볼 수 없습니다.

    Azure Bastion에 대한 전용 배포 옵션 및 수동 구성 단추를 보여 주는 스크린샷.

  6. Bastion 만들기 창에서 베스천 호스트에 대한 설정을 구성합니다. 프로젝트 세부 정보 값은 가상 네트워크 값으로 채워집니다.

    인스턴스 세부 정보에서 다음 값을 구성합니다.

    Azure Bastion 인스턴스 세부 정보의 스크린샷.

    • 이름: Bastion 리소스에 사용하려는 이름입니다.

    • 지역: 리소스가 만들어질 Azure 퍼블릭 지역입니다. 가상 네트워크가 있는 지역을 선택합니다.

    • 계층: 프라이빗 전용 배포의 경우 프리미엄을 선택해야 합니다.

    • 인스턴스 수: 호스트 크기 조정을 위한 설정입니다. 배율 단위 증분으로 호스트 크기 조정을 구성합니다. 슬라이더를 사용하거나 숫자를 입력하여 원하는 인스턴스 수를 구성합니다. 자세한 내용은 인스턴스 및 호스트 크기 조정Azure Bastion 가격 책정을 참조하세요.

  7. 가상 네트워크 구성 설정의 드롭다운 목록에서 가상 네트워크를 선택합니다. 가상 네트워크가 드롭다운 목록에 없으면 이전 단계에서 올바른 지역 값을 선택했는지 확인합니다.

  8. 이전 단계에서 이미 만든 경우 AzureBastionSubnet이 자동으로 채워집니다.

  9. IP 주소 구성 섹션에서는 이것이 프라이빗 전용 배포임을 지정합니다. 옵션에서 개인 IP 주소를 선택해야 합니다.

    개인 IP 주소를 선택하면 공용 IP 주소 설정이 구성 화면에서 자동으로 제거됩니다.

    Azure Bastion IP 주소 구성 설정의 스크린샷.

  10. 프라이빗 전용 Bastion과 함께 ExpressRoute 또는 VPN을 사용하려는 경우 고급 탭으로 이동합니다. IP 기반 연결을 선택합니다.

  11. 설정 지정이 완료되면 검토 + 만들기를 선택합니다. 이 단계에서는 값의 유효성을 검사합니다.

  12. 값의 유효성이 검사를 통과한 후에 Bastion을 배포할 수 있습니다. 만들기를 실행합니다.

  13. 배포가 진행 중이라는 메시지가 표시됩니다. 리소스가 만들어지면 이 페이지에 상태가 표시됩니다. Bastion 리소스를 만들고 배포하는 데 약 10분이 걸립니다.

다음 단계

구성 설정에 대한 자세한 내용은 Azure Bastion 구성 설정Azure Bastion FAQ를 참조하세요.