연습 - NVA 및 가상 머신 만들기
보안 구현의 다음 단계에서는 NVA(네트워크 가상 어플라이언스)를 배포하여 프런트 엔드 퍼블릭 서버와 내부 프라이빗 서버 간의 트래픽을 보호하고 모니터링합니다.
IP 트래픽을 전달하도록 어플라이언스를 구성합니다. IP 전달을 사용할 수 없는 경우에는 어플라이언스를 통해 라우팅된 트래픽이 의도한 대상 서버에 수신되지 않습니다.
이 연습에서는 dmzsubnet 서브넷에 nva 네트워크 어플라이언스를 배포합니다. 그런 다음, IP 전달을 활성화하여 *의 트래픽과 사용자 지정 경로를 사용하는 트래픽이 privatesubnet 서브넷으로 전송되게 합니다.
다음 단계에서는 NVA를 배포합니다. 그런 다음 Azure 가상 NIC와 어플라이언스 내의 네트워크 설정을 업데이트하여 IP 전달을 사용하도록 설정합니다.
네트워크 가상 어플라이언스 배포
NVA를 빌드하려면 Ubuntu LTS 인스턴스를 배포합니다.
Cloud Shell에서 다음 명령을 실행하여 어플라이언스를 배포합니다.
<password>를 azureuser 관리자 계정에 대해 선택한 적합한 암호로 바꿉니다.az vm create \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --name nva \ --vnet-name vnet \ --subnet dmzsubnet \ --image Ubuntu2204 \ --admin-username azureuser \ --admin-password <password>
Azure 네트워크 인터페이스에 대해 IP 전달 사용
다음 단계에서 nva 네트워크 얼라이언스용 IP 전달을 사용하도록 설정합니다. NVA로의 트래픽 흐름이 다른 대상에 대해 만들어진 경우 NVA는 해당 트래픽을 올바른 대상으로 라우팅합니다.
다음 명령을 실행하여 NVA 네트워크 인터페이스의 ID를 가져옵니다.
NICID=$(az vm nic list \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --vm-name nva \ --query "[].{id:id}" --output tsv) echo $NICID다음 명령을 실행하여 NVA 네트워크 인터페이스의 이름을 가져옵니다.
NICNAME=$(az vm nic show \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --vm-name nva \ --nic $NICID \ --query "{name:name}" --output tsv) echo $NICNAME다음 명령을 실행하여 네트워크 인터페이스에 대해 IP 전달을 사용하도록 설정합니다.
az network nic update --name $NICNAME \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --ip-forwarding true
어플라이언스에서 IP 전달 사용
다음 명령을 실행하여 NVA 가상 머신의 공용 IP 주소를
NVAIP변수에 저장합니다.NVAIP="$(az vm list-ip-addresses \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --name nva \ --query "[].virtualMachine.network.publicIpAddresses[*].ipAddress" \ --output tsv)" echo $NVAIP다음 명령을 실행하여 NVA 내에서 IP 전달을 사용하도록 설정합니다.
ssh -t -o StrictHostKeyChecking=no azureuser@$NVAIP 'sudo sysctl -w net.ipv4.ip_forward=1; exit;'메시지가 표시되면, 가상 머신을 만들 때 사용한 암호를 입력합니다.