Azure Firewall의 IP 그룹

IP 그룹을 사용하면 다음과 같은 방법으로 Azure Firewall 규칙에 대한 IP 주소를 그룹화하고 관리할 수 있습니다.

• DNAT 규칙의 원본 주소로 그룹화 및 관리
• 네트워크 규칙에서 원본 또는 대상 주소로 그룹화 및 관리
• 애플리케이션 규칙의 원본 주소로 그룹화 및 관리

IP 그룹은 단일 IP 주소, 여러 IP 주소, 하나 이상의 IP 주소 범위 또는 주소와 범위를 조합하여 가질 수 있습니다.

IP 그룹은 Azure의 지역 및 구독에 걸쳐 여러 방화벽에 대한 Azure Firewall DNAT, 네트워크, 애플리케이션 규칙에서 다시 사용할 수 있습니다. 그룹 이름은 고유해야 합니다. Azure Portal, Azure CLI, REST API에서 IP 그룹을 구성할 수 있습니다. 시작하는 데 도움이 되는 샘플 템플릿이 제공됩니다.

샘플 형식

다음은 IP 그룹에서 사용할 수 있는 IPv4 주소 형식 예입니다.

• 단일 주소: 10.0.0.0
• CIDR 표기법: 10.1.0.0/32
• 주소 범위: 10.2.0.0-10.2.0.31

IP 그룹 만들기

IP 그룹은 Azure Portal, Azure CLI, REST API를 사용하여 만들 수 있습니다. 자세한 내용은 IP 그룹 만들기를 참조하세요.

IP 그룹 찾아보기

1. Azure Portal 검색 창에서 IP 그룹을 입력하고 선택합니다. IP 그룹 목록을 보거나 추가를 선택하여 새 IP 그룹을 만들 수 있습니다.

2. IP 그룹을 선택하여 개요 페이지를 엽니다. IP 주소 또는 IP 그룹을 편집, 추가, 삭제할 수 있습니다.

   

IP 그룹 관리

IP 그룹의 모든 IP 주소, 연결된 규칙 또는 리소스를 볼 수 있습니다. IP 그룹을 삭제하려면 먼저 IP 그룹을 사용하는 리소스에서 IP 그룹을 분리해야 합니다.

1. IP 주소를 보거나 편집하려면 왼쪽 창의 설정에서 IP 주소를 선택합니다.
2. 단일 IP 주소 또는 여러 IP 주소를 추가하려면 IP 주소 추가를 선택합니다. 그러면 업로드를 위한 끌기 또는 찾아보기 페이지가 열리거나 수동으로 주소를 입력할 수 있습니다.
3. 오른쪽에 있는 생략 부호(...)를 선택하여 IP 주소를 편집하거나 삭제합니다. 여러 IP 주소를 편집하거나 삭제하려면 상자를 선택하고 상단에서 편집 또는 삭제를 선택합니다.
4. 이제 CSV 파일 형식으로 파일을 내보낼 수 있습니다.

참고 항목

규칙에서 아직 사용 중인 IP 그룹의 모든 IP 주소를 삭제하면 해당 규칙을 건너뜁니다.

IP 그룹 사용

이제 Azure Firewall DNAT, 애플리케이션, 네트워크 규칙을 만들 때 IP 주소에 대한 원본 유형 또는 대상 유형으로 IP 그룹을 선택할 수 있습니다.

병렬 IP 그룹 업데이트(미리 보기)

이제 동시에 여러 IP 그룹을 병렬로 업데이트할 수 있습니다. 특히 개발 작업 방법(템플릿, ARM, CLI 및 Azure PowerShell)을 사용하여 이러한 변경을 수행할 때 구성을 더 빠르고 대규모로 변경하려는 관리자에게 특히 유용합니다.

이 지원을 통해 이제 다음을 수행할 수 있습니다.

• 한 번에 20개의 IP 그룹 업데이트
• IP 그룹 업데이트 중 방화벽 및 방화벽 정책 업데이트
• 부모 및 자식 정책에서 동일한 IP 그룹 사용
• 방화벽 정책 또는 클래식 방화벽에서 참조하는 여러 IP 그룹을 동시에 업데이트합니다.
• 새 오류 메시지 및 향상된 오류 메시지 받기

  • 실패 및 성공 상태

    예를 들어 병렬 업데이트 20개 중 하나의 IP 그룹 업데이트에 오류가 발생하면 다른 업데이트가 진행되며 오류가 발생한 IP 그룹이 실패합니다. 또한 IP 그룹 업데이트가 실패하고 방화벽이 여전히 정상인 경우 방화벽은 성공 상태로 유지됩니다. IP 그룹 업데이트가 실패했거나 성공했는지 확인하려면 IP 그룹 리소스에서 상태를 볼 수 있습니다.

병렬 IP 그룹 지원을 활성화하려면 Azure PowerShell 또는 Azure Portal을 사용하여 기능을 등록할 수 있습니다.

Azure PowerShell

다음 Azure PowerShell 명령을 사용합니다.

Connect-AzAccount
Select-AzSubscription -Subscription <subscription_id> or <subscription_name>
Register-AzProviderFeature -FeatureName AzureFirewallParallelIPGroupUpdate -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

적용하는 데 몇 분 정도 걸릴 수 있습니다. 기능이 완전히 등록되면 변경 내용이 즉시 적용되도록 Azure Firewall 업데이트를 수행하는 것이 좋습니다.

Azure Portal

1. Azure Portal에서 미리 보기 기능으로 이동합니다.
2. AzureFirewallParallelIPGroupUpdate를 검색하고 등록합니다.
3. 기능이 사용하도록 설정되어 있는지 확인합니다.

사용 가능 지역

모든 퍼블릭 클라우드 지역에서 IP 그룹을 사용할 수 있습니다.

IP 주소 한도

IP 그룹 제한은 Azure 구독 및 서비스 제한, 할당량 및 제약 조건을 참조하세요.

관련 Azure PowerShell cmdlet

다음 Azure PowerShell cmdlet을 사용하여 IP 그룹을 만들고 관리할 수 있습니다.

• New-AzIpGroup
• Remove-AzIPGroup
• Get-AzIpGroup
• Set-AzIpGroup
• New-AzFirewallNetworkRule
• New-AzFirewallApplicationRule
• New-AzFirewallNatRule

다음 단계

• Azure Azure Firewall을 배포 및 구성하는 방법에 대해 알아봅니다.