Azure Stack 허브 방화벽 통합Azure Stack Hub firewall integration

Azure Stack 허브를 보호 하는 데 도움이 되는 방화벽 장치를 사용 하는 것이 좋습니다.It's recommended that you use a firewall device to help secure Azure Stack Hub. 방화벽은 DDOS (배포 된 서비스 거부) 공격, 침입 검색 및 콘텐츠 검사와 같은 작업을 방어할 수 있습니다.Firewalls can help defend against things like distributed denial-of-service (DDOS) attacks, intrusion detection, and content inspection. 그러나 blob, 테이블 및 큐와 같은 Azure storage 서비스에 대 한 처리량 병목 현상이 발생할 수도 있습니다.However, they can also become a throughput bottleneck for Azure storage services like blobs, tables, and queues.

연결이 끊어진 배포 모드를 사용 하는 경우 AD FS 끝점을 게시 해야 합니다.If a disconnected deployment mode is used, you must publish the AD FS endpoint. 자세한 내용은 datacenter integration identity 문서를 참조 하세요.For more information, see the datacenter integration identity article.

Azure Resource Manager (관리자), 관리자 포털 및 Key Vault (관리자) 끝점은 외부 게시를 반드시 필요로 하는 것은 아닙니다.The Azure Resource Manager (administrator), administrator portal, and Key Vault (administrator) endpoints don't necessarily require external publishing. 예를 들어 서비스 공급자는 인터넷이 아닌 네트워크 내부 에서만 Azure Stack 허브를 관리 하 여 공격 노출 영역을 제한할 수 있습니다.For example, as a service provider, you could limit the attack surface by only administering Azure Stack Hub from inside your network, and not from the internet.

엔터프라이즈 조직의 경우 외부 네트워크는 기존 회사 네트워크 일 수 있습니다.For enterprise organizations, the external network can be the existing corporate network. 이 시나리오에서는 회사 네트워크에서 Azure Stack 허브로 작동 하도록 끝점을 게시 해야 합니다.In this scenario, you must publish endpoints to operate Azure Stack Hub from the corporate network.

Network Address TranslationNetwork Address Translation

NAT (네트워크 주소 변환)는 배포 하는 동안 DVM (배포 가상 머신)이 배포 중에 외부 리소스와 인터넷에 액세스할 수 있도록 하는 권장 방법으로, 등록 및 문제 해결 중에 ERCS (응급 복구 콘솔) Vm 또는 PEP (권한 있는 끝점)Network Address Translation (NAT) is the recommended method to allow the deployment virtual machine (DVM) to access external resources and the internet during deployment as well as the Emergency Recovery Console (ERCS) VMs or privileged endpoint (PEP) during registration and troubleshooting.

NAT는 외부 네트워크 또는 공용 Vip의 공용 IP 주소에 대 한 대안이 될 수도 있습니다.NAT can also be an alternative to Public IP addresses on the external network or public VIPs. 그러나 테 넌 트 사용자 환경을 제한 하 고 복잡성이 증가 하므로이 작업을 수행 하지 않는 것이 좋습니다.However, it's not recommended to do so because it limits the tenant user experience and increases complexity. 한 가지 옵션은 풀에 대 한 사용자 IP 당 하나의 공용 IP가 필요한 하나의 NAT 일 수 있습니다.One option would be a one to one NAT that still requires one public IP per user IP on the pool. 또 다른 옵션은 사용자가 사용할 수 있는 모든 포트에 대해 사용자 VIP 별 NAT 규칙을 필요로 하는 다 대 일 NAT입니다.Another option is a many to one NAT that requires a NAT rule per user VIP for all ports a user might use.

공용 VIP에 NAT를 사용 하는 단점이 중 일부는 다음과 같습니다.Some of the downsides of using NAT for Public VIP are:

  • NAT는 사용자가 SDN (소프트웨어 정의 네트워킹) 스택에서 자신의 끝점 및 자체 게시 규칙을 제어 하기 때문에 방화벽 규칙을 관리할 때 오버 헤드를 추가 합니다.NAT adds overhead when managing firewall rules because users control their own endpoints and their own publishing rules in the software-defined networking (SDN) stack. 사용자는 Azure Stack 허브 운영자에 게 문의 하 여 해당 Vip를 게시 하 고 포트 목록을 업데이트 해야 합니다.Users must contact the Azure Stack Hub operator to get their VIPs published, and to update the port list.
  • NAT 사용은 사용자 환경을 제한 하지만 게시 요청에 대해 운영자에 게 모든 권한을 부여 합니다.While NAT usage limits the user experience, it gives full control to the operator over publishing requests.
  • Azure를 사용 하는 하이브리드 클라우드 시나리오의 경우 Azure는 NAT를 사용 하 여 끝점에 대 한 VPN 터널 설정을 지원 하지 않습니다.For hybrid cloud scenarios with Azure, consider that Azure doesn't support setting up a VPN tunnel to an endpoint using NAT.

SSL 가로채기SSL interception

현재 모든 Azure Stack Hub 트래픽에 대 한 SSL 가로채기 (예: 암호 해독 오프 로딩)를 사용 하지 않도록 설정 하는 것이 좋습니다.It's currently recommended to disable any SSL interception (for example decryption offloading) on all Azure Stack Hub traffic. 이후 업데이트에서 지원 되는 경우 Azure Stack 허브에 대해 SSL 가로채기를 사용 하도록 설정 하는 방법에 대 한 지침이 제공 됩니다.If it's supported in future updates, guidance will be provided about how to enable SSL interception for Azure Stack Hub.

에 지 방화벽 시나리오Edge firewall scenario

Edge 배포에서 Azure Stack 허브는에 지 라우터 또는 방화벽 바로 뒤에 배포 됩니다.In an edge deployment, Azure Stack Hub is deployed directly behind the edge router or the firewall. 이러한 시나리오에서는 방화벽이 활성-활성 및 활성-수동 방화벽 구성을 모두 지원 하거나 경계 장치 (시나리오 2)로 작동 하는 경계 (시나리오 1)를 사용할 수 있습니다. 여기서는 장애 조치 (failover)를 위해 BGP 또는 정적 라우팅을 사용 하 여 동일한 비용 다중 경로 (ECMP)에 의존 하는 활성-활성 방화벽 구성만 지원 합니다.In these scenarios, it's supported for the firewall to be above the border (Scenario 1) where it supports both active-active and active-passive firewall configurations or acting as the border device (Scenario 2) where it only supports active-active firewall configuration relying on equal-cost multi-path (ECMP) with either BGP or static routing for failover.

공용 라우팅 가능 IP 주소는 배포 시 외부 네트워크에서 공용 VIP 풀에 대해 지정 됩니다.Public routable IP addresses are specified for the public VIP pool from the external network at deployment time. Edge 시나리오에서는 보안을 위해 다른 네트워크에서 공용 라우팅할 수 있는 Ip를 사용 하지 않는 것이 좋습니다.In an edge scenario, it's not recommended to use public routable IPs on any other network for security purposes. 이 시나리오를 통해 사용자는 Azure와 같은 공용 클라우드에서 완전 한 자체 제어 클라우드 환경을 경험할 수 있습니다.This scenario enables a user to experience the full self-controlled cloud experience as in a public cloud like Azure.

Azure Stack 허브에 지 방화벽 예

엔터프라이즈 인트라넷 또는 경계 네트워크 방화벽 시나리오Enterprise intranet or perimeter network firewall scenario

엔터프라이즈 인트라넷 또는 경계 배포에서 Azure Stack 허브는 멀티 배열로 영역 설정 방화벽 또는에 지 방화벽과 내부 회사 네트워크 방화벽 사이에 배포 됩니다.In an enterprise intranet or perimeter deployment, Azure Stack Hub is deployed on a multi-zoned firewall or in between the edge firewall and the internal, corporate network firewall. 그런 다음 아래에 설명 된 대로 보안, 경계 네트워크 (또는 DMZ) 및 보안 되지 않은 영역 간에 트래픽이 분산 됩니다.Its traffic is then distributed between the secure, perimeter network (or DMZ), and unsecure zones as described below:

  • 보안 영역: 내부 또는 회사에서 라우팅할 수 있는 IP 주소를 사용 하는 내부 네트워크입니다.Secure zone: This is the internal network that uses internal or corporate routable IP addresses. 보안 네트워크는 분할할 수 있으며, 방화벽에서 NAT를 통해 인터넷 아웃 바운드 액세스를 사용할 수 있으며, 일반적으로 내부 네트워크를 통해 데이터 센터 내부의 어디에서 나 액세스할 수 있습니다.The secure network can be divided, have internet outbound access through NAT on the Firewall, and is usually accessible from anywhere inside your datacenter via the internal network. 모든 Azure Stack 허브 네트워크는 외부 네트워크의 공용 VIP 풀을 제외 하 고 보안 영역에 상주해 야 합니다.All Azure Stack Hub networks should reside in the secure zone except for the external network's public VIP pool.
  • 경계 영역.Perimeter zone. 경계 네트워크에는 웹 서버와 같은 외부 또는 인터넷 연결 응용 프로그램이 일반적으로 배포 됩니다.The perimeter network is where external or internet-facing apps like Web servers are typically deployed. 일반적으로 인터넷에서 지정 된 인바운드 트래픽을 허용 하는 동시에 해킹 (DDoS 및 침입)과 같은 공격을 방지 하기 위해 방화벽에서 모니터링 됩니다.It's usually monitored by a firewall to avoid attacks like DDoS and intrusion (hacking) while still allowing specified inbound traffic from the internet. Azure Stack Hub의 외부 네트워크 공용 VIP 풀만 DMZ 영역에 있어야 합니다.Only the external network public VIP pool of Azure Stack Hub should reside in the DMZ zone.
  • 안전 하지 않은 영역.Unsecure zone. 외부 네트워크 인 인터넷입니다.This is the external network, the internet. 보안 되지 않은 영역에 Azure Stack 허브를 배포 하지 않는 것이 좋습니다.It is not recommended to deploy Azure Stack Hub in the unsecure zone.

Azure Stack 허브 경계 네트워크 예

자세한 정보Learn more

Azure Stack 허브 끝점에서 사용 하는 포트 및 프로토콜에 대해 자세히 알아보세요.Learn more about ports and protocols used by Azure Stack Hub endpoints.

다음 단계Next steps

Azure Stack 허브 PKI 요구 사항Azure Stack Hub PKI requirements