Azure DevTest Labs 네트워크 격리

이 문서에서는 Azure DevTest Labs에서 네트워크 격리 랩을 만드는 방법을 살펴봅니다.

기본적으로 Azure DevTest Labs는 각 랩에 대해 새 Azure 가상 네트워크를 만듭니다. 가상 네트워크는 퍼블릭 인터넷에서 랩 리소스를 격리하는 보안 경계 역할을 합니다. 랩 리소스가 조직 네트워킹 정책을 따르도록 하기 위해 다음과 같은 여러 가지 다른 네트워킹 옵션을 사용할 수 있습니다.

• 선택하는 기존 가상 네트워크에서 모든 랩 VM(가상 머신) 및 환경을 격리합니다.
• Azure 가상 네트워크를 온-프레미스 네트워크에 조인하여 온-프레미스 리소스에 안전하게 연결합니다. 자세한 내용은 DevTest Labs 엔터프라이즈 참조 아키텍처: 연결 구성 요소를 참조하세요.
• VM, 환경, 랩 스토리지 계정, 키 자격 증명 모음을 포함하여 랩을 선택한 가상 네트워크로 완전히 격리합니다. 이 문서에서는 네트워크 격리를 구성하는 방법을 설명합니다.

네트워크 격리 사용

랩을 만드는 동안에만 Azure Portal에서 네트워크 격리를 사용하도록 설정할 수 있습니다. 기존 랩 및 연결된 랩 리소스를 격리된 네트워크 모드로 변환하려면 PowerShell 스크립트 Convert-DtlLabToIsolatedNetwork.ps1을 사용합니다.

랩을 만드는 동안 기본 랩 가상 네트워크에 대해 네트워크 격리를 사용하도록 설정하거나 랩에 사용할 또 다른 기존 가상 네트워크를 선택할 수 있습니다.

기본 가상 네트워크 및 서브넷 사용

DevTest Labs가 랩에 대해 만드는 기본 가상 네트워크 및 서브넷에서 네트워크 격리를 사용하려면 다음을 수행합니다.

1. 랩을 만드는 동안 DevTest Lab 만들기 화면에서 네트워킹 탭을 선택합니다.

2. 랩 리소스 격리 옆에 있는 예를 선택합니다.

3. 랩 만들기를 완료합니다.

   

랩을 만든 후에는 추가 작업이 필요하지 않습니다. 지금부터는 랩에서 리소스 격리를 처리합니다.

다른 가상 네트워크 및 서브넷 사용

랩 다른 기존 가상 네트워크를 사용하고 해당 네트워크에 대해 네트워크 격리를 사용하려면:

1. 랩을 만드는 동안 DevTest Lab 만들기 화면, 네트워킹 탭의 드롭다운 목록에서 네트워크를 선택합니다. 목록에는 랩과 동일한 지역 및 구독의 네트워크만 표시됩니다.

   

2. 서브넷을 선택하세요.

   

3. 랩 리소스 격리 옆에 있는 예를 선택합니다.

   

4. 랩 만들기를 완료합니다.

서비스 엔드포인트 구성

기본값이 아닌 가상 네트워크에 대해 네트워크 격리를 사용하도록 설정한 경우 다음 단계를 완료하여 랩 스토리지 계정 및 키 자격 증명 모음을 선택한 네트워크로 격리합니다. 랩을 만든 후에 다른 랩 구성을 수행하거나 랩 리소스를 만들기 전에 다음 단계를 수행합니다.

랩 스토리지 계정에 대한 엔드포인트 구성

1. 랩의 개요 페이지에서 리소스 그룹을 선택합니다.

   

2. 리소스 그룹 개요 페이지에서 랩 스토리지 계정을 선택합니다. 랩 스토리지 계정의 명명 규칙은 a\<labName>\<4-digit number>입니다. 예를 들어 랩 이름이 contosolab인 경우 스토리지 계정 이름은 acontosolab1234일 수 있습니다.

   

3. 스토리지 계정 페이지의 왼쪽 탐색 영역에서 네트워킹을 선택합니다. 방화벽 및 가상 네트워크 탭에서 신뢰할 수 있는 서비스 목록의 Azure 서비스가 이 스토리지 계정에 액세스하도록 허용합니다.가 선택되었는지 확인합니다.

   

   DevTest Labs는 신뢰할 수 있는 Microsoft 서비스이므로 이 옵션을 선택하면 랩이 네트워크 격리 모드에서 정상적으로 작동할 수 있습니다.

4. 기존 가상 네트워크 선택을 선택합니다.

   

5. 네트워크 추가 창에서 랩을 만들 때 선택한 가상 네트워크와 서브넷을 선택한 다음, 추가를 선택합니다.

   

6. 네트워킹 페이지에서 저장을 선택합니다.

이제 Azure Storage는 추가된 가상 네트워크에서 인바운드 연결을 허용하므로 랩이 네트워크 격리 모드에서 성공적으로 작동할 수 있습니다.

PowerShell 또는 Azure CLI를 통해 관련 단계를 자동화하여 여러 랩에 대해 네트워크 격리를 구성할 수 있습니다. 자세한 내용은 Azure Storage 방화벽 및 가상 네트워크 구성을 참조하세요.

랩 키 자격 증명 모음에 대한 엔드포인트 구성

1. 랩의 개요 페이지에서 리소스 그룹을 선택합니다.

2. 리소스 그룹 개요 페이지에서 랩의 키 자격 증명 모음을 선택합니다.

   

3. 키 자격 증명 모음 페이지의 왼쪽 탐색 영역에서 네트워킹을 선택합니다. 방화벽 및 가상 네트워크 탭에서 신뢰할 수 있는 Microsoft 서비스가 이 방화벽을 우회할 수 있습니다가 선택되어 있는지 확인합니다.

   

4. + 기존 가상 네트워크 추가를 선택합니다.

   

5. 네트워크 추가 창에서 랩을 만들 때 선택한 가상 네트워크와 서브넷을 선택한 다음, 사용을 선택합니다.

   

6. 서비스 엔드포인트가 사용하도록 설정되면 추가를 선택합니다.

   

7. 네트워킹 페이지에서 저장을 선택합니다.

고려 사항

네트워크 격리 모드에서 랩을 사용할 때 기억해야 할 몇 가지 사항은 다음과 같습니다.

랩 외부에서 스토리지 계정에 대한 액세스 사용

랩 소유자는 허용된 엔드포인트에서 네트워크 격리 랩의 스토리지 계정에 대한 액세스를 명시적으로 사용하도록 설정해야 합니다. 사용자 지정 이미지를 만들기 위해 스토리지 계정에 VHD를 업로드하는 등의 작업에는 이 액세스 권한이 필요합니다. 랩 VM을 만들고 해당 VM에서 랩 스토리지 계정에 안전하게 액세스하여 액세스 권한을 사용할 수 있습니다.

자세한 내용은 Azure 프라이빗 엔드포인트를 사용하여 스토리지 계정에 연결을 참조하세요.

랩 사용량 데이터를 내보낼 스토리지 계정 제공

네트워크 격리 랩에 대한 사용량 데이터를 내보내려면 랩 소유자가 명시적으로 스토리지 계정을 제공하고 계정 내에 데이터를 저장할 Blob을 생성해야 합니다. 사용자가 사용할 스토리지 계정을 명시적으로 제공하지 않으면 네트워크 격리 모드에서 사용량 데이터 내보내기가 실패합니다.

자세한 내용은 Azure DevTest Labs에서 개인 데이터 내보내기 또는 삭제를 참조하세요.

키 자격 증명 모음 액세스 정책 설정

키 자격 증명 모음 서비스 엔드포인트를 사용하도록 설정하면 방화벽에만 영향을 줍니다. 키 자격 증명 모음 액세스 정책 섹션에서 적절한 키 자격 증명 모음 액세스 권한을 구성해야 합니다.

자세한 내용은 Key Vault 액세스 정책 할당을 참조하세요.

다음 단계

• Azure DevTest Labs의 ARM(Azure Resource Manager) 템플릿
• Azure DevTest Labs 스토리지 계정 관리
• Azure DevTest Labs의 키 자격 증명 모음에서 비밀 저장