연습 - Azure에서 허브 스포크 네트워크 토폴로지 구현

  • 10분

리소스에 대한 허브-스포크 구성에서 네트워크 인프라를 배포하기로 결정했습니다. 또한 내부 HR 부서는 인터넷에서 액세스할 수 없는 새 내부 HR 시스템을 호스트하려고 합니다. HR 시스템은 본사에서 일하든 위성 사무실에서 일하든 회사의 모든 사람이 액세스할 수 있어야 합니다.

이 연습에서는 네트워크 인프라를 배포한 다음, 새 가상 네트워크를 만들어 회사의 새로운 HR 시스템용 서버를 호스트합니다.

Diagram showing adding a new HR spoke to the network.

환경 설정

이 배포는 이전 다이어그램과 일치하는 Azure 네트워크 리소스를 만듭니다. 이 리소스를 준비되면 새 HR 가상 네트워크를 추가할 수 있습니다.

서버 리소스에 대한 가상 네트워크 및 서브넷을 만듭니다. 다음 명령을 실행합니다.

az deployment group create \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --template-uri https://raw.githubusercontent.com/MicrosoftDocs/mslearn-hub-and-spoke-network-architecture/master/azuredeploy.json

가상 네트워크에서 새 스포크 만들기

Azure Portal, Azure CLI 또는 Azure PowerShell을 사용하여 가상 네트워크를 만들 수 있습니다. Azure Portal을 통해 이 연습의 나머지 부분을 살펴보겠습니다.

  1. 샌드박스를 활성화하는 데 사용한 것과 동일한 계정을 사용하여 Azure Portal에 로그인합니다.

  2. Azure Portal의 왼쪽 위에서 리소스 만들기를 선택합니다. 리소스 만들기 창이 나타납니다.

  3. 검색 상자에서 Virtual Network를 입력합니다.

  4. Marketplace에서 Virtual Network를 선택합니다. 가상 네트워크 - 만들기 창이 표시됩니다.

  5. 가상 네트워크 구성을 시작하려면 만들기를 선택합니다. 가상 네트워크 만들기 창이 나타납니다.

가상 네트워크 설정 구성

포털의 리소스 생성 환경은 가상 네트워크에 대한 초기 구성을 안내하는 마법사입니다.

  1. 가상 네트워크를 만들려면 기본 사항 탭에서 각 설정에 대해 다음 값을 입력합니다.

    설정
    프로젝트 세부 정보
    구독 컨시어지 구독
    리소스 그룹 드롭다운 목록에서 [샌드박스 리소스 그룹 이름]을 선택합니다.
    인스턴스 세부 정보
    가상 네트워크 이름 HRappVnet
    지역 기본 지역을 그대로 둡니다.

  2. IP 주소 탭을 선택하거나 다음 > 다음을 선택합니다.

  3. 각 설정에 다음 값을 입력합니다.

    설정
    IPv4 주소 공간 텍스트 상자에서 기본 주소를 10.10.0.0/16으로 바꿉니다.
    서브넷 이름 기본값을 선택합니다. 서브넷 편집 창이 표시됩니다. 각 설정에 다음 값을 입력합니다.
    설정
    서브넷 이름 HRsystems
    시작 주소 10.10.1.0/24

  4. 저장을 선택합니다.

  5. 검토 + 만들기를 선택합니다. 유효성 검사를 통과한 후 가상 네트워크 프로비저닝을 시작하려면 만들기를 선택합니다.

  6. 배포가 성공적으로 완료된 후 리소스로 이동을 선택합니다. HRappVnet 창이라는 가상 네트워크가 표시됩니다.

허브 가상 네트워크 피어링 구성

이제 세 번째 스포크를 만들었으므로 허브와 스포크 간에 가상 네트워크 피어링을 구성해야 합니다.

  1. 포털의 페이지로 이동합니다. 모든 리소스를 선택합니다. 모든 리소스 창이 표시됩니다.

    HubVNet, WebVNet, QuoteVNetHRappVnet 가상 네트워크가 표시됩니다.

  2. HubVNet을 선택합니다. HubVnet 창이 표시됩니다.

  3. 왼쪽 메뉴 창의 설정에서 피어링을 선택합니다. HubVnet 창의 피어링 창이 표시됩니다.

  4. 맨 위의 메뉴 모음에서 + 추가를 선택합니다. HubVnet에 대한 피어링 추가 창이 표시됩니다.

  5. 나머지 피어링 구성을 완료하기 전에 피어링 추가 페이지에서 Virtual Network에 대해 HRappVnet을 선택합니다.

  6. 각 설정에 다음 값을 입력합니다.

    설정
    이 가상 네트워크
    피어링 링크 이름 gwPeering_hubVNet_HRappVnet을 입력합니다. 이 이름은 HubvNet에서 HRappVnet으로의 피어링 링크 이름입니다.
    'HubVnet'이 'HRappVnet'에 액세스하도록 허용합니다. 액세스 허용 확인란을 선택합니다.
    'HubVnet'이 'HRappVnet'에서 전달된 트래픽을 수신하도록 허용합니다. 이 가상 네트워크 외부에서 발생하는 트래픽 차단 확인란을 선택 취소된 상태로 둡니다.
    'HubVnet'의 게이트웨이가 트래픽을 'HRappVnet'으로 전달하도록 허용합니다. 확인란을 선택하지 않은 상태로 둡니다.
    'HRappVnet'의 원격 게이트웨이를 사용하려면 'HubVnet'을 사용하도록 설정합니다. 확인란을 선택하지 않은 상태로 둡니다.
    원격 가상 네트워크
    피어링 링크 이름 gwPeering_HRappVnet_hubVNet. 이 이름은 HRappVnet에서 HubVnet으로의 피어링 링크 이름입니다.
    가상 네트워크 배포 모델 리소스 관리자를 선택합니다.
    구독 컨시어지 구독을 선택합니다.
    가상 네트워크 HRappVnet을 선택합니다.
    'HRappVnet'이 'HubVnet'에 액세스하도록 허용합니다. 액세스 허용 확인란을 선택합니다.
    'HRappVnet'이 'HubVnet'에서 전달된 트래픽을 수신하도록 허용합니다. 이 가상 네트워크 외부에서 발생하는 트래픽 차단 확인란을 선택 취소된 상태로 둡니다.
    'HRappVnet'의 게이트웨이가 트래픽을 'HubVnet'으로 전달하도록 허용합니다. 확인란을 선택하지 않은 상태로 둡니다.
    'HubVnet' 원격 게이트웨이를 사용하려면 'HRappVnet'을 사용하도록 설정합니다. 확인란을 선택하지 않은 상태로 둡니다.

  7. 피어링을 만들려면 추가를 선택합니다. 새 피어링이 있는 피어링 창이 다시 표시됩니다.

이제 허브 가상 네트워크를 스포크 가상 네트워크로 피어링했습니다. 구성에서 VPN 게이트웨이를 사용하여 트래픽을 허브에서 스포크로 전달할 수 있습니다.

가상 네트워크에 대한 네트워크 보안 그룹 만들기

트래픽 흐름을 구성하려면 네트워크 보안 그룹을 만듭니다.

  1. 포털의 페이지로 이동하고 리소스 만들기를 선택합니다. 리소스 만들기 창이 표시됩니다.

  2. 검색 상자에 네트워크 보안 그룹을 입력하고 목록에서 동일한 제목의 링크를 선택합니다. 네트워크 보안 그룹 - 만들기 창이 표시됩니다.

  3. 가상 네트워크 구성을 시작하려면 만들기를 선택합니다. 네트워크 보안 그룹 만들기가 표시됩니다.

  4. 기본 탭에서 각 설정에 다음 값을 입력합니다.

    설정
    프로젝트 세부 정보
    구독 컨시어지 구독
    리소스 그룹 드롭다운 목록에서 [샌드박스 리소스 그룹 이름]을 선택합니다.
    인스턴스 세부 정보
    이름 HRNsg를 입력합니다.
    지역 기본 위치를 그대로 둡니다.

  5. 검토 + 만들기를 선택합니다.

  6. 유효성 검사를 통과한 후 네트워크 보안 그룹을 배포하려면 만들기를 선택합니다. NSG의 개요 창이 표시됩니다.

  7. 리소스로 이동을 선택하고 NSG, HRNsg를 기록해 둡니다.

이제 각 가상 네트워크에 할당될 수 있는 네트워크 보안 그룹을 만들었습니다.

네트워크 보안 그룹을 새 HR 가상 네트워크에 연결

이제 네트워크 보안 그룹을 가상 네트워크에 연결합니다.

  1. HRNsg 창을 닫은 경우 포털의 홈 페이지로 이동합니다. 모든 리소스를 선택하고 HRNsg를 선택합니다. HRNsg 창이 표시됩니다. 그렇지 않은 경우 다음 단계로 이동합니다.

  2. 왼쪽 메뉴 창의 설정에서 서브넷을 선택합니다. HRNsg 네트워크 보안 그룹의 서브넷 창이 표시됩니다.

  3. 위쪽 메뉴 모음에서 + 연결을 선택합니다. 서브넷 연결 창이 표시됩니다.

  4. 가상 네트워크 드롭다운 목록에서 HRappVnet을 선택합니다.

  5. 서브넷 드롭다운 목록에서 HRsystems를 선택합니다.

  6. 네트워크 보안 그룹을 연결하려면 확인을 선택합니다. HRNsg 네트워크 보안 그룹의 서브넷 창이 다시 표시됩니다.

인바운드 HTTP 트래픽을 중지하도록 네트워크 보안 그룹 규칙 구성

HR 애플리케이션을 HRappVnet에 호스팅하려면 보안 요구 사항을 충족해야 합니다. 내부 직원만 액세스할 수 있어야 하므로 스포크의 인바운드 HTTP 트래픽이 없어야 합니다. 이 요구 사항에 맞게 네트워크 보안 그룹 규칙을 구성합니다.

  1. HRNsg | 서브넷 페이지의 설정에서 인바운드 보안 규칙을 선택합니다. HRNsg 네트워크 보안 그룹의 인바운드 보안 규칙 창이 표시됩니다.

  2. 맨 위의 메뉴 모음에서 + 추가를 선택합니다. 인바운드 보안 규칙 추가 창이 표시됩니다.

  3. 각 설정에 다음 값을 입력합니다.

    설정
    원본 드롭다운 목록에서 Any를 선택합니다.
    원본 포트 범위 * 기본값을 그대로 둡니다.
    대상 드롭다운 목록에서 서비스 태그를 선택합니다.
    대상 서비스 태그 VirtualNetwork를 선택합니다.
    서비스 사용자 지정을 선택합니다.
    대상 포트 범위 80,443을 입력합니다.
    프로토콜 모두를 선택합니다.
    작업 거부를 선택합니다.
    우선 순위 100을 입력합니다.
    이름 Block-Inbound-HTTP-HTTPS를 입력합니다.
    설명 스포크에서 인바운드 HTTP 및 HTTPS 트래픽 차단을 입력합니다.

  4. 규칙을 추가하려면 추가를 선택합니다. 네트워크 보안 그룹의 인바운드 보안 규칙 창이 다시 표시됩니다.

이제 포트 80 및 443에서 스포크에서의 인바운드 HTTP 액세스를 차단했습니다.

이 시나리오에서는 스포크 Azure 가상 네트워크를 만든 다음, 기존 허브 가상 네트워크에 피어링했습니다. 그런 다음, 포트 80 및 443의 인바운드 액세스를 차단하고 허브를 통해 연결할 수 있는지 확인하여 이 스포크의 트래픽을 보호합니다.