Azure 가상 머신 네트워크 설정 구성

  • 5분

사용자 지정 소프트웨어를 설치하고, FTP 서버를 설정하며, 동영상 파일을 받도록 VM을 구성했습니다. 그러나 FTP를 사용하여 공용 IP 주소에 연결하려고 하면 해당 주소가 차단되어 있음을 알 수 있습니다.

서버 구성 조정은 일반적으로 온-프레미스 환경의 장비를 사용하여 수행됩니다. 이러한 의미에서 Azure VM을 해당 환경의 확장으로 간주할 수 있습니다. Azure Portal, Azure CLI 또는 Azure PowerShell 도구를 통해 구성 변경, 네트워크 관리, 트래픽 열기 또는 차단 등의 작업을 수행할 수 있습니다.

이미 가상 머신에 대한 개요 패널에서 기본 정보 및 관리 옵션 중 일부를 살펴보았습니다. 이제 네트워크 구성에 대해 더 자세히 살펴보겠습니다.

Azure VM에서 포트 열기

기본적으로 새 VM은 잠겨 있습니다.

앱에서 송신을 요청할 수 있지만 가상 네트워크(예: 동일한 로컬 네트워크의 다른 리소스) 및 Azure Load Balancer(프로브 검사)에서는 허용된 인바운드 트래픽만 수신됩니다.

FTP를 지원하도록 구성을 조정하는 두 가지 단계가 있습니다. 새 VM을 만드는 경우에는 몇 가지 공통 포트(RDP, HTTP, HTTPS 및 SSH)를 열 수 있습니다. 그러나 방화벽에 다른 변경이 필요하면 직접 변경해야 합니다.

이 프로세스에는 다음 두 단계가 포함됩니다.

  1. 네트워크 보안 그룹을 만듭니다.
  2. 활성 FTP 지원을 위해 20 및 21 포트에서 트래픽을 허용하는 인바운드 규칙을 만듭니다.

네트워크 보안 그룹이란?

VNet(가상 네트워크)은 Azure 네트워킹 모델의 기초이며 격리 및 보호 기능을 제공합니다. NSG(네트워크 보안 그룹)는 네트워킹 수준에서 네트워크 트래픽 규칙을 적용하고 제어하는 데 사용하는 기본 도구입니다. NSG는 VNet의 인바운드 및 아웃바운드 트래픽을 필터링하여 소프트웨어 방화벽을 제공하는 선택적 보안 계층입니다.

보안 그룹은 네트워크 인터페이스(호스트별 규칙), 가상 네트워크의 서브넷(여러 리소스에 적용) 또는 두 수준 모두에 연결될 수 있습니다.

보안 그룹 규칙

NSG는 규칙을 사용하여 네트워크를 통해 이동하는 트래픽을 허용하거나 거부합니다. 각 규칙은 원본 및 대상 주소(또는 범위), 프로토콜, 포트(또는 범위), 방향(인바운드 또는 아웃바운드), 숫자 우선 순위, 그리고 규칙과 일치하는 트래픽 허용 또는 거부 여부를 식별합니다. 다음 그림에서는 서브넷 및 네트워크 인터페이스 수준에 적용되는 NSG 규칙을 보여줍니다.

서로 다른 두 서브넷의 네트워크 보안 그룹 아키텍처를 보여주는 그림. 한 서브넷에 각각 고유한 네트워크 인터페이스 규칙을 사용하는 두 개의 가상 머신이 있습니다. 서브넷 자체에는 두 가상 머신에 모두 적용되는 규칙 세트가 있습니다.

각 보안 그룹에는 이전 구절에서 설명한 기본 네트워크 규칙을 적용하기 위한 기본 보안 규칙 집합이 있습니다. 이러한 기본 규칙은 수정할 수 없지만 재정의할 수 있습니다.

Azure에서 네트워크 규칙을 사용하는 방법

인바운드 트래픽의 경우 Azure는 서브넷에 연결된 보안 그룹을 처리한 다음, 네트워크 인터페이스에 적용된 보안 그룹을 처리합니다. 아웃바운드 트래픽은 반대 순서로 처리됩니다(먼저 네트워크 인터페이스, 다음으로 서브넷으로 이어짐).

경고

보안 그룹은 두 수준 모두에서 선택 사항임을 유의하세요. 적용된 보안 그룹이 없으면 Azure에서 모든 트래픽이 허용됩니다. VM에 공용 IP가 있을 때 OS에서 방화벽을 제공하지 않으면 매우 위험한 상황이 발생할 수 있습니다.

규칙은 우선 순위로 평가되며 가장 낮은 우선 순위 규칙부터 시작됩니다. 거부 규칙은 항상 평가를 중지합니다. 예를 들어 아웃바운드 요청이 네트워크 인터페이스 규칙으로 차단되면 서브넷에 적용된 모든 규칙이 검사되지 않습니다. 트래픽이 보안 그룹을 통해 허용되려면 적용된 모든 그룹을 통과해야 합니다.

마지막 규칙은 항상 모두 거부 규칙입니다. 이는 우선 순위가 65500인 인바운드 및 아웃바운드 트래픽에 대한 모든 보안 그룹에 추가되는 기본 규칙입니다. 즉, 트래픽이 보안 그룹을 통과하게 하려면 허용 규칙이 있어야 합니다. 그렇지 않으면 기본 최종 규칙이 트래픽을 차단합니다. 보안 규칙에 대해 자세히 알아보세요.

참고

SMTP(포트 25)는 특별한 경우입니다. 구독 수준 및 계정이 생성된 시점에 따라 아웃바운드 SMTP 트래픽이 차단될 수 있습니다. 비즈니스 타당성을 사용하여 이 제한을 제거하도록 요청할 수 있습니다.