Lab 8C: Azure Bastion

Owned by 김무영
Last updated: Nov 14, 2024
3 min read

Azure Bastion은 Azure 가상 네트워크(VNet) 안에 있는 가상 머신(VM)에 안전하게 원격으로 접속할 수 있게 도와주는 서비스입니다. 보통 VM에 접속하려면 RDP나 SSH를 이용해서 포트를 열어야 하지만, Azure Bastion을 사용하면 별도의 포트 열기 없이 안전하게 접속할 수 있어요.

주요 특징은 다음과 같아요:

  • 보안 강화: RDP(Windows)와 SSH(Linux) 포트를 외부에 노출할 필요 없이, Azure Portal을 통해 접속하므로 공격 위험이 줄어듭니다.

  • 네트워크 경로 간소화: 퍼블릭 IP가 필요하지 않아서, VNet 내부에서만 통신하며 접근할 수 있습니다.

  • 브라우저 기반 접속: 접속할 때 별도의 RDP나 SSH 클라이언트가 필요하지 않고, Azure Portal의 웹 인터페이스에서 바로 접속 가능합니다.

쉽게 말해, Azure Bastion은 VNet 내부에 보안 통로를 만들어줘서 VM에 안전하고 쉽게 접속할 수 있도록 도와주는 서비스예요.

 

시나리오

Azure Bastion 서비스는 가상 네트워크 내에서 프로비전하는 새로운 완전 플랫폼 관리형 PaaS 서비스입니다. SSL을 통해 Azure Portal에서 직접 가상 머신에 대한 안전하고 원활한 RDP/SSH 연결을 제공합니다. Azure Bastion을 통해 연결하는 경우 가상 머신에는 공용 IP 주소가 필요하지 않습니다.

Bastion은 프로비전된 가상 네트워크의 모든 VM에 대한 보안 RDP 및 SSH 연결을 제공합니다. Azure Bastion을 사용하면 RDP/SSH를 사용하여 보안 액세스를 제공하면서 가상 머신이 RDP/SSH 포트가 외부에 노출되지 않도록 보호할 수 있습니다. Azure Bastion을 사용하면 Azure Portal에서 직접 가상 머신에 연결할 수 있습니다. 추가 클라이언트, 에이전트 또는 소프트웨어가 필요하지 않습니다.

연습 1: Azure Bastion 구현

작업 1: 구독에서 Azure Bastion 사용

  1. 브라우저를 열고 다음 URL https://portal.azure.com 로 이동하여 사용자 이름 studentD46D5@t009.gdazcs.com 와 비밀번호 uKvZdlAncs5AqVE3로 로그인합니다.

  2. Azure Portal에서 리소스 그룹으로 이동하여 생성된 리소스 그룹의 이름(AZ-104-M8C-0MOR01B1M3)을 식별합니다.

  3. Azure Portal에서 myVnet으로 이동하고 설정에서 서브넷을 클릭합니다.

가상네트워크 myVnet 생성

 

image-20241108-054521.png

 

image-20241108-054856.png
작업 2: 배스천 호스트 만들기

  1. Azure Portal의 홈페이지에서 + 리소스 만들기를 클릭합니다.

  2. 새로 만들기 페이지의 검색 상자 필드에 Bastion을 입력한 다음, Enter 키를 클릭하여 검색 결과를 표시합니다.

  3. 결과에서 Bastions를 클릭합니다.

  4. Bastions 페이지에서 +Create를 클릭하여 Bastion 만들기 페이지를 엽니다.

  5. Bastion 만들기 페이지에서 새 Bastion 리소스를 구성합니다. 아래에서 구성 설정을 지정합니다.

    • 구독: CloudShare9E

    • 리소스 그룹: AZ-104-M8C-0MOR01B1M3

    • 이름: Bastion

    • 지역: 미국 동부

    • 가상 네트워크: myVnet

      메모: 가상 네트워크가 표시되는 데 최대 15분이 걸릴 수 있습니다. 브라우저를 새로 고쳐 선택할 수 있게 되면 확인하십시오.

    • 서브넷: AzureBastionSubnet

    • 공용 IP 주소: 새로 만들기 RDP/SSH에 액세스할 Bastion 리소스의 공용 IP입니다(포트 443을 통해). 공용 IP 주소는 만드는 Bastion 리소스와 동일한 지역에 있어야 합니다.

    • 공용 IP 주소 이름: 기본값으로 둡니다.

    • 공용 IP 주소 SKU: 기본적으로 표준으로 미리 채워집니다. Azure Bastion은 표준 공용 IP SKU만 사용/지원합니다.

    • 할당: 기본적으로 Static으로 미리 채워집니다.

  6. 설정 지정을 마쳤으면 검토 + 만들기를 클릭합니다. 이렇게 하면 값의 유효성이 검사됩니다. 유효성 검사를 통과하면 생성 프로세스를 시작할 수 있습니다.

  7. Create a bastion(배스천 만들기) 페이지에서 Create(만들기)를 클릭합니다.

  8. 배포가 진행 중임을 알리는 메시지가 표시됩니다. 리소스가 생성되면 이 페이지에 상태가 표시됩니다. Bastion 리소스를 만들고 배포하는 데 최대 15분이 걸릴 수 있습니다.

 

작업 3: 배스천 호스트를 사용하여 VM에 연결

기존 VM을 사용하여 포털에서 배스천 호스트를 만드는 경우 가상 머신 및/또는 가상 네트워크에 해당하는 다양한 설정이 자동으로 기본값으로 설정됩니다.

 

 

  1. Azure Portal에서 가상 머신인 MyVM으로 이동한 다음, 연결을 클릭하고 Bastion> 통해 연결을 클릭합니다

  2. 새 브라우저 탭에서 열기를 선택 취소한 다음 자격 증명에 대해 LocalAdmin28fCfmb8kFURSdKj를 입력하고 연결을 클릭합니다.

  3. 이제 VM에 연결되어야 합니다.

    사용하는 브라우저에 따라 연결을 클릭할 때 차단될 수 있는 팝업을 허용해야 할 수도 있습니다.