<-가상 네트워크 만들기->
보안 항목
-
Bastion Host
-
서브넷 안에 Private VM 접근 방법
- 점프박스 이용
별도에 subnet에 만들어진 Private VM으로 접속 - Public IP 이용
- Bastion Host 이용
Bastion Subnet에 있는 Bastion을 통해서 접속 -> TLS를 통해서 portal에 접속하고 이를 통해 Basiton이 접속가능, Bastion을 통해 별도에 subnet에 있는 Private VM에 접속 - 시리얼 콘솔
Azure portal에서 시리얼 콘솔에서 가상머신 접속 - 그 외 NAT,,
- 점프박스 이용
-
DDos Protection 표준
기본 DDos protection은 제공됨 -> 애저 클라우드 범위
개별 VM당 protection은 Standard로 사용 -
방화벽
NSG는 Subnet 대상 / 방화벽은 인프라 대상
프론트 엔드를 두고 DMZ를 구성하고 사용자가 프론트로 들어와서 비지니스 워크로드를 백앤드로 접근하도 그럼 DMZ를 통과하도록 구상할 수 있다. 여기서 DMZ를 Firewall로 구성할 수도 있다. 프론트 앤드로 들어오는 트래픽이 백앤드로 가는 과정에서 Firewall를 통해서 필터한다. 이거 비슷한게 서브넷, NIC단위인 NSG이기도 함.
<-NSG 구현->
서브넷과 NIC에 대해 독립적으로 사용가능
NSG를 NIC 단위로 적용하면 개별 컴퓨터에 적용, Subnet에 적용하면 공유기 안에 컴퓨터에 다 적용하듯이 함
인바운드/아웃바운드 : 65000번은 기본규칙, 못바꿔서 벽돌 쌓기로 재정의 가능 (숫자가 작은 것 우선)
인바운드에 애져 로드밸런서에로 들어오는 트래픽은 기본적으로 허용하도록 돼 있음
아웃바운드에 65001은 나가는 트래픽 모두를 허용해주는 규칙
규칙만들기 :
- 소스 : Any, Service Tag(PaaS 서비스 사용할 때), Application Security Group(서비스 태그 말고 논리적인 그룹)
- 대상 주소 : Any
- 서비스 : HTTP
- 작업 : 허용
- 우선순위 : 작은순위로 해야 우선으로 적용된다
- 이름 : 정하기
<-ASG->
어떤 가상머신을 담을지 지정가능, 그룹화
vm > 네트워킹 > 애플리케이션보안그룹 구성에서 지정
(사진) asg만 80포트를 개방한다.
<- Azure Firewall ->
- NSG가 subnet이나 NIC에 적용된다면 Firewall은 VN인 인프라에 적용
- 서비스형 상태 저장 방화벽
- 정적 공용 IP
- 로깅과 분석을 위해 Azure Monitor와 통합
- 고가용성 범위는 가격에 따라 다름
- 라우팅 테이블이 중요함
- PaaS 형태
- 공유 서비스는 허브 가상 네트워크에 배치된다
- Bastion, Firewall, Gateway 각자의 subnet에 있다
- VPN은 온프레미스와 가상 네트워크 연결 역할
- 허브 가상 네트워크는 가상 네트워크와 피어링 됐다
- Firewall이 중간에서 패킷 필터링을 해준다.
<-Firewall 규칙 ->
- Firewall Manager로 관리함
- NAT 규칙은 들어오는 연결을 허용
- 네트워크 규칙은 원본과 대상 주소, 프로토콜, 대상 포트가 포함
- 애플리케이션 규칙은 서브넷에서 액세스할 수 있는 FQDN(정규화된 도메인 이름)을 제공함
<-Azure DNS->
- 구독을 만들 때 Azure AD 도메인이 만들어진다.
- vm도 DNS를 만들 수있음
- DNS레코드(MX, TXT)를 회사 DNS 영역에 추가합니다. --> DNS 소유 검증용
- DNS 영역이 만들어지면 부모 등록 기관을 업데이트한다.
- 자식 영역의 경우 부모 도메인에 NS 레코드를 등록해야한다.
- DNS Zone에는 기본 4개의 서버가 제공 최고 20개
<- 레코드 집합 추가 ->
호스트 이름 www
IP주소 10.10.10.10
<-프라이빗 DNS 영역->
- 사용자 지정 DNS 가능
- 내부적으로 VN간에 사용가능
클라우드하는 귀여운 애