Azure 가상 네트워크 서비스 엔드포인트로 PaaS 리소스에 대한 네트워크 액세스 제한 (실습)

ㅁ 연습 시나리오

 

    작업 1: 가상 네트워크 만들기

    작업 2: 서비스 엔드포인트 사용

    작업 3: 서브넷에 대한 네트워크 액세스 제한

    작업 4: 다른 아웃바운드 규칙 추가

    작업 5: RDP 연결을 위한 액세스 허용

    작업 6: 리소스에 대한 네트워크 액세스 제한

    작업 7: 스토리지 계정에 파일 공유 만들기

    작업 8: 서브넷에 대한 네트워크 액세스 제한

    작업 9: 가상 머신 만들기

    작업 10: 스토리지 계정에 대한 액세스 확인

 

 

ㅁ 작업 1: 가상 네트워크 만들기

     1. Azure Portal에 로그인합니다.

     2. Azure Portal 홈페이지에서 가상 네트워크를 검색한 다음, 결과에서 가상 네트워크를 선택합니다.

     3. + 만들기를 선택합니다.

     4. 다음 정보를 입력하거나 선택합니다. 

      5. IP 주소 탭을 선택하고 다음 값을 입력합니다(서브넷 이름을 변경하려면 기본값 선택). 

 

      6. 보안 탭을 선택하고 다음 값을 입력합니다. ![그래픽 사용자 인터페이스, 텍스트, 애플리케이션, 메일 자동 생성된 설명]

           (../media/ create-virtual-network-security.png)

 

 

       7. 검토 + 만들기를 선택합니다. 리소스의 유효성을 검사한후 만들기를 선택합니다.

 

ㅁ 작업 2: 서비스 엔드포인트 사용

 

     1. 포털 상단의 리소스, 서비스 및 문서 검색 상자에 CoreServicesVNet을 입력합니다. 검색 결과에 CoreServicesVNet이 나타

         나면 이를 선택합니다.

     2. 가상 네트워크에 서브넷을 추가합니다. 다음 그림과 같이 설정에서 서브넷을 선택한 후 + 서브넷을 선택합니다. 

     3. 서브넷 추가에서 다음 정보를 선택하거나 입력합니다.

 

     4. 저장을 선택합니다.

 

ㅁ 작업 3: 서브넷에 대한 네트워크 액세스 제한

 

     1. 포털 상단의 리소스, 서비스 및 문서 검색 상자에 보안 그룹을 입력합니다. 네트워크 보안 그룹이 검색 결과에 표시되면 선택

         합니다.

     2. 네트워크 보안 그룹에서 + 만들기를 선택합니다.

     3. 다음 정보를 입력하거나 선택합니다.설정값

 

     4. 검토 + 만들기, 만들기를 차례로 선택합니다.

     5. ContosoPrivateNSG 네트워크 보안 그룹을 만든 후 리소스로 이동을 선택합니다.

     6. 설정에서 아웃바운드 보안 규칙을 선택합니다.

     7. +추가를 선택합니다.

     8. Azure Storage 서비스에 대해 아웃바운드 통신을 허용하는 규칙을 만듭니다. 다음 정보를 입력하거나 선택합니다. 

 

      9. 추가를 선택합니다.

 

ㅁ 작업 4: 다른 아웃바운드 규칙 추가

 

     1. 아웃바운드 보안 규칙에서 +추가를 선택합니다.

     2. 다음 정보를 입력하거나 선택합니다. 

 

      3. 추가를 선택합니다.

 

ㅁ 작업 5: RDP 연결에 대한 액세스 허용

 

     1. ContosoPrivateNSG | 아웃바운드 보안 규칙의 설정에서 인바운드 보안 규칙을 선택합니다.

     2. +추가를 선택합니다.

     3. 인바운드 보안 규칙 추가에서 다음 값을 입력합니다. 

      4. 그런 후 추가를 선택합니다.

      5. 설정에서 서브넷을 선택합니다.

      6. + 연결을 선택합니다.

      7. 서브넷 연결에서 가상 네트워크 를 선택한 후 가상 네트워크 선택에서 CoreServicesVNet을 선택합니다.

      8. 서브넷 선택에서 프라이빗을 선택한 다음, 확인을 선택합니다.

 

ㅁ 작업 6: 리소스에 대한 네트워크 액세스 제한

 

     1. Azure Portal에서 스토리지 계정을 선택합니다.

     2. +만들기를 선택합니다.

     3. 다음 정보를 입력하거나 선택하고, 나머지 기본값을 그대로 적용합니다.

      4. 검토를 선택한 다음 만들기를 선택합니다.

 

ㅁ 작업 7: 스토리지 계정에 파일 공유 만들기

 

     1. 스토리지 계정이 만들어진 후에 포털 맨 위에 있는 리소스, 서비스 및 문서 검색 상자에 스토리지 계정의 이름을 입력합니다.

         스토리지 계정의 이름이 검색 결과에 표시되면 선택합니다.

     2. 다음 그림과 같이 파일 공유를 선택합니다. 

      3. + 파일 공유를 선택합니다.

      4. 이름 아래에 마케팅을 입력하고 다음: 백업을 선택합니다. 

     5. 다음 그림과 같이 백업 사용을 선택 취소합니다. 

     6. 검토 + 만들기를 선택합니다. 리소스의 유효성을 검사한후 만들기를 선택합니다.

 

ㅁ 작업 8: 서브넷에 대한 네트워크 액세스 제한

 

     1. 스토리지 계정에 대한 보안 + 네트워킹에서 네트워킹을 선택합니다.

     2. 선택한 가상 네트워크 및 IP 주소에서 사용을 선택합니다.

     3. + 기존 가상 네트워크 추가를 선택합니다.

     4. 네트워크 추가에서 다음 값을 선택합니다. 

 

     5. 추가를 선택합니다.

     6. 저장을 선택합니다.

     7. 스토리지 계정에 대한 보안 및 네트워킹에서 액세스 키를 선택합니다.

     8. 키 표시를 선택합니다. 이후 단계에서 파일 공유를 VM의 드라이브 문자에 매핑할 때도 수동으로 입력해야 하므로 키 값을 적

         어둡니다.

 

ㅁ 작업 9: 가상 머신 만들기

 

     1. Azure Portal 오른쪽 상단에 있는 Cloud Shell 아이콘을 선택합니다. 필요한 경우 셸을 구성합니다.

         - PowerShell을 선택합니다.

         - 스토리지 계정이 필요하지 않음과 구독을 선택한 다음 적용을 선택합니다.

         - 터미널이 생성되고 프롬프트가 표시될 때까지 기다립니다.

     2. Cloud Shell 창의 도구 모음에서 파일 관리 아이콘을 선택하고 드롭다운 메뉴에서 업로드를 선택한

         후 VMs.json 및 VMs.parameters.json 파일을 소스 폴더 F:\Allfiles\Exercises\M07에서 하나씩 Cloud Shell

         홈 디렉토리로 업로드합니다.

     3. 다음 ARM 템플릿을 배포하여 이 연습에 필요한 VM을 만듭니다.

$RGName = "myResourceGroup" New-AzResourceGroupDeployment -ResourceGroupName $RGName -TemplateFile VMs.json -TemplateParameterFile VMs.parameters.json

     4. 배포가 완료되면 Azure Portal 홈페이지로 이동한 다음 가상 머신을 선택합니다.

 

ㅁ 작업 10: 스토리지 계정에 대한 액세스 확인

 

     1. ContosoPrivate VM에서 만들기가 완료되면 리소스로 이동을 선택하여 VM 블레이드를 엽니다. 연결 단추를 선택한 후 RDP

         를 선택합니다. 

    2. 연결 단추 및 RDP를 선택한 후 RDP 파일 다운로드 단추를 선택합니다. 원격 데스크톱 프로토콜(.rdp) 파일이 만들어지고 컴

        퓨터에 다운로드됩니다.

   3. 다운로드한 rdp 파일을 엽니다. 메시지가 표시되면 연결을 선택합니다. VM을 만들 때 지정한 사용자 이름과 암호를 입력합니

        다. 추가 선택 사항, 다른 계정 사용을 차례로 선택하여 VM을 만들 때 입력한 자격 증명을 지정해야 할 수도 있습니다.

   4. 확인을 선택합니다.

   5. 로그인 프로세스 중에 인증서 경고가 나타날 수 있습니다. 경고 메시지가 표시되면 예 또는 계속을 선택하여 연결을 계속

   6. ContosoPrivate VM에서 PowerShell을 사용하여 Azure 파일 공유를 Z 드라이브에 매핑합니다. 다음 명령을 실행하기 전에 ,

        (즉, contosostoragexx), my-file-share(즉, 스토리지 계정 만들기 작업에서 입력했거나 가져온 값으로 바꿉니다.

$acctKey = ConvertTo-SecureString -String "<storage-account-key>" -AsPlainText -Force $credential = New-Object System.Management.Automation.PSCredential -ArgumentList "Azure\<storage-account-name>", $acctKey New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\marketing" -Credential $credential

                                           Azure 파일 공유가 Z 드라이브에 매핑되었습니다.

 

   7. 명령 프롬프트에서 VM에 인터넷으로의 아웃바운드 연결이 설정되어 있지 않음을 확인합니다.

         ping bing.com 프라이빗 서브넷에 연결된 네트워크 보안 그룹이 인터넷에 대한 아웃바운드 액세스를 허용하지 않아 응답이

        수신되지 않습니다.

  8. ContosoPrivate VM에 대한 원격 데스크톱 세션을 닫습니다.

스토리지 계정에 대한 액세스가 거부되는지 확인

   1. 포털 상단의 리소스, 서비스, 문서 검색 상자에 ContosoPublic을 입력합니다.

   2. 검색 결과에 ContosoPublic이 표시되면 선택합니다.

   3. ContosoPublic VM용 스토리지 계정 작업에 대한 액세스 확인에서 1~6단계를 완료합니다.

   4. 퍼블릭 VM이 명령 프롬프트에서 인터넷에 아웃바운드 연결되었는지 확인합니다.

       ping bing.com

   5. ContosoPublic VM에 대한 원격 데스크톱 세션을 닫습니다.

   6. 컴퓨터에서 Azure Portal로 이동합니다.

   7. 리소스, 서비스 및 문서 검색 상자에 만든 스토리지 계정의 이름을 입력합니다. 스토리지 계정의 이름이 검색 결과에 표시되면

       선택합니다.

   8. 파일 공유를 선택한 다음, 마케팅 파일 공유를 선택합니다.

   9. 다음 스크린샷에 표시된 오류가 발생합니다.

 

ㅁ 리소스 정리

     1. Azure Portal의 Cloud Shell 창에서 PowerShell 세션을 엽니다.

     2. 다음 명령을 실행하여 이 모듈의 랩 전체에서 만든 모든 리소스 그룹을 삭제합니다.

Remove-AzResourceGroup -Name 'myResourceGroup' -Force -AsJob