[Azure] 가상 네트워크(Virtual Network) 생성 후, 네트워크 보안 그룹(NSG)을 통한 네트워크 트래픽 필터링 (NIC 연결)

가상 네트워크(Virtual Network) 생성 후, 네트워크 보안 그룹(NSG)을 통한 네트워크 트래픽 필터링 (NIC 연결)

들어가며

• 가상 네트워크(Virtual Network)를 생성한 후, 네트워크 보안 그룹(NSG)을 가상 머신의 네트워크 인터페이스 카드(NIC)에 연결해서 사용해보자.
• 동일한 가상 네트워크(VNet)에 포함된 가상 머신은 모든 포트를 통해 서로 통신할 수 있다.
• 네트워크 보안 그룹(NSG)은 가상 머신의 네트워크 인터페이스 카드(NIC)에 직접 연결하거나 서브넷에 연결해서 사용할 수 있다.

 

실습하기

가상 네트워크 만들기

• 애저(Azure) 포털에서 Virtual Network를 검색하고 선택한다.
• <가상 네트워크> 페이지에서 가상 네트워크 만들기 작업을 수행한다.
  • <가상 네트워크 만들기> 화면
    • [기본 사항] 탭
      • 다음 정보를 입력하거나 선택한다.
        • 리소스 그룹 이름 : 선택
        • 가상 네트워크 이름 : VNet
    • [IP 주소] 탭
      • IPv4 주소 공간에서 10.0.0.0/16을 입력한다.
        • 주소 공간이 변경되면 기본 설정된 서브넷이 삭제된다.
      • [서브넷 추가] 버튼을 클릭하고, <서브넷 추가> 화면에서 다음과 같이 입력한다.
        • 서브넷 이름 : default
        • 서브넷 주소 범위 : 10.0.0.0/24

가상 머신 만들기

• 가상 네트워크(VNet)에 myVMWeb 및 myVMMgmt라는 2개의 VM을 만든다.
  • <가상 네트워크 만들기> 화면
    • [기본 사항] 탭
      • 리소스 그룹 : 가상 네트워크(VNet)와 동일하게 선택
      • 가상 머신 이름 : myVMWeb
      • 가용성 옵션 : 인프라 중복이 필요하지 않음 선택 
      • 이미지 : Windows Server 2022 Datacenter - x64 Gen2
      • 크기 : 기본값 or 선택
      • 사용자 이름, 암호 및 암호 확인 : VM에 대한 관리자 사용자 이름 및 암호 입력
      • 공용 인바운드 포트 : HTTP(80)
    • [네트워킹] 탭
      • 가상 네트워크 : 이전에 생성한 VNet 선택
        • VNet이 여러 개일 경우 리소스 그룹 이름도 같이 확인한다.
      • 서브넷 : default 선택
      • 공용 IP : 자동으로 생성된 IP를 그대로 사용 ((새로 만드는 중) myVMWeb-ip)
      • NIC 네트워크 보안 그룹 : 기본
        • 없음으로 선택할 경우, 현재 구성으로는 가상 머신은 인터넷으로 연결할 수 없다.

• myVMWeb VM을 생성한 후, 이어서 myVMMgmt VM을 만든다.
  • <가상 네트워크 만들기> 화면
    • [기본 사항] 탭
      • 리소스 그룹 : 이전에 생성한 리소스 그룹 선택
      • 가상 머신 이름 : myVMMgmt
      • 공용 인바운드 포트 : RDP(3389)
    • [네트워킹] 탭
      • myVMWeb VM을 만들었을 때와 동일하게 설정한다.

 

리소스 그룹에 생성된 리소스 확인

• 가상 머신 생성 시, NIC 네트워크 보안 그룹을 기본으로 선택했으므로, 네트워크 보안 그룹(NSG)이 각각 1개씩 생성됐다.
• 고급으로 변경해서 기존 네트워크 보안 그룹을 선택할 수도 있다.
• 가상 네트워크인 VNet 리소스 페이지로 이동하여 주소 공간과 서브넷을 확인한다.
  • 가상 머신의 <설정> 메뉴에서 [네트워킹] 탭으로 들어가면 연결된 가상 네트워크/서브넷, 네트워크 인터페이스, 네트워크 보안 그룹을 볼 수 있다.
  • 인바운드/아웃바운드 포트는 연결된 네트워크 보안 그룹(NSG)의 설정된 정보이다.
  • 각 가상 머신에서 확인해보면 각각 80과 3389가 인바운드 포트로 설정되어 있다.

myVMMgmt VM

myVMWeb

 

• 현재 설정은 네트워크 인터페이스 카드(Network Interface Card, NIC)에 네트워크 보안 그룹(NSG)이 연결된 상태이다.
• myvmmgmt 네트워크 인터페이스를 선택하고 <설정>에서 [네트워크 보안 그룹]으로 이동하면 myVMMgmt-nsg가 선택되어 있는 것을 확인할 수 있다.

 

• myVMWeb도 동일하게 확인 가능하다.

 

관리 서버로 접속하여 웹서버에 IIS 설치하기

• myVMMgmt VM의 RDP 파일을 다운로드 받고 실행한다.

 

• 그리고 myVMMgmt 가상 머신에서 PowerShell을 실행한다. 그리고 다음 명령을 입력하여 myVMWeb에 연결한다.
  • myVMWeb VM을 만들었을 때 입력했던 관리자 계정의 아이디와 비밀번호를 입력하여 접속한다.

			
			
			
		
> mstsc /v:myVmWeb

 

mstsc

• mstsc는 원격 데스크톱 연결 프로그램의 실행 파일 이름이다.

경고창이 뜨면 무시하고 [Yes] 버튼을 클릭한다.

 

• myVMMgmt VM 안에서 myVMWeb VM을 원격으로 연결하였다.

 

💡 기본적으로 동일한 네트워크의 가상 머신은 모든 포트로 연결할 수 있으므로 myVMMgmt에서 myVMWeb으로의 RDP 연결이 성공한다. 인터넷에서 모든 리소스로의 인바운드 트래픽은 기본적으로 거부된다.

 

• Microsoft IIS를 myVMWeb 가상 머신에 설치하려면, myVMWeb 가상 머신에서 PowerShell을 실행하여 다음 명령을 입력하면 된다. 명령을 입력하면 IIS 서버가 활성화 된다.

			
			
			
		
> Install-WindowsFeature -name Web-Server -IncludeManagementTools

 

• mvVMMgmt VM에서 웹 브라우저를 실행한 후,  myVMWeb의 공용 IP 주소를 입력하여 접속해본다.

mvVMWeb 가상 머신 페이지에서 접속에 필요한 공용 IP 주소를 확인할 수 있다.

성공적으로 myVMWeb 웹 서버에 액세스할 수 있음을 확인할 수 있다.

 

VM 간 통신하기

• myVMMgmt VM에서 PowerShell을 실행한다.
• 다음의 명령을 입력한다.

			
			
			
		
> ping myVMWeb

💡ping은 ICMP(인터넷 제어 메시지 프로토콜)를 사용하기 때문에 실패한다. 기본적으로 ICMP는 Windows 방화벽으로 인하여 허용되지 않는다.

Received = 0 (실패)

 

• ICMP가 이 VM의 Windows 방화벽을 통해 인바운드 되도록 허용하려면 다음 명령을 입력하면 된다.

			
			
			
		
> New-NetFirewallRule –DisplayName "Allow ICMPv4-In" –Protocol ICMPv4

 

• mvVMWeb에도 동일하게 연결하여 PowerShell에서 ping myVMMgmt를 입력한다.

			
			
			
		
> ping myVMMgmt

 

• 이번에는 myVMMgmt의 방화벽을 통해 ICMP를 허용했기 때문에, 성공 회신이 표시되게 된다.

Received = 4 (성공)

 

• 반대로 myVMWeb에서도 다음 명령을 입력하여 ICMP를 허용하도록 설정한다.

			
			
			
		
> New-NetFirewallRule –DisplayName "Allow ICMPv4-In" –Protocol ICMPv4

 

• 그리고 myVMMgmt VM에서 ping myVMWeb 명령을 입력해본다.

			
			
			
		
> ping myVMWeb

Received = 4 (성공)