brunch

You can make anything
by writing

C.S.Lewis

by Master Seo Jan 19. 2020

17.(미션) Azure 네트워크 구성하기(1/2)

<1> ISMS-P, 전자금융 거래법에서 요구하는 안전한  네트워크 구성을 해보자.

<2> Virtual networks  구성하기

<3>  Virtual machines  만들기

<4> Network security groups  생성하기

<5> Virtual machine에 웹서버 설치하고 접속 확인하기

<6>  기타 확인하기



<1> ISMS-P, 전자금융 거래법에서 요구하는 안전한  네트워크 구성을 해보자.


Public - Private - DB 네트워크로 구축해보자.




<2> Virtual networks  구성하기


1. Azure  포털 접속

https://portal.azure.com/



2. 네트워크 구성하기

VPC와 Subnet 구성하기


Virtual networks (가상 네트워크)  




VPC : gameweb-vpc

주소 : 10.100.0.0/22   (C-Class 8개)

Public  Subnet  : 10.100.0.0/24   (인터넷 게이트웨이로 외부 통신)

Private Subnet  : 10.100.1.0/24  (NAT로 외부 통신)

DB Subnet          : 10.100.2.0/24   (보안상 외부와 통신 안되도록 함)






3. 서브 네팅 하기

default는 Public

All services  >  Networking > virtual networks



Azure는 AWS처럼  별도로  인터넷 게이트웨이(IGW)를  잡아 주지 않아도 외부와 네트워크가 된다.

Azure는 라우팅 테이블로  Public , Private로 구분하지 않으며, 방화벽으로 네트워크 보안 관리를 한다.

AWS는  라우팅 테이블로  Public , Private로 구분한다.



<3>  Virtual machines  만들기


가상 서버를 만들어보자.



서버 접속은  일반 계정과 암호를 저장하여 접속할 수도 있다.

Default로 SSH 22번 포트는 열린다.

디폴트로 임시 공인 IP도 할당된다.





<4> Network security groups  구성하기


1. All services  >  Network security groups

Network >   Network security groups

SSH, 80, icmp에 대해 외부에서 접속되도록 허용한다.





pc에서   public에 있는 서버로 ping  확인하기



<5> Virtual machine에 웹서버 설치하고 접속 확인하기


설치

yum install httpd -y

/usr/sbin/httpd

ps -ef |grep httpd


웹브라우저로  apache 웹서버 접속 확인한다.



index.html 만들어 초기 페이지 수정하기.

cd    /var/www/html/

vi   index.html



<6>  기타 확인하기


1. pub

web1   기본 공인 ip할당 받음 , 외부로 ping 됨.  


web1-pri  사설 ip , 외부로 ping 안됨.

외부로 curl은 됨.



2.Virtual machines 은 시리얼 콘솔로 직접 접속할 수 있다.  

계정  / 암호 필요.

 Virtual machines > 가상 서버 선택 > serial console로 서버에 직접 로그인할 수도 있다.




3. Azure는  subnet에  Az를 지정하지 않는다.

따라서  AWS처럼 pub-a , pub-b , pub-c로 만들 필요가 없다.


4. Subnet 마다  Security group을 지정한다.

외부에서  접속을 허용할 때 필요하다.

디폴트로  같은 VPC내에서는 기본적으로 모두 열려 있다.


정책적으로 Pub, Pri , DB  Security Group을 각각 만들고, Subnet에 적용해 관리하자.

Network security groups에서 any로 막으면 , 같은 VPC내에서도 차단이 가능하다.




5.   Edit columns에서 Virtual Machine의 IP가 보이도록 설정 가능하다.


6. Private Subnet에 있는 Virtual machines 이 인터넷 되게 하기

Private Subnet 있는  Virtual machines도  기본적으로 외부 통신이 된다. curl

따라서, Network security groups에서  

1) 서브넷 별로 접속 가능한 블록은 허용

2) 나머지는 모두 막는 설정을 해야 한다.


nat?

Azure에서는 natgw대신  load balancer를 사용한다.



감사합니다.

브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari