Azure 개요
Azure 환경을 준비하고 다음 단계에 따라 멀티 클라우드 방어 컨트롤러에 연결합니다.
-
Azure 구독을 획득합니다. 구독이 Azure Active Directory에 연결되었는지 확인합니다.
자동화된 스크립트를 사용할 수 없는 경우 여기에서 수동으로 어카운트를 온보딩하는 대체 절차를 참조하십시오.
Azure
멀티 클라우드 방어 대시보드에서 멀티 클라우드 방어 컨트롤러에 Azure 구독 연결
이전 섹션에서 설명한 대로 Azure 계정 및 구독을 준비했으면 멀티 클라우드 방어 컨트롤러에 연결할 수 있습니다.
Procedure
|
Step 1 |
CDO 메뉴 바에서 멀티 클라우드 방어을(를) 클릭합니다. |
||
|
Step 2 |
멀티 클라우드 방어 컨트롤러 버튼을 클릭합니다. |
||
|
Step 3 |
Cloud Accounts(클라우드 어카운트) 창에서 Add Account(어카운트 추가)를 클릭합니다. |
||
|
Step 4 |
General Information(일반 정보) 페이지에 있는 Account Type(계정 유형) 목록 상자에서 Azure를 선택합니다. |
||
|
Step 5 |
1단계에서 링크를 클릭하여 Bash 모드에서 Azure Cloud Shell을 엽니다. |
||
|
Step 6 |
2단계에서 Copy(복사) 버튼을 클릭합니다. |
||
|
Step 7 |
Bash 셸에서 온보딩 스크립트를 실행합니다.
|
||
|
Step 8 |
이 Azure 계정의 이름을 제공합니다. 이 이름은 Azure 구독 이름과 동일하게 지정할 수 있습니다. 이 이름은 멀티 클라우드 방어 컨트롤러 계정 페이지에만 표시됩니다. |
||
|
Step 9 |
(선택 사항) 구독에 대한 설명을 제공합니다. |
||
|
Step 10 |
테넌트 ID라고도 하는 디렉터리 ID를 입력합니다. |
||
|
Step 11 |
온보딩 중인 구독의 구독 ID를 입력합니다. |
||
|
Step 12 |
온보딩 스크립트에서 생성한 애플리케이션 ID(클라이언트 ID라고도 함)를 입력합니다. |
||
|
Step 13 |
Client Secret(클라이언트 암호)(암호 ID라고도 함)을 입력합니다. |
||
|
Step 14 |
Save & Continue(저장 후 계속)를 클릭합니다. |
Azure 구독이 온보딩되고 새 디바이스가 추가된 것을 확인하기 위해 대시보드로 다시 연결되었습니다.
What to do next
-
트래픽 가시성을 활성화합니다.
사후 온보딩 절차
서브넷
게이트웨이 구축을 구성할 때 멀티 클라우드 방어 컨트롤러에서 관리 및 데이터 경로서브넷 정보를 입력하라는 메시지가 표시됩니다.
관리 서브넷은 인터넷에 대한 기본 경로가 있는 라우트 테이블과 연결해야 하는 퍼블릭 서브넷입니다. 멀티 클라우드 방어 게이트웨이 인스턴스에 멀티 클라우드 방어 컨트롤러과(와)의 통신에 사용하는 이 서브넷에 연결된 인터페이스가 있습니다. 이 인터페이스는 멀티 클라우드 방어 컨트롤러 및 멀티 클라우드 방어 게이트웨이 인스턴스 간의 정책 푸시와 기타 관리, 텔레메트리 활동에 사용됩니다. 고객 애플리케이션 트래픽은 이 인터페이스 및 서브넷을 통과하지 않습니다. 아래의 보안 그룹 섹션에서 설명하는 관리 보안 그룹과 인터페이스가 연결됩니다.
데이터 경로 서브넷은 인터넷에 대한 기본 경로가 있는 라우트 테이블과 연결해야 하는 퍼블릭 서브넷입니다. 멀티 클라우드 방어 컨트롤러는 이 서브넷에 네트워크 로드 밸런서(NLB)를 생성합니다. 또한, 멀티 클라우드 방어 게이트웨이 인스턴스에 이 서브넷에 연결된 인터페이스가 있습니다. 고객 애플리케이션 트래픽은 이 인터페이스를 통해 흐릅니다. 이 인터페이스를 통해 인그레스하는 트래픽에 보안 정책이 적용됩니다. 인터페이스는 보안 그룹 섹션에서 설명하는 데이터 경로 보안 그룹과 연결됩니다.
Azure VNet 설정
이 문서에서는 VNet에서 멀티 클라우드 방어 게이트웨이을(를) 생성할 수 있도록 VNet에서 생성해야 하는 요구 사항 및 리소스(서브넷, 보안 그룹)에 대해 설명합니다.
보안 그룹
관리 및 데이터 경로 보안 그룹은 위의 서브넷 섹션에서 설명한 대로 멀티 클라우드 방어 게이트웨이 인스턴스의 각 인터페이스와 연결됩니다.
관리 보안 그룹은 게이트웨이 인스턴스가 컨트롤러와 통신하도록 허용하는 아웃바운드 트래픽을 허용해야 합니다. 선택적으로, 인바운드 규칙의 경우 포트 22(SSH)를 활성화하여 게이트웨이 인스턴스에 대한 SSH 액세스를 허용합니다. 멀티 클라우드 방어 게이트웨이가 제대로 작동하기 위해 SSH가 반드시 필요한 것은 아닙니다.
데이터 경로 보안 그룹은 데이터 경로 인터페이스에 연결되며 인터넷에서 멀티 클라우드 방어 게이트웨이로의 트래픽을 허용합니다. 현재 멀티 클라우드 방어 컨트롤러는 보안 그룹을 관리하지 않습니다. 이 인터페이스의 트래픽 이그레스를 허용하는 아웃바운드 규칙이 있어야 합니다. 인바운드 포트는 멀티 클라우드 방어 컨트롤러 보안 정책에 구성되어 있고 멀티 클라우드 방어 게이트웨이에서 사용하는 각 포트에 대해 열려 있어야 합니다.
예를 들어 애플리케이션이 포트 3000에서 실행 중이고 포트 443의 멀티 클라우드 방어 게이트웨이에서 프록시되는 경우, 데이터 경로 보안 그룹에서 포트 443을 열어야 합니다. 또한 이 예시는 애플리케이션에 연결된 보안 그룹에서 포트 3000이 열려 있음을 의미합니다.
ARM 템플릿 실행
ARM 템플릿을 사용하여 이 페이지에 설명된 모든 리소스를 생성합니다.
이 템플릿은 새 VNet을 생성합니다. 기존 프로덕션 환경을 터치하지 않고 멀티 클라우드 방어을(를) 시작할 때 매우 유용합니다.
템플릿은 다음 리소스를 생성합니다.
-
VNet.
-
관리 서브넷.
-
데이터 경로 서브넷.
-
아웃바운드 규칙이 있는 관리 보안 그룹.
-
포트 443에 대한 아웃바운드 규칙 및 인바운드 규칙이 있는 데이터 경로 보안 그룹.
필요에 따라 추가 서브넷을 생성하여 앱을 실행하고 앱별 보안 그룹을 생성할 수 있습니다.
ARM 템플릿을 실행하려면 다음 단계를 수행합니다.
Procedure
|
Step 1 |
Azure 어카운트에 로그인하여 맞춤형 템플릿을 구축합니다. |
|
Step 2 |
Build your own template in the editor(편집기에서 자체 템플릿 구축)를 클릭합니다. |
|
Step 3 |
ARM 템플릿의 내용을 복사하여 편집기에 붙여넣습니다. |
|
Step 4 |
Save(저장)를 클릭합니다. |
|
Step 5 |
Subscription(구독), Resource group(리소스 그룹) 및 Region(지역)을 선택합니다. |
|
Step 6 |
Review+ Create(검토+ 생성)를 클릭합니다. |
|
Step 7 |
모든 리소스가 생성될 때까지 몇 분 정도 기다립니다. |
피드백