Azure

멀티 클라우드 방어 대시보드에서 멀티 클라우드 방어 컨트롤러에 Azure 구독 연결

이전 섹션에서 설명한 대로 Azure 계정 및 구독을 준비했으면 멀티 클라우드 방어 컨트롤러에 연결할 수 있습니다.

Procedure


Step 1

CDO 메뉴 바에서 멀티 클라우드 방어을(를) 클릭합니다.

Step 2

멀티 클라우드 방어 컨트롤러 버튼을 클릭합니다.

Step 3

Cloud Accounts(클라우드 어카운트) 창에서 Add Account(어카운트 추가)를 클릭합니다.

Step 4

General Information(일반 정보) 페이지에 있는 Account Type(계정 유형) 목록 상자에서 Azure를 선택합니다.

Step 5

1단계에서 링크를 클릭하여 Bash 모드에서 Azure Cloud Shell을 엽니다.

Step 6

2단계에서 Copy(복사) 버튼을 클릭합니다.

Step 7

Bash 셸에서 온보딩 스크립트를 실행합니다.

Note

 
  • 멀티 클라우드 방어에 이미 연결된 다른 Azure 구독이 있는 경우 동일한 기존 이름으로 IAM 역할을 생성하면 이 스크립트가 실패할 수 있습니다. IAM 역할은 둘 이상 있을 수 없습니다. 이 문제를 해결하려면 -p 접두사를 사용하여 Bash 스크립트를 실행합니다.

  • 구독 전반에서 스포크 VNet 보호를 지원하려면 Active Directory 앱 등록을 사용하여 구독을 온보딩해야 합니다.

Step 8

이 Azure 계정의 이름을 제공합니다. 이 이름은 Azure 구독 이름과 동일하게 지정할 수 있습니다. 이 이름은 멀티 클라우드 방어 컨트롤러 계정 페이지에만 표시됩니다.

Step 9

(선택 사항) 구독에 대한 설명을 제공합니다.

Step 10

테넌트 ID라고도 하는 디렉터리 ID를 입력합니다.

Step 11

온보딩 중인 구독의 구독 ID를 입력합니다.

Step 12

온보딩 스크립트에서 생성한 애플리케이션 ID(클라이언트 ID라고도 함)를 입력합니다.

Step 13

Client Secret(클라이언트 암호)(암호 ID라고도 함)을 입력합니다.

Step 14

Save & Continue(저장 후 계속)를 클릭합니다.


Azure 구독이 온보딩되고 새 디바이스가 추가된 것을 확인하기 위해 대시보드로 다시 연결되었습니다.

What to do next

사후 온보딩 절차

서브넷

게이트웨이 구축을 구성할 때 멀티 클라우드 방어 컨트롤러에서 관리데이터 경로서브넷 정보를 입력하라는 메시지가 표시됩니다.

관리 서브넷은 인터넷에 대한 기본 경로가 있는 라우트 테이블과 연결해야 하는 퍼블릭 서브넷입니다. 멀티 클라우드 방어 게이트웨이 인스턴스에 멀티 클라우드 방어 컨트롤러과(와)의 통신에 사용하는 이 서브넷에 연결된 인터페이스가 있습니다. 이 인터페이스는 멀티 클라우드 방어 컨트롤러멀티 클라우드 방어 게이트웨이 인스턴스 간의 정책 푸시와 기타 관리, 텔레메트리 활동에 사용됩니다. 고객 애플리케이션 트래픽은 이 인터페이스 및 서브넷을 통과하지 않습니다. 아래의 보안 그룹 섹션에서 설명하는 관리 보안 그룹과 인터페이스가 연결됩니다.

데이터 경로 서브넷은 인터넷에 대한 기본 경로가 있는 라우트 테이블과 연결해야 하는 퍼블릭 서브넷입니다. 멀티 클라우드 방어 컨트롤러는 이 서브넷에 네트워크 로드 밸런서(NLB)를 생성합니다. 또한, 멀티 클라우드 방어 게이트웨이 인스턴스에 이 서브넷에 연결된 인터페이스가 있습니다. 고객 애플리케이션 트래픽은 이 인터페이스를 통해 흐릅니다. 이 인터페이스를 통해 인그레스하는 트래픽에 보안 정책이 적용됩니다. 인터페이스는 보안 그룹 섹션에서 설명하는 데이터 경로 보안 그룹과 연결됩니다.

Azure VNet 설정

이 문서에서는 VNet에서 멀티 클라우드 방어 게이트웨이을(를) 생성할 수 있도록 VNet에서 생성해야 하는 요구 사항 및 리소스(서브넷, 보안 그룹)에 대해 설명합니다.

보안 그룹

관리 및 데이터 경로 보안 그룹은 위의 서브넷 섹션에서 설명한 대로 멀티 클라우드 방어 게이트웨이 인스턴스의 각 인터페이스와 연결됩니다.

관리 보안 그룹은 게이트웨이 인스턴스가 컨트롤러와 통신하도록 허용하는 아웃바운드 트래픽을 허용해야 합니다. 선택적으로, 인바운드 규칙의 경우 포트 22(SSH)를 활성화하여 게이트웨이 인스턴스에 대한 SSH 액세스를 허용합니다. 멀티 클라우드 방어 게이트웨이가 제대로 작동하기 위해 SSH가 반드시 필요한 것은 아닙니다.

데이터 경로 보안 그룹은 데이터 경로 인터페이스에 연결되며 인터넷에서 멀티 클라우드 방어 게이트웨이로의 트래픽을 허용합니다. 현재 멀티 클라우드 방어 컨트롤러는 보안 그룹을 관리하지 않습니다. 이 인터페이스의 트래픽 이그레스를 허용하는 아웃바운드 규칙이 있어야 합니다. 인바운드 포트는 멀티 클라우드 방어 컨트롤러 보안 정책에 구성되어 있고 멀티 클라우드 방어 게이트웨이에서 사용하는 각 포트에 대해 열려 있어야 합니다.

예를 들어 애플리케이션이 포트 3000에서 실행 중이고 포트 443의 멀티 클라우드 방어 게이트웨이에서 프록시되는 경우, 데이터 경로 보안 그룹에서 포트 443을 열어야 합니다. 또한 이 예시는 애플리케이션에 연결된 보안 그룹에서 포트 3000이 열려 있음을 의미합니다.

ARM 템플릿 실행

ARM 템플릿을 사용하여 이 페이지에 설명된 모든 리소스를 생성합니다.

이 템플릿은 새 VNet을 생성합니다. 기존 프로덕션 환경을 터치하지 않고 멀티 클라우드 방어을(를) 시작할 때 매우 유용합니다.

템플릿은 다음 리소스를 생성합니다.

  • VNet.

  • 관리 서브넷.

  • 데이터 경로 서브넷.

  • 아웃바운드 규칙이 있는 관리 보안 그룹.

  • 포트 443에 대한 아웃바운드 규칙 및 인바운드 규칙이 있는 데이터 경로 보안 그룹.

필요에 따라 추가 서브넷을 생성하여 앱을 실행하고 앱별 보안 그룹을 생성할 수 있습니다.

ARM 템플릿을 실행하려면 다음 단계를 수행합니다.

Procedure


Step 1

Azure 어카운트에 로그인하여 맞춤형 템플릿을 구축합니다.

Step 2

Build your own template in the editor(편집기에서 자체 템플릿 구축)를 클릭합니다.

Step 3

ARM 템플릿의 내용을 복사하여 편집기에 붙여넣습니다.

Step 4

Save(저장)를 클릭합니다.

Step 5

Subscription(구독), Resource group(리소스 그룹)Region(지역)을 선택합니다.

Step 6

Review+ Create(검토+ 생성)를 클릭합니다.

Step 7

모든 리소스가 생성될 때까지 몇 분 정도 기다립니다.