Bastion 구성 설정 정보
이 문서의 섹션에서는 Azure Bastion에 대한 리소스 및 설정을 설명합니다.
SKU
SKU는 계층이라고도 합니다. Azure Bastion은 여러 SKU 계층을 지원합니다. Bastion을 구성할 때 SKU 계층을 선택합니다. 사용하려는 기능에 따라 SKU 계층을 결정합니다. 다음 표는 해당 SKU별 기능 가용성을 보여 줍니다.
| 기능 | 개발자 SKU | 기본 SKU | 표준 SKU | 프리미엄 SKU |
|---|---|---|---|---|
| 동일한 가상 네트워크의 대상 VM에 연결 | 예 | 네 | 네 | 예 |
| 피어링 가상 네트워크의 대상 VM에 대한 연결 | 예 | 예 | 예 | 예 |
| 동시 연결 지원 | 예 | 예 | 네 | 예 |
| AKV(Azure Key Vault)에서 Linux VM 프라이빗 키에 액세스 | 예 | 예 | 네 | 예 |
| SSH를 사용하여 Linux VM에 연결 | 예 | 예 | 예 | 예 |
| RDP를 사용하여 Windows VM에 연결 | 예 | 예 | 예 | 예 |
| RDP를 사용하여 Linux VM에 연결 | 아니요 | 아니요 | 예 | 예 |
| SSH를 사용하여 Windows VM에 연결 | 아니요 | 아니요 | 예 | 예 |
| 사용자 지정 인바운드 포트 지정 | 아니요 | 아니요 | 예 | 예 |
| Azure CLI를 사용하여 VM에 연결 | 아니요 | 아니요 | 예 | 예 |
| 호스트 스케일링 | 아니요 | 아니요 | 예 | 예 |
| 파일 업로드 또는 다운로드 | 아니요 | 아니요 | 예 | 예 |
| Kerberos 인증 | 예 | 예 | 예 | 예 |
| 공유 가능한 링크 | 아니요 | 아니요 | 예 | 예 |
| IP 주소를 통해 VM에 연결 | 아니요 | 아니요 | 예 | 예 |
| VM 오디오 출력 | 예 | 네 | 네 | 예 |
| 복사/붙여넣기 사용 안 함(웹 기반 클라이언트) | 아니요 | 아니요 | 예 | 예 |
| 세션 녹화 | 아니요 | 없음 | 아니요 | 예 |
| 프라이빗 전용 배포 | 아니요 | 없음 | 아니요 | 예 |
개발자 SKU
Bastion 개발자 SKU는 가벼운 무료 SKU입니다. 이 SKU는 VM에 안전하게 연결하고 싶지만 추가 Bastion 기능이나 호스트 크기 조정이 필요하지 않은 개발/테스트 사용자에게 이상적입니다. 개발자 SKU를 사용하면 가상 머신 연결 페이지를 통해 한 번에 하나의 Azure VM에 직접 연결할 수 있습니다.
개발자 SKU를 사용하여 Bastion을 배포하는 경우 배포 요구 사항은 다른 SKU를 사용하여 배포할 때와 다릅니다. 일반적으로 베스천 호스트를 만들 때 호스트는 가상 네트워크의 AzureBastionSubnet에 배포됩니다. Bastion 호스트는 사용자 전용입니다. 개발자 SKU를 사용하는 경우 베스천 호스트는 가상 네트워크에 배포되지 않으며 AzureBastionSubnet이 필요하지 않습니다. 그러나 개발자 SKU 베스천 호스트는 전용 리소스가 아닙니다. 대신 공유 풀의 일부입니다.
개발자 SKU 베스천 리소스는 전용이 아니므로 개발자 SKU의 기능이 제한됩니다. SKU별로 나열된 기능은 Bastion 구성 설정 SKU 섹션을 참조하세요. 더 많은 기능을 지원해야 하는 경우 언제든지 개발자 SKU를 더 높은 SKU로 업그레이드할 수 있습니다. SKU 업그레이드를 참조하세요.
개발자 SKU는 현재 다음 지역에서 사용할 수 있습니다.
- 미국 중부 EUAP
- 미국 동부 2 EUAP
- 미국 중서부
- 미국 중북부
- 미국 서부
- 북유럽
참고 항목
VNet 피어링이 현재 개발자 SKU에 지원되지 않습니다.
프리미엄 SKU(미리 보기)
프리미엄 SKU는 세션 녹음 및 프라이빗 전용 Bastion과 같은 Bastion 기능을 지원하는 새로운 SKU입니다. 베스천을 배포할 때 지원하는 기능이 필요한 경우에만 프리미엄 SKU를 선택합니다.
SKU 지정
| 메서드 | SKU 값 | 링크 |
|---|---|---|
| Azure Portal | 계층 - 개발자 | 빠른 시작 |
| Azure Portal | 계층 - 기본 | 빠른 시작 |
| Azure Portal | 계층 - 기본 이상 | 자습서 |
| Azure PowerShell | 계층 - 기본 이상 | 방법 |
| Azure CLI | 계층 - 기본 이상 | 방법 |
SKU 업그레이드
언제든지 SKU를 업그레이드하여 더 많은 기능을 추가할 수 있습니다. 자세한 내용은 SKU 업그레이드를 참조하세요.
참고 항목
SKU 다운그레이드는 지원되지 않습니다. 다운그레이드하려면 Azure Bastion을 삭제한 후 다시 만들어야 합니다.
Azure Bastion 서브넷
Important
2021년 11월 2일 이후에 배포되는 Azure Bastion 리소스의 경우 최소 AzureBastionSubnet 크기는 /26 이상(/25, /24 등)입니다. 이 날짜 이전에 크기가 /27인 서브넷에 배포된 모든 Azure Bastion 리소스는 이 변경의 영향을 받지 않고 계속 작동하지만, 나중에 호스트 크기 조정을 사용하도록 선택하는 경우에는 기존 AzureBastionSubnet의 크기를 /26으로 늘리는 것이 좋습니다.
개발자 SKU를 제외한 모든 SKU를 사용하여 Azure Bastion을 배포하는 경우 Bastion에는 AzureBastionSubnet이라는 전용 서브넷이 필요합니다. Azure Bastion을 배포하려는 동일한 가상 네트워크에 이 서브넷을 만들어야 합니다. 서브넷에는 다음 구성이 있어야 합니다.
- 서브넷 이름은 AzureBastionSubnet이어야 합니다.
- 서브넷 크기는 /26 이상(/25, /24 등)이어야 합니다.
- 호스트 크기 조정을 위해 26 이상의 서브넷이 권장됩니다. 더 작은 서브넷 공간을 사용하면 배율 단위 수가 제한됩니다. 자세한 내용은 이 문서의 호스트 크기 조정 섹션을 참조하세요.
- 서브넷은 베스천 호스트와 동일한 VNet 및 리소스 그룹에 있어야 합니다.
- 서브넷에는 다른 리소스가 포함될 수 없습니다.
다음과 같은 방법으로 이 설정을 구성할 수 있습니다.
| 메서드 | 값 | 링크 |
|---|---|---|
| Azure Portal | 서브넷 | 빠른 시작 자습서 |
| Azure PowerShell | -subnetName | cmdlet |
| Azure CLI | --subnet-name | command |
공용 IP 주소
개발자 SKU 및 프라이빗 전용을 제외한 Azure Bastion 배포에는 공용 IP 주소가 필요합니다. 공용 IP에는 다음 구성이 있어야 합니다.
- 공용 IP 주소 SKU는 표준이어야 합니다.
- 공용 IP 주소 할당 방법은 고정이어야 합니다.
- 공용 IP 주소 이름은 이 공용 IP 주소를 참조하는 리소스 이름입니다.
- Azure Bastion에서 요구하는 기준을 충족하고 아직 사용하지 않는 한, 이미 만든 공용 IP 주소를 사용하도록 선택할 수 있습니다.
다음과 같은 방법으로 이 설정을 구성할 수 있습니다.
| 메서드 | 값 | 링크 |
|---|---|---|
| Azure Portal | 공용 IP 주소 | Azure Portal |
| Azure PowerShell | -PublicIpAddress | cmdlet |
| Azure CLI | --public-ip create | command |
인스턴스 및 호스트 스케일링
인스턴스는 Azure Bastion을 구성할 때 생성되는 최적화된 Azure VM입니다. Azure에서 완전히 관리되며 Azure Bastion에 필요한 모든 프로세스를 실행합니다. 인스턴스를 배율 단위라고도 합니다. Azure Bastion 인스턴스를 통해 클라이언트 VM에 연결합니다. 기본 SKU를 사용하여 Azure Bastion을 구성하면 2개의 인스턴스가 생성됩니다. 표준 SKU 이상을 사용하는 경우 인스턴스 수를 지정할 수 있습니다(인스턴스 최소 2개). 이를 호스트 크기 조정이라고 합니다.
각 인스턴스는 중간 워크로드에 대해 20개의 동시 RDP 연결과 40개의 동시 SSH 연결을 지원할 수 있습니다(자세한 내용은 Azure 구독 제한 및 할당량 참조). 인스턴스당 연결 수는 클라이언트 VM에 연결할 때 수행하는 작업에 따라 다릅니다. 예를 들어 데이터 집약적인 작업을 수행하는 경우 인스턴스가 처리할 더 큰 로드가 생성됩니다. 동시 세션을 초과하면 추가 배율 단위(인스턴스)가 필요합니다.
인스턴스는 AzureBastionSubnet에서 생성됩니다. 호스트 스케일링을 허용하려면 AzureBastionSubnet은 /26 이상이어야 합니다. 더 작은 서브넷을 사용하면 생성할 수 있는 인스턴스 수가 제한됩니다. AzureBastionSubnet에 대한 자세한 내용은 이 문서의 서브넷 섹션을 참조하세요.
다음과 같은 방법으로 이 설정을 구성할 수 있습니다.
| 메서드 | 값 | 링크 | 표준 SKU 이상이 필요합니다. |
|---|---|---|---|
| Azure Portal | 인스턴트 수 | 방법 | 예 |
| Azure PowerShell | ScaleUnit | 방법 | 예 |
사용자 지정 포트
VM에 연결하는 데 사용할 포트를 지정할 수 있습니다. 기본적으로 연결하는 데 사용되는 인바운드 포트는 RDP의 경우 3389, SSH의 경우 22입니다. 사용자 지정 포트 값을 구성하는 경우 VM에 연결할 때 해당 값을 지정합니다.
사용자 지정 포트 값은 표준 SKU 이상에서만 지원됩니다.
공유 가능한 링크
Bastion 공유 가능한 링크 기능을 사용하면 사용자가 Azure Portal에 액세스하지 않고도 Azure Bastion을 사용하여 대상 리소스에 연결할 수 있습니다.
Azure 자격 증명이 없는 사용자가 공유 가능한 링크를 클릭하면 사용자에게 RDP 또는 SSH를 통해 대상 리소스에 로그인하라는 메시지를 표시하는 웹 페이지가 열립니다. 사용자는 해당 대상 리소스에 대한 Azure Portal에서 구성한 내용에 따라 사용자 이름 및 암호 또는 프라이빗 키를 사용하여 인증합니다. 사용자는 현재 Azure Bastion(VM 또는 가상 머신 확장 집합)을 사용하여 연결할 수 있는 동일한 리소스에 연결할 수 있습니다.
| 메서드 | 값 | 링크 | 표준 SKU 이상이 필요합니다. |
|---|---|---|---|
| Azure Portal | 공유 가능한 링크 | 구성 | 예 |
프라이빗 전용 배포
프라이빗 전용 Bastion 배포는 개인 IP 주소 액세스만 허용하는 인터넷으로 라우팅할 수 없는 Bastion 배포를 만들어 워크로드를 엔드투엔드로 잠급니다. 프라이빗 전용 Bastion 배포에서는 공용 IP 주소를 통한 베스천 호스트 연결을 허용하지 않습니다. 이와 대조적으로 일반 Azure Bastion 배포에서는 사용자가 공용 IP 주소를 사용하여 베스천 호스트에 연결할 수 있습니다. 자세한 내용은 Bastion을 프라이빗 전용으로 배포를 참조하세요.
세션 녹화
Azure Bastion 세션 기록 기능이 사용하도록 설정되면 베스천 호스트를 통해 가상 머신(RDP 및 SSH)에 대한 연결에 대한 그래픽 세션을 기록할 수 있습니다. 세션이 닫히거나 연결이 끊어진 후 기록된 세션은 SAS URL을 통해 스토리지 계정 내의 Blob 컨테이너에 저장됩니다. 세션 연결이 끊어지면 Azure Portal의 세션 기록 페이지에서 기록된 세션에 액세스하고 볼 수 있습니다. 세션 녹화에는 Bastion 프리미엄 SKU가 필요합니다. 자세한 내용은 Bastion 세션 녹화를 참조하세요.
가용성 영역
일부 지역에서는 가용성 영역(또는 영역 중복성을 위해 여러 영역)에 Azure Bastion을 배포하는 기능을 지원합니다. 영역별로 배포하려면 수동으로 지정된 설정을 사용하여 Bastion을 배포합니다(자동 기본 설정을 사용하여 배포하지 마세요). 배포 시 원하는 가용성 영역을 지정합니다. Bastion이 배포된 후에는 영역 가용성을 변경할 수 없습니다.
가용성 영역에 대한 지원은 현재 미리 보기 상태입니다. 미리 보기 동안 다음 지역을 사용할 수 있습니다.
- 미국 동부
- 오스트레일리아 동부
- 미국 동부 2
- 미국 중부
- 카타르 중부
- 남아프리카 공화국 북부
- 서유럽
- 미국 서부 2
- 북유럽
- 스웨덴 중부
- 영국 남부
- 캐나다 중부
다음 단계
자주 묻는 질문은 Azure Bastion FAQ를 참조하세요.