Virtual Network 검증 도구는 어떻게 작동하나요?
Azure Virtual Network Manager에서 Virtual Network 검증 도구를 사용하면 네트워크 정책이 Azure 네트워크 리소스 간의 트래픽을 허용하거나 허용하지 않는지 확인할 수 있습니다. 연결 가능성이 예상대로 작동하지 않는 이유를 심사하고 조직의 보안 규정 준수 요구 사항에 대한 Azure 설정의 적합성을 입증하기 위한 간단한 진단 질문에 답하는 데 도움이 될 수 있습니다. Virtual Network 검증 도구에서 연결 가능성 분석을 실행하면 두 가상 머신이 서로 통신할 수 없는 이유와 같은 질문에 답할 수 있습니다.
Important
Azure Virtual Network Manager의 Virtual Network 검증 도구는 현재 공개 미리 보기로 제공됩니다.
- australiaeast
- centralus
- eastus
- eastus2
- eastus2euap
- northeurope
- southcentralus
- uksouth
- westeurope
- westus
- westus2
이 공개 미리 보기 버전은 서비스 수준 계약 없이 제공되며 프로덕션 워크로드에는 사용하지 않는 것이 좋습니다. 특정 기능이 지원되지 않거나 기능이 제한될 수 있습니다. 자세한 내용은 Microsoft Azure Preview에 대한 추가 사용 약관을 참조하세요.
검증 도구 작업 영역은 어떻게 작동하나요?
Virtual Network 검증 도구는 Virtual Network 검증 도구의 자식 리소스 및 기능에 대한 컨테이너 역할을 하는 검증 도구 작업 영역이라는 리소스를 통해 모든 네트워크 관리자 인스턴스에서 사용할 수 있습니다. 네트워크 관리자는 하나 이상의 검증 도구 작업 영역을 가질 수 있으며 이러한 검증 도구 작업 영역은 네트워크 관리자가 아닌 사용자에게 위임될 수 있습니다. 검증 도구 작업 영역은 다음 워크플로를 사용하여 네트워크 데이터를 수집하고 분석합니다.
검증 도구 작업 영역 만들기
검증 도구 작업 영역은 네트워크 관리자의 자식 리소스입니다. 해당 권한은 네트워크 관리 사용자가 아닌 관리 사용자에게 위임될 수 있으며 Azure Portal에서 검색 가능합니다. 검증 도구 작업 영역에는 연결 가능성 분석 의도 및 연결 가능성 분석 결과의 자체 자식 리소스가 포함되어 있으며 부모 네트워크 관리자의 범위를 경계로 사용하여 분석을 실행합니다.
검증 도구 작업 영역 리소스 위임
기본적으로 네트워크 관리자에 대한 권한이 있는 사용자에게는 검증 도구 작업 영역의 권한을 만들기, 삭제 및 확장할 수 있는 권한이 있습니다. 검증 도구 작업 영역의 부모 네트워크 관리자에 대한 권한이 없는 사용자에게는 "기여자" 역할을 할당하여 검증 도구 작업 영역의 액세스 제어를 통해 권한을 부여할 수 있습니다. 이러한 방식으로 검증 도구 작업 영역에 대한 사용자 권한을 부여해도 해당 사용자에게 나머지 네트워크 관리자 인스턴스에 대한 액세스 권한이 부여되지는 않습니다.
연결 가능성 분석 의도 만들기
검증 도구 작업 영역 내에서 연결 가능성 분석 의도를 만들어 검증하려는 원본과 대상 사이의 트래픽 경로를 정의합니다. 연결 가능성 분석 의도에는 다음 필드가 포함됩니다.
| 필드 | **설명** |
|---|---|
| Source | 가상 머신, 서브넷 또는 인터넷이 될 수 있는 트래픽의 원본입니다. |
| 원본 포트 | 트래픽의 원본 포트입니다. |
| 원본 IP 주소 | 트래픽의 원본 IP 주소입니다. |
| 대상 | 가상 머신, 서브넷, Cosmos DB, 스토리지 계정, SQL Server 또는 인터넷일 수 있는 트래픽의 대상입니다. |
| 대상 포트 | 트래픽의 대상 포트입니다. |
| 대상 IP 주소 | 트래픽의 대상 IP 주소입니다. |
| 프로토콜 | 트래픽의 프로토콜입니다. |
검증 도구 작업 영역 내에서 여러 연결 가능성 분석 의도를 만들고 병렬로 실행할 수 있습니다. 지정된 검증 도구 작업 영역에 대한 권한이 있는 모든 사용자는 해당 연결 가능성 분석 의도를 만들기, 확인 및 삭제할 수 있습니다.
연결 가능성 분석 실행
연결 가능성 분석 의도를 정의한 후 분석을 수행하여 검증 결과를 가져와야 합니다. 이 정적 분석은 네트워크 관리자 범위의 다양한 리소스 및 정책 구성이 연결 가능성 분석 의도의 지정된 원본과 대상 간의 연결 가능성을 유지하는지 확인합니다. 분석이 완료되면 연결 가능성 분석 결과가 생성됩니다.
연결 가능성 분석 결과는 패킷이 원본에서 연결 가능성 분석 의도의 대상에 도달할 수 있는지 여부를 나타내는 JSON 개체입니다. 연결 경로에 대한 세부 정보를 제공하여 원본과 대상이 연결할 수 없는 경우 트래픽이 차단된 위치를 보여 줍니다. 여기에는 연결 가능성 분석 결과와 관계없이 경로에 있는 리소스 및 해당 메타데이터에 대한 정보가 포함됩니다.
Azure Portal에서는 이 연결 가능성 분석 결과가 시각화되어 연결 가능성 분석 의도에 정의된 연결의 전달 경로를 표시합니다. 검증 도구 작업 영역에 액세스할 수 있는 모든 사용자는 해당 검증 도구 작업 영역 내의 모든 연결 가능성 분석 의도에 대해 연결 가능성 분석을 실행할 수 있습니다.
연결 가능성 분석의 지원되는 기능
실행 시 연결 가능성 분석은 다음 기능을 평가합니다.
- NSG(네트워크 보안 그룹) 규칙
- ASG(애플리케이션 보안 그룹) 규칙
- Azure Virtual Network Manager 보안 관리 규칙
- Azure Virtual Network Manager 메시 토폴로지(연결된 그룹)
- 가상 네트워크 피어링
- 경로 테이블
- 서비스 엔드포인트 및 액세스 제어 목록
- 프라이빗 엔드포인트
- 가상 WAN
이 목록은 확장될 수 있습니다.
제한
Virtual Network 검증 도구 공개 미리 보기의 제한 사항은 다음과 같습니다.
- 연결 가능성 분석은 단일 연결 가능성 분석 의도에 대해서만 실행할 수 있습니다.
- 연결 가능성 분석 의도의 원본 및/또는 대상으로 선택된 서브넷에는 연결 가능성 분석 결과가 제공되기 위해 실행 중인 가상 머신이 하나 이상 있어야 합니다.
- 연결 가능성 분석 결과는 여기에 지원되는 기능으로 나열된 지원되는 Azure 서비스, 리소스 및 정책의 평가를 기반으로 합니다. 위에 명시적으로 나열되지 않은 서비스로 인해 발생하는 실제 트래픽 동작은 연결 가능성 분석 결과와 다를 수 있습니다.