Azure NSG

 

ASG는 다뤄본 적이 없기 때문에 오늘은 NSG 에 대해 (내가) 기억해야 할 내용들만 간단히 정리할 예정이다. 

 

0. 

5-tuple: Source, Source Port, Destination, Destination port, Protocol 을 기반으로 동작한다.

(즉, NSG는 도메인을 모른다) 

 

 

1.

애저 리소스들에 매핑되기 때문에 애저에서 제공되는 서비스들을 다루게 되는 경우가 아주 많은데, 

그렇기 때문에 서비스 태그들을 알아두는 것이 도움이 된다. 

 

https://learn.microsoft.com/azure/virtual-network/service-tags-overview

 

가장 많이 사용하는 것은 아래와 같다. 

 

VirtualNetwork, Internet ........ ## VirtualNetwork 서비스태그에 대해 지겹도록 이야기하게 되는 것 중 하나는.. Peering을 통해 연결된 대상까지 모두 포함한다는 점이다. 허브-스포크 방식에서 허브와 vnet peering 되어 있다면 허브가 가지고 있는 (다른 스포크들 포함) 친구들까지 모두 해당 태그 범주에 들어온다. 즉, 디폴트 규칙인 65000 Vnet <-> Vnet 허용 정책만으로도 그 친구들은 다 통과한다는 것이다.

 

GatewayManager ## Application gateway 전용 배포 트래픽이라고 하는데, Appgw subnet nsg에 인바운드 허용해야만 Appgw 생성이 가능하다 

 

AzureFrontDoor.FirstParty  ##  Windows VM 업데이트, 양방향

AzureUpdateDelivery ##  Windows VM 업데이트 

 

AzureResourceManager  ## Azure cli 사용 시 명령어 입력

AzureActiveDirectory  ## Azure cli 사용 시 az login 

 

 

 

2.

두 번째로.... 

 

Whitelist 방식을 차용하는 경우.. 규칙 추가를 할 일이 너무 잦아서 CLI로 배포하는 것이 훨씬 편하다.다른 내용은 MS 문서를 참고하면 되는데 (az network nsg rule | Microsoft Learn)prefixes, ranges 와 같은 여러 개의 인자를 허용하는 변수의 경우 구분자는 공백으로 두어야 한다.. ',' 으로 두면 배포 실패..priority 설정 규칙만 나름대로 정해서 가면  될 것 같다는 생각이다. (100~4096, 전략적으로 짜면 좋겠다) 

 

az network nsg rule create --name
                           --nsg-name
                           --priority
                           --resource-group
                           [--access {Allow, Deny}]
                           [--description]
                           [--destination-address-prefixes]
                           [--destination-port-ranges]
                           [--direction {Inbound, Outbound}]
                           [--protocol {*, Ah, Esp, Icmp, Tcp, Udp}]
                           [--source-address-prefixes]
                           [--source-port-ranges]