성태의 닷넷 이야기
홈 주인
모아 놓은 자료
프로그래밍
질문/답변
사용자 관리
사용자
메뉴
아티클
외부 아티클
유용한 코드
온라인 기능
MathJax 입력기
최근 덧글
[정성태] 저렇게 조각 코드 말고, 실제로 재현이 되는 예제 프로젝트를 압...
[정성태] Modules 창(Ctrl+Shift+U)을 띄워서, 해당 Op...
[정성태] 만드실 수 있습니다. 단지, Unity 엔진 내의 스크립트와 W...
[공진영] 안녕하세요 좋은글 감사합니다. 현재 제가 wpf로 관제 모...
[정성태] The Windows Registry Adventure #1: ...
[정성태] systemd for Developers I ; https:/...
[정성태] 엄밀히 object 타입의 인스턴스가 다른 타입으로 형변환 가능...
[정성태] 아래의 글에서 나오는 "Windows Application Pa...
[정성태] The history of calling conventions,...
[정성태] Secure and Deploy .NET Windows Form...
글쓰기
제목
이름
암호
전자우편
HTML
홈페이지
유형
제니퍼 .NET
닷넷
COM 개체 관련
스크립트
VC++
VS.NET IDE
Windows
Team Foundation Server
디버깅 기술
오류 유형
개발 환경 구성
웹
기타
Linux
Java
DDK
Math
Phone
Graphics
사물인터넷
부모글 보이기/감추기
내용
<div style='display: inline'> <h1 style='font-family: Malgun Gothic, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>Azure VM의 서비스를 Azure Web App Service에서만 접근하도록 NSG 설정을 제한하는 방법</h1> <p> NSG(Network Security Group)에 특정 포트를 여는 경우, 가능한 접속을 하는 측의 대역을 제한하는 것이 좋습니다. 왜냐하면, RDP 서비스의 경우에도 예전에 썼던 글처럼,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > Azure VM의 RDP 접속 위치 제한 ; <a target='tab' href='https://www.sysnet.pe.kr/2/0/12322'>https://www.sysnet.pe.kr/2/0/12322</a> </pre> <br /> NSG에서 다음과 같이 설정해 포트를 열면,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > Source: Any Source port ranges: * Destination: Any Service: RDP Action: Allow </pre> <br /> 이후, <a target='tab' href='https://www.sysnet.pe.kr/2/0/12322'>엄청난 해킹 시도를 하는 것을 이벤트 뷰어를 통해 확인</a>할 수 있습니다. 마찬가지로 Azure VM에 띄워놓은 서비스(예를 들어 SQL Server)를 NSG 설정으로 Any 접근을 허용해 두면,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > <span style='color: blue; font-weight: bold'>Source: Any</span> Source port ranges: * Destination: Any Service: MS SQL Action: Allow </pre> <br /> 이후 무수한 해킹 시도를 경험할 수 있습니다. ^^; 따라서 이것도 가능한 제약을 하는 것이 좋은데요, 물론 IP를 특정할 수 있으면 좋겠지만 일부 환경에서는 그게 안 됩니다. 일례로 같은 Azure에서 호스팅하는 Azure Web App Service에서 VM이 제공하는 서비스를 접속하고 싶다면, App Service 측의 IP가 공개돼 있지 않기 때문에 제약을 걸 수 없습니다.<br /> <br /> 따라서 이런 경우에는 Source의 제약을 "IP Addresses"가 아닌 "Service Tag"로 설정하는 것이 좋습니다. 그리고, 그 대상을 Web App Service로 제한하고 싶다면 "AzureCloud"로 두면 됩니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > <span style='color: blue; font-weight: bold'>Source: Service Tag Source service tag: AzureCloud</span> Source port ranges: * Destination: Any Service: MS SQL Action: Allow </pre> <br /> 여기서 한 가지 직관적이지 않은 것이 있는데, Service Tag의 목록에 보면 "AppService"도 있는데요, 사실 Azure Web App Service가 그 유형일 텐데 그걸로 설정하면 통신이 되지 않습니다. (혹시 AppService 태그가 어느 유형을 대표하는지 아시는 분은 덧글 부탁드립니다. ^^)<br /> <br /> <hr style='width: 50%' /><br /> <br /> 그나저나 Azure Web App에서 외부로의 통신이 안 되는 경우 이를 진단할 수 있는 방법을 살펴볼까요? ^^ 이를 위해 우선 (가령 SQL Server를 호스팅하고 있는) 서버와 통신이 되나 확인해야 하는데, 아쉽게도 이 과정에서 전통적인 ping을 사용할 수는 없습니다. 왜냐하면, Web App Service의 메뉴에서 제공하는 "Console" 환경은 ping뿐만 아니라 기타 거의 모든 네트워크 관련 프로그램들이 동작하지 않기 때문입니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > D:\home\site\wwwroot> <span style='color: blue; font-weight: bold'>ping testvm.koreacentral.cloudapp.azure.com</span> Unable to contact IP driver. General failure. D:\home\site\wwwroot> <span style='color: blue; font-weight: bold'>ipconfig</span> Access is denied. D:\home\site\wwwroot> <span style='color: blue; font-weight: bold'>netstat</span> Access is denied. </pre> <br /> 대신 App service의 Console은 tcpping이라는 도구를 제공합니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > How to ping from an Azure App service with TCPPING ; <a target='tab' href='https://www.code4it.dev/blog/tcpping-azure-portal'>https://www.code4it.dev/blog/tcpping-azure-portal</a> </pre> <br /> 하지만 말이 tcpping일 뿐, 기존에 telnet으로 대상 서버의 주소와 포트를 명시해 접근하는 것을 단순화한 도구라면 보면 됩니다. 따라서 <a target='tab' href='https://www.sysnet.pe.kr/2/0/12703'>대상 VM의 ICMP 포트를 열 필요</a>는 없고, 대상 서비스의 포트가 열려 있어야 합니다. 기본적으로는 포트 명시가 없으면 80 포트를 가정하므로,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > D:\home\site\wwwroot> <span style='color: blue; font-weight: bold'>tcpping testvm.koreacentral.cloudapp.azure.com</span> Connected to testvm.koreacentral.cloudapp.azure.com:80, time taken: 139ms Connected to testvm.koreacentral.cloudapp.azure.com:80, time taken: <1ms Connected to testvm.koreacentral.cloudapp.azure.com:80, time taken: <1ms Connected to testvm.koreacentral.cloudapp.azure.com:80, time taken: <1ms Complete: 4/4 successful attempts (100%). Average success time: 34.75ms </pre> <br /> 위의 경우는 웹 서버를 대상으로 결과가 나온 것입니다. 그렇다면 SQL Server가 접근 가능한지 알려면 1433 포트를 지정하면 되는데,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > D:\home\site\wwwroot> <span style='color: blue; font-weight: bold'>tcpping testvm.koreacentral.cloudapp.azure.com:1433</span> Connection attempt failed: Connection timed out. Connection attempt failed: Connection timed out. Connection attempt failed: Connection timed out. Connection attempt failed: Connection timed out. Complete: 0/4 successful attempts (0%). Average success time: 0ms </pre> <br /> 열려 있지 않군요. ^^ 이제부터 방화벽 설정과의 싸움을 시작하시면 됩니다.<br /> <br /> <hr style='width: 50%' /><br /> <br /> 혹시나 Azure Web App Servvice가 사용하는 공용 IP를 알고 싶을까요? 그걸 알고 싶다면 AppService의 공용 DNS로 외부에서 ping을 해보면 됩니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > C:\temp> <span style='color: blue; font-weight: bold'>ping testvm.azurewebsites.net</span> Pinging waws-prod-se1-001.cloudapp.net [<span style='color: blue; font-weight: bold'>52.231.32.120</span>] with 32 bytes of data: Request timed out. Request timed out. Request timed out. Request timed out. Ping statistics for 52.231.32.120: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), </pre> <br /> ping 동작은 안 되도 저렇게 공용 IP는 출력을 해줍니다. 이 IP 주소를 NSG의 Source 측에 해제를 위한 설정값으로 써도 되지만, 몇 번 하다 보면 IP가 바뀌는 것을 볼 수 있는데요, 그래서 굳이 (당연히 임시로) 지정해야 한다면 52.231.32.0/24와 같은 식으로 열어야 합니다.<br /> <br /> 참고로, Azure Web App Service의 Consoole에도 curl 도구를 제공하기 때문에 공용 IP를 알려주는 서비스를 사용해 볼 수도 있겠지만,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > D:\home\site\wwwroot> <span style='color: blue; font-weight: bold'>curl https://api.ipify.org?format=json</span> % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0 0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0 100 22 100 22 0 0 26 0 --:--:-- --:--:-- --:--:-- 27 </pre> <br /> 보다시피 응답을 출력해 주지 않습니다. 대신, "Advanced Tools"로 들어가 "Kudu" 서비스에서 제공하는 "Debug Console"에서는 다음과 같은 식으로 응답을 제공합니다. (도대체가 일관성이 없군요. ^^;)<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > D:\home>curl https://api.ipify.org?format=json % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 22 100 22 0 0 25 0 --:--:-- --:--:-- --:--:-- 26<span style='color: blue; font-weight: bold'>{"ip":"52.231.32.121"}</span> </pre> </p><br /> <br /><hr /><span style='color: Maroon'>[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]</span> </div>
첨부파일
스팸 방지용 인증 번호
2811
(왼쪽의 숫자를 입력해야 합니다.)