NHN Bastion을 이용해 NHN Cloud의 인스턴스에 대한 접근을 제어할 수 있습니다. 이 문서에서는 NHN Cloud 콘솔에서 NHN Bastion을 생성하고 접근이 필요한 인스턴스에 연결하는 방법과 사용자 및 정책, 자원, 이력을 관리하는 방법을 설명합니다.
[참고] * 최초로 생성된 웹 터미널은 서비스 비활성화 시까지 스펙을 변경하거나 삭제할 수 없습니다. * 인터넷 게이트웨이가 연결된 VPC에 한하여 플로팅 IP를 연결할 수 있습니다. * 웹 터미널에서 접속 대상과의 SSH 통신을 허용해야 접속 대상에 접근할 수 있습니다. (예: Security Groups 등) * 로그 암호화 대상: 사용자 ID, 이메일, 명령어
[주의] * Secure Key Manager 서비스에서 로그 암호화에 설정한 대칭 키를 회전하는 경우, 이전 버전의 키를 즉시 삭제하지 않도록 주의가 필요합니다. * Secure Key Manager 서비스에서 로그 암호화에 설정한 대칭 키를 삭제하면 암호화된 로그를 복호화할 수 없습니다. 대칭 키를 실수로 삭제하지 않도록 주의하여 관리해야 합니다.
정책 관리에서 사용자에게 접근이 허용된 인스턴스 목록만 표시되며 접근이 허용된 인스턴스에 접근할 수 있습니다.
[주의] * 인스턴스와 SSH 통신이 가능한 웹 터미널을 선택해야 합니다. * 비밀번호 인증은 운영체제에서 비밀번호 접근이 가능하도록 설정해야 합니다. * 임시 SSH 키 인증은 스크립트를 복사한 웹 터미널을 통해서만 접근할 수 있습니다.
NHN Bastion 서비스에 권한이 있는 사용자 목록을 확인하고 사용자 그룹을 생성 및 관리할 수 있습니다.
NHN Bastion 서비스 이용 권한을 가진 사용자 목록입니다. 사용자의 권한 및 마지막으로 인스턴스에 접근한 일시를 확인할 수 있습니다.
사용자 그룹을 생성 및 관리할 수 있으며, 생성한 그룹은 정책 관리 탭에서 접근 주체로 등록할 수 있습니다.
연결 대상에 등록된 인스턴스를 대상으로 접근 통제 정책 및 명령어 통제 정책을 설정할 수 있습니다. 각 정책에는 우선순위가 있으며 우선순위가 높은 순서대로 정책이 적용됩니다.
[예시]
아래의 [표]와 같이 정책이 적용되어 있는 경우,
* user A는 Instance A 접근 가능, shutdown
명령어만 사용 불가, 그 외 명령어 사용 가능
* user A는 Instance B 접근 가능, cd
명령어만 사용 가능, 그 외 명령어 사용 불가
* user B는 Instance A 접근 가능, reboot
명령어만 사용 불가, 그 외 명령어 사용 가능
* user B는 Instance B 접근 불가
우선순위 | 사용자 | 접근 대상 | 명령어 정책 |
---|---|---|---|
#1 | user A | Instance A | [금지] shutdown |
#2 | user A | Instance A, Instance B | [허용] cd |
#3 | user B | Instance A | [금지] reboot |
[주의] 아래의 명령어에 대해서는 명령어 정책 등록 유무와 관계없이 모두 차단됩니다. * 우회 차단 명령어: SSH, TELNET, SFTP, RCP, SCP, FTP, RSAP, RLOGIN 등
정책의 우선순위를 변경할 수 있습니다. 1. 선택한 정책의 순서를 원하는 우선순위로 변경하고, 수정을 클릭합니다. 2. 순서 변경 후에서 수정한 우선순위의 미리 보기를 확인합니다. 미리 보기는 수정한 정책을 기준으로 앞, 뒤 순서의 정책이 함께 표시됩니다. 3. 저장을 클릭하여 정책의 우선순위를 변경합니다.
제공되는 템플릿을 이용하여 정책을 일괄 등록할 수 있으며, 생성되어 있는 정책을 다운로드하여 백업할 수 있습니다. * 일괄 등록: 템플릿을 이용하여 정책을 일괄적으로 업로드 제공 * 정책 일괄 다운로드: 현재 적용되어 있는 정책 목록의 다운로드 제공
자원 관리 > 인스턴스 관리 탭에서는 프로젝트 내에 등록되어 있는 인스턴스를 연결 대상으로 추가할 수 있습니다. 등록된 인스턴스를 대상으로 접근 통제 정책 및 명령어 통제 정책 기능을 제공합니다.
전체 삭제: 등록된 모든 인스턴스를 연결 대상에서 삭제할 수 있습니다.
연결 설정
외부 자원
등록: 레거시 환경의 서버나 타 프로젝트의 인스턴스 등을 수동으로 등록할 수 있습니다.
일괄 등록: 외부 자원을 템플릿을 이용하여 일괄 등록할 수 있습니다.
[주의] 등록된 외부 자원에 대해서는 IP를 기준으로 웹 터미널에서 SSH 통신을 시도합니다. 웹 터미널에서 목적지 서버까지 통신이 가능한 환경에서만 서비스를 이용할 수 있습니다.
[주의] 인스턴스 생성 또는 삭제에 대한 변경 사항은 최대 5분이 지난 뒤 반영될 수 있습니다.
자원 관리 > 웹 터미널 관리에서 인스턴스 접근에 필요한 터미널과 배스천을 제공하는 웹 터미널 인스턴스를 생성/관리할 수 있습니다.
[주의] 서비스 활성화 시 최초로 생성된 웹 터미널은 삭제할 수 없습니다. 삭제하려면 서비스를 비활성화해야 합니다.
플로팅 IP
* 웹 터미널의 플로팅 IP 사용 여부를 설정할 수 있습니다. * Network Firewall 서비스를 이용하는 고객이 DNAT 기능을 이용하여 웹 터미널에 퍼블릭 IP를 할당하는 경우 리다이렉션 기능을 사용으로 설정하여 웹 터미널의 퍼블릭 IP를 입력할 수 있습니다. * 사내 DNS를 이용하는 고객은 리다이렉션 기능을 사용으로 설정하여 웹 터미널의 도메인 주소를 입력할 수 있습니다.
IP 접근 제어
[참고] IP 접근 제어는 화이트리스트 방식으로 제공됩니다.
정적 라우팅 갱신
서브넷에 적용된 정적 라우팅 정책을 웹 터미널에 적용합니다.
스크립트
* 임시 SSH 키를 이용한 접근 방식을 이용하기 위하여 대상 인스턴스에서 실행해야 하는 스크립트를 제공합니다.
[주의] * 임시 SSH 키 접근 방식은 선택한 웹 터미널에서만 적용되며, 다른 경로를 통해 접근할 때에는 제공되지 않습니다. * 웹 터미널의 IP 접근 제어에 접속 대상 인스턴스 IP가 추가되어 있어야 합니다. * 접속 대상 인스턴스의 Security Groups에서 웹 터미널 IP로 443 포트 아웃바운드 정책이 추가되어 있어야 합니다.
자원 관리 > 자원 그룹 탭에서는 연결 대상에 등록되어 있는 인스턴스 그룹을 생성 및 관리할 수 있습니다.
* + 그룹 생성: 연결 대상에 등록되어 있는 인스턴스를 추가하거나 삭제하여 그룹을 생성할 수 있습니다. * 복사: 자원 그룹을 선택해 복사할 수 있습니다. * 수정: 자원 그룹을 수정할 수 있습니다. * 삭제: 자원 그룹을 선택해 삭제할 수 있습니다.
NHN Bastion 서비스를 이용해 인스턴스에 접근한 이력을 관리할 수 있습니다. 로그 조회 기간은 최대 일주일까지 설정할 수 있습니다. 이력은 최대 6개월간 보관되며, 6개월 이상 보관이 필요할 경우 환경 설정 > 로그 관리에서 Object Storage에 백업할 수 있습니다.
실시간으로 인스턴스와 연결되어 있는 세션을 확인할 수 있으며, 연결을 차단할 수 있습니다.
사용자가 인스턴스에 접근한 이력을 확인할 수 있으며, 검색 조건과 접속 시간을 이용하여 원하는 이력을 조회할 수 있습니다.
사용자가 사용한 명령어를 확인할 수 있으며, 검색 조건과 접속 시간을 이용하여 원하는 명령어 사용 이력을 조회할 수 있습니다.
사용자가 인스턴스에 파일 업로드/다운로드한 이력을 확인할 수 있으며, 검색 조건과 접속 시간을 이용하여 원하는 이력을 조회할 수 있습니다.
인스턴스 접근 시에 웹 터미널에서 제공하는 세션 타임아웃 시간을 설정할 수 있습니다.
[참고] 웹 터미널에서 제공하는 세션 타임아웃 설정이므로, 운영체제에서 설정한 세션 타임아웃과는 별개로 동작합니다.
사용자가 동시에 연결할 수 있는 최대 세션 수를 설정할 수 있습니다.
NHN Bastion 서비스에서 제공하는 로그를 고객의 Object Storage에 백업할 수 있습니다.
[참고] 로그 암호화 사용 시 로그는 복호화하여 Object Storage에 백업됩니다. 백업을 설정한 시점의 로그부터 Object Storage에 백업됩니다. 이전에 저장된 로그는 백업되지 않습니다.
[주의] 최초 생성된 웹 터미널이 위치한 VPC에 인터넷 게이트웨이가 없는 경우에는 다른 리전의 Object Storage 백업이 지원되지 않습니다.
인스턴스 접근에 사용되는 SSH 포트를 지정할 수 있습니다.
[참고] 웹 터미널에서 접근 대상 인스턴스로 연결할 때 이용하는 포트로, 운영체제에서 설정한 SSH 포트로 설정해야 합니다.
암호화 활성화 여부와 적용된 대칭 키 ID를 확인할 수 있습니다. Secure Key Manager에서 키 회전을 수행한 경우 키 회전 버튼을 통해 이전 버전의 키를 최신 버전으로 업데이트할 수 있습니다.
[주의] Secure Key Manager에서 키 회전 수행 후 NHN Bastion 서비스에서 키를 업데이트하지 않을 경우 로그 조회에 오류가 발생할 수 있습니다.
NHN Bastion 서비스에서 생성된 모든 자원을 삭제합니다.
[주의] NHN Bastion 서비스 이용 중 생성된 데이터와 서비스 내의 모든 리소스가 삭제되며, 한번 삭제된 정보는 복구할 수 없습니다.
브라우저 기반의 웹 터미널을 제공하며, 파일 업로드/다운로드 기능을 제공합니다.
[참고] 로컬에서 복사한 내용을 원격 서버에 붙여 넣기 위해 브라우저에서 클립보드에 저장된 텍스트 또는 이미지를 확인할 수 있는 권한을 허용해야 합니다.
우측 화살표 버튼을 클릭해 파일 내비게이터를 실행할 수 있습니다. 파일 내비게이터를 통하여 원하는 경로의 파일을 업로드하거나 다운로드할 수 있습니다. 우측 화살표 버튼을 클릭해 글꼴 크기를 조절할 수 있습니다.
[참고] 최초 접속한 운영체제 계정의 권한을 기준으로 파일 전송이 가능하며, su 명령어를 통한 계정 변경은 반영되지 않습니다. 드래그 앤 드롭으로 파일을 업로드하는 경우 현재 디렉터리 경로와 관계없이 홈 디렉터리에 저장됩니다.