적용 대상: ✔️ Front Door Premium
이 문서에서는 Azure Private Link를 사용하여 Azure Application Gateway에 비공개로 연결하도록 Azure Front Door 프리미엄을 구성하는 단계를 안내합니다.
필수 조건
- 활성 구독이 있는 Azure 계정. 체험 계정을 만듭니다.
Azure Front Door 프리미엄 프로필 및 엔드포인트. 자세한 내용은 Azure Front Door 만들기를 참조하세요.
Azure 애플리케이션 게이트웨이. Application Gateway를 만드는 방법에 대한 자세한 내용은 Azure Portal을 사용하여 Azure Application Gateway를 통해 웹 트래픽 보내기를 참조하세요.
Azure 계정을 사용하여 Azure Portal 에 로그인합니다.
Azure Front Door 프리미엄 프로필 및 엔드포인트. 자세한 내용은 Azure Front Door 만들기를 참조하세요.
Azure 애플리케이션 게이트웨이. Application Gateway를 만드는 방법에 대한 자세한 내용은 Azure PowerShell을 사용하여 Azure Application Gateway를 통해 웹 트래픽 보내기를 참조하세요.
Azure Cloud Shell 또는 Azure PowerShell.
이 문서의 단계에서는 Azure Cloud Shell에서 Azure PowerShell cmdlet을 대화형으로 실행합니다. Cloud Shell에서 cmdlet을 실행하려면 코드 블록의 오른쪽 상단 모서리에 있는 Cloud Shell 열기를 선택합니다. 복사를 선택하여 코드를 복사한 다음, 복사한 코드를 Cloud Shell에 붙여넣어 실행합니다. Cloud Shell은 Azure Portal 내에서도 실행할 수 있습니다.
Azure PowerShell을 로컬로 설치하여 cmdlet을 실행할 수도 있습니다. PowerShell을 로컬로 실행하는 경우 Connect-AzAccount cmdlet을 사용하여 Azure에 로그인합니다.
Azure Front Door Premium의 원본 그룹 프로필입니다. 자세한 내용은 Azure Front Door 만들기를 참조하세요.
Azure 애플리케이션 게이트웨이. Application Gateway를 만드는 방법에 대한 자세한 내용은 Azure CLI를 사용하여 Azure Application Gateway로 직접 웹 트래픽을 참조하세요.
Azure Cloud Shell 또는 Azure CLI.
이 문서의 단계에서는 Azure Cloud Shell에서 대화형으로 Azure CLI 명령을 실행합니다. Cloud Shell에서 명령을 실행하려면 코드 블록의 오른쪽 위 모서리에서 Cloud Shell을 엽니다. 복사를 선택하여 코드를 복사하고 Cloud Shell에 붙여넣어 실행합니다. Cloud Shell은 Azure Portal 내에서도 실행할 수 있습니다.
Azure CLI를 로컬로 설치하여 명령을 실행할 수도 있습니다. Azure CLI를 로컬로 실행하는 경우 az login 명령을 사용하여 Azure에 로그인합니다.
Azure Application Gateway에 대한 프라이빗 연결 사용
Azure Application Gateway Private Link 구성의 지침을 따르되 프라이빗 엔드포인트를 만드는 마지막 단계는 완료하지 마세요.
Application Gateway의 개요 탭으로 이동하여 리소스 그룹 이름, Application Gateway 이름 및 구독 ID를 적어둡니다.
설정에서 Private Link를 선택합니다. 프라이빗 링크 구성 탭의 이름 열 아래에 표시되는 프라이빗 링크 서비스의 이름을 적어둡니다.
이전 단계의 값을 사용하여 프라이빗 링크 서비스의 리소스 ID를 생성합니다. 형식은
subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.Network/privateLinkServices/_e41f87a2_{applicationGatewayName}_{privateLinkResource.Name}입니다. 이 리소스 ID는 Front Door 원본을 구성하는 동안 사용됩니다.
원본 그룹을 만들고 애플리케이션 게이트웨이를 원본으로 추가
Azure Front Door Premium 프로필에서 설정으로 이동하여 원본 그룹을 선택합니다.
추가 시 선택
원본 그룹의 이름을 입력합니다.
선택 + 원본 추가
다음 표를 사용하여 원본에 대한 설정을 구성합니다.
설정 값 이름 이 원본을 식별하는 이름을 입력합니다. 원본 형식 관습 호스트 이름 Application Gateway 수신기의 호스트 이름을 입력합니다. 원본 호스트 헤더 Application Gateway 수신기의 호스트 이름을 입력합니다. HTTP 포트 80(기본값) HTTPS 포트 443(기본값) 우선 순위 기본, 보조 및 백업을 위해 원본에 다른 우선 순위를 할당합니다. 무게 1000(기본값) 가중치를 사용하여 서로 다른 원본 간에 트래픽을 분산합니다. 비공개 링크 프라이빗 링크 서비스 사용 프라이빗 링크 선택 ID 또는 별칭으로 ID/별칭 Application Gateway를 구성하는 동안 가져온 프라이빗 링크 서비스 리소스 ID를 입력합니다. 지역 원본과 일치하거나 가장 가까운 지역을 선택합니다. 요청 메시지 프라이빗 엔드포인트를 승인하는 동안 표시할 사용자 지정 메시지를 입력합니다. 
추가를 선택하여 원본 설정을 저장하세요
추가를 선택하여 원본 그룹 설정을 저장합니다.
프라이빗 엔드포인트 승인
이전 섹션에서 Private Link를 사용하여 구성한 Application Gateway로 이동합니다. 설정에서 프라이빗 링크를 선택합니다.
프라이빗 엔드포인트 연결 탭을 선택합니다.
Azure Front Door Premium에서 보류 중인 프라이빗 엔드포인트 요청을 찾고 승인을 선택합니다.
승인 후 연결 상태가 업데이트됩니다. 연결이 완전히 설정되려면 몇 분 정도 걸릴 수 있습니다. 설정되면 Front Door를 통해 Application Gateway에 액세스할 수 있습니다. 프라이빗 엔드포인트를 사용하도록 설정하면 공용 인터넷에서 Application Gateway에 직접 액세스할 수 없습니다.
Azure Application Gateway에 대한 프라이빗 연결 사용
Azure Application Gateway Private Link 구성의 지침을 따르되 프라이빗 엔드포인트를 만드는 마지막 단계는 완료하지 마세요.
원본 그룹을 만들고 애플리케이션 게이트웨이를 원본으로 추가
New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject를 사용하여 상태 프로브 설정을 저장하기 위한 메모리 내 개체를 만듭니다.
$healthProbeSetting = New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject ` -ProbeIntervalInSecond 60 ` -ProbePath "/" ` -ProbeRequestType GET ` -ProbeProtocol HttpNew-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject를 사용하여 부하 분산 설정을 저장하기 위한 메모리 내 개체를 만듭니다.
$loadBalancingSetting = New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject ` -AdditionalLatencyInMillisecond 50 ` -SampleSize 4 ` -SuccessfulSamplesRequired 3New-AzFrontDoorCdnOriginGroup을 실행하여 애플리케이션 게이트웨이를 포함하는 원본 그룹을 만듭니다.
$origingroup = New-AzFrontDoorCdnOriginGroup ` -OriginGroupName myOriginGroup ` -ProfileName myFrontDoorProfile ` -ResourceGroupName myResourceGroup ` -HealthProbeSetting $healthProbeSetting ` -LoadBalancingSetting $loadBalancingSettingGet-AzApplicationGatewayFrontendIPConfig 명령을 사용하여 Application Gateway의 프런트 엔드 IP 구성 이름을 가져옵니다.
$AppGw = Get-AzApplicationGateway -Name myAppGateway -ResourceGroupName myResourceGroup $FrontEndIPs= Get-AzApplicationGatewayFrontendIPConfig -ApplicationGateway $AppGw $FrontEndIPs.nameNew-AzFrontDoorCdnOrigin 명령을 사용하여 원본 그룹에 애플리케이션 게이트웨이를 추가합니다.
New-AzFrontDoorCdnOrigin ` -OriginGroupName myOriginGroup ` -OriginName myAppGatewayOrigin ` -ProfileName myFrontDoorProfile ` -ResourceGroupName myResourceGroup ` -HostName www.contoso.com ` -HttpPort 80 ` -HttpsPort 443 ` -OriginHostHeader www.contoso.com ` -Priority 1 ` -PrivateLinkId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway ` -SharedPrivateLinkResourceGroupId $FrontEndIPs.name ` -SharedPrivateLinkResourcePrivateLinkLocation CentralUS ` -SharedPrivateLinkResourceRequestMessage 'Azure Front Door private connectivity request' ` -Weight 1000 `참고
SharedPrivateLinkResourceGroupId는 Azure Application Gateway 프런트 엔드 IP 구성의 이름입니다.
프라이빗 엔드포인트 승인
Get-AzPrivateEndpointConnection을 실행하여 승인이 필요한 프라이빗 엔드포인트 연결의 연결 이름을 검색합니다.
Get-AzPrivateEndpointConnection -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgatewaysApprove-AzPrivateEndpointConnection을 실행하여 프라이빗 엔드포인트 연결 세부 정보를 승인합니다. 이전 단계의 출력에서 이름 값을 사용하여 연결을 승인합니다.
Get-AzPrivateEndpointConnection -Name aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc -ResourceGroupName myResourceGroup -ServiceName myAppGateway -PrivateLinkResourceType Microsoft.Network/applicationgateways
Azure Front Door 설정 완료
New-AzFrontDoorCdnRoute 명령을 사용하여 엔드포인트를 원본 그룹에 매핑하는 경로를 만듭니다. 이 경로는 엔드포인트에서 원본 그룹으로 요청을 전달합니다.
# Create a route to map the endpoint to the origin group
$Route = New-AzFrontDoorCdnRoute `
-EndpointName myFrontDoorEndpoint `
-Name myRoute `
-ProfileName myFrontDoorProfile `
-ResourceGroupName myResourceGroup `
-ForwardingProtocol MatchRequest `
-HttpsRedirect Enabled `
-LinkToDefaultDomain Enabled `
-OriginGroupId $origingroup.Id `
-SupportedProtocol Http,Https
최종 단계를 완료하면 이제 Azure Front Door 프로필이 완전히 작동합니다.
Azure Application Gateway에 대한 프라이빗 연결 사용
Azure Application Gateway Private Link 구성의 단계를 따르되 프라이빗 엔드포인트를 만드는 마지막 단계는 건너뜁니다.
원본 그룹을 만들고 애플리케이션 게이트웨이를 원본으로 추가
az afd origin-group create를 실행하여 원본 그룹을 만듭니다.
az afd origin-group create \ --resource-group myResourceGroup \ --origin-group-name myOriginGroup \ --profile-name myFrontDoorProfile \ --probe-request-type GET \ --probe-protocol Http \ --probe-interval-in-seconds 60 \ --probe-path / \ --sample-size 4 \ --successful-samples-required 3 \ --additional-latency-in-milliseconds 50az network application-gateway frontend-ip list를 실행하여 Application Gateway의 프런트 엔드 IP 구성 이름을 가져옵니다.
az network application-gateway frontend-ip list --gateway-name myAppGateway --resource-group myResourceGroupaz afd origin create를 실행하여 애플리케이션 게이트웨이를 원본 그룹에 원본으로 추가합니다.
az afd origin create \ --enabled-state Enabled \ --resource-group myResourceGroup \ --origin-group-name myOriginGroup \ --origin-name myAppGatewayOrigin \ --profile-name myFrontDoorProfile \ --host-name www.contoso.com \ --origin-host-header www.contoso.com \ --http-port 80 \ --https-port 443 \ --priority 1 \ --weight 500 \ --enable-private-link true \ --private-link-___location centralus \ --private-link-request-message 'Azure Front Door private connectivity request.' \ --private-link-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myRGAG/providers/Microsoft.Network/applicationGateways/myAppGateway \ --private-link-sub-resource-type myAppGatewayFrontendIPName참고
private-link-sub-resource-type은 Azure Application Gateway 프런트 엔드 IP 구성의 이름입니다.
프라이빗 엔드포인트 연결 승인
az network private-endpoint-connection list를 실행하여 승인이 필요한 프라이빗 엔드포인트 연결의 id를 가져옵니다.
az network private-endpoint-connection list --name myAppGateway --resource-group myResourceGroup --type Microsoft.Network/applicationgatewaysaz network private-endpoint-connection approve를 실행하여 이전 단계의 id를 사용하여 프라이빗 엔드포인트 연결을 승인합니다.
az network private-endpoint-connection approve --id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationGateways/myAppGateway/privateEndpointConnections/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.bbbbbbbb-1111-2222-3333-cccccccccccc
Azure Front Door 설정 완료
az afd route create를 실행하여 엔드포인트를 원본 그룹에 매핑하는 경로를 만듭니다. 이 경로는 엔드포인트에서 원본 그룹으로 요청을 전달합니다.
az afd route create \
--resource-group myResourceGroup \
--profile-name myFrontDoorProfile \
--endpoint-name myFrontDoorEndpoint \
--forwarding-protocol MatchRequest \
--route-name myRoute \
--https-redirect Enabled \
--origin-group myOriginGroup \
--supported-protocols Http Https \
--link-to-default-___domain Enabled
최종 단계를 완료하면 이제 Azure Front Door 프로필이 완전히 작동합니다.
피해야 할 일반적인 실수
다음은 Azure Private Link가 활성화된 Azure Application Gateway 원본을 구성할 때 흔히 하는 실수입니다.
Azure Application Gateway에서 Azure Private Link를 구성하기 전에 Azure Front Door 원본을 구성하는 것.
원본 형식을 '사용자 지정' 대신 'Application Gateway'로 사용하여 원본을 구성합니다. 원본 유형을 'Application Gateway'로 선택하면 원본 호스트 이름이 Application Gateway의 IP 주소로 자동 채워집니다. 이로 인해 'CertificateNameValidation' 오류가 발생할 수 있습니다. 인증서 주체 이름 유효성 검사를 사용하지 않도록 설정하여 공용 원본에서 이 문제를 방지할 수 있습니다. 그러나 프라이빗 링크 사용 원본의 경우 인증서 주체 이름 유효성 검사는 필수입니다.
Azure Private Link를 사용하여 Azure Application Gateway 원본을 퍼블릭 원본이 포함된 기존 원본 그룹에 추가하는 것. Azure Front Door는 동일한 원본 그룹에서 퍼블릭 및 프라이빗 원본을 혼합하는 것을 허용하지 않습니다.
- 잘못된 Azure Application Gateway 프런트엔드 IP 구성 이름을
SharedPrivateLinkResourceGroupId의 값으로 제공하는 것.
- 잘못된 Azure Application Gateway 프런트엔드 IP 구성 이름을
private-link-sub-resource-type의 값으로 제공하는 것.