App Service Environment에 대한 사용자 지정 구성 설정
개요
App Service Environment는 단일 고객에게 격리되므로 App Service Environment에만 적용할 수 있는 특정 구성 설정이 있습니다. 이 문서에서는 App Service Environment에 사용 가능한 다양한 App Service Environment 관련 사용자 지정 항목을 설명합니다.
참고 항목
이 문서에서는 App Service 격리 v2 계획과 함께 사용되는 App Service Environment v3의 기능, 이점 및 사용 사례에 대해 설명합니다.
App Service Environment가 없는 경우 App Service Environment v3를 만드는 방법을 참조하세요.
새 clusterSettings 특성의 배열을 사용하여 App Service Environment 사용자 지정을 저장할 수 있습니다. 이 특성은 hostingEnvironments Azure Resource Manager 엔터티의 "속성" 사전에 있습니다.
다음 약식 리소스 관리자 템플릿 코드 조각에는 clusterSettings 특성이 표시됩니다.
"resources": [
{
"apiVersion": "2021-03-01",
"type": "Microsoft.Web/hostingEnvironments",
"name": ...,
"location": ...,
"properties": {
"clusterSettings": [
{
"name": "nameOfCustomSetting",
"value": "valueOfCustomSetting"
}
],
"internalLoadBalancingMode": ...,
etc...
}
}
clusterSettings 특성을 리소스 관리자 템플릿에 포함하여 App Service Environment를 업데이트할 수 있습니다.
Azure 리소스 탐색기를 사용하여 App Service Environment 업데이트
또는 Azure 리소스 탐색기를 사용하여 App Service Environment를 업데이트할 수 있습니다.
- 리소스 탐색기에서 App Service Environment에 대한 노드(subscriptions>{your Subscription}>resourceGroups>{your Resource Group}>providers>Microsoft.Web>hostingEnvironments)로 이동합니다. 그런 다음 업데이트하려는 특정 App Service Environment를 클릭합니다.
- 오른쪽 창의 위쪽 도구 모음에서 읽기/쓰기 를 클릭하여 리소스 탐색기에서 대화형 편집을 허용합니다.
- 파란색 편집 단추를 클릭하여 리소스 관리자 템플릿을 편집 가능하도록 설정합니다.
- 오른쪽 창의 아래쪽으로 스크롤합니다. clusterSettings 특성은 거의 맨 아래쪽에 있습니다. 여기에서 해당 값을 입력하거나 업데이트할 수 있습니다.
- clusterSettings 특성에서 원하는 구성 값 배열을 입력하거나 복사하여 붙여넣습니다.
- 오른쪽 창의 위쪽에 있는 녹색 PUT 단추를 클릭하여 App Service Environment에 대한 변경 내용을 커밋합니다.
그러나 변경 내용을 제출하면 변경 내용이 즉시 적용되지 않으며 변경 내용이 완전히 적용되는 데 최대 24시간이 걸릴 수 있습니다. 일부 설정에는 특정 설정을 구성하는 시간과 영향에 대한 특정 세부 정보가 있습니다.
내부 암호화 사용
App Service Environment는 시스템 내에서 내부 구성 요소나 통신을 볼 수 없는 블랙 박스 시스템으로 작동합니다. 높은 처리량을 활성화하기 위해 내부 구성 요소 사이에는 기본적으로 암호화가 사용되지 않습니다. 시스템은 트래픽을 모니터링하거나 액세스하는 데 액세스할 수 없기 때문에 보안이 유지됩니다. 엔드투엔드에서 데이터 경로를 완벽하게 암호화해야 하는 규정 준수 요구 사항이 있는 경우에는 clusterSetting을 사용하여 전체 데이터 경로의 암호화를 사용하도록 설정하는 방법이 있습니다.
"clusterSettings": [
{
"name": "InternalEncryption",
"value": "true"
}
],
InternalEncryption을 true로 설정하면 프런트 엔드와 작업자 간에 App Service Environment의 내부 네트워크 트래픽이 암호화되고 페이지 파일이 암호화되며 작업자 디스크도 암호화됩니다. InternalEncryption clusterSetting을 활성화하면 시스템 성능에 영향을 줄 수 있습니다. InternalEncryption을 사용하도록 변경하면 변경 내용이 완전히 전파될 때까지 App Service Environment가 불안정한 상태가 됩니다. Azure App Service Environment에 있는 인스턴스의 수에 따라 변경 내용의 전체 전파를 완료하는 데 몇 시간이 걸릴 수 있습니다. 사용 중인 App Service Environment에서 InternalEncryption을 사용하지 않는 것이 좋습니다. 현재 사용 중인 App Service Environment에서 InternalEncryption을 사용하도록 설정해야 하는 경우 작업이 완료될 때까지 백업 환경으로 트래픽을 전환하는 것이 좋습니다.
TLS 1.0 및 TLS 1.1 사용 안 함
앱 단위로 TLS 설정을 관리하려는 경우 TLS 설정 적용 설명서와 함께 제공되는 지침을 사용할 수 있습니다.
App Service Environment의 모든 앱에 대해 인바운드 TLS 1.0 및 TLS 1.1 트래픽을 모두 사용 안 함으로 설정하려면 다음 clusterSettings 항목을 설정할 수 있습니다.
"clusterSettings": [
{
"name": "DisableTls1.0",
"value": "1"
}
],
설정 이름에는 1.0이 표시되지만 구성되면 TLS 1.0 및 TLS 1.1이 모두 사용되지 않습니다.
TLS 암호화 그룹 순서 변경
App Service Environment는 기본값에서 암호화 그룹 변경을 지원합니다. 기본 암호화 세트는 다중 테넌트 서비스에서 사용되는 것과 동일한 세트입니다. 암호 그룹을 변경하면 전체 App Service 배포에 영향을 주므로 단일 테넌트 App Service Environment에서만 이 작업을 수행할 수 있습니다. App Service Environment에는 두 가지 암호화 그룹(TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 및 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256.)이 필요합니다. 가장 강력하고 최소의 암호화 그룹 세트를 사용하여 Azure App Service Environment를 작동하려면 두 개의 필수 암호화만 사용합니다. 필요한 암호화만 사용하도록 App Service Environment를 구성하려면 아래와 같이 clusterSettings를 수정합니다.
"clusterSettings": [
{
"name": "FrontEndSSLCipherSuiteOrder",
"value": "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
}
],
Warning
암호화 그룹에 대해 SChannel에서 이해할 수 없는 잘못된 값이 설정된 경우 서버에 대한 모든 TLS 통신의 작동이 중지될 수 있습니다. 이러한 경우 clusterSettings 에서 FrontEndSSLCipherSuiteOrder 항목을 제거하고 업데이트된 Resource Manager 템플릿을 제출하여 기본 암호화 제품군 설정으로 되돌려야 합니다. 이 기능을 주의하여 사용하세요.
시작하기
Azure 빠른 시작 Resource Manager 템플릿 사이트에는 App Service Environment 만들기에 대한 기본 정의에 템플릿이 포함되어 있습니다.