Azure Container Apps의 기밀 컴퓨팅

Azure Container Apps 기밀 컴퓨팅은 데이터가 처리되는 동안 컨테이너화된 워크로드를 보호하는 데 도움이 됩니다. 이 문서에서는 기밀 컴퓨팅을 사용하는 시기, 전용 워크로드 프로필에서 작동하는 방법, 컨테이너 앱에 사용하도록 설정하는 방법 및 앱이 기밀 컴퓨팅 인프라에서 실행되는지 확인하는 방법을 알아봅니다.

Important

기밀 컴퓨팅은 현재 미리 보기로 제공되며 특정 지역 및 워크로드 프로필 구성에서만 지원됩니다.

Azure Container Apps에서의 기밀 컴퓨팅 이점

기밀 컴퓨팅은 데이터가 처리되는 동안 이를 보호함으로써 Azure의 미사용 데이터 암호화 및 전송 중 암호화를 보완합니다. 기밀 컴퓨팅 워크로드 프로필에서 워크로드를 실행하면 다음을 얻을 수 있습니다.

• TEE(신뢰할 수 있는 실행 환경)를 사용하여 하드웨어 기반 격리
• 워크로드가 실행되는 동안 메모리의 데이터 암호화
• 인프라 운영자의 액세스를 포함하여 사용 중인 데이터에 대한 무단 액세스로부터 보호합니다.

Azure 플랫폼 및 기본 기밀 VM 인프라는 이러한 보증을 제공하고 적용합니다. 자세한 내용은 Azure 기밀 컴퓨팅 참조하세요.

기밀 컴퓨팅을 사용하는 경우

다음과 같은 경우 Azure Container Apps 기밀 컴퓨팅을 사용합니다.

• 워크로드가 매우 중요하거나 규제된 데이터를 처리합니다.
• 처리되는 동안 데이터를 보호하는 것이 요구 사항입니다.
• 인프라를 관리하거나 애플리케이션 코드를 수정하지 않고 기밀 컴퓨팅의 보안 이점을 원합니다.

기밀 컴퓨팅 작동 방식

개별 컨테이너 앱 또는 수정 버전 수준이 아닌 워크로드 프로필 수준에서 기밀 컴퓨팅을 사용하도록 설정합니다. DC 시리즈 전용 워크로드 프로필을 환경에 추가하면 해당 프로필에 할당된 모든 컨테이너 앱은 기밀 VM SKU에서 지원되는 기밀 컴퓨팅 인프라에서 자동으로 실행됩니다.

앱별 또는 컨테이너별 설정을 구성할 필요가 없습니다. 기밀이 아닌 워크로드와 동일한 이미지, 도구 및 워크플로를 사용하여 컨테이너 앱을 배포합니다. 특별한 컨테이너 런타임 구성 또는 SDK가 필요하지 않습니다.

사전 요구 사항

기밀 컴퓨팅을 사용하도록 설정하기 전에 다음 항목이 있는지 확인합니다.

1. 지원되는 지역의 Azure Container Apps 환경입니다.
2. DC 시리즈 워크로드 프로필 유형을 사용하는 전용 워크로드 프로필입니다.
3. DC 시리즈 워크로드 프로필이 할당된 컨테이너 앱입니다.

기밀 컴퓨팅 사용 설정

다음 예제에서는 DC 시리즈 워크로드 프로필을 사용하여 Container Apps 환경을 만들고 해당 프로필에 할당된 컨테이너 앱을 배포합니다.

1. DC 시리즈 워크로드 프로필을 사용하여 환경을 만듭니다.

   az containerapp env create \
     --name <ENVIRONMENT_NAME> \
     --resource-group <RESOURCE_GROUP_NAME> \
     --location <SUPPORTED_REGION> \
     --workload-profile-type DC4 \
     --workload-profile-name my-wp-confidential
   

2. 컨테이너 앱을 만들고 워크로드 프로필에 할당합니다.

   az containerapp create \
     --name <CONTAINER_APP_NAME> \
     --resource-group <RESOURCE_GROUP_NAME> \
     --environment <ENVIRONMENT_NAME> \
     --workload-profile-name my-wp-confidential \
     --image <CONTAINER_IMAGE>
   

매개 변수는 --workload-profile-name my-wp-confidential 기밀 컴퓨팅을 가능하게 하는 DC 시리즈 워크로드 프로필에 앱을 할당합니다.

워크로드 프로필을 추가하고 관리하는 단계는 Azure CLI를 사용하여 워크로드 프로필 관리를 참조하세요.

기밀 컴퓨팅 구성 확인

이 빠른 검사를 사용하여 앱이 DC 시리즈 워크로드 프로필에 할당되어 있는지 확인합니다.

Azure CLI

1. 컨테이너 앱에 할당된 워크로드 프로필을 가져옵니다.

   az containerapp show \
     --name <CONTAINER_APP_NAME> \
     --resource-group <RESOURCE_GROUP_NAME> \
     --query properties.workloadProfileName \
     -o tsv
   

   예시 출력:

   my-wp-confidential
   

2. 환경에서 해당 프로필의 워크로드 프로필 유형을 가져옵니다.

   az containerapp env workload-profile list \
     --name <ENVIRONMENT_NAME> \
     --resource-group <RESOURCE_GROUP_NAME> \
     --query "[].{name:name,workloadProfileType:workloadProfileType}"
   

   예시 출력:

   [
     {
       "name": "my-wp-confidential",
       "workloadProfileType": "DC4"
     }
   ]
   

   이 예제에서는 my-wp-confidential 샘플 프로필 이름입니다. 프로필 이름은 다를 수 있습니다.

앱에 할당된 프로필에 workloadProfileType로 시작하는 DC 값(예: DC4, DC8)이 있으면, 해당 앱은 기밀 컴퓨팅 인프라에서 실행되고 있는 것입니다.

Azure portal

1. Azure 포털에서 컨테이너 앱으로 이동합니다.
2. 개요 페이지에서 환경 값을 확인하고 해당 환경으로 이동합니다.
3. Container Apps 환경에서 워크로드 프로필로 이동합니다.
4. 앱에서 사용하는 워크로드 프로필을 찾아 프로필 유형 및 크기가 와 같이 DCDC4시작하는지 확인합니다DC8.

지원되는 워크로드 프로필

기밀 컴퓨팅은 DC 시리즈 전용 워크로드 프로필에서만 사용할 수 있습니다. 지원되는 크기는 다음과 같습니다.

• DC4
• DC8
• DC16
• DC32
• DC48
• DC64
• DC96

이러한 워크로드 프로필의 가용성은 지역에 따라 달라집니다. DC 시리즈 프로필을 사용하는 모든 지역이 기밀 컴퓨팅을 지원하는 것은 아닙니다. 기밀 컴퓨팅을 사용할 수 있는 지역의 현재 목록은 지원되는 지역을 참조하세요.

지원되는 지역

Azure Container Apps UAE 북부 지역에서 기밀 컴퓨팅을 지원합니다. 지역을 요청하려면 GitHub 문제를 제출합니다.

관련 콘텐츠

• Azure Container Apps의 보안 개요
• 워크로드 프로필 개요
• Azure 기밀 컴퓨팅