Azure API Management의 작업 영역은 무엇인가요?
적용 대상: 프리미엄
API Management에서 작업 영역은 조직의 API 팀에 새로운 수준의 자율성을 제공하여 API Management 서비스 내에서 API를 보다 빠르고 안정적이며 안전하고 생산적으로 만들고, 관리하고, 게시할 수 있도록 합니다. 작업 영역은 격리된 관리 액세스 권한과 API 런타임을 제공함으로써 API 팀의 역량을 강화하는 동시에 API 플랫폼 팀의 감독 기능을 강화합니다. 여기에는 중앙 모니터링, API 정책 및 준수 적용, 통합 개발자 포털을 통한 검색을 위한 API 게시가 포함됩니다.
작업 영역은 API Management 서비스 내의 "폴더"와 같이 작동합니다.
- 각 작업 영역에는 API, 제품, 구독, 명명된 값 및 관련 리소스가 포함되어 있습니다.
- 작업 영역 내의 리소스에 대한 액세스는 Microsoft Entra 계정에 할당할 수 있는 기본 제공 또는 사용자 지정 역할을 갖춘 Azure의 RBAC(역할 기반 액세스 제어)를 통해 관리됩니다.
- 각 작업 영역은 작업 영역의 API 백 엔드 서비스로 API 트래픽을 라우팅하기 위한 작업 영역 게이트웨이와 연결됩니다.
참고 항목
- 최신 작업 영역 기능은 API Management REST API 버전 2023-09-01-preview 이상에서 지원됩니다.
- 가격 책정 고려 사항은 API Management 가격 책정을 참조하세요.
작업 영역을 통한 페더레이션된 API Management
작업 영역은 이미 지원되는 중앙 집중식 모델과 사일로식 모델 외에도 API Management에서 API를 관리하는 페더레이션된 모델에 대한 최고 수준의 지원을 추가합니다. 다음 표를 통해 이러한 모델을 비교해보세요.
| 모델 | 설명 |
|---|---|
중앙 집중형
|
장점 • 중앙 집중화된 API 거버넌스 및 가시성 • 효과적인 API 검색 및 온보딩을 위한 통합 개발자 포털 • 인프라의 비용 효율성 단점 • 팀 간 관리 권한 분리 없음 • API 게이트웨이는 단일 실패 지점임 • 런타임 문제를 특정 팀의 문제로 볼 수 없음 • 협업을 용이하게 하기 위한 플랫폼 팀의 부담으로 인해 API 성장이 감소할 수 있음 |
사일로화됨
|
장점 • 팀 간 관리 권한 분리로 생산성 및 보안 향상 • 팀 간 API 런타임 분리로 API 안정성, 복원력 및 보안 향상 • 런타임 문제는 특정 팀에 포함되고 귀속됨 단점 • 중앙화된 API 거버넌스 및 가시성 부족 • 통합 개발자 포털이 부족함 • 비용 증가 및 플랫폼 관리 어려움 |
페더레이션
|
장점 • 중앙 집중화된 API 거버넌스 및 가시성 • 효과적인 API 검색 및 온보딩을 위한 통합 개발자 포털 • 팀 간 관리 권한 분리로 생산성 및 보안 향상 • 팀 간 API 런타임 분리로 API 안정성, 복원력 및 보안 향상 • 런타임 문제는 특정 팀에 포함되고 귀속됨 단점 • 중앙집중형 모델보다 플랫폼 비용 및 관리 난이도가 높고, 사일로형 모델보다 낮음 |
예제 시나리오 개요
Azure API Management를 사용하여 API를 관리하는 조직에는 다양한 API 집합을 개발, 정의, 유지 관리 및 제품화하는 여러 개발 팀이 있을 수 있습니다. 작업 영역을 사용하면 이러한 팀에서 API Management를 사용하여 서비스 인프라 관리와 별도로 독립적으로 API를 관리, 액세스하고 보호할 수 있습니다.
다음은 작업 영역을 만들고 사용하기 위한 샘플 워크플로입니다.
API Management 인스턴스를 관리하는 중앙 API 플랫폼 팀은 작업 영역을 만들고 RBAC 역할을 사용하여 작업 영역 협력자에게 사용 권한(예: 작업 영역에서 리소스를 만들거나 읽을 수 있는 권한)을 할당합니다. 작업 영역을 위한 전용 API 게이트웨이도 만들어집니다.
중앙 API 플랫폼 팀은 DevOps 도구를 사용하여 해당 작업 영역에서 API용 DevOps 파이프라인을 만듭니다.
작업 영역 구성원은 작업 영역에서 API를 개발, 게시, 제품화 및 유지 관리합니다.
중앙 API 플랫폼 팀은 모니터링, 복원력, 모든 API 정책 적용 등 서비스 인프라를 관리합니다.
작업 영역에서의 API Management
Teams는 작업 영역 내에서 자체 API, 제품, 구독, 백 엔드, 정책, 로거 및 기타 리소스를 관리합니다. 작업 영역에서 지원되는 리소스 및 작업의 전체 목록은 API Management REST API 참조를 확인합니다.
작업 영역은 API Management 서비스 및 다른 작업 영역과 독립적으로 관리되지만, 설계상 선택한 서비스 수준 리소스를 참조할 수 있습니다. 이 문서의 뒷부분에 있는 작업 영역 및 기타 API Management 기능을 참조하세요.
작업 영역 게이트웨이
각 작업 영역을 작업 영역 게이트웨이와 연결하여 작업 영역 내에서 관리되는 API의 런타임을 사용하도록 설정할 수 있습니다. 작업 영역 게이트웨이는 API Management 서비스에 기본 제공된 게이트웨이와 동일한 핵심 기능을 갖춘 독립 실행형 Azure 리소스입니다.
작업 영역 게이트웨이는 API Management 서비스 및 서로 독립적으로 관리됩니다. 이를 통해 작업 영역 간 런타임 격리가 보장되어 API의 안정성, 복원력, 보안이 향상되고 런타임 문제가 작업 영역에 귀속되도록 설정합니다.
- 작업 영역 게이트웨이 비용에 대한 자세한 내용은 API Management 가격 책정을 참조하세요.
- API Management 게이트웨이에 대한 자세한 비교는 API Management 게이트웨이 개요를 참조하세요.
게이트웨이 호스트 이름
작업 영역과 작업 영역 게이트웨이를 연결하면 해당 작업 영역에서 관리되는 API에 대해 고유한 호스트 이름이 만들어집니다. 기본 호스트 이름은 패턴 <workspace-name>-<hash>.gateway.<region>.azure-api.net을 따릅니다. 현재 작업 영역 게이트웨이에서는 사용자 지정 호스트 이름이 지원되지 않습니다.
참고 항목
2024년 10월까지 작업 영역의 API는 작업 영역 게이트웨이의 호스트 이름 외에도 API Management 인스턴스의 게이트웨이 호스트 이름을 사용하여 런타임에 액세스할 수 있습니다.
네트워크 격리
작업 영역 게이트웨이는 선택적으로 프라이빗 가상 네트워크에서 구성하여 인바운드 및/또는 아웃바운드 트래픽을 격리할 수 있습니다. 구성된 경우, 작업 영역 게이트웨이는 가상 네트워크에서 전용 서브넷을 사용해야 합니다.
자세한 요구 사항은 작업 영역 게이트웨이에 대한 네트워크 리소스 요구 사항을 참조하세요.
참고 항목
- 작업 영역 게이트웨이의 네트워크 구성은 API Management 인스턴스의 네트워크 구성과 독립적입니다.
- 현재 작업 영역 게이트웨이는 게이트웨이가 만들어질 때만 가상 네트워크에서 구성할 수 있습니다. 나중에 게이트웨이의 네트워크 구성이나 설정을 변경할 수 없습니다.
용량 크기 조정
특정 서비스 계층의 API Management 인스턴스에 추가할 수 있는 단위와 유사하게, 배율 단위를 수동으로 추가하거나 제거하여 게이트웨이 용량을 관리합니다. 작업 영역 게이트웨이 비용은 선택한 장치 수에 따라 결정됩니다.
국가별 가용성
작업 영역 게이트웨이는 현재 다음 지역에서 사용할 수 있습니다.
참고 항목
이러한 지역은 API Management가 가능한 지역의 하위 집합입니다.
- 미국 서부
- 미국 중북부
- 미국 동부 2
- 영국 남부
- 프랑스 중부
- 독일 중서부
- 북유럽
- 동아시아
- 동남아시아
- 오스트레일리아 동부
- 일본 동부
게이트웨이 제약 조건
현재 작업 영역 게이트웨이에는 다음과 같은 제약 조건이 적용됩니다.
- 작업 영역 게이트웨이는 API Management 인스턴스의 기본 Azure 지역과 동일한 지역 및 동일한 구독에 있어야 합니다.
- 게이트웨이는 하나의 작업 영역에만 연결될 수 있음
- 작업 영역은 자체 호스팅 게이트웨이와 연결될 수 없음
- 작업 영역 게이트웨이는 인바운드 프라이빗 엔드포인트를 지원하지 않음
- 작업 영역 게이트웨이의 API에는 사용자 지정 호스트 이름을 할당할 수 없음
- 작업 영역의 API는 Defender for API에서 다루지 않음
- 작업 영역 게이트웨이는 API Management 서비스의 자격 증명 관리자를 지원하지 않음
- 작업 영역 게이트웨이는 내부 캐시만 지원하며 외부 캐시는 지원되지 않음
- 작업 영역 게이트웨이는 가상 GraphQL API 및 WebSocket API를 지원하지 않음
- 작업 영역 게이트웨이는 Azure OpenAI Service, App Service, Function Apps 등과 같은 Azure 리소스에서 직접 API 만들기를 지원하지 않습니다.
- Azure Monitor에서 작업 영역별로 요청 메트릭을 분할할 수 없으며, 모든 작업 영역 메트릭은 서비스 수준에서 집계됨
- Azure Monitor 로그는 서비스 수준에서 집계되며 작업 영역 수준 로그는 사용할 수 없음
- 작업 영역 게이트웨이는 CA 인증서를 지원하지 않음
- 작업 영역 게이트웨이는 자동 크기 조정을 지원하지 않음
- 작업 영역 게이트웨이는 Azure Key Vault에 비밀을 저장하고
authentication-managed-identity정책을 사용하는 것과 같은 관련 기능을 포함하여 관리 ID를 지원하지 않음
작업 영역에 대한 RBAC 역할
Azure RBAC는 작업 영역에서 엔터티를 읽고 편집할 수 있는 작업 영역 협력자의 사용 권한을 구성하는 데 사용됩니다. 역할 목록에 대해서는 API Management에서 역할 기반 액세스 제어를 사용하는 방법을 참조하세요.
작업 영역에서 API 및 기타 리소스를 관리하려면 작업 영역 멤버에게 API Management 서비스, 작업 영역 및 작업 영역 게이트웨이에 범위가 지정된 역할(또는 사용자 지정 역할을 사용하는 동등한 권한)이 할당되어야 합니다. 서비스 범위 역할을 사용하면 작업 영역 수준 리소스에서 특정 서비스 수준 리소스를 참조할 수 있습니다. 예를 들어 사용자를 작업 영역 수준 그룹으로 구성하여 API와 제품 가시성을 제어합니다.
참고 항목
보다 쉽게 관리하려면 여러 사용자에게 작업 영역 권한을 할당하도록 Microsoft Entra 그룹을 설정합니다.
작업 영역 및 기타 API Management 기능
작업 영역은 관리 액세스와 API 런타임을 최대한 분리하기 위해 독립형으로 설계되었습니다. 더 높은 생산성을 보장하고 플랫폼 전체의 거버넌스, 가시성, 재사용성 및 API 검색을 가능하게 하는 몇 가지 예외가 있습니다.
리소스 참조 - 작업 영역의 리소스는 작업 영역의 다른 리소스와 서비스 수준에서 선택한 리소스(예: 사용자, 권한 부여 서버 또는 기본 제공 사용자 그룹)를 참조할 수 있습니다. 다른 작업 영역의 리소스를 참조할 수 없습니다.
보안상의 이유로 작업 영역 수준 정책(예: 명명된 값) 또는 리소스 이름(예: set-backend-service 정책의
backend-id)에서 서비스 수준 리소스를 참조할 수 없습니다.Important
API Management 서비스의 모든 리소스(예: API, 제품, 태그 또는 구독)는 서로 다른 작업 영역에 위치하더라도 고유한 이름을 가져야 합니다. 동일한 작업 영역, 다른 작업 영역 또는 서비스 수준에서 동일한 형식의 리소스가 동일한 Azure 리소스 이름을 가질 수 없습니다.
개발자 포털 - 작업 영역은 관리 개념이며, 그렇기 때문에 개발자 포털 UI 및 기본 API 등을 통해 개발자 포털 소비자에게 표시되지 않습니다. 서비스 수준의 API와 제품처럼 작업 영역 내의 API와 제품도 개발자 포털에 게시할 수 있습니다.
참고 항목
API Management에서는 서비스 수준에서 정의된 권한 부여 서버를 작업 영역 내의 API에 할당하는 것을 지원합니다.
미리 보기 작업 영역에서 마이그레이션
Azure API Management에서 미리 보기 작업 영역을 만들고 계속해서 사용하려면 각 작업 영역에 작업 영역 게이트웨이를 연결하여 작업 영역을 일반 공급한 버전으로 마이그레이션합니다.
자세한 내용과 미리 보기 작업 영역에 영향을 줄 수 있는 기타 변경 내용에 대해 알아보려면 작업 영역 호환성이 손상되는 변경(2025년 3월)을 참조하세요.
작업 영역 삭제
Azure Portal 인터페이스를 사용하여 작업 영역을 삭제하는 경우 작업 영역을 삭제하면 해당 작업 영역의 모든 자식 리소스(API, 제품 등)와 관련 게이트웨이가 삭제됩니다. API Management 인스턴스나 다른 작업 영역은 삭제되지 않습니다.