작업 공간을 활용한 연합형 API 관리

적용 대상: 프리미엄

이 문서에서는 API Management 작업 영역 의 개요와 분산된 API 개발 팀이 공통 서비스 인프라에서 API를 관리하고 제품화할 수 있도록 하는 방법을 설명합니다.

조직에서 API 관리를 페더레이션해야 하는 이유는 무엇인가요?

오늘날 조직은 API의 확산을 관리하는 데 점점 더 많은 어려움을 겪고 있습니다. API 및 API 개발 팀의 수가 증가함에 따라 관리의 복잡성도 증가합니다. 이러한 복잡성은 운영 오버헤드 증가, 보안 위험 및 민첩성 감소로 이어질 수 있습니다. 한편, 조직은 중앙 집중식 API 인프라를 설정하여 API 거버넌스, 보안 및 규정 준수를 보장하려고 합니다. 반면에 API 팀은 API 플랫폼을 관리하는 오버헤드 없이 비즈니스 요구 사항에 신속하게 혁신하고 응답하기를 원합니다.

API Management의 페더레이션 된 모델은 이러한 요구 사항을 해결합니다. 페더레이션 API 관리를 사용하면 API 플랫폼 팀에서 관리하는 중앙 집중식 거버넌스, 모니터링 및 API 검색을 유지하면서 적절한 제어 및 데이터 평면 격리를 사용하는 개발 팀의 분산된 API 관리를 허용합니다. 이 모델은 플랫폼 팀의 완전 중앙 집중식 API 관리 또는 각 개발 팀의 사일로 API 관리와 같은 대체 접근 방식의 한계를 극복합니다.

페더레이션 API 관리는 다음을 제공합니다.

• 중앙 집중식 API 거버넌스 및 준수성
• 효과적인 API 검색 및 온보딩을 위한 통합 개발자 포털
• API 팀 간의 분리된 관리 권한, 생산성 및 보안 향상
• API 팀 간에 분리된 API 런타임, 안정성, 복원력 및 보안 향상

작업 영역에서 페더레이션된 API 관리를 사용하도록 설정하는 방법

Azure API Management에서 작업 영역을 사용하여 페더레이션된 API 관리를 구현합니다 . 작업 영역은 API Management 서비스 내의 "폴더"와 같이 작동합니다.

• 각 작업 영역에는 API, 제품, 구독, 명명된 값 및 관련 리소스가 포함되어 있습니다. 작업 영역에서 지원되는 리소스 및 작업의 전체 목록은 API Management REST API 참조를 확인합니다.
• 작업 영역 내 리소스에 대한 팀의 액세스는 Microsoft Entra 계정에 할당할 수 있고 작업 영역으로 범위를 지정할 수 있는 기본 제공 또는 사용자 지정 역할을 토대로 한 Azure의 역할 기반 액세스 제어(RBAC)를 통해 관리됩니다.
• 각 작업 영역은 작업 영역에서 API의 백 엔드 서비스로 API 트래픽을 라우팅하기 위해 하나 이상의 작업 영역 게이트웨이 와 연결됩니다.
• 플랫폼 팀은 작업 영역에서 API에 걸친 API 정책을 적용하고 개발자 포털을 사용하여 중앙 집중식 API 검색 환경을 구현할 수 있습니다.
• 각 작업 영역 팀은 게이트웨이 리소스 로그를 수집하고 분석하여 자체 작업 영역 API를 모니터링할 수 있으며, 플랫폼 팀은 API Management 서비스의 모든 작업 영역에서 로그에 대한 페더레이션 액세스를 통해 API 에코시스템 전반에 걸쳐 감독, 보안 및 규정 준수를 제공합니다.

참고

• 최신 작업 영역 기능은 API Management REST API 버전 2023-09-01-preview 이상에서 지원됩니다.
• 가격 책정 고려 사항은 API Management 가격 책정을 참조하세요.

작업 영역은 API Management 서비스 및 다른 작업 영역과 독립적으로 관리되지만, 설계상 선택한 서비스 수준 리소스를 참조할 수 있습니다. 이 문서의 뒷부분에 있는 작업 영역 및 기타 API Management 기능을 참조하세요.

예제 시나리오 개요

Azure API Management를 사용하여 API를 관리하는 조직에는 다양한 API 집합을 개발, 정의, 유지 관리 및 제품화하는 여러 개발 팀이 있을 수 있습니다. 작업 영역을 사용하면 이러한 팀에서 API Management를 사용하여 서비스 인프라 관리와 별도로 독립적으로 API를 관리, 액세스하고 보호할 수 있습니다.

다음은 작업 영역을 만들고 사용하기 위한 샘플 워크플로입니다.

1. API Management 인스턴스를 관리하는 중앙 API 플랫폼 팀은 작업 영역을 만들고 RBAC 역할을 사용하여 작업 영역 협력자에게 사용 권한(예: 작업 영역에서 리소스를 만들거나 읽을 수 있는 권한)을 할당합니다. 작업 영역 범위의 API 게이트웨이가 작업 영역에 대해 생성됩니다.

2. 중앙 API 플랫폼 팀은 DevOps 도구를 사용하여 해당 작업 영역에서 API용 DevOps 파이프라인을 만듭니다.

3. 작업 영역 구성원은 작업 영역에서 API를 개발, 게시, 제품화 및 유지 관리합니다.

4. 중앙 API 플랫폼 팀은 모니터링, 복원력, 모든 API 정책 적용 등 서비스 인프라를 관리합니다.

작업 영역 게이트웨이

각 작업 영역은 작업 영역 내에서 관리되는 API의 런타임을 사용하도록 하나 이상의 작업 영역 게이트웨이 로 구성됩니다. 작업 영역 게이트웨이는 API Management 서비스에 기본 제공되는 게이트웨이와 동일한 핵심 기능을 갖춘 독립 실행형 Azure 리소스(작업 영역 게이트웨이 프리미엄)입니다.

작업 영역 게이트웨이는 API Management 서비스 및 서로 독립적으로 관리됩니다. 작업 영역 또는 사용 사례 간에 런타임을 격리하여 API의 안정성, 복원력 및 보안을 향상시키고, 런타임 문제를 작업 영역에 귀속시킬 수 있도록 합니다.

• 작업 영역 게이트웨이 비용에 대한 자세한 내용은 API Management 가격 책정을 참조하세요.
• API Management 게이트웨이에 대한 자세한 비교는 API Management 게이트웨이 개요를 참조하세요.

작업 영역을 작업 영역 게이트웨이에 연결하세요

조직의 요구 사항에 따라 하나의 작업 영역 또는 여러 작업 영역을 작업 영역 게이트웨이와 연결할 수 있습니다.

참고

여러 작업 영역을 작업 영역 게이트웨이와 연결하면 2025년 4월 15일 이후에 만든 작업 영역 게이트웨이에만 사용할 수 있습니다.

• 작업 영역 게이트웨이에는 특정 구성(예: 가상 네트워크, 규모, 호스트 이름) 및 할당된 컴퓨팅 리소스(CPU, 메모리, 네트워킹 리소스)가 있습니다.
• 구성 및 컴퓨팅 리소스는 게이트웨이에 배포된 모든 작업 영역에서 공유됩니다.
• API 또는 비정상적인 트래픽의 버그로 인해 이러한 리소스가 고갈되어 해당 게이트웨이의 모든 작업 영역에 영향을 줄 수 있습니다. 즉, 게이트웨이에 더 많은 작업 영역이 배포될수록 작업 영역의 API에서 다른 작업 영역의 API로 인한 안정성 문제가 발생할 위험이 높아집니다.
• CPU 및 메모리 사용률에 대한 기본 제공 메트릭을 사용하여 게이트웨이의 성능을 모니터링합니다.

작업 영역에 대한 배포 모델을 선택할 때 안정성, 보안 및 비용을 고려합니다.

• 중요 업무용 워크로드에 전용 게이트웨이 사용 - API 안정성 및 보안을 최대화하려면 각 중요 업무용 작업 영역을 자체 게이트웨이에 할당하여 다른 작업 영역과의 공유 사용을 방지합니다.
• 안정성, 보안 및 비용의 균형 - 여러 작업 영역을 게이트웨이와 연결하여 중요하지 않은 워크로드에 대한 안정성, 보안 및 비용의 균형을 조정합니다. 두 개 이상의 게이트웨이에 작업 영역을 배포하면 리소스 소모 또는 구성 오류와 같은 문제가 조직 내의 모든 API에 영향을 주지 않도록 방지할 수 있습니다.
• 다른 사용 사례에 고유한 게이트웨이 사용 - 사용 사례 또는 네트워크 요구 사항에 따라 게이트웨이에서 작업 영역을 그룹화합니다. 예를 들어 각각 자체 네트워크 구성을 사용하여 별도의 게이트웨이에 할당하여 내부 및 외부 API를 구분할 수 있습니다.
• 문제가 있는 작업 영역 격리 준비 - 공유 작업 영역 게이트웨이 앞에서 Azure Application Gateway 또는 Azure Front Door와 같은 프록시를 사용하여 리소스 소모를 유발하는 작업 영역을 다른 게이트웨이로 이동하는 작업을 간소화하여 게이트웨이를 공유하는 다른 작업 영역에 영향을 주지 않도록 합니다.

참고

• 작업 영역 게이트웨이는 API Management 인스턴스의 기본 Azure 지역과 동일한 지역 및 동일한 구독에 있어야 합니다.
• 작업 영역 게이트웨이와 연결된 모든 작업 영역은 동일한 API Management 인스턴스에 있어야 합니다.
• 작업 영역 게이트웨이를 최대 30개의 작업 영역과 연결할 수 있습니다(이 제한을 늘리려면 지원에 문의).

게이트웨이 호스트 이름

각 작업 영역 게이트웨이는 연결된 작업 영역에서 관리되는 API에 대한 고유한 호스트 이름을 제공합니다. 기본 호스트 이름은 패턴 <gateway-name>-<hash>.gateway.<region>.azure-api.net을 따릅니다. 게이트웨이 호스트 이름을 사용하여 API 요청을 작업 영역의 API로 라우팅합니다.

현재 작업 영역 게이트웨이에서는 사용자 지정 호스트 이름이 지원되지 않습니다. 작업 영역 게이트웨이 앞에 사용자 지정 호스트 이름을 사용하여 Azure Application Gateway 또는 Azure Front Door를 구성할 수 있습니다.

네트워크 격리

작업 영역 게이트웨이는 선택적으로 프라이빗 가상 네트워크에서 구성하여 인바운드 및/또는 아웃바운드 트래픽을 격리할 수 있습니다. 구성된 경우, 작업 영역 게이트웨이는 가상 네트워크에서 전용 서브넷을 사용해야 합니다.

자세한 요구 사항은 작업 영역 게이트웨이에 대한 네트워크 리소스 요구 사항을 참조하세요.

참고

• 작업 영역 게이트웨이의 네트워크 구성은 API Management 인스턴스의 네트워크 구성과 독립적입니다.
• 현재 작업 영역 게이트웨이는 게이트웨이가 만들어질 때만 가상 네트워크에서 구성할 수 있습니다. 나중에 게이트웨이의 네트워크 구성이나 설정을 변경할 수 없습니다.

용량 크기 조정

API Management 인스턴스에 특정 서비스 계층에서 추가할 수 있는 단위처럼, 배율 단위를 추가하거나 제거하여 게이트웨이 용량을 관리합니다. 작업 영역 게이트웨이 비용은 선택한 장치 수에 따라 결정됩니다.

국가별 가용성

작업 영역 게이트웨이를 사용할 수 있는 지역의 현재 목록은 v2 계층 및 작업 영역 게이트웨이의 가용성을 참조 하세요.

게이트웨이 제약 조건

현재 작업 영역 게이트웨이에는 다음과 같은 제약 조건이 적용됩니다.

• 작업 영역은 자체 호스팅 게이트웨이와 연결될 수 없음
• 작업 영역 게이트웨이는 인바운드 프라이빗 엔드포인트를 지원하지 않음
• 작업 영역 게이트웨이의 API에는 사용자 지정 호스트 이름을 할당할 수 없음
• 작업 영역의 API는 Defender for API에서 다루지 않음
• 작업 영역 게이트웨이는 API Management 서비스의 자격 증명 관리자를 지원하지 않음
• 작업 영역 게이트웨이는 내부 캐시만 지원하며 외부 캐시는 지원되지 않음
• 작업 영역 게이트웨이는 가상 GraphQL API를 지원하지 않습니다.
• 작업 영역 게이트웨이는 Azure OpenAI Service, App Service, Function Apps 등과 같은 Azure 리소스에서 직접 API 만들기를 지원하지 않습니다.
• Azure Monitor에서 작업 영역별로 요청 메트릭을 분할할 수 없으며, 모든 작업 영역 메트릭은 서비스 수준에서 집계됨
• 작업 영역 게이트웨이는 CA 인증서를 지원하지 않음
• 작업 영역 게이트웨이는 Azure Key Vault에 비밀을 저장하고 authentication-managed-identity 정책을 사용하는 것과 같은 관련 기능을 포함하여 관리 ID를 지원하지 않음
• 작업 영역 게이트웨이는 API Management 인스턴스의 기본 Azure 지역에서만 만들 수 있습니다.

작업 영역에 대한 RBAC 역할

Azure RBAC는 작업 영역에서 엔터티를 읽고 편집할 수 있는 작업 영역 협력자의 사용 권한을 구성하는 데 사용됩니다. 역할 목록에 대해서는 API Management에서 역할 기반 액세스 제어를 사용하는 방법을 참조하세요.

작업 영역에서 API 및 기타 리소스를 관리하려면 작업 영역 멤버에게 API Management 서비스, 작업 영역 및 작업 영역 게이트웨이에 범위가 지정된 역할(또는 사용자 지정 역할을 사용하는 동등한 권한)이 할당되어야 합니다. 서비스 범위 역할을 사용하면 작업 영역 수준 리소스에서 특정 서비스 수준 리소스를 참조할 수 있습니다. 예를 들어 사용자를 작업 영역 수준 그룹으로 구성하여 API와 제품 가시성을 제어합니다.

참고

보다 쉽게 관리하려면 여러 사용자에게 작업 영역 권한을 할당하도록 Microsoft Entra 그룹을 설정합니다.

작업 영역 및 기타 API Management 기능

작업 영역은 관리 액세스와 API 런타임을 최대한 분리하기 위해 독립형으로 설계되었습니다. 더 높은 생산성을 보장하고 플랫폼 전체의 거버넌스, 가시성, 재사용성 및 API 검색을 가능하게 하는 몇 가지 예외가 있습니다.

• 리소스 참조 - 작업 영역의 리소스는 작업 영역의 다른 리소스와 서비스 수준에서 선택한 리소스(예: 사용자, 권한 부여 서버 또는 기본 제공 사용자 그룹)를 참조할 수 있습니다. 다른 작업 영역의 리소스를 참조할 수 없습니다.

  보안상의 이유로 작업 영역 수준 정책(예: 명명된 값) 또는 리소스 이름(예: backend-id 정책의 )에서 서비스 수준 리소스를 참조할 수 없습니다.

  중요

  API Management 서비스의 모든 리소스(예: API, 제품, 태그 또는 구독)는 다른 작업 영역에 있더라도 고유한 이름이 있어야 합니다. 동일한 작업 영역, 다른 작업 영역 또는 서비스 수준에서 동일한 형식의 리소스가 동일한 Azure 리소스 이름을 가질 수 없습니다.

• 개발자 포털 - 작업 영역은 관리 개념이며, 그렇기 때문에 개발자 포털 UI 및 기본 API 등을 통해 개발자 포털 소비자에게 표시되지 않습니다. 서비스 수준의 API와 제품처럼 작업 영역 내의 API와 제품도 개발자 포털에 게시할 수 있습니다.

  참고

  API Management에서는 서비스 수준에서 정의된 권한 부여 서버를 작업 영역 내의 API에 할당하는 것을 지원합니다.

미리 보기 작업 영역에서 마이그레이션

Azure API Management에서 미리 보기 작업 영역을 만들고 계속해서 사용하려면 각 작업 영역에 작업 영역 게이트웨이를 연결하여 작업 영역을 일반 공급한 버전으로 마이그레이션합니다.

자세한 내용과 미리 보기 작업 영역에 영향을 줄 수 있는 기타 변경 내용에 대해 알아보려면 작업 영역 호환성이 손상되는 변경(2025년 3월)을 참조하세요.

작업 영역 삭제

Azure Portal 인터페이스를 사용하여 작업 영역을 삭제하는 경우 작업 영역을 삭제하면 해당 작업 영역의 모든 자식 리소스(API, 제품 등)와 관련 게이트웨이가 삭제됩니다. API Management 인스턴스나 다른 작업 영역은 삭제되지 않습니다.

관련 콘텐츠

• 작업 영역 만들기
• 작업 영역 호환성이 손상되는 변경 - 2024년 6월
• 작업 영역 중대한 변경사항 - 2025년 3월
• 제한 - API Management 작업 영역