App Service Environment 관리 주소

  • 아티클

Important

이 문서는 격리된 App Service 요금제와 함께 사용되는 App Service Environment v2에 대해 설명합니다. App Service Environment v2는 2024년 8월 31일에 사용 중지됩니다. 사용하기 더 쉽고 더 강력한 인프라에서 실행되는 새로운 버전의 App Service Environment가 있습니다. 새 버전에 대한 자세한 내용은 App Service Environment 소개를 참조하세요. 현재 App Service Environment v2를 사용 중인 경우 이 문서의 단계에 따라 새 버전으로 마이그레이션합니다.

2024년 1월 29일부터 ARM/Bicep 템플릿, Azure Portal, Azure CLI 또는 REST API를 포함하여 사용 가능한 방법을 사용하여 더 이상 새로운 App Service Environment v2 리소스를 만들 수 없습니다. 리소스 삭제 및 데이터 손실을 방지하려면 2024년 8월 31일 마이그레이션에 App Service Environment v3으로 마이그레이션해야 합니다.

사전 요구 사항

요약

ASE(App Service Environment)는 Azure Virtual Network에서 실행되는 Azure App Service의 단일 테넌트 배포입니다. ASE는 가상 네트워크에서 실행되지만 서비스를 관리하기 위해서는 Azure App Service에서 사용하는 여러 전용 IP 주소에서 액세스할 수 있어야 합니다. ASE의 경우 관리 트래픽은 사용자 제어 네트워크를 통과합니다. 이 트래픽이 차단되거나 잘못 라우팅된 경우 ASE는 일시 중단 됩니다. ASE 네트워킹 종속성에 대한 자세한 내용은 네트워킹 고려 사항과 App Service Environment를 참조하세요. 시작하는 데 도움이 되는 ASE에 대한 일반적인 정보는 App Service Environment 소개를 참조하세요.

모든 ASE에는 관리 트래픽이 전달되는 공개 VIP가 있습니다. 이러한 주소에서 들어오는 관리 트래픽은 ASE의 공개 VIP에서 포트 454 및 455로 전달됩니다. 이 문서에서는 ASE에 대한 관리 트래픽의 App Service 원본 주소를 나열합니다. 이러한 주소는 AppServiceManagement라는 IP 서비스 태그에도 있습니다.

관리 트래픽과의 비대칭 라우팅 문제를 방지하기 위해 경로 테이블에서 AppServiceManagement 서비스 태그의 주소를 구성할 수 있습니다. 가능한 경우 개별 주소 대신 서비스 태그를 사용해야 합니다. 경로는 IP 수준의 트래픽에서 작동하며 트래픽 방향을 인식하지 못하거나 트래픽이 TCP 응답 메시지의 일부임을 인식하지 못합니다. TCP 요청에 대한 회신 주소가 요청을 보낸 주소와 다른 경우 비대칭 라우팅 문제가 발생합니다. ASE 관리 트래픽에서 비대칭 라우팅 문제를 방지하려면 트래픽을 보낸 주소에서 회신을 보내는지 확인해야 합니다. ASE를 아웃바운드 트래픽이 온-프레미스에서 전송되는 환경에서 작동하도록 구성하는 방법에 대한 내용은 강제 터널링을 사용하여 ASE 구성을 참조하세요.

관리 주소 목록

관리 주소에 대한 IP를 확인해야 하는 경우 해당 지역의 서비스 태그 참조를 다운로드하여 가장 최신 주소 목록을 가져옵니다. App Service Environment 관리 주소는 AppServiceManagement 서비스 태그에 나열됩니다.

지역 서비스 태그 참조
모든 공용 지역 Azure IP 범위 및 서비스 태그 – 퍼블릭 클라우드
Microsoft Azure Government Azure IP 범위 및 서비스 태그 – 미국 정부 클라우드
21Vianet에서 운영하는 Microsoft Azure Azure IP 범위 및 서비스 태그 – 중국 클라우드

네트워크 보안 그룹 구성

네트워크 보안 그룹을 사용하면 개별 주소 또는 사용자 고유의 구성 유지 관리에 대해 걱정할 필요가 없습니다. 모든 주소를 사용하여 최신 상태로 유지되는 AppServiceManagement라는 IP 서비스 태그가 있습니다. NSG에서 이 IP 서비스 태그를 사용하려면 포털로 이동한 후 네트워크 보안 그룹 UI를 열고 인바운드 보안 규칙을 선택합니다. 인바운드 관리 트래픽에 대한 기존 규칙이 있으면 편집합니다. 이 NSG를 ASE과 함께 만들지 않았거나 모두 새 항목이면 추가를 선택합니다. 원본 드롭다운 목록에서 서비스 태그를 선택합니다. 원본 서비스 태그에서 AppServiceManagement를 선택합니다. 원본 포트 범위를 *로, 대상을 모두로, 대상 포트 범위를 454-455로, 프로토콜을 TCP로, 작업을 허용으로 설정합니다. 규칙을 만드는 경우 우선 순위를 설정해야 합니다.

creating an NSG with the service tag

경로 테이블 구성

관리 주소는 모든 인바운드 관리 트래픽이 동일한 경로로 다시 이동할 수 있도록 인터넷의 다음 홉을 사용하여 경로 테이블에 배치할 수 있습니다. 이러한 경로는 강제 터널링을 구성할 때 필요합니다. 가능한 경우 개별 주소 대신 AppServiceManagement 서비스 태그를 사용합니다. 경로 테이블을 만들려면 포털, PowerShell 또는 Azure CLI를 사용할 수 있습니다. PowerShell 프롬프트에서 Azure CLI를 사용하여 경로 테이블을 만드는 명령은 다음과 같습니다.

$sub = "subscription ID"
$rg = "resource group name"
$rt = "route table name"
$location = "azure location"

az network route-table route create --subscription $sub -g $rg --route-table-name $rt  -n 'AppServiceManagement' --address-prefix 'AppServiceManagement' --next-hop-type 'Internet'

경로 테이블을 만든 후에 ASE 서브넷에서 설정해야 합니다.

API에서 관리 주소 가져오기

다음 API 호출을 사용하여 ASE와 일치하는 관리 주소를 나열할 수 있습니다.

get /subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Web/hostingEnvironments/<ASE Name>/inboundnetworkdependenciesendpoints?api-version=2016-09-01

이 API는 ASE에 대한 모든 인바운드 주소를 포함하는 JSON 문서를 반환합니다. 주소 목록에는 관리 주소, 즉, ASE 및 ASE 서브넷 주소 범위 자체에서 사용하는 VIP가 포함됩니다.

armclient를 사용하여 API를 호출하려면 다음 명령을 사용하되 구독 ID, 리소스 그룹 및 ASE 이름을 바꿔야 합니다.

armclient login
armclient get /subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Web/hostingEnvironments/<ASE Name>/inboundnetworkdependenciesendpoints?api-version=2016-09-01