Application Gateway에 대한 질문과 대답입니다.

참고

Azure Az PowerShell 모듈을 사용하여 Azure와 상호 작용하는 것이 좋습니다. 시작하려면 Azure PowerShell 설치를 참조하세요. Az PowerShell 모듈로 마이그레이션하는 방법에 대한 자세한 내용은 Azure PowerShell을 AzureRM에서 Azure로 마이그레이션을 참조하세요.

다음은 Azure Application Gateway에 대해 자주 묻는 질문입니다.

일반

Application Gateway란?

Azure Application Gateway는 ADC(애플리케이션 제공 컨트롤러)를 서비스로 제공합니다. 애플리케이션에 다양한 레이어 7 부하 분산 기능을 제공합니다. 이 서비스는 Azure에서 관리하는 고가용성의 확장성 있는 완전 관리형 서비스입니다.

Application Gateway에서 지원하는 기능은 어떤 것이 있나요?

Application Gateway는 자동 스케일링, TLS 오프로딩, 엔드투엔드 TLS, WAF(웹 애플리케이션 방화벽), 쿠키 기반 세션 선호도, URL 경로 기반 라우팅, 다중 사이트 호스팅 및 기타 기능을 지원합니다. 지원되는 기능의 전체 목록은 Application Gateway 소개를 참조하세요.

Application Gateway와 Azure Load Balancer는 어떻게 다른가요?

Application Gateway는 웹 트래픽(HTTP, HTTPS, WebSocket 및 HTTP/2)에서만 작동하는 레이어 7 부하 분산 장치로써 TLS 종료, 쿠키 기반 세션 선호도, 트래픽 부하 분산을 위한 라운드 로빈 등의 기능을 지원합니다. Load Balancer는 레이어 4(TCP 또는 UDP)에서 트래픽 부하를 분산합니다.

Application Gateway에서 지원하는 프로토콜은 무엇인가요?

Application Gateway는 HTTP, HTTPS, HTTP/2 및 WebSocket을 지원합니다.

Application Gateway는 어떻게 HTTP/2를 지원하나요?

HTTP/2 지원을 참조하세요.

백 엔드 풀의 일부로 어떤 리소스가 지원되나요?

Application Gateway를 사용할 수 있는 지역은 어디인가요?

Application Gateway v1(표준 및 WAF)는 Azure 전체의 모든 지역에서 사용할 수 있습니다. Azure 중국 21VianetAzure Government에서도 사용할 수 있습니다.

Application Gateway v2(Standard_v2 및 WAF_v2) 가용성은 Application Gateway v2의 지원되는 지역을 참조하세요.

이 배포가 내 구독 전용인가요 아니면 고객 사이에서 공유되나요?

Application Gateway는 가상 네트워크에서 전용 배포입니다.

Application Gateway는 HTTP-HTTPS 리디렉션을 지원하나요?

리디렉션은 지원됩니다. Application Gateway 리디렉션 개요를 참조하세요.

수신기는 어떤 순서로 처리되나요?

수신기 처리 순서를 참조하세요.

Application Gateway IP 및 DNS는 어디서 찾나요?

공용 IP 주소를 엔드포인트로 사용하는 경우 공용 IP 주소 리소스에서 IP 및 DNS 정보를 찾을 수 있습니다. 또는 포털의 애플리케이션 게이트웨이에 대한 개요 페이지에서 찾을 수 있습니다. 내부 IP 주소를 사용하는 경우 개요 페이지에서 정보를 확인하세요.

v2 SKU의 경우 공용 IP 리소스를 열고 구성을 선택합니다. DNS 이름 레이블(옵션) 필드를 사용하여 DNS 이름을 구성할 수 있습니다.

Keep-Alive 시간 제한 및 TCP 유휴 시간 제한의 설정은 어떻게 되나요?

Keep-Alive 시간 제한은 클라이언트가 영구 연결에 대한 요청을 다른 HTTP 요청으로 보낼 때까지 Application Gateway가 대기하는 시간을 조정합니다. 이 시간이 지나면 Application Gateway가 연결을 재사용하거나 종료합니다. TCP 유휴 시간 제한 은 활동이 없는 경우 TCP 연결이 열린 상태로 유지되는 기간을 제어합니다.

Application Gateway v1 SKU의 Keep-Alive 시간 제한은 120초이고 v2 SKU에서는 75초입니다. TCP 유휴 시간 제한은 Application Gateway v1 및 v2 SKU의 프런트 엔드 VIP(가상 IP)에서 기본적으로 4분입니다. v1 및 v2 Application Gateways에서 TCP 유휴 시간 제한 값을 4분~30분 사이로 구성할 수 있습니다. v1 및 v2 Application Gateways 모두 Application Gateway의 공용 IP로 이동하고 포털에서 공용 IP의 “구성” 블레이드 아래에서 TCP 유휴 시간 제한을 변경해야 합니다. 개인 IP 주소의 값 변경은 지원되지 않습니다. 다음 명령을 실행하여 PowerShell을 통해 공용 IP의 TCP 유휴 시간 제한 값을 설정할 수 있습니다.

$publicIP = Get-AzPublicIpAddress -Name MyPublicIP -ResourceGroupName MyResourceGroup
$publicIP.IdleTimeoutInMinutes = "15"
Set-AzPublicIpAddress -PublicIpAddress $publicIP

Application Gateway v2 SKU의 프런트 엔드 IP 주소에 대한 HTTP/2 연결의 경우 유휴 시간 제한은 180초로 설정되며 구성할 수 없습니다.

내 Application Gateway 리소스의 이름을 바꿀 수 있나요?

아니요. Application Gateway 리소스의 이름을 바꿀 수 있는 방법은 없습니다. 다른 이름으로 새 리소스를 만들어야 합니다.

Application Gateway 및 해당 공용 IP가 삭제된 경우 복원하는 방법이 있나요?

아니요. Application Gateway 리소스 또는 해당 공용 IP를 삭제한 후에는 복원할 수 없습니다. 새 리소스를 만들어야 합니다.

애플리케이션 게이트웨이의 수명 주기 중에 IP 또는 DNS 이름이 변경되나요?

Application Gateway V1 SKU에서는 애플리케이션 게이트웨이를 중지하고 시작할 때 VIP가 변경될 수 있습니다. 그러나 애플리케이션 게이트웨이와 연결된 DNS 이름은 게이트웨이 수명 주기 중에 변경되지 않습니다. DNS 이름은 변경되지 않으므로 CNAME 별칭을 사용하고 해당 별칭이 애플리케이션 게이트웨이의 DNS 주소를 가리키도록 설정해야 합니다. Application Gateway V2 SKU에서 IP 주소를 정적으로 설정할 수 있으므로 애플리케이션 게이트웨이의 수명 동안 IP 및 DNS 이름이 변경되지 않습니다.

Application Gateway에서 고정 IP를 지원하나요?

예, Application Gateway v2 SKU는 고정 공용 IP 주소 및 고정 내부 IP를 지원합니다. v1 SKU는 고정 내부 IP를 지원합니다.

Application Gateway가 게이트웨이에서 여러 공용 IP를 지원하나요?

애플리케이션 게이트웨이는 공용 IP 주소를 하나만 지원합니다.

Application Gateway에 대해 얼마나 큰 서브넷을 만들어야 하나요?

둘 이상의 Application Gateway 리소스를 단일 서브넷에 배포할 수 있나요?

예. 지정된 Application Gateway 배포의 여러 인스턴스 외에도, 다른 애플리케이션 게이트웨이 리소스를 포함하는 기존 서브넷에 다른 고유한 Application Gateway 리소스를 프로비저닝할 수 있습니다.

단일 서브넷은 v2 및 v1 Application Gateway SKU를 둘 다 지원할 수 없습니다.

Application Gateway v2는 UDR(사용자 정의 경로)을 지원하나요?

예, 하지만 특정 시나리오에서만 지원합니다. 자세한 내용은 Application Gateway 인프라 구성을 참조하세요.

Application Gateway에서 x-forwarded-for 헤더를 지원하나요?

예. 요청 수정을 참조하세요.

애플리케이션 게이트웨이를 배포하는 데 얼마나 걸리나요? 애플리케이션 게이트웨이를 업데이트하는 중에도 작동하나요?

새 Application Gateway v1 SKU 배포 시 프로비전하는 데 최대 20분이 걸릴 수 있습니다. 인스턴스 크기 또는 수를 변경해도 중단되지 않으며, 게이트웨이는 이 시간 동안 활성 상태를 유지합니다.

v2 SKU를 사용하는 대부분의 배포는 프로비저닝하는 데 약 6분이 소요됩니다. 그러나 배포 유형에 따라 시간이 더 오래 걸릴 수 있습니다. 예를 들어 여러 인스턴스가 있는 여러 가용성 영역에 배포하는 경우 6분 넘게 걸릴 수 있습니다.

Application Gateway는 일상적인 유지 관리를 어떻게 처리하나요?

Application Gateway에 대해 시작된 업데이트에는 게이트웨이가 배포된 지역의 업무 외 시간 동안 한 번에 하나의 업데이트 도메인이 적용됩니다. 각 업데이트 도메인의 인스턴스가 업데이트될 때 다른 업데이트 도메인의 나머지 인스턴스는 트래픽을 계속 처리합니다. 활성 연결은 업데이트가 시작되기 전에 다른 업데이트 도메인의 인스턴스에 대한 연결을 설정하는 데 도움이 되도록 최대 5분 동안 업데이트되는 인스턴스에서 정상적으로 드레이닝됩니다. 업데이트하는 동안 Application Gateway 구성된 인스턴스 수에 따라 결정되는 감소된 최대 용량으로 일시적으로 실행됩니다. 현재 인스턴스 세트가 성공적으로 업그레이드된 경우에만 업데이트 프로세스가 다음 인스턴스 세트로 진행됩니다.

Exchange Server를 Application Gateway와 함께 백 엔드로 사용할 수 있나요?

Application Gateway는 SMTP, IMAP, POP3 등의 이메일 프로토콜을 지원하지 않습니다. OWA, ActiveSync 및 AutoDiscovery 트래픽과 같은 HTTP/HTTPS 서비스는 Application Gateway 통해 전달될 수 있지만 WAF sku를 사용하는 경우 WAF 제외가 필요할 수 있습니다.

v1 SKU에서 v2 SKU로 마이그레이션할 때 사용할 수 있는 지침이 있나요?

Application Gateway v1 SKU는 계속 지원되나요?

예. Application Gateway v1 SKU는 계속 지원됩니다. 그러나 해당 SKU의 기능 업데이트를 활용하려면 v2로 이동하는 것이 좋습니다. v1과 v2 기능 간의 차이점에 대한 자세한 내용은 자동 크기 조정 및 영역 중복 Application Gateway v2를 참조하세요. v1-v2 마이그레이션 문서에 따라 Application Gateway v1 sku 배포를 v2로 수동으로 마이그레이션할 수 있습니다.

Application Gateway V2는 NTLM 인증을 사용한 프록시 요청을 지원하나요?

아니요. Application Gateway V2는 NTLM 인증을 사용한 프록시 요청을 지원하지 않습니다.

요청이 내 애플리케이션에 전달될 때 일부 헤더 값이 없는 이유는 무엇인가요?

요청 헤더 이름에는 영숫자 문자와 하이픈이 포함될 수 있습니다. 요청이 백 엔드 대상으로 전송되면 다른 문자가 포함된 요청 헤더 이름이 삭제됩니다. 응답 헤더 이름은 밑줄(_)을 제외하고 RFC 7230에 정의된 영숫자 문자와 특정 기호를 포함할 수 있습니다.

Application Gateway 선호도 쿠키는 SameSite 특성을 지원하나요?

예, Chromium 브라우저v80 업데이트는 SameSite=Lax로 처리되어야 하는 SameSite 특성이 없는 HTTP 쿠키에 대한 위임을 도입했습니다. 즉, 타사 컨텍스트에서는 브라우저가 Application Gateway 선호도 쿠키를 보내지 않습니다.

이 시나리오를 지원하기 위해, Application Gateway는 기존 ApplicationGatewayAffinity 쿠키 외에도 ApplicationGatewayAffinityCORS라는 또 다른 쿠키를 삽입합니다. 이러한 쿠키는 유사하지만, ApplicationGatewayAffinityCORS 쿠키에 다음과 같은 두 가지 특성이 더 추가되었습니다. SameSite=None; Secure. 이러한 특성은 원본 간 요청에서도 고정 세션을 유지합니다. 자세한 내용은 쿠키 기반 선호도 섹션을 참조하세요.

활성 수신기 및 비활성 수신기로 간주되는 항목은 무엇인가요?

활성 수신기는 규칙에 연결되고 백 엔드 풀로 트래픽을 전송하는 수신기입니다. 트래픽 리디렉션하는 모든 수신기는 활성 수신기가 아닙니다. 리디렉션 규칙과 연결된 수신기는 활성으로 간주되지 않습니다. 리디렉션 규칙이 경로 기반 규칙인 경우 해당 리디렉션 규칙의 모든 경로가 트래픽을 리디렉션해야 합니다. 그렇지 않으면 수신기가 활성으로 간주됩니다. 개별 구성 요소 제한에 대한 자세한 내용은 Azure 구독 및 서비스 제한, 할당량 및 제약 조건을 참조하세요.

성능

Application Gateway는 고가용성과 확장성을 어떤 방식으로 지원하나요?

인스턴스를 2개 이상 배포한 경우 Application Gateway v1 SKU는 고가용성 시나리오를 지원합니다. 모든 인스턴스가 동시에 실패하는 일이 없도록, Azure는 이러한 인스턴스를 업데이트 및 장애 도메인에 배포합니다. v1 SKU는 로드를 공유하기 위해 동일한 게이트웨이의 여러 인스턴스를 추가하여 확장성을 지원합니다.

v2 SKU의 경우에는 여러 장애 도메인과 업데이트 도메인에 새 인스턴스가 자동으로 분산됩니다. 영역 중복을 선택하면 영역 장애 시의 복원력을 제공하기 위해 최신 인스턴스도 여러 가용성 영역에 분산됩니다.

Application Gateway를 사용하여 데이터 센터 간 DR 시나리오를 구현하려면 어떻게 할까요?

Traffic Manager를 사용하여 서로 다른 데이터 센터에 있는 여러 Application Gateway에 트래픽을 분산할 수 있습니다.

Application Gateway는 연결 드레이닝을 지원하나요?

예. 중지 없이 백 엔드 풀 내에서 멤버를 변경하도록 연결 드레이닝을 설정할 수 있습니다. 자세한 내용은 Application Gateway 연결 드레이닝 섹션을 참조하세요.

Application Gateway는 자동 스케일링을 지원하나요?

예. Application Gateway v2 SKU는 자동 크기 조정을 지원합니다. 자세한 내용은 자동 스케일링 및 영역 중복 Application Gateway를 참조하세요.

수동 또는 자동 스케일 업/스케일 다운 시 가동 중지 시간이 발생하나요?

아니요. 인스턴스가 업그레이드 도메인 및 장애 도메인 간에 배포됩니다.

중단 없이 표준에서 WAF sku로 변경할 수 있나요?

예.

중단 없이 인스턴스 크기를 중간에서 큼으로 변경할 수 있나요?

예.

구성

Application Gateway가 가상 네트워크에서 항상 배포되나요?

예. Application Gateway는 항상 가상 네트워크 서브넷에 배포됩니다. 이 서브넷은 애플리케이션 게이트웨이만 포함할 수 있습니다. 자세한 내용은 가상 네트워크 및 서브넷 요구 사항을 참조하세요.

Application Gateway는 가상 네트워크 외부 또는 구독 외부의 인스턴스와 통신할 수 있나요?

IP 연결이 설정되어 있는 한, Application Gateway는 현재 속한 가상 네트워크의 외부에 있는 인스턴스와 통신할 수 있습니다. 또한 Application Gateway는 현재 속한 구독 외부의 인스턴스와 통신할 수 있습니다. 백 엔드 풀 멤버로 내부 IP를 사용할 계획이면 가상 네트워크 피어링 또는 Azure VPN Gateway가 필요합니다.

Application Gateway 서브넷에서 다른 항목을 배포할 수 있나요?

아니요. 그러나 서브넷에 다른 애플리케이션 게이트웨이를 배포할 수 있습니다.

기존 Application Gateway의 가상 네트워크 또는 서브넷을 변경할 수 있나요?

동일한 가상 네트워크 내의 서브넷 간에만 Application Gateway를 이동할 수 있습니다. 공용 및 프라이빗 프론트엔드가 있는 V1 및 공용 프론트엔드만 있는 V2에서 지원됩니다. 또한 이 작업을 수행하려면 Application Gateway가 중지됨 상태에 있어야 합니다. V1을 중지/시작하면 공용 IP가 변경됩니다. 이 작업은 다음 명령을 실행하여 Azure PowerShell 및 Azure CLI를 통해서만 수행할 수 있습니다.

Azure PowerShell

$VNet = Get-AzVirtualNetwork -Name "<VNetName>" -ResourceGroupName "<ResourceGroup>"
$Subnet = Get-AzVirtualNetworkSubnetConfig -Name "<NewSubnetName>" -VirtualNetwork $VNet
$AppGw = Get-AzApplicationGateway -Name "<ApplicationGatewayName>" -ResourceGroupName "<ResourceGroup>"
Stop-AzApplicationGateway -ApplicationGateway $AppGw
$AppGw = Set-AzApplicationGatewayIPConfiguration -ApplicationGateway $AppGw -Name $AppGw.GatewayIPConfigurations.Name -Subnet $Subnet
#If you have a private frontend IP configuration, uncomment and run the next line:
#$AppGw = Set-AzApplicationGatewayFrontendIPConfig -Name $AppGw.FrontendIPConfigurations.Name[1] -Subnet $Subnet -ApplicationGateway $AppGw
Set-AzApplicationGateway -ApplicationGateway $AppGw

자세한 내용은 Set-AzApplicationGatewayIPConfiguration을 참조하세요.

Azure CLI

az network application-gateway stop -g <ResourceGroup> -n <ApplicationGatewayName>
az network application-gateway update -g <ResourceGroup> -n <ApplicationGatewayName> --set gatewayIpConfigurations[0].subnet.id=<subnetID>

애플리케이션 게이트웨이 서브넷에서 네트워크 보안 그룹이 지원되나요?

애플리케이션 게이트웨이 서브넷에서 사용자 정의 경로를 지원하나요?

Application Gateway 서브넷에서 지원되는 서비스 엔드포인트 정책이 있나요?

아니요. 스토리지 계정에 대한 서비스 엔드포인트 정책은 Application Gateway 서브넷에서 지원되지 않으며 이를 구성하면 Azure 인프라 트래픽이 차단됩니다.

Application Gateway에서 한도는 어떻게 되나요? 이러한 한도를 늘릴 수 있나요?

Application Gateway 제한을 참조하세요.

외부 트래픽과 내부 트래픽 둘 다에 Application Gateway를 동시에 사용할 수 있나요?

예. Application Gateway는 애플리케이션 게이트웨이마다 내부 IP 하나와 외부 IP 하나를 지원합니다.

Application Gateway는 가상 네트워크 피어링을 지원하나요?

예. 가상 네트워크 피어링은 다른 가상 네트워크의 트래픽 부하를 분산하는 데 도움이 됩니다.

온-프레미스 서버가 ExpressRoute 또는 VPN 터널과 연결되어 있으면 이 서버와 통신할 수 있나요?

예, 트래픽이 허용되기만 한다면 가능합니다.

백 엔드 풀 하나가 여러 포트에서 여러 애플리케이션에 서비스를 제공할 수 있나요?

마이크로서비스 아키텍처가 지원됩니다. 여러 포트에서 탐색하려면 여러 HTTP 설정을 구성해야 합니다.

사용자 지정 프로브는 응답 데이터의 와일드 카드 또는 regex를 지원하나요?

아니요.

Application Gateway에서 회람 규칙은 어떻게 처리되나요?

처리 규칙 순서를 참조하세요.

사용자 지정 프로브의 호스트 필드는 무엇을 나타내나요?

호스트 필드는 Application Gateway에서 다중 사이트를 구성한 경우 프로브를 보낼 이름을 지정합니다. 지정하지 않으면 '127.0.0.1'이 사용됩니다. 이 값은 가상 머신 호스트 이름과 다릅니다. 형식은 <프로토콜>://<호스트>:<포트><경로>입니다.

Application Gateway가 일부 원본 IP 주소에만 액세스하도록 허용할 수 있나요?

예. 특정 원본 IP로 액세스 제한을 참조하세요.

퍼블릭 연결 수신기와 프라이빗 연결 수신기에 똑같은 포트를 사용할 수 있나요?

아니요.

Application Gateway는 IPv6를 지원하나요?

Application Gateway v2는 현재 IPv6을 지원하지 않습니다. IPv4만 사용하는 이중 스택 VNet에서 작동할 수 있지만, 게이트웨이 서브넷이 IPv4 전용이어야 합니다. Application Gateway v1은 이중 스택 VNet을 지원하지 않습니다.

Application Gateway V2에서 개인 프런트 엔드 IP 주소만 사용하려면 어떻게 할까요?

현재 Application Gateway V2는 사설 IP 전용 모드를 지원하지 않습니다. 지원되는 조합은 다음과 같습니다.

  • 사설 IP 및 공용 IP
  • 공용 IP 전용

하지만 아래 프로세스를 수행하면 Application Gateway V2에서 사설 IP만 사용할 수 있습니다.

  1. 공용 및 개인 프런트 엔드 IP 주소를 모두 사용하는 Application Gateway를 만듭니다.

  2. 공용 프런트 엔드 IP 주소용 수신기를 만들지 않습니다. Application Gateway 수신기가 만들어지지 않으면 공용 IP 주소의 트래픽을 수신 대기하지 않습니다.

  3. 다음 구성을 우선 순위 순서대로 사용하여 Application Gateway 서브넷에 대한 네트워크 보안 그룹을 만들고 연결합니다.

    a. 원본 GatewayManager 서비스 태그, 대상 모두, 대상 포트 65200-65535의 트래픽을 허용합니다. 이 포트 범위는 Azure 인프라 통신에 필요합니다. 이러한 포트는 인증서 인증을 통해 보호(잠금)됩니다. 게이트웨이 사용자 관리자를 비롯한 외부 엔터티는 적절한 인증서 없이는 엔드포인트에 대한 변경 작업을 시작할 수 없습니다.

    b. 원본 AzureLoadBalancer 서비스 태그, 대상 포트 모두의 트래픽을 허용합니다.

    다. 원본 인터넷 서비스 태그, 대상 포트 모두의 모든 인바운드 트래픽을 거부합니다. 인바운드 규칙에서 이 규칙에 가장 낮은 우선 순위를 지정합니다.

    d. 개인 IP 주소에 대한 액세스가 차단되지 않도록 VirtualNetwork 인바운드 허용과 같은 기본 규칙을 유지합니다.

    e. 아웃바운드 인터넷 연결은 차단할 수 없습니다. 차단할 경우 로깅, 메트릭 등에서 문제가 발생합니다.

개인 IP 전용 액세스에 대한 샘플 NSG 구성: 개인 IP 액세스 전용 V2 NSG 구성 Application Gateway

어떻게 중지하고 Azure Application Gateway 시작할 수 있나요?

Azure PowerShell 또는 Azure CLI를 사용하여 Azure Application Gateway 중지하고 시작할 수 있습니다. Application Gateway 중지하고 시작하면 청구도 중지되고 시작됩니다.

# Stop an existing Azure Application Gateway instance

$appGateway = Get-AzApplicationGateway -Name $appGatewayName -ResourceGroupName $resourceGroupName
Stop-AzApplicationGateway -ApplicationGateway $appGateway       
# Start an existing Azure Application Gateway instance

$appGateway = Get-AzApplicationGateway -Name $appGatewayName -ResourceGroupName $resourceGroupName
Start-AzApplicationGateway -ApplicationGateway $appGateway           
# Stop an existing Azure Application Gateway instance

az network application-gateway stop -g MyResourceGroup -n MyAppGateway
# Start an existing Azure Application Gateway instance

az network application-gateway start -g MyResourceGroup -n MyAppGateway

구성 - TLS

Application Gateway는 어떤 인증서를 지원하나요?

Application Gateway는 자체 서명된 인증서, CA(인증 기관) 인증서, EV(확장 유효성 검사) 인증서, 다중 도메인(SAN) 인증서 및 와일드 카드 인증서를 지원합니다.

Application Gateway는 어떤 암호 그룹을 지원하나요?

Application Gateway는 다음과 같은 암호 그룹을 지원합니다.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

TLS 옵션을 사용자 지정하는 방법은 Application Gateway에서 TLS 정책 버전 및 암호 그룹 구성을 참조하세요.

Application Gateway는 백 엔드에 대해 트래픽의 재암호화를 지원하나요?

예. Application Gateway는 TLS 오프로드와 백 엔드에 대한 트래픽을 다시 암호화하는 엔드투엔드 TLS를 지원합니다.

TLS 프로토콜 버전을 제어하는 TLS 정책을 구성할 수 있나요?

예. TLS1.0, TLS1.1 및 TLS1.2를 거부하도록 Application Gateway를 구성할 수 있습니다. SSL 2.0 및 3.0은 기본적으로 비활성화되며 구성할 수 없습니다.

암호 그룹 및 정책 순서를 구성할 수 있나요?

예. Application Gateway에서는 암호 그룹을 구성할 수 있습니다. 사용자 지정 정책을 정의하려면 다음 암호 그룹 중 하나 이상을 사용하도록 설정해야 합니다.

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256

Application Gateway는 백 엔드 관리에 SHA256을 사용합니다.

Application Gateway는 TLS/SSL 인증서를 몇 개까지 지원하나요?

Application Gateway는 최대 100의 TLS/SSL 인증서를 지원합니다.

Application Gateway는 OCSP 및 OCSP 스테이플링을 지원하나요?

예, Application Gateway는 서버 인증서에 대해 OCSP 확장 및 OCSP 스테이플링을 사용하는 인증서를 지원합니다.

Application Gateway는 백 엔드 재암호화에 인증 인증서를 몇 개까지 지원하나요?

Application Gateway는 최대 100의 인증 인증서를 지원합니다.

Application Gateway는 기본적으로 Azure Key Vault와 통합되나요?

예, Application Gateway v2 SKU는 Key Vault를 지원합니다. 자세한 내용은 Key Vault 인증서를 사용한 TLS 종료를 참조하세요.

.com 및 .net 사이트에 대해 HTTPS 수신기를 구성하려면 어떻게 할까요??

다중 도메인 기반(호스트 기반) 라우팅의 경우 다중 사이트 수신기를 만들고, HTTPS를 프로토콜로 사용하는 수신기를 설정하고, 수신기를 회람 규칙과 연결할 수 있습니다. 자세한 내용은 Application Gateway를 사용하여 여러 사이트 호스팅을 참조하세요.

.pfx 파일 암호에 특수 문자를 사용해도 되나요?

아니요, .pfx 파일 암호에는 영숫자 문자만 사용할 수 있습니다.

내 EV 인증서가 DigiCert에서 발급되었으며, 내 중간 인증서가 해지된 상태입니다. Application Gateway에서 인증서를 갱신하려면 어떻게 할까요?

CA(인증 기관) 브라우저 멤버는 최근 고객, Microsoft 및 공개적으로 신뢰할 수 있는 CA에 대한 업계 표준을 준수하지 않는 더 큰 기술 커뮤니티에서 사용하는 CA 공급업체에서 발급한 여러 인증서를 자세히 설명하는 보고서를 게시했습니다. 비준수 CA에 대한 보고서는 다음에서 찾을 수 있습니다.

업계의 규정 준수 요구 사항에 따라 CA 공급업체는 비규격 CA를 해지하고 고객이 인증서를 재발행해야 하는 규정 준수 CA를 발급하기 시작했습니다. Microsoft Azure 서비스에 대한 잠재적 영향을 최소화하기 위해 이러한 공급업체와 긴밀히 협력하고 있지만 BYOC(Bring Your Own Certificate) 시나리오에서 사용되는 자체 발급 인증서 또는 인증서는 여전히 예기치 않게 해지될 위험이 있습니다.

애플리케이션에 사용되는 인증서가 해지되었는지 확인하려면 DigiCert 발표인증서 해지 추적기를 참조하세요. 인증서가 해지되었거나 해지될 예정이면, 애플리케이션에 사용되는 CA 공급업체에 새 인증서를 요청해야 합니다. 인증서가 예기치 않게 해지되어 애플리케이션의 가용성이 중단되는 것을 방지하거나 해지된 인증서를 업데이트하려면 BYOC를 지원하는 다양한 Azure 서비스의 수정 링크는 Azure 업데이트 게시물을 참조하세요. https://azure.microsoft.com/updates/certificateauthorityrevocation/

Application Gateway 관련 정보는 아래를 참조하세요.

해지된 IA 중 하나에서 발급한 인증서를 사용하는 경우 애플리케이션의 가용성이 중단될 수 있으며 애플리케이션에 따라 다음을 포함하지만 이에 국한되지 않는 다양한 오류 메시지가 표시될 수 있습니다.

  1. 잘못된 인증서/해지된 인증서
  2. 연결 시간이 초과됨
  3. HTTP 502

이 문제로 인해 애플리케이션이 중단되지 않도록 하거나 해지된 CA를 재발행하려면 다음 작업을 수행해야 합니다.

  1. 인증서를 다시 발급하는 방법은 인증서 공급자에게 문의하세요.
  2. 다시 발급되었으면 Azure Application Gateway/WAF에서 전체 신뢰 체인(리프, 중간, 루트 인증서)으로 인증서를 업데이트합니다. Application Gateway 수신기 또는 HTTP 설정에서 인증서를 사용하는 위치에 따라 아래 단계에 따라 인증서를 업데이트하고 설명서 링크에서 자세한 내용을 확인합니다.
  3. 다시 발급된 인증서를 사용하도록 백 엔드 애플리케이션 서버를 업데이트합니다. 사용 중인 백 엔드 서버에 따라 인증서 업데이트 단계가 다를 수 있습니다. 공급업체의 설명서를 확인하세요.

수신기에서 인증서를 업데이트하려면 다음을 수행합니다.

  1. Azure Portal Application Gateway 리소스를 엽니다.
  2. 인증서와 연결된 수신기 설정을 엽니다.
  3. "선택한 인증서 갱신 또는 편집"을 클릭합니다.
  4. 암호를 사용하여 새 PFX 인증서를 업로드하고 저장을 클릭합니다.
  5. 웹 사이트에 액세스하고 사이트가 예상대로 작동하는지 확인합니다. 자세한 내용은 Application Gateway 인증서 갱신을 참조하세요.

Application Gateway 수신기에서 Azure KeyVault의 인증서를 참조하는 경우 빠른 변경을 위해 다음 단계를 수행하는 것이 좋습니다.

  1. Azure Portal Application Gateway 연결된 Azure KeyVault 설정으로 이동합니다.
  2. 저장소에서 다시 발급된 인증서를 추가/가져옵니다. 방법에 대한 자세한 내용은 여기에서 설명서를 참조하세요.
  3. 인증서를 가져온 후 Application Gateway 수신기 설정으로 이동하고 “Key Vault에서 인증서 선택”에서 “인증서” 드롭다운을 클릭하고 최근에 추가된 인증서를 선택합니다.
  4. 저장을 클릭하여 Key Vault 인증서를 사용하여 Application Gateway TLS 종료에 대한 자세한 내용은 Key Vault 인증서를 사용하여 TLS 종료를 참조하세요.

HTTP 설정에서 인증서를 업데이트하려면 다음을 수행합니다.

Application Gateway/WAF 서비스의 V1 SKU를 사용하는 경우 새 인증서를 백 엔드 인증 인증서로 업로드해야 합니다.

  1. Azure Portal Application Gateway 리소스를 엽니다.
  2. 인증서와 연결된 HTTP 설정을 엽니다.
  3. "인증서 추가"를 클릭하고 재발행된 인증서를 업로드하고 저장을 클릭합니다.
  4. 나중에 이전 인증서 옆에 있는 “...” 옵션 단추를 클릭하여 이전 인증서를 제거하고 삭제를 선택한 후 저장을 클릭할 수 있습니다. 자세한 내용은 포털에서 Application Gateway 사용하여 엔드투엔드 TLS 구성을 참조하세요.

Application Gateway/WAF 서비스의 V2 SKU를 사용하는 경우 V2 SKU는 "신뢰할 수 있는 루트 인증서"를 사용하므로 HTTP 설정에 새 인증서를 업로드할 필요가 없으며 여기서는 작업을 수행할 필요가 없습니다.

구성 - AKS용 수신 컨트롤러

수신 컨트롤러란 무엇인가요?

Kubernetes를 사용하면 deploymentservice 리소스를 만들어서 클러스터 내부에서 Pod 그룹을 공개할 수 있습니다. 외부에서 동일한 서비스를 공개하기 위해 부하 분산, TLS 종료 및 이름 기반 가상 호스팅을 제공하는 Ingress 리소스가 정의됩니다. 이 Ingress 리소스를 충족하려면 Ingress 리소스의 변경 내용을 수신 대기하고 부하 분산 장치 정책을 구성하는 수신 컨트롤러가 필요합니다.

AGIC(Application Gateway Ingress Controller)는 Azure Application Gateway를 AKS 클러스터라고도 부르는 Azure Kubernetes Service에 대해 수신으로 사용할 수 있게 해줍니다.

단일 수신 컨트롤러 인스턴스가 여러 Application Gateway를 관리할 수 있나요?

현재는 수신 컨트롤러 인스턴스 하나를 Application Gateway 하나에만 연결할 수 있습니다.

kubenet를 포함한 내 AKS 클러스터가 AGIC에서 작동하지 않는 이유는 무엇인가요?

AGIC가 경로 테이블 리소스를 Application Gateway 서브넷에 자동으로 연결하려고 시도하지만, AGIC에서 권한 부족으로 인해 이를 수행하지 못할 수 있습니다. AGIC가 경로 테이블을 Application Gateway 서브넷에 연결할 수 없으면 AGIC에 이를 알리는 오류가 표시됩니다. 이 경우 AKS 클러스터로 생성된 경로 테이블을 Application Gateway의 서브넷에 수동으로 연결해야 합니다. 자세한 내용은 지원되는 사용자 정의 경로를 참조하세요.

내 AKS 클러스터 및 Application Gateway를 개별 가상 네트워크에서 연결할 수 있나요?

예, 가상 네트워크가 피어링되어 있고 주소 공간이 겹치지 않는 한 가능합니다. kubenet에 AKS를 실행하는 경우 AKS로 생성된 경로 테이블을 Application Gateway 서브넷에 연결해야 합니다.

AGIC 추가 기능에서 지원되지 않는 기능은 무엇인가요?

Helm을 통해 배포된 AGIC와 AKS 추가 항목으로 배포된 것 사이의 차이점은 여기를 참조하세요.

추가 항목과 Helm 배포는 언제 사용해야 하나요?

Helm을 통해 배포된 AGIC와 AKS 추가 항목으로 배포된 것 사이의 차이점은 여기를 참조하세요. 특히 AKS 추가 항목과 반대로 Helm을 통해 배포된 AGIC에서 지원되는 시나리오를 보여주는 표에 주의하세요. 일반적으로 Helm을 통해 배포하면 공식 출시 전 베타 기능 및 출시 후보를 테스트할 수 있습니다.

추가 항목으로 배포되는 AGIC 버전을 제어할 수 있나요?

아니요, AGIC 추가 항목은 관리되는 서비스입니다. 즉, Microsoft가 추가 항목을 최신 안정화 버전으로 자동으로 업데이트합니다.

구성 - 상호 인증

상호 인증이란 무엇인가요?

상호 인증은 클라이언트와 서버 간의 양방향 인증입니다. 현재까지 Application Gateway에서는 상호 인증을 통해 게이트웨이가 클라이언트 인증인 요청을 전송하는 클라이언트를 확인할 수 있습니다. 일반적으로 클라이언트는 Application Gateway를 인증하는 유일한 항목입니다. 이제는 Application Gateway도 클라이언트를 인증할 수 있기 때문에 Application Gateway와 클라이언트가 서로를 상호 인증하는 상호 인증이 되었습니다.

Application Gateway와 해당 백 엔드 풀 사이에 상호 인증을 사용할 수 있나요?

아니요, 상호 인증은 현재까지 프런트 엔드 클라이언트와 Application Gateway 사이에서만 가능합니다. 백 엔드 상호 인증은 현재 지원되지 않습니다.

진단 및 로깅

Application Gateway는 어떤 유형의 로그를 제공하나요?

Application Gateway는 다음 세 가지 로그를 제공합니다.

  • ApplicationGatewayAccessLog: 이 액세스 로그에는 애플리케이션 게이트웨이 프런트 엔드에 제출된 각 요청이 포함되어 있습니다. 이 데이터에는 호출자의 IP, 요청된 URL, 응답 대기 시간, 반환 코드, 바이트 입출력이 포함되어 있습니다. 애플리케이션 게이트웨이마다 하나의 레코드가 포함됩니다.
  • ApplicationGatewayPerformanceLog: 성능 로그는 각 애플리케이션 게이트웨이의 성능 정보를 캡처합니다. 이 정보에는 처리량(바이트), 처리된 총 요청 수, 실패한 요청 수, 정상 및 비정상 백 엔드 인스턴스 수가 포함됩니다.
  • ApplicationGatewayFirewallLog: WAF를 사용하여 구성하는 애플리케이션 게이트웨이의 경우 방화벽 로그에는 검색 모드 또는 방지 모드를 통해 기록된 요청이 포함됩니다.

모든 로그는 60초마다 수집됩니다. 자세한 내용은 Application Gateway에 대한 백 엔드 상태, 진단 로그 및 메트릭을 참조하세요.

내 백 엔드 풀 멤버가 정상인지 어떻게 알 수 있나요?

PowerShell cmdlet Get-AzApplicationGatewayBackendHealth 또는 포털을 사용하여 상태를 확인할 수 있습니다. 자세한 내용은 Application Gateway 진단을 참조하세요.

진단 로그의 보존 정책은 무엇인가요?

진단 로그는 고객의 스토리지 계정으로 전송됩니다. 고객은 원하는 대로 보존 정책을 설정할 수 있습니다. 진단 로그를 이벤트 허브 또는 Azure Monitor 로그에도 전송할 수 있습니다. 자세한 내용은 Application Gateway 진단을 참조하세요.

Application Gateway에 대한 감사 로그를 어떻게 얻나요?

포털의 애플리케이션 게이트웨이 메뉴 블레이드에서 활동 로그를 선택하여 감사 로그에 액세스하면 됩니다.

Application Gateway로 경고를 설정할 수 있나요?

예. Application Gateway에서 경고는 메트릭에 대해 구성됩니다. 자세한 내용은 Application Gateway 메트릭경고 알림 받기를 참조하세요.

Application Gateway에 대한 트래픽 통계를 분석하려면 어떻게 해야 하나요?

여러 가지 방법으로 액세스 로그를 살펴보고 분석할 수 있습니다. Azure Monitor 로그, Excel, Power BI 등을 사용할 수 있습니다.

Application Gateway 액세스 로그에 널리 사용되는 GoAccess 로그 분석기를 설치하고 실행하는 Resource Manager 템플릿을 사용할 수도 있습니다. GoAccess는 고유 방문자, 요청한 파일, 호스트, 운영 체제, 브라우저, HTTP 상태 코드 등의 유용한 HTTP 트래픽 통계를 제공합니다. 자세한 내용은 GitHub에서 Resource Manager 템플릿 폴더의 Readme 파일을 참조하세요.

백 엔드 상태가 알 수 없는 상태로 돌아가는 이유는 무엇인가요?

일반적으로 애플리케이션 게이트웨이 서브넷에서 NSG(네트워크 보안 그룹), 사용자 지정 DNS 또는 UDR(사용자 정의 라우팅)에 의해 백 엔드 액세스가 차단되는 경우에 알 수 없음 상태로 표시됩니다. 자세한 내용은 Application Gateway에 대한 백 엔드 상태, 진단 로깅 및 메트릭을 참조하세요.

NSG 흐름 로그가 Application Gateway v2 서브넷과 연결된 NSG에서 지원되나요?

현재 플랫폼 제한으로 인해 Application Gateway v2(Standard_v2, WAF_v2) 서브넷에 NSG가 있고 여기에서 NSG 흐름 로그를 사용하도록 설정한 경우, 비결정적 동작이 표시되며 이 시나리오는 현재까지 지원되지 않습니다.

Application Gateway는 고객 데이터를 어디에 저장하나요?

Application Gateway 배포된 지역에서 고객 데이터를 이동하거나 저장하지 않습니다.

다음 단계

Application Gateway에 대한 자세한 내용은 Azure Application Gateway란?을 참조하세요. TLS 종료 및 Application Gateway 종단 간 TLS에 대한 자세한 내용은 Azure Application Gateway 종단 간 TLS 사용을 참조하세요.