Azure Web PubSub Service에 대한 사용자 지정 도메인 구성
Azure Web PubSub 서비스에서 제공하는 기본 do기본 외에도 사용자 지정 do기본 추가할 수도 있습니다. 사용자 지정 할 일기본 소유하고 관리하는 do기본 이름입니다. 사용자 지정 do기본 사용하여 Azure Web PubSub 서비스 리소스에 액세스할 수 있습니다. 예를 들어 Azure Web PubSub 서비스 리소스에 액세스하는 대신 contoso.webpubsub.azure.com 사용할 contoso.example.com 수 있습니다.
필수 조건
- 활성 구독이 있는 Azure 계정. Azure 계정이 없는 경우 계정을 무료로 만들 수 있습니다.
- Azure Web PubSub 서비스(프리미엄 계층이어야 합니다).
- Azure Key Vault 리소스입니다.
- 사용자 지정 do기본 일치하는 사용자 지정 인증서는 Azure Key Vault에 저장됩니다.
사용자 지정 인증서 추가
사용자 지정 작업을 추가하려면 먼저 일치하는 사용자 지정 인증서를 추가해야 기본. 사용자 지정 인증서는 Azure Web PubSub 서비스의 리소스입니다. 이는 Azure Key Vault의 인증서를 참조합니다. 보안 및 규정 준수를 위해 Azure Web PubSub Service는 인증서를 영구적으로 저장하지 않습니다. 대신 Key Vault에서 인증서를 즉시 페치하고 메모리에 보관합니다.
1단계: Key Vault에 Azure Web PubSub Service 리소스 액세스 권한 부여
Azure Web PubSub Service는 관리 ID를 사용하여 Key Vault에 액세스합니다. 권한을 부여하려면 사용 권한을 부여해야 합니다.
Azure Portal에서 Azure Web PubSub Service 리소스로 이동합니다.
메뉴 창에서 ID를 선택합니다.
시스템 할당 또는 사용자 할당 ID를 선택할 수 있습니다. 사용자 할당 ID를 사용하려면 먼저 ID를 만들어야 합니다.
시스템 할당 ID를 추가하려면
- 켜기를 선택합니다.
- 예를 선택하여 확인합니다.
- 저장을 선택합니다.
사용자 할당 ID를 추가하려면
- 사용자 할당 관리 ID 추가를 선택합니다.
- 기존 ID를 선택합니다.
- 추가를 선택합니다.
저장을 선택합니다.
Key Vault 권한 모델을 구성하는 방법에 따라 다른 위치에서 권한을 부여해야 할 수 있습니다.
Key Vault 기본 제공 액세스 정책을 Key Vault 권한 모델로 사용하는 경우:
Key Vault 리소스로 이동합니다.
메뉴 창에서 액세스 구성을 선택합니다.
자격 증명 모음 액세스 정책을 선택합니다.
액세스 정책으로 이동을 선택합니다.
만들기를 실행합니다.
비밀 가져오기 권한을 선택합니다.
인증서 가져오기 권한을 선택합니다.
다음을 선택합니다.
Azure Web PubSub 서비스 리소스 이름을 검색합니다.
다음을 선택합니다.
애플리케이션 탭에서 다음을 선택합니다.
만들기를 실행합니다.
2단계: 사용자 지정 인증서 만들기
Azure Portal에서 Azure Web PubSub Service 리소스로 이동합니다.
메뉴 창에서 사용자 지정 도메인을 선택합니다.
사용자 지정 인증서 섹션에서 추가를 선택합니다.
사용자 지정 인증서에 사용할 이름을 입력합니다.
Key Vault에서 선택을 선택하여 Key Vault 인증서를 선택합니다. 다음 Key Vault 기본 URI를 선택하면 Key Vault 비밀 이름이 자동으로 채워집니다. 또는 이러한 필드를 수동으로 채울 수도 있습니다.
필요에 따라 인증서를 특정 버전에 고정하려는 경우 Key Vault 비밀 버전을 지정할 수 있습니다.
추가를 선택합니다.
Azure Web PubSub 서비스는 인증서를 가져오고 해당 콘텐츠의 유효성을 검사합니다. 성공하면 인증서의 프로비전 상태가 성공이 됩니다.
사용자 지정 도메인 CNAME 만들기
사용자 지정 도메인의 소유권의 유효성을 검사하려면 사용자 지정 도메인에 대한 CNAME 레코드를 만들고 Azure Web PubSub Service의 기본 도메인을 가리킵니다.
예를 들어 기본 도메인이 contoso.webpubsub.azure.com이고 사용자 지정 도메인이 contoso.example.com인 경우 다음과 같이 example.com에 CNAME 레코드를 만들어야 합니다.
contoso.example.com. 0 IN CNAME contoso.webpubsub.azure.com.
Azure DNS 영역을 사용하는 경우 CNAME 레코드를 추가하는 방법을 알아보려면 DNS 레코드 관리를 참조하세요.
다른 DNS 공급자를 사용하는 경우 공급자 가이드에 따라 CNAME 레코드를 만듭니다.
사용자 지정 도메인 추가
사용자 지정 도메인은 Azure Web PubSub Service의 또 다른 하위 리소스입니다. 사용자 지정 도메인에 대한 모든 구성을 포함합니다.
Azure Portal에서 Azure Web PubSub Service 리소스로 이동합니다.
메뉴 창에서 사용자 지정 도메인을 선택합니다.
사용자 지정 도메인에서 추가를 선택합니다.
사용자 지정 도메인의 이름을 입력합니다. 하위 리소스 이름입니다.
do기본 이름을 입력합니다. 사용자 지정 도메인의 전체 도메인 이름(예:
contoso.com)입니다.이 사용자 지정 도메인에 적용되는 사용자 지정 인증서를 선택합니다.
추가를 선택합니다.
사용자 지정 도메인 확인
이제 사용자 지정 도메인을 통해 Azure Web PubSub Service 엔드포인트에 액세스할 수 있습니다. 이를 확인하려면 상태 API에 액세스할 수 있습니다.
다음은 cURL을 사용하는 예제입니다.
PS C:\> curl.exe -v https://contoso.example.com/api/health
...
> GET /api/health HTTP/1.1
> Host: contoso.example.com
< HTTP/1.1 200 OK
...
PS C:\>
상태 API는 인증서 오류 없이 상태 코드를 반환 200 해야 합니다.
프라이빗 네트워크의 Key Vault
Key Vault에 프라이빗 엔드포인트를 구성한 경우 Azure Web PubSub 서비스는 공용 네트워크를 통해 Key Vault에 액세스할 수 없습니다. Azure Web PubSub 서비스가 프라이빗 네트워크를 통해 Key Vault에 액세스할 수 있도록 공유 프라이빗 엔드포인트를 설정해야 합니다.
공유 프라이빗 엔드포인트를 만든 후 평소와 같이 사용자 지정 인증서를 만들 수 있습니다. Key Vault URI에서 do기본 변경할 필요가 없습니다. 예를 들어 Key Vault 기본 URI인 https://contoso.vault.azure.net경우 이 URI를 사용하여 사용자 지정 인증서를 구성합니다.
Key Vault 방화벽 설정에서 Azure Web PubSub 서비스 IP를 명시적으로 허용할 필요가 없습니다. 자세한 내용은 Key Vault 프라이빗 링크 진단을 참조하세요.
인증서 회전
사용자 지정 인증서를 만들 때 비밀 버전을 지정하지 않으면 Azure Web PubSub Service는 Key Vault에서 정기적으로 최신 버전을 검사. 새 버전이 관찰되면 자동으로 적용됩니다. 지연은 일반적으로 1시간 이내입니다.
또는 Key Vault의 특정 비밀 버전에 사용자 지정 인증서를 고정할 수도 있습니다. 새 인증서를 적용해야 하는 경우 비밀 버전을 편집한 다음 사용자 지정 인증서를 사전에 업데이트할 수 있습니다.