Azure Front Door의 도메인
도메인은 Azure Front Door가 애플리케이션의 트래픽을 수신하는 데 사용하는 사용자 지정 도메인 이름을 나타냅니다. Azure Front Door는 세 가지 유형의 도메인 이름 추가를 지원합니다.
- 하위 도메인은 사용자 지정 도메인 이름의 가장 일반적인 유형입니다. 하위 도메인의 예는
myapplication.contoso.com입니다. - Apex 도메인에는 하위 도메인이 포함되어 있지 않습니다. apex 도메인의 예는
contoso.com입니다. Azure Front Door에서 apex 도메인을 사용하는 방법에 대한 자세한 내용은 Apex 도메인을 참조하세요. - 와일드카드 도메인을 사용하면 모든 하위 도메인에 대한 트래픽을 수신할 수 있습니다. 와일드카드 도메인의 예제로는
*.contoso.com이 있습니다. Azure Front Door에서 와일드카드 도메인을 사용하는 방법에 대한 자세한 내용은 와일드카드 도메인을 참조하세요.
도메인이 Azure Front Door 프로필에 추가됩니다. 각 경로에서 서로 다른 경로를 사용하는 경우 엔드포인트 내의 여러 경로에서 도메인을 사용할 수 있습니다.
Azure Front Door 프로필에 사용자 지정 도메인을 추가하는 방법을 알아보려면 Azure Portal을 사용하여 Azure Front Door에서 사용자 지정 도메인 구성을 참조하세요.
DNS 구성
Azure Front Door 프로필에 도메인을 추가하면 DNS 서버에서 다음 두 개의 레코드를 구성합니다.
- 도메인 이름 소유권의 유효성을 검사하는 데 필요한 DNS TXT 레코드입니다. DNS TXT 레코드에 대한 자세한 내용은 도메인 유효성 검사를 참조하세요.
- Azure Front Door로의 인터넷 트래픽 흐름을 제어하는 DNS CNAME 레코드입니다.
팁
DNS를 변경하기 전에 Azure Front Door 프로필에 도메인 이름을 추가할 수 있습니다. 이 방식은 Azure Front Door 구성을 함께 설정해야 하거나 DNS 레코드를 변경하는 별도의 팀이 있는 경우에 유용할 수 있습니다.
트래픽 흐름을 제어하기 위해 CNAME 레코드를 추가하기 전에 DNS TXT 레코드를 추가하여 도메인 소유권의 유효성을 검사할 수도 있습니다. 이 방식은 애플리케이션이 이미 프로덕션에 있는 경우 마이그레이션 가동 중지 시간이 발생하지 않도록 하는 데 유용할 수 있습니다.
도메인 유효성 검사
Azure Front Door에 추가된 모든 도메인의 유효성을 검사해야 합니다. 유효성 검사는 실수로 잘못된 구성을 방지하고 도메인 스푸핑으로부터 다른 사람을 보호하는 데도 도움이 됩니다. 경우에 따라 도메인은 다른 Azure 서비스에서 사전 유효성을 검사할 수 있습니다. 그렇지 않으면 Azure Front Door 도메인 유효성 검사 프로세스를 따라 도메인 이름의 소유권을 증명해야 합니다.
Azure 미리 유효성이 검사된 도메인 은 지원되는 다른 Azure 서비스에서 유효성을 검사한 도메인입니다. 다른 Azure 서비스에 도메인을 온보딩하고 유효성을 검사한 다음, 나중에 Azure Front Door를 구성하는 경우 사전 유효성이 검사된 도메인으로 작업할 수 있습니다. 이 유형의 도메인을 사용하는 경우 Azure Front Door를 통해 도메인의 유효성을 검사할 필요가 없습니다.
참고 항목
Azure Front Door는 현재 Azure Static Web Apps로 구성된 사전 유효성이 검사된 도메인만 허용합니다.
비 Azure 유효성이 검사된 도메인 - 지원되는 Azure 서비스에서 유효성을 검사하지 않는 도메인입니다. 이 도메인 유형은 Azure DNS를 포함한 모든 DNS 서비스로 호스팅될 수 있으며, Azure Front Door에서 도메인 소유권의 유효성을 검사해야 합니다.
TXT 레코드 유효성 검사
도메인의 유효성을 검사하려면 DNS TXT 레코드를 만들어야 합니다. TXT 레코드의 이름은 _dnsauth.{subdomain} 형식이어야 합니다. Azure Front Door는 Azure Front Door에 도메인을 추가하기 시작할 때 TXT 레코드에 고유한 값을 제공합니다.
예를 들어 Azure Front Door에서 사용자 지정 하위 도메인 myapplication.contoso.com을 사용하려는 경우를 가정해 보겠습니다. 먼저 Azure Front Door 프로필에 도메인을 추가하고 사용해야 하는 TXT 레코드 값을 적어 두어야 합니다. 그런 후, 다음 속성을 사용하여 DNS 레코드를 구성해야 합니다.
| 속성 | 값 |
|---|---|
| 레코드 이름 | _dnsauth.myapplication |
| 레코드 값 | Azure Front Door에서 제공하는 값 사용 |
| TTL(Time to Live) | 1시간 |
도메인의 유효성이 성공적으로 검사되면 DNS 서버에서 TXT 레코드를 안전하게 삭제할 수 있습니다.
사용자 지정 도메인에 대한 DNS TXT 레코드를 추가하는 방법에 대한 자세한 내용은 Azure Portal을 사용하여 Azure Front Door에서 사용자 지정 도메인 구성을 참조하세요.
도메인 유효성 검사 상태
다음 표에는 도메인이 표시될 수 있는 유효성 검사 상태가 나와 있습니다.
| 도메인 유효성 검사 상태 | 설명 및 작업 |
|---|---|
| 제출 중 | 사용자 지정 도메인이 만들어지고 있습니다. 도메인 리소스가 준비될 때까지 기다립니다. |
| 보류 중 | DNS TXT 레코드 값이 생성되었으며 Azure Front Door에서 DNS TXT 레코드를 추가할 준비가 되었습니다. DNS 공급자에 DNS TXT 레코드를 추가하고 유효성 검사가 완료될 때까지 기다립니다. TXT 레코드가 DNS 공급자로 업데이트된 후에도 상태가 보류 중이면 다시 생성을 선택하여 TXT 레코드를 새로 고친 다음, DNS 공급자에 TXT 레코드를 다시 추가합니다. |
| 보류 중인 유효성 재검사 | 관리되는 인증서가 만료된 지 45일도 채 되지 않습니다. Azure Front Door 엔드포인트를 이미 가리키는 CNAME 레코드가 있는 경우 인증서 갱신을 위한 작업이 필요하지 않습니다. 사용자 지정 도메인이 다른 CNAME 레코드를 가리키는 경우 보류 중인 유효성 재검사재 상태를 선택한 다음, 사용자 지정 도메인 유효성 검사 페이지에서 다시 생성을 선택합니다. 마지막으로, Azure DNS를 사용하는 경우 추가를 선택하거나 자체 DNS 공급자의 DNS 관리를 통해 TXT 레코드를 수동으로 추가합니다. |
| 유효성 검사 토큰 새로 고침 | 도메인은 다시 생성 단추를 선택한 후 잠시 동안 유효성 검사 토큰 새로 고침 상태로 전환됩니다. 새 TXT 레코드 값이 발급되면 상태가 보류 중으로 변경됩니다. 사용자가 조치할 필요는 없습니다. |
| 승인됨 | 도메인의 유효성이 성공적으로 검사되었으며 Azure Front Door는 이 도메인을 사용하는 트래픽을 허용할 수 있습니다. 사용자가 조치할 필요는 없습니다. |
| 거부됨 | 인증서 공급자/기관이 관리되는 인증서 발급을 거부했습니다. 예를 들어 도메인 이름이 잘못되었을 수 있습니다. 이 표 아래의 스크린샷과 같이 거부됨 링크를 선택한 다음, 사용자 지정 도메인 유효성 검사 페이지에서 다시 생성을 선택합니다. 그런 다음, 추가를 선택하여 DNS 공급자에 TXT 레코드를 추가합니다. |
| 시간 제한 | TXT 레코드가 7일 이내에 DNS 공급자에 추가되지 않았거나 잘못된 DNS TXT 레코드가 추가되었습니다. 제한 시간 링크를 선택한 다음, 사용자 지정 도메인 유효성 검사 페이지에서 다시 생성을 선택합니다. 그런 다음, 추가를 선택하여 새 TXT 레코드를 DNS 공급자에 추가합니다. 업데이트된 값을 사용해야 합니다. |
| 내부 오류 | 알 수 없는 오류가 발생했습니다. 새로 고침 또는 다시 생성 단추를 선택하여 유효성 검사를 다시 시도합니다. 여전히 문제가 발생하는 경우 Azure 지원에 지원 요청을 제출합니다. |
참고 항목
- TXT 레코드의 기본 TTL은 1시간입니다. 유효성을 다시 검사하기 위해 TXT 레코드를 다시 생성해야 하는 경우 이전 TXT 레코드의 TTL에 주의합니다. 만료되지 않으면 이전 TXT 레코드가 만료될 때까지 유효성 검사가 실패합니다.
- 다시 생성 단추가 작동하지 않으면 도메인을 삭제하고 다시 만듭니다.
- 도메인 상태가 예상대로 반영되지 않으면 새로 고침 단추를 선택합니다.
사용자 지정 도메인에 대한 HTTPS
사용자 지정 도메인에서 HTTPS 프로토콜을 사용하여 중요한 데이터가 인터넷을 통해 전송될 때 TLS/SSL 암호화를 사용하여 안전하게 전달되도록 합니다. 웹 브라우저와 같은 클라이언트가 HTTPS를 사용하여 웹 사이트에 연결된 경우 클라이언트는 웹 사이트의 보안 인증서의 유효성을 검사하고 합법적인 인증 기관에서 발급되었는지 확인합니다. 이 프로세스는 보안을 제공하며 공격으로부터 웹 애플리케이션을 보호합니다.
Azure Front Door는 자체 도메인에서 HTTPS 사용을 지원하고 원본 서버에서 TLS(전송 계층 보안) 인증서 관리를 오프로드합니다. 사용자 지정 도메인을 사용하는 경우 Azure 관리형 TLS 인증서(권장)를 사용하거나 사용자 고유의 TLS 인증서를 구매하여 사용할 수 있습니다.
Azure Front Door가 TLS에서 작동하는 방법에 대한 자세한 내용은 Azure Front Door를 사용한 엔드투엔드 TLS를 참조하세요.
Azure Front Door 관리형 TLS 인증서
Azure Front Door는 하위 도메인 및 apex 도메인에 대한 TLS 인증서를 자동으로 관리할 수 있습니다. 관리되는 인증서를 사용하는 경우 키 또는 인증서 서명 요청을 만들 필요가 없으며 인증서를 업로드, 저장 또는 설치할 필요가 없습니다. 또한 Azure Front Door는 사람의 개입 없이 관리되는 인증서를 자동으로 회전(갱신)할 수 있습니다. 이 프로세스는 TLS 인증서를 정시에 갱신하지 못하여 발생하는 가동 중지 시간을 방지합니다.
관리형 TLS 인증서를 생성, 발급 및 설치하는 프로세스는 완료하는 데 몇 분에서 1시간 정도 걸릴 수 있으며 경우에 따라 더 오래 걸릴 수 있습니다.
참고 항목
Azure Front Door(표준 및 프리미엄) 관리형 인증서는 도메인 CNAME 레코드가 Front Door 엔드포인트를 직접 가리키거나 Traffic Manager 엔드포인트를 간접적으로 가리키는 경우 자동으로 회전됩니다. 그렇지 않으면 도메인 소유권의 유효성을 다시 검사하여 인증서를 순환해야 합니다.
도메인 유형
다음 표에는 다양한 유형의 도메인을 사용할 때 관리형 TLS 인증서에서 사용할 수 있는 기능이 요약되어 있습니다.
| 고려 사항 | 하위 도메인 | apex 도메인 | 와일드 카드 도메인 |
|---|---|---|---|
| 사용 가능한 관리형 TLS 인증서 | 예 | 네 | 아니요 |
| 관리형 TLS 인증서가 자동으로 회전됩니다. | 예 | 아래 참조 | 아니요 |
apex 도메인에서 Azure Front Door 관리형 TLS 인증서를 사용하는 경우 자동화된 인증서 회전을 수행하려면 도메인 소유권의 유효성을 다시 검사해야 할 수 있습니다. 자세한 내용은 Azure Front Door의 Apex 도메인을 참조하세요.
관리되는 인증서 발급
Azure Front Door의 인증서는 파트너 인증 기관인 DigiCert에서 발급합니다. 일부 도메인의 경우 0 issue digicert.com 값으로 CAA 도메인 레코드를 만들어 DigiCert를 인증서 발급자로 명시적으로 허용해야 합니다.
Azure는 사용자를 대신하여 인증서를 완전 관리하므로 루트 발급자를 포함하여 관리되는 인증서의 모든 측면을 언제든지 변경할 수 있습니다. 사용자가 이러한 변경 사항을 제어할 수 없습니다. 인증서 지문 확인 또는 관리되는 인증서 또는 인증서 계층의 일부에 고정하는 등 관리되는 인증서의 모든 측면에 대한 하드 종속성을 방지해야 합니다. 인증서를 고정해야 하는 경우 다음 섹션에 설명된 대로 고객 관리형 TLS 인증서를 사용해야 합니다.
고객 관리형 TLS 인증서
경우에 따라 고유한 TLS 인증서를 제공해야 할 수도 있습니다. 사용자 고유의 인증서를 제공하는 일반적인 시나리오는 다음과 같습니다.
- 조직에서는 특정 인증 기관에서 발급한 인증서를 사용해야 합니다.
- 파트너 인증 기관을 사용하여 Azure Key Vault에서 인증서를 발급하려고 합니다.
- 클라이언트 애플리케이션에서 인식하는 TLS 인증서를 사용해야 합니다.
- 여러 시스템에서 동일한 TLS 인증서를 사용해야 합니다.
- 와일드카드 도메인을 사용합니다. Azure Front Door는 와일드카드 도메인에 대한 관리형 인증서를 제공하지 않습니다.
참고 항목
- 2023년 9월부터 Azure Front Door는 도메인 소유권 유효성 검사를 위해 BYOC(Bring Your Own Certificates)를 지원합니다. Front Door는 인증서의 CN(인증서 이름) 또는 SAN(주체 대체 이름)이 사용자 지정 도메인과 일치하는 경우 도메인 소유권을 승인합니다. Azure 관리형 인증서를 선택하면 도메인 유효성 검사에서 DNS TXT 레코드를 사용합니다.
- BYOC 기반 유효성 검사 전에 만든 사용자 지정 도메인의 경우 도메인 유효성 검사 상태가 승인됨이 아닌 경우 포털에서 유효성 검사 상태를 선택하고 유효성 재검사 단추를 클릭하여 도메인 소유권 유효성 검사의 자동 승인을 트리거해야 합니다. 명령줄 도구를 사용하는 경우 빈 PATCH 요청을 도메인 API로 전송하여 도메인 유효성 검사를 트리거할 수 있습니다.
인증서 요구 사항
Azure Front Door에서 인증서를 사용하려면 다음 요구 사항을 충족해야 합니다.
- 인증서 체인 완료: TLS/SSL 인증서를 만들 때 Microsoft 신뢰할 수 있는 CA 목록에 있는 허용된 CA(인증 기관)를 사용하여 전체 인증서 체인을 만들어야 합니다. 허용되지 않는 CA를 사용하면 요청이 거부됩니다. 루트 CA는 Microsoft 신뢰할 수 있는 CA 목록의 일부여야 합니다. 전체 체인이 없는 인증서가 표시되는 경우 해당 인증서와 관련된 요청이 예상대로 작동하지 않을 수 있습니다.
- 일반 이름: 인증서의 CN(일반 이름)은 Azure Front Door에 구성된 도메인과 일치해야 합니다.
- 알고리즘: Azure Front Door는 EC(타원 곡선) 암호화 알고리즘을 사용하는 인증서를 지원하지 않습니다.
- 파일(콘텐츠) 형식:
application/x-pkcs12콘텐츠 형식을 사용하는 PFX 파일에서 인증서를 키 자격 증명 모음에 업로드해야 합니다.
Azure Key Vault로 인증서 가져오기
사용자 지정 TLS 인증서를 Azure Front Door에서 사용하려면 먼저 Azure Key Vault로 가져와야 합니다. 인증서를 키 자격 증명 모음으로 가져오는 방법을 알아보려면 자습서: Azure Key Vault에서 인증서 가져오기를 참조하세요.
키 자격 증명 모음은 Azure Front Door 프로필과 동일한 Azure 구독에 있어야 합니다.
Warning
Azure Front Door는 Front Door 프로필과 동일한 구독의 키 자격 증명 모음만 지원합니다. Azure Front Door 프로필과 다른 구독에서 키 자격 증명 모음을 선택하면 실패합니다.
인증서는 비밀이 아닌 인증서 개체로 업로드해야 합니다.
Azure Front Door에 대한 액세스 권한 부여
Azure Front Door는 인증서를 읽으려면 키 자격 증명 모음에 액세스해야 합니다. 키 자격 증명 모음의 네트워크 방화벽과 자격 증명 모음의 액세스 제어를 모두 구성해야 합니다.
Key Vault에 사용하도록 설정된 네트워크 액세스 제한이 있는 경우 신뢰할 수 있는 Microsoft 서비스에서 방화벽을 무시할 수 있도록 Key Vault를 구성해야 합니다.
키 자격 증명 모음에서 액세스 제어를 구성하는 방법에는 두 가지가 있습니다.
- Azure Front Door는 관리 ID를 사용하여 키 자격 증명 모음에 액세스할 수 있습니다. 키 자격 증명 모음에서 Microsoft Entra 인증을 사용하는 경우 이 방법을 사용할 수 있습니다. 자세한 내용은 Azure Front Door 표준/프리미엄에서 관리 ID 사용을 참조하세요.
- 또는 Azure Front Door의 서비스 주체에게 키 자격 증명 모음에 대한 액세스 권한을 부여할 수 있습니다. 자격 증명 모음 액세스 정책을 사용할 때 이 방법을 사용할 수 있습니다.
Azure Front Door에 사용자 지정 인증서 추가
인증서를 키 자격 증명 모음으로 가져온 후 키 자격 증명 모음에 추가한 인증서에 대한 참조인 Azure Front Door 비밀 리소스를 만듭니다.
그런 다음, TLS 인증서에 Azure Front Door 비밀을 사용하도록 도메인을 구성합니다.
이러한 단계의 단계별 연습은 Azure Portal을 사용하여 Azure Front Door 사용자 지정 도메인에서 HTTPS 구성을 참조하세요.
인증서 유형 간 전환
Azure Front Door 관리 인증서와 사용자 관리형 인증서 사용 간에 도메인을 변경할 수 있습니다.
- 인증서 유형 간에 전환할 때 새 인증서가 배포되는 데 최대 1시간이 걸릴 수 있습니다.
- 도메인 상태가 승인됨인 경우 사용자 관리형 인증서와 관리되는 인증서 간에 인증서 유형을 전환해도 가동 중지 시간이 발생하지 않습니다.
- 관리되는 인증서로 전환할 때 Azure Front Door는 도메인 소유권의 유효성이 재검사되고 도메인 상태가 승인됨이 될 때까지 이전 인증서를 계속 사용합니다.
- BYOC에서 관리되는 인증서로 전환하는 경우 도메인의 유효성을 다시 검사해야 합니다. 관리되는 인증서에서 BYOC로 전환하는 경우 도메인의 유효성을 다시 검사할 필요가 없습니다.
인증서 갱신
Azure Front Door 관리 인증서 갱신
대부분의 사용자 지정 도메인에서 Azure Front Door는 만료가 가까워지면 관리되는 인증서를 자동으로 갱신(회전)하므로 아무 작업도 수행할 필요가 없습니다.
그러나 Azure Front Door는 다음 시나리오에서 인증서를 자동으로 회전하지 않습니다.
- 사용자 지정 도메인의 CNAME 레코드는 Azure Front Door 엔드포인트의 도메인 이외의 DNS 레코드를 가리킵니다.
- 사용자 지정 도메인은 체인을 통해 Azure Front Door 엔드포인트를 가리킵니다. 예를 들어 DNS 레코드가 Azure Traffic Manager를 가리키고 Azure Front Door로 확인되는 경우 CNAME 체인은
contoso.z01.azurefd.net의contoso.trafficmanager.netCNAME에서contoso.comCNAME입니다. Azure Front Door는 전체 체인을 확인할 수 없습니다. - 사용자 지정 도메인은 A 레코드를 사용합니다. 항상 CNAME 레코드를 사용하여 Azure Front Door를 가리키는 것이 좋습니다.
- 사용자 지정 도메인은 apex 도메인이며 CNAME 평면화를 사용합니다.
위의 시나리오 중 하나가 사용자 지정 도메인에 적용되는 경우 관리되는 인증서가 만료되기 45일 전에 도메인 유효성 검사 상태가 유효성 검사 보류 중이 됩니다. 유효성 재검사 보류 중 상태는 도메인 소유권의 유효성을 다시 검사하기 위해 새 DNS TXT 레코드를 만들어야 했음을 나타냅니다.
참고 항목
DNS TXT 레코드는 7일 후에 만료됩니다. 이전에 DNS 서버에 도메인 유효성 검사 TXT 레코드를 추가한 경우 새 TXT 레코드로 바꾸어야 합니다. 새 값을 사용해야 합니다. 그렇지 않으면 도메인 유효성 검사 프로세스가 실패합니다.
도메인의 유효성을 검사할 수 없는 경우 도메인 유효성 검사 상태가 거부됨이 됩니다. 이 상태는 인증 기관이 관리되는 인증서 재발급 요청을 거부했음을 나타냅니다.
도메인 유효성 검사 상태에 대한 자세한 내용은 도메인 유효성 검사 상태를 참조하세요.
다른 Azure 서비스에서 미리 유효성을 검사한 도메인에 대한 Azure 관리형 인증서 갱신
Azure 관리형 인증서는 도메인의 유효성을 검사하는 Azure 서비스에 의해 자동으로 회전됩니다.
고객 관리형 TLS 인증서 갱신
키 자격 증명 모음에서 인증서를 업데이트하면 Azure Front Door에서 업데이트된 인증서를 자동으로 검색하고 사용할 수 있습니다. 이 기능이 작동하려면 Azure Front Door에서 인증서를 구성할 때 비밀 버전을 '최신'으로 설정합니다.
특정 버전의 인증서를 선택하는 경우 인증서를 업데이트할 때 새 버전을 수동으로 다시 선택해야 합니다.
새 버전의 인증서/비밀이 자동으로 배포되는 데 최대 72시간이 걸립니다.
비밀 버전을 '최신'에서 지정된 버전으로 또는 그 반대로 변경하려면 새 인증서를 추가합니다.
보안 정책
Azure Front Door의 WAF(웹 애플리케이션 방화벽)를 사용하여 애플리케이션에 대한 요청을 검색하고 다른 보안 요구 사항을 적용할 수 있습니다.
사용자 지정 도메인에서 WAF를 사용하려면 Azure Front Door 보안 정책 리소스를 사용합니다. 보안 정책은 도메인을 WAF 정책과 연결합니다. 필요에 따라 여러 보안 정책을 만들어 서로 다른 도메인에 다른 WAF 정책을 사용할 수 있습니다.
다음 단계
- Azure Front Door 프로필에 사용자 지정 도메인을 추가하는 방법을 알아보려면 Azure Portal을 사용하여 Azure Front Door에서 사용자 지정 도메인 구성을 참조하세요.
- Azure Front Door를 사용한 엔드투엔드 TLS 방법에 대해 자세히 알아봅니다.