Azure Front Door에 대한 자주 묻는 질문

Azure Front Door는 애플리케이션을 더 빠르고 안정적으로 배달하는 클라우드 기반 서비스입니다. 계층 7 부하 분산을 사용하여 여러 지역 및 엔드포인트에 트래픽을 분산합니다. 또한 고가용성을 보장하기 위해 웹 성능 및 근 실시간 장애 조치(failover)를 최적화하는 DSA(동적 사이트 가속)를 제공합니다. Azure Front Door는 완전 관리형 서비스이므로 크기 조정 또는 유지 관리에 대해 걱정할 필요가 없습니다.

Azure Front Door는 사이트의 성능과 사용자 환경을 향상시키는 DSA(동적 사이트 가속)와 같은 많은 이점을 웹 애플리케이션에 제공하는 서비스입니다. 또한 Azure Front Door는 TLS/SSL 오프로드 및 엔드투엔드 TLS를 처리하여 웹 트래픽의 보안 및 암호화를 향상시킵니다. 이에 더해 Azure Front Door는 웹 애플리케이션 방화벽, 쿠키 기반 세션 선호도, URL 경로 기반 라우팅, 무료 인증서 및 여러 도메인 관리 등을 제공합니다. Azure Front Door의 기능에 대한 자세한 내용은 계층 비교를 참조하세요.

Azure Front Door 및 Azure Application Gateway는 모두 HTTP/HTTPS 트래픽에 대한 부하 분산 장치이지만 범위가 서로 다릅니다. Front Door는 지역 간에 요청을 분산할 수 있는 전체 서비스이며 Application Gateway는 지역 내에서 요청의 부하를 분산할 수 있는 지역 서비스입니다. Azure Front Door는 배율 단위, 클러스터 또는 스탬프 단위에서 작동하며, Azure Application Gateway는 VM, 컨테이너 또는 동일한 배율 단위의 기타 리소스에서 작동합니다.

Front Door 뒤의 Application Gateway는 다음과 같은 경우에 유용합니다.

• 전체적으로뿐만 아니라 가상 네트워크 내에서도 트래픽을 부하 분산하려고 합니다. Front Door는 전체 수준에서만 경로 기반 부하 분산을 수행할 수 있지만 Application Gateway는 가상 네트워크 내에서 부하 분산을 수행할 수 있습니다.
• Front Door에서 지원하지 않는 연결 드레이닝이 필요합니다. Application Gateway는 VM 또는 컨테이너에 대해 연결 드레이닝을 사용하도록 설정할 수 있습니다.
• 모든 TLS/SSL 처리를 오프로드하고 가상 네트워크에서 HTTP 요청만 사용하려고 합니다. Front Door 뒤의 Application Gateway에서 이 설정을 수행할 수 있습니다.
• 지역 및 서버 수준에서 세션 선호도를 사용하려고 합니다. Front Door는 사용자 세션에서 지역의 동일한 백 엔드로 트래픽을 보낼 수 있지만 Application Gateway는 백 엔드의 동일한 서버로 보낼 수 있습니다.

Azure Front Door를 사용하려면 공용 VIP 또는 공개적으로 액세스할 수 있는 DNS 이름이 있어야 합니다. Azure Front Door는 공용 IP를 사용하여 트래픽을 원본으로 라우팅합니다. 일반적인 시나리오는 Front Door 뒤에 Azure Load Balancer를 배포하는 것입니다. Azure Front Door Premium과 함께 Private Link를 사용하여 내부 부하 분산 장치에 연결할 수도 있습니다. 자세한 내용은 내부 부하 분산 장치로 Private Link 사용을 참조하세요.

Azure Front Door는 HTTP, HTTPS, HTTP/2를 지원합니다.

Azure Front Door는 클라이언트 연결에 대한 HTTP/2 프로토콜을 지원합니다. 그러나 백 엔드 풀 통신은 HTTP/1.1 프로토콜을 사용합니다. HTTP/2 지원은 기본적으로 켜져 있습니다.

다음과 같이 Azure Front Door에 다양한 형식의 원본을 사용할 수 있습니다.

• 스토리지(Azure Blob, 클래식, 정적 웹 사이트)
• 클라우드 서비스
• App Service
• 정적 웹앱
• API Management
• Application Gateway
• 공용 IP 주소
• Traffic Manager
• Azure Spring Apps
• Container Instances
• Container Apps
• 공용 액세스 권한이 있는 모든 사용자 지정 호스트 이름

원본에는 공개적으로 확인할 수 있는 공용 IP 또는 DNS 호스트 이름이 있어야 합니다. 공개적으로 액세스할 수 있는 한 다른 영역, 지역, 심지어는 Azure 외부에 있는 백 엔드를 조합할 수 있습니다.

Azure Front Door는 Azure 지역으로 제한되지 않으며 전체적으로 작동합니다. Front Door를 만들 때 선택해야 하는 유일한 위치는 리소스 그룹의 메타데이터가 저장되는 위치를 결정하는 리소스 그룹의 위치입니다. Front Door 프로필은 전체 리소스이며 해당 구성은 전 세계 모든 에지 위치에 배포됩니다.

Azure Front Door에 대한 전체 부하 분산 및 콘텐츠 배달을 제공하는 POP(현재 상태 지점)의 전체 목록은 Azure Front Door POP 위치를 참조하세요. 이 목록은 새 POP가 추가되거나 제거될 때 정기적으로 업데이트됩니다. Azure Resource Manager API를 사용하여 프로그래매틱 방식으로 현재 POP 목록을 쿼리할 수도 있습니다.

Azure Front Door는 애플리케이션을 여러 지역에 전체적으로 배포하는 서비스입니다. 모든 고객이 공유하는 공통 인프라를 사용하지만 자체 Front Door 프로필을 사용자 지정하여 애플리케이션의 특정 요구 사항을 구성할 수 있습니다. 다른 고객의 구성은 Front Door 구성에 영향을 줄 수 없으며, 이는 해당 구성과 격리됩니다.

Azure Front Door를 사용하여 URL의 호스트, 경로 및 쿼리 문자열 구성 요소를 리디렉션할 수 있습니다. URL 리디렉션을 구성하는 방법을 알아보려면 URL 리디렉션을 참조하세요.

Front Door는 웹 애플리케이션에 대한 경로를 정렬하지 않습니다. 대신 요청에 가장 적합한 경로를 선택합니다. Front Door가 경로에 요청을 일치시키는 방법을 알아보려면 Front Door가 라우팅 규칙에 요청을 일치시키는 방법을 참조하세요.

Front Door 기능에 최적의 성능을 보장하려면 Azure Front Door에서 오는 트래픽만 원본에 도달하도록 허용해야 합니다. 따라서 권한이 없거나 악의적인 요청의 경우 Front Door의 보안 및 라우팅 정책이 시행되며 액세스가 거부됩니다. 원본을 보호하는 방법을 알아보려면 Azure Front Door 원본에 대한 보안 트래픽을 참조하세요.

Front Door 프런트 엔드 애니캐스트의 IP 주소는 고정되어 있으며 Front Door를 사용하는 한 변경되지 않을 수 있습니다. 그러나 Front Door 프런트 엔드 애니캐스트의 고정 IP 주소는 보장되지 않습니다. IP에 직접 의존하지 않도록 합니다.

Azure Front Door는 트래픽을 사용 가능한 최상의 백 엔드로 라우팅하는 동적 서비스입니다. 지금은 정적 또는 전용 프런트 엔드 애니캐스트 IP를 제공하지 않습니다.

예. 액세스 로그 아래의 MatchedRulesSetName 속성을 참조하세요.

예. 자세한 내용은 HTTP/2 대상의 DDoS 공격에 대한 Microsoft의 응답을 참조하세요.

Azure Front Door는 X-Forwarded-For, X-Forwarded-Host, X-Forwarded-Proto 헤더를 지원합니다. 이러한 헤더는 Front Door가 원래 클라이언트 IP 및 프로토콜을 식별하는 데 도움이 됩니다. X-Forwarded-For가 이미 있는 경우 Front Door는 클라이언트 소켓 IP를 목록의 끝에 추가합니다. 그렇지 않으면 클라이언트 소켓 IP를 값으로 사용하여 헤더를 만듭니다. X-Forwarded-Host 및 X-Forwarded-Proto의 경우 Front Door는 기존 값을 자체 값으로 바꿉니다.

자세한 내용은 Front Door 지원 HTTP 헤더를 참조하세요.

새 Front Door 구성의 배포 시간은 변경 형식에 따라 달라집니다. 일반적으로 변경 내용이 전 세계 모든 에지 위치로 전파되는 데 3~20분이 걸립니다.

경로 또는 원본 그룹/백 엔드 풀에 대한 업데이트는 원활하며 가동 중지 시간이 발생하지 않습니다(새 구성이 올바르다고 가정). 인증서 업데이트도 원자성으로 수행되므로 중단 위험이 없습니다.

Azure Front Door 표준, 프리미엄 또는 (클래식) 계층을 사용하려면 공개적으로 확인할 수 있는 공용 IP 또는 DNS 이름이 필요합니다. 공개적으로 확인할 수 있는 공용 IP 또는DNS 이름의 요구 사항을 통해 Azure Front Door는 트래픽을 백 엔드 리소스로 라우팅할 수 있습니다. Application Gateway 또는 Azure Load Balancer와 같은 Azure 리소스를 사용하여 가상 네트워크의 리소스로 트래픽을 라우팅할 수 있습니다. Front Door 프리미엄 계층을 사용하는 경우 Private Link를 사용하여 프라이빗 엔드포인트를 통해 내부 부하 분산 장치 뒤의 원본에 연결할 수 있습니다. 자세한 내용은 Private Link를 사용하여 원본 보호를 참조하세요.

원본 그룹은 비슷한 형식의 요청을 처리할 수 있는 원본 컬렉션입니다. 다른 애플리케이션 또는 워크로드마다 다른 원본 그룹이 필요합니다.

원본 그룹에서는 요청을 처리할 수 있는 모든 서버 또는 서비스에 대한 원본을 만듭니다. 원본에 Azure Application Gateway와 같은 부하 분산 장치가 있거나 부하 분산 장치가 있는 PaaS에서 호스트되는 경우 원본 그룹에는 하나의 원본만 있습니다. 원본은 Front Door에서 인식할 수 없는 원본 간의 장애 조치(failover) 및 부하 분산을 처리합니다.

예를 들어 Azure App Service에서 애플리케이션을 호스트하는 경우 Front Door를 설정하는 방법은 사용하는 애플리케이션 인스턴스 수에 따라 달라집니다.

• 단일 지역 배포: 하나의 원본 그룹을 만듭니다. 해당 원본 그룹에서 App Service 앱에 대해 하나의 원본을 만듭니다. App Service 앱은 작업자 간에 스케일 아웃될 수 있지만 Front Door는 하나의 원본을 인식합됩니다.
• 다중 지역 활성/수동 배포: 하나의 원본 그룹을 만듭니다. 해당 원본 그룹에서 각 App Service 앱에 대한 원본을 만듭니다. 주 애플리케이션이 백업 애플리케이션보다 높은 우선순위를 가지도록 각 원본의 우선순위를 설정합니다.
• 다중 지역 활성/활성 배포: 하나의 원본 그룹을 만듭니다. 해당 원본 그룹에서 각 App Service 앱에 대한 원본을 만듭니다. 각 원본의 우선순위가 동일하도록 설정합니다. 각 원본의 가중치를 설정하여 해당 원본으로 전송되는 요청 수를 제어합니다.

자세한 내용은 Azure Front Door의 원본 및 원본 그룹을 참조하세요.

Azure Front Door는 애플리케이션에 빠르고 안정적인 웹 배달을 제공하는 서비스입니다. 캐싱, 부하 분산, 보안 및 라우팅과 같은 기능을 제공합니다. 그러나 Azure Front Door에 적용되는 몇 가지 시간 제한 및 제한 사항을 알고 있어야 합니다. 이러한 시간 제한 및 제한 사항에는 최대 요청 크기, 최대 응답 크기, 최대 헤더 크기, 최대 헤더 수, 최대 규칙 수 및 최대 원본 그룹 수가 포함됩니다. Azure Front Door 설명서에서 이러한 시간 제한 및 제한 사항에 대한 자세한 정보를 찾을 수 있습니다.

대부분의 규칙 집합에 대한 구성 업데이트는 20분 이내에 수행됩니다. 업데이트가 완료된 직후에 규칙이 적용됩니다.

Azure Front Door 및 Azure CDN은 애플리케이션에 빠르고 안정적인 웹 배달을 제공하는 두 가지 서비스입니다. 그러나 이러한 서비스는 사용자에게 콘텐츠를 배달하기 위해 동일한 Azure 에지 사이트 네트워크를 공유하기 때문에 서로 호환되지 않습니다. 이 공유 네트워크는 라우팅 및 캐싱 정책 간에 충돌을 일으킵니다. 따라서 성능 및 보안 요구 사항에 따라 애플리케이션에 Azure Front Door 또는 Azure CDN을 선택해야 합니다.

두 프로필이 동일한 Azure 에지 사이트를 사용하여 들어오는 요청을 처리한다는 제한 사항으로 인해 하나의 Azure Front Door 프로필을 다른 프로필 뒤에 중첩할 수 없습니다. 이렇게 설정할 경우 라우팅 충돌 및 성능 문제가 발생합니다. 따라서 애플리케이션에 여러 프로필을 사용해야 하는 경우 Azure Front Door 프로필이 독립적이고 함께 연결되지 않도록 해야 합니다.

Azure Front Door는 세 가지 서비스 태그를 사용하여 클라이언트와 원본 간의 트래픽을 관리합니다.

• AzureFrontDoor.Backend 서비스 태그에는 Front Door에서 원본에 액세스하는 데 사용하는 IP 주소가 포함되어 있습니다. 원본에 대한 보안을 구성할 때 이 서비스 태그를 적용할 수 있습니다.
• AzureFrontDoor.Frontend 서비스 태그에는 클라이언트가 Front Door에 도달하는 데 사용하는 IP 주소가 포함되어 있습니다. Azure Front Door 뒤에 있는 서비스에 연결할 수 있는 아웃바운드 트래픽을 제어하려는 경우 AzureFrontDoor.Frontend 서비스 태그를 적용할 수 있습니다.
• AzureFrontDoor.FirstParty 서비스 태그는 Azure Front Door에서 호스트되는 Microsoft 서비스의 일부 그룹에 예약됩니다.

Azure Front Door 서비스 태그 시나리오에 대한 자세한 내용은 사용 가능한 서비스 태그를 참조하세요.

Azure Front Door는 클라이언트에서 헤더를 수신하는 데 5초의 시간 제한이 있습니다. TCP/TLS 연결을 설정한 후 클라이언트가 5초 이내에 헤더를 Azure Front Door로 보내지 않으면 연결이 종료됩니다. 이 시간 제한 값은 구성할 수 없습니다.

Azure Front Door에는 90초의 HTTP 연결 유지 시간 제한이 있습니다. 클라이언트가 90초 동안 데이터를 보내지 않으면 연결이 종료됩니다. 이는 Azure Front Door의 HTTP 연결 유지 시간 제한입니다. 이 시간 제한 값은 구성할 수 없습니다.

Front Door는 각 요청에 대한 경로(프로토콜 + 호스트 + 경로 조합)를 구분해야 하므로 둘 이상의 Front Door 엔드포인트에 동일한 도메인을 사용할 수 없습니다. 여러 엔드포인트에 중복 경로가 있는 경우 Azure Front Door는 요청을 올바르게 처리할 수 없습니다.

현재는 서비스 중단 없이 도메인을 한 엔드포인트에서 다른 엔드포인트로 이동하는 옵션을 제공하지 않습니다. 도메인을 다른 엔드포인트로 마이그레이션하려면 가동 중지 시간을 계획해야 합니다.

Azure Front Door는 전 세계에 트래픽을 분산하고 애플리케이션의 요구에 맞게 스케일 업할 수 있는 플랫폼입니다. Microsoft의 글로벌 네트워크 에지를 사용하여 오류가 발생한 경우 전체 애플리케이션 또는 특정 마이크로 서비스를 다른 지역 또는 클라우드로 전환할 수 있는 전체 부하 분산 기능을 제공합니다.

대용량 파일을 배달할 때 오류를 방지하려면 원본 서버의 응답에 Content-Range 헤더가 포함되어 있고 헤더 값이 응답 본문의 실제 크기와 일치하는지 확인합니다.

대용량 파일 배달에서 대용량 파일 배달을 위해 원본 및 Front Door를 구성하는 방법에 대한 자세한 내용을 확인할 수 있습니다.

도메인 프런팅은 공격자가 TLS 핸드셰이크 및 HTTP 호스트 헤더에서 다른 도메인 이름을 사용하여 악의적인 요청의 실제 대상을 숨길 수 있도록 하는 네트워크 기술입니다.

2022년 11월 8일 이후에 만들어진 Microsoft(클래식) 리소스의 Azure Front Door(표준, 프리미엄 및 클래식 계층) 또는 Azure CDN 표준에는 도메인 프런팅 차단이 사용하도록 설정되어 있습니다. SNI 및 호스트 헤더가 일치하지 않는 요청을 차단하는 대신 두 도메인이 동일한 구독에 속하고 경로/라우팅 규칙에 포함된 경우 불일치를 허용합니다. 도메인 프런팅 차단 적용은 모든 기존 도메인에 대해 2024년 1월 22일에 시작됩니다. 적용이 모든 지역에 전파되는 데 최대 2주가 필요할 수 있습니다.

Front Door가 불일치로 인해 요청을 차단하는 경우:

• 클라이언트는 HTTP 421 Misdirected Request 오류 코드 응답을 받습니다.
• Azure Front Door는 SSLMismatchedSNI 값을 사용하여 오류 정보 속성 아래의 진단 로그에 차단 내용을 기록합니다.

도메인 프런팅에 대한 자세한 내용은 Azure 내에서 도메인 프런팅에 대한 접근 방식 보호 및 Microsoft (클래식)의 Azure Front Door 및 Azure CDN 표준에서 도메인 프런팅 금지를 참조하세요.

Front Door는 2019년 9월 이후에 만들어진 모든 프로필의 최소 버전으로 TLS 1.2를 사용합니다.

Azure Front Door에서 TLS 1.0, 1.1, 1.2 또는 1.3을 사용하도록 선택할 수 있습니다. 자세한 내용은 Azure Front Door 엔드투엔드 TLS 문서를 참조하세요.

Azure Front Door는 빠르고 안전한 웹 배달을 제공하는 서비스입니다. 이를 통해 여러 지역 및 엔드포인트에 웹 트래픽을 라우팅하고 최적화하는 방법을 정의할 수 있습니다. Front Door 프로필 및 라우팅 규칙과 같은 Azure Front Door 리소스는 사용하도록 설정된 경우에만 요금이 청구됩니다. 그러나 WAF(웹 애플리케이션 방화벽) 정책 및 규칙은 상태에 관계없이 요금이 청구됩니다. WAF 정책 또는 규칙을 사용하지 않도록 설정하더라도 여전히 비용이 발생합니다.

로그 및 기타 진단 기능에 대한 자세한 내용은 Front Door에 대한 메트릭 및 로그 모니터링을 참조하세요.

진단 로그를 자체 스토리지 계정에 저장하고 유지할 기간을 선택할 수 있습니다. 또는 진단 로그를 Event Hubs 또는 Azure Monitor 로그로 보낼 수 있습니다. 자세한 내용은 Azure Front Door 진단을 참조하세요.

Azure Front Door의 감사 로그에 액세스하려면 포털을 방문해야 합니다. 메뉴 페이지에서 Front Door를 선택하고 활동 로그를선택합니다. 활동 로그는 Azure Front Door 작업의 레코드를 제공합니다.

메트릭 또는 로그에 따라 Azure Front Door에 대한 경고를 설정할 수 있습니다. 이렇게 하면 프런트 엔드 호스트의 성능과 상태를 모니터링할 수 있습니다.

Azure Front Door 표준 및 프리미엄에 대한 경고를 만드는 방법을 알아보려면 경고 구성을 참조하세요.

다음 단계

• Azure Front Door 프로필을 만드는 방법을 알아봅니다.
• Azure Front Door 아키텍처에 대한 정보