Azure Front Door의 와일드카드 도메인

  • 아티클

Important

Azure Front Door(클래식)는 2027년 3월 31일에 사용이 중지됩니다. 서비스가 중단되지 않도록 하려면 2027년 3월까지 Azure Front Door(클래식) 프로필을 Azure Front Door 표준 또는 프리미엄 계층으로 마이그레이션하는 것이 중요합니다. 자세한 내용은 Azure Front Door(클래식) 사용 중지를 참조하세요.

와일드카드 도메인을 사용하면 Azure Front Door가 최상위 도메인의 하위 도메인에 대한 트래픽을 수신할 수 있습니다. 와일드카드 도메인의 예제로는 *.contoso.com이 있습니다.

와일드카드 도메인을 사용하면 Azure Front Door 프로필의 구성을 간소화할 수 있습니다. 각 하위 도메인을 개별적으로 추가하거나 지정하기 위해 구성을 수정할 필요가 없습니다. 예를 들어 동일한 라우팅 규칙을 사용하고 와일드카드 도메인 *.contoso.com을 추가하여 customer1.contoso.com, customer2.contoso.comcustomerN.contoso.com에 대한 라우팅을 정의할 수 있습니다.

와일드카드 도메인은 다음을 비롯한 몇 가지 이점을 제공합니다.

  • Azure Front Door 프로필에서 각 하위 도메인을 온보딩할 필요가 없습니다. 예를 들어 모든 고객에게 새 하위 도메인을 만들고 모든 고객의 요청을 단일 원본 그룹으로 라우팅한다고 가정해보겠습니다. 새 고객을 추가할 때마다 Azure Front Door는 하위 도메인이 명시적으로 구성되지 않더라도 트래픽을 원본 그룹으로 라우팅합니다.
  • 각 하위 도메인에 대한 인증서를 바인딩하기 위해 새 TLS(Transport Layer Security) 인증서를 생성하거나 하위 도메인별 HTTPS 설정을 관리할 필요가 없습니다.
  • 모든 하위 도메인에 대해 단일 WAF(웹 애플리케이션 방화벽) 정책을 사용할 수 있습니다.

일반적으로 와일드카드 도메인은 SaaS(Software as a Service) 솔루션 및 기타 다중 테넌트 애플리케이션을 지원하는 데 사용됩니다. 이러한 애플리케이션 유형을 빌드할 때는 원본 서버로 트래픽을 라우팅하는 방법을 특별히 고려해야 합니다. 자세한 내용은 다중 테넌트 솔루션에서 Azure Front Door 사용을 참조하세요.

참고 항목

Azure DNS를 사용하여 도메인의 DNS 레코드를 관리하는 경우 Azure Resource Manager API, Bicep, PowerShell 및 Azure CLI를 사용하여 와일드카드 도메인을 구성해야 합니다. Azure Portal에서 Azure DNS 와일드카드 도메인의 추가 및 관리에 대한 지원은 사용할 수 없습니다.

와일드카드 도메인 및 인증서 바인딩 추가

하위 도메인에 대해 유사한 단계에 따라 와일드카드 도메인을 추가할 수 있습니다. Azure Front Door에 하위 도메인을 추가하는 방법에 대한 자세한 내용은 Azure Portal을 사용하여 Azure Front Door에서 사용자 지정 도메인 구성을 참조하세요.

참고 항목

  • Azure DNS는 와일드카드 레코드를 지원합니다.
  • 와일드카드 도메인에 대한 Azure Front Door 캐시는 제거할 수 없습니다. 캐시를 제거하는 경우 하위 도메인을 지정해야 합니다.

와일드카드 도메인에서 HTTPS 트래픽을 허용하려면 와일드카드 도메인에서 HTTPS를 사용하도록 설정해야 합니다. 와일드카드 도메인에 대한 인증서 바인딩에는 와일드카드 인증서가 필요합니다. 즉, 인증서의 주체 이름에 와일드카드 도메인도 있어야 합니다.

참고 항목

  • 현재는 와일드카드 도메인에 대해 HTTPS를 사용하도록 설정하기 위해 고유한 사용자 지정 SSL 인증서 옵션만 사용할 수 있습니다. 와일드카드 도메인에는 Azure Front Door 관리 인증서를 사용할 수 없습니다.
  • Azure Key Vault의 동일한 와일드카드 인증서를 사용하거나 하위 도메인에 대한 Azure Front Door 관리형 인증서를 사용하도록 선택할 수 있습니다.
  • Azure Front Door 표준 또는 프리미엄 프로필에서 이미 유효성 검사가 완료된 와일드카드 도메인의 하위 도메인을 추가하려는 경우 도메인 유효성 검사가 자동으로 승인됩니다.
  • 와일드카드 도메인이 유효성 검사되고 이미 한 프로필에 추가된 경우 단일 수준 하위 도메인도 유효성 검사되는 한 다른 프로필에 계속 추가할 수 있습니다.

하위 도메인의 명시적 정의

와일드카드의 단일 수준 하위 도메인을 원하는 만큼 추가할 수 있습니다. 예를 들어 와일드카드 도메인 *.contoso.com의 경우 image.contosto.com, cart.contoso.com 등에 대한 Azure Front Door 프로필에 하위 도메인을 추가할 수도 있습니다. 하위 도메인에 대해 명시적으로 지정하는 구성이 와일드카드 도메인의 구성보다 우선합니다.

다음과 같은 상황에서 하위 도메인을 명시적으로 추가해야 할 수 있습니다.

  • 하위 도메인에 대해 와일드카드 도메인의 나머지 도메인과는 다른 경로를 정의해야 합니다. 예를 들어 고객은 customer1.contoso.com, customer2.contoso.com 등과 같은 하위 도메인을 사용할 수 있으며 이러한 하위 도메인은 모두 기본 애플리케이션 서버로 라우팅되어야 합니다. 그러나 Azure Storage Blob 컨테이너로 images.contoso.com을 라우팅할 수도 있습니다.
  • 특정 하위 도메인에 대해 다른 WAF 정책을 사용해야 합니다.

www.image.contoso.com과 같은 하위 도메인은 *.contoso.com의 단일 수준 하위 도메인이 아닙니다.

와일드카드 도메인 추가

프런트 엔드 호스트 또는 도메인에 대한 섹션 아래에 와일드카드 도메인을 추가할 수 있습니다. 하위 도메인과 유사하게 Azure Front Door(클래식)는 와일드카드 도메인에 대한 CNAME 레코드 매핑이 있는지 유효성 검사합니다. 이 DNS(Domain Name System) 매핑은 endpoint.azurefd.net에 매핑된 *.contoso.com과 같은 직접 CNAME 레코드 매핑일 수 있습니다. 또는 afdverify 임시 매핑을 사용할 수 있습니다. 예를 들어 afdverify.endpoint.azurefd.net에 매핑된 afdverify.contoso.com은 와일드카드에 대한 CNAME 레코드 맵의 유효성을 검사합니다.

참고 항목

Azure DNS는 와일드카드 레코드를 지원합니다.

프런트 엔드 호스트의 최대 한도까지 프런트 엔드 호스트에서 와일드카드 도메인의 단일 수준 하위 도메인을 추가할 수 있습니다. 다음과 같은 경우에 이 기능이 필요할 수 있습니다.

  • 하위 도메인에 대해 와일드카드 도메인의 나머지 도메인과는 다른 경로 정의

  • 특정 하위 도메인에 대해 다른 WAF 정책 유지. 예를 들어 *.contoso.com은 도메인 소유권을 다시 증명하지 않고도 foo.contoso.com을 추가할 수 있도록 합니다. 그러나 foo.bar.contoso.com*.contoso.com의 단일 수준 하위 도메인이 아니기 때문에 허용되지 않습니다. 추가 도메인 소유권 유효성 검사 없이 foo.bar.contoso.com을 추가하려면 *.bar.contoso.com을 추가해야 합니다.

다음과 같은 특정 제한 사항에 따라 와일드카드 도메인 및 해당 하위 도메인을 추가할 수 있습니다.

  • 와일드카드 도메인이 Azure Front Door(클래식) 프로필에 추가되는 경우:
    • 와일드카드 도메인은 다른 Azure Front Door(클래식) 프로필에 추가할 수 없습니다.
    • 와일드카드 도메인의 첫 번째 수준 하위 도메인은 다른 Azure Front Door(클래식) 프로필 또는 Azure Content Delivery Network 프로필에 추가할 수 없습니다.
  • 와일드카드 도메인의 하위 도메인이 이미 Azure Front Door(클래식) 프로필 또는 Azure Content Delivery Network 프로필에 추가된 경우 와일드카드 도메인은 다른 Azure Front Door(클래식) 프로필에 사용할 수 없습니다.
  • 두 프로필(Azure Front Door 또는 Azure Content Delivery Network)에 루트 도메인의 여러 하위 도메인이 있는 경우 와일드카드 도메인을 프로필 중 하나에 추가할 수 없습니다.

인증서 바인딩

와일드카드 도메인에서 HTTPS 트래픽을 허용하려면 와일드카드 도메인에서 HTTPS를 사용하도록 설정해야 합니다. 와일드카드 도메인에 대한 인증서 바인딩에는 와일드카드 인증서가 필요합니다. 즉, 인증서의 주체 이름에 와일드카드 도메인도 있어야 합니다.

참고 항목

현재는 와일드카드 도메인에 대해 HTTPS를 사용하도록 설정하기 위해 고유한 사용자 지정 SSL 인증서 옵션만 사용할 수 있습니다. 와일드카드 도메인에는 Azure Front Door 관리 인증서를 사용할 수 없습니다.

Azure Key Vault의 동일한 와일드카드 인증서를 사용하거나 하위 도메인에 대한 Azure Front Door 관리형 인증서를 사용하도록 선택할 수 있습니다.

이미 연결된 인증서가 있는 와일드카드 도메인에 하위 도메인이 추가된 경우 하위 도메인에 대해 HTTPS를 사용하지 않도록 설정할 수 없습니다. 다른 Key Vault 또는 Azure Front Door 관리형 인증서로 재정의되지 않는 한, 하위 도메인은 와일드카드 도메인에 대한 인증서 바인딩을 사용합니다.

WAF 정책

WAF 정책은 다른 도메인과 유사하게 와일드카드 도메인에 연결될 수 있습니다. 와일드카드 도메인의 하위 도메인에 다른 WAF 정책을 적용할 수 있습니다. 하위 도메인과 연결된 명시적 WAF 정책이 없는 경우 하위 도메인은 와일드카드 도메인에서 WAF 정책을 자동으로 상속합니다. 그러나 하위 도메인이 와일드카드 도메인 프로필과 다른 프로필에 추가되면 하위 도메인은 와일드카드 도메인과 연결된 WAF 정책을 상속할 수 없습니다.

WAF 정책은 다른 도메인과 유사하게 와일드카드 도메인에 연결될 수 있습니다. 와일드카드 도메인의 하위 도메인에 다른 WAF 정책을 적용할 수 있습니다. 하위 도메인의 경우 와일드카드 도메인과 동일한 정책이더라도 사용할 WAF 정책을 지정해야 합니다. 하위 도메인은 와일드카드 도메인에서 WAF 정책을 자동으로 상속하지 않습니다.

하위 도메인에 대해 WAF 정책을 실행하지 않으려면 관리형 또는 사용자 지정 규칙 세트가 없는 빈 WAF 정책을 만들 수 있습니다.

경로

라우팅을 구성할 때 와일드카드 도메인을 원본으로 선택할 수 있습니다. 와일드카드 도메인 및 하위 도메인에 대해 다른 경로 동작을 유지할 수도 있습니다. Azure Front Door는 여러 경로에서 도메인에 대한 가장 구체적인 일치 항목을 선택합니다. 자세한 내용은 요청이 회람 규칙에 일치하는 방법을 참조하세요.

Important

라우팅에 일치하는 경로 패턴이 있어야 합니다. 그렇지 않으면 클라이언트에 오류가 표시됩니다.

예를 들어 다음과 같은 두 가지 회람 규칙이 있다고 가정합니다.

  • 경로 1(원본 그룹 A에 매핑된 *.foo.com/*)
  • 경로 2(원본 그룹 B에 매핑된 bar.foo.com/somePath/*) bar.foo.com/anotherPath/*에 대한 요청이 도착하는 경우 Azure Front Door는 더 구체적인 도메인 일치를 기준으로 경로 2를 선택하지만 경로 전체에서 일치하는 경로 패턴을 찾지 못합니다.

라우팅 규칙

라우팅 규칙을 구성할 때 와일드카드 도메인을 프런트 엔드 호스트로 선택할 수 있습니다. 와일드카드 도메인 및 하위 도메인에 대해 다른 경로 동작을 유지할 수도 있습니다. Azure Front Door는 여러 경로에서 도메인에 대한 가장 구체적인 일치 항목을 선택합니다. 자세한 내용은 요청이 회람 규칙에 일치하는 방법을 참조하세요.

Important

라우팅에 일치하는 경로 패턴이 있어야 합니다. 그렇지 않으면 클라이언트에 오류가 표시됩니다.

예를 들어 다음과 같은 두 가지 회람 규칙이 있다고 가정합니다.

  • 경로 1(백 엔드 풀 A에 매핑된 *.foo.com/*)
  • 경로 2(백 엔드 풀 B에 매핑된 bar.foo.com/somePath/*) bar.foo.com/anotherPath/*에 대한 요청이 도착하는 경우 Azure Front Door는 더 구체적인 도메인 일치를 기준으로 경로 2를 선택하지만 경로 전체에서 일치하는 경로 패턴을 찾지 못합니다.

다음 단계