Azure Front Door 프리미엄에서 Private Link를 사용하여 원본 보호
Azure Private Link를 사용하면 가상 네트워크의 프라이빗 엔드포인트를 통해 Azure PaaS 서비스 및 Azure에서 호스트되는 서비스에 액세스할 수 있습니다. 가상 네트워크와 서비스 간의 트래픽은 Microsoft 백본 네트워크를 통해 이동하여 퍼블릭 인터넷에 노출되지 않도록 합니다.
Azure Front Door 프리미엄은 Private Link를 사용하여 원본에 연결할 수 있습니다. 원본은 가상 네트워크에서 호스트되거나 Azure Web App 또는 Azure Storage와 같은 PaaS 서비스로 호스트될 수 있습니다. Private Link를 사용하면 원본에 공개적으로 액세스할 필요가 없습니다.
Private Link 작동 방식
Azure Front Door 프리미엄에서 원본에 대한 Private Link를 사용하도록 설정하면 Front Door가 Azure Front Door에서 관리하는 지역 프라이빗 네트워크에서 사용자를 대신하여 프라이빗 엔드포인트를 만듭니다. 승인 보류 중인 원본에서 Azure Front Door 프라이빗 엔드포인트 요청을 받게 됩니다.
Important
트래픽이 원본에 비공개로 전달되기 전에 프라이빗 엔드포인트 연결을 승인해야 합니다. Azure Portal, Azure CLI, Azure PowerShell을 사용하여 프라이빗 엔드포인트 연결을 승인할 수 있습니다. 자세한 내용은 프라이빗 엔드포인트 연결 관리를 참조하세요.
Private Link 원본을 사용하도록 설정하고 프라이빗 엔드포인트 연결을 승인하면 연결이 설정되는 데 몇 분 정도 걸릴 수 있습니다. 이 시간 동안 원본에 대한 요청에는 Azure Front Door 오류 메시지가 표시됩니다. 연결이 설정되면 오류 메시지가 사라집니다.
요청이 승인되면 Azure Front Door에서 관리하는 가상 네트워크에서 개인 IP 주소가 할당됩니다. Azure Front Door와 원본 간의 트래픽은 Microsoft 백본 네트워크를 통해 설정된 프라이빗 링크를 사용하여 통신합니다. 이제 Azure Front Door에서 제공할 때 원본에 도달하는 트래픽이 보호됩니다.
프라이빗 엔드포인트와 Azure Front Door 프로필 연결
프라이빗 엔드포인트 만들기
단일 Azure Front Door 프로필 내에서 두 개 이상의 Private Link 사용 가능한 원본이 동일한 Private Link 집합, 리소스 ID 및 그룹 ID로 만들어지면 이러한 모든 원본에 대해 하나의 프라이빗 엔드포인트만 생성됩니다. 이 프라이빗 엔드포인트를 사용하여 백 엔드에 대한 연결을 사용하도록 설정할 수 있습니다. 이 설정은 프라이빗 엔드포인트가 하나만 만들어지므로 프라이빗 엔드포인트를 한 번만 승인해야 한다는 것을 의미합니다. 동일한 Private Link 위치 집합, 리소스 ID 및 그룹 ID를 사용하여 더 많은 Private Link 사용 가능한 원본을 만드는 경우 더 이상 프라이빗 엔드포인트를 승인할 필요가 없습니다.
단일 프라이빗 엔드포인트
예를 들어 단일 프라이빗 엔드포인트는 아래 표와 같이 서로 다른 원본 그룹에 걸쳐 있지만 동일한 Azure Front Door 프로필에서 모든 다른 원본에 대해 만들어집니다.
여러 프라이빗 엔드포인트
다음 시나리오에서 새 프라이빗 엔드포인트가 만들어집니다.
지역, 리소스 ID 또는 그룹 ID가 변경되는 경우:
참고 항목
Private Link 위치와 호스트 이름이 변경되어 추가 프라이빗 엔드포인트가 생성되고 각 엔드포인트에 대한 승인이 필요합니다.
Azure Front Door 프로필이 변경되는 경우:
참고 항목
다른 Front Door 프로필에서 원본에 대한 Private Link를 사용하도록 설정하면 추가 프라이빗 엔드포인트가 만들어지고 각 엔드포인트에 대한 승인이 필요합니다.
프라이빗 엔드포인트 제거
Azure Front Door 프로필이 삭제되면 프로필과 연결된 프라이빗 엔드포인트도 삭제됩니다.
단일 프라이빗 엔드포인트
AFD-Profile-1이 삭제되면 모든 원본의 PE1 프라이빗 엔드포인트도 삭제됩니다.
여러 프라이빗 엔드포인트
AFD-Profile-1이 삭제되면 PE1에서 PE4까지의 모든 프라이빗 엔드포인트가 삭제됩니다.
Front Door 프로필을 삭제해도 다른 Front Door 프로필에 대해 만든 프라이빗 엔드포인트에는 영향을 주지 않습니다.
예시:
- AFD-Profile-2가 삭제되면 PE5만 제거됩니다.
- AFD-Profile-3이 삭제되면 PE6만 제거됩니다.
- AFD-Profile-4가 삭제되면 PE7만 제거됩니다.
- AFD-Profile-5가 삭제되면 PE8만 제거됩니다.
사용 가능 지역
Azure Front Door 프라이빗 링크는 다음 지역에서 사용할 수 있습니다.
| 아메리카 | 유럽 | 아프리카 | 아시아 태평양 |
|---|---|---|---|
| 브라질 남부 | 프랑스 중부 | 남아프리카 공화국 북부 | 오스트레일리아 동부 |
| 캐나다 중부 | 독일 중서부 | 인도 중부 | |
| 미국 중부 | 북유럽 | 일본 동부 | |
| 미국 동부 | 노르웨이 동부 | 한국 중부 | |
| 미국 동부 2 | 영국 남부 | 동아시아 | |
| 미국 중남부 | 서유럽 | ||
| 미국 서부 3 | 스웨덴 중부 | ||
| US Gov 애리조나 | |||
| US Gov 텍사스 |
제한 사항
직접 프라이빗 엔드포인트 연결에 대한 원본 지원은 현재 다음으로 제한됩니다.
- Blob Storage
- 웹앱
- 내부 부하 분산 장치 또는 Azure Kubernetes Service, Azure Container Apps 또는 Azure Red Hat OpenShift와 같은 내부 부하 분산 장치를 노출하는 모든 서비스
- 스토리지 정적 웹 사이트
참고 항목
이 기능은 App Service 슬롯 및 함수에서 지원되지 않습니다.
Azure Front Door Private Link 기능은 지역에 구애받지 않지만 최상의 대기 시간을 위해서는 Azure Front Door Private Link 엔드포인트를 사용하도록 선택할 때 항상 원본에 가장 가까운 Azure 지역을 선택해야 합니다.