자습서: 서비스 커넥터를 사용하여 웹앱을 Azure App Configuration에 연결

아티클
02/29/2024

다음 방법 중 하나를 사용하여 Azure App Service에서 실행되는 ASP.NET Core 앱을 Azure App Configuration에 연결하는 방법을 알아봅니다.

SMI(시스템 할당 관리 ID)
UMI(사용자 할당 관리 ID)
서비스 사용자
Connection string

이 자습서에서는 Azure CLI를 사용하여 다음 작업을 완료합니다.

Azure 리소스 설정
웹앱과 App Configuration 간의 연결 만들기
앱을 빌드하고 Azure App Service에 배포합니다.

필수 조건

활성 구독이 있는 Azure 계정. 구독 내 액세스 역할은 "기여자" 또는 "소유자"여야 합니다. 체험 계정을 만듭니다.
Azure CLI Azure Cloud Shell에서 사용하거나 로컬로 설치할 수 있습니다.
Git

Azure CLI에서 az login을 실행하여 Azure에 로그인합니다.

Azure 리소스 설정

Azure 리소스를 만드는 것부터 시작합니다.

다음 샘플 리포지토리를 복제합니다.

git clone https://github.com/Azure-Samples/serviceconnector-webapp-appconfig-dotnet.git

Azure에 웹앱 배포

다음 단계에 따라 App Service를 만들고 샘플 앱을 배포합니다. 구독 기여자 또는 소유자 역할이 있는지 확인합니다.

앱 서비스를 만들고 시스템 할당 관리 ID를 사용하여 App Config와 상호 작용하는 샘플 앱을 배포합니다.

# Change directory to the SMI sample
cd serviceconnector-webapp-appconfig-dotnet\system-managed-identity

# Create a web app

LOCATION='eastus'
RESOURCE_GROUP_NAME='service-connector-tutorial-rg'
APP_SERVICE_NAME='webapp-appconfig-smi'

az webapp up --location $LOCATION --resource-group $RESOURCE_GROUP_NAME --name $APP_SERVICE_NAME

매개 변수	설명	예시
위치	사용자에게 가까운 위치를 선택합니다. `az account list-locations --output table`을 사용하여 위치를 나열합니다.	eastus
리소스 그룹 이름	이 리소스 그룹을 사용하여 이 자습서를 완료하는 데 필요한 모든 Azure 리소스를 구성합니다.	service-connector-tutorial-rg
앱 서비스 이름	앱 서비스 이름은 Azure에서 리소스의 이름으로 사용되며 서버 엔드포인트 `https://<app-service-name>.azurewebsites.com` 형식으로 앱의 정규화된 도메인 이름을 형성합니다. 이 이름은 모든 Azure에서 고유해야 하며 허용되는 문자는 `A`-`Z`, `0`-`9` 및 `-`입니다.	webapp-appconfig-smi

앱 서비스를 만들고 사용자 할당 관리 ID를 사용하여 App Config와 상호 작용하는 샘플 앱을 배포합니다.

# Change directory to the UMI sample
cd serviceconnector-webapp-appconfig-dotnet\user-assigned-managed-identity

# Create a web app

LOCATION='eastus'
RESOURCE_GROUP_NAME='service-connector-tutorial-rg'
APP_SERVICE_NAME='webapp-appconfig-umi'

az webapp up --location $LOCATION --resource-group $RESOURCE_GROUP_NAME --name $APP_SERVICE_NAME

매개 변수	설명	예시
위치	사용자에게 가까운 위치를 선택합니다. `az account list-locations --output table`을 사용하여 위치를 나열합니다.	eastus
리소스 그룹 이름	이 리소스 그룹을 사용하여 이 자습서를 완료하는 데 필요한 모든 Azure 리소스를 구성합니다.	service-connector-tutorial-rg
앱 서비스 이름	앱 서비스 이름은 Azure에서 리소스의 이름으로 사용되며 서버 엔드포인트 `https://<app-service-name>.azurewebsites.com` 형식으로 앱의 정규화된 도메인 이름을 형성합니다. 이 이름은 모든 Azure에서 고유해야 하며 허용되는 문자는 `A`-`Z`, `0`-`9` 및 `-`입니다.	webapp-appconfig-umi

사용자가 할당한 관리 ID 만들기 출력을 임시 메모장에 저장합니다.

az identity create --resource-group $RESOURCE_GROUP_NAME -n "myIdentity"

앱 서비스를 만들고 서비스 주체를 사용하여 App Config와 상호 작용하는 샘플 앱을 배포합니다.

# Change directory to the service principal sample
cd serviceconnector-webapp-appconfig-dotnet\service-principal

# Create a web app

LOCATION='eastus'
RESOURCE_GROUP_NAME='service-connector-tutorial-rg'
APP_SERVICE_NAME='webapp-appconfig-sp'

az webapp up --location $LOCATION --resource-group $RESOURCE_GROUP_NAME --name $APP_SERVICE_NAME

매개 변수	설명	예시
위치	사용자에게 가까운 위치를 선택합니다. `az account list-locations --output table`을 사용하여 위치를 나열합니다.	eastus
리소스 그룹 이름	이 리소스 그룹을 사용하여 이 자습서를 완료하는 데 필요한 모든 Azure 리소스를 구성합니다.	service-connector-tutorial-rg
앱 서비스 이름	앱 서비스 이름은 Azure에서 리소스의 이름으로 사용되며 서버 엔드포인트 `https://<app-service-name>.azurewebsites.com` 형식으로 앱의 정규화된 도메인 이름을 형성합니다. 이 이름은 모든 Azure에서 고유해야 하며 허용되는 문자는 `A`-`Z`, `0`-`9` 및 `-`입니다.	webapp-appconfig-sp

서비스 주체를 만들고 yourSubscriptionID를 실제 구독 ID로 바꿉니다. 출력을 임시 메모장에 저장합니다.

az ad sp create-for-rbac --name myServicePrincipal --role Contributor --scopes /subscriptions/{yourSubscriptionID}/resourceGroups/$RESOURCE_GROUP_NAME

앱 서비스를 만들고 연결 문자열을 사용하여 App Config와 상호 작용하는 샘플 앱을 배포합니다.

# Change directory to the service principal sample
cd serviceconnector-webapp-appconfig-dotnet\connection-string

# Create a web app

LOCATION='eastus'
RESOURCE_GROUP_NAME='service-connector-tutorial-rg'
APP_SERVICE_NAME='webapp-appconfig-cs'

az webapp up --location $LOCATION --resource-group $RESOURCE_GROUP_NAME --name $APP_SERVICE_NAME

매개 변수	설명	예시
위치	사용자에게 가까운 위치를 선택합니다. `az account list-locations --output table`을 사용하여 위치를 나열합니다.	eastus
리소스 그룹 이름	이 리소스 그룹을 사용하여 이 자습서를 완료하는 데 필요한 모든 Azure 리소스를 구성합니다.	service-connector-tutorial-rg
앱 서비스 이름	앱 서비스 이름은 Azure에서 리소스의 이름으로 사용되며 서버 엔드포인트 `https://<app-service-name>.azurewebsites.com` 형식으로 앱의 정규화된 도메인 이름을 형성합니다. 이 이름은 모든 Azure에서 고유해야 하며 허용되는 문자는 `A`-`Z`, `0`-`9` 및 `-`입니다.	webapp-appconfig-cs

Azure App Configuration 저장소 만들기

APP_CONFIG_NAME='my-app-config'

az appconfig create -g $RESOURCE_GROUP_NAME -n $APP_CONFIG_NAME --sku Free -l eastus

테스트 구성 파일을 Azure App Configuration으로 가져옵니다.
시스템 할당 관리 ID를 사용하여 테스트 구성 파일을 Azure App Configuration으로 가져옵니다.
1. ServiceConnectorSample 폴더로 cd
2. ./sampleconfigs.json 테스트 구성 파일을 App Configuration 저장소로 가져옵니다. Cloud Shell을 사용하는 경우 명령을 실행하기 전에 sampleconfigs.json을 업로드합니다.
```
az appconfig kv import -n $APP_CONFIG_NAME --source file --format json --path ./sampleconfigs.json --separator : --yes
```
사용자 할당 관리 ID를 사용하여 테스트 구성 파일을 Azure App Configuration으로 가져옵니다.
1. ServiceConnectorSample 폴더로 cd
2. ./sampleconfigs.json 테스트 구성 파일을 App Configuration 저장소로 가져옵니다. Cloud Shell을 사용하는 경우 명령을 실행하기 전에 sampleconfigs.json을 업로드합니다.
```
az appconfig kv import -n $APP_CONFIG_NAME --source file --format json --path ./sampleconfigs.json --separator : --yes
```
서비스 주체를 사용하여 테스트 구성 파일을 Azure App Configuration으로 가져옵니다.
1. ServiceConnectorSample 폴더로 cd
2. ./sampleconfigs.json 테스트 구성 파일을 App Configuration 저장소로 가져옵니다. Cloud Shell을 사용하는 경우 명령을 실행하기 전에 sampleconfigs.json을 업로드합니다.
```
az appconfig kv import -n $APP_CONFIG_NAME --source file --format json --path ./sampleconfigs.json --separator : --yes
```
연결 문자열을 사용하여 테스트 구성 파일을 Azure App Configuration으로 가져옵니다.
1. ServiceConnectorSample 폴더로 cd
2. ./sampleconfigs.json 테스트 구성 파일을 App Configuration 저장소로 가져옵니다. Cloud Shell을 사용하는 경우 명령을 실행하기 전에 sampleconfigs.json을 업로드합니다.
```
az appconfig kv import -n $APP_CONFIG_NAME --source file --format json --path ./sampleconfigs.json --separator : --yes
```

웹앱을 App Configuration에 연결

웹 애플리케이션과 App Configuration 저장소 간에 연결을 만듭니다.

시스템 할당 관리 ID 인증을 사용하여 웹 애플리케이션과 App Configuration 저장소 간에 연결을 만듭니다. 이 연결은 서비스 커넥터를 통해 이루어집니다.

az webapp connection create appconfig -g $RESOURCE_GROUP_NAME -n $APP_SERVICE_NAME --app-config $APP_CONFIG_NAME --tg $RESOURCE_GROUP_NAME --connection "app_config_smi" --system-identity

system-identity는 SMI(시스템 할당 관리 ID) 인증 형식을 나타냅니다. 또한 서비스 커넥터는 사용자 할당 관리 ID(UMI), 연결 문자열(비밀) 및 서비스 주체와 같은 인증을 지원합니다.

사용자 할당 관리 ID 인증을 사용하여 웹 애플리케이션과 App Configuration 저장소 간에 연결을 만듭니다. 이 연결은 서비스 커넥터를 통해 이루어집니다.

az webapp connection create appconfig -g $RESOURCE_GROUP_NAME -n $APP_SERVICE_NAME --app-config $APP_CONFIG_NAME --tg $RESOURCE_GROUP_NAME --connection "app_config_umi" --user-identity client-id=<myIdentityClientId> subs-id=<myTestSubsId>

user-identity는 사용자가 할당한 관리 ID 인증 형식을 나타냅니다. 서비스 커넥터는 시스템 할당 관리 ID, 연결 문자열(비밀) 및 서비스 주체와 같은 인증도 지원합니다.

client-id를 찾을 수 있는 두 가지 방법이 있습니다.

Azure CLI에서 az identity show -n "myIdentity" -g $RESOURCE_GROUP_NAME --query 'clientId'를 입력합니다.
Azure Portal에서 이전에 만들어진 관리 ID를 열고 개요에서 클라이언트 ID 아래의 값을 가져옵니다.

서비스 주체를 사용하여 웹 애플리케이션과 App Configuration 저장소 간에 연결을 만듭니다. 이는 서비스 커넥터를 통해 수행됩니다.

az webapp connection create appconfig -g $RESOURCE_GROUP_NAME -n $APP_SERVICE_NAME --app-config $APP_CONFIG_NAME --tg $RESOURCE_GROUP_NAME --connection "app_config_sp" --service-principal client-id=<mySPClientId>  secret=<mySPSecret>

service-principal은 서비스 주체 인증 형식을 나타냅니다. 서비스 커넥터는 시스템 할당 관리 ID(UMI), 사용자 할당 관리 ID(UMI) 및 연결 문자열(비밀)과 같은 인증도 지원합니다.

연결 문자열을 사용하여 웹 애플리케이션과 App Configuration 저장소 간에 연결을 만듭니다. 이 연결은 서비스 커넥터를 통해 이루어집니다.

az webapp connection create appconfig -g $RESOURCE_GROUP_NAME -n $APP_SERVICE_NAME --app-config $APP_CONFIG_NAME --tg $RESOURCE_GROUP_NAME --connection "app_config_cs" --secret

secret은 연결 문자열 인증 형식을 나타냅니다. 서비스 커넥터는 시스템 할당 관리 ID, 사용자 할당 관리 ID 및 서비스 주체와 같은 인증도 지원합니다.

연결 유효성 검사

연결이 작동하는지 확인하려면 브라우저에서 https://<myWebAppName>.azurewebsites.net/의 웹앱으로 이동합니다. 웹 사이트가 시작되면 "안녕하세요. 이제 Azure WebApp이 ServiceConnector를 통해 App Configuration에 연결되었습니다."

작동 방식

아래에서 각 인증 형식에 대해 뒤에서 관리하는 서비스 커넥터를 찾습니다.

서비스 커넥터는 다음과 같이 연결 구성을 관리합니다.

애플리케이션이 웹앱에 액세스하고 App Configuration 엔드포인트를 가져올 수 있도록 웹앱의 AZURE_APPCONFIGURATION_ENDPOINT를 설정합니다. 샘플 코드에 액세스합니다.
웹앱의 시스템 할당 관리 인증을 활성화하고 애플리케이션이 Azure.Identity의 DefaultAzureCredential을 사용하여 App Configuration에 인증할 수 있도록 App Configuration에 데이터 읽기 권한자 역할을 부여합니다. 샘플 코드에 액세스합니다.

서비스 커넥터는 다음과 같이 연결 구성을 관리합니다.

애플리케이션이 액세스할 수 있도록 웹앱의 AZURE_APPCONFIGURATION_ENDPOINT, AZURE_APPCONFIGURATION_CLIENTID를 설정하고 코드에서 앱 구성 엔드포인트를 가져옵니다.
웹앱의 사용자 할당 관리 인증을 활성화하고 애플리케이션이 Azure.Identity의 DefaultAzureCredential을 사용하여 App Configuration에 인증할 수 있도록 App Configuration에 데이터 읽기 권한자 역할을 부여합니다. 샘플 코드에 액세스합니다.

서비스 커넥터는 다음과 같이 연결 구성을 관리합니다.

애플리케이션이 웹앱에 액세스하고 App Configuration 엔드포인트를 가져올 수 있도록 웹앱의 AZURE_APPCONFIGURATION_ENDPOINT를 설정합니다. 샘플 코드에 액세스합니다.
서비스 주체 자격 증명을 WebApp AppSettings AZURE_APPCONFIGURATION_CLIENTID에 저장합니다. AZURE_APPCONFIGURATION_TENANTID, AZURE_APPCONFIGURATION_CLIENTSECRET 및 Azure.Identity의 ClientSecretCredential을 사용하여 애플리케이션이 코드의 App Configuration에 인증될 수 있도록 App Configuration 데이터 읽기 권한자 역할을 서비스 주체에게 부여합니다.

서비스 커넥터는 다음과 같이 연결 구성을 관리합니다.

애플리케이션이 웹앱에 액세스하고 App Configuration 연결 문자열을 가져올 수 있도록 웹앱의 AZURE_APPCONFIGURATION_CONNECTIONSTRING을 설정합니다. 샘플 코드에 액세스합니다.
웹앱의 시스템 할당 관리 인증을 활성화하고 애플리케이션이 Azure.Identity의 DefaultAzureCredential을 사용하여 App Configuration에 인증할 수 있도록 App Configuration에 데이터 읽기 권한자 역할을 부여합니다. 샘플 코드에 액세스합니다.

자세한 내용은 서비스 커넥터 내부를 참조하세요.

테스트(선택 사항)

선택적으로 다음 테스트를 수행합니다.

App Configuration Store에서 키 SampleApplication:Settings:Messages의 값을 업데이트합니다.

az appconfig kv set -n <myAppConfigStoreName> --key SampleApplication:Settings:Messages --value hello --yes

https://<myWebAppName>.azurewebsites.net/으로 이동하여 Azure 웹앱으로 이동하고 페이지를 새로 고칩니다. 메시지가 "hello"로 업데이트된 것을 볼 수 있습니다.

리소스 정리

완료되면 이러한 Azure 리소스를 더 이상 사용하지 않으려면 az group delete 명령을 실행하여 삭제합니다. 이 명령은 리소스 그룹과 그 속에 포함된 모든 리소스를 삭제합니다.

az group delete -n <myResourceGroupName> --yes

다음 단계

서비스 커넥터에 대해 자세히 알아보려면 아래 나열된 자습서를 따르세요.

서비스 커넥터 개념에 대한 자세한 정보

다음을 통해 공유

자습서: 서비스 커넥터를 사용하여 웹앱을 Azure App Configuration에 연결

필수 조건

Azure 리소스 설정

웹앱을 App Configuration에 연결

연결 유효성 검사

작동 방식

테스트(선택 사항)

리소스 정리

다음 단계

추가 리소스