작업 영역을 통한 페더레이션된 API Management
적용 대상: 프리미엄
이 문서에서는 API Management 작업 영역 의 개요와 분산된 API 개발 팀이 공통 서비스 인프라에서 API를 관리하고 제품화할 수 있도록 하는 방법을 설명합니다.
조직에서 API 관리를 페더레이션해야 하는 이유는 무엇인가요?
오늘날 조직은 API의 확산을 관리하는 데 점점 더 많은 어려움을 겪고 있습니다. API 및 API 개발 팀의 수가 증가함에 따라 관리의 복잡성도 증가합니다. 이러한 복잡성은 운영 오버헤드 증가, 보안 위험 및 민첩성 감소로 이어질 수 있습니다. 한편, 조직은 중앙 집중식 API 인프라를 설정하여 API 거버넌스, 보안 및 규정 준수를 보장하려고 합니다. 반면에 API 팀은 API 플랫폼을 관리하는 오버헤드 없이 비즈니스 요구 사항에 신속하게 혁신하고 응답하기를 원합니다.
API Management의 페더레이션 된 모델은 이러한 요구 사항을 해결합니다. 페더레이션 API 관리를 사용하면 API 플랫폼 팀에서 관리하는 중앙 집중식 거버넌스, 모니터링 및 API 검색을 유지하면서 적절한 제어 및 데이터 평면 격리를 사용하는 개발 팀의 분산된 API 관리를 허용합니다. 이 모델은 플랫폼 팀의 완전 중앙 집중식 API 관리 또는 각 개발 팀의 사일로 API 관리와 같은 대체 접근 방식의 한계를 극복합니다.
페더레이션 API 관리는 다음을 제공합니다.
- 중앙 집중식 API 거버넌스 및 준수성
- 효과적인 API 검색 및 온보딩을 위한 통합 개발자 포털
- API 팀 간의 분리된 관리 권한, 생산성 및 보안 향상
- API 팀 간에 분리된 API 런타임, 안정성, 복원력 및 보안 향상
작업 영역에서 페더레이션된 API 관리를 사용하도록 설정하는 방법
Azure API Management에서 작업 영역을 사용하여 페더레이션된 API 관리를 구현합니다 . 작업 영역은 API Management 서비스 내의 "폴더"와 같이 작동합니다.
- 각 작업 영역에는 API, 제품, 구독, 명명된 값 및 관련 리소스가 포함되어 있습니다. 작업 영역에서 지원되는 리소스 및 작업의 전체 목록은 API Management REST API 참조를 확인합니다.
- 작업 영역 내의 리소스에 대한 Teams의 액세스는 Microsoft Entra 계정에 할당할 수 있고 작업 영역으로 범위가 지정된 기본 제공 또는 사용자 지정 역할을 사용하여 Azure의 RBAC(역할 기반 액세스 제어)를 통해 관리됩니다.
- 각 작업 영역은 작업 영역에서 API의 백 엔드 서비스로 API 트래픽을 라우팅하기 위해 하나 이상의 작업 영역 게이트웨이 와 연결됩니다.
- 플랫폼 팀은 작업 영역에서 API에 걸쳐 있는 API 정책을 적용하고, 모든 작업 영역에 대한 로그를 확인하여 플랫폼을 모니터링하고, 개발자 포털을 사용하여 중앙 집중식 API 검색 환경을 구현할 수 있습니다.
참고 항목
- 최신 작업 영역 기능은 API Management REST API 버전 2023-09-01-preview 이상에서 지원됩니다.
- 가격 책정 고려 사항은 API Management 가격 책정을 참조하세요.
작업 영역은 API Management 서비스 및 다른 작업 영역과 독립적으로 관리되지만, 설계상 선택한 서비스 수준 리소스를 참조할 수 있습니다. 이 문서의 뒷부분에 있는 작업 영역 및 기타 API Management 기능을 참조하세요.
예제 시나리오 개요
Azure API Management를 사용하여 API를 관리하는 조직에는 다양한 API 집합을 개발, 정의, 유지 관리 및 제품화하는 여러 개발 팀이 있을 수 있습니다. 작업 영역을 사용하면 이러한 팀에서 API Management를 사용하여 서비스 인프라 관리와 별도로 독립적으로 API를 관리, 액세스하고 보호할 수 있습니다.
다음은 작업 영역을 만들고 사용하기 위한 샘플 워크플로입니다.
API Management 인스턴스를 관리하는 중앙 API 플랫폼 팀은 작업 영역을 만들고 RBAC 역할을 사용하여 작업 영역 협력자에게 사용 권한(예: 작업 영역에서 리소스를 만들거나 읽을 수 있는 권한)을 할당합니다. 작업 영역 범위 API 게이트웨이도 작업 영역에 대해 만들어집니다.
중앙 API 플랫폼 팀은 DevOps 도구를 사용하여 해당 작업 영역에서 API용 DevOps 파이프라인을 만듭니다.
작업 영역 구성원은 작업 영역에서 API를 개발, 게시, 제품화 및 유지 관리합니다.
중앙 API 플랫폼 팀은 모니터링, 복원력, 모든 API 정책 적용 등 서비스 인프라를 관리합니다.
작업 영역 게이트웨이
각 작업 영역은 작업 영역 내에서 관리되는 API의 런타임을 사용하도록 설정하기 위해 하나 이상의 작업 영역 게이트웨이와 연결됩니다. 작업 영역 게이트웨이는 API Management 서비스에 기본 제공된 게이트웨이와 동일한 핵심 기능을 갖춘 독립 실행형 Azure 리소스입니다.
작업 영역 게이트웨이는 API Management 서비스 및 서로 독립적으로 관리됩니다. 작업 영역 또는 사용 사례 간에 런타임을 격리하여 API 안정성, 복원력 및 보안을 높이고 작업 영역에 런타임 문제의 특성을 사용하도록 설정할 수 있습니다.
- 작업 영역 게이트웨이 비용에 대한 자세한 내용은 API Management 가격 책정을 참조하세요.
- API Management 게이트웨이에 대한 자세한 비교는 API Management 게이트웨이 개요를 참조하세요.
참고 항목
여러 작업 영역을 작업 영역 게이트웨이와 연결하는 기능을 도입하여 조직이 더 저렴한 비용으로 작업 영역과 API를 관리할 수 있도록 지원합니다. 이 기능은 2024년 12월부터 출시되고 있으며, 1월 이전에는 모든 적격 서비스에서 사용할 수 없습니다. 자세한 정보
게이트웨이 호스트 이름
작업 영역과 작업 영역 게이트웨이를 연결하면 해당 작업 영역에서 관리되는 API에 대해 고유한 호스트 이름이 만들어집니다. 기본 호스트 이름은 패턴 <workspace-name>-<hash>.gateway.<region>.azure-api.net을 따릅니다. 현재 작업 영역 게이트웨이에서는 사용자 지정 호스트 이름이 지원되지 않습니다.
네트워크 격리
작업 영역 게이트웨이는 선택적으로 프라이빗 가상 네트워크에서 구성하여 인바운드 및/또는 아웃바운드 트래픽을 격리할 수 있습니다. 구성된 경우, 작업 영역 게이트웨이는 가상 네트워크에서 전용 서브넷을 사용해야 합니다.
자세한 요구 사항은 작업 영역 게이트웨이에 대한 네트워크 리소스 요구 사항을 참조하세요.
참고 항목
- 작업 영역 게이트웨이의 네트워크 구성은 API Management 인스턴스의 네트워크 구성과 독립적입니다.
- 현재 작업 영역 게이트웨이는 게이트웨이가 만들어질 때만 가상 네트워크에서 구성할 수 있습니다. 나중에 게이트웨이의 네트워크 구성이나 설정을 변경할 수 없습니다.
용량 크기 조정
특정 서비스 계층의 API Management 인스턴스에 추가할 수 있는 단위와 유사하게, 배율 단위를 수동으로 추가하거나 제거하여 게이트웨이 용량을 관리합니다. 작업 영역 게이트웨이 비용은 선택한 장치 수에 따라 결정됩니다.
국가별 가용성
작업 영역 게이트웨이를 사용할 수 있는 지역의 현재 목록은 v2 계층 및 작업 영역 게이트웨이의 가용성을 참조 하세요.
게이트웨이 제약 조건
현재 작업 영역 게이트웨이에는 다음과 같은 제약 조건이 적용됩니다.
- 작업 영역 게이트웨이는 API Management 인스턴스의 기본 Azure 지역과 동일한 지역 및 동일한 구독에 있어야 합니다.
- 작업 영역은 자체 호스팅 게이트웨이와 연결될 수 없음
- 작업 영역 게이트웨이는 인바운드 프라이빗 엔드포인트를 지원하지 않음
- 작업 영역 게이트웨이의 API에는 사용자 지정 호스트 이름을 할당할 수 없음
- 작업 영역의 API는 Defender for API에서 다루지 않음
- 작업 영역 게이트웨이는 API Management 서비스의 자격 증명 관리자를 지원하지 않음
- 작업 영역 게이트웨이는 내부 캐시만 지원하며 외부 캐시는 지원되지 않음
- 작업 영역 게이트웨이는 가상 GraphQL API 및 WebSocket API를 지원하지 않음
- 작업 영역 게이트웨이는 Azure OpenAI Service, App Service, Function Apps 등과 같은 Azure 리소스에서 직접 API 만들기를 지원하지 않습니다.
- Azure Monitor에서 작업 영역별로 요청 메트릭을 분할할 수 없으며, 모든 작업 영역 메트릭은 서비스 수준에서 집계됨
- Azure Monitor 로그는 서비스 수준에서 집계되며 작업 영역 수준 로그는 사용할 수 없음
- 작업 영역 게이트웨이는 CA 인증서를 지원하지 않음
- 작업 영역 게이트웨이는 자동 크기 조정을 지원하지 않음
- 작업 영역 게이트웨이는 Azure Key Vault에 비밀을 저장하고
authentication-managed-identity정책을 사용하는 것과 같은 관련 기능을 포함하여 관리 ID를 지원하지 않음
작업 영역에 대한 RBAC 역할
Azure RBAC는 작업 영역에서 엔터티를 읽고 편집할 수 있는 작업 영역 협력자의 사용 권한을 구성하는 데 사용됩니다. 역할 목록에 대해서는 API Management에서 역할 기반 액세스 제어를 사용하는 방법을 참조하세요.
작업 영역에서 API 및 기타 리소스를 관리하려면 작업 영역 멤버에게 API Management 서비스, 작업 영역 및 작업 영역 게이트웨이에 범위가 지정된 역할(또는 사용자 지정 역할을 사용하는 동등한 권한)이 할당되어야 합니다. 서비스 범위 역할을 사용하면 작업 영역 수준 리소스에서 특정 서비스 수준 리소스를 참조할 수 있습니다. 예를 들어 사용자를 작업 영역 수준 그룹으로 구성하여 API와 제품 가시성을 제어합니다.
참고 항목
보다 쉽게 관리하려면 여러 사용자에게 작업 영역 권한을 할당하도록 Microsoft Entra 그룹을 설정합니다.
작업 영역 및 기타 API Management 기능
작업 영역은 관리 액세스와 API 런타임을 최대한 분리하기 위해 독립형으로 설계되었습니다. 더 높은 생산성을 보장하고 플랫폼 전체의 거버넌스, 가시성, 재사용성 및 API 검색을 가능하게 하는 몇 가지 예외가 있습니다.
리소스 참조 - 작업 영역의 리소스는 작업 영역의 다른 리소스와 서비스 수준에서 선택한 리소스(예: 사용자, 권한 부여 서버 또는 기본 제공 사용자 그룹)를 참조할 수 있습니다. 다른 작업 영역의 리소스를 참조할 수 없습니다.
보안상의 이유로 작업 영역 수준 정책(예: 명명된 값) 또는 리소스 이름(예: set-backend-service 정책의
backend-id)에서 서비스 수준 리소스를 참조할 수 없습니다.Important
API Management 서비스의 모든 리소스(예: API, 제품, 태그 또는 구독)는 다른 작업 영역에 있더라도 고유한 이름이 있어야 합니다. 동일한 작업 영역, 다른 작업 영역 또는 서비스 수준에서 동일한 형식의 리소스가 동일한 Azure 리소스 이름을 가질 수 없습니다.
개발자 포털 - 작업 영역은 관리 개념이며, 그렇기 때문에 개발자 포털 UI 및 기본 API 등을 통해 개발자 포털 소비자에게 표시되지 않습니다. 서비스 수준의 API와 제품처럼 작업 영역 내의 API와 제품도 개발자 포털에 게시할 수 있습니다.
참고 항목
API Management에서는 서비스 수준에서 정의된 권한 부여 서버를 작업 영역 내의 API에 할당하는 것을 지원합니다.
미리 보기 작업 영역에서 마이그레이션
Azure API Management에서 미리 보기 작업 영역을 만들고 계속해서 사용하려면 각 작업 영역에 작업 영역 게이트웨이를 연결하여 작업 영역을 일반 공급한 버전으로 마이그레이션합니다.
자세한 내용과 미리 보기 작업 영역에 영향을 줄 수 있는 기타 변경 내용에 대해 알아보려면 작업 영역 호환성이 손상되는 변경(2025년 3월)을 참조하세요.
작업 영역 삭제
Azure Portal 인터페이스를 사용하여 작업 영역을 삭제하는 경우 작업 영역을 삭제하면 해당 작업 영역의 모든 자식 리소스(API, 제품 등)와 관련 게이트웨이가 삭제됩니다. API Management 인스턴스나 다른 작업 영역은 삭제되지 않습니다.