App Service Environment 관리 주소
Important
이 문서는 격리된 App Service 요금제와 함께 사용되는 App Service Environment v2에 대해 설명합니다. App Service Environment v1 및 v2는 2024년 8월 31일부터 사용 중지됩니다. 사용하기 더 쉽고 더 강력한 인프라에서 실행되는 새로운 버전의 App Service Environment가 있습니다. 새 버전에 대한 자세한 내용은 App Service Environment 소개를 참조하세요. 현재 App Service Environment v1을 사용 중인 경우 이 문서의 단계에 따라 새 버전으로 마이그레이션하세요.
2024년 8월 31일부터 SLA(서비스 수준 약정)와 서비스 크레딧은 사용 중지되는 제품이므로 계속 프로덕션 상태인 App Service Environment v1과 v2 워크로드에 더 이상 적용되지 않습니다. App Service Environment v1 및 v2 하드웨어의 서비스 해제가 시작되었으며 이는 앱 및 데이터의 가용성 및 성능에 영향을 줄 수 있습니다.
App Service Environment v3로 즉시 마이그레이션을 완료해야 합니다. 그렇지 않으면 앱과 리소스가 삭제될 수 있습니다. Microsoft는 현재 위치 마이그레이션 기능을 사용하여 남아 있는 App Service Environment v1 및 v2를 최선을 다해 자동 마이그레이션하려고 시도하겠지만, 자동 마이그레이션 후 애플리케이션 가용성에 대해 어떠한 주장이나 보증도 하지 않습니다. 마이그레이션을 완료하고 사용자 요구 사항에 맞게 App Service 요금제 SKU 선택을 최적화하려면 수동 구성을 수행해야 할 수도 있습니다. 자동 마이그레이션이 가능하지 않으면 리소스 및 관련 앱 데이터가 삭제됩니다. 이러한 극단적인 시나리오 중 하나를 피하기 위해 지금 실행하도록 강력히 촉구합니다.
추가 시간이 필요한 경우 마이그레이션을 완료하기 위한 일회성 30일 유예 기간을 제공할 수 있습니다. 자세한 내용을 확인하고 이 유예 기간을 요청하려면 유예 기간 개요를 검토한 다음, Azure Portal로 이동하여 각 App Service Environment에 대한 마이그레이션 블레이드를 방문하세요.
App Service Environment v1/v2 사용 중지에 대한 최신 정보는 App Service Environment v1 및 v2 사용 중지 업데이트를 참조하세요.
필수 조건
Azure Cloud Shell에서 Bash 환경을 사용합니다. 자세한 내용은 Azure Cloud Shell의 Bash에 대한 빠른 시작을 참조하세요.
CLI 참조 명령을 로컬에서 실행하려면 Azure CLI를 설치합니다. Windows 또는 macOS에서 실행 중인 경우 Docker 컨테이너에서 Azure CLI를 실행하는 것이 좋습니다. 자세한 내용은 Docker 컨테이너에서 Azure CLI를 실행하는 방법을 참조하세요.
로컬 설치를 사용하는 경우 az login 명령을 사용하여 Azure CLI에 로그인합니다. 인증 프로세스를 완료하려면 터미널에 표시되는 단계를 수행합니다. 다른 로그인 옵션은 Azure CLI를 사용하여 로그인을 참조하세요.
메시지가 표시되면 처음 사용할 때 Azure CLI 확장을 설치합니다. 확장에 대한 자세한 내용은 Azure CLI에서 확장 사용을 참조하세요.
az version을 실행하여 설치된 버전과 종속 라이브러리를 찾습니다. 최신 버전으로 업그레이드하려면 az upgrade를 실행합니다.
요약
ASE(App Service Environment)는 Azure Virtual Network에서 실행되는 Azure App Service의 단일 테넌트 배포입니다. ASE는 가상 네트워크에서 실행되지만 서비스를 관리하기 위해서는 Azure App Service에서 사용하는 여러 전용 IP 주소에서 액세스할 수 있어야 합니다. ASE의 경우 관리 트래픽은 사용자 제어 네트워크를 통과합니다. 이 트래픽이 차단되거나 잘못 라우팅된 경우 ASE는 일시 중단 됩니다. ASE 네트워킹 종속성에 대한 자세한 내용은 네트워킹 고려 사항과 App Service Environment를 참조하세요. 시작하는 데 도움이 되는 ASE에 대한 일반적인 정보는 App Service Environment 소개를 참조하세요.
모든 ASE에는 관리 트래픽이 전달되는 공개 VIP가 있습니다. 이러한 주소에서 들어오는 관리 트래픽은 ASE의 공개 VIP에서 포트 454 및 455로 전달됩니다. 이 문서에서는 ASE에 대한 관리 트래픽의 App Service 원본 주소를 나열합니다. 이러한 주소는 AppServiceManagement라는 IP 서비스 태그에도 있습니다.
관리 트래픽과의 비대칭 라우팅 문제를 방지하기 위해 경로 테이블에서 AppServiceManagement 서비스 태그의 주소를 구성할 수 있습니다. 가능한 경우 개별 주소 대신 서비스 태그를 사용해야 합니다. 경로는 IP 수준의 트래픽에서 작동하며 트래픽 방향을 인식하지 못하거나 트래픽이 TCP 응답 메시지의 일부임을 인식하지 못합니다. TCP 요청에 대한 회신 주소가 요청을 보낸 주소와 다른 경우 비대칭 라우팅 문제가 발생합니다. ASE 관리 트래픽에서 비대칭 라우팅 문제를 방지하려면 트래픽을 보낸 주소에서 회신을 보내는지 확인해야 합니다. ASE를 아웃바운드 트래픽이 온-프레미스에서 전송되는 환경에서 작동하도록 구성하는 방법에 대한 내용은 강제 터널링을 사용하여 ASE 구성을 참조하세요.
관리 주소 목록
관리 주소에 대한 IP를 확인해야 하는 경우 해당 지역의 서비스 태그 참조를 다운로드하여 가장 최신 주소 목록을 가져옵니다. App Service Environment 관리 주소는 AppServiceManagement 서비스 태그에 나열됩니다.
| 지역 | 서비스 태그 참조 |
|---|---|
| 모든 공용 지역 | Azure IP 범위 및 서비스 태그 – 퍼블릭 클라우드 |
| Microsoft Azure Government | Azure IP 범위 및 서비스 태그 – 미국 정부 클라우드 |
| 21Vianet에서 운영하는 Microsoft Azure | Azure IP 범위 및 서비스 태그 – 중국 클라우드 |
네트워크 보안 그룹 구성
네트워크 보안 그룹을 사용하면 개별 주소 또는 사용자 고유의 구성 유지 관리에 대해 걱정할 필요가 없습니다. 모든 주소를 사용하여 최신 상태로 유지되는 AppServiceManagement라는 IP 서비스 태그가 있습니다. NSG에서 이 IP 서비스 태그를 사용하려면 포털로 이동한 후 네트워크 보안 그룹 UI를 열고 인바운드 보안 규칙을 선택합니다. 인바운드 관리 트래픽에 대한 기존 규칙이 있으면 편집합니다. 이 NSG를 ASE과 함께 만들지 않았거나 모두 새 항목이면 추가를 선택합니다. 원본 드롭다운 목록에서 서비스 태그를 선택합니다. 원본 서비스 태그에서 AppServiceManagement를 선택합니다. 원본 포트 범위를 *로, 대상을 모두로, 대상 포트 범위를 454-455로, 프로토콜을 TCP로, 작업을 허용으로 설정합니다. 규칙을 만드는 경우 우선 순위를 설정해야 합니다.
경로 테이블 구성
관리 주소는 모든 인바운드 관리 트래픽이 동일한 경로로 다시 이동할 수 있도록 인터넷의 다음 홉을 사용하여 경로 테이블에 배치할 수 있습니다. 이러한 경로는 강제 터널링을 구성할 때 필요합니다. 가능한 경우 개별 주소 대신 AppServiceManagement 서비스 태그를 사용합니다. 경로 테이블을 만들려면 포털, PowerShell 또는 Azure CLI를 사용할 수 있습니다. PowerShell 프롬프트에서 Azure CLI를 사용하여 경로 테이블을 만드는 명령은 다음과 같습니다.
$sub = "subscription ID"
$rg = "resource group name"
$rt = "route table name"
$location = "azure location"
az network route-table route create --subscription $sub -g $rg --route-table-name $rt -n 'AppServiceManagement' --address-prefix 'AppServiceManagement' --next-hop-type 'Internet'
경로 테이블을 만든 후에 ASE 서브넷에서 설정해야 합니다.
API에서 관리 주소 가져오기
다음 API 호출을 사용하여 ASE와 일치하는 관리 주소를 나열할 수 있습니다.
get /subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Web/hostingEnvironments/<ASE Name>/inboundnetworkdependenciesendpoints?api-version=2016-09-01
이 API는 ASE에 대한 모든 인바운드 주소를 포함하는 JSON 문서를 반환합니다. 주소 목록에는 관리 주소, 즉, ASE 및 ASE 서브넷 주소 범위 자체에서 사용하는 VIP가 포함됩니다.
armclient를 사용하여 API를 호출하려면 다음 명령을 사용하되 구독 ID, 리소스 그룹 및 ASE 이름을 바꿔야 합니다.
armclient login
armclient get /subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Web/hostingEnvironments/<ASE Name>/inboundnetworkdependenciesendpoints?api-version=2016-09-01