사용할 수 없는 수신기 이해
Azure Application Gateway 수신기에 대한 SSL/TLS 인증서는 고객의 Key Vault 리소스에서 참조할 수 있습니다. 애플리케이션 게이트웨이는 TLS 종료 기능의 원활한 작동과 게이트웨이 리소스의 전반적인 상태를 보장하기 위해 항상 연결된 키 자격 증명 모음 리소스 및 해당 인증서 개체에 액세스할 수 있어야 합니다.
Key Vault 리소스를 변경하거나 이에 대한 액세스를 취소할 때 Application Gateway 리소스에 미치는 영향을 고려하는 것이 중요합니다. 애플리케이션 게이트웨이가 연결된 키 자격 증명 모음에 액세스할 수 없거나 해당 인증서 개체를 찾을 수 없는 경우 자동으로 해당 수신기를 사용할 수 없는 상태로 설정합니다. 작업은 구성 오류에 대해서만 트리거됩니다. 인증서 삭제/비활성화 또는 키 자격 증명 모음의 방화벽 또는 권한을 통해 애플리케이션 게이트웨이의 액세스를 금지하는 것과 같은 고객의 잘못된 구성으로 인해 키 자격 증명 모음 기반 HTTPS 수신기가 비활성화됩니다. 일시적인 연결 문제는 수신기에 영향을 주지 않습니다.
사용할 수 없는 수신기는 Application Gateway의 다른 작동 수신기의 트래픽에 영향을 주지 않습니다. 예를 들어 PFX 인증서 파일이 Application Gateway 리소스에 직접 업로드되는 HTTP 수신기 또는 HTTPS 수신기는 사용하지 않도록 설정되지 않습니다.
정기 검사 및 수신기에 미치는 영향
Application Gateway의 정기 검사 동작과 키 자격 증명 모음 기반 수신기의 상태에 미치는 잠재적 영향을 이해하면 이러한 발생을 선점하거나 훨씬 더 빠르게 해결하는 데 도움이 될 수 있습니다.
정기 검사는 어떻게 진행되나요?
- Application Gateway 인스턴스는 키 자격 증명 모음 리소스를 주기적으로 폴링하여 새 인증서 버전을 가져옵니다.
- 이 작업 중에 인스턴스가 키 자격 증명 모음 리소스에 대한 손상된 액세스 또는 누락된 인증서 개체를 대신 감지하는 경우 해당 키 자격 증명 모음과 연결된 수신기는 사용할 수 없는 상태로 전환됩니다. 일관된 데이터 평면 동작을 제공하기 위해 60초 이내에 수신기의 사용할 수 없는 상태로 인스턴스가 업데이트됩니다.
- 고객이 문제를 해결한 후 동일한 4시간 주기 폴링에서 키 자격 증명 모음 인증서 개체에 대한 액세스를 확인하고 해당 게이트웨이의 모든 인스턴스에서 수신기를 자동으로 다시 사용하도록 설정합니다.
사용할 수 없는 수신기를 식별하는 방법
- Application Gateway의 사용할 수 없는 수신기에 대한 요청이 있는 경우 클라이언트는 "ERR_SSL_UNRECOGNIZED_NAME_ALERT" 오류를 확인합니다.
- 스크린샷과 같이 Application Gateway의 Resource Health 페이지를 확인하여 클라이언트 오류가 게이트웨이에서 사용하지 않도록 설정된 수신기에 대한 결과인지 확인할 수 있습니다.
Key Vault 구성 오류 해결
계정에서 Azure Advisor 권장 사항을 방문하여 정확한 원인으로 범위를 좁히고 문제를 해결하는 단계를 찾을 수 있습니다.
- Azure Portal에 로그인
- Advisor 선택
- 왼쪽 메뉴에서 운영 우수성 범주를 선택합니다.
- Application Gateway에 대한 Azure Key Vault 문제 해결이라는 권장 사항을 찾습니다(게이트웨이에 이 문제가 발생한 경우에만 표시됨). 올바른 구독을 선택하는지 확인합니다.
- 정확한 문제를 해결하기 위한 문제 해결 가이드와 함께 오류 세부 정보 및 관련 키 자격 증명 모음 리소스를 확인하려면 선택합니다.
참고 항목
Application Gateway 리소스에서 기본 문제가 해결되었음을 감지하면 사용할 수 없는 수신기가 자동으로 사용할 수 있도록 전환됩니다. 이 검사는 4시간 간격으로 수행됩니다. Application Gateway(HTTP 설정, 리소스 태그 등)를 약간 변경하여 Key Vault에 대한 검사를 강제로 수행함으로써 이를 신속하게 처리할 수 있습니다.