Azure App Configuration에서 프라이빗 액세스 설정

이 문서에서는 Azure Private Link로 프라이빗 엔드포인트를 만들어 Azure App Configuration 저장소에 대한 프라이빗 액세스를 설정하는 방법을 알아봅니다. 프라이빗 엔드포인트를 사용하면 가상 네트워크의 개인 IP 주소를 사용하여 App Configuration 저장소에 액세스할 수 있습니다.

필수 조건

• 활성 구독이 있는 Azure 계정. 체험 계정을 만듭니다.
• 이미 App Configuration 저장소가 있다고 가정합니다. 하나를 만들려면 App Configuration 저장소 만들기로 이동합니다.

Azure에 로그인

App Configuration 서비스에 액세스하려면 먼저 Azure에 로그인해야 합니다.

포털

Azure 계정을 사용하여 https://portal.azure.com/에서 Azure Portal에 로그인합니다.

Azure CLI

Azure CLI에서 az login 명령을 사용하여 Azure에 로그인합니다.

az login

이 명령은 웹 브라우저에 Azure 로그인 페이지를 시작하고 로드하라는 메시지를 표시합니다. 브라우저가 열리지 않으면 az login --use-device-code와 함께 디바이스 코드 흐름을 사용합니다. 추가 로그인 옵션을 보려면 Azure CLI로 로그인으로 이동합니다.

프라이빗 엔드포인트 만들기

포털

1. App Configuration 저장소의 설정에서 네트워킹을 선택합니다.

2. 프라이빗 액세스 탭을 선택한 다음, 만들기를 선택하여 새 프라이빗 엔드포인트 설정을 시작합니다.

   

3. 다음 정보로 양식을 작성합니다.

   매개 변수	설명	예시
   구독	Azure 구독을 선택합니다. 프라이빗 엔드포인트는 가상 네트워크와 동일한 구독에 있어야 합니다. 이 방법 가이드의 뒷부분에서 가상 네트워크를 선택할 것입니다.	MyAzureSubscription
   Resource group	리소스 그룹을 선택하거나 새로 만듭니다.	MyResourceGroup
   이름	App Configuration 저장소에 대한 새 프라이빗 엔드포인트의 고유한 이름을 입력합니다. Azure Portal을 사용하는 경우 프라이빗 엔드포인트 연결 이름은 프라이빗 엔드포인트 이름과 동일합니다. App Configuration 저장소에는 고유한 프라이빗 엔드포인트 연결 이름이 있어야 합니다.	MyPrivateEndpoint
   네트워크 인터페이스 이름	이 필드는 자동으로 입력됩니다. 필요에 따라 네트워크 인터페이스의 이름을 편집합니다.	MyPrivateEndpoint-nic
   지역	지역을 선택합니다. 프라이빗 엔드포인트는 가상 네트워크와 동일한 지역에 있어야 합니다.	미국 중부

   

4. 다음: 리소스>를 선택합니다. Private Link는 SQL Server, Azure Storage 계정 또는 App Configuration 저장소와 같은 다양한 유형의 Azure 리소스에 대한 프라이빗 엔드포인트를 만드는 옵션을 제공합니다. 현재 App Configuration 저장소는 프라이빗 엔드포인트가 연결하는 리소스이므로 리소스 필드에 자동으로 채워집니다.

   1. 리소스 종류 Microsoft.AppConfiguration/configurationStores 및 대상 하위 리소스 configurationStores는 App Configuration 저장소에 대한 엔드포인트를 만들고 있음을 나타냅니다.

   2. 구성 저장소의 이름은 리소스 아래에 나열됩니다.

   

5. 다음: Virtual Network>를 선택합니다.

   1. 프라이빗 엔드포인트를 배포할 기존 가상 네트워크를 선택합니다. 가상 네트워크가 없는 경우 가상 네트워크를 만듭니다.

   2. 목록에서 서브넷을 선택합니다.

   3. 이 서브넷의 모든 프라이빗 엔드포인트에 대해 네트워크 정책 사용 상자를 선택된 상태로 둡니다.

   4. 개인 IP 구성에서 IP 주소를 동적으로 할당하는 옵션을 선택합니다. 자세한 내용은 개인 IP 주소를 참조하세요.

   5. 필요에 따라 애플리케이션 보안 그룹을 선택하거나 만들 수 있습니다. 애플리케이션 보안 그룹을 사용하면 가상 머신을 그룹화하고 해당 그룹에 따라 네트워크 보안 정책을 정의할 수 있습니다.

   

6. 다음: DNS>를 선택하여 DNS 레코드를 구성합니다. 기본 설정을 변경하지 않으려면 다음 탭으로 이동하면 됩니다.

   1. 프라이빗 DNS 영역과 통합에 예를 선택하여 프라이빗 엔드포인트를 프라이빗 DNS 영역과 통합합니다. 자체 DNS 서버를 사용하거나, 가상 머신의 호스트 파일을 사용하여 DNS 레코드를 만들 수도 있습니다.

   2. 프라이빗 DNS 영역에 대한 구독 및 리소스 그룹이 미리 선택되어 있습니다. 필요에 따라 선택 항목을 변경할 수 있습니다.

   

   DNS 구성에 대해 자세히 알아보려면 Azure 가상 네트워크의 리소스에 대한 이름 확인 및 프라이빗 엔드포인트에 대한 DNS 구성으로 이동합니다.

7. 다음: 태그>를 선택하고 필요에 따라 태그를 만듭니다. 태그는 동일한 태그를 여러 개의 리소스 및 리소스 그룹에 적용하여 리소스를 범주화하고 통합된 청구 정보를 볼 수 있는 이름/값 쌍입니다.

   

8. 다음: 검토 + 만들기>를 선택하여 App Configuration 저장소, 프라이빗 엔드포인트, 가상 네트워크 및 DNS에 대한 정보를 검토합니다. 자동화용 템플릿 다운로드를 선택하여 나중에 이 양식의 JSON 데이터를 다시 사용할 수도 있습니다.

   

9. 만들기를 실행합니다.

배포가 완료되면 엔드포인트가 생성되었다는 알림이 표시됩니다. 자동 승인된 경우 앱 구성 저장소에 비공개로 액세스할 수 있습니다. 그렇지 않으면 승인을 기다려야 합니다.

Azure CLI

1. 프라이빗 엔드포인트를 설정하려면 가상 네트워크가 필요합니다. 가상 네트워크가 아직 없으면 az network vnet create를 사용하여 가상 네트워크를 만듭니다. 자리 표시자 텍스트 <vnet-name>, <rg-name> 및 <subnet-name>을 새 가상 네트워크의 이름, 리소스 그룹 이름 및 서브넷 이름으로 바꿉니다.

   az network vnet create --name <vnet-name> --resource-group <rg-name> --subnet-name <subnet-name> --location <vnet-location>
   

   자리 표시자	설명	예시
   <vnet-name>	새 가상 네트워크의 이름을 입력합니다. 가상 네트워크를 사용하면 Azure 리소스에서 서로 인터넷을 통해 개별적으로 통신할 수 있습니다.	MyVNet
   <rg-name>	가상 네트워크에 대한 기존 리소스 그룹의 이름을 입력합니다.	MyResourceGroup
   <subnet-name>	새 서브넷 이름을 입력합니다. 서브넷은 네트워크 내의 네트워크입니다. 개인 IP 주소가 할당되는 위치입니다.	MySubnet
   <vnet-location>	Azure 지역을 입력합니다. 가상 네트워크는 프라이빗 엔드포인트와 동일한 지역에 있어야 합니다.	centralus

2. az appconfig show 명령을 실행하여 프라이빗 액세스를 설정할 App Configuration 저장소의 속성을 검색합니다. 자리 표시자 name을 이름 또는 App Configuration 저장소로 바꿉니다.

   az appconfig show --name <name>
   

   이 명령은 App Configuration 저장소에 대한 정보가 포함된 출력을 생성합니다. ID 값을 적어 둡니다. 예: /subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore

3. az network private-endpoint create 명령을 실행하여 App Configuration 저장소에 대한 프라이빗 엔드포인트를 만듭니다. 자리 표시자 텍스트 <resource-group>, <private-endpoint-name>, <vnet-name>, <private-connection-resource-id>, <connection-name> 및 <location>을 사용자 고유의 정보로 바꿉니다.

   az network private-endpoint create --resource-group <resource-group> --name <private-endpoint-name> --vnet-name <vnet-name> --subnet Default --private-connection-resource-id <private-connection-resource-id> --connection-name <connection-name> --location <location> --group-id configurationStores
   

   자리 표시자	설명	예시
   <resource-group>	프라이빗 엔드포인트에 대한 기존 리소스 그룹의 이름을 입력합니다.	MyResourceGroup
   <private-endpoint-name>	새 프라이빗 엔드포인트에 대한 이름을 입력합니다.	MyPrivateEndpoint
   <vnet-name>	기존 VNet의 이름을 입력합니다.	Myvnet
   <private-connection-resource-id>	App Configuration 저장소의 프라이빗 연결 리소스 ID를 입력합니다. 이전 단계의 출력에서 저장한 ID입니다.	/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore
   <connection-name>	연결 이름을 입력합니다. App Configuration 저장소에는 고유한 프라이빗 엔드포인트 연결 이름이 있어야 합니다.	MyConnection
   <location>	Azure 지역을 입력합니다. 프라이빗 엔드포인트는 가상 네트워크와 동일한 지역에 있어야 합니다.	centralus

프라이빗 링크 연결 관리

포털

App Configuration 저장소의 네트워킹>프라이빗 액세스로 이동하여 App Configuration 저장소에 연결된 프라이빗 엔드포인트에 액세스합니다.

1. 프라이빗 링크 연결의 연결 상태를 확인합니다. 프라이빗 엔드포인트를 만들 때 연결이 승인되어야 합니다. 프라이빗 엔드포인트를 만들 리소스가 디렉터리에 있고 충분한 권한이 있는 경우 연결 요청이 자동 승인됩니다. 그렇지 않으면 해당 리소스의 소유자가 연결 요청을 승인할 때까지 기다려야 합니다. 연결 승인 모델에 대한 자세한 내용은 Azure 프라이빗 엔드포인트 관리를 참조하세요.

2. 연결을 수동으로 승인, 거부 또는 제거하려면 편집할 엔드포인트 옆의 확인란을 선택하고 상단 메뉴에서 작업 항목을 선택합니다.

   

3. 프라이빗 엔드포인트의 이름을 선택하여 프라이빗 엔드포인트 리소스를 열고 추가 정보에 액세스하거나 프라이빗 엔드포인트를 편집합니다.

Azure CLI

모든 프라이빗 엔드포인트 연결 세부 정보 검토

az network private-endpoint-connection list 명령을 실행하여 App Configuration 저장소에 연결된 모든 프라이빗 엔드포인트 연결을 검토하고 연결 상태를 확인합니다. 자리 표시자 텍스트 resource-group 및 <app-config-store-name>을 리소스 그룹 이름과 저장소 이름으로 바꿉니다.

az network private-endpoint-connection list --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores

필요에 따라 특정 프라이빗 엔드포인트의 세부 정보를 가져오려면 az network private-endpoint-connection show 명령을 사용합니다. 자리 표시자 텍스트 resource-group 및 app-config-store-name을 리소스 그룹 이름과 저장소 이름으로 바꿉니다.

az network private-endpoint-connection show --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores

연결 승인 받기

프라이빗 엔드포인트를 만들 때 연결이 승인되어야 합니다. 프라이빗 엔드포인트를 만들 리소스가 디렉터리에 있고 충분한 권한이 있는 경우 연결 요청이 자동 승인됩니다. 그렇지 않으면 해당 리소스의 소유자가 연결 요청을 승인할 때까지 기다려야 합니다.

프라이빗 엔드포인트 연결을 승인하려면 az network private-endpoint-connection approve 명령을 사용합니다. 자리 표시자 텍스트 resource-group, private-endpoint 및 <app-config-store-name>을 리소스 그룹 이름, 프라이빗 엔드포인트 이름 및 저장소 이름으로 바꿉니다.

az network private-endpoint-connection approve --resource-group <resource-group> --name <private-endpoint> --type Microsoft.AppConfiguration/configurationStores --resource-name <app-config-store-name>

연결 승인 모델에 대한 자세한 내용은 Azure 프라이빗 엔드포인트 관리를 참조하세요.

프라이빗 엔드포인트 연결을 삭제합니다.

프라이빗 엔드포인트 연결을 삭제하려면 az network private-endpoint-connection delete 명령을 사용합니다. 자리 표시자 텍스트 resource-group 및 private-endpoint을 리소스 그룹 이름과 프라이빗 엔드포인트 이름으로 바꿉니다.

az network private-endpoint-connection delete --resource-group <resource-group> --name <private-endpoint>

더 많은 CLI 명령을 보려면 az network private-endpoint-connection으로 이동하세요.

프라이빗 엔드포인트에 문제가 있는 경우 Azure 프라이빗 엔드포인트 연결 문제 해결 가이드를 확인하세요.

다음 단계

Azure App Configuration의 프라이빗 엔드포인트 사용

Azure App Configuration에서 공용 액세스 사용하지 않도록 설정