다음을 통해 공유


Azure Database에서 암호 없는 연결을 사용하도록 Node.js 애플리케이션 마이그레이션하기

적용 대상: Azure SQL Database

Azure SQL 데이터베이스에 대한 애플리케이션 요청을 인증해야 합니다. 여러 방식으로 Azure SQL 데이터베이스를 인증할 수 있지만 가능하면 암호 없는 애플리케이션 인증을 사용하는 것이 좋습니다. 암호 또는 비밀 키를 사용하는 기존의 인증 방법은 보안 위험과 복잡성을 야기합니다. 암호 없는 연결로 이동하는 이점에 대해 자세히 알아보려면 Azure 서비스에 대한 암호 없는 연결 허브를 방문하세요.

다음 자습서에서는 사용자자 이름과 암호 기반 솔루션 대신 암호 없는 연결을 사용하여 기존 Node.js 애플리케이션을 마이그레이션하여 Azure Database에 연결하는 방법을 설명합니다.

Azure SQL 데이터베이스 구성

암호 없는 연결은 Microsoft Entra 인증을 사용하여 Azure SQL 데이터베이스를 비롯한 Azure 서비스에 연결합니다. Microsoft Entra 인증을 사용하면 중앙 위치에서 ID를 관리할 수 있으므로 권한 관리가 간소화됩니다. SQL Database의 Microsoft Entra 인증 구성에 대해 자세히 알아 보세요.

이 마이그레이션 가이드의 경우 Azure SQL 데이터베이스에 Microsoft Entra 관리자가 할당되어 있는지를 확인해야 합니다.

  1. 논리 서버의 Microsoft Entra 페이지로 이동합니다.

  2. 관리자 설정을 선택하여 Microsoft Entra ID 플라이아웃 메뉴를 엽니다.

  3. Microsoft Entra ID 플라이아웃 메뉴에서 관리자로 할당할 사용자를 검색합니다.

  4. 사용자를 선택한 다음 선택을 선택합니다.

    Microsoft Entra 관리자를 사용 설정하는 방법을 보여주는 스크린샷.

로컬 개발 환경 구성

로컬 및 Azure 호스팅 환경 모두에서 작동하도록 암호 없는 연결을 구성할 수 있습니다. 이 섹션에서는 개별 사용자가 로컬 개발을 위해 Azure SQL 데이터베이스에 인증할 수 있도록 구성을 적용합니다.

Azure에 로그인

로컬 개발의 경우 Azure SQL 데이터베이스에 액세스하는 데 사용하고자 하는 계정과 동일한 Azure AD 계정으로 로그인해야 합니다. Azure CLI 또는 Azure PowerShell과 같은 인기 있는 개발 도구를 통해 인증할 수 있습니다. 인증할 수 있는 개발 도구는 언어에 따라 다릅니다.

다음 명령을 사용하여 Azure CLI를 통해 Azure에 로그인합니다.

az login

데이터베이스 사용자 계정 만들기 및 역할 할당

Azure SQL 데이터베이스에 사용자를 만듭니다. 사용자는 Azure 로그인 섹션에서 로컬로 로그인하는 데 사용한 Azure 계정에 해당해야 합니다.

  1. Azure Portal에서 SQL Database로 이동하여 쿼리 편집기(미리 보기)를 선택합니다.

  2. 화면 오른쪽에서 <your-username>(으)로 계속을 선택하여 데이터베이스에 로그인합니다.

  3. 쿼리 편집기 보기에서 다음 T-SQL 명령을 실행합니다.

    CREATE USER [user@domain] FROM EXTERNAL PROVIDER;
    ALTER ROLE db_datareader ADD MEMBER [user@domain];
    ALTER ROLE db_datawriter ADD MEMBER [user@domain];
    ALTER ROLE db_ddladmin ADD MEMBER [user@domain];
    GO
    

    Azure 쿼리 편집기를 사용하는 방법을 보여 주는 스크린샷

    이러한 명령을 실행하면 SQL DB 기여자 역할이 특정한 계정에 할당됩니다. 이 역할의 ID는 데이터베이스의 데이터와 스키마를 읽고 쓰고 수정할 수 있습니다. 할당된 역할에 대한 자세한 내용은 고정 데이터베이스 역할을 참조하세요.

로컬 연결 구성 업데이트

  1. 애플리케이션 환경 설정 만들기

    AZURE_SQL_SERVER=<YOURSERVERNAME>.database.windows.net
    AZURE_SQL_DATABASE=<YOURDATABASENAME>
    AZURE_SQL_PORT=1433
    
  2. Node.js SQL Driver - tedious를 사용하여 Azure SQL 데이터베이스에 연결하는 기존 애플리케이션 코드는 작은 수정만 거쳐도 암호 없는 연결에서 계속 작동합니다. 사용자 할당 관리 ID를 사용하려면 authentication.typeoptions.clientId 속성을 전달합니다.

    import sql from 'mssql';
    
    // Environment settings - no user or password
    const server = process.env.AZURE_SQL_SERVER;
    const database = process.env.AZURE_SQL_DATABASE;
    const port = parseInt(process.env.AZURE_SQL_PORT);
    
    // Passwordless configuration
    const config = {
        server,
        port,
        database,
        authentication: {
            type: 'azure-active-directory-default',
        },
        options: {
            encrypt: true,
            clientId: process.env.AZURE_CLIENT_ID  // <----- user-assigned managed identity        
        }
    };
    
    // Existing application code
    export default class Database {
        config = {};
        poolconnection = null;
        connected = false;
    
        constructor(config) {
            this.config = config;
            console.log(`Database: config: ${JSON.stringify(config)}`);
        }
    
        async connect() {
            try {
                console.log(`Database connecting...${this.connected}`);
                if (this.connected === false) {
                    this.poolconnection = await sql.connect(this.config);
                    this.connected = true;
                    console.log('Database connection successful');
                } else {
                    console.log('Database already connected');
                }
            } catch (error) {
                console.error(`Error connecting to database: ${JSON.stringify(error)}`);
            }
        }
    
        async disconnect() {
            try {
                this.poolconnection.close();
                console.log('Database connection closed');
            } catch (error) {
                console.error(`Error closing database connection: ${error}`);
            }
        }
    
        async executeQuery(query) {
            await this.connect();
            const request = this.poolconnection.request();
            const result = await request.query(query);
    
            return result.rowsAffected[0];
        }
    }
    
    const databaseClient = new Database(config);
    const result = await databaseClient.executeQuery(`select * from mytable where id = 10`);
    

    AZURE_CLIENT_ID 환경 변수를 만드는 부분은 이 자습서의 뒷부분에서 다룹니다.

앱 테스트

앱을 로컬로 실행하고 Azure SQL 데이터베이스 연결이 예상대로 작동하는지 확인하세요. Azure 사용자 및 역할 변경 사항이 Azure 환경에 적용되는 데 몇 분이 걸릴 수 있습니다. 이제 개발자가 애플리케이션 내에서 비밀을 관리하지 않아도 로컬 및 프로덕션 환경 모두에서 실행되도록 애플리케이션이 구성되었습니다.

Azure 호스팅 환경 구성

애플리케이션이 암호 없는 연결을 사용하여 로컬에서 실행되도록 구성되면 Azure에 배포한 다음 동일한 코드로 Azure SQL 데이터베이스에 인증할 수 있습니다. 다음 섹션에서는 배포된 애플리케이션이 관리 ID를 사용하여 SQL Database에 연결하도록 구성하는 방법을 설명합니다. 관리 ID는 Microsoft Entra 인증을 지원하는 리소스에 연결할 때 애플리케이션이 사용할 수 있도록 Microsoft Entra ID(이전의 Azure Active Directory)에서 자동으로 관리 ID를 제공합니다. 관리 ID에 대해 자세히 알아보세요.

관리 ID 만들기

사용자가 할당한 관리 ID는 Azure Portal 또는 Azure CLI를 사용하여 만들 수 있습니다. 애플리케이션에서 ID를 사용하여 다른 서비스에 인증합니다.

  1. Azure Portal의 위쪽에서 관리 ID를 검색합니다. 관리 ID 결과를 선택합니다.
  2. 관리 ID 개요 페이지의 위쪽에서 + 만들기를 선택합니다.
  3. 기본 사항 탭에서 다음 값을 입력합니다.
    • 구독: 원하는 구독을 선택합니다.
    • 리소스 그룹: 원하는 리소스 그룹을 선택합니다.
    • 지역: 자신의 위치 근처 지역을 선택합니다.
    • 이름: 인식할 수 있는 ID 이름(예: MigrationIdentity)을 입력합니다.
  4. 페이지 아래쪽에서 검토 + 만들기를 선택합니다.
  5. 유효성 검사가 완료되면 만들기를 선택합니다. Azure에서 사용자가 할당한 ID를 새로 만듭니다.

리소스가 만들어지면 리소스로 이동을 선택하여 관리 ID의 세부 정보를 확인합니다.

Azure Portal을 사용하여 관리 ID를 생성하는 방법을 보여주는 스크린샷.

관리 ID를 웹앱과 연결

만든 사용자 할당 관리 ID를 사용하도록 웹앱을 구성해야 합니다.

Azure Portal에서 다음 단계를 완료하여 사용자가 할당한 ID를 앱과 연결합니다. 이러한 동일한 단계가 적용되는 Azure 서비스는 다음과 같습니다.

  • Azure Spring Apps
  • Azure Container Apps
  • Azure 가상 머신
  • Azure Kubernetes Service
  • 웹앱의 개요 페이지로 이동합니다.
  1. 왼쪽 탐색 영역에서 ID를 선택합니다.

  2. ID 페이지에서 사용자 할당 탭으로 전환합니다.

  3. + 추가를 선택하여 사용자가 할당한 관리 ID 추가 플라이아웃을 엽니다.

  4. 이전에 ID를 만드는 데 사용한 구독을 선택합니다.

  5. 이름으로 MigrationIdentity를 검색하고 검색 결과에서 선택합니다.

  6. 추가를 선택하여 ID를 앱과 연결합니다.

    관리 ID를 할당하는 방법을 보여주는 스크린샷.

ID용 데이터베이스 사용자 계정 만들기 및 역할 할당

SQL 데이터베이스 사용자를 만들어 사용자가 할당한 관리 ID에 다시 매핑될 수 있도록 설정합니다. 앱이 데이터베이스의 데이터와 스키마를 읽고 쓰고 수정할 수 있도록 사용자에게 필요한 SQL 역할을 할당합니다.

  1. Azure Portal에서 SQL Database로 이동하여 쿼리 편집기(프리뷰)를 선택합니다.

  2. 화면 오른쪽에서 <username>(으)로 계속을 선택하여 데이터베이스에 로그인합니다.

  3. 쿼리 편집기 보기에서 다음 T-SQL 명령을 실행합니다.

    CREATE USER [user-assigned-identity-name] FROM EXTERNAL PROVIDER;
    ALTER ROLE db_datareader ADD MEMBER [user-assigned-identity-name];
    ALTER ROLE db_datawriter ADD MEMBER [user-assigned-identity-name];
    ALTER ROLE db_ddladmin ADD MEMBER [user-assigned-identity-name];
    GO
    

    Azure 쿼리 편집기를 사용하여 관리 ID에 대한 SQL 사용자를 생성하는 방법을 보여주는 스크린샷.

    이러한 명령을 실행하면 SQL DB 기여자 역할이 사용자 할당 관리 ID에 할당됩니다. 이 역할의 ID는 데이터베이스의 데이터와 스키마를 읽고 쓰고 수정할 수 있습니다.


Important

기업 제품 프로덕션 환경에서 데이터베이스 사용자 역할을 할당할 때는 주의해야 합니다. 이러한 시나리오에서 앱은 상승된 단일 ID를 사용하여 모든 작업을 수행해서는 안 됩니다. 특정 작업에 대한 특정 권한으로 여러 ID를 구성하여 최소 권한 원칙을 구현하는 것을 권장합니다.

다음 리소스에서 데이터베이스 역할 및 보안을 구성하는 방법에 대해 자세히 알아 보세요.

관리 ID 클라이언트 ID에 대한 앱 설정 만들기

사용자 할당 관리 ID를 사용하려면 AZURE_CLIENT_ID 환경 변수를 만들고 관리 ID의 클라이언트 ID와 동일하게 설정합니다. 이 변수는 Azure Portal에서 앱의 구성 섹션에서 설정할 수 있습니다. Azure Portal 관리 ID 리소스 ‭개요‭ 섹션에서 클라이언트 ID를 찾을 수 있습니다.

변경 내용을 저장한 다음, 애플리케이션이 자동으로 다시 시작하지 않으면 애플리케이션을 다시 시작합니다.

시스템 할당 관리 ID를 사용해야 하는 경우 options.clientId 속성을 생략하세요. authentication.type 속성은 전달해야 합니다.

const config = {
  server,
  port,
  database,
  authentication: {
    type: 'azure-active-directory-default'
  },
  options: {
    encrypt: true
  }
};

애플리케이션 테스트

그런 다음 앱을 테스트하고 모두 잘 작동하는지 확인해 주세요. 모든 변경 내용이 Azure 환경에 적용되는 데는 몇 분 정도 걸릴 수 있습니다.

다음 단계

이 자습서에서는 애플리케이션을 암호 없는 연결로 마이그레이션하는 방법을 알아보았습니다.

다음 리소스를 참조하여 이 문서에서 설명하는 개념을 자세히 살펴볼 수 있습니다.