Azure Key Vault에서 Azure Container Apps로 인증서 가져오기
컨테이너 앱의 TLS/SSL 인증서를 중앙에서 관리하고 업데이트, 갱신 및 모니터링을 처리하도록 Azure Key Vault를 설정할 수 있습니다.
필수 조건
인증서를 저장하려면 Azure Key Vault 리소스가 필요합니다. Key Vault를 만들고 인증서를 추가하려면 Azure Key Vault에서 인증서 가져오기 또는 Key Vault에서 인증서 자동 순환 구성을 참조하세요.
예외
대부분의 인증서 유형이 지원되지만 유의해야 할 몇 가지 예외가 있습니다.
- ECDSA p384 및 p521 인증서는 지원되지 않습니다.
- App Services 인증서가 Key Vault에 저장되는 방식으로 인해 Azure Portal을 사용하여 가져올 수 없으며 Azure CLI가 필요합니다.
Container Apps 환경에 관리 ID 사용
Azure Container Apps는 환경 수준 관리 ID를 사용하여 Key Vault에 액세스하고 인증서를 가져옵니다. 시스템이 할당한 관리 ID를 사용하도록 설정하려면 다음 단계를 따릅니다.
Azure Portal을 열고 인증서를 가져올 Azure Container Apps 환경을 찾습니다.
설정에서 ID를 선택합니다.
시스템 할당 탭에서 상태 스위치를 찾고 켜기를 선택합니다.
저장을 선택하고 시스템이 할당한 관리 ID 사용 창이 나타나면 예를 선택합니다.
사용 권한 레이블 아래에서 Azure 역할 할당을 선택하여 역할 할당 창을 엽니다.
역할 할당 추가를 선택하고 다음 값을 입력합니다.
속성 값 Scope 키 자격 증명 모음을 선택합니다. 구독 Azure 구독을 선택합니다. 리소스 자격 증명 모음을 선택합니다. 역할 Key Vault 비밀 사용자를 선택합니다. 저장을 선택합니다.
RBAC 및 레거시 액세스 정책 비교에 대한 자세한 내용은 Azure RBAC(Azure 역할 기반 액세스 제어) 및 액세스 정책 비교를 참조하세요.
Key Vault에서 인증서 가져오기
Azure Portal을 열고 Azure Container Apps 환경으로 이동합니다.
설정에서 인증서를 선택합니다.
사용자 고유의 인증서(.pfx) 가져오기 탭을 선택합니다.
인증서 추가를 선택합니다.
인증서 추가 패널의 원본에서 Key Vault에서 가져오기를 선택합니다.
키 자격 증명 모음 인증서를 선택하고 다음 값을 선택합니다.
속성 값 Subscription Azure 구독을 선택합니다. Key vault 자격 증명 모음을 선택합니다. 인증서 인증서를 선택합니다. 참고 항목
"이 키 자격 증명 모음의 액세스 정책에서 "목록" 작업을 사용할 수 없습니다."라는 오류가 표시되면 사용자 계정에서 인증서를 나열할 수 있도록 Key Vault에서 액세스 정책을 구성해야 합니다. 자세한 내용은 Key Vault 액세스 정책 할당을 참조하세요.
선택을 선택합니다.
인증서 추가 패널의 관리 ID에서 할당된 시스템을 선택합니다. 사용자가 할당한 관리 ID를 사용하는 경우 사용자가 할당한 관리 ID를 선택합니다.
추가를 선택합니다.
참고 항목
오류 메시지가 표시되면 관리 ID에 Key Vault의 Key Vault 비밀 사용자 역할이 할당되었는지 확인합니다.
사용자 지정 도메인 구성
인증서를 구성한 후 인증서를 사용하여 사용자 지정 도메인을 보호할 수 있습니다. 사용자 지정 도메인 추가의 단계를 따르고 Key Vault에서 가져온 인증서를 선택합니다.
인증서 회전
Key Vault에서 인증서를 순환하면 Azure Container Apps가 사용자 환경에서 인증서를 자동으로 업데이트합니다. 새 인증서를 적용하는 데 최대 12시간이 걸립니다.