다음을 통해 공유

Azure Front Door에서 루트 또는 Apex 도메인 온보딩

  • 아티클

Important

Azure Front Door(클래식)는 2027년 3월 31일에 사용이 중지됩니다. 서비스가 중단되지 않도록 하려면 2027년 3월까지 Azure Front Door(클래식) 프로필을 Azure Front Door 표준 또는 프리미엄 계층으로 마이그레이션하는 것이 중요합니다. 자세한 내용은 Azure Front Door(클래식) 사용 중지를 참조하세요.

Azure Front Door는 CNAME 레코드를 사용하여 사용자 지정 도메인의 온보딩에 대한 도메인 소유권의 유효성을 검사합니다. Azure Front Door는 Azure Front Door 프로필과 연결된 프런트 엔드 IP 주소를 노출하지 않습니다. 따라서 Azure Front Door에 온보딩하려는 경우, apex 도메인을 IP 주소에 매핑할 수 없습니다.

DNS(Domain Name System) 프로토콜은 영역 루트에서 CNAME 레코드가 할당되는 것을 방지합니다. 예를 들어, 도메인이 contoso.com인 경우 somelabel.contoso.com에 대한 CNAME 레코드를 만들 수 있지만 contoso.com 자체에 대한 CNAME 레코드를 만들 수는 없습니다. 이 제한은 Azure Front Door 뒤에 애플리케이션 부하를 분산하는 애플리케이션 소유자에게 문제가 됩니다. Azure Front Door 프로필을 사용하려면 CNAME 레코드를 만들어야 하므로 영역 루트에서 Azure Front Door 프로필을 가리킬 수 없습니다.

Azure DNS의 별칭 레코드를 사용하여 이 문제를 해결할 수 있습니다. CNAME 레코드와 달리 별칭 레코드는 영역 루트에 생성됩니다. 이제 애플리케이션 소유자는 영역 루트 레코드에서 공용 엔드포인트가 있는 Azure Front Door 프로필을 가리키도록 할 수 있습니다. 애플리케이션 소유자는 DNS 영역 내의 다른 도메인에 사용되는 동일한 Azure Front Door 프로필을 지정할 수 있습니다. 예를 들어, contoso.comwww.contoso.com은 동일한 Azure Front Door 프로필을 지정할 수 있습니다.

Apex 또는 루트 도메인을 Front Door 프로필에 매핑하려면 CNAME 평면화 또는 DNS 추적이 필요하며, 여기서 DNS 공급자는 IP 주소를 확인할 때까지 CNAME 항목을 재귀적으로 확인합니다. Azure DNS는 Azure Front Door 엔드포인트에 대해 이 기능을 지원합니다.

참고 항목

다른 DNS 공급자는 CNAME 평면화 또는 DNS 추적을 지원합니다. 그러나 Azure Front Door는 도메인을 호스트하기 위해 Azure DNS를 사용할 것을 고객에게 권장합니다.

Azure Portal을 사용하여 Azure Front Door의 Apex 도메인을 온보딩하고 이를 TLS(Transport Layer Security) 인증서와 연결하여 HTTPS를 사용하도록 설정할 수 있습니다. Apex 도메인은 루트 또는 naked 도메인이라고도 합니다.

Apex 도메인은 DNS 영역의 루트에 있으며 하위 도메인을 포함하지 않습니다. 예를 들어 contoso.com은 Apex 도메인입니다. Azure Front Door는 Azure DNS를 사용할 때 Apex 도메인 추가를 지원합니다. Apex 도메인에 대한 자세한 내용은 Azure Front Door의 도메인을 참조하세요.

Azure Portal을 사용하여 Azure Front Door 프로필의 Apex 도메인을 온보딩하고 이를 TLS 인증서와 연결하여 HTTPS를 사용하도록 설정할 수 있습니다.

Azure Front Door 프로필에 사용자 지정 도메인 온보딩

  1. 설정에서 Azure Front Door 프로필에 대한 도메인을 선택합니다. 그런 다음 + 추가를 선택하여 새 사용자 지정 도메인을 추가합니다.

    Azure Front Door 프로필에 새 도메인을 추가하는 방법을 보여 주는 스크린샷.

  2. 도메인 추가 창에서 사용자 지정 도메인에 대한 정보를 입력합니다. Azure 관리형 DNS(권장)를 선택하거나 고유한 DNS 공급자를 사용하도록 선택할 수 있습니다.

    • Azure 관리 DNS: 기존 DNS 영역을 선택합니다. 사용자 지정 도메인의 경우 새로 추가를 선택합니다. 팝업에서 APEX 도메인을 선택합니다. 그런 다음 확인을 선택하여 저장합니다.

      Azure Front Door 프로필에 새 사용자 지정 도메인을 추가하는 방법을 보여 주는 스크린샷.

    • 다른 DNS 공급자: DNS 공급자가 CNAME 평면화를 지원하는지 확인하고 사용자 지정 도메인 추가 단계를 따릅니다.

  3. 보류 중 유효성 검사 상태를 선택합니다. 사용자 지정 도메인의 유효성을 검사하는 데 필요한 DNS TXT 레코드 정보가 포함된 새 창이 나타납니다. TXT 레코드는 _dnsauth.<your_subdomain> 형식입니다.

    사용자 지정 도메인 보류 중인 유효성 검사를 보여 주는 스크린샷.

    • Azure DNS 기반 영역: 추가를 선택하여 Azure DNS 영역에 표시되는 값으로 새 TXT 레코드를 만듭니다.

      새 사용자 지정 도메인 유효성 검사를 보여 주는 스크린샷.

    • 다른 DNS 공급자를 사용하는 경우 창에 표시된 레코드 값을 사용하여 이름이 _dnsauth.<your_subdomain>인 새 TXT 레코드를 수동으로 만듭니다.

  4. 사용자 지정 도메인 유효성 검사 창을 닫고 Azure Front Door 프로필의 도메인 창으로 돌아갑니다. 유효성 검사 상태대기 중에서 승인됨으로 변경된 것의 유효성을 검사할 수 있습니다. 그렇지 않은 경우 변경 내용이 나타날 때까지 최대 10분 정도 기다립니다. 유효성 검사가 승인되지 않으면 Azure DNS를 사용하는 경우 TXT 레코드가 올바르고 이름 서버가 올바르게 구성되어 있는지 확인합니다.

    유효성 검사를 통과한 새 사용자 지정 도메인을 보여 주는 스크린샷.

  5. 엔드포인트 연결 열에서 연결 안 됨을 선택하여 엔드포인트에 새 사용자 지정 도메인을 추가합니다.

    엔드포인트에 추가된 연결되지 않은 사용자 지정 도메인을 보여 주는 스크린샷.

  6. 엔드포인트 및 경로 연결 창에서 도메인을 연결할 엔드포인트와 경로를 선택합니다. 그런 다음 연결을 선택합니다.

    도메인에 대한 연결된 엔드포인트 및 경로 창을 보여 주는 스크린샷.

  7. DNS 상태 열에서 CNAME 레코드가 현재 검색되지 않음을 선택하여 별칭 레코드를 DNS 공급자에 추가합니다.

    • Azure DNS: 추가를 선택합니다.

      CNAME 레코드 추가 또는 업데이트 창을 보여 주는 스크린샷.

    • CNAME 평면화를 지원하는 DNS 공급자: 별칭 레코드 이름을 수동으로 입력해야 합니다.

  8. 별칭 레코드가 만들어지고 사용자 지정 도메인이 Azure Front Door 엔드포인트와 연결되면 트래픽 흐름이 시작됩니다.

    완료된 APEX 도메인 구성을 보여 주는 스크린샷.

참고 항목

  • DNS 상태 열은 CNAME 매핑 확인을 위한 것입니다. apex 도메인은 CNAME 레코드를 지원하지 않으므로 DNS 공급자에 별칭 레코드를 추가한 후에도 DNS 상태에 CNAME 레코드가 현재 검색되지 않음이 표시됩니다.
  • Azure Front Door 뒤에 Azure 웹앱과 같은 서비스를 배치하는 경우 Azure Front Door의 루트 도메인과 동일한 도메인 이름으로 웹앱을 구성해야 합니다. 또한 리디렉션 루프를 방지하려면 해당 도메인 이름으로 백 엔드 호스트 헤더를 구성해야 합니다.
  • Apex 도메인에는 Azure Front Door 프로필을 가리키는 CNAME 레코드가 없습니다. 회전 사이에 도메인 유효성 검사가 완료되지 않으면 관리 인증서 자동 회전이 항상 실패합니다.
  • 별칭 레코드를 만들려면 Microsoft.Network 리소스 공급자가 필요합니다.

사용자 지정 도메인에 HTTPS를 사용하도록 설정

Apex 도메인에 대해 HTTPS를 사용하도록 사용자 지정 도메인에 대한 HTTPS를 구성하기 위한 지침을 따릅니다.

영역 루트에 대한 별칭 레코드 생성하기

  1. 등록할 도메인에 대한 Azure DNS 구성을 엽니다.

  2. 영역 apex에 대한 레코드를 만들거나 편집합니다.

  3. 레코드 종류를 A로 선택합니다. 별칭 레코드 집합에 대해 를 선택합니다. 별칭 형식Azure 리소스로 설정합니다.

  4. Azure Front Door 프로필이 포함된 Azure 구독을 선택합니다. 그런 다음 Azure 리소스 드롭다운 목록에서 Azure Front Door 리소스를 선택합니다.

  5. 확인을 선택하여 변경 내용을 제출합니다.

    zone apex에 대한 별칭 레코드를 보여 주는 스크린샷.

  6. 이전 단계에서는 Azure Front Door 리소스를 가리키는 zone apex 레코드를 만듭니다. 또한 Azure Front Door 프로필에 도메인을 온보딩하는 데 사용되는 CNAME 레코드 매핑 afdverify(예: afdverify.contosonews.com)를 만듭니다.

Azure Front Door에 사용자 지정 도메인 온보딩

  1. Azure Front Door 디자이너 탭의 Frontend 호스트 섹션에서 + 아이콘을 선택하여 새 사용자 지정 도메인을 추가합니다.

  2. 사용자 지정 호스트 이름 필드에 루트 또는 apex 도메인 이름을 입력합니다. 예제는 contosonews.com입니다.

  3. 도메인에서 Azure Front Door로의 CNAME 매핑을 확인한 후 추가를 선택하여 사용자 지정 도메인을 추가합니다.

  4. 저장을 선택하여 변경 내용을 제출합니다.

    사용자 지정 도메인 추가 창을 보여 주는 스크린샷.

사용자 지정 도메인에 HTTPS를 사용하도록 설정

  1. 추가된 사용자 지정 도메인을 선택합니다. 사용자 지정 도메인 HTTPS 섹션에서 상태를 사용으로 변경합니다.

  2. 인증서 관리 유형에서 내 인증서 사용을 선택합니다.

    사용자 지정 도메인 HTTPS 설정을 보여 주는 스크린샷.

    Warning

    Azure Front Door 관리 인증서 관리 형식은 현재 apex 또는 루트 도메인에 대해 지원되지 않습니다. Azure Front Door에 대한 Apex 또는 루트 도메인에서 HTTPS를 사용하도록 설정하는 데 사용할 수 있는 유일한 옵션은 Azure Key Vault에서 호스트되는 사용자 지정 TLS/SSL 인증서를 사용하는 것입니다.

  3. 다음 단계를 진행하기 전에 UI에 명시된 대로 Azure Front Door가 키 자격 증명 모음에 액세스할 수 있는 올바른 권한을 설정했는지 확인합니다.

  4. 현재 구독에서 Key Vault 계정을 선택합니다. 그런 다음 적절한 비밀비밀 버전을 선택하여 올바른 인증서에 매핑합니다.

  5. 선택 사항을 저장하려면 업데이트를 선택합니다. 그런 다음 저장을 선택합니다.

  6. 몇 분 후에 새로 고침을 선택합니다. 그런 다음 사용자 지정 도메인을 다시 선택하여 인증서 프로비전 진행률을 확인합니다.

Warning

Apex 도메인에 대한 적절한 라우팅 규칙을 만들거나 기존 라우팅 규칙에 도메인을 추가했는지 확인합니다.

다음 단계