Azure Application Gateway 및 WAF(Web Application Firewall)를 다른 지역으로 재배치

기존 Azure 리소스를 한 지역에서 다른 지역으로 이동하려는 이유는 다양합니다. 다음을 수행하려고 할 수 있습니다.

• 새 Azure 지역 활용.
• 특정 지역에서만 사용할 수 있는 기능 또는 서비스 배포.
• 내부 정책 및 거버넌스 요구 사항 충족.
• 회사 인수 합병에 부합.
• 용량 계획 요구 사항 충족.

이 문서에서는 Azure 지역 간에 Application Gateway 및 WAF를 재배치하기 위한 권장 방식, 지침 및 사례를 다룹니다.

Important

이 문서의 다시 배포 단계는 애플리케이션 게이트웨이 자체에만 적용되며 애플리케이션 게이트웨이 규칙이 트래픽을 라우팅하는 백 엔드 서비스에는 적용되지 않습니다.

필수 조건

• Azure 구독을 통해 대상 지역에 Application Gateway SKU를 만들 수 있는지 확인합니다.

• Application Gateway에 필요한 전체 서비스를 이해하고 재배치 전략을 계획합니다. 재배치 범위에 속하는 서비스의 경우 적절한 재배치 전략을 선택해야 합니다.

  • 대상 위치의 Application Gateway 서브넷에 최대 예상 트래픽을 처리하는 데 필요한 인스턴스 수를 수용할 수 있는 충분한 주소 공간이 있는지 확인합니다.

• Application Gateway 배포의 경우 다음 하위 리소스의 설정을 고려하고 계획해야 합니다.

  • 프런트 엔드 구성(공용/개인 IP)
  • 백 엔드 풀 리소스(예: VM, Virtual Machine Scale Sets, Azure App Services)
  • Private Link
  • 인증서
  • 진단 설정
  • 경고 알림

• 대상 위치의 Application Gateway 서브넷에 최대 예상 트래픽을 처리하는 데 필요한 인스턴스 수를 수용할 수 있는 충분한 주소 공간이 있는지 확인합니다.

재배포

Application Gateway 및 선택적 WAF를 재배치하려면 대상 위치에 새 공용 IP 주소를 사용하여 별도의 Application Gateway 배포를 만들어야 합니다. 그런 다음 워크로드는 원본 Application Gateway 설정에서 새 설정으로 마이그레이션됩니다. 공용 IP 주소를 변경하므로 DNS 구성, 가상 네트워크 및 서브넷도 변경해야 합니다.

가용성 영역 지원을 받기 위해 재배치만 하려는 경우에는 가용성 영역 지원으로 Application Gateway 및 WAF 마이그레이션을 참조하세요.

별도의 Application Gateway, WAF(선택 사항) 및 IP 주소를 만들려면 다음을 수행합니다.

1. Azure Portal로 이동합니다.

2. Key Vault에 TLS 종료를 사용하는 경우 Key Vault 재배치 절차를 따릅니다. Key Vault가 재배치된 Application Gateway와 동일한 구독에 있는지 확인합니다. 새 인증서를 만들거나 재배치된 Application Gateway에 기존 인증서를 사용할 수 있습니다.

3. 재배치하기 전에 가상 네트워크가 재배치되었는지 확인합니다. 가상 네트워크를 재배치하는 방법을 알아보려면 Azure Virtual Network 재배치를 참조하세요.

4. VM, Virtual Machine Scale Sets, PaaS와 같은 백 엔드 풀 서버 또는 서비스를 재배치하기 전에 재배치되었는지 확인합니다.

5. Application Gateway를 만들고 가상 네트워크에 대한 새 프런트 엔드 공용 IP 주소를 구성합니다.

   • WAF가 없는 경우: 애플리케이션 게이트웨이를 만듭니다.
   • WAF 사용: Web Application Firewall을 사용하는 애플리케이션 게이트웨이 만들기

6. WAF 구성 또는 사용자 지정 규칙 전용 WAF 정책이 있는 경우 전체 WAF 정책으로 전환합니다.

7. Azure Firewall 및 Application Gateway가 포함된 웹 애플리케이션용 제로 트러스트 네트워크(원본 지역)를 사용하는 경우 Azure Firewall 및 Application Gateway가 포함된 웹 애플리케이션용 제로 트러스트 네트워크의 지침과 전략을 따릅니다.

8. Application Gateway와 WAF가 의도한 대로 작동하는지 확인합니다.

9. 구성을 새 공용 IP 주소로 마이그레이션합니다.

   1. 새 애플리케이션 게이트웨이를 가리키도록 공용 및 프라이빗 엔드포인트를 전환합니다.
   2. DNS 구성을 새로운 공용 및/또는 개인 IP 주소로 마이그레이션합니다.
   3. 소비자 애플리케이션/서비스의 엔드포인트를 업데이트합니다. 소비자 애플리케이션/서비스 업데이트는 일반적으로 속성 변경 및 다시 배포를 통해 수행됩니다. 그러나 이전 지역의 배포와 관련하여 새 호스트 이름이 사용될 때마다 이 방법을 수행합니다.

10. 원본 Application Gateway 및 WAF 리소스를 삭제합니다.

프리미엄 TLS 종료를 위한 인증서 재배치(Application Gateway v2)

TLS 종료 인증서는 두 가지 방법으로 제공될 수 있습니다.

• 업로드. TLS/SSL 인증서를 Application Gateway에 직접 업로드하여 제공합니다.

• Key Vault 참조. HTTPS/TLS 지원 수신기를 만들 때 기존 Key Vault 인증서에 대한 참조를 제공합니다. 인증서 다운로드에 대한 자세한 내용은 Key Vault를 다른 지역으로 재배치를 참조하세요.

Warning

다른 Azure 구독의 Key Vault에 대한 참조는 지원되지만 ARM 템플릿, Azure PowerShell, CLI, Bicep 등을 통해 구성해야 합니다. 구독 간 키 자격 증명 모음 구성은 Azure Portal을 통해 Application Gateway에서 지원되지 않습니다.

재배치된 Application Gateway에 대해 Key Vault 인증서로 TLS 종료를 사용하도록 설정하려면 문서화된 절차를 따릅니다.