Azure Cloud Services에서 HTTPS 통신 사용(추가 지원)

Microsoft Azure Cloud Services(추가 지원)와의 통신은 HTTPS(Hypertext Transfer Protocol Secure) 프로토콜을 사용하여 수행됩니다. 이 문서에서는 Cloud Services(추가 지원)에 대해 HTTPS 통신을 사용하도록 설정하는 방법을 설명합니다.

필수 조건

• Visual Studio.

• Visual Studio의 Azure Cloud Services(추가 지원) 프로젝트입니다.

• 개인 정보 교환(.pfx) 파일 형식의 SSL(Secure Sockets Layer) 인증서입니다. CA 에서 할당한 SSL 인증서가 아직 없는 경우 PowerShell 스크립트를 사용하여 테스트용으로 인증서를 자체 할당합니다.

• Azure Cloud Services(추가 지원) 리소스와 동일한 리소스 그룹 내에 있는 Azure Key Vault 리소스입니다. 아직 없는 경우 Azure Portal을 사용하여 키 자격 증명 모음 리소스를 만들 수 있습니다.

프로젝트 배포에 대한 일반 단계

Azure에 Cloud Services(추가 지원) 프로젝트를 배포하는 일반적인 단계는 다음과 같습니다.

1. 인증서를 준비합니다.

2. 프로젝트를 구성합니다.

3. 프로젝트 파일을 클라우드 서비스의 서비스 정의(.csdef), 서비스 구성(.cscfg) 및 서비스 패키지(.cspkg) 파일에 패키지합니다.

4. 필요한 경우 Cloud Services(추가 지원) 리소스의 구성을 변경합니다. 예를 들어 다음 중에서 수정할 수 있습니다.

   1. 패키지 URL을 업데이트합니다.
   2. URL 설정을 구성합니다.
   3. 운영 체제 비밀 설정을 업데이트합니다.

5. 새 프로젝트를 배포하고 Azure에 업데이트합니다.

참고 항목

프로젝트는 다음 도구를 사용하는 등 여러 가지 방법을 통해 배포할 수 있습니다.

• Visual Studio
• ARM 템플릿(Azure Resource Manager 템플릿)
• Azure DevOps와 같은 CI/CD(지속적인 통합 및 지속적인 업데이트) 도구

배포 방법에 관계없이 일반 배포 단계는 동일합니다.

이러한 단계 중 처음 두 단계는 모든 배포 방법에 필요합니다. 이러한 단계는 코드 변경 섹션에서 설명합니다. 나머지 단계도 중요하지만 항상 수동 사용자 개입이 필요한 것은 아닙니다. 예를 들어 Visual Studio와 같은 도구에서 자동으로 단계를 수행할 수 있습니다. 이 단계의 마지막 세 가지 단계는 구성 변경 섹션에서 설명합니다.

코드 변경 내용

코드를 변경하여 인증서를 준비하고 프로젝트를 구성하려면 다음 단계를 수행합니다.

1. 지침 에 따라 6단계를 통해 키 자격 증명 모음에 인증서를 업로드합니다.

2. 인증서의 지문(40자리 16진수 문자열)을 적어 씁니다.

3. 프로젝트의 서비스 구성(.cscfg) 파일에서 인증서를 사용하려는 역할에 인증서 지문을 추가합니다. 예를 들어 인증서를 SSL 인증서로 사용하여 WebRole과 통신하려는 경우 루트 ServiceConfiguration 요소의 첫 번째 자식으로 다음 코드 WebRole1 조각과 유사한 XML 코드를 추가할 수 있습니다.

   <Role name="WebRole1">
     <Instances count="1" />
     <Certificates>
       <Certificate
         name="Certificate1"
         thumbprint="0123456789ABCDEF0123456789ABCDEF01234567"
         thumbprintAlgorithm="sha1"
       />
     </Certificates>
   </Role>
   

   인증서의 이름을 사용자 지정할 수 있지만 서비스 정의(.csdef) 파일에 사용되는 인증서 이름과 일치해야 합니다.

4. 서비스 정의(.csdef) 파일에서 다음 요소를 추가합니다.

   부모 XPath	추가할 요소	사용할 특성
   /ServiceDefinition/WebRole/Sites/Site/Bindings	Binding	name, endpointName
   /ServiceDefinition/WebRole/Endpoints	InputEndpoint	이름, 프로토콜, 포트, 인증서
   /ServiceDefinition/WebRole	Certificates/Certificate	name, storeLocation, storeName, permissionLevel

   요소를 Certificates 닫 Endpoints 는 태그 바로 후에 추가해야 합니다. 특성이 포함되지 않습니다. 자식 Certificate 요소만 포함합니다.

   예를 들어 서비스 정의 파일은 다음 XML 코드와 유사할 수 있습니다.

   <?xml version="1.0" encoding="utf-8"?>
   <ServiceDefinition name="CSESOneWebRoleHTTPS" xmlns="http://schemas.microsoft.com/ServiceHosting/2008/10/ServiceDefinition" schemaVersion="2015-04.2.6">
     <WebRole name="WebRole1" vmsize="Standard_D1_v2">
       <Sites>
         <Site name="Web">
           <Bindings>
             <Binding name="Endpoint1" endpointName="Endpoint1" />
             <Binding name="HttpsIn" endpointName="HttpsIn" />
           </Bindings>
         </Site>
       </Sites>
       <Endpoints>
         <InputEndpoint name="Endpoint1" protocol="http" port="80" />
         <InputEndpoint name="HttpsIn" protocol="https" port="443" certificate="Certificate1" />
       </Endpoints>
       <Certificates>
         <Certificate name="Certificate1" storeLocation="LocalMachine" storeName="My" permissionLevel="limitedOrElevated" />
       </Certificates>
     </WebRole>
   </ServiceDefinition>
   

   이 예제에서 서비스 정의 파일은 포트 443에서 HTTPS 프로토콜에 HttpsIn 대한 입력 엔드포인트를 바인딩하도록 수정됩니다. 제한된 권한 또는 상승된 권한 수준에 대한 이름과 My 위치 LocalMachine 가 있는 저장소에 인증서를 사용합니다Certificate1. 요소와 Certificate 요소의 InputEndpoint 인증서 이름이 서로 일치합니다. 또한 이전 단계의 서비스 구성(.cscfg) 파일에 사용된 인증서 이름과도 일치합니다.

구성 변경 내용

클라우드 서비스 구성을 변경하는 지침은 클라우드 서비스가 배포된 방식에 따라 다릅니다. 이러한 지침은 다음 탭에 표시됩니다. 각 탭은 다른 배포 방법을 나타냅니다.

포털

계속하기 전에 Azure Portal을 사용하여 Azure Cloud Services(추가 지원) 배포를 참조하세요. 그런 다음, Azure Portal을 통해 올바른 구성을 변경하려면 다음 단계를 수행합니다.

1. 클래식 클라우드 서비스에서 ARM 템플릿을 사용한 클라우드 서비스 확장 지원으로 수동 마이그레이션이라는 제목의 블로그 항목으로 이동하고 7~9단계를 수행합니다. 다음 지침에서는 다음 단계를 수행하는 방법을 보여 줍니다.

   • 프로젝트를 패키지합니다.

   • 생성된 서비스 패키지(<project-name.cspkg>) 및 클라우드 서비스 구성(ServiceConfiguration.Cloud.cscfg) 파일을 클라우드 서비스의 스토리지 계정 컨테이너에 업로드합니다.

     참고 항목

     또한 다른 두 파일에 대해 설명된 것과 동일한 프로세스를 사용하여 서비스 정의(ServiceDefinition.csdef) 파일을 업로드해야 합니다.

   • 업로드된 각 파일에 대한 SAS(공유 액세스 서명) URL을 생성합니다.

2. Azure Portal에서 클라우드 서비스의 개요 페이지로 돌아가서 업데이트를 선택합니다.

3. 클라우드 서비스 업데이트 페이지에서 기본 사항 탭에서 다음을 변경합니다.

   1. 패키지/구성/서비스 정의 위치 필드에서 Blob에서 선택합니다.

   2. 패키지 업로드(.cspkg, .zip) 필드에서 다음 단계를 수행합니다.

      1. 찾아보기 링크를 선택합니다.
      2. 파일을 업로드한 스토리지 계정 및 컨테이너를 선택합니다.
      3. 컨테이너 페이지에서 해당 파일(이 경우 project-name.cspkg>)을 선택한 다음 선택 단추를 선택합니다.<

   3. 구성 업로드(.cscfg) 필드(및 ServiceConfiguration.Cloud.cscfg 파일)의 경우 이전 단계에서 설명한 하위 프로세스를 반복합니다.

   4. 서비스 정의 업로드(.csdef) 필드(및 ServiceDefinition.csdef 파일)의 경우 하위 프로세스를 다시 반복합니다.

4. 구성 탭을 선택합니다.

5. 키 자격 증명 모음 필드에서 인증서를 업로드한 키 자격 증명 모음을 선택합니다(코드 변경 섹션 앞부분). 선택한 키 자격 증명 모음에서 인증서를 찾은 후 나열된 인증서에 찾은 상태가 표시됩니다.

6. 새로 구성된 프로젝트를 배포하려면 업데이트 단추를 선택합니다.

PowerShell

계속하기 전에 Azure PowerShell을 사용하여 클라우드 서비스 배포(추가 지원)를 참조하세요. 그런 다음, PowerShell 스크립트를 통해 구성을 변경하려면 다음 단계를 수행합니다.

1. 클래식 클라우드 서비스에서 ARM 템플릿을 사용한 클라우드 서비스 확장 지원으로 수동 마이그레이션이라는 제목의 블로그 항목으로 이동하고 7~9단계를 수행합니다. 다음 지침에서는 다음 단계를 수행하는 방법을 보여 줍니다.

   • 프로젝트를 패키지합니다.

   • 생성된 서비스 패키지(<project-name.cspkg>) 파일을 클라우드 서비스의 스토리지 계정 컨테이너에 업로드합니다.

     참고 항목

     지침에 명시된 내용에도 불구하고 클라우드 서비스 구성(ServiceConfiguration.Cloud.cscfg) 파일을 업로드할 필요가 없습니다. 서비스 패키지 파일만 여기에 업로드해야 합니다.

   • 업로드된 서비스 패키지 파일에 대한 SAS(공유 액세스 서명) URL을 생성합니다.

2. Connect-AzAccount cmdlet을 실행하여 Azure에 로그인합니다.

3. 다음 PowerShell 스크립트에서 스크립트의 시작 부분에 있는 자리 표시자를 각 변수의 실제 값으로 바꾼 다음 스크립트를 실행하여 클라우드 서비스를 업데이트합니다.

   # Enter values for placeholders in the following variables.
   $vaultName = "<key-vault-resource-name>"
   $resourceGroupKeyVault = "<resource-group-name-where-key-vault-is-deployed>"
   $certificateName = "<name-of-certificate-saved-in-key-vault>"
   $cloudService = @{
       Name = "<name-of-cloud-service>"
       ResourceGroupName = "<resource-group-name-where-cloud-service-is-deployed>"
       SubscriptionId = "<subscription-guid>"
   }
   $cscfgFilePath = "<local-path-to-your-service-configuration-file-cscfg>"
   $cspkgUrl = "<sas-token-url-of-the-service-package-file-cspkg>"
   
   # Code execution
   $keyVault = Get-AzKeyVault -VaultName $vaultName -ResourceGroupName $resourceGroupKeyVault
   $certificate = Get-AzKeyVaultCertificate -VaultName $vaultName -Name $certificateName
   $vaultSecretGroupObject = @{
       CertificateUrl = $certificate.SecretId
       Id = $keyVault.ResourceId
   }
   $secretGroup = New-AzCloudServiceVaultSecretGroupObject @vaultSecretGroupObject
   $osProfile = @{secret = @($secretGroup)}
   
   $cses = Get-AzCloudService @cloudService
   $cses.Configuration = Get-Content $cscfgFilePath | Out-String
   $cses.PackageUrl = $cspkgUrl
   $cses.OSProfile = $osProfile
   $cses | Update-AzCloudService
   

Resource Manager 템플릿

계속하기 전에 ARM 템플릿을 사용하여 클라우드 서비스 배포(추가 지원)를 참조 하세요. 그런 다음, 다음 단계에 따라 ARM 템플릿을 구성합니다.

1. 클래식 클라우드 서비스에서 ARM 템플릿을 사용한 클라우드 서비스 확장 지원으로 수동 마이그레이션이라는 제목의 블로그 항목으로 이동하고 7~10단계를 수행합니다. 다음 지침에서는 다음 단계를 수행하는 방법을 보여 줍니다.

   • 프로젝트를 패키지합니다.

   • 생성된 서비스 패키지(<project-name.cspkg>) 및 클라우드 서비스 구성(ServiceConfiguration.Cloud.cscfg) 파일을 클라우드 서비스의 스토리지 계정 컨테이너에 업로드합니다.

   • 업로드된 각 파일에 대한 SAS(공유 액세스 서명) URL을 생성합니다.

   • Azure Portal의 키 자격 증명 모음 인증서 페이지에서 다음 값을 가져옵니다.

     • Key Vault 인증서 URL
     • 구독 ID
     • 키 자격 증명 모음이 배포되는 리소스 그룹의 이름
     • 키 자격 증명 모음의 서비스 이름

   클라우드 서비스에 대한 원래 ARM 템플릿에서 속성을 찾습니다 osProfile . 원래 클라우드 서비스 프로젝트에서 HTTP 통신 osProfile 만 지원하는 경우 속성은 비어 있습니다("osProfile": {}). 클라우드 서비스가 올바른 키 자격 증명 모음에서 올바른 인증서를 검색할 수 있도록 하려면 ARM 템플릿 내에서 사용할 키 자격 증명 모음을 지정합니다. 매개 변수를 사용하여 이 값을 나타낼 수 있습니다. 또는 다음 예제와 같이 ARM 템플릿으로 값을 하드 코딩할 수 있습니다.

   "osProfile": {
     "secrets": [
       {
         "sourceVault": {
           "id": "/subscriptions/88889999-aaaa-bbbb-cccc-ddddeeeeffff/resourceGroups/cstocses/providers/Microsoft.KeyVault/vaults/cstocses"
         },
         "vaultCertificates": [
           {
             "certificateUrl": "https://cstocses.vault.azure.net/secrets/csescert/0123456789abcdef0123456789abcdef"
           }
         ]
       }
     ]
   }
   

   ARM 템플릿 id 의 JSON 텍스트에서 매개 변수의 sourceVault 값은 Azure Portal의 Key Vault 페이지 URL에 포함됩니다. 값은 certificateUrl 이전에 찾은 키 자격 증명 모음 인증서 URL입니다. 이러한 값의 텍스트 형식은 다음 표에 나와 있습니다.

   매개 변수	서식
   원본 자격 증명 모음 ID	/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<key-vault-name>
   Key Vault 인증서 URL	https://<key-vault-name>.vault.azure.net/secrets/<certificate-name>/<certificate-secret>

2. 패키지 SAS 토큰, 구성 SAS 토큰 등과 같은 새 매개 변수를 포함하는 업데이트된 ARM 템플릿을 배포합니다. 이러한 매개 변수를 선언하고 지정하는 방법을 보려면 예제 ARM 템플릿 파일 및 예제 ARM 템플릿 매개 변수 파일을 검토할 수 있습니다. 그런 다음 배포가 완료되기를 기다립니다.

참고 항목

공용 IP 주소가 사용되고 있음을 나타내는 오류 메시지가 표시되면 서비스 구성(.cscfg) 파일 및 ARM 템플릿 매개 변수 파일에서 공용 IP 주소를 제거합니다. ARM 템플릿 파일 자체에서 공용 IP 주소 선언을 제거하지 마세요.

C#

계속하기 전에 Azure SDK를 사용하여 Cloud Services 배포(추가 지원)를 참조하세요.

참고 항목

이 섹션에는 Azure Cloud Services(추가 지원)에 대한 GitHub 예제 코드 페이지에서 찾을 수 있는 공식 SDK 예제 코드에서 다시 작성된 코드가 포함되어 있습니다.

이 섹션에서는 Azure SDK 및 C#을 사용하여 올바른 구성을 변경하는 방법을 설명합니다. SDK를 사용하여 클라우드 서비스 프로젝트를 배포하고 관련 구성을 수정하려면 Microsoft Entra ID에 애플리케이션을 등록해야 합니다. 등록 을 수행하려면 포털을 사용하여 리소스 문서에 액세스할 수 있는 Microsoft Entra 애플리케이션 및 서비스 주체를 만듭니다 . 다음 표에서는 수행할 특정 단계와 해당 문서에서 읽을 해당 하위 섹션을 간략하게 설명합니다.

Step	하위 섹션 링크
애플리케이션에 대한 소유자 역할 구독 할당	애플리케이션에 역할 할당
테넌트 ID 및 애플리케이션 ID 복사	로그인에 사용할 테넌트 및 앱 ID 값 가져오기
새 애플리케이션 비밀 만들기 및 복사	옵션 2: 새 애플리케이션 비밀 만들기
키 자격 증명 모음에 대한 액세스 정책을 구성하고 인증서에 액세스하기 위해 애플리케이션(적어도 읽기 수준)에 대한 권한을 부여합니다.	리소스에 대한 액세스 정책 구성

올바른 구성을 변경하려면 다음 단계를 수행합니다.

1. 클래식 클라우드 서비스에서 ARM 템플릿을 사용한 클라우드 서비스 확장 지원으로 수동 마이그레이션이라는 제목의 블로그 항목으로 이동하고 7~10단계를 수행합니다. 다음 지침에서는 다음 단계를 수행하는 방법을 보여 줍니다.

   • 프로젝트를 패키지합니다.

   • 생성된 서비스 패키지(<project-name.cspkg>) 파일을 클라우드 서비스의 스토리지 계정 컨테이너에 업로드합니다.

     참고 항목

     지침에 명시된 내용에도 불구하고 클라우드 서비스 구성(ServiceConfiguration.Cloud.cscfg) 파일을 업로드할 필요가 없습니다. 서비스 패키지 파일만 여기에 업로드해야 합니다.

   • 업로드된 서비스 패키지 파일에 대한 SAS(공유 액세스 서명) URL을 생성합니다.

   • Azure Portal의 키 자격 증명 모음 인증서 페이지에서 다음 값을 가져옵니다.

     • Key Vault 인증서 URL
     • 구독 ID
     • 키 자격 증명 모음이 배포되는 리소스 그룹의 이름
     • 키 자격 증명 모음의 서비스 이름

2. 예제 프로젝트(압축된 보관 파일)를 다운로드하고 해당 내용을 추출합니다.

3. 텍스트 편집기에서 SDKSample\CreateCloudService\CreateCloudService\LoginHelper.cs 파일을 엽니다. InitializeServiceClient 메서드에서 테넌트 ID, 애플리케이션 ID 및 애플리케이션 비밀에 대한 값tenantId으로 , clientId및 clientCredentials 문자열 변수의 값을 각각 덮어씁니다. 이러한 값은 애플리케이션을 등록할 때 복사한 값입니다.

4. 텍스트 편집기에서 SDKSample\CreateCloudService\CreateCloudService\Program.cs 파일을 엽니다. 메서드에서 Main 메서드의 시작 부분에 선언된 변수의 초기화된 값 중 일부를 덮어씁니다. 다음 표에서는 변수 이름과 변수에 사용해야 하는 값을 보여 있습니다.

   변수 이름	새 값
   m_subId	클라우드 서비스를 포함하는 구독의 ID
   csrgName	클라우드 서비스를 포함하는 리소스 그룹의 이름입니다.
   csName	클라우드 서비스 리소스 이름
   kvrgName	키 자격 증명 모음 리소스를 포함하는 리소스 그룹의 이름입니다.
   kvName	키 자격 증명 모음 리소스 이름
   kvsubid	키 자격 증명 모음을 포함하는 구독의 ID입니다(클라우드 서비스 구독 ID와 다를 수 있습니다).
   secretidentifier	키 자격 증명 모음 인증서 URL
   filename	서비스 구성 파일의 로컬 경로(ServiceConfiguration.Cloud.cscfg)
   packageurl	서비스 패키지 파일의 SAS URL(project-name.cspkg>)<

5. Visual Studio 솔루션 탐색기 창에서 프로젝트 노드를 마우스 오른쪽 단추로 클릭한 다음 NuGet 패키지 관리를 선택합니다. 찾아보기 탭에서 다음 패키지를 검색, 선택 및 설치합니다.

   • Microsoft.Azure.Management.ResourceManager
   • Microsoft.Azure.Management.Compute
   • Microsoft.Azure.Management.Storage
   • Azure.Identity
   • Microsoft.Rest.ClientRuntime.Azure.Authentication

6. 프로젝트를 실행한 다음 메시지가 출력 창에 나타날 때까지 기다립니다. 창에 "코드 0으로 종료"가 표시되면 업데이트 및 배포가 성공적으로 작동해야 합니다. "코드 1을 사용하여 종료"가 표시되는 경우 문제를 검토하려면 오류 메시지를 확인해야 할 수 있습니다.

Visual Studio

계속하기 전에 Visual Studio에서 Cloud Services 만들기 및 배포(추가 지원)를 참조 하세요.

Visual Studio에서는 두 가지 구성을 변경해야 합니다. 로컬 컨텍스트가 클라우드 컨텍스트와 정렬되도록 서비스 구성을 설정한 다음 키 자격 증명 모음의 위치를 지정합니다.

서비스 구성의 경우 클라우드 컨텍스트의 내용( ServiceConfiguration.Cloud.cscfg 파일)을 복사하여 로컬 컨텍스트( ServiceConfiguration.Local.cscfg 파일)에 붙여넣습니다. 다른 구성이 있나요? 아니면 다른 용도로 로컬 구성 파일이 필요한가요? 두 조건 중 하나가 true이면 기존 로컬 컨텍스트의 요소를 유지 certificate 합니다.

Visual Studio 솔루션 탐색기 창에서 프로젝트 노드를 마우스 오른쪽 단추로 클릭한 다음 게시를 선택합니다. 설정 탭에 도달할 때까지 게시 Azure 애플리케이션 마법사를 진행합니다. 해당 탭에서 키 자격 증명 모음 필드를 키 자격 증명 모음이 저장된 위치로 설정합니다. 마지막으로 게시 단추를 선택한 다음 배포가 완료되기를 기다립니다.

구성을 변경한 후 고객은 HTTPS 프로토콜을 사용하여 클라우드 서비스 웹 사이트와 통신할 수 있습니다. 인증서가 자체 서명된 경우 브라우저는 인증서가 안전하지 않다는 경고를 보고할 수 있지만 브라우저는 연결을 차단하지 않습니다.

도움을 요청하십시오.

질문이 있거나 도움이 필요한 경우 지원 요청을 생성하거나Azure 커뮤니티 지원에 문의하세요. Azure 피드백 커뮤니티에 제품 피드백을 제출할 수도 있습니다.