가상 네트워크를 사용하여 Azure API Management에 대한 인바운드 또는 아웃바운드 트래픽 보호
적용 대상: 개발자 | 기본 | 기본 v2 | 표준 | 표준 v2 | 프리미엄 | 프리미엄 v2
기본적으로 API Management 인스턴스는 공용 엔드포인트의 인터넷에서 액세스되며 공용 백 엔드에 대한 게이트웨이 역할을 합니다. API Management는 Azure 가상 네트워크를 사용하여 API Management 인스턴스에 대한 액세스를 보호하고 API를 백 엔드하는 몇 가지 옵션을 제공합니다. 사용 가능한 옵션은 API Management 인스턴스의 서비스 계층에 따라 달라집니다. 조직의 요구 사항에 맞게 네트워킹 기능을 선택합니다.
다음 표에서는 가상 네트워킹 옵션을 비교해서 보여 줍니다. 자세한 내용은 이 문서의 이후 섹션 및 자세한 지침에 대한 링크를 참조하세요.
네트워킹 모델 | 지원되는 계층 | 지원되는 구성 요소 | 지원되는 트래픽 | 사용 시나리오 |
---|---|---|---|---|
가상 네트워크 삽입(클래식 계층) - 외부 | 개발자, 프리미엄 | 개발자 포털, 게이트웨이, 관리 평면 및 Git 리포지토리 | 인터넷, 피어된 가상 네트워크, ExpressRoute 및 S2S VPN 연결에 대한 인바운드 및 아웃바운드 트래픽을 허용할 수 있습니다. | 프라이빗 및 온-프레미스 백 엔드에 대한 외부 액세스 |
가상 네트워크 주입(클래식 계층) - 내부 | 개발자, 프리미엄 | 개발자 포털, 게이트웨이, 관리 평면 및 Git 리포지토리 | 피어된 가상 네트워크, ExpressRoute 및 S2S VPN 연결에 대한 인바운드 및 아웃바운드 트래픽을 허용할 수 있습니다. | 프라이빗 및 온-프레미스 백 엔드에 대한 내부 액세스 |
가상 네트워크 주입(v2 계층) | 프리미엄 v2 | 게이트웨이만 | 인바운드 및 아웃바운드 트래픽은 가상 네트워크, 피어된 가상 네트워크, ExpressRoute 및 S2S VPN 연결의 위임된 서브넷에 허용될 수 있습니다. | 프라이빗 및 온-프레미스 백 엔드에 대한 내부 액세스 |
가상 네트워크 통합(v2 계층) | 표준 v2, 프리미엄 v2 | 게이트웨이만 | 아웃바운드 요청 트래픽은 단일 연결된 가상 네트워크의 위임된 서브넷에서 호스트되는 API에 연결할 수 있습니다. | 프라이빗 및 온-프레미스 백 엔드에 대한 외부 액세스 |
인바운드 프라이빗 엔드포인트 | 개발자, 기본, 표준, 표준 v2(미리 보기), 프리미엄 | 게이트웨이만(관리형 게이트웨이 지원됨, 자체 호스팅 게이트웨이는 지원되지 않음) | 인터넷, 피어된 가상 네트워크, ExpressRoute 및 S2S VPN 연결에서 인바운드 트래픽만 허용될 수 있습니다. | API Management 게이트웨이에 대한 보안 클라이언트 연결 |
가상 네트워크 주입(클래식 계층)
API Management 클래식 개발자 및 프리미엄 계층에서 액세스를 제어하는 인터넷 라우팅이 불가능한 네트워크의 서브넷에 API Management 인스턴스를 배포("삽입")합니다. 가상 네트워크에서 API Management 인스턴스는 다른 네트워크로 연결된 Azure 리소스에 안전하게 액세스하고 다양한 VPN 기술을 사용하여 온-프레미스 네트워크에 연결할 수도 있습니다.
구성을 위해 Azure Portal, Azure CLI, Azure Resource Manager 템플릿 또는 기타 도구를 사용할 수 있습니다. 네트워크 보안 그룹을 사용하여 API Management가 배포된 서브넷에 대한 인바운드 및 아웃바운드 트래픽을 제어합니다.
자세한 배포 단계와 네트워크 구성은 다음을 참조하세요.
- 가상 네트워크 - 외부 모드에 API Management 인스턴스를 배포합니다.
- 가상 네트워크 - 내부 모드에 API Management 인스턴스를 배포합니다.
- 가상 네트워크에 API Management를 삽입하기 위한 네트워크 리소스 요구 사항
액세스 옵션
가상 네트워크를 사용하여 인터넷(외부 모드) 또는 가상 네트워크(내부 모드) 내에서만 액세스할 수 있도록 개발자 포털, API 게이트웨이 및 기타 API Management 엔드포인트를 구성할 수 있습니다.
외부 - 외부 부하 분산 장치를 통해 퍼블릭 인터넷에서 API Management 게이트웨이에 액세스할 수 있습니다. 게이트웨이에서 가상 네트워크 내의 리소스에 액세스할 수 있습니다.
외부 모드에서 API Management를 사용하여 가상 네트워크에 배포된 백 엔드 서비스에 액세스합니다.
내부 - API Management 엔드포인트는 내부 부하 분산 장치를 통해 가상 네트워크 내에서만 액세스할 수 있습니다. 게이트웨이에서 가상 네트워크 내의 리소스에 액세스할 수 있습니다.
내부 모드에서 API Management를 사용하여 다음을 수행합니다.
- Azure VPN 연결 또는 Azure ExpressRoute를 사용하여 타사에서 프라이빗 데이터 센터에 호스트된 API에 안전하게 액세스할 수 있게 합니다.
- 공통 게이트웨이를 통해 클라우드 기반 API와 온-프레미스 API를 공개함으로써 하이브리드 클라우드 시나리오를 사용하도록 설정합니다.
- 단일 게이트웨이 엔드포인트를 사용하여 여러 지리적 위치에서 호스팅되는 API를 관리합니다.
가상 네트워크 주입(v2 계층)
API Management Premium v2 계층에서 가상 네트워크의 위임된 서브넷에 인스턴스를 삽입하여 게이트웨이의 인바운드 및 아웃바운드 트래픽을 보호합니다. 현재 인스턴스를 만들 때 가상 네트워크 삽입에 대한 설정을 구성할 수 있습니다.
이 구성에서:
- API Management 게이트웨이 엔드포인트는 개인 IP 주소의 가상 네트워크를 통해 액세스할 수 있습니다.
- API Management는 네트워크에서 격리된 API 백 엔드에 아웃바운드 요청을 수행할 수 있습니다.
이 구성은 API Management 인스턴스와 백 엔드 API를 모두 격리하려는 시나리오에 권장됩니다. 프리미엄 v2 계층의 가상 네트워크 주입은 Azure API Management에 대한 대부분의 서비스 종속성에 대한 네트워크 연결을 자동으로 관리합니다.
자세한 내용은 가상 네트워크에 프리미엄 v2 인스턴스 삽입을 참조 하세요.
가상 네트워크 통합(v2 계층)
표준 v2 및 프리미엄 v2 계층은 아웃바운드 가상 네트워크 통합을 지원하여 API Management 인스턴스가 연결된 단일 가상 네트워크에서 격리된 API 백 엔드에 도달할 수 있도록 합니다. API Management 게이트웨이, 관리 평면 및 개발자 포털은 여전히 인터넷에서 공개적으로 액세스할 수 있습니다.
아웃바운드 통합을 통해 API Management 인스턴스는 퍼블릭 및 네트워크 격리 백 엔드 서비스에 모두 연결할 수 있습니다.
자세한 내용은 아웃바운드 연결에 대한 프라이빗 가상 네트워크와 Azure API Management 인스턴스 통합을 참조 하세요.
인바운드 프라이빗 엔드포인트
API Management는 API Management 인스턴스에 보안 인바운드 클라이언트를 연결하기 위한 프라이빗 엔드포인트를 지원합니다. 각 보안 연결에서는 가상 네트워크 및 Azure Private Link의 개인 IP 주소를 사용합니다.
프라이빗 엔드포인트 및 Private Link를 사용하면 다음을 수행할 수 있습니다.
API Management 인스턴스에 대한 여러 Private Link 연결을 만듭니다.
프라이빗 엔드포인트를 사용하여 보안 연결에서 인바운드 트래픽을 보냅니다.
정책을 사용하여 프라이빗 엔드포인트에서 제공하는 트래픽을 구분합니다.
들어오는 트래픽을 프라이빗 엔드포인트로만 제한하여 데이터 반출을 방지합니다.
아웃바운드 가상 네트워크 통합과 표준 v2 인스턴스에 인바운드 프라이빗 엔드포인트를 결합하여 API Management 클라이언트 및 백 엔드 서비스의 엔드투엔드 네트워크 격리를 제공합니다.
Important
- API Management 인스턴스에 대한 인바운드 트래픽에 한해 프라이빗 엔드포인트 연결을 구성할 수 있습니다.
자세한 내용은 인바운드 프라이빗 엔드포인트를 사용하여 API Management에 비공개로 연결을 참조하세요.
고급 네트워킹 구성
웹 애플리케이션 방화벽을 사용하는 보안 API Management 엔드포인트
API Management 인스턴스에 대한 보안 외부 및 내부 액세스와 프라이빗 및 온-프레미스 백 엔드에 대한 유연성이 모두 필요한 시나리오가 있을 수 있습니다. 이러한 시나리오에서는 WAF(웹 애플리케이션 방화벽)를 사용하여 API Management 인스턴스의 엔드포인트에 대한 외부 액세스를 관리하도록 선택할 수 있습니다.
한 가지 예는 내부 가상 네트워크에 API Management 인스턴스를 배포하고 인터넷 연결 Azure Application Gateway를 사용하여 퍼블릭 액세스를 라우팅하는 것입니다.
자세한 내용은 Application Gateway를 사용하여 내부 가상 네트워크에 API Management 배포를 참조하세요.
관련 콘텐츠
API Management를 사용하여 가상 네트워크 구성에 대해 자세히 알아보세요.
- 가상 네트워크에 Azure API Management 인스턴스 배포 - 외부 모드
- 가상 네트워크에 Azure API Management 인스턴스 배포 - 내부 모드
- 프라이빗 엔드포인트를 사용하여 API Management에 비공개로 연결
- 가상 네트워크에 Premium v2 인스턴스 삽입
- 아웃바운드 연결을 위해 프라이빗 가상 네트워크와 Azure API Management 인스턴스 통합
- DDoS 공격으로부터 Azure API Management 인스턴스 방어
Azure 가상 네트워크에 대한 자세한 내용은 Azure Virtual Network 개요의 정보로 시작합니다.