다음을 통해 공유

Azure 애플리케이션 Gateway를 사용하여 Azure VMware Solution에서 웹앱 보호

  • 아티클

Azure 애플리케이션 Gateway는 Azure VMware Solution v1.0 및 v2.0 모두에서 제공되는 웹 애플리케이션에 대한 트래픽을 관리할 수 있는 계층 7 웹 트래픽 부하 분산 장치입니다. 두 버전 모두 Azure VMware Solution에서 실행되는 웹앱으로 테스트되었습니다.

기능은 다음과 같습니다.

  • 쿠키 기반 세션 선호도
  • URL 기반 라우팅
  • Web Application Firewall(WAF)

기능의 전체 목록은 Azure 애플리케이션 게이트웨이 기능을 참조하세요.

이 문서에서는 웹 서버 팜 앞에서 Application Gateway를 사용하여 Azure VMware Solution에서 실행되는 웹앱을 보호하는 방법을 보여 줍니다.

토폴로지

이 다이어그램에서는 Application Gateway를 사용하여 Azure IaaS VM(가상 머신), Microsoft Azure Virtual Machine Scale Sets 또는 온-프레미스 서버를 보호하는 방법을 보여 줍니다. Application Gateway는 Azure VMware Solution VM을 온-프레미스 서버로 처리합니다.

Diagram showing how Application Gateway protects Azure IaaS virtual machines (VMs), Azure Virtual Machine Scale Sets, or on-premises servers.

Important

Azure 애플리케이션 Gateway는 Azure VMware Solution VM에서 실행되는 웹앱을 노출하는 기본 방법입니다.

다이어그램은 Azure VMware Solution 웹 애플리케이션을 사용하여 Application Gateway의 유효성을 검사하는 데 사용되는 테스트 시나리오를 보여 줍니다.

Diagram showing the testing scenario used to validate the Application Gateway with Azure VMware Solution web applications.

Application Gateway 인스턴스는 Azure 공용 IP 주소가 있는 전용 서브넷의 허브에 배포됩니다. 가상 네트워크에 대한 Azure DDoS Protection을 활성화하는 것이 좋습니다. 웹 서버는 NSX T0 및 T1 게이트웨이 뒤에 있는 Azure VMware Solution 프라이빗 클라우드에서 호스트됩니다. 또한 Azure VMware Solution ExpressRoute Global Reach를 사용하여 허브 및 온-프레미스 시스템과 통신할 수 있습니다.

필수 조건

  • 활성 구독이 있는 Azure 계정.
  • 배포되고 실행되는 Azure VMware Solution 프라이빗 클라우드.

배포 및 구성

  1. Azure Portal에서 Application Gateway를 검색하고 애플리케이션 게이트웨이 만들기를 선택합니다.

  2. 다음 그림에 나와 있는 것처럼, 기본 세부 정보를 제공한 후 다음: 프런트 엔드>를 선택합니다.

    Screenshot showing Create application gateway page in Azure portal.

  3. 프런트 엔드 IP 주소 유형을 선택합니다. 공용의 경우 기존 공용 IP 주소를 선택하거나 새 공용 IP 주소를 만듭니다. 완료되면 다음: 백 엔드>를 선택합니다.

    참고 항목

    프라이빗 프런트 엔드에는 표준 및 WAF(웹 애플리케이션 방화벽) SKU만 지원됩니다.

  4. Azure VMware Solution 인프라에서 실행되는 VM의 백 엔드 풀을 추가합니다. Azure VMware Solution 프라이빗 클라우드에서 실행되는 웹 서버의 세부 정보를 제공하고 추가를 선택합니다. 그다움에 다음: 구성>을 클릭합니다.

  5. 구성 탭에서 라우팅 규칙 추가를 선택합니다.

  6. 수신기 탭에서 수신기에 대한 세부 정보를 제공합니다. HTTPS를 선택한 경우 PFX 파일 또는 기존 Azure Key Vault 인증서에서 인증서를 제공해야 합니다.

  7. 백 엔드 대상 탭을 선택하고 이전에 만든 백 엔드 풀을 선택합니다. HTTP 설정 필드에 대해 새로 추가를 선택합니다.

  8. HTTP 설정에 대한 매개 변수를 구성합니다. 추가를 선택합니다.

  9. 경로 기반 규칙을 구성하려면 여러 대상 추가를 선택하여 경로 기반 규칙을 만듭니다.

  10. 경로 기반 규칙을 추가하고 추가를 선택합니다. 이 단계를 반복하여 경로 기반 규칙을 더 추가합니다.

  11. 경로 기반 규칙 추가를 마치면 다시 추가를 선택한 다음, 다음: 태그를> 선택합니다.

  12. 태그를 추가한 후 다음: 검토 + 만들기>를 선택합니다.

  13. 유효성 검사는 Application Gateway에서 실행됩니다. 성공하면 만들기를 선택하여 배포합니다.

구성 예

이제 다음 사용 사례에 대한 백 엔드 풀로 Azure VMware Solution VM을 사용하여 Application Gateway를 구성합니다.

여러 사이트 호스팅

이 절차에서는 기존 애플리케이션 게이트웨이의 Azure VMware Solution 프라이빗 클라우드에서 실행되는 VM을 사용하여 백 엔드 주소 풀을 정의하는 방법을 보여 줍니다.

참고 항목

이 절차에서는 할 일이 여러 기본 가정하므로 www.contoso.com 및 www.contoso2.com 예제를 사용합니다.

  1. 프라이빗 클라우드에서 두 개의 서로 다른 VM 풀을 만듭니다. 하나는 Contoso와 두 번째 contoso2를 나타냅니다.

    Screenshot showing summary of a web server's details in VMware vSphere Client.

    IIS(인터넷 정보 서비스) 역할이 설치된 Windows Server 2016을 사용했습니다. VM이 설치되면 다음 PowerShell 명령을 실행하여 각 VM에서 IIS를 구성합니다.

    Install-WindowsFeature -Name Web-Server
Add-Content -Path C:\inetpub\wwwroot\Default.htm -Value $($env:computername)

  2. 기존 애플리케이션 게이트웨이 인스턴스의 왼쪽 메뉴에서 백 엔드 풀을 선택하고 추가를 선택한 다음, 새 풀의 세부 정보를 입력합니다. 오른쪽 창에서 추가를 선택합니다.

    Screenshot of Backend pools page for adding backend pools.

  3. 수신기 섹션에서 각 웹 사이트에 대한 새 수신기를 만듭니다. 각 수신기에 대한 세부 정보를 입력하고 추가를 선택합니다.

  4. 왼쪽에서 HTTP 설정을 선택하고 왼쪽 창에서 추가를 선택합니다. 세부 정보를 입력하여 새 HTTP 설정을 만들고 저장을 선택합니다.

    Screenshot of HTTP settings page to create a new HTTP setting.

  5. 왼쪽 메뉴의 규칙 섹션에서 규칙을 만듭니다. 각 규칙을 해당 수신기와 연결합니다. 추가를 선택합니다.

  6. 해당 백 엔드 풀 및 HTTP 설정을 구성합니다. 추가를 선택합니다.

  7. 연결을 테스트합니다. 기본 설정 브라우저를 열고 Azure VMware Solution 환경에서 호스트되는 다른 웹 사이트로 이동합니다.

    Screenshot of browser page showing successful test the connection.

URL별 라우팅

다음 단계는 Azure VMware Solution 프라이빗 클라우드에서 실행되는 VM을 사용하여 백 엔드 주소 풀을 정의합니다. 프라이빗 클라우드는 기존 애플리케이션 게이트웨이에 있습니다. 그런 다음, 웹 트래픽이 풀의 적절한 서버에 도착하도록 하는 라우팅 규칙을 만듭니다.

  1. 프라이빗 클라우드에서 웹 팜을 나타내는 가상 머신 풀을 만듭니다.

    Screenshot of page in VMware vSphere Client showing summary of another VM.

    IIS 역할이 설치된 Windows Server 2016은 이 자습서를 설명하는 데 사용되었습니다. VM이 설치되면 다음 PowerShell 명령을 실행하여 각 VM 자습서에 대해 IIS를 구성합니다.

    첫 번째 가상 머신인 contoso-web-01은 기본 웹 사이트를 호스트합니다.

    Install-WindowsFeature -Name Web-Server
Add-Content -Path C:\inetpub\wwwroot\Default.htm -Value $($env:computername)

    두 번째 가상 머신 contoso-web-02는 이미지 사이트를 호스트합니다.

    Install-WindowsFeature -Name Web-Server
New-Item -Path "C:\inetpub\wwwroot\" -Name "images" -ItemType "directory"
Add-Content -Path C:\inetpub\wwwroot\images\test.htm -Value $($env:computername)

    세 번째 가상 머신인 contoso-web-03은 비디오 사이트를 호스트합니다.

    Install-WindowsFeature -Name Web-Server
New-Item -Path "C:\inetpub\wwwroot\" -Name "video" -ItemType "directory"
Add-Content -Path C:\inetpub\wwwroot\video\test.htm -Value $($env:computername)

  2. 기존 애플리케이션 게이트웨이 인스턴스에 세 개의 새 백 엔드 풀을 추가합니다.

    1. 왼쪽 메뉴에서 백 엔드 풀을 선택합니다.
    2. 추가를 선택하고 첫 번째 풀 contoso-web의 세부 정보를 입력합니다.
    3. 하나의 VM을 대상으로 추가합니다.
    4. 추가를 선택합니다.
    5. contoso-images 및 contoso-video에 대해 이 프로세스를 반복하여 하나의 고유한 VM을 대상으로 추가합니다.

    Screenshot of Backend pools page showing the addition of three new backend pools.

  3. 수신기 섹션에서 포트 8080을 사용하여 기본 유형의 새 수신기를 만듭니다.

  4. 왼쪽 탐색 창에서 HTTP 설정을 선택하고 왼쪽 창에서 추가를 선택합니다. 세부 정보를 입력하여 새 HTTP 설정을 만들고 저장을 선택합니다.

    Screenshot of Add HTTP setting page showing HTTP settings configuration.

  5. 왼쪽 메뉴의 규칙 섹션에서 규칙을 만들고 각 규칙을 이전에 만든 수신기와 연결합니다. 그런 다음 기본 백 엔드 풀 및 HTTP 설정을 구성한 다음 추가를 선택합니다.

    Screenshot of Add a routing rule page to configure routing rules to a backend target.

  6. 구성을 테스트합니다. Azure Portal에서 애플리케이션 게이트웨이에 액세스하고 개요 섹션에서 공용 IP 주소를 복사합니다.

    1. 새 브라우저 창을 열고 URL http://<app-gw-ip-address>:8080을 입력합니다.

      Screenshot of browser page showing successful test of the configuration.

    2. URL을 http://<app-gw-ip-address>:8080/images/test.htm로 변경합니다.

      Screenshot of another successful test with the new URL.

    3. URL을 다시 .로 변경합니다 http://<app-gw-ip-address>:8080/video/test.htm.

      Screenshot of successful test with the final URL.

다음 단계

이제 Application Gateway를 사용하여 Azure VMware Solution에서 실행되는 웹앱을 보호했으므로 다음 사항에 대해 자세히 알아보세요.