사용자 지정 도메인 추가
Azure Web PubSub 인스턴스에 포함된 기본 도메인 외에도 사용자 지정 도메인을 추가할 수 있습니다. 사용자 지정 도메인은 사용자가 소유하고 관리하는 도메인 이름입니다. 사용자 지정 도메인을 사용하여 Web PubSub 리소스에 액세스할 수 있습니다. 예를 들어, contoso.webpubsub.azure.com 대신 contoso.example.com을 사용하여 리소스에 액세스할 수 있습니다.
필수 조건
- 활성 구독이 있는 Azure 계정. Azure 계정이 없으면 체험 계정을 만들 수 있습니다.
- 최소 프리미엄 계층의 Azure Web PubSub 리소스입니다.
- Azure Key Vault 리소스
- Azure Key Vault에 저장된 사용자 지정 도메인과 일치하는 사용자 지정 인증서
사용자 지정 인증서 추가
사용자 지정 도메인을 추가하기 전에 일치하는 사용자 지정 인증서를 추가합니다. 사용자 지정 인증서는 Web PubSub 인스턴스의 리소스입니다. 이는 키 자격 증명 모음의 인증서를 참조합니다. 보안 및 규정 준수를 위해 Web PubSub은 인증서를 영구적으로 저장하지 않습니다. 대신 키 자격 증명 모음에서 인증서를 가져와 메모리에 보관합니다.
관리 ID를 사용하여 키 자격 증명 모음에 액세스
Azure Web PubSub은 관리 ID를 사용하여 키 자격 증명 모음에 액세스합니다. 액세스를 권한 부여하려면 권한을 부여해야 합니다.
관리 ID 만들기
Azure Portal에서 Web PubSub 리소스로 이동합니다.
왼쪽 메뉴에서 ID를 선택합니다.
사용할 ID 유형을 선택합니다. 시스템 할당 또는 사용자 할당. 사용자가 할당한 ID를 사용하려면 먼저 ID를 만들어야 합니다.
시스템 할당 ID를 사용하려면:
켜기를 선택합니다.
예를 선택하여 확인합니다.
저장을 선택합니다.
사용자가 할당한 ID를 추가하려면 다음을 수행합니다.
사용자가 할당한 관리 ID 추가를 선택합니다.
기존 ID를 선택합니다.
추가를 선택합니다.
저장을 선택합니다.
관리 ID에 키 자격 증명 모음 액세스 권한 부여
Azure Key Vault 권한 모델을 구성하는 방법에 따라 Azure Portal의 다른 위치에서 권한을 부여해야 할 수도 있습니다.
키 자격 증명 모음 기본 제공 액세스 정책을 키 자격 증명 모음 권한 모델로 사용하는 경우:
Azure Portal에서 키 자격 증명 모음으로 이동합니다.
왼쪽 메뉴에서 액세스 구성을 선택합니다.
Vault 액세스 정책을 선택합니다.
액세스 정책으로 이동을 선택합니다.
만들기를 실행합니다.
액세스 정책 만들기 창에서 권한 탭을 선택합니다.
비밀 권한에서 가져오기를 선택합니다.
인증서 권한에서 가져오기를 선택합니다.
다음을 선택합니다.
Web PubSub 리소스 이름을 검색합니다.
다음을 선택합니다.
애플리케이션 탭을 선택한 다음 다음을 선택합니다.
만들기를 실행합니다.
사용자 지정 인증서 만들기
Azure Portal에서 Web PubSub 리소스로 이동합니다.
왼쪽 메뉴에서 사용자 지정 도메인을 선택합니다.
사용자 지정 인증서 창에서 추가를 선택합니다.
사용자 지정 인증서의 이름을 입력합니다.
Key Vault에서 선택을 선택하여 키 자격 증명 모음 인증서를 선택합니다. 키 자격 증명 모음을 선택하면 Key Vault 기본 URI 및 Key Vault 비밀 이름에 대한 값이 자동으로 추가됩니다. 이러한 필드를 수동으로 편집할 수도 있습니다.
(선택 사항) 인증서를 특정 버전에 고정하려면 Key Vault 비밀 버전에 대한 값을 입력합니다.
추가를 선택합니다.
Web PubSub은 인증서를 가져와서 그 콘텐츠의 유효성을 검사합니다. 인증서 유효성 검사가 성공하면 인증서의 프로비전 상태가 성공이 됩니다.
사용자 지정 도메인 CNAME 만들기
사용자 지정 도메인의 소유권의 유효성을 검사하려면 사용자 지정 도메인에 대한 CNAME 레코드를 만들고 이를 Web PubSub 리소스의 기본 도메인으로 가리킵니다.
예를 들어, 기본 도메인이 contoso.webpubsub.azure.com이고 사용자 지정 도메인이 contoso.example.com인 경우 이 예와 같이 example.com에 CNAME 레코드를 만듭니다.
contoso.example.com. 0 IN CNAME contoso.webpubsub.azure.com
Azure DNS Zone을 사용하는 경우 CNAME 레코드를 추가하는 방법을 알아보려면 DNS 레코드 관리를 참조하세요.
다른 DNS 공급자를 사용하는 경우 공급자 설명서의 지침에 따라 CNAME 레코드를 만듭니다.
Web PubSub에 사용자 지정 도메인 추가
사용자 지정 도메인은 Web PubSub 인스턴스의 또 다른 하위 리소스입니다. 여기에는 사용자 지정 도메인에 필요한 모든 구성이 포함되어 있습니다.
Azure Portal에서 Web PubSub 리소스로 이동합니다.
왼쪽 메뉴에서 사용자 지정 도메인을 선택합니다.
사용자 지정 도메인 창에서 추가를 선택합니다.
사용자 지정 도메인의 이름을 입력합니다. 하위 리소스 이름을 사용합니다.
도메인 이름을 입력합니다.
contoso.com과 같이 사용자 지정 도메인의 전체 도메인 이름을 사용합니다.이 사용자 지정 도메인에 적용되는 사용자 지정 인증서를 선택합니다.
추가를 선택합니다.
사용자 지정 도메인 확인
이제 사용자 지정 도메인을 사용하여 Web PubSub 엔드포인트에 액세스할 수 있습니다.
도메인을 확인하려면 Health API에 액세스합니다. 다음 예에서는 cURL을 사용합니다.
PS C:\> curl.exe -v https://contoso.example.com/api/health
...
> GET /api/health HTTP/1.1
> Host: contoso.example.com
< HTTP/1.1 200 OK
...
PS C:\>
Health API는 인증서 오류 없이 200 상태 코드를 반환해야 합니다.
개인 네트워크 키 자격 증명 모음 구성
키 자격 증명 모음에 프라이빗 엔드포인트를 구성하는 경우 Web PubSub은 공용 네트워크를 사용하여 키 자격 증명 모음에 액세스할 수 없습니다. 개인 네트워크를 통해 Web PubSub에 키 자격 증명 모음 액세스 권한을 부여하려면 공유 프라이빗 엔드포인트를 설정해야 합니다.
공유 프라이빗 엔드포인트를 만들면 평소와 같이 사용자 지정 인증서를 만들 수 있습니다. 키 자격 증명 모음 URI에서 도메인을 변경할 필요는 없습니다. 예를 들어, 키 자격 증명 모음 기본 URI가 https://contoso.vault.azure.net인 경우 이 URI를 계속 사용하여 사용자 지정 인증서를 구성합니다.
키 자격 증명 모음 방화벽 설정에서 Web PubSub IP 주소를 명시적으로 허용할 필요는 없습니다. 자세한 내용은 키 자격 증명 모음 프라이빗 링크 진단을 참조하세요.
인증서 회전
사용자 지정 인증서를 만들 때 비밀 버전을 지정하지 않으면 Web PubSub은 키 자격 증명 모음에서 최신 버전을 주기적으로 확인합니다. 새로운 버전이 검색되면 자동으로 적용됩니다. 지연은 일반적으로 한 시간 이내입니다.
또는 키 자격 증명 모음의 특정 비밀 버전에 사용자 지정 인증서를 고정할 수 있습니다. 새 인증서를 적용해야 하는 경우 비밀 버전을 편집한 다음, 사용자 지정 인증서를 사전에 업데이트할 수 있습니다.