Front Door 모범 사례
이 문서에서는 Azure Front Door 사용에 대한 모범 사례를 요약합니다.
일반적인 모범 사례
Traffic Manager와 Front Door를 결합하는 시기 이해
대부분의 솔루션에서는 Front Door 또는 Azure Traffic Manager를 사용하는 것이 좋지만 둘 다 사용하지 않는 것이 좋습니다. Azure Traffic Manager는 DNS 기반 부하 분산 장치입니다. 원본의 엔드포인트로 직접 트래픽을 보냅니다. 반면, Azure Front Door는 클라이언트 근처의 POP(지점)에서 연결을 종료하고 원본에 대한 별도의 수명이 긴 연결을 설정합니다. 두 제품은 서로 다르게 작동하며 서로 다른 사례를 위한 것입니다.
콘텐츠 캐싱 및 배달(CDN), TLS 종료, 고급 라우팅 기능 또는 WAF(Web Application Firewall)이 필요한 경우 Front Door 사용을 고려합니다. 클라이언트에서 엔드포인트로 직접 연결하는 간단한 전역 부하 분산의 경우 Traffic Manager를 사용하는 것이 좋습니다. 부하 분산 옵션 선택에 대한 자세한 내용은 부하 분산 옵션을 참조하세요.
그러나 고가용성이 필요한 복잡한 아키텍처의 일부로 Azure Front Door 앞에 Azure Traffic Manager를 배치할 수 있습니다. Azure Front Door를 사용할 수 없는 드문 경우 Azure Traffic Manager는 트래픽을 Azure 애플리케이션 게이트웨이 또는 CDN(파트너 콘텐츠 배달 네트워크)과 같은 대체 대상으로 라우팅할 수 있습니다.
Important
Azure Front Door 뒤에 Azure Traffic Manager를 배치하지 마세요. Azure Traffic Manager는 항상 Azure Front Door 앞에 있어야 합니다.
원본에 대한 트래픽 제한
Front Door의 기능은 트래픽이 Front Door를 통과하는 경우에만 가장 잘 작동합니다. Front Door를 통해 전송되지 않은 트래픽을 차단하도록 원본을 구성해야 합니다. 자세한 내용은 Azure Front Door 원본에 대한 보안 트래픽을 참조하세요.
최신 API 버전 및 SDK 버전 사용
API, ARM 템플릿, Bicep 또는 Azure SDK를 사용하여 Front Door로 작업하는 경우 사용 가능한 최신 API 또는 SDK 버전을 사용하는 것이 중요합니다. API 및 SDK 업데이트는 새로운 기능을 사용할 수 있을 때 발생하며 중요한 보안 패치 및 버그 수정도 포함됩니다.
로그 구성
Front Door는 모든 요청에 대한 광범위한 원격 분석을 추적합니다. 캐싱을 사용하도록 설정하면 원본 서버가 일부 요청을 받지 못할 수 있으므로 Front Door 로그를 사용하여 솔루션이 실행되고 클라이언트에 응답하는 방법을 이해하는 것이 중요합니다. Azure Front Door에서 기록하는 메트릭 및 로그에 대한 자세한 내용은 Azure Front Door 및 WAF 로그에서 메트릭 및 로그 모니터링을 참조하세요.
사용자 고유의 응용 프로그램에 대한 로깅을 구성하려면 Azure Front Door 로그 구성을 참조하세요.
TLS 모범 사례
엔드투엔드 TLS 사용
Front Door는 클라이언트의 TCP 및 TLS 연결을 종료합니다. 그런 다음 각 PoP(Point of Presence)에서 원본으로 새 연결을 설정합니다. Azure에서 호스팅되는 원본의 경우에도 TLS를 사용하여 이러한 각 연결을 보호하는 것이 좋습니다. 이 방법을 사용하면 데이터가 전송되는 동안 항상 암호화됩니다.
자세한 내용은 Azure Front Door를 사용한 엔드투엔드 TLS를 참조하세요.
HTTP에서 HTTPS로 리디렉션 사용
클라이언트가 HTTPS를 사용하여 서비스에 연결하는 것이 좋습니다. 그러나 때로는 모범 사례를 이해하지 못하는 클라이언트나 오래된 클라이언트를 허용하기 위해 HTTP 요청을 수락해야 합니다.
HTTPS 프로토콜을 사용하도록 HTTP 요청을 자동으로 리디렉션하도록 Front Door를 구성할 수 있습니다. 경로에서 HTTPS를 사용하도록 모든 트래픽 리디렉션 설정을 사용하도록 설정해야 합니다.
관리 TLS 인증서 사용
Front Door가 TLS 인증서를 관리하면 운영 비용이 절감되고 인증서 갱신을 잊어버려 비용이 많이 드는 중단을 방지할 수 있습니다. Front Door는 관리 TLS 인증서를 자동으로 발급하고 회전합니다.
자세한 내용은 Azure Portal을 사용하여 Azure Front Door 사용자 지정 도메인에서 HTTPS 구성을 참조하세요.
고객 관리 인증서에 '최신' 버전 사용
자체 TLS 인증서를 사용하기로 결정한 경우 Key Vault 인증서 버전을 '최신'으로 설정하는 것이 좋습니다. '최신'을 사용하면 새 버전의 인증서를 사용하도록 Front Door를 다시 구성하거나 인증서가 Front Door의 환경 전체에 배포될 때까지 기다릴 필요가 없습니다.
자세한 내용은 배포할 Azure Front Door의 인증서 선택을 참조하세요.
도메인 이름 모범 사례
사용자 지정 도메인 채택
도메인 및 트래픽을 관리하는 동안 더 나은 가용성과 유연성을 보장하기 위해 Front Door 엔드포인트에 대한 사용자 지정 도메인을 채택합니다. 클라이언트/코드베이스/방화벽에서 AFD 제공 도메인(예: *.azurefd.z01.net)을 하드 코딩하지 마세요. 이러한 시나리오에 사용자 지정 도메인을 사용합니다.
Front Door와 원본에서 동일한 도메인 이름 사용
Front Door는 들어오는 요청의 Host
헤더를 다시 쓸 수 있습니다. 이 기능은 단일 원본으로 라우팅되는 고객 대면 사용자 지정 도메인 이름 집합을 관리할 때 유용할 수 있습니다. 이 기능은 Front Door 및 원본에서 사용자 지정 도메인 이름을 구성하지 않으려는 경우에도 도움이 될 수 있습니다. 그러나 Host
헤더를 다시 작성할 때 요청 쿠키 및 URL 리디렉션이 중단될 수 있습니다. 특히 Azure App Service와 같은 플랫폼을 사용하는 경우 세션 선호도 및 인증 및 권한 부여과 같은 기능이 제대로 작동하지 않을 수 있습니다.
요청의 Host
헤더를 다시 작성하기 전에 애플리케이션이 올바르게 작동하는지 신중하게 고려합니다.
자세한 내용은 역방향 프록시와 백 엔드 웹 애플리케이션 간에 원래 HTTP 호스트 이름 유지를 참조하세요.
WAF(웹 애플리케이션 방화벽)
WAF 사용하도록 설정
인터넷 연결 애플리케이션의 경우 Front Door WAF(Web Application Firewall)를 사용하도록 설정하고 관리 규칙을 사용하도록 구성하는 것이 좋습니다. WAF 및 Microsoft 관리 규칙을 사용하면 응용 프로그램이 다양한 공격으로부터 보호됩니다.
자세한 내용은 Azure Front Door의 WAF(Web Application Firewall)를 참조하세요.
WAF 모범 사례 따르기
Front Door용 WAF에는 구성 및 사용에 대한 고유한 모범 사례 집합이 있습니다. 자세한 내용은 Azure Front Door의 Web Application Firewall 모범 사례를 참조하세요.
상태 프로브 모범 사례
원본 그룹에 원본이 하나만 있는 경우 상태 프로브 사용하지 않도록 설정
Front Door의 상태 프로브는 원본을 사용할 수 없거나 비정상인 상황을 검색하도록 설계되었습니다. 상태 프로브가 원본에서 문제를 검색하면 원본 그룹의 다른 원본으로 트래픽을 보내도록 Front Door를 구성할 수 있습니다.
단일 원본만 있는 경우 Front Door는 상태 프로브가 비정상 상태를 보고하더라도 항상 트래픽을 해당 원본으로 라우팅합니다. 상태 프로브의 상태는 Front Door의 동작을 변경하는 데 아무런 영향을 미치지 않습니다. 이 시나리오에서 상태 프로브는 이점을 제공하지 않으며 원본의 트래픽을 줄이기 위해 사용하지 않도록 설정해야 합니다.
자세한 내용은 상태 프로브를 참조하세요.
양호한 상태 프로브 엔드포인트 선택
Front Door의 상태 프로브가 모니터링하도록 지시하는 위치를 고려합니다. 일반적으로 상태 모니터링을 위해 특별히 설계한 웹 페이지나 위치를 모니터링하는 것이 좋습니다. 애플리케이션 로직은 애플리케이션 서버, 데이터베이스 및 캐시를 포함하여 프로덕션 트래픽을 처리하는 데 필요한 모든 중요한 구성 요소의 상태를 고려할 수 있습니다. 이렇게 하면 구성 요소가 실패할 경우 Front Door가 트래픽을 서비스의 다른 인스턴스로 라우팅할 수 있습니다.
자세한 내용은 상태 엔드포인트 모니터링 패턴을 참조하세요.
HEAD 상태 프로브 사용
상태 프로브는 GET 또는 HEAD HTTP 메서드를 사용할 수 있습니다. 상태 프로브에 HEAD 방법을 사용하는 것이 좋습니다. 그러면 원본의 트래픽 부하가 줄어듭니다.
자세한 내용은 상태 프로브에 지원되는 HTTP 메서드를 참조하세요.
다음 단계
Front Door 프로필을 만드는 방법에 대해 알아봅니다.