Azure 잘 설계된 프레임워크 검토 - Azure 애플리케이션 Gateway v2
이 문서에서는 Azure 애플리케이션 Gateway v2 SKU 제품군에 대한 아키텍처 모범 사례를 제공합니다. 이 지침은 건축 우수성의 다섯 가지 핵심 요소를 기반으로 합니다.
Azure 애플리케이션 Gateway에 대한 실무 지식이 있고 v2 SKU 기능에 정통한 것으로 가정합니다. 자세한 내용은 Azure 애플리케이션 게이트웨이 기능을 참조하세요.
필수 조건
- 잘 설계된 프레임워크 핵심 요소를 이해하면 고품질의 안정적이고 효율적인 클라우드 아키텍처를 생성하는 데 도움이 될 수 있습니다. Azure Well-Architected Framework 검토 평가를 사용하여 워크로드를 검토 하는 것이 좋습니다.
- 참조 아키텍처를 사용하여 이 문서에 제공된 지침에 따라 고려 사항을 검토합니다. Application Gateway 및 API Management 및 IaaS: 관계형 데이터베이스가 있는 웹 애플리케이션을 사용하여 API 보호로 시작하는 것이 좋습니다.
안정성
클라우드에서도 오류가 발생한다는 것을 인정합니다. 목표는 모든 장애를 막는 것이 아니라 단일 장애 구성 요소의 영향을 최소화하는 것입니다. 다음 정보를 사용하여 실패한 인스턴스를 최소화합니다.
디자인 검사 목록
Application Gateway에 대한 디자인을 선택할 때 안정성 디자인 원칙을 검토합니다.
- 사용 가능한 경우 영역 인식 구성에 인스턴스를 배포합니다.
- 가상 네트워크 내에서 WAF(웹 애플리케이션 방화벽)와 함께 Application Gateway를 사용하여 인터넷에서 인바운드
HTTP/S트래픽을 보호합니다. - 새 배포에서는 Azure 애플리케이션 Gateway v1을 사용해야 하는 강력한 이유가 없는 한 Azure 애플리케이션 Gateway v2를 사용합니다.
- 규칙 업데이트 계획
- 상태 프로브를 사용하여 백 엔드 사용 불가 검색
- 상태 프로브에 대한 간격 및 임계값 설정의 영향 검토
- 상태 엔드포인트를 통해 다운스트림 종속성 확인
권장 사항
안정성을 위해 Application Gateway 구성을 최적화하려면 다음 권장 사항 표를 살펴보세요.
| 추천 | 장점 |
|---|---|
| 규칙 업데이트 계획 | Application Gateway에 액세스하거나 추가로 변경하기 전에 업데이트를 위한 충분한 시간을 계획합니다. 예를 들어 백 엔드 풀에서 서버를 제거하려면 기존 연결을 드레이닝해야 하기 때문에 시간이 걸릴 수 있습니다. |
| 상태 프로브를 사용하여 백 엔드 사용 불가 검색 | Application Gateway를 사용하여 여러 백 엔드 인스턴스를 통해 들어오는 트래픽 부하를 분산하는 경우 상태 프로브를 사용하는 것이 좋습니다. 이렇게 하면 트래픽을 처리할 수 없는 백 엔드로 트래픽이 라우팅되지 않습니다. |
| 상태 프로브에 대한 간격 및 임계값 설정의 영향 검토 | 상태 프로브는 설정된 간격으로 구성된 엔드포인트에 요청을 보냅니다. 또한 백 엔드가 비정상으로 표시되기 전에 허용되는 실패한 요청의 임계값도 있습니다. 이 수치는 장만을 제시합니다. - 더 높은 간격을 설정하면 서비스에 대한 부하가 높아질 수 있습니다. 각 Application Gateway 인스턴스는 자체 상태 프로브를 보내므로 30초마다 100개의 인스턴스는 30초당 100개의 요청을 의미합니다. - 더 낮은 간격을 설정해도 중단이 감지되기까지 더 많은 시간이 남습니다. - 낮은 비정상 임계값을 설정하면 짧고 일시적인 오류로 백 엔드가 중단될 수 있습니다. - 높은 임계값을 설정하면 백 엔드를 회전에서 제외하는 데 더 오래 걸릴 수 있습니다. |
| 상태 엔드포인트를 통해 다운스트림 종속성 확인 | 각 백 엔드에 오류가 격리되도록 자체 종속성이 있다고 가정합니다. 예를 들어 Application Gateway 뒤에 호스트되는 애플리케이션에는 각각 다른 데이터베이스(복제본)에 연결된 여러 백 엔드가 있을 수 있습니다. 이러한 종속성이 실패하면 애플리케이션이 작동하지만 유효한 결과를 반환하지 않습니다. 이러한 이유로 상태 엔드포인트는 모든 종속성의 유효성을 검사하는 것이 이상적입니다. 상태 엔드포인트에 대한 각 호출에 직접 종속성 호출이 있는 경우 해당 데이터베이스는 1이 아닌 30초마다 100개의 쿼리를 수신합니다. 이를 방지하기 위해 상태 엔드포인트는 짧은 기간 동안 종속성의 상태를 캐시해야 합니다. |
Azure Front Door 및 Application Gateway를 사용하여 HTTP/S 애플리케이션을 보호하는 경우 Front Door의 WAF 정책을 사용하고 Azure Front Door의 트래픽만 허용하도록 Application Gateway를 잠급니다. |
특정 시나리오에서는 Application Gateway에서 특별히 규칙을 구현하도록 강제할 수 있습니다. 예를 들어 ModSec CRS 2.2.9, CRS 3.0 또는 CRS 3.1 규칙이 필요한 경우 이러한 규칙은 Application Gateway에서만 구현할 수 있습니다. 반대로 속도 제한 및 지역 필터링은 AppGateway가 아닌 Azure Front Door에서만 사용할 수 있습니다. |
Azure Advisor는 중요 비즈니스용 애플리케이션의 연속성을 보장하고 개선하는 데 도움이 됩니다. Azure Advisor 권장 사항을 검토합니다.
보안
보안은 아키텍처의 가장 중요한 측면 중 하나입니다. Application Gateway는 최소 권한과 방어 방어 원칙을 모두 사용하는 기능을 제공합니다. 보안 디자인 원칙을 검토하는 것이 좋습니다.
디자인 검사 목록
- 보안 강화를 위한 TLS 정책 설정
- TLS 종료에 AppGateway 사용
- Azure Key Vault를 사용하여 TLS 인증서 저장
- 백 엔드 트래픽을 다시 암호화할 때 백 엔드 서버 인증서에 루트 및 중간 CA(인증 기관)가 모두 포함되어 있는지 확인합니다.
- 백 엔드 풀 리소스에 적절한 DNS 서버 사용
- Application Gateway에 대한 모든 NSG 제한 준수
- Application Gateway 서브넷에서 UDR 사용 금지
- WAF를 사용하도록 설정할 때 Application Gateway 용량 변경에 유의하세요.
권장 사항
다음 권장 사항 표를 탐색하여 보안에 대한 Application Gateway 구성을 최적화합니다.
| 추천 | 장점 |
|---|---|
| 보안 강화를 위한 TLS 정책 설정 | 추가 보안을 위해 TLS 정책을 설정합니다. 항상 사용 가능한 최신 TLS 정책 버전을 사용하고 있는지 확인합니다. 이렇게 하면 TLS 1.2 및 더 강력한 암호화가 적용됩니다. |
| TLS 종료에 AppGateway 사용 | TLS 종료에 Application Gateway를 사용할 경우 다음과 같은 이점이 있습니다. - 다른 백 엔드로 가는 요청이 각 백 엔드에 다시 인증해야 하므로 성능이 향상됩니다. - TLS 처리를 수행할 필요가 없으므로 백 엔드 서버 사용률 향상 - 요청 콘텐츠에 액세스하여 지능형 라우팅 - Application Gateway에만 인증서를 설치해야 하므로 인증서 관리가 더 쉽습니다. |
| Azure Key Vault를 사용하여 TLS 인증서 저장 | Application Gateway를 Key Vault와 통합할 수 있습니다. 이렇게 하면 더 강력한 보안, 역할 및 책임 분리, 관리되는 인증서에 대한 지원, 더 쉬운 인증서 갱신 및 회전 프로세스가 제공됩니다. |
| 백 엔드 트래픽을 다시 암호화할 때 백 엔드 서버 인증서에 루트 및 중간 CA(인증 기관)가 모두 포함되어 있는지 확인합니다. | 백 엔드 서버의 TLS 인증서는 잘 알려진 CA에서 발급해야 합니다. 신뢰할 수 있는 CA에서 인증서를 발급하지 않은 경우 Application Gateway는 신뢰할 수 있는 CA 인증서가 발견될 때까지 인증서가 신뢰할 수 있는 CA에서 발급되었는지 확인합니다. 그런 다음에만 보안 연결이 설정됩니다. 그렇지 않으면 Application Gateway는 백 엔드를 비정상으로 표시합니다. |
| 백 엔드 풀 리소스에 적절한 DNS 서버 사용 | 백 엔드 풀에 확인 가능한 FQDN이 포함된 경우 DNS 확인은 프라이빗 DNS 영역 또는 사용자 지정 DNS 서버(VNet에 구성된 경우)를 기반으로 하거나 기본 Azure 제공 DNS를 사용합니다. |
| Application Gateway에 대한 모든 NSG 제한 준수 | NSG는 Application Gateway 서브넷에서 지원되지만 몇 가지 제한 사항이 있습니다. 예를 들어 특정 포트 범위와의 일부 통신은 금지됩니다. 이러한 제한 사항의 의미를 이해해야 합니다. 자세한 내용은 네트워크 보안 그룹을 참조 하세요. |
| Application Gateway 서브넷에서 UDR 사용 금지 | Application Gateway 서브넷에서 UDR(사용자 정의 경로)을 사용하면 몇 가지 문제가 발생할 수 있습니다. 백 엔드 의 상태를 알 수 없습니다. Application Gateway 로그 및 메트릭이 생성되지 않을 수 있습니다. 백 엔드 상태, 로그 및 메트릭을 볼 수 있도록 Application Gateway 서브넷에서 UDR을 사용하지 않는 것이 좋습니다. 조직에서 Application Gateway 서브넷에서 UDR을 사용해야 하는 경우 지원되는 시나리오를 검토하세요. 자세한 내용은 지원되는 사용자 정의 경로를 참조하세요. |
| WAF를 사용하도록 설정할 때 Application Gateway 용량 변경에 유의하세요. | WAF를 사용하도록 설정하면 Application Gateway가 완전히 도착할 때까지 모든 요청을 버퍼링하고, 요청이 핵심 규칙 집합의 규칙 위반과 일치하는지 확인한 다음, 패킷을 백 엔드 인스턴스로 전달해야 합니다. 파일 업로드 크기가 30MB 이상인 경우 상당한 대기 시간이 발생할 수 있습니다. Application Gateway 용량 요구 사항은 WAF와 다르기 때문에 적절한 테스트 및 유효성 검사 없이 Application Gateway에서 WAF를 사용하도록 설정하지 않는 것이 좋습니다. |
더 많은 제안 사항은 보안 핵심 요소의 원칙을 참조하세요.
Azure Advisor는 중요 비즈니스용 애플리케이션의 연속성을 보장하고 개선하는 데 도움이 됩니다. Azure Advisor 권장 사항을 검토합니다.
정책 정의
- Application Gateway에 WAF(웹 애플리케이션 방화벽)를 사용하도록 설정해야 합니다. 들어오는 트래픽의 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가/지역, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다.
- WAF(웹 애플리케이션 방화벽)는 Application Gateway에 대해 지정된 모드를 사용해야 합니다. Application Gateway에 대한 모든 웹 애플리케이션 방화벽 정책에서 '검색' 또는 '방지' 모드를 사용해야 합니다.
- Azure DDoS Protection을 사용하도록 설정해야 합니다. 공용 IP를 사용하는 애플리케이션 게이트웨이의 일부인 서브넷이 포함된 모든 가상 네트워크에 DDoS 보호를 사용하도록 설정해야 합니다.
Azure 네트워킹과 관련된 모든 기본 제공 정책 정의는 기본 제공 정책인 Network에 나열됩니다.
비용 최적화
비용 최적화는 불필요한 비용을 줄이고 운영 효율성을 높이는 방법을 찾는 것입니다. 비용 최적화 디자인 원칙을 검토하는 것이 좋습니다.
디자인 검사 목록
- Application Gateway 가격 책정에 익숙해지세요.
- 사용량이 부족한 리소스 검토
- 사용하지 않는 Application Gateway 인스턴스 중지
- 규모 감축 및 스케일 아웃 정책
- 다양한 매개 변수에서 사용량 메트릭 검토
권장 사항
비용 최적화를 위해 Application Gateway 구성을 최적화하려면 다음 권장 사항 표를 살펴보세요.
| 추천 | 장점 |
|---|---|
| Application Gateway 가격 책정에 익숙해지세요. | Application Gateway 가격 책정에 대한 자세한 내용은 Azure 애플리케이션 Gateway 및 웹 애플리케이션 방화벽에 대한 가격 책정 이해를 참조하세요. 가격 계산기를 활용할 수도 있습니다. 리소스를 낭비하지 않고 용량 수요를 충족하고 예상 성능을 제공할 수 있도록 옵션의 크기를 적절하게 조정해야 합니다. |
| 사용량이 부족한 리소스 검토 | 불필요한 비용을 방지하기 위해 빈 백 엔드 풀이 있는 Application Gateway 인스턴스를 식별하고 삭제합니다. |
| 사용하지 않을 때 Application Gateway 인스턴스 중지 | Application Gateway가 중지된 상태일 때 요금이 청구되지 않습니다. Application Gateway 인스턴스를 지속적으로 실행하면 불필요한 비용이 발생할 수 있습니다. 사용 패턴을 평가하고 필요하지 않은 경우 인스턴스를 중지합니다. 예를 들어 개발/테스트 환경에서 업무 시간 이후의 사용량은 낮을 것으로 예상됩니다. 인스턴스를 중지하고 시작하는 방법에 대한 자세한 내용은 다음 문서를 참조하세요. - Stop-AzApplicationGateway - Start-AzApplicationGateway |
| 규모 감축 및 스케일 아웃 정책 | 스케일 아웃 정책은 들어오는 트래픽 및 급증을 처리하기에 충분한 인스턴스가 있는지 확인합니다. 또한 수요가 감소할 때 인스턴스 수가 감소되도록 하는 스케일 인 정책이 있습니다. 인스턴스 크기를 선택하는 것이 좋습니다. 크기는 비용에 큰 영향을 미칠 수 있습니다. Application Gateway 인스턴스 수 예측에 몇 가지 고려 사항이 설명되어 있습니다. 자세한 내용은 Azure 애플리케이션 Gateway v2란? |
| 다양한 매개 변수에서 사용량 메트릭 검토 | Azure에서 추적하는 메트릭에 따라 Application Gateway의 요금제 인스턴스에 따라 요금이 청구됩니다. 다양한 메트릭 및 용량 단위를 평가하고 비용 동인을 결정합니다. 자세한 내용은 Microsoft Cost Management 및 청구를 참조 하세요. 다음 메트릭은 Application Gateway의 핵심입니다. 이 정보를 사용하여 프로비전된 인스턴스 수가 들어오는 트래픽의 양과 일치하는지 확인할 수 있습니다. - 예상 청구 용량 단위 - 고정 청구 가능 용량 단위 - 현재 용량 단위 자세한 내용은 Application Gateway 메트릭을 참조 하세요. 대역폭 비용을 고려해야 합니다. |
자세한 제안은 비용 최적화 핵심 요소의 원칙을 참조하세요.
Azure Advisor는 중요 비즈니스용 애플리케이션의 연속성을 보장하고 개선하는 데 도움이 됩니다. Azure Advisor 권장 사항을 검토합니다.
운영 우수성
모니터링 및 진단은 Application Gateway 및 웹 애플리케이션 또는 게이트웨이 뒤의 백 엔드의 운영 우수성을 보장하는 데 매우 중요합니다. 성능 통계를 측정할 뿐만 아니라 메트릭을 사용하여 문제를 신속하게 해결하고 수정할 수 있습니다. 운영 우수성 디자인 원칙을 검토하는 것이 좋습니다.
디자인 검사 목록
- 용량 메트릭 모니터링
- Application Gateway 및 WAF(웹 애플리케이션 방화벽)에서 진단 사용
- Azure Monitor Network Insights 사용
- 백 엔드 애플리케이션과 시간 제한 설정 일치
- Azure Advisor를 사용하여 Key Vault 구성 문제 모니터링
- SNAT 포트 제한 구성 및 모니터링
- 디자인에서 SNAT 포트 제한 사항 고려
권장 사항
운영 우수성을 위해 Application Gateway 구성을 최적화하려면 다음 권장 사항 표를 살펴보세요.
| 추천 | 장점 |
|---|---|
| 용량 메트릭 모니터링 | 이러한 메트릭을 프로비전된 Application Gateway 용량의 사용률 지표로 사용합니다. 용량에 대한 경고를 설정하는 것이 좋습니다. 자세한 내용은 Application Gateway 높은 트래픽 지원을 참조 하세요. |
| 메트릭을 사용하여 문제 해결 | Application Gateway 또는 백 엔드에서 문제를 나타낼 수 있는 다른 메트릭이 있습니다. 다음 경고를 평가하는 것이 좋습니다. - 비정상 호스트 수 - 응답 상태(4xx 및 5xx 차원) - 백 엔드 응답 상태(4xx 및 5xx 차원) - 백 엔드 마지막 바이트 응답 시간 - Application Gateway 총 시간 자세한 내용은 Application Gateway에 대한 메트릭을 참조 하세요. |
| Application Gateway 및 WAF(웹 애플리케이션 방화벽)에서 진단 사용 | 진단 로그를 사용하여 방화벽 로그, 성능 로그 및 액세스 로그를 볼 수 있습니다. 이러한 로그를 사용하여 Application Gateway 인스턴스의 문제를 관리하고 해결합니다. 자세한 내용은 Application Gateway에 대한 백 엔드 상태 및 진단 로그를 참조하세요. |
| Azure Monitor Network Insights 사용 | Azure Monitor Network Insights는 Application Gateway를 비롯한 네트워크 리소스에 대한 상태 및 메트릭에 대한 포괄적인 보기를 제공합니다. Application Gateway에 대한 추가 세부 정보 및 지원되는 기능은 Azure Monitor 네트워크 인사이트를 참조 하세요. |
| 백 엔드 애플리케이션과 시간 제한 설정 일치 | 백 엔드 애플리케이션의 수신기 및 트래픽 특성과 일치하도록 IdleTimeout 설정을 구성해야 합니다. 기본값은 4분으로 설정되며 최대 30으로 구성할 수 있습니다. 자세한 내용은 Load Balancer TCP 다시 설정 및 유휴 시간 제한을 참조하세요. 워크로드 고려 사항은 안정성에 대한 애플리케이션 상태 모니터링을 참조하세요. |
| Azure Advisor를 사용하여 Key Vault 구성 문제 모니터링 | Application Gateway는 4시간 간격마다 연결된 Key Vault에서 갱신된 인증서 버전을 확인합니다. 잘못된 Key Vault 구성으로 인해 액세스할 수 없는 경우 해당 오류를 기록하고 해당 Advisor 권장 사항을 푸시합니다. Advisor 경고를 구성하여 업데이트 상태를 유지하고 이러한 문제를 즉시 해결하여 컨트롤 또는 데이터 평면 관련 문제를 방지해야 합니다. 자세한 내용은 키 자격 증명 모음 오류 조사 및 해결을 참조 하세요. 이 특정 사례에 대한 경고를 설정하려면 Application Gateway에 대한 Azure Key Vault 문제 해결로 권장 사항 유형을 사용합니다. |
| 디자인에서 SNAT 포트 제한 사항 고려 | SNAT 포트 제한은 Application Gateway의 백 엔드 연결에 중요합니다. Application Gateway가 SNAT 포트 제한에 도달하는 방식에 영향을 주는 별도의 요소가 있습니다. 예를 들어 백 엔드가 공용 IP 주소인 경우 자체 SNAT 포트가 필요합니다. SNAT 포트 제한을 방지하기 위해 Application Gateway당 인스턴스 수를 늘리거나, 백 엔드를 확장하여 더 많은 IP 주소를 갖거나, 백 엔드를 동일한 가상 네트워크로 이동하고, 백 엔드에 개인 IP 주소를 사용할 수 있습니다. SNAT 포트 제한에 도달하면 Application Gateway의 RPS(초당 요청 수)가 영향을 받습니다. 예를 들어 Application Gateway가 SNAT 포트 제한에 도달하면 백 엔드에 대한 새 연결을 열 수 없으며 요청이 실패합니다. |
더 많은 제안은 운영 우수성 기둥의 원칙을 참조하세요.
Azure Advisor는 중요 비즈니스용 애플리케이션의 연속성을 보장하고 개선하는 데 도움이 됩니다. Azure Advisor 권장 사항을 검토합니다.
성능 효율성
성능 효율성은 사용자가 배치된 요구 사항을 효율적인 방식으로 충족하기 위해 워크로드의 크기를 조정할 수 있는 기능입니다. 성능 효율성 원칙을 검토하는 것이 좋습니다.
디자인 검사 목록
- Application Gateway 인스턴스 수 예측
- 최대 인스턴스 수 정의
- 최소 인스턴스 수 정의
- Application Gateway 서브넷 크기 정의
- 자동 크기 조정 및 성능 이점을 위해 Application Gateway V2 기능 활용
권장 사항
성능 효율성을 위해 Application Gateway 구성을 최적화하려면 다음 권장 사항 표를 살펴보세요.
| 추천 | 장점 |
|---|---|
| Application Gateway 인스턴스 수 예측 | Application Gateway v2는 CPU, 네트워크 처리량, 현재 연결 등과 같은 여러 측면을 기반으로 확장됩니다. 대략적인 인스턴스 수를 확인하려면 다음 메트릭을 고려합니다. 현재 컴퓨팅 단위 - CPU 사용률을 나타냅니다. 1 Application Gateway 인스턴스는 약 10개의 컴퓨팅 단위입니다. 처리량 — Application Gateway 인스턴스는 최대 500Mbps의 처리량을 제공할 수 있습니다. 이 데이터는 페이로드 유형에 따라 달라집니다. 인스턴스 수를 계산할 때 이 수식을 고려합니다.  인스턴스 수를 예측한 후 해당 값을 최대 인스턴스 수와 비교합니다. 이는 사용 가능한 최대 용량에 얼마나 근접한지를 나타냅니다. |
| 최소 인스턴스 수 정의 | Application Gateway v2 SKU의 경우 자동 크기 조정은 추가 인스턴스 집합이 트래픽을 처리할 준비가 되기까지 다소 시간(약 6~7분)이 걸립니다. 이 시간 동안 트래픽이 짧은 스파이크가 있는 경우 일시적인 대기 시간 또는 트래픽 손실이 예상됩니다. 최소 인스턴스 수를 최적 수준으로 설정하는 것이 좋습니다. 평균 인스턴스 수를 예측하고 Application Gateway 자동 크기 조정 추세를 확인한 후 애플리케이션 패턴에 따라 최소 인스턴스 수를 정의합니다. 자세한 내용은 Application Gateway 높은 트래픽 지원을 참조 하세요. 지난 1개월 동안의 현재 컴퓨팅 단위를 확인합니다. 이 메트릭은 게이트웨이의 CPU 사용률을 나타냅니다. 최소 인스턴스 수를 정의하려면 최대 사용량을 10으로 나눕니다. 예를 들어 지난 달의 평균 현재 컴퓨팅 단위가 50인 경우 최소 인스턴스 수를 5로 설정합니다. |
| 최대 인스턴스 수 정의 | 최대 자동 크기 조정 인스턴스 수로 125를 사용하는 것이 좋습니다. Application Gateway가 있는 서브넷에 인스턴스의 확장 집합을 지원하는 데 사용할 수 있는 IP 주소가 충분한지 확인합니다. 최대 인스턴스 수를 125로 설정하면 사용된 용량에 대해서만 요금이 청구되므로 비용이 발생하지 않습니다. |
| Application Gateway 서브넷 크기 정의 | Application Gateway에는 가상 네트워크 내의 전용 서브넷이 필요합니다. 서브넷에는 배포된 Application Gateway 리소스의 여러 인스턴스가 있을 수 있습니다. 해당 서브넷, v1 또는 v2 SKU에 다른 Application Gateway 리소스를 배포할 수도 있습니다. 서브넷 크기를 정의하기 위한 몇 가지 고려 사항은 다음과 같습니다. - Application Gateway는 프라이빗 프런트 엔드 IP가 구성된 경우 인스턴스당 하나의 개인 IP 주소와 다른 개인 IP 주소를 사용합니다. - Azure는 내부 사용을 위해 각 서브넷에 5개의 IP 주소를 예약합니다. - Application Gateway(표준 또는 WAF SKU)는 최대 32개의 인스턴스를 지원할 수 있습니다. 32개의 인스턴스 IP 주소 + 1개의 프라이빗 프런트 엔드 IP + 5개의 Azure 예약을 사용하는 것이 좋습니다. 최소 서브넷 크기는 /26입니다. Standard_v2 또는 WAF_v2 SKU는 최대 125개의 인스턴스를 지원할 수 있으므로 동일한 계산을 사용하여 /24의 서브넷 크기를 사용하는 것이 좋습니다. - 동일한 서브넷에 추가 Application Gateway 리소스를 배포하려는 경우 표준 및 표준 v2의 최대 인스턴스 수에 필요한 추가 IP 주소를 고려합니다. |
| 자동 크기 조정 및 성능 이점을 위한 기능 활용 | v2 SKU는 트래픽이 늘어남에 따라 Application Gateway 확장할 수 있도록 자동 크기 조정을 제공합니다. v1 SKU와 비교할 때 v2에는 워크로드 성능을 향상시키는 기능이 있습니다. 예를 들어 더 나은 TLS 오프로드 성능, 더 빠른 배포 및 업데이트 시간, 영역 중복성 등이 있습니다. 자동 크기 조정 기능에 대한 자세한 내용은 Application Gateway v2 및 WAF v2 크기 조정을 참조 하세요. v1 SKU Application Gateway를 실행하는 경우 Application Gateway v2 SKU로 마이그레이션하는 것이 좋습니다. 자세한 내용은 Azure Application Gateway 및 웹 애플리케이션 방화벽을 v1에서 v2로 마이그레이션을 참조하세요. |
Azure Advisor는 중요 비즈니스용 애플리케이션의 연속성을 보장하고 개선하는 데 도움이 됩니다. Azure Advisor 권장 사항을 검토합니다.
Azure Advisor 권장 사항
Azure Advisor 는 Azure 배포를 최적화하기 위한 모범 사례를 따르는 데 도움이 되는 개인 설정된 클라우드 컨설턴트입니다. 다음은 Application Gateway의 안정성, 보안, 비용 효율성, 성능 및 운영 우수성을 개선하는 데 도움이 되는 몇 가지 권장 사항입니다.
안정성
추가 리소스
Azure 아키텍처 센터 지침
- 마이크로서비스의 API 게이트웨이 사용
- 가상 네트워크에 대한 방화벽 및 Application Gateway
- Application Gateway 및 API Management를 사용하여 API 보호
- IaaS: 관계형 데이터베이스를 사용하는 웹 애플리케이션
- 안전한 관리형 웹 애플리케이션
- Azure Firewall 및 Application Gateway를 사용하는 웹 애플리케이션에 대한 제로 트러스트 네트워크
다음 단계
- 작동 방식을 확인하기 위해 Application Gateway 배포: 빠른 시작: Azure 애플리케이션 Gateway를 사용하여 웹 트래픽 직접 - Azure Portal