다음을 통해 공유

Application Gateway에서의 DNS 해석 이해

Application Gateway는 Virtual Network 내의 전용 배포입니다. 들어오는 트래픽을 처리하는 애플리케이션 게이트웨이 리소스 인스턴스에 대한 DNS 확인도 가상 네트워크 구성의 영향을 받습니다. 이 문서에서는 DNS(도메인 이름 시스템) 구성 및 이름 확인에 미치는 영향에 대해 설명합니다.

이름의 확인이 필요합니다

Application Gateway는 FQDN(정규화된 도메인 이름)에 대한 DNS 확인을 수행합니다.

  • 고객이 제공한 FQDN 예를 들면,

    • 도메인 이름 기반 백 엔드 서버
    • 수신자 인증서에 대한 키 보관소 엔드포인트
    • 사용자 지정 오류 페이지 URL
    • OCSP(온라인 인증서 상태 프로토콜) 확인 URL

  • 다양한 Azure 인프라 엔드포인트(컨트롤 플레인)에 사용되는 관리 FQDN입니다. 전체 Application Gateway 리소스를 구성하는 구성 요소입니다. 예를 들어 모니터링 엔드포인트와의 통신을 통해 로그 및 메트릭의 흐름을 사용할 수 있습니다. 따라서 애플리케이션 게이트웨이는 접미사와 같은 .windows.net.azure.net접미사가 있는 다른 Azure 서비스의 엔드포인트와 내부적으로 통신하는 것이 중요합니다.

중요합니다

Application Gateway 리소스가 상호 작용하는 관리 엔드포인트 도메인 이름이 여기에 나열되어 있습니다. 애플리케이션 게이트웨이 배포 유형(이 문서에 자세히 설명되어 있음)에 따라 이러한 Azure 도메인 이름에 대한 이름 확인 문제로 인해 리소스 기능이 부분적으로 또는 완전히 손실될 수 있습니다.

  • .windows.net
  • .chinacloudapi.cn
  • .azure.net
  • .azure.cn
  • .usgovcloudapi.net
  • .azure.us
  • .microsoft.scloud
  • .msftcloudes.com
  • .microsoft.com

짧은 이름 및 단일 레이블 도메인 이름

Application Gateway는 백엔드 풀에서 짧은 이름(예: server1, webserver)을 지원합니다. 해결 방법은 DNS 구성에 따라 달라집니다.

  • Azure DNS(168.63.129.16): 동일한 가상 네트워크 내에서만 짧은 이름을 확인합니다.
  • 사용자 지정 DNS 서버: 검색 도메인 구성 필요
  • 온-프레미스 DNS(VPN/ExpressRoute를 통해): 내부 호스트 이름을 확인합니다.

비고

백 엔드 상태에서 짧은 이름의 DNS 확인 오류가 나타나면, 동일한 가상 네트워크 내의 VM에서 해당 확인을 시도해 보세요.

DNS 구성 유형

고객은 다양한 인프라 요구 사항을 가지고 있으며, 이름 확인에 대한 다양한 접근 방식이 필요합니다. 이 문서에서는 일반적인 DNS 구현 시나리오를 간략하게 설명하고 애플리케이션 게이트웨이 리소스의 효율적인 작업에 대한 권장 사항을 제공합니다.

공용 IP 주소를 사용하는 게이트웨이(networkIsolationEnabled: False)

공용 게이트웨이의 경우 Azure 도메인과의 모든 제어 평면 통신은 기본 Azure DNS 서버(168.63.129.16)를 통해 발생합니다. 이 섹션에서는 공용 애플리케이션 게이트웨이를 사용하여 잠재적인 DNS 영역 구성과 Azure 도메인 이름 확인과의 충돌을 방지하는 방법을 살펴봅니다.

기본 Azure 제공 DNS 사용

Azure에서 제공하는 DNS는 Azure의 모든 가상 네트워크에서 기본 설정으로 제공되며 IP 주소가 168.63.129.16입니다. Azure에서 제공하는 DNS는 공용 도메인 이름 확인과 함께 동일한 가상 네트워크 내에 있는 VM에 대한 내부 이름 확인을 제공합니다. 이 시나리오에서는 애플리케이션 게이트웨이의 모든 인스턴스가 DNS 확인을 위해 168.63.129.16에 연결됩니다.

Azure에서 제공하는 DNS에 대한 DNS 확인을 보여 주는 다이어그램

흐름:

  • 이 다이어그램에서는 파란색 선과 같이 백 엔드 서버 FQDN "server1.contoso.com" 및 "server2.contoso.com"의 이름 확인을 위해 Azure에서 제공하는 DNS(168.63.129.16)와 Application Gateway 인스턴스가 대화하는 것을 볼 수 있습니다.
  • 마찬가지로 인스턴스는 주황색 선으로 표시된 대로 프라이빗 링크 사용 Key Vault 리소스의 DNS 확인을 위해 168.63.129.16을 쿼리합니다. 애플리케이션 게이트웨이가 Key Vault 엔드포인트를 프라이빗 IP 주소로 확인할 수 있도록 하려면 프라이빗 DNS 영역을 해당 애플리케이션 게이트웨이의 가상 네트워크와 연결해야 합니다.
  • 이러한 FQDN에 대한 성공적인 DNS 확인을 수행한 후 인스턴스는 Key Vault 및 백 엔드 서버 엔드포인트와 통신할 수 있습니다.

고려 사항:

  • 최상위 Azure 도메인 이름에 대한 프라이빗 DNS 영역을 만들고 연결하지 마세요. 가능한 한 특정한 하위 도메인에 대한 DNS 영역을 만들어야 합니다. 예를 들어, 키 자격 증명 모음의 프라이빗 엔드포인트에 대한 privatelink.vaultcore.azure.net 프라이빗 DNS 영역을 사용하는 것이 모든 경우에서 vaultcore.azure.net 또는 azure.net 영역을 사용하는 것보다 더 효과적입니다.
  • 프라이빗 엔드포인트를 사용하는 백 엔드 서버 또는 서비스와의 통신을 위해 프라이빗 링크 DNS 영역이 애플리케이션 게이트웨이의 가상 네트워크에 연결되어 있는지 확인합니다.

사용자 지정 DNS 서버 사용

가상 네트워크에서 사용자 지정 DNS 서버를 지정할 수 있습니다. 이 구성은 특정 도메인 이름에 대해 독립적으로 영역을 관리하는 데 필요할 수 있습니다. 이러한 정렬은 가상 네트워크 내의 애플리케이션 게이트웨이 인스턴스가 Azure가 아닌 도메인 이름을 확인하기 위해 지정된 사용자 지정 DNS 서버를 사용하도록 지시합니다.

사용자 지정 DNS 서버를 사용한 DNS 확인을 보여 주는 다이어그램

흐름:

  • 이 다이어그램은 Application Gateway 인스턴스가 프라이빗 링크 Key Vault 엔드포인트 "contoso.privatelink.vaultcore.azure.net"의 이름 확인에 Azure 제공 DNS(168.63.129.16)를 사용하는 것을 보여 줍니다. 포함하는 azure.netAzure 도메인 이름에 대한 DNS 쿼리는 Azure에서 제공하는 DNS(주황색 줄로 표시됨)로 리디렉션됩니다.
  • "server1.contoso.com"의 DNS 확인을 위해 인스턴스는 파란색 선으로 표시된 대로 사용자 지정 DNS 설정을 적용합니다.

고려 사항:

애플리케이션 게이트웨이 가상 네트워크에서 사용자 지정 DNS 서버를 사용하려면 애플리케이션 게이트웨이의 작동에 영향을 주지 않도록 다음 조치를 취해야 합니다.

  • 애플리케이션 게이트웨이 가상 네트워크와 연결된 DNS 서버를 변경한 후에는 애플리케이션 게이트웨이를 다시 시작(중지 및 시작)해야 이러한 변경 내용이 인스턴스에 적용됩니다.
  • 애플리케이션 게이트웨이 가상 네트워크에서 프라이빗 엔드포인트를 사용하는 경우 프라이빗 DNS 영역은 프라이빗 IP에 대한 확인을 허용하기 위해 애플리케이션 게이트웨이 가상 네트워크에 연결된 상태로 유지되어야 합니다. 이 DNS 영역은 가능한 한 특정한 하위 도메인에 대한 것이어야 합니다.
  • 사용자 지정 DNS 서버가 다른 가상 네트워크에 있는 경우 Application Gateway의 가상 네트워크와 피어링되고 네트워크 보안 그룹 또는 경로 테이블 구성의 영향을 받지 않는지 확인합니다.

개인 IP 주소만 있는 게이트웨이(networkIsolationEnabled: True)

프라이빗 애플리케이션 게이트웨이 배포는 고객의 데이터 평면과 관리 평면 트래픽을 구분하도록 설계되었습니다. 따라서 기본 Azure DNS 또는 사용자 지정 DNS 서버가 있으면 중요한 관리 엔드포인트 이름 확인에 영향을 주지 않습니다. 그러나 사용자 지정 DNS 서버를 사용하는 경우 데이터 경로 작업에 필요한 이름 확인을 처리해야 합니다.

프라이빗 전용 게이트웨이에 대한 DNS 확인을 보여 주는 다이어그램

흐름:

  • "contoso.com"에 대한 DNS 쿼리는 고객 트래픽 평면을 통해 사용자 지정 DNS 서버에 도달합니다.
  • "contoso.privatelink.vaultcore.azure.net"에 대한 DNS 쿼리도 사용자 지정 DNS 서버에 도달합니다. 그러나 DNS 서버는 이 도메인 이름에 대한 신뢰할 수 있는 영역이 아니므로 쿼리를 Azure DNS 168.63.129.16으로 재귀적으로 전달합니다. 이러한 구성은 가상 네트워크에 연결된 프라이빗 DNS 영역을 통해 이름 확인을 허용하는 데 중요합니다.
  • 모든 관리 엔드포인트의 해결은 Azure에서 제공하는 DNS와 직접 상호 작용하는 관리 평면 트래픽을 통해 진행됩니다.

고려 사항:

  • 애플리케이션 게이트웨이 가상 네트워크와 연결된 DNS 서버를 변경한 후에는 애플리케이션 게이트웨이를 다시 시작(중지 및 시작)해야 이러한 변경 내용이 인스턴스에 적용됩니다.
  • 다른 모든 도메인 확인 쿼리를 Azure DNS 168.63.129.16으로 보내도록 전달 규칙을 설정해야 합니다. 이 구성은 프라이빗 엔드포인트 확인을 위한 프라이빗 DNS 영역이 있는 경우에 특히 중요합니다.
  • 프라이빗 엔드포인트를 사용하는 경우 프라이빗 IP에 대한 확인을 허용하려면 프라이빗 DNS 영역이 애플리케이션 게이트웨이 가상 네트워크에 연결된 상태로 유지되어야 합니다.
  • Last updated on