Cloud/Azure

[Azure] Front door - Firewall - Application Gateway 구성 (1)

tpcable 2021. 8. 7. 17:34

http, https 로 AFD로 접속 한 뒤 방화벽을 통과해 AG로 넘어가는 구성
방화벽에서 App GW로 넘어갈 때 SNAT 되는데 앞단에 AFD를 구성해서 Client 정보를 남길수있음

1. Azure Front Door에서 기본적으로 제공되는 도메인이 있는데 (AFD이름.azurefd.net) CNAME DNS 레코드를 등록해서 사용자 지정도메인 설정이 가능하다.
이를위해서는 도메인 업체에 CNAME을 등록 / 도메인 공급자의 DNS를 Azure로 위임해서 Azure DNS Zone을 통해 관리 할수있다. 나는 Azure DNS Zone을 통해 구성 예정

도메인 위임 관련: https://docs.microsoft.com/ko-kr/azure/dns/dns-delegate-domain-azure-dns#delegate-the-domain

자습서: 도메인 및 하위 도메인 호스트 - Azure DNS

이 자습서에서는 DNS 영역을 호스팅하도록 Azure DNS를 구성하는 방법에 대해 알아봅니다.

docs.microsoft.com

2. AFD의 프론트 호스트 네임을 확인하고 Azure DNS Zone에 CNAME 레코드 등록

3. 사용자 지정 도메인을 AFD와 연결

- Front Door 디자이너 - 프런트엔드/도메인 상단에 +버튼 선택
- 이전에 DNS Zone 영역에 등록한 CNAME레코드를 사용자 지정 호스트이름에 입력한다.
- https 사용 선택
- 관리되는 인증서를 선택하면 인증서 관리가 필요없다.
- WAF 사용을 선택 해 미리 만들어둔 Policy와 도메인을 연결한다.


AFD 인증서 내용 https://docs.microsoft.com/ko-kr/azure/frontdoor/front-door-custom-domain-https#tlsssl-certificates

자습서 - Azure Front Door용 사용자 지정 도메인에 HTTPS 구성

이 자습서에서는 사용자 지정 도메인에 대한 Azure Front Door 구성에서 HTTPS를 활성화하거나 비활성화하는 방법을 알아봅니다.

docs.microsoft.com


4. AFD Backend를 추가한다 여기서는 Azure FW를 설정

5. 백 엔드 풀을 추가한다. 공용 IP 를 선택해서 Azure FW IP를 선택하거나 직접 입력할 수 있다.
백 엔드 호스트 헤더의 경우 프론트엔드에 지정했던 도메인을 선택하자 제대로 지정하지 않을 경우 도메인/path와 접속 시 방화벽 IP가 나오는 경우가 있음

6. 라우팅 규칙을 설정한다. 이때 2가지 규칙을 설정한다
- https로 접속 하는 경우 백엔드로 http 로 넘기는 설정, AFD를 통해 https 가 들어오면 Azure FW로 80으로 넘겨준다.
- 프런테 엔드/도메인은 변경해준다. 백엔드풀을 설정해준다

- http로 들어올 경우 https로 리다이렉션 하는 규칙

7. AFD 설정을 저장한다.

8. 도메인 확인 과정은 시간이 걸린다.


다음은 Azure FW DNAT 설정 및 APP GW 설정