Share via

Windows Azure Pack: 네트워크 토폴로지

  • 아티클

 

적용 대상: Windows Azure Pack

이 장에서는 SSL 인증서 저장소 구성, IP SSL 구성 및 공유 인증서 구성을 포함하여 추가적인 게시-프로비저닝 구성에 대한 정보를 제공합니다. 원본 제어 구성에 대한 자세한 내용은 Configure source control for Windows Azure Pack: Web Sites을 참조하십시오. 웹 사이트의 보안 모범 사례에 대한 자세한 내용은 Windows Azure Pack: Web Sites Security Enhancements을 참조하십시오.

IP SSL 구성

테넌트 웹 사이트에서 IP 기반 SSL 인증서를 사용할 수 있게 하려면 IP 기반 SSL 인증서를 사용하도록 프런트 엔드, 컨트롤러 및 선택적으로 하드웨어 부하 분산 장치를 구성해야 합니다.

참고

SNI(서버 이름 표시) SSL이 기본적으로 사용됩니다. 테넌트가 사용할 수 있게 하려면 관리자용 관리 포털에서 작성하는 계획에 포함합니다.

IP SSL을 구성하려면

  1. 사용하려는 IP 주소를 바인딩합니다.

    1. 각 프런트 엔드 서버에서 네트워크 관리 인터페이스를 엽니다.

    2. 인터넷 프로토콜 버전 6(TCP/IPv6), 속성을 차례로 클릭합니다.

    3. 고급을 클릭하여 고급 속성을 엽니다.

    4. 추가를 클릭하여 IP 주소를 추가합니다.

    5. 인터넷 프로토콜 버전 4(TCP/IPv4)에 대해 이러한 단계를 반복합니다.

      각 프런트 엔드 서버에 IP SSL을 사용하는 각 고객 또는 웹 사이트의 IP 주소가 있어야 합니다. 이 작업에는 많은 노력이 필요하므로 스크립트를 사용하여 IP 주소 바인딩을 자동화하는 것이 좋습니다.

  2. 그런 다음 IP SSL 트래픽에 대한 IP 주소를 사용하도록 웹 사이트 클라우드를 구성합니다.

    1. 관리자용 관리 포털에서 웹 사이트 클라우드를 클릭하고 구성하려는 클라우드를 두 번 클릭합니다.

    2. 역할을 클릭하고 프런트 엔드 서버를 선택합니다.

    3. IP SSL을 클릭합니다.

    4. 추가를 클릭하여 IP 주소 범위를 추가합니다.

    5. 시작 주소와 끝 주소를 입력하고 확인 표시를 클릭합니다.

      참고

      IP 주소 범위는 각 프런트 엔드 서버에서 고유해야 합니다.

    6. IPv4 및 IPv6 주소 둘 다에 대해 이러한 단계를 반복합니다.

    웹 팜에서 각 프런트 엔드 서버에 대해 이러한 단계를 반복합니다.

  3. 프런트 엔드 서버에 대한 트래픽 균등화를 위해 업스트림 하드웨어 부하 분산 장치를 사용 중인 경우 최종 단계에서 웹 사이트 클라우드가 부하 분산 장치와 통신하여 지정된 IP 주소의 부하 분산 장치 풀을 만들 수 있도록 등록 및 등록 해제 콜백 스크립트를 편집합니다.

    콜백 스크립트는 웹 팜의 웹 사이트 클라우드 컨트롤러에 있습니다(C:\Program Files\IIS\Microsoft Web Hosting Framework\Scripts\Provision\Win 경로).

    1. DNS-RegisterSSLBindings.ps1 스크립트를 편집합니다. 이 스크립트는 사용자가 IP SSL을 사용하는 웹 사이트를 만들거나 편집할 때마다 사용됩니다.

      1. $bindings 사용하여 부하 분산 장치 풀을 만듭니다. $hostname 추적을 위한 키로 사용할 수 있습니다.

      2. 부하 분산 장치 풀에 할당된 가상 IP 주소를 반환합니다($retval 사용).

    2. DNS-DeRegisterSSLBindings.ps1 스크립트를 편집합니다. 이 스크립트는 사용자가 해당 웹 사이트에서 IP SSL을 제거하거나 웹 사이트를 삭제 또는 서비스 해제할 때마다 사용됩니다.

      빈 값을 다시 전달합니다($retval 사용).

공유 인증서 구성

웹 사이트 서비스는 인증서를 사용하여 프런트 엔드 서버, 게시자 및 컨트롤러 간의 데이터를 암호화합니다.

기본적으로 Windows Azure Pack: 웹 사이트는 초기 작업이 일반 텍스트로 발생하지 않도록 자체 서명된 인증서를 제공합니다. 물론, 자체 서명된 인증서는 인증서 경고 메시지를 발생시키며 프로덕션 환경에서 사용하면 안 됩니다.

프로덕션 환경에서 웹 사이트 팜의 엔드포인트 보안을 설정하려면 다음 3개의 인증서가 필요합니다.

  • 프런트 엔드 - 프런트 엔드 인증서는 공유 SSL 및 원본 제어 작업에 사용되며 '모두 할당되지 않음'에 대한 바인딩이 있습니다. 프런트 엔드 인증서는 주체가 2개인 인증서여야 합니다.

  • 게시자 - 게시 인증서는 FTPS 및 웹 배포 트래픽의 보안을 설정합니다.

이러한 인증서는 CA(인증 기관)에서 받으며 관리자용 관리 포털을 통해 업로드합니다. 팜에 배포할 수 있도록 각 인증서에 대한 암호를 제공합니다.

기본 도메인 인증서

기본 도메인 인증서는 프런트 엔드 역할에 배치되며, 테넌트 웹 사이트에서 웹 사이트 팜에 대한 기본 도메인 요청이나 와일드카드에 사용됩니다. 기본 인증서는 원본 제어 작업에도 사용됩니다.

이 인증서는 .pfx 형식이어야 하며 주체가 2개인 와일드 카드 인증서여야 합니다. 그러면 원본 제어 작업에 대한 scm 엔드포인트와 기본 도메인을 하나의 인증서로 모두 처리할 수 있습니다.

  • *. <DomainName.com>

  • *.scm. <DomainName.com>

주체가 2개인 인증서를 SAN(주체 대체 이름) 인증서라고도 합니다. 주체가 2개인 인증서의 장점 중 하나는 구매자가 인증서를 2개가 아니라 하나만 구입하면 된다는 것입니다.

기본 도메인에 대한 인증서 지정

  1. 관리자용 관리 포털에서 웹 사이트 클라우드를 클릭하고 구성하려는 클라우드를 선택합니다.

  2. 구성을 클릭하여 웹 사이트 클라우드 구성 페이지를 엽니다.

  3. 웹 사이트 기본 인증서 필드에서 폴더 아이콘을 클릭합니다. 기본 웹 사이트 인증서 업로드 대화 상자가 나타납니다.

  4. 사용하려는 인증서를 찾아서 업로드합니다.

  5. 인증서의 암호를 입력하고 확인 표시를 클릭합니다. 인증서가 웹 팜의 모든 프런트 엔드 서버로 전파됩니다.

게시용 인증서

게시자 역할에 대한 인증서는 웹 사이트 소유자가 해당 웹 사이트에 콘텐츠를 업로드할 때 웹 배포 및 FTPS 트래픽의 보안을 설정합니다.

관리자용 관리 포털에서 웹 배포 및 FTP 배포 DNS 항목을 보거나 구성하는 경우 웹 사이트 클라우드에 대한 구성 페이지에 게시 설정이 포함됩니다.

게시용 인증서에는 웹 배포 DNS 항목과 일치하는 주체 1개와 FTPS 배포 DNS 항목과 일치하는 주체 1개가 포함되어야 합니다.

참고

기본 인증서에 와일드카드를 사용한 경우 게시자에 대해 기본 인증서를 사용할 수도 있습니다. 그러나 별도 인증서를 제공하는 것이 더 안전합니다.

게시용 인증서 지정

  1. 관리자용 관리 포털에서 웹 사이트 클라우드를 클릭하고 구성하려는 클라우드를 선택합니다.

  2. 구성을 클릭하여 웹 사이트 클라우드 구성 페이지를 엽니다.

  3. 게시자 인증서 필드에서 폴더 아이콘을 클릭합니다. 게시자 인증서 업로드 대화 상자가 나타납니다.

  4. 사용하려는 인증서를 찾아서 업로드합니다.

  5. 인증서의 암호를 입력하고 확인 표시를 클릭합니다. 인증서가 웹 팜의 모든 게시 서버로 전파됩니다.

웹 배포 게시를 HTTPS로 변경

설치하는 동안 웹 배포 DNS 게시 설정은 HTTP (포트 80)로 초기화입니다. 모범 사례로 이를 HTTPS (포트 443)로 변경해야 합니다. 이렇게 하려면 다음 단계를 수행합니다.

  1. 관리자용 관리 포털에서 웹 사이트 클라우드를 클릭하고 구성하려는 클라우드를 선택합니다.

  2. 구성을 클릭하여 웹 사이트 클라우드 구성 페이지를 엽니다.

  3. 게시 설정 섹션에서 :443을 웹 배포 DNS 항목에 추가합니다(예: publish.domainname:443).

  4. 포털 페이지의 맨 아래에 있는 명령 모음에서 저장을 클릭합니다.

인증서에 대한 모범 사례

  • 인증서 주체 일치가 정확해야 합니다. Windows Azure 팩: 웹 사이트는 불일치가 있을 경우 인증서 업로드를 허용하지 않습니다.

  • 가장 안전한 설치는 별도 인증서와 별도 도메인을 사용하는 것입니다. 이렇게 하면 피싱 시나리오 및 소셜 엔지니어링 공격을 방어할 수 있습니다.

  • 인증서 만료를 감시합니다. 정기적으로 인증서를 새로 고칩니다.

  • 신뢰할 수 없는 자체 서명된 인증서를 Windows Azure Pack 자체의 신뢰할 수 있는 인증서로 바꾸는 방법에 대한 자세한 내용은 Post-installation best practices 가이드의 Deploy Windows Azure Pack for Windows Server 를 참조하십시오.

PowerShell 명령 지원 사용

Windows Azure Pack 웹 사이트 시스템은 시스템을 관리하기 위해 다양한 PowerShell 명령이 제공됩니다. 이러한 명령을 통해 시스템 관리자는 포털에서 사용할 수 있는 모든 작업뿐만 아니라 사용할 수 없는 일부 다른 작업을 수행할 수 있습니다.

Windows Azure Pack 웹 사이트에 대해 PowerShell 명령을 액세스하려면 PowerShell 명령을 사용합니다.

import-module websitesdev

각 명령에 대한 도움말 정보가 있습니다. 명령 목록을 가져오려면 명령을 사용합니다.

get-commands –module websitesdev

특정 명령에 대한 내용은 명령을 사용합니다.

get-help <명령 이름>

ISAPI/클래식 모드 사용

Windows Azure Pack에서 ISAPI/클래식 모드를 사용할 수 있습니다. PowerShell 명령을 사용하는 웹 사이트입니다.

웹 사이트에 대해 클래식 모드를 설정하려면 다음 명령을 실행합니다. 사이트 이름을> 웹 사이트의 이름으로 바꿉< 있습니다.

Add-pssnapin webhostingsnapin

Set-Site -ClassicPipelineMode 1 -SiteName <사이트 이름>

클래식 모드가 설정되어 있는지 확인하려면 웹 사이트 구성의 덤프를 생성하는 다음 명령을 실행할 수 있습니다. 사이트 이름을> 웹 사이트의 이름으로 바꿉< 있습니다.

Get-websitessite –rawview –name <sitename>

참고 항목

Windows Azure Pack: 네트워크 토폴로지