적용 대상: 기본 v2 | 표준 v2 | 프리미엄 | 프리미엄 v2
이 문서에서는 API Management 작업 영역 의 개요와 분산된 API 개발 팀이 공통 서비스 인프라에서 API를 관리하고 제품화할 수 있도록 하는 방법을 설명합니다.
조직에서 API 관리를 페더레이션해야 하는 이유는 무엇인가요?
오늘날 조직은 API의 확산을 관리하는 데 점점 더 많은 어려움을 겪고 있습니다. API 및 API 개발 팀의 수가 증가함에 따라 관리의 복잡성도 증가합니다. 이러한 복잡성은 운영 오버헤드 증가, 보안 위험 및 민첩성 감소로 이어질 수 있습니다. 한편, 조직은 중앙 집중식 API 인프라를 설정하여 API 거버넌스, 보안 및 규정 준수를 보장하려고 합니다. 반면에 API 팀은 API 플랫폼을 관리하는 오버헤드 없이 비즈니스 요구 사항에 신속하게 혁신하고 응답하기를 원합니다.
API Management의 페더레이션 된 모델은 이러한 요구 사항을 해결합니다. 페더레이션 API 관리를 사용하면 API 플랫폼 팀에서 관리하는 중앙 집중식 거버넌스, 모니터링 및 API 검색을 유지하면서 적절한 제어 및 데이터 평면 격리를 사용하는 개발 팀의 분산된 API 관리를 허용합니다. 이 모델은 플랫폼 팀의 완전 중앙 집중식 API 관리 또는 각 개발 팀의 사일로 API 관리와 같은 대체 접근 방식의 한계를 극복합니다.
페더레이션 API 관리는 다음을 제공합니다.
- 중앙 집중식 API 거버넌스 및 준수성
- 효과적인 API 검색 및 온보딩을 위한 통합 개발자 포털
- API 팀 간의 분리된 관리 권한, 생산성 및 보안 향상
- API 팀 간에 분리된 API 런타임, 안정성, 복원력 및 보안 향상
작업 영역에서 페더레이션된 API 관리를 사용하도록 설정하는 방법
Azure API Management에서 작업 영역을 사용하여 페더레이션된 API 관리를 구현합니다 . 작업 영역은 API Management 서비스 내의 "폴더"와 같이 작동합니다.
- 각 작업 영역에는 API, 제품, 구독, 명명된 값 및 관련 리소스가 포함되어 있습니다. 작업 영역에서 지원되는 리소스 및 작업의 전체 목록은 API Management REST API 참조를 확인합니다.
- 작업 영역 내 리소스에 대한 팀의 액세스는 Microsoft Entra 계정에 할당할 수 있고 작업 영역으로 범위를 지정할 수 있는 기본 제공 또는 사용자 지정 역할을 토대로 한 Azure의 역할 기반 액세스 제어(RBAC)를 통해 관리됩니다.
- 각 작업 영역은 작업 영역에서 API의 백 엔드 서비스로 API 트래픽을 라우팅하기 위해 하나 이상의 게이트웨이와 연결됩니다. 서비스 계층 및 요구 사항에 따라 작업 영역은 서비스의 기본 관리 게이트웨이 또는 하나 이상의 작업 영역 게이트웨이를 사용할 수 있습니다.
- 플랫폼 팀은 작업 영역의 API와 제품에 대한 정책을 적용하여 조직 전체의 API 런타임을 관리할 수 있습니다. 기본 제공 Azure Policy 정의(
API Management policies should inherit parent scope policies using <base/>)를 사용하면 이러한 정책이 모든 작업 영역 리소스에 적용되는지 감사하거나 적용할 수 있습니다. - 플랫폼 팀은 개발자 포털을 통해 중앙 집중식 API 검색 환경을 구현할 수 있습니다.
- 각 작업 영역 팀은 게이트웨이 리소스 로그를 수집하고 분석하여 자체 작업 영역 API를 모니터링할 수 있으며, 플랫폼 팀은 API Management 서비스의 모든 작업 영역에서 로그에 대한 페더레이션 액세스를 통해 API 에코시스템 전반에 걸쳐 감독, 보안 및 규정 준수를 제공합니다.
Note
- 새로운! 이제 작업 영역 기능은 프리미엄 및 프리미엄 v2 계층 외에도 기본 v2 및 표준 v2 계층에서 사용할 수 있습니다. v2 계층의 작업 영역을 기본 API Management 관리 게이트웨이 또는 별도의 작업 영역 게이트웨이 리소스와 연결하여 작업 영역을 구성하고 크기를 조정하는 방법에 유연성을 제공할 수 있습니다.
- 가격 책정 고려 사항은 API Management 가격 책정을 참조하세요.
작업 영역은 API Management 서비스 및 다른 작업 영역과 독립적으로 관리되지만, 설계상 선택한 서비스 수준 리소스를 참조할 수 있습니다. 이 문서의 뒷부분에 있는 작업 영역 및 기타 API Management 기능을 참조하세요.
예제 시나리오 개요
Azure API Management 사용하여 API를 관리하는 조직에는 다양한 API 집합을 개발, 정의, 유지 관리 및 곱하는 여러 개발 팀이 있을 수 있습니다. 이러한 팀은 작업 영역을 사용하여 API Management를 사용하여 서비스 인프라 관리와 별도로 API를 관리, 액세스 및 보호할 수 있습니다.
다음 워크플로에서는 작업 영역을 만들고 사용하기 위한 샘플 프로세스를 보여 있습니다.
API Management 인스턴스를 관리하는 중앙 API 플랫폼 팀은 작업 영역을 만들고 RBAC 역할을 사용하여 작업 영역 공동 작업자에게 권한을 할당합니다. 예를 들어 작업 영역에서 리소스를 만들거나 읽을 수 있는 권한을 할당합니다. 팀은 API 게이트웨이를 만들거나 작업 영역과 연결하여 API 트래픽을 라우팅합니다.
중앙 API 플랫폼 팀은 DevOps 도구를 사용하여 해당 작업 영역에서 API용 DevOps 파이프라인을 만듭니다.
작업 영역 구성원은 작업 영역에서 API를 개발, 게시, 제품화 및 유지 관리합니다.
중앙 API 플랫폼 팀은 모니터링, 복원력, 모든 API 정책 적용 등 서비스 인프라를 관리합니다.
작업 영역 게이트웨이
각 작업 영역은 작업 영역 내에서 관리되는 API의 런타임을 사용하도록 하나 이상의 게이트웨이로 구성됩니다. 서비스 계층 및 요구 사항에 따라 서비스의 기본 관리 게이트웨이 및/또는 하나 이상의 작업 영역 게이트웨이 (별도의 게이트웨이 리소스)를 사용할 수 있습니다.
| 옵션 | 가용성 | Benefits | Considerations |
|---|---|---|---|
| 기본 관리되는 게이트웨이 | 현재 v2 등급에서 제공 | 게이트웨이 리소스에 대한 추가 비용은 없습니다. 계층을 사용할 수 있는 모든 지역의 가용성 작업 영역은 서비스 계층에서 지원되는 경우 다중 지역 배포, 사용자 지정 호스트 이름 또는 프라이빗 링크 연결과 같은 작업 영역 게이트웨이에서 사용할 수 없는 기본 제공 게이트웨이 기능을 활용할 수 있습니다. | 덜 격리; 모든 작업 영역이 게이트웨이의 용량 및 구성을 공유합니다. |
| 작업 영역 게이트웨이 | 기본 v2, 표준 v2, 프리미엄, 프리미엄 v2 | 강력한 런타임 격리; 작업 영역 게이트웨이당 독립적인 크기 조정, 호스트 이름 및 네트워크 구성 | 추가 비용; 더 긴 배포 시간; 더 적은 지역에서 지원 |
기본 관리되는 게이트웨이
v2 계층에서는 하나 이상의 개별 작업 영역 게이트웨이 리소스 외에도 서비스의 기본 관리 게이트웨이를 통해 API 트래픽을 라우팅하도록 작업 영역을 구성할 수 있습니다. 작업 영역에서 기본 관리되는 게이트웨이를 사용하는 경우:
- API 트래픽은 서비스의 기본 호스트 이름(예:
<service-name>.azure-api.net)을 통해 라우팅됩니다. - 작업 영역은 게이트웨이의 용량 및 구성을 다른 작업 영역 및 서비스 수준 API와 공유합니다.
Note
현재 v2 서비스 계층 및 API Management 작업 영역 - REST API 만들기 또는 업데이트 에서만 작업 영역을 기본 관리 게이트웨이와 연결할 수 있습니다.
작업 영역 게이트웨이
작업 영역 게이트웨이는 기본 관리되는 게이트웨이와 동일한 핵심 기능을 사용하는 독립 실행형 Azure 리소스(workspace 게이트웨이 프리미엄)입니다.
API Management 서비스와 서로로부터 독립적으로 워크스페이스 게이트웨이를 각각 관리합니다. 작업 영역 또는 사용 사례 간에 런타임을 격리할 수 있으므로 API 안정성, 복원력 및 보안이 향상됩니다. 또한 런타임 문제를 작업 영역에 귀속할 수 있게 합니다.
- 작업 영역 게이트웨이 비용에 대한 자세한 내용은 API Management 가격 책정을 참조하세요.
- API Management 게이트웨이에 대한 자세한 비교는 API Management 게이트웨이 개요를 참조하세요.
작업 영역을 작업 영역 게이트웨이에 연결하세요
조직의 요구 사항에 따라 하나의 작업 영역 또는 여러 작업 영역을 작업 영역 게이트웨이와 연결할 수 있습니다.
Note
여러 작업 영역을 작업 영역 게이트웨이와 연결하면 2025년 4월 15일 이후에 만든 작업 영역 게이트웨이에만 사용할 수 있습니다.
- 작업 영역 게이트웨이에는 가상 네트워크, 크기 조정 및 호스트 이름과 같은 특정 구성 설정과 CPU, 메모리 및 네트워킹 리소스를 비롯한 할당된 컴퓨팅 리소스가 있습니다.
- 게이트웨이에 배포된 모든 작업 영역은 구성 및 컴퓨팅 리소스를 공유합니다.
- API 또는 비정상적인 트래픽의 버그로 인해 이러한 리소스가 고갈되어 해당 게이트웨이의 모든 작업 영역에 영향을 줄 수 있습니다. 즉, 게이트웨이에 배포하는 작업 영역이 많을수록 한 작업 영역의 API에서 다른 작업 영역의 API로 인한 안정성 문제가 발생할 위험이 높아질 수 있습니다.
- CPU 및 메모리 사용률에 대한 기본 제공 메트릭을 사용하여 작업 영역 게이트웨이의 성능을 모니터링합니다.
작업 영역에 대한 배포 모델을 선택할 때 안정성, 보안 및 비용을 고려합니다.
- 중요 업무용 워크로드를 위해 고유한 전용 작업 영역 게이트웨이에 작업 영역 할당 - API 안정성 및 보안을 최대화하려면 각 중요 업무용 작업 영역을 자체 게이트웨이에 할당하여 다른 작업 영역과의 공유 사용을 방지합니다.
- 안정성, 보안 및 비용의 균형 - 여러 작업 영역을 작업 영역 게이트웨이(또는 해당하는 경우 기본 관리 게이트웨이)와 연결하여 중요하지 않은 워크로드에 대한 안정성, 보안 및 비용의 균형을 조정합니다. 리소스 소모 또는 구성 오류와 같은 문제가 조직 내의 모든 API에 영향을 주지 않도록 두 개 이상의 게이트웨이에 작업 영역을 배포합니다.
- 다른 사용 사례에 고유한 게이트웨이 사용 - 사용 사례 또는 네트워크 요구 사항에 따라 작업 영역 게이트웨이에서 작업 영역을 그룹화합니다. 예를 들어 각각 자체 네트워크 구성을 사용하여 별도의 게이트웨이에 할당하여 내부 API와 외부 API를 구분할 수 있습니다.
- 문제가 있는 작업 영역을 격리하기 위한 준비 - 공유 작업 영역 게이트웨이 앞에서 Azure Application Gateway 또는 Azure Front Door 같은 프록시를 사용하여 리소스 소모를 유발하는 작업 영역을 다른 게이트웨이로 이동하는 작업을 간소화합니다. 이 방법은 게이트웨이를 공유하는 다른 작업 영역에 미치는 영향을 방지합니다.
Note
- 작업 영역 게이트웨이는 API Management 인스턴스의 기본 Azure 지역과 동일한 지역 및 동일한 구독에 있어야 합니다.
- 작업 영역 게이트웨이와 연결된 모든 작업 영역은 동일한 API Management 인스턴스에 있어야 합니다.
- 최대 30개의 작업 영역을 작업 영역 게이트웨이와 연결할 수 있습니다. 이 제한을 늘리려면 지원에 문의하세요.
작업 영역 게이트웨이 호스트 이름
각 작업 영역 게이트웨이는 연결된 작업 영역에서 관리되는 API에 대한 고유한 호스트 이름을 제공합니다. 기본 호스트 이름은 패턴 <gateway-name>-<hash>.gateway.<region>.azure-api.net을 따릅니다. 게이트웨이 호스트 이름을 사용하여 API 요청을 작업 영역의 API로 라우팅합니다.
현재 작업 영역 게이트웨이는 사용자 지정 호스트 이름을 지원하지 않습니다. 작업 영역 게이트웨이 앞에 사용자 지정 호스트 이름을 사용하여 Azure Application Gateway 또는 Azure Front Door를 구성할 수 있습니다.
작업 영역 게이트웨이에 대한 네트워크 격리
필요에 따라 프라이빗 가상 네트워크에서 작업 영역 게이트웨이 리소스를 구성하여 인바운드 및 아웃바운드 트래픽을 격리할 수 있습니다. 이 격리를 구성하는 경우 작업 영역 게이트웨이는 가상 네트워크의 전용 서브넷을 사용해야 합니다.
자세한 요구 사항은 작업 영역 게이트웨이에 대한 네트워크 리소스 요구 사항을 참조하세요.
Note
- 작업 영역 게이트웨이의 네트워크 구성은 API Management 인스턴스의 네트워크 구성과 독립적입니다.
- 현재 작업 영역 게이트웨이는 게이트웨이가 만들어질 때만 가상 네트워크에서 구성할 수 있습니다. 나중에 게이트웨이의 네트워크 구성이나 설정을 변경할 수 없습니다.
작업 영역 게이트웨이의 용량 크기 조정
특정 서비스 계층에서 API Management 인스턴스에 추가할 수 있는 단위와 유사한 스케일 단위를 추가하거나 제거하여 워크스페이스 게이트웨이의 용량을 관리합니다. 작업 영역 게이트웨이 비용은 선택한 장치 수에 따라 결정됩니다.
작업 영역 게이트웨이의 지역별 가용성
작업 영역 게이트웨이를 사용할 수 있는 지역의 현재 목록은 v2 계층 및 작업 영역 게이트웨이의 가용성을 참조 하세요.
작업 영역 및 작업 영역 게이트웨이 제약 조건
작업 영역 제약 조건
- 작업 영역은 자체 호스팅 게이트웨이와 연결될 수 없음
- 작업 영역의 API는 Defender for API에서 다루지 않음
- 작업 영역은 자격 증명 관리자를 지원하지 않습니다.
- 작업 영역은 내부 캐시만 지원합니다. 외부 캐시는 지원되지 않습니다.
- 작업 영역에서 가상 GraphQL API를 지원하지 않음
- 작업 영역은 Azure 포털에서 Azure OpenAI Service, App Service, Function Apps 등과 같은 Azure 리소스에서 직접 API를 만드는 것을 지원하지 않습니다.
- 작업 영역은 MCP 서버를 지원하지 않습니다.
- Azure Monitor에서 작업 영역별로 요청 메트릭을 분할할 수 없으며, 모든 작업 영역 메트릭은 서비스 수준에서 집계됨
- 작업 영역에서 CA 인증서를 지원하지 않음
- 작업 영역은 Azure Key Vault 비밀 저장 및
authentication-managed-identity정책 사용과 같은 관련 기능을 포함하여 관리 ID를 지원하지 않습니다.
작업 영역 게이트웨이 제약 조건
다음 제약 조건은 관리되는 작업 영역 게이트웨이 리소스에 적용됩니다. 서비스의 기본 관리 게이트웨이에서 작업 영역을 사용할 때는 적용되지 않습니다.
- 작업 영역 게이트웨이는 인바운드 프라이빗 엔드포인트를 지원하지 않음
- 작업 영역 게이트웨이는 사용자 지정 호스트 이름을 지원하지 않습니다.
- 작업 영역은 API Management 리소스와 동일한 지역 및 구독에 있는 작업 영역 게이트웨이와만 연결할 수 있습니다.
작업 영역 게이트웨이에서의 전역 정책 상속
작업 영역 게이트웨이는 서비스 수준 전역 정책(global.policy.xml)을 포함하여 전체 정책 체인을 실행합니다. 이 동작은 전역 범위에 정의된 모든 정책이 기본 게이트웨이와 마찬가지로 작업 영역 게이트웨이에서 처리되는 API 호출에 대해 평가 및 실행됨을 의미합니다. 이 동작은 전역(서비스) 작업 영역 > 제품 > API 작업 범위에서 계층적으로 정책을 적용하는 API > Management 정책 평가 모델과 설계되고 일치>.
작업 영역 게이트웨이를 사용하는 전역 정책에 대한 권장 사항
전역 정책을 검토하여 작업 영역 게이트웨이를 비롯한 모든 게이트웨이에 적용하려는 정책만 포함하는지 확인합니다.
게이트웨이당 다른 동작이 필요한 경우 요청을 처리하는 게이트웨이에 따라 정책을 조건부로
context.Deployment.Gateway.Id실행하려면 선택 정책을 사용합니다.전역 범위에서 인증 관리 ID 를 정의하지만 작업 영역 범위 API에서 토큰을 사용할 수 없는 경우 전역 정책이 아닌 더 좁은 범위(예: 제품 또는 API 수준)로 정책을 이동합니다.
작업 영역에 대한 RBAC 역할
Azure RBAC는 작업 영역에서 엔터티를 읽고 편집할 수 있는 작업 영역 협력자의 사용 권한을 구성하는 데 사용됩니다. 역할 목록에 대해서는 API Management에서 역할 기반 액세스 제어를 사용하는 방법을 참조하세요.
작업 영역에서 API 및 기타 리소스를 관리하려면 API Management 서비스 및 작업 영역으로 범위가 지정된 작업 영역 멤버(또는 사용자 지정 역할을 통한 동등한 권한)에 역할을 할당합니다. 서비스 범위 역할을 사용하면 작업 영역 수준 리소스에서 특정 서비스 수준 리소스를 참조할 수 있습니다. 예를 들어 사용자를 작업 영역 수준 그룹으로 구성하여 API와 제품 가시성을 제어합니다.
작업 영역에서 전용 작업 영역 게이트웨이를 사용하는 경우 게이트웨이를 관리하는 멤버도 작업 영역 게이트웨이 리소스로 범위가 지정된 역할을 할당해야 합니다.
Note
보다 쉽게 관리하려면 여러 사용자에게 작업 영역 권한을 할당하도록 Microsoft Entra 그룹을 설정합니다.
작업 영역 및 기타 API Management 기능
작업 영역은 관리 액세스 및 API 런타임의 분리를 최대화하기 위해 자체 포함됩니다. 생산성을 높이고 플랫폼 전체의 거버넌스, 관찰 가능성, 재사용 가능성 및 API 검색을 사용하도록 설정하기 위해 몇 가지 예외가 있습니다.
리소스 참조 - 작업 영역의 리소스는 작업 영역의 다른 리소스와 서비스 수준에서 선택한 리소스(예: 사용자, 권한 부여 서버 또는 기본 제공 사용자 그룹)를 참조할 수 있습니다. 다른 작업 영역의 리소스를 참조할 수 없습니다.
보안상의 이유로 작업 영역 수준 정책(예: 명명된 값) 또는 리소스 이름(예:
backend-idset-backend-service 정책)에서 서비스 수준 리소스를 참조할 수 없습니다.Important
API Management 서비스의 모든 리소스(예: API, 제품, 태그 또는 구독)는 다른 작업 영역에 있더라도 고유한 이름이 있어야 합니다. 동일한 유형의 리소스와 동일한 작업 영역, 다른 작업 영역 또는 서비스 수준에서 동일한 Azure 리소스 이름을 가진 리소스를 가질 수 없습니다.
개발자 포털 - 작업 영역은 관리 개념이며, 그렇기 때문에 개발자 포털 UI 및 기본 API 등을 통해 개발자 포털 소비자에게 표시되지 않습니다. 서비스 수준의 API 및 제품과 마찬가지로 작업 영역 내의 API 및 제품을 개발자 포털에 게시할 수 있습니다.
Note
API Management에서는 서비스 수준에서 정의된 권한 부여 서버를 작업 영역 내의 API에 할당하는 것을 지원합니다.
미리 보기 작업 영역에서 마이그레이션
Azure API Management에서 미리 보기 작업 영역을 만들고 계속해서 사용하려면 각 작업 영역에 작업 영역 게이트웨이를 연결하여 작업 영역을 일반 공급한 버전으로 마이그레이션합니다.
자세한 내용과 미리 보기 작업 영역에 영향을 줄 수 있는 기타 변경 내용에 대해 알아보려면 작업 영역 호환성이 손상되는 변경(2025년 3월)을 참조하세요.
작업 영역 삭제
Azure 포털 인터페이스를 사용하여 작업 영역을 삭제하는 경우 모든 자식 리소스(API, 제품 등)와 전용 작업 영역 게이트웨이(연결된 경우)도 삭제합니다. API Management 인스턴스나 다른 작업 영역은 삭제되지 않습니다.