Azure의 핵심 아키텍처 구성 요소 설명

1. MS Azure란?

소개

• Microsoft Azure는 현재와 향후 비즈니스 과제를 해결하도록 돕는 클라우드 서비스
• 도구와 프레임워크를 사용하여 대규모 글로벌 네트워크에서 애플리케이션을 자유롭게 빌드, 관리 및 배포할 수 있음

어떤 기능을 제공하는가?

• 무한한 혁신
  • 아이디어를 생생하게 구현: 신뢰할 수 있는 플랫폼을 기반으로 업계 최고의 AI 및 클라우드 서비스를 통해 조직 발전
  • 완벽한 통합: 통합 플랫폼 전반에서 모든 인프라, 데이터, 분석, AI 솔루션을 효율적으로 관리
  • 신뢰를 바탕으로 혁신: 보안과 책임에 전념하는 파트너가 제공하는 신뢰할 수 있는 기술을 활용

Azure로 무엇을 할 수 있는가?

• 애플리케이션 실행

• 지능형 봇 및 합성현실과 같은 새 소프트웨어 패러다임 탐색

• 모든것을 수행할 수 있는 100여가지의 서비스를 제공

• 많은 팀에서는 Azure VM으로 기존 애플리케이션을 이동시켜 클라우드 탐색을 시작한다.

Azure Learn 모듈을 따로 기입하지 않았다.

2. Azure 물리적 인프라

물리적 인프라

• 물리적 인프라는 데이터 센터에서 시작
  • 데이터센터는 대기업 데이터 센터와 동일하게 전용 전원, 냉각 및 네트워킹 인프라를 갖춘 리소스가 있는 시설
• Azure는 전세계에 데이터 센터를 보유하고있으나 개별 데이터센터는 직접 액세스 불가능
• 데이터 센터는 중요 비즈니스용 워크로드에 대한 복원력과 안정성을 달성할 수 있도록 설계된 Azure 지역,Azure 가용성 영역으로 그룹화 됨.

영역(지역?)

• 가까운 곳에 있고 대기시간이 짧은 네티워크를 통해 연결된 데이터센터를 하나 이상 포함하고있는 지리적 영역을 의미
• Azure는 Azure 영역의 리소스를 지능적으로 할당하고 제어하여 워크로드의 적절한 균형을 유지

가용성 영역

• 가용성 영역은 Azure 지역 내에서 물리적으로 분산된 데이터 센터
• 독립된 전원, 냉각 및 네트워킹을 갖춘 하나 이상의 데이터 센터
• 한 영역이 다운되어도 다른 영역은 계속 동작
• 가용성 영역은 고속 프라이빗 광네트워크를 통해 연결
  

앱에서 가용성 영역 사용

• 장애 발생시 정보 보호를 위해 서비스와 데이터의 중복성을 보장하고자 할때 Azure는 가용영 영역을 통해 앱의 가용성을 높일 수 있다.
• 가용성 영역을 사용해 중요 업무용 어플리케이션을 실행할 수 있으며 한 가용성 영역 내에 컴퓨팅, 스토리지, 네트워킹 및 데이터 리소스를 공동 배치하고 다른 가용영 영역에 복제해 어플리케이션 아키텍처에 고 가용성 구현 가능
  • 서비스를 중복시키고 가용성 영역간에 데이터 전송은 비용이 발생할 수 있음
• 가용성 영역의 사용 범위
  • VM
  • 관리 디스크
  • 부하 분산 장치 및 SQL 데이터베이스
• 가용성 영역을 지원하는 Azure 서비스
  • 영역 서비스: 특정 영역(ex. VM, 관리 디스크, IP주소)에 리소스 고정
  • 영역 중복 서비스: 플랫폼이 영역에서 자동으로 복제(ex. 영역 중복 스토리지, SQL 데이터베이스)
  • 비지역 서비스: 서비스는 Azure 지역에서 항상 사용할 수 있으며 영역 전체 중단뿐만아니라 지역 전체 중단도 복원할 수 있다.
• 가용성 영역이 제공하는 추가 복원력에도 불구하고 이벤트가 너무 커 단일지역의 여러 가용성 영역에 영향을 줄 경우 더 많은 복원력을 제공하기위해 Azure는 지역쌍을 제공

지역쌍

• 대부분의 Azure 지역은 300마일 이상 떨어져있는 동일한 지리적 위치 내의 다른 Azure 지역과 쌍을 이룸
• 이 방법을 통해 한 지리적 위치에서 리소스를 복제할 수 있음
• 복제가 되면 전체 지역에 영향을 주는 자연재해, 내전 등에 대해 서비스가 중단될 가능성을 줄일 수 있음
  • 한쌍의 지역이 자연재해의 영향을 받은 경우 서비스는 해당 지역쌍의 다른 지역으로 자동으로 장애조치(failover) 된다.

    모든 Azure 서비스가 자동으로 데이터를 복제하거나 실패한 지역에서 자동으로 대체되어 활성화된 지역으로 교차 복제되는것은 아니고 고객이 구성해야 교차 복제가 됨.

• Azure 지역쌍의 예
  • 미국 동부와 미국 서부
  • 동남아시아와 동아시아

지역쌍의 추가이점

• Azure 운영 중단이 광범위하게 발생하는 경우 모든 쌍 중 한개의 영역이 우선시되어 해당 영역쌍에서 호스팅되는 애플리케이션에 대해 최소 한개의 영역이 최대한 빨리 복원되도록한다.
• 계획된 Azure 업데이트는 가동 중지 및 애플리케이션 중단 위험을 최소화 하기 위해 한번에 한 Azure 지역쌍으로 롤아웃 된다.
• 데이터는 세금 및 법률 집행 관할 구역에 사용될 수 있게 동일한 지리적위치 내에 쌍으로 상주한다.

소버린 지역

• Auzre의 주 인스턴스에서 격리된 Azure의 인스턴스
  • 규정 준수 또는 법적 목적을 위해 소버린 지역을 사용해야할 수 있음
• 소버린 지역에는 아래가 포함됨
  • US DoD 중부, US Gov 버지니아, US Gov아이오와 등.
    위 지역은 미국 정부 기관 및 파트너를 위한 물리적 및 논리적 네트워크로 격리된 Azure 인스턴스.
    선별된 미국인이 운영하며 추가 규정 준수 인증서를 포함하고 있음
  • 중국 동부, 중국 북부
    위 지역은 MS와 21Vianet 간의 고유한 파트너쉽을 통해 사용할 수 있으며, MS에서 데이터 센터를 직접 관리하지 않음

3. Azure 관리 인프라

Azure 리소스 및 리소스 그룹

• 리소스는 Azure의 기본 구성 요소
  • 사용자가 만들고 프로비저닝 하고 배포하는 모든것은 리소스
  • VM, 가상 네트워크, 데이터베이스, 인식서비스 등은 모드 Azure 내의 리소스.
• 리소스 그룹은 단순한 리소스의 그룹
• 리소스를 만들면 리소스 그룹에 두어야함
• 리소스 그룹에는 많은 리소스가 포함될 수 있지만 개별 리소느는 한번에 하나의 리소스 그룹에만 있을수 있다.
• 일부 리소스는 리로스 그룹간에 이동될 수 있지만 리소스를 새 그룹으로 이동하면 더이상 이전 그룹과 연결되지 않음
• 리소스 그룹은 중첩할수없다.
  • 한 리소스 그룹을 다른 리소스 그룹에 넣을 수 없다.

리소스 그룹의 이점

• 리소스 그룹에 작업을 적용하면 해당 작업이 리소스 그룹내의 모든 리소스에 적용됨
• 리소스 그룹을 삭제하면 모든 리소스가 삭제
• 리소스 그룹의 액세스를 허용하거나 거부하면 해당 리소스 그룹에 속한 모든 리소스의 액세스를 허용하거나 거부

Azure 구독

• 구독은 Azure 제품 및 서비스에 대해 인증되고 권한이 부여된 액세스를 제공
• 리소스를 프로비전 할 수도 있음.
• Azure 구독은 Microsoft Entra ID 또는 Microsoft Entra ID가 신뢰하는 디렉터이레있는 ID인 Azure 계정과 연결된다.

다중구독

• 다중 구독 계정에서 구독을 사용하여 다른 청구 모델을 구성하고 다른 액세스 관리 정책 적용 가능
• Auzre 구독을 사용하여 Azure 제품, 서비스 및 리소스를 중심으로 경계를 정의할 수 있음
• 두가지 유형의 구독 경계 사용 가능
  • 청구 경계: Azure 사용에 따른 Azure 계정 청구 방식 결정
    다양한 유형의 청구 요구사항에 따라 여러개의 구독을 만들 수 있음
    Azure는 비용을 구성하고 관리할 수 있도록 각구독에 대해 별도의 청구 보고서 및 송장을 생성
  • 액세스 제어 경계: Azure는 구독수준에서 액세스 관리 정책을 적용하며, 다른 조직 구조를 반영하기 위해 별도의 구독을 만들 수 있다.
    예를 들어 비즈니스 내에서 고유한 Azure 구독 정책을 적용할 수 있는 서로 다른 두 부서가 있다면 이 청구 모델을 통해 특정 구독으로 사용자가 프로비저닝 하는 리소스에 대한 액세스를 제어할 수 있다.

추가 Azure 구독 만들기

• 리소스 그룹을 사용하여 함수 또는 액세스 별로 리소스를 구분하는 것과 마찬가지로 리소스 또는 청구 관리 목적으로 추가 구독을 만들 수 있다.

• ex)

  • 환경: 개발 및 테스트, 보안을 위한 별도의 환경을 설정하거나 규정 준수 상의 이유로 데이터를 격리할 수 있다.
    이 디자인은 리소스 액세스 제어가 구독 수준에서 발생하기 때문에 유용
  • 조직구조: 여러 조직 구조를 반영하는 구독을 만들 수 있다.
    예를 들어 팀은 저렴안 리소스로 제한하고, IT 부서에는 전체 범위를 허용할 수 있다.
    이와 같은 설계 방식을 통해 각 구독 내에서 사용자가 프로비저닝 하는 리소스에 대한 액세스를 제어할 수 있다.
  • 청구: 청구를 위해 추가 구독을 만들 수 있다.
    비용은 구독 수준에서 먼저 집계됨으로 사용자의 요구에 따라 비용을 관리하고 추적하는 구독을 만들 수 있다.
    예를 들어 프로덕션 워크로드용 구독과 개발 및 테스트 워크로드용 구독을 따로 만들 수 있다.

  Azure 관리 그룹

• 구독이 많다면 해당 구독에는 액세스, 정책 및 규정 준수를 효율적으로 관리하는 방법이 필요할 수 있다.

• Azure 관리 그룹은 구독 상위 수준의 범위를 제공

• 구독을 관리 그룹이라고 하는 컨테이너에 구성하고 거버넌스 조건을 관리 그룹에 적용

• 관리 그룹 내의 모든 구독은 리소스 그룹이 구독에서 설정을 상속하는 방식, 리소스가 리소스 그룹 내에서 설정을 상속하는 방식과 동일한 방식으로 관리 그룹에 적용되는 조건을 자동으로 상속

• 관리 그룹은 사용하는 구독 유형에 관계 없이 대규모의 엔터프라이즈급 관리를 제공

• 관리그룹은 중첩할 수 있음.

관리그룹, 구독 및 리소스 그룹 계층 구조

• 리소스를 통합 정책 및 액세스 관리를 위한 계층 구조로 구성하는 유연한 관리 그룹 및 구독 구조를 만들 수 있다.

• 아래 다이어그랩은 관리 그룹을 사용하여 거버넌스 계층 구조를 만드는 예를 보여준다.
  

• 관리 그룹을 사용하는 예시

  • 정책을 적용하는 계층구조를 만든다: 프로덕션이라는 그룹에서 VM 위치를 미국 서부 지역으로 제한할 수 있다. 이 정책은 해당 관리 그룹의 하위항목인 모든 구독으로 상속 되어 해당 구독의 모든 VM에 적용된다.
    리소스 또는 구독 소유자는 이 보안정책을 변경하여 거버넌스를 향상시킬수 업삳.
  • 여러 구독에 대한 사용자 액세스를 제공한다.: 관리 그룹에서 여러 구독을 옮겨 관리그룹에 하나의 Azure RBAC(Azure 역할 기반 엑세스 제어) 할당을 만들 수 있다. 관리 그룹 수준에서 Azure RBAC를 할당한다는 것은 해당 관리 그룹 아래의 모든 하위 관리 그룹, 구독, 리소스 그룹, 리소스가 해당 사용 권한을 함꼐 상속한다는 것을 의미한다.
    관리 그룹에 하나만 할당하면 여러 그룹에 Azure RBAC를 스크립팅하지 않고 사용자가 필요한 모든 항목에 액세스할 수 있다.

• 관리 그룹에 대한 중요한 사실

  • 단일 디렉터리에서 지원할 수 있는 관리 그룹 수는 10,000개 입니다.
  • 관리 그룹 트리에서 지원할 수 있는 최대 깊이 수준은 6이다. 이 제한은 루트 수준 및 구독 수준을 포함하지 않는다.
  • 각 관리 그룹 및 구독은 하나의 부모만 지원할 수 있다.