관리 인프라에는 Azure 리소스 및 리소스 그룹, 구독 및 계정이 포함됩니다. 계층 조직을 이해하면 Azure 내에서 프로젝트 및 제품을 계획하는 데 도움이 됩니다.

Azure 리소스 및 리소스 그룹

리소스는 Azure의 기본 구성 요소입니다. 사용자가 만들고, 프로비저닝하고, 배포하는 모든 것은 리소스입니다. VM(가상 머신), 가상 네트워크, 데이터베이스, 인식 서비스 등은 모두 Azure 내에서 리소스로 간주됩니다.

리소스 그룹은 단순히 리소스의 그룹입니다. 리소스를 만들면 리소스 그룹에 두어야 합니다. 리소스 그룹에는 많은 리소스가 포함될 수 있지만 개별 리소스는 한 번에 하나의 리소스 그룹에만 있을 수 있습니다. 일부 리소스는 리소스 그룹 간에 이동될 수 있지만 리소스를 새 그룹으로 이동하면 더 이상 이전 그룹과 연결되지 않습니다. 또한 리소스 그룹은 중첩할 수 없으며 이는 한 리소스 그룹을 다른 리소스 그룹에 넣을 수 없다는 의미입니다.

리소스 그룹은 리소스를 그룹으로 묶을 수 있는 편리한 방법을 제공합니다. 리소스 그룹에 작업을 적용하면 해당 작업이 리소스 그룹 내의 모든 리소스에 적용됩니다. 리소스 그룹을 삭제하면 모든 리소스가 삭제됩니다. 리소스 그룹의 액세스를 허용하거나 거부하면 해당 리소스 그룹에 속한 모든 리소스의 액세스를 허용하거나 거부합니다.

Azure 구독

Azure에서 구독은 관리, 청구 및 크기 조정의 단위입니다. 리소스 그룹이 리소스를 논리적으로 구성하는 방식과 마찬가지로 구독은 리소스 그룹을 논리적으로 구성하고 청구를 용이하게 할 수 있습니다.

Azure를 사용하려면 Azure 구독이 필요합니다. 구독은 Azure 제품 및 서비스에 대한 인증되고 권한이 부여된 액세스를 제공합니다. 리소스를 프로비전할 수도 있습니다. Azure 구독은 Azure AD(Azure Active Directory) 또는 Azure AD 트러스트의 디렉터리에 있는 ID인 Azure 계정과 연결됩니다.

계정 하나에 구독이 여럿일 수는 있지만 하나의 구독에만 필요합니다. 다중 구독 계정에서 구독을 사용하여 다른 청구 모델을 구성하고 다른 액세스 관리 정책을 적용할 수 있습니다. Azure 구독을 사용하여 Azure 제품, 서비스 및 리소스를 중심으로 경계를 정의할 수 있습니다. 두 가지 유형의 구독 경계를 사용할 수 있습니다.

• 청구 경계: 이 구독 유형은 Azure 사용에 따른 Azure 계정 청구 방식을 결정합니다. 다양한 유형의 청구 요구 사항에 따라 여러 개의 구독을 만들 수 있습니다. Azure는 비용을 구성하고 관리할 수 있도록 각 구독에 대해 별도의 청구 보고서 및 송장을 생성합니다.

• 액세스 제어 경계: Azure는 구독 수준에서 액세스 관리 정책을 적용하며, 다른 조직 구조를 반영하기 위해 별도의 구독을 만들 수 있습니다. 예를 들어 비즈니스 내에서 고유한 Azure 구독 정책을 적용할 수 있는 서로 다른 부서가 있습니다. 이 청구 모델을 통해 특정 구독으로 사용자가 프로비저닝하는 리소스에 대한 액세스를 제어할 수 있습니다.

추가 Azure 구독 만들기

리소스 또는 청구 관리 목적으로 추가 구독을 만들 수 있습니다. 예를 들어 다음과 같이 구별되는 추가 구독을 만들 수 있습니다.

• 환경: 개발 및 테스트, 보안을 위한 별도의 환경을 설정하거나 규정 준수 상의 이유로 데이터를 격리할 수 있습니다. 이 디자인은 리소스 액세스 제어가 구독 수준에서 발생하기 때문에 특히 유용합니다.
  -조직 구조: 여러 조직 구조를 반영하는 구독을 만들 수 있습니다. 예를 들어 팀은 저렴한 리소스로 제한하고, IT 부서에는 전체 범위를 허용할 수 있습니다. 이와 같은 설계 방식을 통해 각 구독 내에서 사용자가 프로비저닝하는 리소스에 대한 액세스를 제어할 수 있습니다.
• 청구: 청구를 위해 추가 구독을 만들 수 있습니다. 비용은 구독 수준에서 먼저 집계되므로 사용자의 요구에 따라 비용을 관리하고 추적하는 구독을 만들 수 있습니다. 예를 들어 프로덕션 워크로드용 구독과 개발 및 테스트 워크로드용 구독을 따로 만들 수 있습니다.

Azure 관리 그룹

마지막은 관리 그룹입니다. 리소스는 리소스 그룹으로 모이고 리소스 그룹은 구독으로 모입니다. Azure를 처음 시작하는 사용자에게는 항목들이 충분히 정돈되어 계층을 이루는 것처럼 보일 수도 있습니다. 하지만 다양한 애플리케이션, 개발 팀, 지리적 요인을 상정한다고 생각해 보세요.

구독이 많다면 해당 구독에 대한 액세스, 정책 및 규정 준수를 효율적으로 관리하는 방법이 필요할 수 있습니다. Azure 관리 그룹은 구독 상위 수준의 범위를 제공합니다. 구독을 관리 그룹이라고 하는 컨테이너에 구성하고 거버넌스 조건을 관리 그룹에 적용합니다. 관리 그룹 내의 모든 구독은 리소스 그룹이 구독에서 설정을 상속하는 방식, 리소스가 리소스 그룹에서 설정을 상속하는 방식과 동일한 방식으로 관리 그룹에 적용되는 건을 자동으로 상속합니다. 관리 그룹은 사용하는 구독 유형에 관계 없이 대규모의 엔터프라이즈급 관리를 제공합니다. 관리 그룹은 중첩할 수 있습니다.

관리 그룹, 구독 및 리소스 그룹 계층 구조

리소스를 통합 정책 및 액세스 관리를 위한 계층 구조로 구성하는 유연한 관리 그룹 및 구독 구조를 만들 수 있습니다. 다음 다이어그램에서는 관리 그룹을 사용하여 거버넌스 계층 구조를 만드는 예를 보여 줍니다.

• 정책을 적용하는 계층 구조를 만듭니다. 프로덕션이라는 그룹에서 VM 위치를 미국 서부 지역으로 제한할 수 있습니다. 이 정책은 해당 관리 그룹의 하위 항목인 모든 구독으로 상속되어 해당 구독의 모든 VM에 적용됩니다. 리소스 또는 구독 소유자는 이 보안 정책을 변경하여 거버넌스를 향상시킬 수 없습니다.

• 여러 구독에 대한 사용자 액세스를 제공합니다. 관리 그룹에서 여러 구독을 옮겨 관리 그룹에 하나의 Azure RBAC(Azure 역할 기반 액세스 제어) 할당을 만들 수 있습니다. 관리 그룹 수준에서 Azure RBAC를 할당한다는 것은 해당 관리 그룹 아래의 모든 하위 관리 그룹, 구독, 리소스 그룹, 리소스가 해당 사용 권한을 함께 상속한다는 것을 의미합니다. 관리 그룹에 하나만 할당하면 여러 구독에 Azure RBAC를 스크립팅하지 않고 사용자가 필요한 모든 항목에 액세스할 수 있습니다.

관리 그룹에 대한 중요한 사실

• 단일 디렉터리에서 지원할 수 있는 관리 그룹 수는 10,000개입니다.
• 관리 그룹 트리에서 지원할 수 있는 최대 깊이 수준은 6입니다. 이 제한은 루트 수준 또는 구독 수준을 포함하지 않습니다.
• 각 관리 그룹 및 구독은 하나의 부모만 지원할 수 있습니다.

연습 - 가상 머신 만들기

1. Azure Portal에 로그인합니다.

2. 리소스 만들기 > 컴퓨팅 > 가상 머신 > 만들기를 선택합니다.

3. 가상 머신 만들기 창이 기본 탭으로 열립니다.

4. 각 설정에 다음 값을 확인하거나 입력합니다. 설정이 지정되어 있지 않다면 기본 값으로 놔둡니다.

5. 검토 및 만들기를 선택합니다.

연습 - 생성된 리소스 확인

배포가 생성되면 Azure가 VM뿐만 아니라 VM에 필요한 모든 연결된 리소스를 만들 수 있는지 확인할 수 있습니다.

1. 홈 선택
2. 리소스 그룹 선택
3. 리소스 그룹 learn-5492cf89-db59-47e8-86e5-f21f871708a8을 선택