[Azure 자격증 - AZ-900] 핵심 Azure 서비스 - Part 1

지역 (Region)

• Azure는 전 세계에 위치한 데이터 센터로 구성됨.
• 지역이란 지도상의 하나의 지리적 영역으로 적어도 한 개 이상의 데이터 센터를 포함하고 있음. (여러 개 포함 가능)
• 지역 안에 데이터 센터는 서로 근접한 위치에 있어 네트워크 대기 시간이 짧음.
• Azure는 60개의 지역과 140개의 국가에서 사용 가능함. 

Azure Regions Map

• 지역은 애플리케이션을 사용자에게 더 가깝게 제공하는 데 필요한 유연성과 확장성을 제공.
• 지역은 데이터 상주를 보존하고, 고객에게 포괄적인 규정 준수 및 복원 옵션을 제공.
• Azure의 특수 지역
  • Azure Government - 미국 정부 기관 및 파트너를 위해 물리적, 논리적 네트워크로 격리된 Azure 인스턴스. 데이터 센터는 선별된 미국인이 운영하고, 추가적인 규정 준수 인증서를 포함.
  • 중국 - Microsoft와 21Vianet 간의 고유한 파트너십을 통해 이용 가능. 데이터 센터를 Microsoft가 직접 관리하지 않음.

 

지역 쌍 (Region Pairs)

• 지역 쌍을 만드는 이유는 대형 재난으로 인해 데이터센터에 큰 영향을 미쳐 데이터센터가 중단하게 될 수 있기 때문.
• 각 Azure의 지역은 300 마일 이상 떨어진 동일한 지역 내의 다른 지역과 쌍을 이루어 지역 쌍을 만듦. (브라질 남부는 예외)

• 지역 쌍은 보통 같은 지리에 속함. (브라질 예외)

지역 쌍 (Region Pairs)

• 물리적 격리 (Physical isolation) - 지역 쌍의 데이터 센터들은 적어도 300마일의 거리가 떨어져 있는 것을 선호. 물리적 데이터 센터 분리는 자연재해, 내분, 정전, 물리적 네트워크 중단이 두 지역에 동시에 영향을 미칠 가능성 감소시킴.
• 플랫폼 상 제공되는 복제 (Platform-provided replication) - 지리적 중복 저장소와 같은 일부 서비스는 지역 쌍에 자동 복제를 제공.
• 지역 복구 순서 (Region recovery order) - 광범위한 중단이 발생한 경우 모든 쌍에서 한 지역의 복구가 우선적으로 처리됨. 쌍을 이루는 지역에 배포된 응용 프로그램은 지역 중 하나가 우선적으로 복구되도록 보장.
• 순차적 업데이트 (Sequential updates) - Azure의 계획된 시스템 업데이트는 드물게 잘못된 업데이트에서 가동 중지 시간, 버그의 영향, 논리적 오류를 최소화하기 위해 쌍을 이룬 지역에 순차적으로 롤 아웃됨. 즉, 동시에 업데이트가 적용되지 않음.

 

지리 (Geography)

• Azure는 전 세계를 지정학적 경계 또는 국가 경계로 정의되는 지리적 위치로 분할.
• Azure 지리는 데이터 상주 및 규정 준수 경계를 보존하는 두 개 이상의 지역을 포함하는 개별 시장을 의미.
• 특정 데이터 상주 및 규정 준수 요구 사항이 있는 고객이 데이터와 응용 프로그램을 가깝게 유지할 수 있음.
• 지리적 경계 내에서 데이터 상주성, 주권, 규정 준수 및 복원력 요구 사항이 지켜지도록 보장.
• 전용 대용량 네트워킹 인프라 전체에 걸쳐 발생하는 Azure 지역 전체 장애를 견디는 내결함성을 갖고 있음.
• 미주, 유럽, 아시아 태평양, 중동 및 아프리카로 분류됨.

 

가용성 옵션 (Availability Options)

• 프리미엄 스토리지를 사용하는 하나의 가상머신은 99.9% SLA 보장.
• 가용성 집합에 가상 머신을 추가하면, 99.95% SLA 보장되며, 데이터 센터 내 장애 보호 가능.
• 가용성 영역에 가상 머신을 추가하면 99.99% SLA 보장되며, 전체 데이터 센터 내 장애 보호 가능.

 

가용성 집합 (Availability Sets)

• 가용성 집합은 유지 관리 및 하드웨어 오류 발생 시에도 응용 프로그램을 온라인 상태로 유지하는 방법.
• 가용성 집합은 업데이트 도메인 (UD - Update domains)과 장애 도메인 (FD - Fault domains)으로 구성됨.
  • 업데이트 도메인 (UD - Update domains) - 데이터 센터의 논리적 섹션이며, 소프트웨어와 로직으로 구현됨. 예약된 유지 관리, 성능 또는 보안 업데이트는 업데이트 도메인을 통해 순서가 정해짐.
  • 장애 도메인 (FD - Fault domains) - 데이터 센터 내에서 여러 하드웨어에서 워크로드를 물리적으로 분리하여 제공됨. 서버 랙에 위치한 물리적 서버를 지원하는 전력, 냉각 및 네트워크 하드웨어가 포함되며, 서버 랙을 지원하는 하드웨어를 사용할 수 없게 되면, 운영 중단의 영향을 받음

업데이트 도메인(UD - Update domains)과 장애 도메인(FD - Fault domains)

가용성 영역 (Availability Zones)

가용성 영역 (Availability Zones)

• Azure 지역 내에서의 물리적으로 분리된 영역.
• 가용성 집합보다 한 단계 확장된 개념.
• 각각의 가용성 영역은 독립된 전력, 쿨링, 네트워크를 가진 하나 또는 그 이상의 데이터 센터로 구성됨.
• 만약 하나의 가용성 영역이 중단되면, 다른 가용성 영역은 계속해서 작동됨.
• 가용성 영역은 일반적으로 매우 빠른 사설 광섬유 네트워크를 통해 서로 연결됨.
• 가용성 영역은 고가용성과 짧은 복제 지연 시간을 통해 미션 크리티컬 응용 프로그램을 실행할 수 있게 함.
• 가용성 영역은 Azure 내에서 서비스로 제공되고, 탄력성을 보장하기 위해 사용 가능한 지역에 최소 3개의 별도 구역이 있음.
• 가용성 영역이 지원되는 지역은 미국 중부, 북유럽, 동남아시아 등이 있음.

 

리소스 그룹 (resource groups)

• 동일한 라이프 사이클을 가지는 여러 가지 리소스에 대한 논리적 그룹.
• 리소스 그룹을 하나의 관리 가능한 단위로 응용프로그램에 필요한 모든 리소스를 집계하고 관리할 수 있는 컨테이너로 생각 가능.
• 구성요소를 개별적으로 관리하는 대신 응용 프로그램의 라이프사이클 전체에 걸쳐 일괄적으로 관리 가능.
• 모든 Azure 리소스는 하나의 리소스 그룹에만 존재.
• RBAC을 통해 리소스 그룹 권한 관리 지원.
• 고려사항
  • 각 리소스는 하나의 리소스 그룹에만 있어야 함.
  • 리소스 그룹에는 다른 지역에 있는 리소스가 포함될 수 있음.
  • 조직에 가장 적합한 방법을 기준으로 리소스 그룹에 리소스를 할당하는 방법을 결정.
  • 언제든지 리소스 그룹에 리소스 추가, 제거 가능.
  • 리소스 그룹에서 다른 리소스 그룹으로 리소스 이동 가능.
  • 응용 프로그램의 리소스는 동일한 리소스 그룹에 있을 필요가 없으나, 쉽게 관리할 수 있도록 동일한 리소스 그룹에 보관하는 것이 좋음.

 

Azure 구독(Azure Subscription)

• Azure를 사용하려면 Azure 구독이 필요.
• 구독은 Azure 제품 및 서비스에 대한 인증, 권한이 부여된 액세스를 제공, 리소스 프로비전 가능
• Azure AD(Azure Active Directory) 또는 Azure AD 트러스트의 디렉터리에 있는 ID인 Azure 계정과 연결된 Azure 서비스의 논리적 단위.
• 하나의 계정에 하나 또는 여러 개의 구독을 가질 수 있음.
• 구독을 이용하여 Azure 제품, 서비스 및 리소스 경계를 정의 가능하며, 두 가지 유형의 구독 경계를 사용 가능.
  • 청구 경계 - Azure 계정 청구 방식을 결정. 다양한 유형의 청구 요구 사항에 따라 여러 개의 구독 생성 가능. 비용을 구성, 관리할 수 있도록 각 구독에 대해 별도의 청구 보고서 및 송장을 생성.
  • 액세스 제어 경계 - 구독 수준에서 액세스 관리 정책을 적용 가능하고, 다른 조직 구조를 반영하기 위해 별도의 구독을 만들 수 있음.  특정 구독으로 사용자가 프로비저닝 하는 리소스에 대한 액세스를 제어 가능

 

관리 그룹 (Management Group)

관리 그룹 및 구독의 계층 구조

• Azure 관리 그룹은 구독 이상의 범위 수준을 제공.
• 구독을 관리 그룹이라고 하는 컨테이너에 구성하고 거버넌스 조건을 관리 그룹에 적용.
• 관리 그룹에 속하는 모든 구독은 관리 그룹에 적용되는 조건을 자동으로 상속.
• 어떤 형식의 구독을 사용하든 관계 없이 대규모의 엔터프라이즈급 관리 제공.
• 단일 관리 그룹 내의 모든 구독은 동일한 Azure AD 테넌트를 신뢰해야 함.
  • 예시 - VM 생성에 사용할 수 있는 지역을 제한하는 정책을 관리 그룹에 적용 가능. 이 정책은 해당 지역에만 VM을 만들 수 있도록 허용하는 방식으로 그 지역에 속한 모든 관리 그룹, 구독 및 리소스에 적용됨
• 리소스를 통합 정책 및 액세스 관리를 위한 관리 그룹 및 구독 구조를 계층 구조로 구성 가능.
  • 예시 1. 정책을 적용하는 계층 구조
    • 프로덕션이라는 그룹에서 VM 위치를 한국 중부 지역으로 제한 가능.
    • 이 정책은 해당 관리 그룹의 하위 항목인 모든 기업 계약 구독에 상속되고 해당 구독에 속한 모든 VM에 적용됨.
    • 리소스 또는 구독 소유자는 이 보안 정책을 변경하여 거버넌스를 향상시킬 수 없음.
  • 예시 2. 여러 구독에 대한 사용자 액세스를 제공
    • 관리 그룹에 하나의 RBAC(역할 기반 액세스 제어) 할당을 만들면, 관리그룹 내 모든 구독에 대한 액세스를 상속되므로, 여러 구독을 관리 그룹에 옮김으로써 액세스 관리 가능.
    • 즉, 관리 그룹에 하나만 할당하면 여러 구독에 RBAC를 스크립팅하지 않고 사용자가 필요한 모든 항목에 액세스 가능.

• 단일 디렉터리에서 지원할 수 있는 관리 그룹 수는 10,000.
• 관리 그룹 트리에서 지원할 수 있는 최대 깊이 수준은 6.
• 각 관리 그룹 및 구독은 하나의 부모만 지원.
• 각 관리 그룹에는 여러 자식 요소가 있음.
• 모든 구독 및 관리 그룹은 각 디렉터리의 단일 계층 내에 위치.

 

Azure 리소스 매니저(Azure Resource Manager)

• 리소스 그룹과 해당 그룹 내의 모든 리소스를 생성, 구성, 관리 및 삭제하는 관리 계층 제공.
• Azure PowerShell, Azure CLI, Azure 포털, REST API 및 클라이언트 SDK와 같은 다양한 자동화 및 스크립팅 도구를 사용하여 리소스의 배포 및 구성을 자동화할 수 있는 일관된 관리 계층을 제공.
• 응용 프로그램 리소스 배포 (Deploy Application resources) - 모든 리소스를 업데이트, 관리 및 삭제.
• 리소스 구성 (Organize resources)  - 스크립트가 아닌 선언적 템플릿을 통해 인프라를 관리. 종속성에 의해 연결된 리소스를 볼 수 있으며 리소스에 태그를 적용하여 청구와 같은 관리 작업에 대해 분류 가능.
• 액세스 및 리소스 제어 (Control access and resources) -  조직에서 리소스에 대한 작업을 수행할 수 있는 사용자 제어 가능. 역할을 정의하고, 역할에 사용자 또는 그룹을 추가하고, 리소스 그룹 수준에서 정책을 적용하여 사용 권한을 관리.
  제어할 수 있는 요소의 예 - 리소스 이름 지정 규칙 적용, 배포할 수 있는 리소스 유형 및 인스턴스 제한, 리소스 유형을 호스팅 할 수 있는 영역 제한 등

---

이전 글

[Azure 자격증 - AZ-900] 클라우드의 개념 - 복습 문제

 

다음 글

[Azure 자격증 - AZ-900] 핵심 Azure 서비스 - Part 2