.gif&blockId=11b00c82-b138-8050-a58b-dcbceda2ef8f)
Azure 랜딩 존 개요
•
클라우드 인프라 환경으로 전환하는 과정에서 안정적이고 확장 가능한 기반을 마련하는 핵심 요소
•
클라우드 환경 내 애플리케이션과 서비스를 효율적이고 안전하게 운영할 수 있도록 마련한 기반이다.
•
주요 기능
◦
보안 및 규정 준수: 보안 정책과 컴플라이언스 요구사항을 내재화해 클라우드 리소스가 안전하게 운영되도록 한다.
◦
네트워크 설계: 가상 네트워크(VNet)와 네트워크 보안 그룹(NSG) 등을 통해 애플리케이션 간 안전한 통신 및 외부 연결을 관리한다.
◦
관리 및 거버넌스: 관리 그룹, 구독, 리소스 그룹을 활용해 중앙 집중식 관리와 정책 적용을 통해 일관된 환경을 유지한다.
◦
자동화 및 인프라 코드(IaC): ARM 템플릿, Terraform, Azure Blueprints 등으로 인프라를 코드화해 반복 가능하고 신뢰성 있는 배포를 실현한다.
랜딩 존 아키텍처
•
다양한 배포 요구 사항을 충족하기 위해 확장 가능하고 모듈식이다.
•
반복 가능한 인프라를 사용하면 모든 구독에 구성 및 컨트롤을 일관되게 적용할 수 있다.
•
모듈을 사용하면 요구 사항이 진화함에 따라 특정 Azure 랜딩 존 아키텍처 구성 요소를 쉽게 배포하고 수정할 수 있다.
Azure 랜딩 존 개념 아키텍처: 관리 그룹별로 구독(노란색 상자)을 구성한다. 이렇게 각 구독의 리소스와 적용된 정책 그룹을 리소스 조직이라 한다.
디자인 영역
•
상단의 개념 아키텍처는 8개의 디자인 영역 간의 관계를 보여준다.
•
이러한 디자인 영역은 Azure 청구 및 Microsoft Entra 테넌트, ID 및 액세스 관리, 관리 그룹 및 구독 조직, 네트워크 토폴로지 및 연결, 보안, 관리, 거버넌스 및 플랫폼 자동화 및 DevOps이다.
기술적 구성 요소
관리 그룹 및 구독 구조
•
관리 그룹: 여러 구독을 계층적으로 관리해 전사적인 정책과 보안 기준을 일괄 적용할 수 있다.
•
구독: 각 부서나 프로젝트에 맞춰 리소스를 분리 관리하며 비용을 추적하는 단위이다.
리소스 그룹 및 정책
•
리소스 그룹: 관련 리소스들을 논리적으로 묶어 관리해 배포, 모니터링, 접근 제어를 용이하게 한다.
•
Azure Policy: 정책 엔진을 통해 리소스 생성 및 변경 시 자동으로 규정 준수를 검증하고 강제한다.
네트워킹 및 보안
•
가상 네트워크(VNet): 애플리케이션과 서비스 간 내부 통신 경로를 제공하며 네트워크 세분화를 지원한다.
•
네트워크 보안 그룹(NSG): 인바운드 및 아웃바운드 트래픽을 제어해 네트워크 보안을 강화한다.
•
하이브리드 연결: 온프레미스와 클라우드를 연계하는 VPN Gateway 또는 ExpressRoute를 통해 안전한 연결을 보장한다.
아이덴티티 및 액세스 관리
•
Azure Active Directory (AAD): 사용자 인증 및 권한 관리를 담당하며 클라우드와 온프레미스 환경 간의 통합 인증 솔루션을 제공한다.
•
역할 기반 접근 제어 (RBAC): 최소 권한 원칙에 따라 사용자와 애플리케이션에 적절한 권한을 부여해 보안을 강화한다.
배포 및 자동화 전략
효과적인 Azure 랜딩 존 구현을 위해 인프라를 코드(IaC)로 관리해야 한다. 다음은 주요 도구들이다.
•
ARM 템플릿: JSON 기반의 선언적 템플릿으로 Azure 리소스를 정의해 반복 가능한 방식으로 배포한다.
•
Terraform: 클라우드 제공자에 독립적인 IaC 도구로 코드의 재사용성과 버전 관리를 용이하게 한다.
•
Azure Blueprints: 다양한 구성 요소와 정책을 하나의 패키지로 묶어 여러 환경에 일관된 배포를 지원한다.
예시
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"resourceGroupName": {
"type": "string",
"defaultValue": "myResourceGroup"
}
},
"resources": [
{
"type": "Microsoft.Resources/resourceGroups",
"apiVersion": "2021-04-01",
"name": "[parameters('resourceGroupName')]",
"location": "eastus"
}
]
}
JSON
복사
* 위 템플릿은 리소스 그룹을 생성하는 기본 예제이다.
* 실제 랜딩 존 구성에서는 네트워크, 보안, 아이덴티티 등 추가 요소가 포함된다.
플랫폼 랜딩 존 對 애플리케이션 랜딩 존
플랫폼 랜딩 존
애플리케이션 랜딩 존의 애플리케이션에 공유 서비스(ID, 연결, 관리)를 제공하는 구독
•
기본 인프라 구축: 조직 전체가 공통으로 사용하는 네트워크, 보안, 아이덴티티, 관리 및 거버넌스 기능을 제공한다.
•
중앙 집중식 관리: 모든 클라우드 리소스의 기본 인프라 역할을 수행하며, 일관된 보안 정책과 규정 준수를 보장한다.
•
공유 서비스 제공: 여러 애플리케이션이 공통으로 활용하는 로깅, 모니터링, 백업 등의 서비스를 포함한다.
애플리케이션 랜딩 존
애플리케이션을 호스팅하기 위한 구독
•
특정 애플리케이션 배포: 개별 애플리케이션이나 워크로드의 최적화된 환경을 구성한다.
•
맞춤형 구성: 애플리케이션의 특수 요구사항(성능, 확장성, 안정성 등)에 따라 리소스를 구성하며, 플랫폼 랜딩 존 위에 구축된다.
•
독립적 운영: 애플리케이션 개발팀이 관리하며, 애플리케이션 단위의 운영 및 변경 사항을 신속하게 반영할 수 있다.
주요 관리 방식
•
중앙 팀 접근 방식
◦
중앙 IT 팀이 완전히 랜딩 존을 운영
◦
팀이 플랫폼 및 애플리케이션 랜딩 존에 대한 컨트롤 및 플랫폼 도구를 적용
•
애플리케이션 팀 접근 방식
◦
플랫폼 관리 팀이 전체 애플리케이션 랜딩 존을 애플리케이션 팀에 위임
◦
애플리케이션 팀이 환경을 관리하고 지원
◦
관리 그룹 정책을 통해 플랫폼 팀이 계속 애플리케이션 랜딩 존을 제어하도록 한다.
◦
구독 범위에서 다른 정책을 추가하고 애플리케이션 랜딩 존을 배포, 보안 또는 모니터링하기 위한 대체 도구를 사용할 수 있다.
•
공유 팀 접근 방식
◦
중앙 IT 팀은 AKS 또는 AVS와 같은 기술 플랫폼을 사용하여 기본 서비스를 관리한다.
◦
애플리케이션 팀은 기술 플랫폼 위에서 실행되는 애플리케이션을 담당한다.
◦
이 모델에는 다른 컨트롤 또는 다른 액세스 권한을 사용해야 한다.
◦
이러한 컨트롤 및 액세스 권한은 애플리케이션 랜딩 존을 중앙에서 관리할 때 사용하는 컨트롤 및 권한과 다르다.
주요 차이점
구분 | 플랫폼 랜딩 존 | 애플리케이션 랜딩 존 |
목적 | 조직 전체의 공통 인프라 및 보안, 거버넌스 정책 구축 | 특정 애플리케이션이나 워크로드에 최적화된 배포 환경 제공 |
구성 요소 | 네트워크, 보안, 아이덴티티, 중앙 관리 및 모니터링 시스템 | 애플리케이션 서버, 데이터베이스, 캐시 등 애플리케이션 특화 구성 요소 |
관리 주체 | 클라우드 인프라팀이나 IT 부서가 중앙 집중식 관리 | 애플리케이션 개발팀이 애플리케이션 별 요구사항에 맞춰 독립적으로 관리 |
공유성 | 여러 애플리케이션이 공통으로 활용하는 인프라 | 특정 애플리케이션 전용으로 구성되며, 맞춤형 서비스 제공 |
활용 사례 및 적용 전략
플랫폼 랜딩 존 활용
•
보안 및 거버넌스 강화: 모든 리소스에 대해 일관된 보안 정책을 적용하고, 중앙에서 관리 및 모니터링 체계를 운영한다.
•
공통 인프라 제공: 여러 애플리케이션이 필요로 하는 네트워크, 아이덴티티 관리, 로깅, 모니터링 등의 공통 서비스를 통합하여 제공한다.
•
효율적 자원 관리: 관리 그룹, 구독, 리소스 그룹을 활용해 조직 전체의 인프라를 체계적으로 관리한다.
애플리케이션 랜딩 존 활용
•
맞춤형 배포 환경: 특정 애플리케이션의 요구사항에 따라 리소스를 최적화하여 배포하며, 성능 및 확장성을 보장한다.
•
독립적 운영 관리: 애플리케이션 개발팀이 운영하며, 필요한 경우 신속하게 리소스를 추가하거나 변경할 수 있다.
•
플랫폼 연계: 플랫폼 랜딩 존에서 제공하는 공통 서비스를 활용해 개발 및 운영의 효율성을 높인다.
