[AZ-900] Microsoft Azure 기본 사항: Azure 아키텍처 및 서비스 설명 (1)

Azure의 핵심 아키텍처 구성 요소 설명

💡 Azure의 핵심 아키텍처 구성 요소를 소개 Azure의 물리적 조직인 데이터 센터, 가용성 영역 및 지역에 대해 알아보고, Azure의 조직 구조(리소스 및 리소스 그룹, 구독 및 관리 그룹에 대해 알아봄)

Microsoft Azure란 무엇인가?

---

• Azure는 현재와 향후 비즈니스 과제를 해결하도록 돕는 지속적으로 확장 중인 일련의 클라우드 서비스
• Azure를 통해 좋아하는 도구와 프레임워크를 사용하여 대규모 글로벌 네트워크에서 애플리케이션을 자유롭게 빌드, 관리 및 배포할 수 있음

Azure가 제공하는 기능?

---

• 미래에 대비
  • Microsoft의 지속적인 혁신이 지원되어 현재의 개발뿐 아니라 미래의 제품 비전을 실현할 수 있음
• 원하는 방식으로 빌드
  • 다양한 옵션이 있음
  • 오픈 소스에 대한 노력과 모든 언어 및 프레임워크 지원을 통해 원하는 방식으로 빌드하고 원하는 위치에 배포할 수 있음
• 원활한 하이브리드 운영
  • 온-프레미스, 클라우드, 에지 등 원하는 위치에서 운영할 수 있음
  • 하이브리드 클라우드 솔루션용으로 설계된 도구 및 서비스를 사용하여 환경을 통합하고 관리할 수 있음
• 신뢰할 수 있는 클라우드
  • 여러 엔터프라이즈, 정부 기관, 스타트업이 신뢰하는 능동적 규정 준수와 보안 전문가 팀의 지원을 통해 철저한 보안성을 확보할 수 있음

Azure로 무엇을 할 수 있나?

---

• Azure에서 실행되는 VM으로 기존 애플리켕디션을 이동하여 클라우드 탐색을 시작

Azure 계정 시작

---

• Azure 서비스를 만들고 시작하려면 Azure 구독이 필요

Azure 계정 만들기

---

• Azure 웹 사이트에 가입하거나 Microsoft 담당자를 통해 Microsoft에서 Azure 액세스를 직접 구입 가능
• Microsoft 파트너를 통해 Azure 액세스 권한을 구매할 수도 있음
• 클라우드 솔루션 공급자 파트너는 완벽한 관리형의 Azure용 클라우드 솔루션을 다양하게 제공

Azure 체험 계정

---

• 12개월간 인기 있는 Azure 제품에 대한 무료 액세스
• 처음 30일 동안 사용할 크레딧
• 항상 무료로 제공되는 25개 이상의 제품에 대한 액세스
• 가입하려면 전화 번호, 신용 카드 및 Microsoft 또는 GitHub 계정이 필요합니다. 신용 카드 정보는 ID 확인용으로만 사용

Azure 체험 학생 계정이란?

---

• 12개월 동안 특정 Azure 서비스에 비용 없이 액세스
• 처음 12개월 동안 사용할 크레딧
• 특정 소프트웨어 개발자 도구에 비용 없이 액세스
• 100달러 크레딧 및 체험용 개발자 도구를 제공하는 학생을 위한 제안
• 신용카드 없이 가입 가능

Microsoft Learn 샌드박스란?

---

• 많은 Learn 연습에서는 Azure 계정에 추가되는 임시 구독을 만드는 샌드박스라는 기술을 사용
• 이 임시 구독을 통해 Learn 모듈 동안 Azure 리소스를 만들 수 있음
• Learn 모듈을 이수하는 동안 개인 구독을 사용하여 모듈에 포함된 연습을 완료할 수 있음

연습 – Learn 샌드박스 살펴보기

---

• 현재 날짜 및 시간 가져오기 (Get-date 명령은 PowerShell 관련 명령)

• 

• 대부분의 Azure 관련 명령은 문자 az로 시작

• 사용 중인 CLI 버전을 확인

• 

• BASH CLI로 전환

• 

• date 명령

• 

• CLI에 대한 업데이트 실행

• 

• 대화형 모드 (자동완성 기능)

• 

• version 확인

• 

• upgrade

• 

• 대화형 모드 나가기

• 

• Azure Portal 사용

  • Azure에서 제공하는 웹 인터페이스를 사용할 수 있음

Azure 물리적 인프라 설명

---

• Azure의 핵심 아키텍처 구성 요소는 물리적 인프라와 관리 인프라라는 두 가지 주요 그룹으로 나눌 수 있음

물리적 인프라

---

• Azure의 물리적 인프라는 데이터 센터에서 시작
• 개념적으로 데이터 센터는 대기업 데이터 센터와 동일
  • 전용 전원, 냉각 및 네트워킹 인프라를 갖춘 랙에 배치된 리소스가 있는 시설
• Azure는 전 세계에 데이터 센터를 보유
  • 이러환 개별 데이터 센터는 직접 엑세스 할 수 없음
  • 데이터 센터는 중요 비즈니스용 워크로드에 대한 복원력과 안정성을 달성할 수 있도록 설계된 Azure 지역 또는 Azure 가용성 영역으로 그룹화 됌

영역

---

• 지역이란 가까운 곳에 있고 대기 시간이 짧은 네트워크를 통해 연결된 데이터 센터를 하나 이상 포함하고 있는(여러개 포함 가능) 지리적 영역을 의미
• Azure는 각 Azure 지역의 리소스를 지능적으로 할당하고 제어하여 워크로드의 적절한 균형을 유지
• Azure에서 리소스를 배포할 때 리소스를 배포할 Azure 지역을 선택해야 하는 경우가 자주 있음
• 일부 서비스 또는 VM 기능(예: 특정 VM(가상 머신) 크기 또는 스토리지 형식)은 특정 지역에서만 사용할 수 있음

가용성 영역

---

• Azure 지역 내에서 물리적으로 분리된 데이터 센터
  • 각 가용성 영역은 독립된 전원, 냉각 및 네트워킹을 갖춘 하나 이상의 데이터 센터로 구성
• 가용성 영역은 격리 결계로 설정
• 한 영역이 다운되어도 다른 영역은 계속 작동
• 가용성 영역은 고속 프라이빗 광 네트워크를 통해 연결

• 복원력을 보장하기 위해 모든 가용성 영역 사용 지역에는 3개 이상의 개별 가용성 영역이 있음
  • 그러나 현재 모든 Azure 지역에서 가용성 영역을 지원하지는 않음

지역 쌍

---

• 대부분의 Azure 지역은 300마일 이상 떨어져 있는 동일한 지리적 위치(예: 미국, 유럽 또는 아시아) 내의 다른 Azure 지역과 쌍을 이룸
  • 이 방법을 통해 한 지리적 위치에서 리소스를 복제할 수 있음
  • 전체 지역에 영향을 주는 자연재해, 내전, 정전 또는 물리적 네트워크 중단 등의 이벤트 때문에 서비스가 중단될 가능성을 줄일 수 있음
  • 한 쌍의 지역이 자연재해의 영향을 받은 경우 서비스는 해당 지역 쌍의 다른 지역으로 자동으로 장애 조치
• Azure 지역 쌍의 예로는 미국 동부와 미국 서부 쌍, 동남 아시아와 동아시아 쌍이 있음
• Azure 지역 쌍은 직접 연결되고 Azure 지역 규모의 재해를 피할 수 있도록 충분히 멀리 떨어져 있기 때문에 안정적인 서비스 및 데이터 중복성을 제공하는 데 사용할 수 있음

지역 쌍의 이점

---

• Azure 운영 중단이 광범위하게 발생하는 경우 모든 쌍 중 한 개의 영역이 우선시되어 해당 영역 쌍에서 호스팅되는 애플리케이션에 대해 최소 한 개의 영역이 최대한 빨리 복원되도록 함
• 계획된 Azure 업데이트는 가동 중지 및 애플리케이션 중단 위험을 최소화하기 위해 한 번에 한 Azure 지역 쌍으로 롤아웃
• 데이터는 세금 및 법률 집행 관할 구역에 사용될 수 있게 동일한 지리적 위치 내에 쌍으로(브라질 남부 제외) 상주

소버린 지역

---

• 소버린 지역은 Azure의 주 인스턴스에서 격리된 Azure의 인스턴스
• 규정 준수 또는 법적 목적을 위해 소버린 지역을 사용해야 할 수 있음

Azure 관리 인프라 설명

---

• 관리 인프라에는 Azure 리소스 및 리소스 그룹, 구독 및 계정이 포함

Azure 리소스 및 리소스 그룹

---

• 리소스는 Azure의 기본 구성 요소

• 사용자가 만들고, 프로비저닝하고, 배포하는 모든 것은 리소스

• VM, 가상 네트워크, DB, 인식 서비스 등은 모두 Azure 내에서 리소스로 간주

• 

• 리소스 그룹은 단순히 리소스의 그룹

• 리소스를 만들면 리소스 그룹에 두어야 함

• 리소스 그룹에는 많은 리소스가 포함될 수 있지만, 개별 리소스는 한 번에 하나의 리소스 그룹에만 있을 수 있음

• 일부 리소스는 리소스 그룹 간에 이동될 수 있음

• 리소스를 새 그룹으로 이동하면 더 이상 이전 그룹과 연결되지 않음

• 리소스 그룹은 중첩할 수 없으며, 이는 한 리소스 그룹을 다른 리소스 그룹에 넣을 수 없음

• 리소스 그룹은 리소스를 그룹으로 묶을 수 있는 편리한 방법을 제공

• 리소스 그룹에 작업을 적용하면, 해당 작업이 리소스 그룹 내의 모든 리소스에 적용

• 리소스 그룹 삭제 → 포함된 모든 리소스 삭제

• 리소스 그룹의 엑세스 허용 or 거부 → 해당 리소스 그룹에 속한 모든 리소스의 액세스 허용 or 거부

Azure 구독

---

• Azure 구독은 관리, 청구 및 크기 조정의 단위

• 구독은 리소스 그룹을 논리적으로 구성하고 청구를 용이하게 함

• 

• Azure를 사용하려면 Azure 구독이 필요

• 구독은 Azure 제품 및 서비스에 대한 인증되고 권한이 부여된 액세스를 제공

• 리소스를 프로비전할 수 있음

• Azure 구독은 Azure AD(Azure Active Directory) 또는 Azure AD 트러스트의 디렉터리에 있는 ID인 Azure 계정과 연결

• 계정 하나에 구독이 여럿일 수는 있지만, 하나의 구독에만 필요함

• 다중 구독 계정에서 구독을 사용하여 다른 청구 모델을 구성하고 다른 액세스 관리 정책을 적용 가능

• Azure 구독을 사용하여 Azure 제품, 서비스 및 리소스를 중심으로 경계를 정의할 수 있음

• 두 가지 유형의 구독 경계 사용 가능

  • 청구 경계
    • Azure 사용에 따른 Azure 계정 청구 방식을 결정
    • 다양한 유형의 청구 요구 사항에 따라 여러 개의 구독을 만들 수 있음
    • Azure는 비용을 구성하고 관리할 수 있도록 각 구독에 대해 별도의 청구 보고서 및 송장 생성
  • 액세스 제어 경계
    • Azure는 구독 수준에서 액세스 관리 정책을 적용
    • 다른 조직 구조를 반영하기 위해 별도의 구독을 만들 수 있음

추가 Azure 구독 만들기

---

• 리소스 또는 청구 관리 목적으로 추가 구독을 만들 수 있음
  • 환경
    • 개발 및 테스트, 보안을 위한 별도의 환경을 설정하거나 규정 준수 상의 이유로 데이터를 격리할 수 있음
    • 이 디자인은 리소스 액세스 제어가 구독 수준에서 발생하기 때문에 특히 유용
  • 조직 구조
    • 여러 조직 구조를 반영하는 구독을 만들 수 있음
    • 예를 들어 팀은 저렴한 리소스로 제한하고, IT 부서에는 전체 범위를 허용할 수 있음
    • 이와 같은 설계 방식을 통해 각 구독 내에서 사용자가 프로비저닝하는 리소스에 대한 액세스를 제어 가능
  • 청구
    • 청구를 위해 추가 구독을 만들 수 있음
    • 비용은 구독 수준에서 먼저 집계되므로 사용자의 요구에 따라 비용을 관리하고 추적하는 구독을 만들 수 있음
    • 예를 들어 프로덕션 워크로드용 구독과 개발 및 테스트 워크로드용 구독을 따로 만들 수 있음

Azure 관리 그룹

---

• 리소스는 리소스 그룹으로 모이고 리소스 그룹은 구독으로 모임
• 구독이 많다면 해당 구독에 대한 액세스, 정책 및 규정 준수를 효율적으로 관리하는 방법이 필요할 수 있음
• Azure 관리 그룹은 구독 상위 수준의 범위를 제공
• 구독을 관리 그룹이라고 하는 컨테이너에 구성하고 거버넌스 조건을 관리 그룹에 적용
• 관리 그룹 내의 모든 구독은 리소스 그룹이 구독에서 설정을 상속하는 방식, 리소스가 리소스 그룹에서 설정을 상속하는 방식과 동일한 방식으로 관리 그룹에 적용되는 조건을 자동으로 상속
• 관리 그룹은 사용하는 구독 유형에 관계 없이 대규모의 엔터프라이즈급 관리를 제공
• 관리 그룹은 중첩 가능

관리 그룹, 구독 및 리소스 그룹 계층 구조

---

• 리소스를 통합 정책 및 액세스 관리를 위한 계층 구조로 구성하는 유연한 관리 그룹 및 구독 구조를 만들 수 있음

• 정책을 적용하는 계층 구조를 만듬
  • 프로덕션이라는 그룹에서 VM 위치를 미국 서부 지역으로 제한할 수 있음
  • 이 정책은 해당 관리 그룹의 하위 항목인 모든 구독으로 상속되어 해당 구독의 모든 VM에 적용됨
  • 리소스 또는 구독 소유자는 이 보안 정책을 변경하여 거버넌스를 향상시킬 수 없음
• 여러 구독에 대한 사용자 액세스를 제공
  • 관리 그룹에서 여러 구독을 옮겨 관리 그룹에 하나의 Azure RBAC(Azure 역할 기반 액세스 제어) 할당을 만들 수 있음
  • 관리 그룹 수준에서 Azure RBAC를 할당한다는 것은 해당 관리 그룹 아래의 모든 하위 관리 그룹, 구독, 리소스 그룹, 리소스가 해당 사용 권한을 함께 상속한다는 것을 의미함
  • 관리 그룹에 하나만 할당하면 여러 구독에 Azure RBAC를 스크립팅하지 않고 사용자가 필요한 모든 항목에 액세스할 수 있음
• 단일 디렉터리에서 지원할 수 있는 관리 그룹 수는 10,000개
• 관리 그룹 트리에서 지원할 수 있는 최대 깊이 수준은 6 (루트 수준 또는 구독 수준을 포함하지 않음)
• 각 관리 그룹 및 구독은 하나의 부모만 지원

✔️ CHECK

1. 하나의 리소스가 동시에 있을 수 있는 리소스 그룹은 몇 개인가?
   ➡️ 하나 : 하나의 리소스는 한 번에 한 그룹에만 있을 수 있음
2. 리소스 그룹 수준에서 작업 또는 설정이 적용되면 리소스 그룹 내의 리소스는 어떻게 되나?
   ➡️ 이 설정은 현재 및 향후 리소스에 적용됨 : 리소스는 해당 리소스 그룹에서 사용 권한을 상속
3. 서로 300마일 이상 떨어진 지역에 걸쳐 리소스를 복제하는 Azure 기능은 무엇인가?
   ➡️ 지역 쌍 : 대부분의 Azure 지역은 300마일 이상 떨어져 있는 동일한 지리적 위치(예: 미국, 유럽 또는 아시아) 내의 다른 Azure 지역과 쌍을 이룸