Azure 아키텍처 및 서비스 설명 > Azure의 핵심 아키텍처 구성 요소 설명

1. 소개

핵심 아키텍처 구성 요소 소개

학습 목표

• Azure 지역, 지역 쌍 및 소버린 지역 설명
• 가용성 영역 설명
• Azure 데이터 센터 설명
• Azure 리소스 및 리소스 그룹 설명
• 구독 설명
• 관리 그룹 설명
• 리소스 그룹, 구독 및 관리 그룹의 계층 구조 설명

2. Microsoft Azure란 무엇인가요?

WHAT IS AZURE

• 영상
  https://www.microsoft.com/ko-kr/videoplayer/embed/RWEsag?postJsllMsg=true&autoCaptions=ko-kr
  애저는 비즈니스 목표 충족하는 솔루션을 빌드할 수 있는 지속 확장형 서비스 셋을 포함하는 마이크로 소프트 클라우드 컴퓨팅 플랫폼
  애저는 클라우드에서 실행되는 가상 머신과 같은 서비스, 웹 사이트 및 데이터베이스 호스팅뿐만 아니라 AI, 기계학습, IoT 등의 고급 컴퓨팅 서비스와 함께 IaaS, PaaS, SaaS 컴퓨팅을 지원함
  대부분의 애저 서비스는 종량제, 사용한 컴퓨팅 시간에 대해서만 요금을 지불함
  비즈니스에서 컴퓨팅 환경을 완전 제어해야하는 경우 애저를 사용해 클라우드에서 가상 머신을 호스트할 수 있음
  가상 머신을 만들거나 고유한 가상 하드 드라이브 업로드, 애저에서 제공되는 다양한 템플릿 중 선택 가능
  애저는 애플리케이션 또는 백업 데이터 안전하게 저장하는 클라우드 기반 스토리지도 제공함
  애저의 앱 서비스는 개발자가 인기 있는 개발 프레임워크를 사용해 웹 기반 애플리케이션을 만들 수 있는 스케일링 가능한 호스팅 플랫폼을 제공함
  완전 관리형 환경에서 쉽게 앱을 배포 및 운영하고 스케일링할 수 있음

Azure Functions를 사용하면 코딩 없이도 이벤트 기반 서버리스 애플리케이션을 만들 수 있음
Azure Container Instances 및 Azure Kubernetes Service를 사용하면 완전 관리형 서비스로 컨테이너화된 애플리케이션을 배포 가능
Azure는 전용/오픈 소스 엔진에서 완전 관리형 관계형/메모리 내 데이터베이스를 제공하며, 마이크로소프트의 Cosmos DB는 인기 있는 다수의 NoSQL API를 지원함
Azure의 AI 및 기계 학습 서비스는 기계 학습 모델을 더 신속하게 빌드하고 학습시키고 배포하기 위한 다양한 생산적인 환경을 개발자와 데이터 과학자에게 제공함
Azure의 지역 데이터 센터를 사용하면 애플리케이션을 전역적으로 배포함으로써 가장 필요한 곳에서 애플리케이션의 데이터를 찾을 수 있도록 하여 고객의 애플리케이션 성능을 개선할 수 있음
Azure Portal에서는 사용하기 쉬운 웹 기반 단일 인터페이스에서 모든 서비스와 리소스를 만들고 구성 및 제어할 수 있음
마이크로 소프트 Azure는 인프라 관리, 스케일링 가능성, 가용성, 보안을 자동으로 처리함으로써 시간과 비용을 절약해주는 다양한 클라우드 컴퓨팅 서비스를 제공함

Azure가 제공하는 기능

Azure에는 유용한 차세대 솔루션을 빌드하는 데 필요한 모든 기능을 이용할 수 있음
Azure에서 제공하는 여러 이점이 다음과 같이 나와 있으므로 쉽게 목적에 따라 개발 가능함

• 미래에 대비
  마이크로소프트의 지속적인 혁신이 지원되어 현재 개발뿐 아니라 미래의 제품 비전 실현 가능
• 원하는 방식으로 빌드
  다양한 옵션 존재, 오픈 소스에 대한 노력, 모든 언어 및 프레임워크 지원을 통해 원하는 방식으로 빌드 및 원하는 위치에 배포 가능
• 원활한 하이브리드 운영
  온-프레미스, 클라우드, 에지 등 원하는 위치에서 운영 가능, 하이브리드 클라우드 솔루션용으로 설계된 도구 및 서비스를 사용하여 환경을 통합하고 관리할 수 있음
• 신뢰할 수 있는 클라우드
  여러 엔터프라이즈, 정부 기관, 스타트업이 신뢰하는 능동적 규정 준수와 보안 전문가 팀의 지원을 통해 철저한 보안성 확보 가능

Azure로 무엇을 할 수 있는가?

Azure는 가상 머신에서 기존 애플리케이션을 실행하는 것부터 지능형 봇 및 합성 현실과 같은 새 소프트웨어 패러다임을 탐색하는 것까지 모든 것을 수행할 수 있는 100여 개의 서비스를 제공함
많은 팀에서는 Azure에서 실행되는 VM(가상 머신)으로 기존 애플리케이션을 이동하여 클라우드 탐색을 시작함
기존 앱을 VM으로 마이그레이션하는 것은 좋은 시작이지만, 클라우드는 가상 머신을 실행하기 위한 별도의 장소 이상의 의미를 가짐

예를 들어 Azure는 시각, 청각 및 음성을 통해 사용자와 자연스럽게 대화할 수 있는 AI(인공 지능) 및 ML(기계 학습) 서비스를 제공함
대량의 데이터를 수용할 수 있도록 동적으로 확장되는 스토리지 솔루션도 제공함
Azure 서비스는 클라우드의 성능이 아니라면 가능하지 않았을 솔루션을 지원함

3. Azure 계정 시작

Azure 서비스를 만들고 사용하려면 구독이 필요함
Learn 모듈을 완료하는 대부분의 기간에 사용할 임시 구독이 생성되며 해당 구독은 Learn 샌드박스라는 환경에서 실행됨
자체 애플리케이션 및 비즈니스 요구 사항을 해결할 때는 Azure 계정을 만들어 구독 생성해야함
Azure 계정을 만든 후에는 추가 구독을 무료로 만들 수 있음
예를 들어 회사는 비즈니스에 단일 Azure 계정을 사용하고, 개발 마케팅 및 판매 부서에 대해 별도의 구독 사용 가능함
Azure 구독을 만든 후에는 각 구독 내에서 Azure 리소스를 만들 수 있음

Azure Account Scope Levels

Azure를 처음 사용하는 경우, Azure 웹 사이트에 체험 계정에 가입하여 체험 가능
준비 되면, 무료 계정을 업그레이드하도록 선택 가능
체험 계정 제한 초과하는 Azure 서비스에 대해서는 요금을 지불하기 위해 새 구독을 만들 수도 있음

Azure 계정 만들기

Azure 웹 사이트에 가입/ Microsoft 담당자를 통해 Azure 엑세스를 직접 구매 가능
Microsoft 파트너를 통해 Azure 액세스 권한을 구매할 수도 있음
클라우드 솔루션 공급자 파트너는 완벽한 관리형의 Azure용 클라우드 솔루션 다양하게 제공함

• 영상
  당연히 계정 등록 먼저 해야함
  처음하려면 무료 계정에 등록하여 제공 기능 탐색 가능함
  12개월 동안 20개의 Azure 제품에 대한 무료 엑세스제공
  항상 무료로 제공되는 추가 제품에 액세스 할 수 있으며 가입 후 첫 30일 동안 사용할 200달러 크레딧 제공됨
  대규모 조직에서 근무한다면 Microsoft 담당자 또는 Microsoft 파트너를 통해 엑세스 권한 구매 가능
  azure.com에서 직접 구매 가능
  종량제 요금으로 결제하면 선불약정없이 사용한 만큼만 내고 사용 가능

활성 상태의 애저 계정있으면 리소스 또는 청구 관리를 위해 청구서 섹션을 구성 가능함 Invoice Sections
각 청구서 섹션은 해당 월에 발생한 요금을 보여주는 청구서 품목임
청구 프로필 사용하면 동일한 청구 계정 내에서 여러개의 청구서를 설정할 수 있음
청구 프로필마다 고유의 월간 청구서 및 결제 방법이 있음
계정 활성화 후 청구 설정되면 애저 사용할 준비 된거임
온라인 설명서 커뮤니티 지원, 애저 엔지니어가 만든 새로운 Azure 기능 데모 동영상은 구독의 일부로서 연중무휴 액세스 가능함

애저 계정만들기 모듈 https://docs.microsoft.com/ko-kr/learn/modules/create-an-azure-account/%5D

Azure 체험 계정

• 12개월간 인기 있는 Azure 제품에 대한 무료 액세스
• 처음 30일 동안 사용할 크레딧
• 항상 무료로 제공되는 25개 이상의 제품에 대한 액세스
  Azure 체험 계정은 신규 사용자가 시작하고 탐색하기에 매우 유용한 방법임
  가입하려면 전화 번호, 신용 카드 및 Microsoft 또는 Github 계정이 필요함
  신용 카드 정보는 ID 확인용으로만 사용됨
  유료 구독으로 업그레이드하기 전에는 서비스 비용 청구되지 않음

Azure 체험 학생 계정

• 12개월 동안 특정 Azure 서비스에 비용 없이 액세스
• 처음 12개월 동안 사용할 크레딧
• 특정 소프트웨어 개발자 도구에 비용 없이 액세스
  100달러 크레딧 및 체험용 개발자 도구를 제공하는 학생 위한 제안, 신용카드 없이 가입 가능

Microsoft Learn 샌드박스

많은 Learn 연습에서 Azure 계정에 추가되는 임시 구독을 만드는 샌드박스라는 기술 사용함
이 임시 구독을 통해 Learn 모듈 동안 Azure 리소스를 만들 수 있음
모듈을 완료한 후 자동으로 임시 리소스를 정리하는 방법 알아봄
Learn 모듈을 이수하는 동안 개인 구독을 사용하여 모듈에 포함된 연습 완료 가능함
샌드박스는 무료로 Azure 리소스를 만들고 테스트할 수 있기 때문에 기본적으로 사용되는 방법임

4. 연습 - Learn 샌드박스 살펴보기

Learn 샌드박스 살펴보기
3가지 방법으로 샌드박스와 상호작용 가능

Learn 샌드박스 활성화

작업 1: PowerShell CLI 사용

샌드박스가 시작되면 화면의 절반이 PowerShell CLI 모드가 됨
PowerShell에 익숙한 경우 PowerShell 명령을 사용해도됨
https://docs.microsoft.com/ko-kr/learn/modules/describe-core-architectural-components-of-azure/4-exercise-explore-learn-sandbox

Get-date
az version

작업 2: Bash CLI 사용

bash를 Power Shell에 입력하면 bash 사용 가능함

작업 3: Azure CLI 대화형 모드 사용

자동 완성도 됨!
az 굳이 시작할때 넣지 않아도됨(넣어도 됨)
exit로 나갈 수 있음

작업 4: Azure Portal 사용

Azure Portal을 사용하는 옵션도 있음

5. Azure 물리적 인프라 설명

지역, 가용성 영역, 리소스, 구독등의 용어 사용하게 될것임
Azure의 핵심 아키텍처 구성 요소에 중점을 두겠음

• 물리적 인프라
• 관리 인프라
  주요 두개 그룹으로 나눌 수있음

물리적 인프라

Azure의 물리적 인프라는 데이터센터에서 시작함
개념적으로 데이터 센터는 대기업 데이터 센터와 동일
전용 전원, 냉각 및 네트워킹 인프라를 갖춘 랙에 배치된 리소스가 있음

글로벌 클라우드 공급자인 Azure는 전 세계에 데이터 센터 가지고 있음
이러한 개별 데이터 센터는 직접 액세스는 불가능함
데이터 센터는 중요 비즈니스용 워크로드에 대한 복원력과 안정성을 달성할 수 있도록 설계된 Azure 지역 또는 Azure 가용성 영역으로 그룹화 가능
글로벌 인프라 사이트는 기본 Azure 인프라를 대화형으로 탐색할 수 있는 기회를 제공함
https://infrastructuremap.microsoft.com/explore

영역

지역이란 가까운 곳에 있고, 대기 시간이 짧은 네트워크를 통해 연결된 데이터 센터를 하나 이상 포함하고 있는(여러 개 포함 가능) 지리적 영역을 의미함
Azure에서 리소스 배포시 리소스 배포할 Azure 지역을 선택해야하는 경우가 자주 있음
참고
일부 서비스 또는 VM 기능(특정 가상머신 크기 또는 스토리지 형식)은 특정 지역에서만 사용 가능
Azure Active Directory, Azure Traffic Manager, Azure DNS는 지역 선택 필요 없음(글로벌 Azure 서비스)

가용성 영역

Azure 지역 내에서 물리적으로 분리된 데이터 센터
각 가용성 영역은 독립된 전원, 냉각 및 네트워킹을 갖춘 하나 이상의 데이터 센터로 구성됨
가용성 영역은 격리 경계로 설정됨
한 영역이 다운되어도 다른 영역은 계속 작동함
가용성 영역은 고속 프라이빗 광 네트워크를 통해 연결됨

지역 가용성 영역

복원력 보장을 위해 모든 가용성 영역 사용 지역에는 3개 이상의 개별 가용성 영역 존재, 그러나 모든 Azure 지역에서 가용성 영역 지원하지는 않음

앱에서 가용성 영역 Availability Zones 사용

Up time과 Availability 단어를 혼용하고 있음 주의

장애 발생시 정보 보호 가능하도록 서비스 데이터의 중복성 보장함
인프라를 호스트할 때 자체적으로 중복성을 설정하려면 중복된 하드웨어 환경 구축해야함
Azure는 가용성 영역을 통해 앱의 가용성 높일 수 있음
가용성 영역을 사용하여 중요 업무용 애플리케이션을 실행할 수 있으며, 한 가용성 영역 내에 컴퓨팅, 스토리지, 네트워킹 및 데이터 리소스를 공동 배치하고 다른 가용성 영역에 복제하여 애플리케이션 아키텍처에 고가용성 구현 가능, 서비스를 중복시키고 가용성 영역 간에 데이터를 전송하는 비용 발생 할수있음

가용성 영역은 주로 VM, 관리 디스크, 부하 분산 장치 및 SQL 데이터베이스에 주로 사용됨, 가용성 영역을 지원하는 Azure 서비스는 다음의 세 범주로 나뉨

• 영역 서비스: 특정 영역(VM, 관리 디스크, IP 주소)에 리소스 고정
• 영역 중복 서비스: 플랫폼이 영역에서 자동으로 복제됨(영역 중복 스토리지, SQL 데이터베이스)
• 비지역 서비스: 서비스는 Azure 지역에서 항상 사용할 수 있으며 영역 전체 중단뿐만 아니라 지역 전체 중단도 복원할 수 있음
  가용성 영역이 제공하는 추가 복원력에도 불구하고 이벤트가 너무 커서 단일 지역의 여러 가용성 영역에 영향을 줄수도 있음
  더 많은 복원력을 제공하기 위해 Azure에는 지역 쌍이 존재함

지역쌍

대부분의 Azure 지역은 300마일 이상 떨어져 있는 동일한 지리적 위치 내의 다른 Azure 지역과 쌍을 이룸
이 방법을 통해 한 지리적 위치에서 리소스 복제가능하며, 전체 지역에 영향을 주는 자연재해, 내전, 정전 또는 물리적 네트워크 중단 등의 이벤트 때문에 서비스가 중단될 가능성을 줄일 수 있음. 예를 들어 한 쌍의 지역이 자연재해의 영향을 받은 경우 서비스는 해당 지역 쌍의 다른 지역으로 자동으로 장애 조치됨(failover)
**중요
모든 Azure서비스가 자동으로 데이터를 복제 또는 실패한 지역에서 자동으로 대체되어 활성화된 다른 활성화된 지역으로 교차 복제 되지 않음 이러한 시나리오에서 복구 및 복제는 고객이 구성해야함

Azure 지역 쌍의 예로는 미국 동부와 미국 서부쌍, 동남 아시아와 동아시아 쌍이 있음
Azure 지역 쌍은 직접 연결되고 Azure 지역 규모의 재해를 피할 수 있도록 충분히 멀리 떨어져 있기 때문에 안정적인 서비스 및 데이터 중복성을 제공가능함

region pairs

지역쌍의 이점

• Azure 운영 중단이 광범위하게 발생하는 경우 모든 쌍 중 한 개의 영역이 우선시되어 해당 영역 쌍에서 호스팅되는 애플리케이션에 대해 최소 한 개의 영역이 최대한 빨리 복원되도록 함
• 계획된 Azure 업데이트는 가동 중지 및 애플리케이션 중단 위험을 최소화하기 위해 한 번에 한 Azure 지역 쌍으로 롤아웃됨
• 데이터는 세금 및 법률 집행 관할 구역에 사용될 수 있게 동일한 지리적 위치 내에 쌍으로(브라질 남부 제외) 상주함
• *중요
  인도 서부는 한 방향으로만 쌍을 이룸, 인도 서부의 보조 지역은 인도 남부이지만 인도 남부의 보조 지역은 인도 중부임. 브라질 남부는 해당 지리적 위치 외부에 있는 지역과 쌍을 이루었기 때문에 특별함, 브라질 남부의 보조 지역은 미국 중남부임, 미국 중남부의 보조 지역은 브라질 남부가 아님

소버린 지역

일반 지역 말고 소버린 지역이 있음, 소버린 지역은 Azure의 주 인스턴스에서 격리된 Azure의 인스턴스임
규정 준수 또는 법적 목적을 위해 소버린 지역을 사용해야 할 수 있음

소버린 지역에는 다음이 포함됨

• US DoD 중부, US Gov 버지니아, US Gov 아이오와 등: 이러한 지역은 미국 정부 기관 및 파트너를 위한 물리적 및 논리적 네트워크로 격리된 Azure 인스턴스입니다. 이러한 데이터 센터는 선별된 미국인이 운영하며 추가 규정 준수 인증서를 포함하고 있습니다.
• 중국 동부, 중국 북부 등: 이러한 지역은 Microsoft와 21Vianet 간의 고유한 파트너십을 통해 사용할 수 있으며, Microsoft에서 데이터 센터를 직접 관리하지 않습니다.

6. Azure 관리 인프라 설명

관리 인프라에는 Azure 리소스 및 리소스 그룹, 구독 및 계정이 포함됨. 계층 조직을 이해하면 Azure 내에서 프로젝트 및 제품을 계획할때 도움됨

Azure 리소스 및 리소스 그룹

리소스는 Azure의 기본 구성 요소임
사용자가 만들고, 프로비저닝하고, 배포하는 모든 것은 리소스임
VM(가상 머신), 가상 네트워크, 데이터베이스, 인식 서비스 등은 모두 Azure 내에서 리소스로 간주됨

리소스 그룹은 단순히 리소스의 그룹임, 리소스를 만들면 리소스 그룹에 두어야함
리소스 그룹에는 많은 리소스가 포함될 수 있지만, 개별 리소스는 한 번에 하나의 리소스 그룹에만 있을 수 있음.
일부 리소스는 리소스 그룹 간에 이동될 수 있지만 리소스를 새 그룹으로 이동하면 더 이상 이전 그룹과 연결되지 않음
또한 리소스 그룹은 중첩할 수 없으며, 이는 한 리소스 그룹을 다른 리소스 그룹에 넣을 수 없다는 의미와 같음

리소스 그룹은 리소스를 그룹으로 묶을 수 있는 편리한 방법을 제공함
리소스 그룹에 작업을 적용하면 해당 작업이 리소스 그룹 내의 모든 리소스에 적용됨
리소스 그룹을 삭제하면 모든 리소스가 삭제됨
리소스 그룹의 액세스를 허용하거나 거부하면 해당 리소스 그룹에 속한 모든 리소스의 액세스를 허용 또는 거부함

리소스를 프로비저닝할 때 필요에 최적화된 리소스 그룹 구조에 대해 생각하는 것이 좋음
example)
임시 개발 환경 설정하는 경우, 리소스를 모두 그룹으로 묶는다는 것은 해당 리소스 그룹을 삭제해 한 번에 관련된 모든 리소스를 프로비저닝 해제한다는 의미임. 세 가지 다른 액세스 스키마가 필요한 컴퓨팅 리소스를 프로비저닝하는 경우라면 액세스 스키마에 따라 리소스를 그룹화한 다음 리소스 그룹 수준에 따라 액세스를 할당하는 것이 가장 좋음

리소스 그룹을 사용하는 방식에 대해 엄격히 정해진 규칙은 없으므로 자신에게 가장 유용한 방향으로 리소스 그룹을 설정하는 방식을 고려해야함

Azure 구독

Azure에서 구독은 관리, 청구 및 크기 조정의 단위임. 리소스 그룹이 리소스를 논리적으로 구성하는 방식과 마찬가지로 구독은 리소스 그룹을 논리적으로 구성하고 청구를 용이하게 할 수 있음
Azure 계정 -> [개발 구독], [테스트 구독], [프로덕션 구독]

Azure를 사용하려면 Azure 구독이 필요함, 구독은 Azure 제품 및 서비스에 대한 인증되고 권한이 부여된 액세스 제공함
리소스를 프로비전 할 수 도 있음
Azure 구독은 Azure AD(Azure Active Directory) 또는 Azure AD 트러스트의 디렉터리에 있는 ID인 Azure 계정과 연결됨

계정 하나에 구독이 여럿일 수는 있지만 하나의 구독에만 필요함. 다중 구독 계정에서 구독을 사용하여 다른 청구 모델을 구성하고 다른 액세스 관리 정책을 적용할 수 있음. Azure 구독을 사용하여 Azure 제품, 서비스 및 리소스를 중심으로 경계를 정의할 수 있음.

두가지 유형의 구독 경계를 사용할 수 있음

• 청구 경계
  이 구독 유형은 Azure 사용에 따른 Azure 계정 청구 방식 결정. 다양한 유형의 청구 요구 사항에 따라 여러개의 구독 만들 수 있음. Azure는 비용 구성 관리하도록 각 구독에 대해 별도 청구 보고서 및 송장 생성함
• 액세스 제어 경계
  Azure는 구독 수준에서 액세스 관리 정책을 적용하며, 다른 조직 구조를 반영하기 위해 별도의 구독 만들 수 있음. 예를 들어 비즈니스 내에서 고유한 Azure 구독 정책을 적용할 수 있는 서로 다른 부서가 있다면, 이 청구 모델을 통해 특정 구독으로 사용자가 프로비저닝하는 리소스에 대한 액세스를 제어할 수 있음

추가 Azure 구독 만들기

리소스 그룹을 사용하여 함수 또는 액세스별로 리소스를 구분하는 것과 마찬가지로 리소스 또는 청구 관리 목적으로 추가 구독을 만들 수 있음. 예를 들어 다음과 같이 구별되는 추가 구독 만들 수 있음

• 환경: 개발 및 테스트, 보안을 위한 별도의 환경 설정 또는 규정 준수 상의 이유로 데이터 격리 가능. 이 디자인은 리소스 액세스 제어가 구독 수준에서 발생하여 특히 유용함
• 조직 구조: 여러 조직 구조를 반영하는 구독 만들 수 있음. 예를들어 팀은 저렴한 리소스로 제한하고, IT 부서에는 전체 범위를 허용 가능. 이와 같은 설계 방식을 통해 각 구독 내에서 사용자가 프로비저닝하는 리소스에 대한 액세스 제어 가능함
• 청구: 청구를 위한 추가 구독 생성 가능. 비용은 구독 수준에서 먼저 집계되므로 사용자의 요구에 따라 비용 관리하고 추적하는 구독 만들 수 있음. 예를 들어 프로덕션 워크로드용 구독과 개발 및 테스트 워크로드용 구독을 따로 만들 수 있음

Azure 관리 그룹

리소스는 리소스 그룹으로 모이고, 리소스 그룹은 구독으로 모임
Azure를 처음 시작하는 사용자에게는 항목들이 충분히 정돈되어 계층을 이루는 것처럼 보일 수도 있으나, 다양한 애플리케이션, 개발 팀, 지리적 요인을 상정한다면... 구독이 많다면 해당 구독에 대한 액세스, 정책 및 규정 준수를 효율적으로 관리하는 방법이 필요할 수 있음.
Azure 관리 그룹은 구독 상위 수준의 범위를 제공함. 구독을 관리 그룹이라고 하는 컨테이너에 구성하고, 거버넌스 조건을 관리 그룹에 적용함, 관리 그룹 내의 모든 구독은 리소스 그룹이 구독에서 설정을 상속하는 방식, 리소스가 리소스 그룹에서 설정을 상속하는 방식과 동일한 방식으로 관리 그룹에 적용되는 조건을 자동으로 상속함. 관리 그룹은 사용하는 구독 유형에 관계 없이 대규모의 엔터프라이즈급 관리를 제공함. 관리 그룹은 중첩할 수 있음

관리 그룹, 구독 및 리소스 그룹 계층 구조

리소스를 통합 정책 및 액세스 관리를 위한 계층 구조로 구성하는 유연한 관리 그룹 및 구독 구조를 만들 수 있음. 다음 다이어그램에서는 관리 그룹을 사용하여 거버넌스 계층 구조를 만드는 예를 보여줌

management-groups-subscriptions

관리 그룹을 사용하는 방법에 대한 몇가지 예

• 정책 적용 계층 구조 만들기
  프로덕션이라는 그룹에서 VM 위치를 미국 서부 지역으로 제한, 이 정책은 해당 관리 그룹의 하위 항목인 모든 구독으로 상속되어 해당 구독의 모든 VM에 적용됨. 리소스 또는 구독 소유자는 이 보안 정책을 변경하여 거버넌스를 향상시킬 수 없음
• 여러 구독에 대한 사용자 액세스 제공
  관리 그룹에서 여러 구독을 옮겨 관리 그룹에 하나의 Azure RBAC(Azure 역할 기반 액세스 제어) 할당을 만들 수 있음.
  관리 그룹 수준에서 Azure RBAC를 할당한다는 것은 해당 관리 그룹 아래의 모든 하위 관리 그룹, 구독, 리소스 그룹, 리소스가 해당 사용 권한을 함께 상속한다는 것을 의미함. 관리 그룹에 하나만 할당하면 여러 구독에 Azure RBAC를 스크립팅하지 않고 사용자가 필요한 모든 항목에 액세스 가능

**관리 그룹에 대한 중요한 사실!

• 단일 디렉터리에서 지원가능한 관리 그룹수는 10000개
• 관리 그룹 트리에서 지원할 수 있는 최대 깊이 수준은 6, 이 제한은 루트 수준 또는 구독 수준을 포함하지 않음
• 각 관리 그룹 및 구독은 하나의 부모만 지원 가능함

연습- Azure 리소스 만들기

요약

• Azure 지역, 지역 쌍 및 소버린 지역을 설명
• 가용성 영역을 설명
• Azure 데이터 센터
• Azure 리소스 및 리소스 그룹을 설명
• 구독에 대해 설명
• 관리 그룹에 대해 설명
• 리소스 그룹, 구독 및 관리 그룹의 계층 구조를 설명