Azure Fundamentals (AZ-900) - 클라우드 개념

Azure 기본 사항 학습을 위해 샌드박스라는 임시 Azure 환경으로 별도의 비용 없이 학습 가능합니다.

시험은 다음과 같은 3개의 주제 영역으로 구성되어 있습니다.

• 클라우드 개념 설명
• Azure 아키텍처 및 서비스 설명
• Azure 관리 및 거버넌스 설명

 

클라우드 개념 설명

 

클라우드 컴퓨팅이란, 인터넷을 통해 컴퓨팅을 제공하는 것으로 컴퓨팅 서비스에는 가상 머신, 스토리지, 데이터베이스 및 네트워킹과 같은 일반적인 IT 인프라가 포함됩니다. 인터넷을 사용하여 서비스를 제공하기에 데이터 센터와 동일한 방식으로 인프라에 의해 제한될 필요가 없습니다.

 

공동 책임 모델이란, 온 프레미스 데이터 센터의 경우 데이터 관리 및 인프라 관리 등 모든 책임을 사용자가 져야 하지만, 공유 책임 모델을 사용하면 이러한 책임은 CSP와 소비자 간에 공유됩니다. (소비자는 저장된 데이터에 대한 책임, 액세스 보안에 대한 책임, DB 수집 데이터 관리에 대한 책임을 갖고 CSP는 가상머신 및 DB운영 등의 책임)

 

클라우드 모델 정의. 프라이빗 클라우드란 단일 엔터티에서 사용하는 클라우드로 회사에 더 큰 제어 기능을 제공하며 사이트 데이터 센터에서 호스팅이 가능합니다. 또한, 데이터 센터를 회사 전용으로 사이트 밖에서 호스팅도 가능합니다.

퍼블릭의 경우 인프라 소유권이 CSP에 있으며 관리 및 유지보수도 CSP에서 관리합니다. 다수의 사용자가 동일한 인프라를 공유하지만, 보안이 공급 책임자에 의해 잘 관리됩니다.

하이브리드 클라우드는 상호 연결된 환경에서 프라이빗, 퍼블릭 클라우드를 모두 사용하는 컴퓨팅 환경입니다. 사용자는 퍼블릭/프라이빗에 유지할 서비스를 유연하게 선택할 수 있습니다.

 

Azure Arc는 클라우드 환경 관리를 지원하는 일련의 솔루션입니다. 퍼블릭, 프라이빗, 하이브리드, 멀티 CSP를 사용하는 다중 클라우드 환경에 있든 상관없이 도움을 줄 수 있습니다.

Azure VMware 솔루션을 사용하면 이미 구축한 VM에 대한 마이그레이션이 용이해집니다.

 

클라우드 인프라 사용 시 CapEx(자본 지출)보다 OpEx(운영 지출)이 발생하며, 사용하는 서비스에 대해서만 비용을 지불합니다. 운영하는 데이터 센터에 CPU와 스토리지를 유지 관리하는 대신 필요한 시간 만큼 대여하는 것입니다. 이에 CSP는 기본 인프라를 제공하고 사용자는 이를 이용해 원하는 시간만큼 커스텀하여 사용합니다.

 

애플리케이션, 서비스 또는 IT리소스를 배포하는 경우 가용성을 확보하는 것이 중요합니다. 고가용성은 중단이나 발생할 수 있는 이벤트에 관계없이 최대 가용성을 보장하는데 중점을 둡니다. 솔루션을 설계할 때는 서비스 가용성을 보장해야 하며, Azure의 SLA(서비스 수준 계약)의 일부입니다.

확장성 또한 클라우드 컴퓨팅의 주요 이점이며, 스케일링 서비스에 대한 비용은 지불하지 않고, 사용한 리소스에 대해서만 비용이 발생하며 부하가 줄어들어 리소스가 감소하게 되면 그에 맞게 비용도 줄어듭니다.

수직 확장은 가상 머신의 성능을 개선하는 것이고, 수평 확장은 리소스를 스케일 아웃하여 늘리는 방식입니다.

 

클라우드 거버넌스란, 클라우드 환경에서 조직의 IT 리소스와 서비스가 효율적이고 안전하게 운영되도록 정책, 프로세스, 규칙을 정의하고 실행하는 체계적 관리 활동을 의미합니다. 특히 조직이 클라우드를 활용하는 과정에서 비용, 보안, 규정 순수, 성능 등을 관리하고 최적화하기 위해 설계된 원칙과 절차를 의미합니다.

 

IaaS는 클라우드 리소스에 대해 최대 제어량을 제공하므로, 가장 유연한 범주입니다. CSP는 하드웨어, 네트워크 연결 및 물리적인 보안을 유지할 책임이 있고, OS설치 및 구성 유지 관리, 네트워크, 데이터베이스 등의 모든 작업은 사용자가 담당해야 합니다. 리프트 앤 시프트(기존 온프레미스 환경에 있는 서버를 그대로 클라우드 환경으로 이전하는 것)나 신속하게 개발해야 하는 개발 및 테스트 환경에 대한 구성 결정 시 주로 사용됩니다.

 

PaaS는 IaaS와 SaaS사이에 존재하며, 개발 인프라 유지 관리에 대한 염려가 전혀 없는 완전한 개발 환경을 제공하도록 잘 맞춰 있습니다. PaaS에서는 CSP가 OS, DB 및 개발 도구도 유지 관리합니다. 구성에 따라 사용자 또는 CSP가 네트워크 설정 및 연결, 애플리케이션 보안 등에 대한 책임을 질 수 있습니다. 개발자는 Excel 매크로를 만드는 방법과 유사하게 PaaS를 통해 기본 제공 소프트웨어 구성요소를 사용하여 애플리케이션을 만들 수 있습니다.

 

SaaS는 제품 관점에서 가장 완벽한 서비스 모델입니다. 완전히 개발된 애플리케이션을 임대하거나 사용하며, 메일, 금융 소프트웨어, 메시징 애플리케이션 및 연결 소프트웨어는 모두 SaaS의 일반적인 예입니다. 거의 모든 것을 CSP가 담당하며 사용자는 디바이스, 액세스 권한, 데이터 등에 대한 책임만 담당합니다.

 

 

Azure 아키텍처 및 서비스 설명

 

Azure는 계정 > 구독 > 리소스 그룹 > 리소스의 계층 구조를 갖고 있습니다. 

Azure에서 지역이란 가까운 곳에 있고 대기 시간이 짧은 네트워크를 통해 연결된 데이터 센터를 하나 이상 포함하고 있는 지리적 영역을 의미합니다. Azure는 Azure 지역의 리소스를 지능적으로 할당하고 제어하여 워크로드의 적절한 균형을 유지합니다. (일부 서비스 또는 VM 기능은 특정 지역에서만 사용할 수 있습니다)

대부분의 Azure 지역은 300마일 이상 떨어져 있는 동일한 지리적 위치 (대륙) 내의 다른 Azure 지역과 쌍을 이룹니다. 이 방법을 통해 한 지리적 위치에서 리소스를 복제할 수 있으며 이렇게 하면 전체 지역에 영향을 주는 자연 재해 등의 이벤트 때문에 서비스가 중단될 가능성을 줄일 수 있습니다.

( 소버린 지역은 미국 정부 기관 및 파트너를 위한 물리적/논리적 네트워크로 격리된 Azure 인스턴스입니다)

 

가용성 영역은 Azure 지역 내에서 물리적으로 분리된 데이터 센터입니다. 독립된 물리적 인프라를 갖춘 하나 이상의 데이터 센터로 구성됩니다. 가용성 영역(고속 프라이빗 광 네트워크로 연결)은 격리 경계로 사용되며, 한 영역이 다운되어도 다른 영역은 계속 동작합니다. 고가용성을 보장하기 위해 장애 발생 등을 대비하여 서비스와 데이터를 중복으로 운영합니다. 

 

리소스는 Azure의 기본 구성요소입니다. 사용자가 만들고, 프로비저닝하고, 배포하는 모든 것은 리소스이고 이러한 리소스를 그룹화한 것이 리소스 그룹입니다. 리소스는 반드시 하나의 리소스 그룹에 속하며 리소스 그룹엔 여러 리소스가 포함되어 있습니다. 리소스 그룹에 작업을 적용하면 해당 작업이 리소스 그룹 내 모든 리소스에 적용됩니다. 또한 리소스 그룹을 삭제하면 포함된 모든 리소스가 삭제됩니다. 즉, 리소스를 프로비저닝할 때 필요에 최적화된 리소스 그룹 구조에 대해 생각하는 것이 중요합니다.

 

구독은 관리, 청구 및 크기 조정의 단위입니다. 리소스 그룹이 리소스를 논리적으로 구성하는 방식과 마찬가지로 구독은 리소스 그룹을 논리적으로 구성하고 청구를 용이하게 할 수 있습니다. 계정 하나에 구독이 여럿일 수 있고, 개발 환경 별로 구독을 생성하여 관리할 수 있습니다. 구독은 청구 경계이자 액세스 제어 경계로 사용될 수 있습니다. 구독에 여러 사용자를 추가하여 리소스 관리하도록 할 수 있습니다.

 

마지막은 관리 그룹입니다. 구독이 많다면 해당 구독에 대한 액세스, 정책 및 규정 준수를 효율적으로 관리하는 방법이 필요할 수 있으며 Azure는 관리 그룹을 구독의 상위 수준의 범위로 제공합니다. 구독을 관리 그룹이라고 하는 컨테이너에 구성하고 거버넌스 조건을 관리 그룹에 적용합니다. 관리 그룹 내 모든 구독은 설정을 상속 받습니다. (관리 그룹 중첩 가능)

관리 그룹을 사용하는 예로는 정책을 적용하는 계층 구조를 만들 수 있습니다. 정책을 만들고 그 정책을 관리 그룹에 적용하면 그 아래 구독, 리소스 그룹, 리소스들은 해당 정책이 적용됩니다. 리소스 또는 구독 보유자는 정책을 업데이트할 수 없습니다. 또 다른 사용은 여러 구독에 대한 사용자 액세스를 제공합니다. 여러 구독을 하나의 관리 그룹에 묶고 그곳에 RBAC으로 사용자에 대한 액세스를 부여하면 아래 모든 리소스에 대한 접근이 가능합니다. 여러 구독에 Azure RBAC 스크립팅 없이 중복 적용이 가능한 효과입니다.

(단일 디렉터리에서 지원하는 관리 그룹 수 10,000개, 관리 그룹 최대 뎁스 6, 각 관리 그룹 및 구독은 하나의 부모만 지원)