Azure Fundamentals (AZ-900) Azure 아키텍처 및 서비스 설명
Azure 가상 머신을 사용하여 클라우드에서 VM을 만들고 관리할 수 있습니다. VM은 IaaS를 가상화된 서버 형식으로 제공하며 가상 머신에서 실행되는 모든 소프트웨어를 사용자 지정할 수 있습니다. OS의 완전한 제어, 사용자 지정 소프트웨어 실행, 지정 호스팅 구성을 해야하는 경우 적합합니다.
단일 VM을 사용할 수도 있지만, VM을 그룹화하여 고가용성, 확장성 및 중복성을 제공할 수 있습니다. 그 방법 중 하나로 VMSS(Scale Sets)를 사용하며 부하 분산된 동일한 VM 그룹을 만들고 관리할 수 있습니다. 용도가 같은 머신에 대한 설정이나 네트워크 구성들을 일일이 지정하지 않고 자동화하여 중앙에서 몇 분만에 수 많은 VM을 관리, 구성, 업데이트할 수 있습니다. 또한 부하 분산 장치를 자동으로 배포하여 리소스가 효율적으로 사용되고 있는지 확인합니다.
가상 머신 가용성 집합의 개념이 있습니다. Azure에서만 제공하는 기능으로 복원력이 뛰어나고 고가용성인 환경을 빌드하는데 도움이 되는 또 다른 도구입니다. VM 업데이트에 시차를 주고 다양한 전원 및 네트워크 연결을 갖도록 하여 단일 네트워크 또는 전원 오류로 인해 전체 VM이 손실되지 않도록 합니다.
가용성은 이러한 목표를 위해 업데이트 도메인 및 장애 도메인이라는 두 방법으로 VM을 그룹화합니다.
업데이트 도메인이란 동시에 다시 부팅할 수 있는 VM을 그룹화합니다. 이렇게 설정하면 한번에 하나의 업데이트 도메인 그룹만 오프라인 상태가 되도록 하면서 업데이트를 적용할 수 있습니다. 하나의 업데이트 도메인에 있는 모든 컴퓨터가 업데이트되며 순서대로 업데이트가 진행되기에 서비스를 제공하면서도 업데이트가 가능합니다.
장애 도메인은 공통 전원 및 네트워크 스위치로 VM을 그룹화합니다. 기본적으로 가용성 집합은 최대 3개의 장애 도메인으로 VM을 분할하며, VM을 각각 장애 도메인에 두어 전원 및 네트워크 오류로부터 보호할 수 있습니다.
즉, 장애 도메인은 하나의 물리 전원과 네트워크 스위치를 사용하는 Rack을 의미합니다. VM을 하나의 랙에만 배치하지 않고 분산 배치하기에 가용성을 보장할 수 있는 환경이 구성됩니다.
Azure 가상 데스크톱은 또 다른 가상 머신의 유형이며 클라우드에서 실행되는 데스크톱 및 애플리케이션 가상화 서비스입니다. Microsoft Entra ID를 사용하여 사용자의 데스크톱에 대한 중앙 집중식 보안 관리를 제공합니다. MFA나 세부 RBAC을 사용자에게 할당하여 액세스를 보호할 수도 있습니다. (Windows 다중세션 가능)
컨테이너는 가상화 환경이며 단일 물리적 호스트에서 여러 가상머신을 실행하는 것과 매우 유사하지만 VM과 달리 운영 체제를 관리하지 않습니다. 운영체제 수준의 가상화 기술로 호스트와 리눅서 커널을 공유하면서도 프로세스를 격리된 환경에서 실행하는 기술입니다. 경량이며 동적으로 생성, 스케일링 아웃, 중지할 수 있도록 설계되었습니다.
Azure Container Instances를 사용하면 가상머신을 관리, 추가하지 않아도 컨테이너를 가장 빠르게 실행할 수 있습니다.
AKS(Azure Kubernetes Service)는 컨테이너 오케스트레이션 서비스로 컨테이너의 수명 주기를 관리하며 컨테이너 플릿(여러 컨테이너 그룹 단위)을 좀 더 효율적으로 관리할 수 있습니다.
Azure Functions는 이벤트 기반 서버리스 컴퓨팅 옵션으로 가상 머신이나 컨테이너 유지가 필요 없습니다. AWS Lambda Functions과 비슷한 기능을 제공하며 이벤트로 인해 Functions이 깨어나며 이벤트가 없을 경우 프로비저닝된 리소스를 유지할 필요가 완화됩니다. 인프라가 아니라 실행하는 코드에 대해서만 관심이 있는 경우 이상적이며, 이벤트에 대한 응답으로 작업을 유지하거나 빠르게 완료해야 할 간단한 작업이 있는 경우 효과적입니다. 기본적으로 상태를 저장하지 않으며 Durable Functions의 경우에는 컨텍스트가 함수를 통해 전달됩니다.
Azure App Service를 사용하면 인프라를 사용할 필요 없이 원하는 프로그래밍 언어로 웹앱, 백그라운드 작업 및 백엔드 서버, API를 빌드하고 호스트할 수 있습니다. 자동 확장 기능과 고가용성을 제공하며, 자동화된 배포를 사용하여 지속적인 배포 모델을 지원합니다. 앱을 호스트 하는 데 사용할 수 있는 강력한 옵션입니다. 사용자는 앱을 빌드하고 유지 관리하는 데 집중하고, Azure는 환경을 유지하고 실행하는 데 집중할 수 있습니다. (웹앱, API 앱, WebJobs, 모바일 웹)
Azure의 가상 네트워크와 가상 서브넷을 사용하면 리소스가 서로 통신할 수 있고 인터넷, 온프레미스 클라이언트 컴퓨터와 통신할 수도 있습니다. Azure Virtual Network는 격리, 인터넷 통신, 리소스간 통신, 온프레미스 리소스와 통신, 트래픽 라우팅, 필터링, 가상 네트워크 연결 등의 기능을 제공합니다.
가상 네트워크 연결은 피어링을 사용하여 제공되며, 네트워크 간 직접 연결되어 비공개로 공용 인터넷을 통하지 않고 Microsoft 백본 네트워크를 통해 통신할 수 있습니다. UDR(사용자 정의 경로)을 사용하면 가상 네트워크 내의 서브넷 간 또는 네트워크 간의 라우팅 테이블을 제어할 수 있습니다.
VPN은 다른 네트워크 내에서 암호화된 터널을 사용합니다. 일반적으로 VPN은 둘 이상의 신뢰할 수 있는 사설망을 신뢰할 수 없는 네트워크를 통해 서로 연결하기 위해 배포됩니다. 신뢰할 수 없는 네트워크를 통해 이동하는 동안 도청이나 기타 공격을 방지하지 위해 트래픽이 암호화됩니다. VPN을 사용하면 네트워크에서 중요한 정보를 안전하게 보안을 유지하며 공유할 수 있습니다.
VPN Gateway는 가상 네트워크 게이트웨이의 유형이며 Azure VPN Gateway는 가상 네트워크의 전용 서브넷에 배포되며 사이트 간 연결을 통해 온프레미스 데이터 센터를 가상 네트워크에 연결, 지점 및 사이트 간 연결을 통해 개별 디바이스를 가상 네트워크에 연결, 네트워크 간 연결을 통해 가상 네트워크를 다른 가상 네트워크에 연결하는 역할을 합니다.
각 가상 네트워크에는 한 개의 VPN Gateway만 배포 가능하며, 하나의 게이트웨이로 여러 네트워크 등을 연결할 수 있습니다. 설정에서 정책 기반 또는 경로 기반으로 VPN 유형을 지정해야 하며, 이 두 유형 간의 주요 차이점은 암호화가 필요한 트래픽을 결정하는 방법입니다. Azure에서는 VPN 유형에 관계없이 미리 공유된 키를 인증 방법으로 사용합니다.
고가용성 시나리오로는 활성/대기가 있고 VPN Gateway리소스가 하나만 표기되더라도 내부적으로는 활성-대기 구성의 두 인스턴스가 배포되며 장애 조치 중 연결이 중단되지만 일반적으로 90초 이내에 복원됩니다. BGP 라우팅 프로토콜에 대한 지원이 도입되면서 활성/활성 구성에서 VPN 배포가 가능합니다. 각 인스턴스에 고유한 Public IP가 할당되어 연결에 사용됩니다. 또 다른 시나리오로는 ExpressRoute 장애 조치, 영역 중복 게이트웨이(다른 게이트웨이 SKU 필요) 등이 있습니다.
Azure ExpressRoute를 사용하면 연결 공급자의 동무을 받아 프리이빗 연결을 통해 온프레미스 네트워크를 Microsoft 클라우드로 확장할 수 있습니다. 이 연결을 ExpressRoute 회로라고 합니다. 사무실, 데이터 센터 또는 기타 시설을 Azure클라우드에 연결할 수 있습니다. 각 위치에는 자체 ExpressRoute회로가 있습니다.
장점으로는 모든 지정학적 지역에 걸쳐 Azure서비스에 연결되며, BGP(Border Gateway Protocol)을 통해 네트워크와 Azure간 동적 라우팅, 높은 안정성을 위한 모든 피어링 위치의 기본 중복성입니다. 또한, BGP를 사용하므로 Azure에서 실행되는 서비스와 온프레미스 네트워크 간의 동적 라우팅이 가능합니다. ExpressRoute Direct는 대규모로 활성/활성 연결을 지원하는 이중 100Gbps 또는 10Gbps 연결을 제공합니다. ExpressRoute를 사용하면 데이터가 인터넷을 통해 이동하지 않으므로 인터넷 통신과 관련된 잠재적인 위험이 줄어듭니다. ExpressRoute는 온프레미스 인프라와 Azure 인프라 간의 프라이빗 연결입니다. ExpressRoute 연결이 있는 경우에도 DNS 쿼리, 인증서 해지 목록 확인 및 Azure Content Delivery Network 요청은 공용 인터넷을 통해 전송됩니다
Azure DNS는 이름 분석을 하는 DNS 도메인용 호스팅 서비스로 글로벌 네트워크에 호스팅되므로 복원력과 고가용성을 제공합니다. 또한 애니케스트 네트워킹을 사용하여 각 DNS 쿼리에 가장 가까운 가용 DNS서버가 응답하여 도메인에 대한 빠른 성능과 고가용성을 제공합니다. 추가로 외부 리소스에 대한 DNS, 프라이빗 DNS 도메인도 가능하며 별칭 레코드 집합도 지원합니다.