하이브리드 환경의 Azure Automation

Azure Automation의 Runbook은 Azure 클라우드 플랫폼에서 실행되며 다른 클라우드 또는 온-프레미스 환경의 리소스에 액세스하지 못할 수도 있습니다. Azure Automation의 Hybrid Runbook Worker 기능을 사용하여 역할을 호스트하는 머신에서 직접 그리고 환경의 리소스에 대해 Runbook을 실행하여 해당 로컬 리소스를 관리할 수 있습니다. Runbook은 Azure Automation에 저장 및 관리된 후 하나 이상의 할당된 컴퓨터에 전달됩니다.

아키텍처

이 아키텍처의 Visio 파일을 다운로드합니다.

워크플로

Hybrid Runbook Worker 아키텍처는 다음으로 구성됩니다.

• Automation 계정: Azure 및 비 Azure 환경에서 구성 및 관리를 자동화하는 클라우드 서비스입니다.
• Hybrid Runbook Worker: Hybrid Runbook Worker 기능으로 구성된 컴퓨터이며 로컬 환경의 리소스에 대해 컴퓨터에서 직접 Runbook을 실행할 수 있습니다.
• Hybrid Runbook Worker 그룹: 더 높은 가용성과 규모를 위해 여러 Hybrid Runbook Worker를 그룹화하여 Runbook 집합을 실행합니다.
• Runbook: 프로세스 또는 작업을 함께 자동화하는 하나 이상의 연결된 활동의 컬렉션입니다. 자세한 정보를 알아보세요.
• 온-프레미스 머신 및 VM: 프라이빗 로컬 영역 네트워크에서 호스트되는 Windows 또는 Linux 온-프레미스 컴퓨터 및 VM입니다.
• 확장 기반 접근 방식(V2)에 적용할 수 있는 구성 요소:
  • Hybrid Runbook Worker VM 확장: 컴퓨터에 설치된 작은 애플리케이션입니다. 애플리케이션은 컴퓨터를 Hybrid Runbook Worker로 구성합니다.
  • Arc 지원 서버: Azure Arc 지원 서버를 사용하면 Azure 외부, 회사 네트워크 또는 다른 클라우드 공급자에서 호스트되는 Windows 및 Linux 컴퓨터와 가상 머신을 관리할 수 있습니다. 이 관리 환경은 원시 Azure 가상 머신을 관리하는 방법과 일치하도록 설계되었습니다. 자세한 정보를 알아보세요.
• 에이전트 기반 접근 방식(V1)에 적용할 수 있는 구성 요소:
  • Log Analytics 작업 영역: Log Analytics 작업 영역은 Azure, 온-프레미스 또는 다른 클라우드 공급자에서 실행되는 리소스에서 수집되는 로그 데이터에 대한 데이터 리포지토리입니다.
  • Automation Hybrid Worker 솔루션: 이 솔루션을 사용하면 Hybrid Runbook Worker를 만들어 Azure 및 비 Azure 컴퓨터에서 Azure Automation Runbook을 실행합니다.

사용자 Hybrid Runbook Worker

이 아키텍처의 Visio 파일을 다운로드합니다.

각 사용자 Hybrid Runbook Worker는 작업자를 설치할 때 지정한 Hybrid Runbook Worker 그룹의 멤버입니다. 그룹에 단일 작업자가 포함될 수도 있지만 고가용성을 위해 그룹에 여러 작업자를 설치할 수 있습니다. 각 컴퓨터는 하나의 Automation 계정에 보고하는 Hybrid Runbook Worker 하나를 호스트할 수 있습니다. 이 하이브리드 작업자를 여러 Automation 계정에 등록할 수 없습니다. 하이브리드 작업자는 단일 Automation 계정의 작업만 수신 대기할 수 있습니다.

시스템 Hybrid Runbook Worker

이 아키텍처의 Visio 파일을 다운로드합니다.

업데이트 관리에 의해 관리되는 시스템 Hybrid Runbook Worker를 호스트하는 머신은 Hybrid Runbook Worker 그룹에 추가할 수 있습니다. 단, 업데이트 관리 및 Hybrid Runbook Worker 그룹 멤버 자격 모두에 대해 동일한 Automation 계정을 사용해야 합니다.

Hybrid Runbook Worker에서 작업 실행

사용자 Hybrid Runbook Worker에서 Runbook을 시작할 경우 이를 실행할 그룹을 지정합니다. 그룹의 각 작업자는 Azure Automation을 폴링하여 사용할 수 있는 작업이 있는지 확인합니다. 작업을 사용할 수 있는 경우 작업을 가져올 수 있는 첫 번째 작업자가 해당 작업을 수행합니다. 작업 큐의 처리 시간은 하이브리드 작업자 하드웨어 프로필 및 로드에 따라 달라집니다. 특정 작업자를 지정할 수 없습니다. 하이브리드 작업자는 폴링 메커니즘(30초마다)에 따라 작동하며 선착순 순서를 따릅니다.

구성 요소

• Azure Automation은 클라우드 관리 작업을 자동화하기 위한 Azure 서비스입니다. Hybrid Runbook Worker 기능을 사용하면 로컬 리소스를 관리하기 위해 데이터 센터에 있는 머신에서 Runbook을 실행할 수 있습니다.
• Azure Monitor는 애플리케이션, 인프라, 네트워크 전체에 대한 가시성을 제공합니다. Azure Monitor 로그는 모니터링되는 리소스에서 로그 및 성능 데이터를 수집하고 구성하는 Azure Monitor의 기능입니다. Log Analytics는 로그를 쿼리하고 결과를 분석하기 위한 Azure Portal의 도구입니다.

시나리오 정보

Hybrid Runbook Worker 설치 접근 방식

Azure Automation은 Azure 가상 머신 확장 프레임워크를 통해 Hybrid Runbook Worker 역할의 네이티브 통합을 제공합니다. Azure VM 에이전트는 Arc 지원 서버에 연결된 머신 에이전트를 통해 Azure VM(Windows 및 Linux)과 비 Azure 머신에서 확장을 관리합니다. Azure Automation에서 지원하는 두 개의 Hybrid Runbook Worker 설치 플랫폼이 있습니다.

Hybrid Worker는 에이전트 기반(V1) 및 확장 기반(V2)의 두 플랫폼과 공존할 수 있습니다. 이미 에이전트 기반(V1)을 실행 중인 Hybrid Worker에 확장 기반(V2)을 설치하면 그룹에 Hybrid Runbook Worker의 두 항목이 표시됩니다. 하나는 플랫폼 확장 기반(V2)이고, 다른 하나는 에이전트 기반(V1)입니다. 자세한 정보

Runbook Worker 유형

Runbook Worker에는 시스템과 사용자라는 두 가지 유형이 있습니다.

시스템은 업데이트 관리 기능에서 사용되는 숨겨진 Runbook 집합을 지원합니다. 이 Runbook은 Windows 및 Linux 머신에 사용자 지정 업데이트를 설치하도록 설계되었습니다. 이 유형의 Hybrid Runbook Worker는 Hybrid Runbook Worker 그룹의 멤버가 아니므로 Runbook Worker 그룹을 대상으로 하는 Runbook을 실행하지 않습니다.

사용자는 하나 이상의 Runbook Worker 그룹의 구성원인 Windows 및 Linux 머신에서 직접 실행하기 위한 사용자 정의 Runbook을 지원합니다.

확장 기반 Hybrid Runbook Worker는 사용자 Hybrid Runbook Worker 형식만 지원하며 업데이트 관리 기능에 필요한 시스템 Hybrid Runbook Worker는 포함하지 않습니다.

에이전트 기반(V1) Hybrid Runbook Worker는 Azure Monitor Log Analytics 작업 영역에 보고하는 Log Analytics 에이전트에 따라 다릅니다. 작업 영역은 머신에서 모니터링 데이터를 수집할 뿐만 아니라 에이전트 기반 Hybrid Runbook Worker를 설치하는 데 필요한 구성 요소를 다운로드합니다. Azure Automation 업데이트 관리를 사용하도록 설정하면 Log Analytics 작업 영역에 연결된 모든 머신이 시스템 Hybrid Runbook Worker로 자동으로 구성됩니다.

잠재적인 사용 사례

• Azure Automation Runbook을 기존 Azure VM(가상 머신) 또는 온-프레미스 Arc 지원 서버에서 직접 실행합니다.
• Azure Automation 샌드박스 제한을 극복합니다. 일반적인 시나리오에는 클라우드 작업에 대한 3시간 제한을 초과하는 장기 실행 작업 실행, 리소스 집약적 자동화 작업 수행, 온-프레미스 또는 하이브리드 환경에서 실행되는 로컬 서비스와 상호 작용, 상승된 권한이 필요한 스크립트 실행 등이 포함됩니다.
• 거버넌스 및 보안상의 이유로 Azure에 데이터를 보관하는 조직의 제한을 극복합니다. 클라우드에서 Automation 작업을 실행할 수는 없지만 Hybrid Runbook Worker로 온보딩된 온-프레미스 머신에서는 실행할 수 있습니다.
• 온-프레미스, 하이브리드 또는 다중 클라우드 환경에서 실행되는 여러 비 Azure 리소스에 대한 작업을 자동화합니다. 이러한 머신 중 하나를 Hybrid Runbook Worker로 온보딩하고 나머지 온-프레미스 머신에서 자동화를 대상으로 지정할 수 있습니다.
• 인터넷에 대한 아웃바운드 연결을 열지 않고도 Azure VNet(Virtual Network)에서 비공개로 다른 서비스에 액세스하려면 Azure 가상 네트워크에 연결된 Hybrid Worker에서 Runbook을 실행할 수 있습니다.

고려 사항

이러한 고려 사항은 워크로드의 품질을 향상시키는 데 사용할 수 있는 일단의 지침 원칙인 Azure Well-Architected Framework의 핵심 요소를 구현합니다. 자세한 내용은 Microsoft Azure Well-Architected Framework를 참조하세요.

안정성

안정성은 애플리케이션이 고객에 대한 약정을 충족할 수 있도록 보장합니다. 자세한 내용은 안정성 핵심 요소 개요를 참조하세요.

• Runbook은 실행 중인 정상 상태의 서버에서만 시작되기 때문에 둘 이상의 머신이 Hybrid Worker 역할로 구성된 Hybrid Runbook Worker 그룹에서는 고가용성을 제공합니다.
• 확장 기반(V1) Hybrid Runbook Worker는 사용자 Hybrid Runbook Worker 형식만 지원하며 업데이트 관리 기능에 필요한 시스템 Hybrid Runbook Worker는 포함하지 않습니다.
• 다음은 에이전트 기반 접근 방식(V1)에만 적용됩니다. 현재 Log Analytics 작업 영역과 Automation 계정 간의 매핑은 여러 지역에서 지원됩니다. 자세한 내용은 연결된 Log Analytics 작업 영역에 대해 지원되는 지역을 참조하세요.

보안

우수한 보안은 중요한 데이터 및 시스템에 대한 고의적인 공격과 악용을 방어합니다. 자세한 내용은 보안 요소의 개요를 참조하세요.

• Automation에서 중요한 자산 암호화: Azure Automation 계정에는 Runbook에서 사용할 수 있는 자격 증명, 인증서, 암호화된 변수와 같은 중요한 자산이 포함될 수 있습니다. 각 보안 자산은 기본적으로 각 Automation 계정에 대해 생성된 데이터 암호화 키를 사용하여 암호화됩니다. 이러한 키는 자체 키를 사용하여 암호화를 관리하려는 고객을 위해 Key Vault에 저장할 수 있는 AEK(계정 암호화 키)를 사용하여 Azure Automation에 암호화되고 저장됩니다. 기본값으로 AEK는 Microsoft 관리형 키를 사용하여 암호화됩니다. 다음 지침을 사용하여 Azure Automation 보안 자산의 암호화를 적용합니다.
• Runbook 권한: 기본적으로 Hybrid Runbook Worker용 Runbook 권한은 배포된 머신의 시스템 컨텍스트에서 실행됩니다. Runbook이 로컬 리소스에 자체 인증을 제공합니다. 인증은 Azure 리소스용 관리 ID를 사용하거나 실행 계정을 지정하여 모든 Runbook용 사용자 컨텍스트를 제공하도록 구성할 수 있습니다.
• 네트워크 계획:
  • Azure Automation과 Hybrid Runbook Worker를 실행하는 머신 간의 통신에 프록시 서버를 사용하는 경우 적절한 리소스에 액세스할 수 있는지 확인합니다. Hybrid Runbook Worker 및 Automation 서비스의 요청 제한 시간은 30초입니다. 3회 시도 후에는 요청이 실패합니다.
  • Hybrid Runbook Worker는 TCP 포트 443을 통해 아웃바운드 인터넷에 액세스하여 Automation과 통신해야 합니다. 방화벽을 사용하여 인터넷 액세스를 제한하는 경우 액세스를 허용하도록 방화벽을 구성해야 합니다. 인터넷 액세스가 제한된 에이전트 기반(V1) 컴퓨터의 경우 Log Analytics 게이트웨이를 사용하여 Azure Automation 및 Azure Log Analytics 작업 영역과의 통신을 구성할 수 있습니다.
  • 확장 기반 Linux Hybrid Runbook Worker를 구성할 때 CPU 할당량 제한은 5%입니다. Windows 확장 기반 Hybrid Runbook Worker에는 이러한 제한이 없습니다.
• Automation의 Azure 보안 기준: Automation의 Azure 보안 기준에는 모범 사례 지침에 따라 자산을 보호하기 위해 보안 구성을 개선하는 방법에 대한 권장 사항이 포함되어 있습니다.

비용 최적화

비용 최적화는 불필요한 비용을 줄이고 운영 효율성을 높이는 방법을 찾는 것입니다. 자세한 내용은 비용 최적화 핵심 요소 개요를 참조하세요.

• Azure Automation 비용은 분당 작업 실행에 대해 가격이 책정됩니다. 매월 프로세스 자동화의 첫 500분은 무료입니다. Azure 가격 계산기를 사용하여 비용을 예측합니다. Azure Automation 가격 책정 모델에 대한 자세한 내용은 Automation 가격 책정을 참조하세요.
• 에이전트 기반 접근 방식(V1)의 경우 Azure Log Analytics 작업 영역은 Azure Log Analytics에 저장된 로그 데이터의 양과 관련된 추가 비용을 생성할 수 있습니다. 가격 책정 모델은 소비를 기반으로 합니다. 비용은 데이터 수집 및 데이터 보존과 관련이 있습니다. Azure Log Analytics로 데이터를 수집하려면 용량 예약 또는 매월 청구 계정당 5GB의 무료 데이터를 포함하는 종량제 모델을 사용합니다. 처음 31일 동안의 데이터 보존은 무료입니다. Log Analytics에 대한 가격 책정 모델은 Azure Monitor 가격 책정을 참조하세요.

운영 우수성

운영 우수성은 애플리케이션을 배포하고 프로덕션에서 계속 실행하는 운영 프로세스를 다룹니다. 자세한 내용은 운영 우수성 핵심 요소 개요를 참조하세요.

관리 효율

• 확장 기반 접근 방식(V2)은 다음을 통해 에이전트 기반 접근 방식(V1)과 비교하여 관리 용이성을 제공합니다.
  • Hybrid Runbook Worker용 ARM ID와 기본적으로 통합되며 정책 및 템플릿을 통해 대규모 거버넌스를 위한 유연성을 제공합니다.
  • Microsoft Entra ID에서 제공하는 VM 시스템 할당 ID를 사용하기 때문에 ID 및 리소스 자격 증명을 중앙 집중식으로 제어하고 관리합니다.
  • Hybrid Runbook Worker를 온보딩하고 디보딩하는 동안 Azure 및 비 Azure 머신 모두에 대한 통합 환경입니다.
• 에이전트 기반 접근 방식(V1)에만 적용됩니다.
  • Windows 머신에서 실행되는 Hybrid Worker 역할을 사용하여 Log Analytics 에이전트의 배포를 가속화하려면 PowerShell 스크립트 New-OnPremiseHybridWorker.ps1을 사용합니다.
  • 온-프레미스 인프라의 많은 에이전트 배포는 명령줄 스크립트를 사용하여 오케스트레이션하고 그룹 정책 또는 System Center Configuration Manager를 사용하여 배포할 수 있습니다.

DevOps

• Azure Automation을 사용하면 Azure DevOps 및 GitHub와 같은 인기 있는 소스 제어 시스템과 통합할 수 있습니다. 소스 제어를 사용하면 이전에 격리된 환경에서 테스트된 스크립트 및 사용자 지정 코드를 포함하는 기존 개발 환경을 통합할 수 있습니다.
• Azure Automation을 소스 제어 환경과 통합하는 방법에 대한 자세한 내용은 소스 제어 통합 사용을 참조하세요.

참가자

Microsoft에서 이 문서를 유지 관리합니다. 원래 다음 기여자가 작성했습니다.

보안 주체 작성자:

• Mike Martin | 선임 클라우드 솔루션 설계자

비공개 LinkedIn 프로필을 보려면 LinkedIn에 로그인합니다.

다음 단계

Azure Automation 대한 자세한 정보:

• Hybrid Runbook Worker 개요
• 확장 기반 Windows 또는 Linux 사용자 Hybrid Runbook Worker 배포
• Automation에서 에이전트 기반의 Windows Hybrid Runbook Worker 배포
• Automation에 에이전트 기반 Linux Hybrid Runbook Worker 배포
• Azure Automation 계정 만들기
• 관리 ID를 사용하여 Azure Automation에서 Runbook 만들기
• Hybrid Runbook Worker에서 Automation Runbook 실행
• 필수 구성 요소: Azure Automation 네트워크 구성 세부 정보
• Azure Arc 개요
• Azure Arc 지원 서버란?

Azure Monitor 및 Monitor 로그에 대한 자세한 정보:

• Azure Monitor 로그 개요
• Azure Monitor의 Log Analytics 개요

관련 리소스

• 하이브리드 아키텍처 디자인
• Azure에 온-프레미스 네트워크 연결
• Azure Monitor를 사용한 엔터프라이즈 모니터링
• Azure의 컴퓨터 포렌식 관리 연속성
• Azure Stack Hub 가상 머신의 재해 복구