Azure Automation 업데이트 관리

이 참조 아키텍처는 Microsoft Azure 및 온-프레미스 Windows 및 Linux 컴퓨터 모두에서 업데이트를 관리하는 하이브리드 업데이트 관리 솔루션을 설계하는 방법을 보여 줍니다.

아키텍처

이 아키텍처의 Visio 파일을 다운로드합니다.

워크플로

이 아키텍처는 다음과 같은 서비스로 구성됩니다.

• Log Analytics 작업 영역:Log Analytics 작업 영역은 Azure, 온-프레미스 또는 다른 클라우드 공급자에서 실행되는 리소스에서 수집되는 로그 데이터에 대한 데이터 리포지토리입니다.
• Automation Hybrid Worker 솔루션:Hybrid Runbook Worker를 만들어 Azure 및 비 Azure 컴퓨터에서 Azure Automation Runbook을 실행합니다.
• Automation 계정: Azure 및 비 Azure 환경에서 구성 및 관리를 자동화하는 클라우드 서비스입니다.
• Hybrid Runbook Worker: Hybrid Runbook Worker 기능으로 구성된 컴퓨터이며 로컬 환경의 리소스에 대해 컴퓨터에서 직접 Runbook을 실행할 수 있습니다.
• Hybrid Runbook Worker 그룹: 고가용성을 위해 사용되는 Hybrid Runbook Worker 그룹입니다.
• Runbook: 프로세스 또는 작업을 함께 자동화하는 하나 이상의 연결된 활동의 컬렉션입니다.
• 온-프레미스 컴퓨터 및 VM: 이러한 컴퓨터는 온-프레미스에 있는 Windows 또는 Linux 운영 체제를 사용하는 온-프레미스 컴퓨터 및 VM입니다.
• Azure VM: Azure VM에는 Azure에서 호스트되는 Windows 또는 Linux VM이 포함됩니다.

구성 요소

• Azure Automation
• Azure Virtual Machines
• Azure Monitor
• Azure Arc

시나리오 정보

이 아키텍처의 일반적인 용도는 다음과 같습니다.

• Automation 계정의 업데이트 관리 구성 요소를 사용하여 온-프레미스 및 Azure에서 업데이트를 관리합니다.
• 정의된 유지 관리 기간 내에서 업데이트 설치를 오케스트레이션하기 위한 배포 일정을 사용합니다.

권장 사항

대부분의 시나리오의 경우 다음 권장 사항을 적용합니다. 이러한 권장 사항을 재정의하라는 특정 요구 사항이 있는 경우가 아니면 따릅니다.

업데이트 관리

업데이트 관리는 Automation의 구성 요소입니다. Azure 및 온-프레미스의 Windows 및 Linux 컴퓨터는 Log Analytics 작업 영역에 누락된 업데이트에 대한 평가 정보를 보냅니다. 그런 다음 Azure Automation는 해당 정보를 사용하여 누락된 업데이트의 자동 배포 일정을 만듭니다.

다음 단계에서는 실제 구현을 강조 표시합니다.

1. Log Analytics 작업 영역을 만듭니다.
2. Automation 계정을 만듭니다.
3. Automation 계정과 Log Analytics 작업 영역을 연결합니다.
4. Azure VM에 업데이트 관리를 사용합니다.
5. 비 Azure VM에 업데이트 관리를 사용합니다.

Log Analytics 작업 영역 만들기

Log Analytics 작업 영역을 만들기 전에 적어도 Log Analytics 기여자 역할 권한이 있는지 확인합니다.

데이터 격리 또는 데이터 스토리지의 지리적 위치에 대해 둘 이상의 Log Analytics 작업 영역을 가질 수 있지만, Log Analytics 에이전트는 하나의 Log Analytics 작업 영역에 보고하도록 구성할 수 있습니다. 자세한 내용은 작업 영역을 만들기 전에 Azure Monitor 로그 배포 디자인을 검토하세요.

다음 절차를 사용하여 Log Analytics 작업 영역을 만듭니다.

1. https://portal.azure.com 에서 Azure Portal에 로그인합니다.
2. Azure Portal에서 리소스 생성를 선택합니다.
3. Marketplace 검색 상자에 Log Analytics를 입력합니다. 이 문자의 입력을 시작하면 입력한 내용을 바탕으로 목록이 필터링됩니다. Log Analytics 작업 영역을 선택합니다.
4. 만들기를 선택한 후, 다음 항목을 구성합니다.
   1. 기본 선택이 적절하지 않은 경우 드롭다운 목록에서 다른 구독을 선택합니다.
   2. 리소스 그룹의 경우 이미 설정된 기존 리소스 그룹을 사용하도록 선택하거나 새 리소스 그룹을 만듭니다.
   3. HybridWorkspace-yourname과 같은 새 Log Analytics 작업 영역에 고유한 이름을 제공합니다.
   4. 배포를 위한 위치를 선택합니다.
   5. 가격 책정 계층을 선택하여 추가 사용자 지정을 진행합니다.
   6. 2018년 4월 2일 이후에 만들어진 구독에서 작업 영역을 만드는 경우 GB당 가격 책정 계획이 자동으로 사용되며 가격 책정 계층을 선택할 수 있는 옵션이 제공되지 않습니다. 해당 날짜 전에 만들어진 기존 구독 또는 기존 EA(기업계약) 등록과 연결된 구독을 위해 작업 영역을 만드는 경우 선호하는 가격 책정 계층을 선택합니다. 특정 계층에 대한 자세한 내용은 Log Analytics 가격 책정 정보를 참조하세요.
   7. 태그를 선택하고 필요에 따라 리소스 분류를 위한 이름과 값을 제공합니다.
   8. 검토 + 생성를 선택합니다.
5. Log Analytics 작업 영역 창에서 필요한 정보를 제공한 후 만들기를 선택합니다.

Automation 계정 만들기

Automation Hybrid Worker 솔루션이 Log Analytics 작업 영역에 추가된 후 Automation 계정 만들기를 진행합니다. 연결된 Log Analytics 작업 영역에 대해 지원되는 지역을 참조하여 Automation 계정 및 Log Analytics 작업 영역에 대한 지역을 선택합니다. 지역 매핑 문서를 기반으로 하고 가능하면 Log Analytics 작업 영역과 동일한 리소스 그룹에 Automation 계정을 만드는 것이 중요합니다.

다음 절차를 사용하여 작업 계정을 만들 수 있습니다.

1. Azure Portal에서 리소스 생성를 선택합니다.
2. Marketplace 검색 텍스트 상자에 Automation을 입력합니다. 이 문자의 입력을 시작하면 입력한 내용을 바탕으로 목록이 필터링됩니다. Automation을 선택한 다음, 만들기를 선택합니다.
3. 만들기를 선택한 후, 다음 항목을 구성합니다.
   1. Automation 계정에 대한 이름(예: hybrid-auto)을 지정합니다.
   2. 기본 선택이 적절하지 않은 경우 드롭다운 목록에서 다른 구독을 선택합니다.
   3. 리소스 그룹의 경우 자동화 계정을 만들려는 동일한 리소스 그룹을 선택합니다.
   4. 지역 매핑 문서를 기반으로 위치를 선택합니다.
   5. Automation Runbook에서 Azure 리소스를 관리하기 위해 Azure 인증만 제공하므로 Azure 실행 계정 만들기는 선택 사항입니다.
4. Automation 계정 추가 창에 필요한 정보를 입력한 다음, 만들기를 선택합니다.

Automation 계정과 Log Analytics 작업 영역을 연결합니다.

Automation 계정은 Log Analytics 작업 영역에 배포하는 Hybrid Runbook Worker 구성 요소를 사용합니다. 온-프레미스 컴퓨터에 Log Analytics 에이전트를 배포하기 전에 이러한 서비스를 통합해야 합니다. 현재 Log Analytics 작업 영역과 Automation 계정 간의 매핑은 여러 지역에서 지원됩니다. 자세한 내용은 연결된 Log Analytics 작업 영역에 지원되는 지역을 참조하세요.

다음 절차에 따라 Automation 계정을 Log Analytics 작업 영역과 연결합니다.

1. Azure Portal에서 모든 서비스를 선택한 다음 자동화를 입력합니다. 이 문자의 입력을 시작하면 입력한 내용을 바탕으로 목록이 필터링됩니다. Automation 계정을 선택한 다음, 이전에 만든 Automation 계정을 선택합니다.
2. Automation 계정 창의 업데이트 관리 섹션에서 업데이트 관리를 선택합니다.
3. 업데이트 관리 창에서 다음 항목을 구성합니다.
   1. 기본 선택이 적절하지 않은 경우 드롭다운 목록에서 다른 구독을 선택합니다.
   2. Log Analytics 작업 영역의 경우 기존 Log Analytics 작업 영역을 선택합니다. 예를 들어 HybridWorkspace-yourname입니다.
4. 업데이트 관리 창에서 필요한 정보를 제공한 후 사용을 선택합니다.

Azure VM에 업데이트 관리 사용.

다음 도구를 사용하여 Azure VM에 대한 업데이트 관리를 사용하도록 설정합니다.

• Azure Resource Manager 템플릿. Microsoft는 Azure Log Analytics 작업 영역 만들기, Automation 계정 만들기, Automation 계정을 Log Analytics 작업 영역에 연결하기 및 업데이트 관리 사용 설정을 자동화할 수 있는 샘플 템플릿을 제공합니다.
• Azure Portal에서 업데이트 관리 다른 지역에 있는 여러 VM을 업데이트하려는 경우 이 메서드를 사용합니다.
• Azure VM에서 업데이트 관리 선택한 VM에 대한 업데이트가 구성됩니다.
• Automation 계정에서 업데이트 관리 Azure와 비 Azure 컴퓨터 및 VM을 동시에 업데이트하려는 경우 이 메서드를 사용합니다.
• Runbook에서 업데이트 관리 이 메서드를 사용하여 업데이트 관리를 다른 자동화 작업과 결합된 자동화된 프로시저로 사용하도록 설정합니다.

다음 절차를 사용하여 Azure VM에 대한 업데이트 관리를 사용하도록 설정합니다.

1. Azure Portal에서 모든 서비스를 선택한 다음 자동화를 입력합니다. 이 문자의 입력을 시작하면 입력한 내용을 바탕으로 목록이 필터링됩니다. Automation 계정을 선택한 다음, 이전에 만든 Automation 계정을 선택합니다.
2. Automation 계정 창의 업데이트 관리 섹션에서 업데이트 관리를 선택합니다.
3. 업데이트 관리 창에서 Azure VM 추가를 선택하고, 업데이트 관리가 준비된 하나 이상의 VM을 선택한 다음 사용을 선택합니다.

Log Analytics 에이전트를 배고하고 Log Analytics 작업 영역에 연결하기

Hybrid Runbook Worker 구성 요소 배포는 Log Analytics 에이전트 배포의 일부입니다.

Azure VM을 사용하여 솔루션을 테스트하는 경우 Linux 및 Windows용 VM 확장을 사용하여 Log Analytics 에이전트를 설치하고 기존 Log Analytics 작업 영역에 VM을 등록할 수 있습니다. Azure Automation Desired State Configuration, Windows PowerShell 스크립트를 사용하거나 VM용 Resource Manager 템플릿을 사용하여 에이전트를 배포할 수도 있습니다. 자세한 내용은 Azure Monitor에 Windows 컴퓨터 연결을 참조하세요.

비 Azure VM의 경우 물리적 Windows 및 Linux 컴퓨터 또는 사용자 환경에 있는 VM 모두에서 수동 또는 자동화된 프로세스를 사용하여 에이전트를 배포합니다.

Windows 컴퓨터의 경우 TLS(전송 계층 보안) 1.2 프로토콜을 사용하여 Log Analytics 서비스와 통신하도록 에이전트를 구성합니다. 배포 절차에 대한 자세한 설명은 Azure Monitor에 Windows 컴퓨터 연결을 참조하세요.

Linux용 Log Analytics 에이전트를 배포할 수 있습니다.

• 각 에이전트 구성 요소에 대한 Debian 및 RPM(Red Hat Package Manager) 패키지가 포함된 셸 스크립트 번들을 사용하여 수동으로 수행합니다. Linux 컴퓨터에 인터넷 연결이 없고 Log Analytics 게이트웨이를 통해 Log Analytics 서비스와 통신하는 경우에 권장됩니다.
• 컴퓨터가 인터넷에 연결되어 있을 때 GitHub에서 호스트되는 래퍼 스크립트를 사용합니다.

Log Analytics 작업 영역의 작업 영역 ID 및 키를 사용하여 Log Analytics 작업 영역과 통신하도록 Log Analytics 에이전트를 구성해야 합니다.

다음 절차에 따라 Log Analytics 에이전트를 배포하고 Log Analytics 작업 영역에 연결합니다.

1. Azure Portal에서 Log Analytics 작업 영역을 검색하여 선택합니다.
2. Log Analytics 작업 영역 목록에서 에이전트가 보고에 사용하는 작업 영역을 선택합니다.
3. 에이전트 관리를 선택합니다.
4. 작업 영역 ID 및 기본 키를 복사하여 즐겨찾는 편집기에 붙여넣습니다.
5. Log Analytics 작업 영역에서 이전에 찾아본 Windows 서버 페이지에서 적절한 Windows 에이전트 다운로드 버전을 선택하여 Windows 운영 체제의 프로세서 아키텍처를 기반으로 다운로드합니다.
6. 설치를 실행하여 컴퓨터에 에이전트를 설치합니다.
7. Welcome 페이지에서 다음을 선택합니다.
8. 사용 조건 페이지에서 라이선스를 읽고 동의함을 선택합니다.
9. 대상 폴더 페이지에서 기본 설치 폴더를 변경 또는 유지하고 다음을 선택합니다.
10. 에이전트 설치 옵션 페이지에서 Azure Log Analytics에 에이전트를 연결하도록 선택한 후 다음을 선택합니다.
11. Azure Log Analytics 페이지에서 다음 단계를 수행합니다.
    1. 앞에서 복사한 작업 영역 ID 및 작업 영역 키(기본 키) 를 붙여넣습니다. 컴퓨터가 Microsoft Azure Government 클라우드에서 Log Analytics 작업 영역에 보고하는 경우 Azure Cloud 드롭다운 목록에서 Azure 미국 정부를 선택합니다.
    2. 컴퓨터가 프록시 서버를 통해 Log Analytics 서비스와 통신해야 하는 경우 고급을 선택한 다음, 프록시 서버의 URL 및 포트 번호를 제공합니다. 프록시 서버에 인증이 필요한 경우 사용자 이름과 암호를 입력하여 프록시 서버로 인증한 후 다음을 선택합니다.
12. 필요한 구성 설정 제공을 완료한 후 다음을 선택합니다.

비 Azure 컴퓨터에 대한 업데이트 관리 사용

비 Azure 컴퓨터에서 업데이트 관리를 사용하도록 설정하려면 다음과 같은 필수 구성 요소가 있습니다.

• Log Analytics 에이전트를 배고하고 Log Analytics 작업 영역에 연결합니다.

이전 절차에서는 이러한 필수 구성 요소를 구성하는 방법을 설명합니다.

온-프레미스 컴퓨터에 Log Analytics 에이전트를 설치한 후 다음 절차를 사용하여 Azure Portal에서 업데이트 관리를 사용하도록 설정합니다.

1. Azure Portal에서 모든 서비스를 선택한 다음 자동화를 입력합니다. 이 문자의 입력을 시작하면 입력한 내용을 바탕으로 목록이 필터링됩니다. Automation 계정을 선택한 다음, 이전에 만든 Automation 계정을 선택합니다.
2. Automation 계정 창의 업데이트 관리 섹션에서 업데이트 관리를 선택합니다.
3. 업데이트 관리 창에서 머신 관리를 선택한 다음 나열되고 구성된 컴퓨터를 선택하여 로그 데이터를 Log Analytics 작업 영역으로 보냅니다.
4. 사용을 선택하여 비 Azure 머신에서 업데이트 관리 구성을 완료합니다.

업데이트 관리에서 관리되는 각 Windows 컴퓨터는 경우 해당 Automation 계정의 Hybrid Worker 그룹 창에 시스템 Hybrid Worker 그룹으로 표시됩니다. 이러한 그룹은 자동화된 작업에 대해 Runbook을 사용하여 그룹을 타게팅하는 것이 아니라 업데이트를 배포하는 데만 사용합니다.

고려 사항

이러한 고려 사항은 워크로드의 품질을 향상시키는 데 사용할 수 있는 일단의 지침 원칙인 Azure Well-Architected Framework의 핵심 요소를 구현합니다. 자세한 내용은 Microsoft Azure Well-Architected Framework를 참조하세요.

관리 효율

Azure VM 및 비 Azure 머신에 대한 업데이트 관리

Azure VM 및 비 Azure 컴퓨터 모두에 필요한 모든 누락 업데이트에 대한 업데이트 평가는 Automation 계정의 업데이트 관리 섹션에 표시됩니다.

Azure Portal이나 PowerShell을 사용하여 업데이트 배포를 예약합니다. 그러면 Patch-MicrosoftOMSComputers Runbook에 연결된 일정 자산이 만들어집니다.

다음 절차를 사용하여 새 업데이트 배포를 예약합니다.

1. Automation 계정에서 업데이트 관리로 이동한 다음, 업데이트 관리에서 업데이트 배포 예약을 선택합니다.

2. 새 업데이트 배포에서 이름 상자를 사용하여 배포의 고유한 이름을 입력합니다.

3. 업데이트 배포의 대상 운영 체제를 선택합니다.

4. 업데이트할 그룹 창에서 구독, 리소스 그룹, 위치 및 태그가 결합된 쿼리를 정의하여 배포에 포함할 Azure VM의 동적 그룹을 빌드합니다. 자세히 알아보려면 업데이트 관리에서 동적 그룹 사용을 참조하세요.

5. 업데이트할 머신 창에서 저장된 검색, 가져온 그룹을 선택하거나 드롭다운 메뉴에서 머신을 선택한 다음, 개별 머신을 선택합니다.

6. 업데이트 분류 드롭다운 메뉴를 사용하여 제품의 업데이트 분류를 지정합니다.

7. 업데이트 포함/제외 창을 사용하여 배포할 특정 업데이트를 선택합니다.

8. 설정 예약을 선택하여 컴퓨터에서 업데이트 배포가 실행되는 시간을 정의합니다.

9. 되풀이 상자를 사용하여 배포가 한 번 발생하는지 또는 되풀이 일정을 사용하는지 지정한 다음, 확인을 선택합니다.

10. 사전 스크립트 + 사후 스크립트(미리 보기) 영역에서 배포 전후에 실행할 스크립트를 선택합니다. 자세히 알아보려면 사전 스크립트 및 사후 스크립트 관리를 참조하세요.

11. 유지 관리 기간(분) 상자를 사용하여 업데이트 설치에 허용되는 시간을 지정합니다.

12. 다시 부팅 옵션 상자를 사용하여 배포 중에 다시 부팅을 처리하는 방법을 지정할 수 있습니다.

13. 배포 일정 구성을 마쳤으면 만들기를 클릭합니다.

완료된 업데이트 배포의 결과는 기록 탭의 업데이트 관리 창에 표시됩니다.

Windows 업데이트 설정 구성

Azure 업데이트 관리는 Windows 업데이트(기본 설정) 또는 Windows Server 업데이트 서버에서 업데이트를 다운로드하고 설치하는 Windows 업데이트 클라이언트에 따라 달라집니다. 다음을 사용하여 WSUS(Windows Server Update Services)에 연결하도록 Windows 업데이트 클라이언트 설정을 구성합니다.

• 로컬 그룹 정책 편집기
• 그룹 정책
• PowerShell
• 레지스트리 직접 편집

자세한 내용은 Windows 업데이트 설정을 구성하는 방법을 참조하세요.

업데이트 관리를 Microsoft Endpoint Configuration Manager와 통합

소프트웨어 업데이트 관리 주기는 이미 이 제품을 사용하여 PC, 서버 및 모바일 디바이스를 관리하는 고객을 위해 Microsoft Endpoint Configuration Manager를 사용하여 통합할 수 있습니다.

소프트웨어 업데이트 관리를 Endpoint Configuration Manager와 통합하려면 먼저 Endpoint Configuration Manager를 Azure Monitor 로그와 통합하고 Log Analytics 작업 영역에서 컬렉션을 가져옵니다.

자세한 내용은 Azure Monitor에 Configuration Manager 연결을 참조하세요.

로컬 컴퓨터에서 업데이트를 관리하려면 다음을 사용하여 업데이트를 구성합니다.

• Endpoint Configuration Manager 클라이언트입니다.
• 업데이트 관리를 사용하는 Log Analytics 작업 영역에 보고하도록 구성된 Log Analytics 에이전트입니다.
• WSUS와 통신하거나 Microsoft 업데이트에 액세스할 수 있도록 구성된 Windows 에이전트입니다.

Endpoint Configuration Manager를 사용하여 컴퓨터에서 업데이트를 관리하려면 Endpoint Configuration Manager 컴퓨터에 다음 역할을 배포합니다.

• 관리 지점 이 사이트 시스템 역할은 구성 설정 및 서비스 위치 정보를 포함하는 정책을 사용하여 클라이언트를 관리합니다.
• 배포 지점입니다. 여기에는 클라이언트에 대한 원본 파일이 포함됩니다.
• 소프트웨어 업데이트 지점입니다. 이는 WSUS를 호스팅하는 서버의 역할입니다.

다음을 사용하여 소프트웨어 업데이트를 관리합니다.

• Endpoint Configuration Manager
• Azure Automation

Windows 머신의 파트너 업데이트는 System Center Update Publisher(SCUP)가 제공하는 사용자 지정 리포지토리에서 배포할 수 있습니다. SCUP은 독립 실행형 WSUS에 있거나 Endpoint Configuration Manager와 통합된 사용자 지정 업데이트를 가져올 수 있습니다.

자세한 내용은 Windows Endpoint Configuration Manager를 사용한 업데이트 관리 통합을 참조하세요.

PowerShell 스크립트를 사용하여 Log Analytics 에이전트 배포

Windows 컴퓨터에서 실행되는 Hybrid Worker 역할을 사용하여 Log Analytics 에이전트의 배포를 가속화하려면 New-OnPremiseHybridWorker.ps1 PowerShell 스크립트를 사용합니다. 이 스크립트는

• 필요한 패키지를 설치합니다.
• Azure 계정으로 로그인합니다.
• 지정된 리소스 그룹 및 Automation 계정이 있는지 확인합니다.
• Automation 계정 특성에 대한 참조를 만듭니다.
• 지정되지 않은 경우 Azure Monitor Log Analytics 작업 영역을 만듭니다.
• 작업 영역에서 Automation 솔루션을 사용하도록 설정합니다.
• Windows 운영 체제용 Log Analytics 에이전트를 다운로드하여 설치합니다.
• 컴퓨터를 Hybrid Runbook Worker로 등록합니다.

온-프레미스 인프라에 많은 에이전트를 배포하는 작업은 명령줄 스크립트를 사용하고 그룹 정책 또는 Endpoint Configuration Manager를 사용하여 오케스트레이션할 수 있습니다.

Azure 및 비 Azure 머신용 동적 그룹 사용

Azure VM용 동적 그룹은 다음의 조합에 따라 VM을 필터링합니다.

• Subscriptions
• 리소스 그룹
• 위치
• 태그들

비 Azure 컴퓨터용 동적 그룹은 저장된 검색을 사용하여 업데이트 배포를 위해 컴퓨터를 필터링합니다. 저장된 검색(컴퓨터 그룹이라고도 함)은 다음을 사용하여 만들 수 있습니다.

• 로그 쿼리입니다. Azure Data Explorer를 사용하여 컴퓨터를 필터링하는 논리 식을 정의합니다.
• Active Directory Domain Services. 그룹은 Active Directory 도메인의 모든 멤버에 대한 Log Analytics 작업 영역에 만들어집니다.
• Endpoint Configuration Manager입니다. Endpoint Configuration Manager의 컴퓨터 컬렉션을 Log Analytics 작업 영역으로 가져옵니다.
• WSUS입니다. WSUS 서버에서 만든 그룹을 Log Analytics 작업 영역으로 가져올 수 있습니다.

업데이트 배포를 위해 컴퓨터를 필터링하기 위한 컴퓨터 그룹을 만드는 방법에 대한 자세한 내용은 Azure Monitor 로그 쿼리의 컴퓨터 그룹을 참조하세요.

확장성

Azure Automation은 업데이트 배포당 최대 1000대까지 컴퓨터를 처리할 수 있습니다. 업데이트할 컴퓨터의 수가 1000대를 초과할 것으로 예상되면 업데이트를 여러 일정으로 나누어 진행하는 것이 좋습니다. Azure 구독 및 서비스 제한, 할당량 및 제약 조건을 참조합니다.

가용성

• 현재 Log Analytics 작업 영역과 Automation 계정 간의 매핑은 여러 지역에서 지원됩니다. 자세한 내용은 연결된 Log Analytics 작업 영역에 지원되는 지역을 참조하세요.
• 지원되는 클라이언트 유형: 업데이트 평가 및 패치는 Azure 또는 온-프레미스 환경에서 실행되는 Windows 및 Linux 컴퓨터에서 지원됩니다. 현재 Windows 클라이언트는 공식적으로 지원되지 않습니다. 지원되는 클라이언트 목록은 지원되는 클라이언트 유형을 참조하세요.

보안

우수한 보안은 중요한 데이터 및 시스템에 대한 고의적인 공격과 악용을 방어합니다. 자세한 내용은 보안 요소의 개요를 참조하세요.

• 업데이트 관리 권한: Automation의 업데이트 관리 구성 요소와 Monitor의 Log Analytics 작업 영역 구성 요소는 Azure Resource Manager의 기본 제공 역할과 함께 Azure RBAC(Azure 역할 기반 액세스 제어)를 사용할 수 있습니다. 업무를 분리하기 위해 이러한 역할을 다른 사용자, 그룹 및 보안 주체에 할당할 수 있습니다. Automation 계정의 역할 목록은 역할 권한 및 보안 관리를 참조하세요.
• Automation에서 중요한 자산 암호화: Automation 계정에는 Runbook에서 사용할 수 있는 자격 증명, 인증서 및 암호화된 변수와 같은 중요한 자산이 포함될 수 있습니다. 각 보안 자산은 기본적으로 각 Automation 계정에 대해 생성된 데이터 암호화 키를 사용하여 암호화됩니다. 이러한 키는 자체 키를 사용하여 암호화를 관리하려는 고객을 위해 Azure Key Vault에 저장할 수 있는 계정 암호화 키를 사용하여 Automation에 암호화되고 저장됩니다. 기본적으로 계정 암호화 키는 Microsoft 관리형 키를 사용하여 암호화됩니다. 다음 지침을 사용하여 Azure Automation 보안 자산의 암호화를 적용합니다.
• Hybrid Runbook Worker용 Runbook 권한: 기본적으로 Hybrid Runbook Worker용 Runbook 권한은 배포된 컴퓨터의 시스템 컨텍스트에서 실행됩니다. Runbook이 로컬 리소스에 자체 인증을 제공합니다. 인증은 Azure 리소스용 관리 ID를 사용하거나 실행 계정을 지정하여 모든 Runbook용 사용자 컨텍스트를 제공하도록 구성할 수 있습니다.
• 네트워크 계획: Hybrid Runbook Worker는 TCP 포트 443을 통해 아웃바운드 인터넷에 액세스하여 Automation과 통신해야 합니다. 인터넷 액세스가 제한된 컴퓨터의 경우 Log Analytics 게이트웨이를 사용하여 Automation 및 Azure Log Analytics 작업 영역과의 통신을 구성할 수 있습니다.
• Automation용 Azure 보안 기준: Automation용 Azure 보안 기준에는 모범 사례 지침에 따라 자산을 보호하기 위해 전반적인 보안을 강화하는 방법에 대한 권장 사항이 포함되어 있습니다.

DevOps

• REST API를 통해 프로그래밍 방식으로 업데이트 배포를 예약할 수 있습니다. 자세한 내용은 소프트웨어 업데이트 구성 - 만들기를 참조하세요.
• Azure Automation을 사용하면 Azure DevOps 및 GitHub와 같은 인기 있는 소스 제어 시스템과 통합할 수 있습니다. 소스 제어를 사용하면 이전에 격리된 환경에서 테스트된 스크립트 및 사용자 지정 코드를 포함하는 기존 개발 환경을 통합할 수 있습니다.
• Automation을 소스 제어 환경과 통합하는 방법에 대한 자세한 내용은 소스 제어 통합 사용을 참조하세요.

비용 최적화

비용 최적화는 불필요한 비용을 줄이고 운영 효율성을 높이는 방법을 찾는 것입니다. 자세한 내용은 비용 최적화 핵심 요소 개요를 참조하세요.

• Azure 가격 계산기를 사용하여 비용을 예측합니다. Automation 가격 책정 모델에 대한 자세한 내용은 Automation 가격 책정을 참조하세요.
• Azure Automation 비용은 분당 작업 실행 또는 노드당 구성 관리에 대해 가격이 책정됩니다. 매달 5개 노드에서 실행되는 프로세스 자동화 및 구성 관리의 첫 500분은 무료입니다.
• Azure Log Analytics 작업 영역은 Azure Log Analytics에 저장된 로그 데이터의 양과 관련하여 더 많은 비용이 발생할 수 있습니다. 가격 책정은 소비를 기반으로 하며 비용은 데이터 수집 및 데이터 보존과 관련이 있습니다. Azure Log Analytics로 데이터를 수집하려면 각 청구 계정에 대해 한 달에 5GB(무료)를 포함하는 용량 예약 또는 종량제 모델을 사용합니다. 처음 31일 동안의 데이터 보존은 무료입니다.
• Azure 가격 계산기를 사용하여 비용을 예측합니다. Log Analytics 가격 책정 모델에 대한 자세한 내용은 Azure Monitor 가격 책정을 참조하세요.

참가자

Microsoft에서 이 문서를 유지 관리합니다. 원래 다음 기여자가 작성했습니다.

보안 주체 작성자:

• Mike Martin | 선임 클라우드 솔루션 아키텍트

비공개 LinkedIn 프로필을 보려면 LinkedIn에 로그인합니다.

다음 단계

Azure Automation에 대한 자세한 정보:

• Hybrid Runbook Worker 개요
• Azure Automation 계정 만들기
• 필수 구성 요소: Azure Automation 네트워크 구성 세부 정보
• Azure Automation 업데이트 관리
• Azure Monitor의 Log Analytics 개요
• VM 인사이트 개요
• Azure Arc 개요
• Azure Arc 지원 서버란?

관련 참고 자료

• 하이브리드 환경의 Azure Automation
• 이벤트 기반 클라우드 자동화
• Azure Automation 상태 구성