Azure 랜딩 존 FAQ(질문과 대답)

이 문서에서는 Azure 랜딩 존 아키텍처에 대한 질문과 대답을 제공합니다.

Azure 랜딩 존 아키텍처 구현에 대한 FAQ는 엔터프라이즈급 구현 FAQ를 참조하세요.

Azure 랜딩 존 가속기란?

Azure 랜딩 존 가속기는 Azure Portal 기반 배포 환경입니다. Azure 랜딩 존 개념 아키텍처를 기반으로 독자적인 구현을 배포합니다.

Azure 랜딩 존에 권장되는 가속기 및 구현은 무엇입니까?

Microsoft는 Azure 랜딩 존 디자인 원칙 및 디자인 영역 지침에 따라 플랫폼 및 애플리케이션 가속기 및 구현을 적극적으로 개발하고 기본.

Azure 랜딩 존 배포 지침을 검토하여 권장되는 플랫폼 및 애플리케이션 랜딩 존에 대해 자세히 알아보세요.

요구 사항에 맞게 Azure 랜딩 존 배포를 조정하는 방법을 알아보려면 요구 사항에 맞게 Azure 랜딩 존 아키텍처 조정을 참조 하세요.

팁

가속기 및 구현 목록에 추가를 요청하려면 ALZ 리포지토리에서 GitHub 문제를 제기합니다.

Azure 랜딩 존 개념 아키텍처란?

Azure 랜딩 존 개념 아키텍처는 규모 및 완성도 의사 결정을 나타냅니다. 이는 Azure를 디지털 자산의 일부로 채택한 고객의 피드백과 학습된 교훈을 기반으로 합니다. 이 개념 아키텍처는 조직이 랜딩 존을 설계하고 구현하기 위한 방향을 설정하는 데 도움이 될 수 있습니다.

Azure 랜딩 존 아키텍처의 컨텍스트에서 랜딩 존은 Azure의 무엇에 매핑되나요?

Azure 랜딩 존 관점에서 랜딩 존은 개별 Azure 구독입니다.

정책 기반 거버넌스는 무엇을 의미하며 어떻게 작동하나요?

정책 기반 거버넌스는 엔터프라이즈급 아키텍처의 주요 디자인 원칙 중 하나입니다.

정책 기반 거버넌스는 Azure 테넌트 전체에서 일반적이고 반복되는 운영 작업에 필요한 시간을 Azure Policy를 사용하여 줄이는 것을 의미합니다. 정책 정의에 정의된 대로 미준수 리소스의 생성 또는 업데이트를 제한하거나, 리소스를 배포하거나 리소스 생성 또는 업데이트 요청에 대한 설정을 수정하여 규정 미준수를 방지하려면 Append, Deny, DeployIfNotExists 및 Modify 같은 많은 Azure Policy 효과를 사용합니다. Audit, Disabled 및 AuditIfNotExists 같은 일부 효과는 미준수를 방지하거나 조치를 취하지 않으며, 미준수를 감사하고 보고하기만 합니다.

정책 기반 거버넌스의 몇 가지 예는 다음과 같습니다.

• Deny 효과: 연결된 네트워크 보안 그룹이 없도록 서브넷을 만들거나 업데이트하지 못하도록 합니다.

• DeployIfNotExists 효과: 새 구독(랜딩 존)이 만들어지고 Azure 랜딩 존 배포 내의 관리 그룹에 배치됩니다. Azure Policy는 구독에서 클라우드용 Microsoft Defender(이전 명칭 Azure Security Center)를 사용하도록 설정합니다. 또한 활동 로그에 대한 진단 설정을 구성하여 관리 구독의 Log Analytics 작업 영역에 로그를 보냅니다.

  DeployIfNotExists 정책 정의는 새 구독이 생성되면 코드 또는 수동 작업을 반복하는 대신 자동으로 배포하고 구성합니다.

DINE(DeployIfNotExists) 정책을 사용할 수 없거나 아직 준비되지 않은 경우 어떻게 해야 할까요?

DINE 정책을 "사용하지 않도록 설정"하거나 3단계 접근 방식을 사용하여 환경 내에서 시간이 지남에 따라 채택해야 하는 다양한 단계와 옵션을 안내하는 전용 페이지가 있습니다.

정책 기반 가드레일 채택 참고 자료 참조

Azure Policy를 사용하여 워크로드를 배포해야 하나요?

간단히 말해 아닙니다. Azure Policy를 사용하여 워크로드 및 랜딩 존을 제어, 관리 및 준수합니다. 이는 전체 워크로드 및 기타 도구를 배포하도록 설계되지 않았습니다. Azure Portal 또는 코드 제공 인프라 제품(ARM 템플릿, Bicep, Terraform)을 사용하여 워크로드를 배포 및 관리하고 필요한 자율성을 얻을 수 있습니다.

Terraform(aztfmod)의 클라우드 채택 프레임워크 랜딩 존이란?

osS(클라우드 채택 프레임워크 랜딩 존 오픈 소스 프로젝트)(aztfmod라고도 함)는 Azure 랜딩 존 핵심 팀 및 Azure GitHub 조직 외부에서 소유하고 기본 커뮤니티 기반 프로젝트입니다. 조직에서 이 OSS 프로젝트를 사용하도록 선택하는 경우 GitHub를 통한 커뮤니티 노력에 따라 사용 가능한 지원을 고려해야 합니다.

랜딩 존에 이미 리소스가 있고 나중에 해당 범위에 포함된 Azure Policy 정의를 할당하면 어떻게 되나요?

다음 설명서 섹션을 검토하세요.

• 기존 Azure 환경을 Azure 랜딩 존 개념 아키텍처로 전환 - “정책” 섹션
• 빠른 시작: 미준수 리소스를 식별하는 정책 할당 만들기 - "미준수 리소스 식별" 섹션

Azure 랜딩 존 아키텍처에서 “개발/테스트/프로덕션” 워크로드 랜딩 존을 어떻게 처리하나요?

자세한 내용은 Azure 랜딩 존에서 애플리케이션 개발 환경 관리를 참조 하세요.

Azure 랜딩 존 가속기 배포 중에 Azure 지역을 지정하라는 메시지가 표시되는 이유는 무엇이며 이러한 메시지는 어떻게 사용되나요?

Azure 랜딩 존 가속기 포털 기반 환경을 사용하여 Azure 랜딩 존 아키텍처를 배포하는 경우 배포할 Azure 지역을 선택합니다. 첫 번째 탭 배포 위치는 배포 데이터가 저장되는 위치를 결정합니다. 자세한 내용은 ARM 템플릿을 사용한 테넌트 배포를 참조하세요. 랜딩 존의 일부 부분은 전역적으로 배포되지만 해당 배포 메타데이터는 지역 메타데이터 저장소에서 추적됩니다. 배포와 관련된 메타데이터는 배포 위치 탭에서 선택한 지역에 저장됩니다.

배포 위치 탭의 지역 선택기는 필요한 경우 Log Analytics 작업 영역 및 자동화 계정과 같은 지역별 리소스를 저장해야 하는 Azure 지역을 선택하는 데도 사용됩니다.

네트워크 토폴로지 및 연결 탭에 네트워킹 토폴로지를 배포하는 경우 네트워킹 리소스를 배포할 Azure 지역을 선택해야 합니다. 이 지역은 배포 위치 탭에서 선택한 지역과 다를 수 있습니다.

랜딩 존 리소스에서 사용하는 지역에 대한 자세한 내용은 랜딩 존 지역을 참조 하세요.

Azure 랜딩 존 아키텍처를 사용할 때 더 많은 Azure 지역을 사용하도록 설정하려면 어떻게 해야 하나요?

랜딩 존에 새 지역을 추가하는 방법 또는 랜딩 존 리소스를 다른 지역으로 이동하는 방법을 이해하려면 랜딩 존 지역을 참조 하세요.

매번 새 Azure 구독을 만들어야 하나요, 아니면 Azure 구독을 다시 사용해야 하나요?

구독 재사용이란?

구독 재사용은 기존 구독을 새 소유자에게 재발행하는 프로세스입니다. 구독을 알려진 클린 상태로 다시 설정한 다음 새 소유자에게 다시 할당하는 프로세스가 있어야 합니다.

구독을 다시 사용하는 것을 고려해야 하는 이유는 무엇인가요?

일반적으로 고객은 구독 민주화 디자인 원칙을 채택하는 것이 좋습니다. 그러나 구독 재사용이 불가능하거나 권장되는 특정 상황이 있습니다.

팁

구독 민주화 디자인 원칙 에 대한 YouTube 비디오를 시청하세요. Azure 랜딩 존 - Azure에서 사용해야 하는 구독 수는 몇 개인가요?

다음 상황 중 하나를 충족하는 경우 구독 재사용을 고려해야 합니다.

• EA(기업계약)가 있으며 삭제된 구독을 포함하여 단일 EA 계정 소유자 계정(청구 계정)에 5,000개 이상의 구독을 만들 계획입니다.
• MCA(Microsoft 고객 계약) 또는 Microsoft 파트너 계약 MPA가 있으며 5,000개 이상의 활성 구독을 포함할 계획입니다.
• 종량제 고객입니다.
• Microsoft Azure 스폰서쉽 사용
• 일반적으로 다음을 만듭니다.
  1. 임시 랩 또는 샌드박스 환경
  2. 고객 데모/평가판 액세스를 위한 ISV(독립 소프트웨어 공급업체)를 포함하여 POC(개념 증명) 또는 MVP(최소 실행 가능한 제품)를 위한 데모 환경
  3. 학습 환경(예: MSP/트레이너의 학습자 환경)

구독을 다시 사용할 어떻게 할까요? 있나요?

위의 시나리오 또는 고려 사항 중 하나와 일치하는 경우 기존 서비스 해제 또는 사용하지 않는 구독을 다시 사용하고 새 소유자 및 용도로 다시 할당하는 것이 좋습니다.

이전 구독 정리

먼저 다시 사용하려면 이전 구독을 클린 합니다. 다시 사용할 준비가 되기 전에 구독에서 다음 작업을 수행해야 합니다.

• 리소스 그룹 및 포함된 리소스를 제거합니다.
• 구독 범위에서 PIM(Privileged Identity Management) 역할 할당을 포함한 역할 할당을 제거합니다.
• 구독 범위에서 사용자 지정 RBAC(역할 기반 액세스 제어) 정의를 제거합니다.
• 구독 범위에서 정책 정의, 이니셔티브, 할당 및 예외를 제거합니다.
• 구독 범위에서 배포를 제거합니다.
• 구독 범위에서 태그를 제거합니다.
• 구독 범위에서 리소스 잠금을 제거합니다.
• 구독 범위에서 Microsoft Cost Management 예산을 제거합니다.
• 조직의 요구 사항에 따라 이러한 로그가 유료 계층으로 설정되지 않는 한 클라우드용 Microsoft Defender 계획을 무료 계층으로 다시 설정합니다. 일반적으로 Azure Policy를 통해 이러한 요구 사항을 적용합니다.
• 조직 요구 사항에서 구독이 활성 상태인 동안 이러한 로그를 전달하도록 의무화하지 않는 한 Log Analytics 작업 영역, Event Hubs, Storage 계정 또는 기타 지원되는 대상으로 전달되는 구독 활동 로그(진단 설정)를 제거합니다.
• 구독 범위에서 Azure Lighthouse 위임을 제거합니다.
• 구독에서 숨겨진 리소스를 제거합니다.

팁

구독 범위를 사용 Get-AzResource 하거나 az resource list -o table 대상으로 지정하면 다시 할당하기 전에 제거할 숨겨진 리소스 또는 다시 기본 리소스를 찾는 데 도움이 됩니다.

구독 다시 할당

구독을 클린 후에 구독을 다시 할당할 수 있습니다. 다음은 재할당 프로세스의 일부로 수행할 수 있는 몇 가지 일반적인 활동입니다.

• 구독에서 새 태그를 추가하고 해당 태그에 대한 값을 설정합니다.
• 새 소유자의 구독 범위에 새 역할 할당 또는 PIM(Privileged Identity Management) 역할 할당을 추가합니다. 일반적으로 이러한 할당은 개인 대신 Microsoft Entra 그룹에 할당됩니다.
• 거버넌스 요구 사항에 따라 원하는 관리 그룹에 구독을 배치합니다.
• 임계값에 도달하면 새 Microsoft Cost Management 예산을 만들고 새 소유자에게 경고를 설정합니다.
• 클라우드용 Microsoft Defender 계획을 원하는 계층으로 설정합니다. 올바른 관리 그룹에 배치된 Azure Policy를 통해 이 설정을 적용해야 합니다.
• Log Analytics 작업 영역, Event Hubs, Storage 계정 또는 기타 지원 대상에 대한 구독 활동 로그(진단 설정) 전달을 구성합니다. 올바른 관리 그룹에 배치된 Azure Policy를 통해 이 설정을 적용해야 합니다.

소버린 랜딩 존이란 무엇이며 Azure 랜딩 존 아키텍처와 어떤 관련이 있나요?

주권 랜딩 존은 고급 주권 제어가 필요한 공공 부문 고객을 위한 Microsoft Cloud for Sovereigny의 구성 요소입니다. Azure 랜딩 존 개념 아키텍처의 맞춤형 버전인 소버린 랜딩 존은 서비스 상주, 고객 관리형 키, Azure Private Link 및 기밀 컴퓨팅과 같은 Azure 기능을 조정합니다. 이 맞춤을 통해 소버린 랜딩 존은 데이터와 워크로드가 기본적으로 위협으로부터 암호화 및 보호를 제공하는 클라우드 아키텍처를 만듭니다.

참고 항목

Microsoft Cloud for Sovereignty는 주권 요구 사항이 있는 정부 조직을 지향합니다. Microsoft Cloud for Sovereignty 기능이 필요한지 신중하게 고려해야 하며, 그런 다음 소버린 랜딩 존 아키텍처를 채택하는 것이 좋습니다.

소버린 랜딩 존에 대한 자세한 내용은 Azure 랜딩 존에 대한 주권 고려 사항을 참조 하세요.