Azure 랜딩 존 다중 테넌트 시나리오의 Azure Lighthouse 사용량
Azure Lighthouse 를 사용하면 리소스 전체에서 확장성, 더 높은 자동화 및 향상된 거버넌스를 통해 다중 테넌트 관리를 수행할 수 있습니다. Azure Lighthouse는 단일 또는 다중 테넌트 아키텍처의 Azure 랜딩 존 시나리오에서 채택할 수 있습니다.
다음 고려 사항 및 권장 사항은 Azure 랜딩 존 배포에서 Azure Lighthouse에 대한 일반적인 시나리오를 설명합니다.
고려 사항
- Azure Lighthouse는 Azure 퍼블릭 클라우드와 같은 Azure 클라우드에서 Azure Government 클라우드로 지원되지 않습니다. 자세한 내용은 지역 간 및 클라우드 고려 사항을 참조 하세요.
- Azure Lighthouse는 관리 그룹 또는 테넌트가 아닌 구독 또는 리소스 그룹의 위임을 지원합니다. 관리 그룹 내에서 여러 구독을 온보딩하는 솔루션은 관리 그룹의 모든 구독 온보딩을 참조하세요. 이 정책은 정책 기반 거버넌스의 Azure 랜딩 존 디자인 원칙을 따릅니다.
- Azure Lighthouse를 사용한 역할 지원의 제한 사항에 대한 자세한 내용은 Azure Lighthouse에 대한 역할 지원을 참조 하세요.
권장 사항
- 엔터프라이즈 시나리오에서 Azure Lighthouse를 참조 하세요.
- ISV인 경우 ISV 시나리오에서 Azure Lighthouse를 참조 하세요.
- Microsoft Entra 테넌트 간에 양방향으로 Azure Lighthouse를 사용하여 관리 작업을 간소화하고 복잡한 인증 및 권한 부여 시나리오를 줄일 수 있습니다. 이 작업은 사용자 및 워크로드 ID에 대한 Microsoft Entra B2B(게스트) 계정에 대한 의존도를 제거하고 일부 활동에 대해 별도의 계정을 가질 필요가 없습니다.
- Azure Lighthouse 위임의 일부로 Microsoft Entra PIM(Privileged Identity Management)을 사용합니다. 자세한 내용은 적격 권한 부여 만들기를 참조 하세요.
- 이 기능을 사용하려면 Microsoft Entra ID P2 라이선스가 필요하지만 원본 또는 Microsoft Entra 테넌트 관리에서만 필요합니다.
Azure 랜딩 존 시나리오 - 대규모 Azure Lighthouse 및 프라이빗 DNS
다음 다이어그램은 Azure Lighthouse가 Private Link 및 DNS 통합을 지원하기 위해 여러 Microsoft Entra 테넌트에서 사용되는 Azure 랜딩 존 시나리오입니다.
Azure Lighthouse를 사용하는 경우 프라이빗 엔드포인트 프라이빗 DNS 영역에 대한 Azure Policy는 스포크 Microsoft Entra 테넌트에서 허브 Microsoft Entra 테넌트에서 중앙 집중식 프라이빗 DNS 영역에 자동으로 연결됩니다. 자세한 내용은 대규모 Private Link 및 DNS 통합을 참조 하세요.
이 아키텍처를 사용하는 경우 애플리케이션 랜딩 존 소유자는 Azure Lighthouse 위임 권한 부여를 통해 프라이빗 DNS 영역을 변경할 수 있습니다. 이 액세스는 Azure Policy가 아닌 프라이빗 엔드포인트 DNS 구성을 관리하는 데 다른 방법을 사용하는 경우에 유용합니다. 자세한 내용은 대규모 Private Link 및 DNS 통합을 참조 하세요.