요구 사항을 충족하도록 Azure 랜딩 존 아키텍처 조정

아티클
11/03/2023

Azure 랜딩 존 지침의 일부로 몇 가지 참조 구현 옵션을 사용할 수 있습니다.

Azure Virtual WAN을 사용하는 Azure 랜딩 존
기존 허브 및 스포크를 사용하는 Azure 랜딩 존
Azure 랜딩 존 기반
중소기업을 위한 Azure 랜딩 존

이러한 옵션은 디자인 영역에서 Azure 랜딩 존 개념 아키텍처 및 모범 사례를 제공하는 구성을 사용하여 조직을 신속하게 시작하는 데 도움이 될 수 있습니다.

참조 구현은 고객 및 파트너와의 계약에서 Microsoft 팀의 모범 사례 및 학습을 기반으로 합니다. 이 정보는 80/20 규칙의 “80” 측면을 나타냅니다. 다양한 구현은 아키텍처 디자인 프로세스의 일부인 기술적 결정에 대한 입장을 취합니다.

모든 사용 사례가 동일하지는 않으므로 모든 조직에서 의도한 대로 구현 방법을 사용할 수 있는 것은 아닙니다. 조정 요구 사항이 식별되면 고려 사항을 이해해야 합니다.

Azure 랜딩 존의 랜딩 존 원형이란?

랜딩 존 아키타입은 랜딩 존(Azure 구독)이 특정 범위에서 예상되는 환경 및 규정 준수 요구 사항을 충족하는지 확인하기 위해 충족해야 하는 사항을 설명합니다. 예를 들면 다음과 같습니다.

Azure Policy 할당
RBAC(역할 기반 액세스 제어) 할당
네트워킹과 같이 중앙에서 관리되는 리소스

Azure에서 정책 상속이 작동하는 방식 때문에 리소스 계층의 각 관리 그룹이 최종 랜딩 존 원형 출력에 기여하는 것으로 간주합니다. 하위 수준을 디자인할 때 리소스 계층 구조의 상위 수준에 적용되는 항목을 고려합니다.

관리 그룹과 랜딩 존 원형 간에는 긴밀한 관계가 있지만 관리 그룹만으로는 랜딩 존 원형이 아닙니다. 대신 사용자 환경에서 각 랜딩 존 원형을 구현하는 데 사용되는 프레임워크의 일부를 구성합니다.

이 관계는 Azure 랜딩 존 개념 아키텍처에서 확인할 수 있습니다. 정책 할당은 모든 워크로드에 적용해야 하는 설정에 대한 중간 루트 관리 그룹(예: Contoso)에서 만들어집니다. 더 구체적인 요구 사항의 경우 계층 구조의 하위 수준에서 더 많은 정책 할당이 생성됩니다.

관리 그룹 계층 구조 내의 구독 배치는 해당 특정 랜딩 존(Azure 구독)에 상속 및 적용되는 Azure Policy 및 액세스 제어(IAM) 할당의 결과 집합을 결정합니다.

랜딩 존에 필요한 중앙 관리 리소스가 있는지 확인하기 위해 더 많은 프로세스와 도구가 필요할 수 있습니다. 일부 사례:

활동 로그 데이터를 Log Analytics 작업 영역으로 보내는 진단 설정입니다.
클라우드용 Microsoft Defender에 대한 연속 내보내기 설정입니다.
애플리케이션 워크로드의 관리되는 IP 주소 공간이 있는 가상 네트워크입니다.
DDoS(분산 서비스 거부) 네트워크 보호에 가상 네트워크를 연결합니다.

참고 항목

Azure 랜딩 존 참조 구현에서는 이전 리소스 중 일부를 배포하는 데 DeployIfNotExists 및 Modify효과가 있는 Azure 정책이 사용됩니다. 정책 기반 거버넌스 디자인 원칙을 따릅니다.

자세한 내용은 정책 기반 가드 레일 채택을 참조하세요.

Azure 랜딩 존 개념 아키텍처에 대한 기본 제공 원형

개념 아키텍처에는 corp 및 online과 같은 애플리케이션 워크로드에 대한 랜딩 존 원형 예제가 포함되어 있습니다. 이러한 원형은 조직에 적용되고 요구 사항을 충족할 수 있습니다. 이러한 원형을 변경하거나 새 원형을 만들 수 있습니다. 결정은 조직의 요구 사항에 따라 달라집니다.

팁

Azure 랜딩 존 가속기에서 랜딩 존 원형을 검토하려면 Azure 랜딩 존 가속기의 관리 그룹을 참조하세요.

리소스 계층 구조의 다른 위치에서 변경 내용을 만들 수도 있습니다. 조직의 Azure 랜딩 존 구현을 위한 계층 구조를 계획할 때는 디자인 영역의 지침을 따릅니다.

개념 아키텍처의 다음 랜딩 존 원형 예제는 목적 및 용도를 이해하는 데 도움이 됩니다.

랜딩 존 원형(관리 그룹)	목적 또는 사용
Corp	기업 랜딩 존 전용 관리 그룹입니다. 이 그룹은 연결 구독의 허브를 통해 기업 네트워크와의 연결 또는 하이브리드 연결이 필요한 워크로드용입니다.
온라인	온라인 랜딩 존 전용 관리 그룹입니다. 이 그룹은 직접 인터넷 인바운드/아웃바운드 연결이 필요할 수 있는 워크로드 또는 가상 네트워크가 필요하지 않을 수 있는 워크로드용입니다.
Sandbox	조직에서 테스트하고 탐색하는 데만 사용할 구독 전용 관리 그룹입니다. 이러한 구독은 기업 및 온라인 랜딩 존에서 안전하게 연결이 끊어집니다. 샌드박스에는 Azure 서비스의 테스트, 탐색, 구성을 사용하도록 할당된 덜 제한적인 정책 집합도 있습니다.

조정이 필요할 수 있는 시나리오

앞에서 설명한 대로 Azure 랜딩 존 개념 아키텍처에서 일반적인 랜딩 존 원형을 제공합니다. 이 원형은 corp 및 online입니다. 이러한 원형은 고정되지 않으며 애플리케이션 워크로드에 허용되는 유일한 랜딩 존 원형이 아닙니다. 요구 사항에 맞게 랜딩 존 원형을 조정해야 할 수도 있습니다.

랜딩 존 원형을 조정하기 전에 개념을 이해하고 사용자 지정을 제안하는 계층 구조 영역도 시각화하는 것이 중요합니다. 다음 다이어그램은 Azure 랜딩 존 개념 아키텍처의 기본 계층 구조를 보여 줍니다.

Diagram that shows Azure landing zone default hierarchy with tailoring areas highlighted.

두 계층 구조 영역이 강조 표시됩니다. 하나는 랜딩 존 아래에 있고 다른 하나는 플랫폼 아래에 있습니다.

애플리케이션 랜딩 존 원형 맞춤

랜딩 존 관리 그룹 아래에 파란색으로 강조 표시된 영역을 확인합니다. 기존 계층을 사용하여 기존 아키타입에 더 많은 정책 할당으로 추가할 수 없는 새로운 또는 더 많은 요구 사항을 충족하기 위해 더 많은 아키타입을 추가하는 것이 계층 구조에서 가장 일반적이고 안전한 위치입니다.

예를 들어 PCI(결제 카드 산업) 규정 준수 요구 사항을 충족해야 하는 일련의 애플리케이션 워크로드를 호스트하기 위한 새로운 요구 사항이 있을 수 있습니다. 그러나 이 새로운 요구 사항은 전체 자산의 모든 워크로드에 적용될 필요는 없습니다.

이 새로운 요구 사항을 충족하는 간단하고 안전한 방법이 있습니다. 계층 구조의 랜딩 존 관리 그룹 아래에 PCI라는 새 관리 그룹을 만듭니다. PCI v3.2.1:2018에 대한 클라우드용 Microsoft Defender 규정 준수 정책 이니셔티브와 같은 더 많은 정책을 새 PCI 관리 그룹에 할당할 수 있습니다. 이 작업은 새로운 원형을 형성합니다.

이제 새 Azure 구독을 배치하거나 새 PCI 관리 그룹으로 이동하여 필요한 정책을 상속하고 새 원형을 형성할 수 있습니다.

또 다른 예로 기밀 컴퓨팅을 위한 관리 그룹을 추가하고 규제된 산업에서 사용할 수 있는 Microsoft Cloud for Sovereignty가 있습니다. Microsoft Cloud for Sovereignty 는 적절한 주권 제어를 사용하여 퍼블릭 클라우드 채택을 위한 도구, 지침 및 가드레일을 제공합니다.

팁

RBAC 및 Azure Policy와 관련하여 관리 그룹 간에 Azure 구독을 이동할 때 고려해야 할 사항과 수행되는 작업을 알아야 합니다. 자세한 내용은 기존 Azure 환경을 Azure 랜딩 존 개념 아키텍처로 전환

플랫폼 랜딩 존 원형 조정

플랫폼 관리 그룹 아래에 주황색으로 강조 표시된 영역을 조정할 수도 있습니다. 이 영역의 영역을 플랫폼 랜딩 존이라고 합니다.

예를 들어 워크로드를 호스트하기 위해 고유한 원형이 필요한 전용 SOC 팀이 있을 수 있습니다. 이러한 워크로드는 관리 관리 그룹의 Azure Policy 및 RBAC 할당 요구 사항을 충족해야 합니다.

계층 구조의 플랫폼 관리 그룹 아래에 새 보안 관리 그룹을 만듭니다. 필요한 Azure Policy 및 RBAC 할당을 할당할 수 있습니다.

이제 새 Azure 구독을 배치하거나 새 보안 관리 그룹으로 이동하여 필요한 정책을 상속하고 새 원형을 형성할 수 있습니다.

맞춤형 Azure 랜딩 존 계층 구조의 예

다음 다이어그램은 맞춤형 Azure 랜딩 존 계층 구조를 보여 줍니다. 이전 다이어그램의 예제를 사용합니다.

Diagram that shows a tailored Azure landing zone hierarchy.

고려할 항목

계층 구조에서 Azure 랜딩 존 원형의 구현을 조정하려는 경우 다음 사항을 고려합니다.

계층 구조 조정은 필수가 아닙니다. 제공하는 기본 원형 및 계층 구조는 대부분의 시나리오에 적합합니다.
원형에서 조직 계층 구조, 팀 또는 부서를 다시 만들지 마세요.
항상 새로운 요구 사항을 충족하기 위해 기존 원형 및 계층 구조를 빌드하려고 합니다.
필요한 경우에만 새 원형을 만듭니다.

예를 들어 PCI와 같은 새로운 규정 준수 요구 사항은 애플리케이션 워크로드의 하위 집합에만 필요하며 모든 워크로드에 적용할 필요가 없습니다.
앞의 다이어그램에 표시된 강조 표시된 영역에만 새 원형을 만듭니다.
복잡성과 불필요한 제외를 방지하려면 4계층 계층 구조 깊이를 벗어나지 마세요. 계층 구조에서 세로가 아닌 가로로 원형을 확장합니다.
개발, 테스트, 프로덕션과 같은 환경에 대한 원형을 만들지 마세요.

자세한 내용은 Azure 랜딩 존 개념 아키텍처에서 개발/테스트/프로덕션 워크로드 랜딩 존을 처리하는 방법을 참조하세요.
브라운필드 환경에서 제공되거나 "감사 전용" 적용 모드 의 정책을 사용하여 랜딩 존 관리 그룹에서 구독을 호스트하는 방법을 찾고 있는 경우 시나리오: 랜딩 존 관리 그룹을 복제하여 환경 전환