이 문서에서는 Azure CycleCloud를 보다 안전하고 효과적으로 사용하기 위한 모범 사례 및 유용한 팁을 설명합니다. Azure CycleCloud를 사용할 때 여기에 나열된 모범 사례를 빠른 참조로 사용할 수 있습니다.
설치
CycleCloud의 기본 설치는 포트 8080에서 실행되는 암호화되지 않은 HTTP를 사용합니다. CycleCloud 설치에 대한 암호화되지 않은 액세스를 방지하기 위해 모든 설치에 대해 SSL을 구성하는 것이 좋습니다. CycleCloud는 인터넷에서 액세스할 수 없지만 필요한 경우 포트 443만 노출합니다. 직접 인터넷 액세스를 제한하려면 모든 인터넷 바인딩 HTTP 및 HTTPS 트래픽에 대한 프록시를 구성합니다. 암호화되지 않은 통신 및 CycleCloud에 대한 HTTP 액세스를 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 SSL 구성을 참조하세요.
아웃바운드 인터넷 액세스를 제한하려면 모든 인터넷 바인딩 HTTP 및 HTTPS 트래픽에 프록시를 사용하도록 CycleCloud를 구성합니다. 자세한 내용은 잠긴 환경에서 작동을 참조하세요.
인증 및 권한 부여
Azure CycleCloud는 암호화, Active Directory, LDAP 또는 Entra ID가 있는 기본 제공 데이터베이스의 네 가지 인증 방법을 제공합니다. 계정에 60초 이내에 5개의 권한 부여 실패가 있는 경우 5분 동안 자동으로 잠깁니다. 관리자는 계정의 잠금을 수동으로 해제할 수 있으며 시스템은 5분 후에 자동으로 계정 잠금을 해제합니다.
관리자 그룹 액세스만 있는 드라이브에 CycleCloud를 설치합니다. 이 구성을 사용하면 관리자가 아닌 사용자가 암호화되지 않은 데이터에 액세스할 수 없습니다. 이 그룹에는 nonadmin 사용자를 포함하지 마세요. 이상적으로는 CycleCloud 설치에 대한 액세스를 관리자만 제한합니다.
신뢰 경계를 넘어 CycleCloud 설치를 공유하지 마세요. 단일 CycleCloud 설치 내의 RBAC 컨트롤은 실제 다중 테넌트 환경에서 충분하지 않을 수 있습니다. 중요한 데이터가 있는 각 테넌트에 대해 별도의 격리된 CycleCloud 설치를 사용합니다.
네트워킹 및 비밀 관리
NSG(네트워크 보안 그룹)를 사용하여 클러스터를 시작하는 가상 네트워크를 잠급니다. NSG는 특정 포트에 대한 액세스를 제어합니다. Azure 가상 네트워크 내에서 Azure 리소스에 대한 인바운드 및 아웃바운드 네트워크 트래픽을 구성하고 제어할 수 있습니다. 네트워크 보안 그룹에는 여러 유형의 Azure 리소스에서 인바운드 네트워크 트래픽 또는 아웃바운드 네트워크 트래픽을 허용하거나 거부하는 보안 규칙이 포함되어 있습니다.
두 개 이상의 서브넷을 사용하는 것이 좋습니다. CycleCloud 설치 VM에 하나의 서브넷을 사용하고 동일한 액세스 정책을 사용하는 다른 VM을 사용합니다. 컴퓨팅 클러스터에 추가 서브넷을 사용합니다. 대규모 클러스터의 경우 서브넷의 IP 범위가 제한 요소가 될 수 있습니다. 일반적으로 CycleCloud 서브넷에 대한 작은 CIDR(클래스리스 Inter-Domain 라우팅) 범위와 컴퓨팅 서브넷의 경우 큰 범위를 사용합니다.
CycleCloud는 Azure Resource Manager를 사용하여 클러스터를 관리합니다. Azure Resource Manager를 호출하려면 CycleCloud VM에서 관리 ID 를 구성합니다. CycleCloud에는 특정 권한이 필요합니다. 시스템 할당 또는 사용자 할당 관리 ID를 사용합니다. 시스템 할당 관리 ID는 Azure AD에서 해당 서비스 인스턴스의 수명 주기에 연결된 ID를 만듭니다. 해당 리소스를 삭제하면 관리 ID가 자동으로 삭제됩니다. 사용자가 할당한 관리 ID를 하나 이상의 Azure 서비스 인스턴스에 할당할 수 있습니다. 관리 ID를 별도로 관리합니다.
보안 잠금 환경
일부 보안 프로덕션 환경은 환경을 잠그고 인터넷 액세스가 제한됩니다. Azure CycleCloud는 Azure Storage 계정 및 기타 지원되는 Azure 서비스에 대한 액세스가 필요하므로 프라이빗 액세스를 제공하는 권장 방법은 Virtual Network 서비스 엔드포인트 또는 Private Link를 사용하는 것입니다. 서비스 엔드포인트 또는 프라이빗 링크를 사용하도록 설정하면 Azure 서비스 리소스가 가상 네트워크에 보호됩니다. 서비스 엔드포인트는 가상 네트워크의 개인 IP 주소가 Azure 서비스의 엔드포인트에 도달할 수 있도록 하여 보안을 강화합니다.
CycleCloud 애플리케이션 및 클러스터 노드는 최소한의 TCP 포트가 열려 있어야 하지만 인터넷 액세스가 제한된 환경에서 작동할 수 있습니다. Azure Firewall 또는 HTTPS 프록시를 구성하지 않고 CycleCloud VM에서 아웃바운드 인터넷 액세스를 제한하려면 CycleCloud 가상 머신의 서브넷에 대해 엄격한 Azure 네트워크 보안 그룹을 구성합니다. 이 구성을 수행하는 가장 간단한 방법은 서브넷 또는 VM 수준 네트워크 보안 그룹에서 서비스 태그 를 사용하여 필요한 아웃바운드 Azure 액세스를 허용하는 것입니다. 보안 규칙을 만들 때 특정 IP 주소 대신 서비스 태그를 사용합니다. 해당 서비스에 대한 트래픽을 허용하거나 거부할 수 있습니다.