Azure 워크로드를 배포하기 전에 워크로드를 지원하는 기본 환경을 준비합니다. CAF Ready는 처음부터 확장 가능하고 안전하며 관리되는 클라우드 환경을 빌드하는 데 도움이 되는 구조화된 접근 방식을 제공합니다. 이 기본 설정을 플랫폼 랜딩 존이라고 합니다. Azure 랜딩 존 플랫폼 랜딩 존의 권장 구현입니다.
플랫폼 랜딩 존
플랫폼 랜딩 존은 Azure 환경의 중추 역할을 합니다. 조직 전체에 적용되는 거버넌스 및 중앙 서비스를 설정합니다. 해당 기능에는 구독 간에 Azure Policy 적용을 사용하는 관리 그룹 계층 구조가 포함됩니다. 연결, ID, 관리 및 보안 공유 서비스에 대한 전용 구독도 있습니다.
조직의 크기 및 클라우드 완성도에 따라 이러한 중앙 집중식 서비스를 모두 구현하거나 일부 또는 전혀 구현하지 않을 수 있습니다. 소규모 또는 클라우드 네이티브 팀의 경우 간단한 접근 방법으로 충분할 수 있습니다.
플랫폼 랜딩 존의 일부에는 애플리케이션 랜딩 존에 대한 요청을 수신하고 구현을 위해 워크로드 팀에 해당 요청을 배포하는 기능이 포함되어야 합니다.
애플리케이션 랜딩 존
애플리케이션 랜딩 존은 워크로드 리소스용입니다. 워크로드에는 각 환경(개발, 테스트 또는 프로덕션)에 대한 애플리케이션 랜딩 존이 있어야 합니다. 각 애플리케이션 랜딩 존은 크기 조정 및 서비스 제한을 수용하기 위해 하나 이상의 구독으로 구성됩니다. 부모 관리 그룹에서 Azure Policy 정의를 상속하기 위해 "온라인" 또는 "Corp"와 같은 적절한 관리 그룹 아래에 중첩됩니다. 이 구조는 워크로드를 제어되고 일관된 방식으로 배포하는 동시에 개별 워크로드 요구 사항에 대한 유연성을 허용합니다.
모든 구독에 적용되는 구성
구독이 플랫폼 또는 애플리케이션 랜딩 존에 속하는지 여부에 관계없이 특정 구성을 보편적으로 사용하도록 설정해야 합니다. 이러한 구성에는 Azure Role-Based RBAC(Access Control), Cost Management, Network Watcher 및 클라우드용 Microsoft Defender가 포함됩니다. 이러한 서비스는 전체 Azure 환경에서 가시성, 보안 및 운영 제어를 유지하는 데 도움이 됩니다.
Azure 랜딩 존 구현
Azure 랜딩 존 플랫폼 랜딩 존의 권장 구현입니다. 구현은 각각 지원 프로세스 및 도구를 포함하는 주요 단계에서 전개됩니다.
1. 환경 설정 준비하기
새로 시작(Greenfield)하든 기존 설정(Brownfield)을 현대화하든, 첫 번째 단계는 리소스를 호스트할 구독을 만드는 것입니다. 모범 사례에 따라 새 Azure 랜딩 존 환경을 구현하려면 일반적으로 여러 구독이 필요합니다. 이러한 구독을 수동으로, 프로그래밍 방식으로 만들거나, 자동화된 자동 판매 모듈을 사용하여 만들 수 있습니다.
2. 플랫폼 랜딩 존 구성 요소 배포
다음으로, Azure 랜딩 존 참조 아키텍처에 따라 플랫폼 리소스의 배포를 가속화합니다. 이러한 구성 요소는 관리 그룹 계층 구조, 정책 적용, 연결, 보안 및 모니터링과 같은 거버넌스 및 공유 서비스를 설정합니다. 배포 옵션에는 Azure Portal, Bicep 및 Terraform이 포함됩니다.
3. 구독 자동 판매 프로세스(선택 사항)
플랫폼이 준비되면 Azure 테넌트 내에서 개별 애플리케이션 랜딩 존을 만들어야 합니다. 이 프로세스를 자동화하려면 구독 자동 판매 솔루션이 권장됩니다. 자동 판매는 네트워킹과 같은 핵심 리소스와 함께 구독을 배포하는 데 도움이 됩니다. Bicep 및 Terraform 모듈을 모두 사용할 수 있습니다.