Azure Arc 지원 서버를 위한 구성 관리

이 참조 아키텍처는 Azure Arc가 온-프레미스, 다중 클라우드 및 에지 시나리오에서 서버를 관리, 제어 및 보호하는 방법을 설명하며 Azure Arc 빠른 시작 IT 전문가용 ArcBox 구현을 기반으로 합니다. ArcBox는 Azure Arc의 모든 것에 대해 배포하기 쉬운 샌드박스를 제공하는 솔루션입니다. IT 전문가용 ArcBox는 샌드박스 환경에서 Azure Arc 지원 서버 기능을 경험하려는 사용자를 위한 ArcBox 버전입니다.

아키텍처

이 아키텍처의 PowerPoint 파일을 다운로드합니다.

구성 요소

이 아키텍처는 다음과 같은 구성 요소로 구성됩니다.

• Azure 리소스 그룹은 Azure 솔루션에 관련된 리소스를 보유하는 컨테이너입니다. 리소스 그룹에는 솔루션에 대한 모든 리소스 또는 그룹으로 관리하려는 해당 리소스만 포함될 수 있습니다.
• ArcBox 통합 문서는 ArcBox 리소스를 모니터링하고 보고하기 위한 단일 창을 제공하는 Azure Monitor 통합 문서입니다. 이 통합 문서는 Azure Portal에서 데이터 분석 및 시각화를 위한 유연한 캔버스 역할을 하며 ArcBox 전체의 여러 데이터 원본에서 정보를 수집하고 통합된 상호 작용 환경으로 결합합니다.
• Azure Monitor를 사용하면 Azure, 온-프레미스 또는 다른 클라우드에서 실행되는 시스템의 성능 및 이벤트를 추적할 수 있습니다.
• Azure Policy 게스트 구성은 온-프레미스 또는 다른 클라우드에서 실행되는 Azure 및 Arc 지원 서버에서 실행되는 컴퓨터에 대해 운영 체제 및 컴퓨터 구성을 감사할 수 있습니다.
• Azure Log Analytics는 Azure Monitor Logs에서 수집된 데이터에서 로그 쿼리를 편집 및 실행하고 그 결과를 대화형으로 분석하는 Azure Portal의 도구입니다. Log Analytics 쿼리를 사용하여 특정 조건과 일치하는 레코드를 검색하고, 추세를 식별하고, 패턴을 분석하고, 데이터에 대한 다양한 인사이트를 제공할 수 있습니다.
• 클라우드용 Microsoft Defender는 CSPM(클라우드 보안 태세 관리) 및 CWP(클라우드 워크로드 보호) 솔루션입니다. 클라우드용 Microsoft Defender는 클라우드 구성 전체에서 약점을 찾고, 환경의 전반적인 보안 태세를 강화하고, 진화하는 위협으로부터 다중 클라우드 및 하이브리드 환경에서 워크로드를 보호할 수 있습니다.
• Microsoft Sentinel은 스케일링 가능한 클라우드 네이티브, SIEM(보안 정보 및 이벤트 관리) 및 SOAR(보안 오케스트레이션, 자동화 및 응답) 솔루션입니다. Microsoft Sentinel은 기업 전체에 지능형 보안 분석 및 위협 인텔리전스를 제공하여 공격 검색, 위협 표시 유형, 자동 관리 헌팅 및 위협 대응을 위한 단일 솔루션을 제공합니다.
• Azure Arc 지원 서버를 사용하면 회사 네트워크에서 Azure 외부에서 호스트되는 Windows 및 Linux 컴퓨터에 Azure를 연결할 수 있습니다. 서버가 Azure에 연결되면 Arc 지원 서버가 되어 Azure에서 리소스로 취급됩니다. 각 Arc 지원 서버에는 리소스 ID, 관리 시스템 ID가 있으며 구독 내 리소스 그룹의 일부로 관리됩니다. Arc 지원 서버는 인벤토리, 정책, 태그 및 Azure Lighthouse와 같은 표준 Azure 구문을 활용합니다.
• Hyper-V 중첩 가상화는 IT 전문가용 빠른 시작 ArcBox에서 Azure Virtual Machines 내부에 Windows Server 가상 머신을 호스팅하는 데 사용됩니다. 이는 실제 Windows Server 컴퓨터를 사용하는 것과 동일한 환경을 제공하지만 하드웨어 요구 사항은 없습니다.
• Azure Virtual Network는 Azure 리소스 그룹 내의 구성 요소(예: 가상 머신)가 통신할 수 있도록 하는 개인 네트워크를 제공합니다.

시나리오 정보

잠재적인 사용 사례

이 아키텍처의 일반적인 용도는 다음과 같습니다.

• 여러 환경에서 대규모 VM(가상 머신) 및 서버 그룹을 구성, 관리 및 인벤토리합니다.
• Azure Policy를 사용하여 어디에서나 모든 리소스에 대해 대규모 조직 표준을 적용하고 규정 준수를 평가합니다.
• 지원되는 VM 확장을 Arc 지원 서버에 쉽게 배포합니다.
• 여러 환경에서 호스트되는 VM 및 서버에 대한 Azure Policy를 구성하고 적용합니다.

권장 사항

대부분의 시나리오의 경우 다음 권장 사항을 적용합니다. 이러한 권장 사항을 재정의하라는 특정 요구 사항이 있는 경우가 아니면 따릅니다.

Azure Arc Connected Machine Agent 구성

Windows 또는 Linux를 실행하는 다른 물리적 컴퓨터 또는 가상 머신을 Azure Arc에 연결할 수 있습니다. 컴퓨터를 온보딩하기 전에 연결된 컴퓨터 에이전트 필수 조건을 완료해야 합니다. 여기에는 Azure Arc 지원 서버에 대한 Azure 리소스 공급자 온보딩이 포함됩니다. Azure Arc를 사용하여 컴퓨터를 Azure에 연결하려면 Azure Arc를 사용하여 연결할 각 컴퓨터에 Azure Connected Machine Agent를 설치해야 합니다. 자세한 내용은 Azure Arc 지원 서버 에이전트 개요를 참조하세요.

구성된 Connected Machine Agent는 5분마다 정기적인 하트비트 메시지를 Azure로 보냅니다. 하트비트가 수신되지 않으면 Azure는 컴퓨터를 오프라인 상태로 할당하고 15~30분 내에 포털에 반영됩니다. Connected Machine Agent에서 후속 하트비트 메시지를 수신하면 해당 상태가 자동으로 연결됨으로 변경됩니다.

Windows 및 Linux 컴퓨터를 연결하기 위해 Azure에서 사용할 수 있는 몇 가지 옵션이 있습니다.

• 수동 설치: Azure Arc 지원 서버는 Windows Admin Center 도구 집합을 사용하거나 일련의 단계를 수동으로 수행하여 사용자 환경에서 하나 또는 몇 개의 Windows 또는 Linux 컴퓨터에 대해 사용하도록 설정할 수 있습니다.
• 스크립트 기반 설치: Azure Portal에서 다운로드하는 템플릿 스크립트를 실행하여 자동화된 에이전트 설치를 수행할 수 있습니다.
• 서비스 주체를 사용하여 대규모로 컴퓨터 연결: 대규모로 온보딩하려면 서비스 주체를 사용하고 조직의 기존 자동화를 통해 배포합니다.
• Windows PowerShell DSC를 사용하여 설치

사용 가능한 다양한 배포 옵션에 대한 포괄적인 설명서는 Azure Connected Machine Agent 배포 옵션을 참조하세요.

Azure Policy 게스트 구성 사용

Azure Arc 사용 서버는 게스트 구성 정책을 사용하여 Azure 리소스 관리 계층 및 개별 서버 컴퓨터 내에서 Azure Policy를 지원합니다. Azure Policy 게스트 구성은 Azure 및 Arc 지원 서버에서 실행되는 컴퓨터 모두에 대해 컴퓨터 내부의 설정을 감사할 수 있습니다. 예를 들어 다음과 같은 설정을 감사할 수 있습니다.

• 운영 체제 구성
• 애플리케이션 구성 또는 현재 상태
• 환경 설정

몇 가지 Azure Arc에 대한 Azure Policy 기본 제공 정의가 있습니다. 이러한 정책은 Windows 및 Linux 기반 컴퓨터 모두에 대한 감사 및 구성 설정을 제공합니다.

Azure 업데이트 관리 사용

업데이트 관리 Arc 지원 서버에 대한 업데이트 관리를 수행할 수 있습니다. Azure Automation의 업데이트 관리를 사용하면 운영 체제 업데이트를 관리하고 모든 에이전트 컴퓨터에서 사용 가능한 업데이트 상태를 빠르게 평가할 수 있습니다. 서버에 필요한 업데이트를 설치하는 프로세스를 관리할 수도 있습니다.

변경 내용 추적 및 인벤토리. Arc 지원 서버용 Azure Automation Change Tracking and Inventory를 사용하면 환경에 어떤 소프트웨어가 설치되어 있는지 확인할 수 있습니다. 소프트웨어, 파일, Linux 디먼, Windows 서비스 및 Windows 레지스트리 키에 대한 인벤토리를 수집하고 관찰할 수 있습니다. 컴퓨터 구성을 추적하면 환경 전체에서 작동 문제를 정확히 식별하고 컴퓨터의 상태를 더 잘 파악할 수 있습니다.

Azure Arc 지원 서버 모니터링

Azure Monitor를 사용하여 VM, 가상 머신 확장 집합, Azure Arc 머신을 대규모로 모니터링할 수 있습니다. Azure Monitor는 Windows 및 Linux VM의 성능과 상태를 분석하고, 프로세스와 다른 리소스 및 외부 프로세스에 대한 종속성을 모니터링합니다. 온-프레미스 또는 다른 클라우드 공급자에 호스트되는 VM의 성능 및 애플리케이션 종속성 모니터링에 대한 지원이 포함됩니다.

Azure Monitor 에이전트는 Azure Policy를 통해 Azure Arc 지원 Windows 및 Linux 서버에 자동으로 배포되어야 합니다. 배포하기 전에 Log Analytics 에이전트가 작동하고 데이터를 수집하는 방식을 검토하고 이해합니다.

Log Analytics 작업 영역 배포를 디자인하고 계획합니다. 이 작업 영역은 데이터가 수집, 집계, 나중에 분석되는 컨테이너가 됩니다. Log Analytics 작업 영역은 데이터의 지리적 위치, 데이터 격리, 데이터 보존과 같은 구성 범위를 나타냅니다. 클라우드 채택 프레임워크의 관리 및 모니터링 모범 사례에 설명된 대로 단일 Azure Monitor Log Analytics 작업 영역을 사용합니다.

Azure Arc 지원 서버 보안

Azure RBAC를 사용하여 Azure Arc 지원 서버 관리 ID에 대한 사용 권한을 제어 및 관리하고 이러한 ID에 대한 액세스를 정기적으로 검토합니다. 시스템 관리 ID를 오용하여 Azure 리소스에 대한 무단 액세스 권한을 얻는 것을 방지하기 위해 권한 있는 사용자 역할을 제어합니다.

Azure Key Vault를 사용하여 Azure Arc 사용 서버에서 인증서를 관리하는 것이 좋습니다. 키 자격 증명 모음 VM 확장을 사용하면 Windows 및 Linux 컴퓨터에서 인증서 수명 주기를 관리할 수 있습니다.

Azure Arc 지원 서버를 클라우드용 Microsoft Defender에 연결합니다. 이를 통해 보안 관련 구성 및 이벤트 로그 수집을 시작하여 작업을 권장하고 전반적인 Azure 보안 태세를 개선할 수 있습니다.

Azure Arc 지원 서버를 Microsoft Sentinel에 연결. 이렇게 하면 보안 관련 이벤트 수집을 시작하고 다른 데이터 원본과의 상관 관계를 시작할 수 있습니다.

네트워크 토폴로지 유효성을 검사

Linux 및 Windows용 Connected Machine 에이전트는 TCP 포트 443을 통해 안전하게 Azure Arc로 아웃바운드 통신을 수행합니다. Connected Machine Agent는 다음 방법을 사용하여 Azure 컨트롤 플레인에 연결할 수 있습니다.

• 선택적으로 방화벽이나 프록시 서버 뒤에서 Azure 퍼블릭 엔드포인트에 직접 연결합니다.
• Azure Private Link는 프라이빗 링크 범위 모델을 사용하여 여러 서버 또는 컴퓨터가 단일 프라이빗 엔드포인트를 사용하여 Azure Arc 리소스와 통신할 수 있도록 합니다.

Arc 지원 서버 구현에 대한 포괄적인 네트워킹 지침은 Azure Arc 지원 서버의 네트워크 토폴로지 및 연결을 참조하세요.

고려 사항

이러한 고려 사항은 워크로드의 품질을 향상시키는 데 사용할 수 있는 일단의 지침 원칙인 Azure Well-Architected Framework의 핵심 요소를 구현합니다. 자세한 내용은 Microsoft Azure Well-Architected Framework를 참조하세요.

안정성

• 대부분의 경우 설치 스크립트를 만들 때 선택한 위치는 머신의 위치와 지리적으로 가장 가까운 Azure 지역이어야 합니다. 나머지 데이터는 사용자가 지정한 지역을 포함하는 Azure 지리 내에 저장되며, 데이터 보존 요구 사항이 있는 경우 선택한 지역에 영향을 줄 수도 있습니다. 중단으로 인해 컴퓨터가 연결된 Azure 지역에 영향을 미치는 경우 Arc 지원 서버에는 영향을 미치지 않습니다. 그러나 Azure를 사용한 관리 작업은 사용하지 못할 수 있습니다.
• 지리적으로 중복된 서비스를 제공하는 여러 위치가 있는 경우 지역 중단 시 복원력을 위해 각 위치의 컴퓨터를 다른 Azure 지역에 연결하는 것이 가장 좋습니다.
• Azure Connected Machine Agent가 Azure로의 하트비트 전송을 중지하거나 오프라인 상태가 되면 운영 작업을 수행할 수 없습니다. 따라서 알림 및 응답 계획을 수립해야 합니다.
• 리소스 상태 경고를 설정하면 리소스 상태가 변경될 때 거의 실시간으로 경고를 가져올 수 있습니다. 그리고 비정상 Azure Arc 지원 서버를 식별하는 Azure Policy에서 모니터링 및 경고 정책을 정의합니다.
• 현재 백업 솔루션을 Azure로 확장하거나 비즈니스 요구 사항에 따라 크기가 조정되는 애플리케이션 인식 복제 및 애플리케이션 일치 백업을 쉽게 구성하세요. Azure Backup 및 Azure Site Recovery에 대한 중앙 집중식 관리 인터페이스를 사용하면 기본적으로 Arc 지원 Windows 및 Linux 서버를 보호, 모니터링 및 관리하는 정책을 간단하게 정의할 수 있습니다.
• 비즈니스 연속성 및 재해 복구 지침을 검토하여 기업 요구 사항이 충족되는지 확인합니다.
• 솔루션에 대한 기타 안정성 고려 사항은 Microsoft Azure Well-Architected Framework의 안정성 디자인 원칙 섹션에 설명되어 있습니다.

보안

• Arc 지원 서버에 대해 적절한 Azure RBAC(Azure 역할 기반 액세스 제어)를 관리해야 합니다. 컴퓨터를 온보딩하려면 Azure Connected Machine 온보딩 역할의 멤버여야 합니다. 머신을 읽고, 수정하고, 다시 등록하고, 삭제하려면 Azure Connected Machine Resource Administrator 역할의 멤버여야 합니다.
• 클라우드용 Microsoft Defender는 온-프레미스 시스템, Azure VM, Azure Monitor 리소스뿐만 아니라 다른 클라우드 공급자에서 호스트되는 VM도 모니터링할 수 있습니다. 보안 기준 모니터링, 보안 태세 관리, 위협 방지를 위해 Azure Arc 사용 서버를 포함하는 모든 구독에 대해 서버용 Microsoft Defender를 사용하도록 설정합니다.
• Microsoft Sentinel은 기본 제공 커넥터를 사용하여 Azure, 온-프레미스 솔루션, 클라우드 등 다양한 원본에서 데이터 수집을 간소화하는 데 도움이 될 수 있습니다.
• Azure Policy를 사용하여 클라우드용 Microsoft Defender에서 보안 정책 구현을 포함하여 Arc 지원 서버에서 보안 정책을 관리할 수 있습니다. 보안 정책은 원하는 워크로드 구성을 정의하며 회사 또는 규제 당국의 보안 요구 사항을 준수하는지 확인하는 데 도움이 됩니다. 클라우드용 Defender 정책은 Azure Policy에서 만든 정책 이니셔티브를 기반으로 합니다.
• Arc 지원 서버에 설치할 수 있는 확장을 제한하려면 서버에서 허용 및 차단할 확장 목록을 구성할 수 있습니다. 확장 관리자는 허용 목록 및 차단 목록을 기준으로 모든 확장 설치, 업데이트 또는 업그레이드 요청을 평가하여 서버에 확장을 설치할 수 있는지 확인합니다.
• Azure Private Link를 사용하면 프라이빗 엔드포인트를 사용하여 Azure PaaS 서비스를 가상 네트워크에 안전하게 연결할 수 있습니다. 온-프레미스 또는 다중 클라우드 서버를 Azure Arc에 연결하고, 공용 네트워크를 사용하는 대신 Azure ExpressRoute 또는 사이트 간 VPN 연결을 통해 모든 트래픽을 보낼 수 있습니다. 프라이빗 링크 범위 모델을 사용하여 여러 서버 또는 컴퓨터가 단일 프라이빗 엔드포인트를 사용하여 해당 Azure Arc 리소스와 통신하도록 허용할 수 있습니다.
• Azure Arc 지원 서버의 보안 기능에 대한 포괄적인 개요는 Azure Arc 지원 서버 보안 개요를 참조하세요.
• 솔루션에 대한 기타 보안 고려 사항은 Microsoft Azure Well-Architected Framework의 보안 디자인 원칙 섹션에 설명되어 있습니다.

비용 최적화

• Azure Arc 컨트롤 플레인 기능은 추가 비용 없이 제공됩니다. 여기에는 Azure 관리 그룹 및 태그를 통한 리소스 조직 지원과 Azure RBAC(역할 기반 액세스 제어)를 통한 액세스 제어가 포함됩니다. Azure Arc 지원 서버와 함께 사용되는 Azure 서비스는 사용량에 따라 비용이 발생합니다.
• 추가 Azure Arc 비용 최적화 지침은 Azure Arc 지원 서버의 비용 거버넌스를 참조하세요.
• 솔루션에 대한 기타 비용 최적화 고려 사항은 Microsoft Azure Well-Architected Framework의 비용 최적화 원칙 섹션에 설명되어 있습니다.
• Azure 가격 계산기를 사용하여 비용을 예측합니다.
• 이 아키텍처에 대한 IT 전문가용 빠른 시작 ArcBox 참조 구현을 배포할 때 ArcBox 리소스는 기본 Azure 리소스에서 Azure Consumption 요금을 생성한다는 점에 유의해야 합니다. 이러한 리소스에는 핵심 컴퓨팅, 스토리지, 네트워킹 및 보조 서비스가 포함됩니다.

운영 우수성

• Arc 지원 서버 환경의 배포를 자동화합니다. 이 아키텍처의 참조 구현은 Azure ARM 템플릿, VM 확장, Azure Policy 구성 및 PowerShell 스크립트의 조합을 사용하여 완전히 자동화됩니다. 자체 배포에 이러한 아티팩트를 재사용할 수도 있습니다. CAF(클라우드 채택 프레임워크)의 추가 Arc 지원 서버 Automation 지침은 Azure Arc 지원 서버의 Automation 분야를 참조하세요.
• Arc 지원 서버의 온보딩을 자동화하기 위해 Azure에서 사용할 수 있는 몇 가지 옵션이 있습니다. 대규모로 온보딩하려면 서비스 주체를 사용하고 조직의 기존 자동화 플랫폼을 통해 배포합니다.
• VM 확장을 Arc 지원 서버에 배포하여 수명 주기 동안 하이브리드 서버의 관리를 단순화할 수 있습니다. 대규모 서버를 관리할 때 Azure Policy를 통해 VM 확장 배포를 자동화하는 것이 좋습니다.
• 온보딩된 Azure Arc 지원 서버에서 패치 및 업데이트 관리를 사용하도록 설정하여 OS 수명 주기 관리를 용이하게 합니다.
• Azure Arc 빠른 시작 통합 작업 사용 사례를 검토하여 Azure Arc 지원 서버에 대한 추가 운영 우수성 시나리오에 대해 알아봅니다.
• 솔루션에 대한 기타 운영 우수성 고려 사항은 Microsoft Azure Well-Architected Framework의 운영 우수성 디자인 원칙 섹션에 설명되어 있습니다.

성능 효율성

• 서버용 Azure Arc 지원 서버를 사용하여 머신을 구성하기 전에, Azure Resource Manager 구독 한도 및 리소스 그룹 한도를 검토하여 연결할 머신 수를 계획합니다.
• 배포 가이드에 설명된 단계적 배포 방식은 구현을 위한 리소스 용량 요구 사항을 결정하는 데 도움이 될 수 있습니다.
• 자세한 분석 및 상관관계를 위해 Azure Monitor를 사용하여 Azure Arc 지원 서버에서 Log Analytics 작업 영역으로 직접 데이터를 수집합니다. Azure Monitor 에이전트의 배포 옵션을 검토합니다.
• 솔루션에 대한 추가 성능 효율성 고려 사항은 Microsoft Azure Well-Architected Framework의 성능 효율성 원칙 섹션에 설명되어 있습니다.

시나리오 배포

이 아키텍처의 참조 구현은 Arc 빠른 시작 프로젝트의 일부로 포함된 IT 전문가용 빠른 시작 ArcBox에서 찾을 수 있습니다. ArcBox는 단일 Azure 구독 및 리소스 그룹 내에서 완전히 독립적으로 설계되었습니다. ArcBox를 사용하면 사용자는 사용 가능한 Azure 구독만 있으면 사용 가능한 모든 Azure Arc 기술을 직접 체험할 수 있습니다.

참조 구현을 배포하려면 아래의 IT 전문가용 ArcBox 빠른 시작 단추를 선택하여 GitHub 리포지토리의 단계를 따릅니다.

참가자

Microsoft에서 이 문서를 유지 관리합니다. 원래 다음 기여자가 작성했습니다.

보안 주체 작성자:

• Pieter de Bruin | 선임 프로그램 관리자

비공개 LinkedIn 프로필을 보려면 LinkedIn에 로그인합니다.

다음 단계

• Azure Arc에 관해 자세히 알아보세요.
• Azure Arc 지원 서버에 대해 자세히 알아보세요.
• Azure Arc 학습 경로
• Arc 빠른 시작에서 Azure Arc 빠른 시작 시나리오 검토
• CAF에서 Arc 지원 서버 랜딩 존 가속기 검토

관련 참고 자료

관련 아키텍처 살펴보기:

• Azure Arc 지원 서버를 위한 구성 관리
• Kubernetes 클러스터를 위한 Azure Arc 하이브리드 관리 및 배포