MS Learn 파트 1-3 :: Describe core Azure architectural components (AZ-900)

이번 파트는 Azure의 서비스를 이해하는데 필요한 다양한 용어들이 나와서 처음에 다소 어렵게 느껴졌습니다

이 용어들은 앞으로도 계속 나올 예정이니(다른 파트나 시험 문제들) 지금 이해가 안간다해도 낙심할 필요 없습니다!!

 

다음 내용들은 꼭 숙지!!!

- Azure리소스의 4가지 레벨 및 각 개념들

- Azure region, AZ(Azure zone)의 차이 및 개념

 

Azure의 리소스 Organizing structure에는 4가지 레벨이 존재

1. Management Group: 이 그룹은 여러 구독에 대한 접근, 정책 및 준수(compliance)를 관리하는데 도움이 됩니다. Management Group의 모든 구독은 Management Group에 적용되는 조건을 자동으로 상속합니다.
2. Subscription: 구독은 사용자 계정과 해당 사용자 계정으로 생성된 리소스를 함께 그룹화 한다. 각 구독에는 생성 및 사용할 수 있는 resource 양에 대한 limits 또는 quotas가 있습니다. Organization은 subscription을 이용해서 사용자, 팀 또는 프로젝트에 의해 생성된 비용과 리소스를 관리할 수 있습니다.
3. Resource Groups: 리소스는 리소스 그룹으로 결합 됨. 웹 앱, 데이터베이스 및 스토리지 계정과 같은 Azure 리소스를 배포하고 관리하는 논리적 컨테이너 역할
4. Resources: Virtual Machines, 스토리지 또는 SQL Database와 같이 사용자가 생성하는 서비스의 인스턴스

 

1. Azure regions, availability zones, and region pairs

Azure region pairs < Azure region < Availability zone

Region 안에는 AZ들이 있고 Region은 Pair로 쌍을 이루고 있습니다

 

리소스는 Azure data center를 포함하는 전 세계의 서로 다른 지리적 위치인 region에서 생성된다

Azure regions

Region: low-latency network와 함께 네트워크로 연결된 적어도 하나 이상의 데이터 센터를 포함하는 지구 상의 지리적 영역 (지역에는 위치가 가까운 데이터 센터 하나 이상이 포함)
Azure는 워크로드가 적절하게 균형을 이루도록 각 region 내의 리소스를 지능적으로 할당하고 제어
** 일부 서비스 또는 VM 기능은 특정 VM 크기 또는 스토리지 유형에 따라 특정 region에서만 사용 가능한 경우도 존재

• Region 예시: West US, Canada Central, West Europe, Australia East, Japan West...
• Regions이 왜 중요한가? 사용자가 어디에 있든 사용자에게 보다 가까이 다가갈 수 있는 Flexibility를 제공. Global region은 Scalability 와 redundancy도 제공

Special Azure region

compliance 또는 legal 목적을 위해 App을 구축할 때 사용할 수 있는 전문 영역이 존재

• US DoD Central, US Gov Virginia, US Gov Iowa and more: 이러한 영역은 미국 정부 기관 및 파트너를 위한 물리적 및 논리적 네트워크 격리 인스턴스. 이 데이터 센터들은 선별된 미국 직원이 운영.
• China East, China North, and more: Microsoft와 21Vianet 간의 고유한 파트너십을 통해 사용. Microsoft가 데이터 센터르 직접 maintain 하지 않음

Azure availability zones

AZ를 통해 available을 높일 수 있습니다

• Availability zone: Azure 영역 내에서 물리적으로 분리된 데이터 센터. 각 AZ는 독립적인 전력, 냉각 및 네트워킹을 갖춘 하나 이상의 데이터 센터로 구성. AZ는 isolation boundary로 설정됩니다
• AZ는 high-speed private fiber-optic network를 통해 연결되며 한 구역이 내려가면 다른 구역이 작동한다
• 데이터 센터 오류로 인한 가동 중지 시간이 발생해도 데이터를 보호할 수 있음

출처:&nbsp;https://docs.microsoft.com/ko-kr/learn/azure/

** 일부 region 에서는 AZ를 지원하지 않음

Availability zone 사용

• 컴퓨팅, 스토리지, 네트워킹 및 데이터 리소스를 영역 내에서 공동 배치. 다른 영역에는 복제하여 mission-critical한 app을 실행 ⇒ 고가용성(High-availability) 구축
• 서비스를 복제하고 영역 간에 데이터를 전송하는데 비용이 들 수 있음

주로 VM, managed disk, LB 및 SQL Database를 위한 영역. AZ를 지원하는 Azure 서비스는 3가지 범주로 나뉨

• Zonal services: 리소스를 특정 영역에 고정(ex. VMs, managed disk, IP addresses)
• Zone-redundant services: 여러 영역에 걸쳐 플랫폼이 자동으로 복제(ex. zone-redundant storage, SQL database)
• Non-regional services: 이 서비스는 Azure 지역에서 항상 제공. zone-wide outages 및 region-wide outages에 모두 resilient(탄력적, 회복력있는) 함

Azure region pairs

AZ는 한 개 이상의 data center로 구성된다. 한 region 내에는 최소 3개의 zone이 존재한다.
(data center 여러개 → One Availability zone / 여러개의 Availability zone → One Region)
두 개의 데이터 센터에 영향을 미칠 대규모 재해가 일어날 경우를 대비해 Region pair를 만듬

• 각 Azure region은 최소 300마일 떨어진 동일한 geography 내의 다른 region과 항상 쌍을 이룸 => 가용성 높임

⇒ 중단 가능성을 낮추고 VM 스토리지 같은 리소스를 복제할 수 있다
⇒ 한 pair의 region이 재해의 영향을 받는 경우 다른 region으로 서비스가 자동으로 failover 된다

** 장애 극복 기능(영어: failover, 페일오버)은 컴퓨터 서버, 시스템, 네트워크 등에서 이상이 생겼을 때 예비 시스템으로 자동전환되는 기능이다. 시스템 대체 작동 또는 장애 조치라고도 한다. 반면 사람이 수동으로 전환을 실시하는 것을 스위치 오버라고 한다.

출처:&nbsp;https://docs.microsoft.com/ko-kr/learn/azure/

두 region은 직접 연결되어 있고 지역 재해로부터 격리될 수 있을 정도로 멀리 떨어져 있기 때문에 신뢰할 수 있는 서비스와 data redundancy를 제공하는데 사용. 일부 서비스는 region pair를 사용하여 automatic geo-redundant storage를 제공

region pair의 장점

1. 광범위한 Azure 운영 중단이 발생할 경우 해당 지역 쌍에서 호스팅되는 애플리케이션에 대해 가능한 빨리 하나 이상의 영역이 복원되도록 하기 위해 각 pair중 한 개의 region이 우선 순위가 지정 됨
2. Planned Azure update는 한 번에 한 region씩 페어링된 영역으로 롤 아웃되어 다운 타임 최소화 및 앱 중단 위험 최소화
3. 데이터는 브라질 남부 지역 제외 해당 pair와 동일한 region에 계속 보관

 

2. Azure subscriptions and management groups

Azure 리소스: VM, 스토리지 계정, 웹 애플리케이션, 데이터베이스 및 가상 네트워크

Azure Subscription

구독을 통해 Azure 제품 및 서비스에 대한 authenticated and authorized acceess를 얻을 수 있음
Azure Subscription: Azure 계정에 연결되는 Azure 서비스의 논리적 단위

즉, Azure 계정 하나에 구독이 여러개일 수 있으며 구독 별로 따로 관리할 수 있습니다(로그인 후 구독 변경하여 관리 가능)

구독이 있어야지만 resource를 생성할 수 있다

출처:&nbsp;https://docs.microsoft.com/ko-kr/learn/azure/

계정에 여러 개의 구독이 있을 수 있음
Azure Subscription을 통해 서비스 및 리소스의 boundaries를 정할 수 잇음
Subscription boundaries의 종류

• Billing boundary
  이 구독 유형은 Azure 계정의 사용료가 청구 되는 방법을 결정. 다른 billing requirement에 대한 여러 구독 가능. 비용을 관리할 수 있도록 구독에 대해 별도로 별도의 report와 invoice를 줌
• Access control boundary
  이 subscription level에서는 access-management policies를 적용, 다른 organizational structure를 반영하기 위해 별도의 subscription을 할 수도 있음

예를들어 기앱 내에 distinct Azure subscription policies을 적용하는 여러 부서가 존재. 사용자가 specific subscription으로 제공하는 리소스에 대한 액세스 관리 및 제어 가능

=> 구독 안에 접근제어 경계단위를 나타내는 리소스 그룹 별로 접근제어를 설정할 수 있음

 

Create additional Azure subscription

리소스 및 billing 관리 목적으로 additional subscription을 만들 수 있음
종류는 다음과 같음

• Environments

리소스 관리시 제품을 만들어 개발 및 테스트, 보안을 위한 별도의 환경을 설정하거나 규정 준수상의 이유로 데이터를 격리하도록 선택 가능
자원 제어 컨트롤이 subscription 단계 에서 일어나므로 유용

• Organizational structures

다른 Organizational structures를 반영하도록 subscription을 만들 수 있음. IT 부서 전체에 허용하는 동시에 팀에는 lower-cost resource로 제한할 수 있음. 이를 통해 각 구독 내에서 사용자가 provision 하는 resource에 대한 접근을 제어 및 관리할 수 있음

• Billing

청구 목적으로 추가 구독 생성 가능. 비용이 구독 수준에서 집계되므로 필요에 따라 비용을 관리하고 추적하기 위해 구독을 만들 수 있음
다음 이유로 additional subscription이 필요할 수 있음

• subscription limits: 예를들어 subscription 당 Azure ExpressRoute circuit 은 10개 인데 이러한 제한을 초과해 필요하는 경우 추가 구독 필요

Customize billing to meet your needs

구독이 여러개라면 invoice section에서 관리 가능
각 invoice section은 해당 달에 발생한 요금을 보여줌
필요에 따라 동일한 청구 계정 내에 여러 invoice 설정 가능 (추가 billing profile을 만들면 됨)
각 billing profile에는 월별 청구서와 결제 방법이 있음

 

출처:&nbsp;https://docs.microsoft.com/ko-kr/learn/azure/

Billing Account > Billing profile > billing section > Azure subscription

Billing section(구독 경계): 각 구독에 해당하는 개별 청구 보고서와 청구서 생성. 프로젝트 별로 많이 나눔

 

Azure management groups

조직 내에 구독이 많은 경우 관리할 방법이 필요
subscription을 container(management group)로 구성, management group에게 거버넌스 조건 적용
management group 내의 모든 그룹은 management group에 적용되는 조건을 자동으로 상속
가입 유형에 관계 없이 대규모로 기업 등급 관리 제공
단일 management group 내의 모든 subscription은 Azure AD tenant를 신뢰해야 함
⇒ VM 생성에 사용할 수 있는 영역을 제한하는 정책을 management group에 적용 가능.

Azure hierarchy

policy 적용을 위해 계층을 구성할 수도 있다 (Management group에 적용되는 조건을 child는 자동으로 parent의 policy를 상속하기 때문)

출처:&nbsp;https://docs.microsoft.com/ko-kr/learn/azure/

• 시나리오 1
  위와 같이 있을때 프로덕션 그룹에 US West Region으로 VM location을 제한⇒ 하위 항목인 모든 EA subscription에 상속 됨 ⇒ 해당 구독 아래의 모든 VM에 policy 적용
  이 보안 정책은 리소스 또는 구독 소유자가 변경할 수 없음 ⇒ 거버넌스 향상
• 시나리오 2

management group을 이용해 여러 구독에 사용자 access를 제공할 수 있음

해당 관리 그룹 아래로 여러 구독을 이동하면 관리 그룹에 하나의 role-based access control을 만들 수 있음. 이 할당은 모든 구독에 대한 해당 액세스 권한 상속

management group에 대한 기타 사항

• 하나의 directory에 최대 10,000개의 group 생성 가능
• 관리 그룹 트리에서 최대 depth 6 까지 지원(root 수준, 구독 수준 제외)
• 각 그룹 및 구독은 최대 한개의 parent만 가질 수 있음
• 각 그룹은 여러개의 child를 가질 수 있음
• 모든 구독 및 management group은 단일 계층 내에 있음

 

추가 확인한 사항 들

Q1: region에 1개 이상의 datacenter라 하는데 region에는 최소 3개의 zone이 존재해서 최소 3개 이상 있는게 아닌지??

A1: 마이크로소프트에서는 한 리전에 몇 개의 데이터센터가 있는지 공개하지 않습니다. 저희가 이야기 드릴 수 있는 부분도 리전은 다수의 데이터 센터가 존재한다 로만 이야기 드릴수가 있네요. 다만 말씀 주셨던 것처럼 가용성 영역이 3 개면 최소 3개 이상의 데이터 센터가 존재한다고 유추할 수 있습니다.

 

Q2: HA를 Fault Tolerance로 보시는걸까요?? Disaster recovery와 합쳐서 3개 개념이 헷갈립니다

A2: HA는 고가용성입니다. 서비스가 중지되지 않도록 구성하는것으로 이해하시면 됩니다. 내결함성은 만약 VM을 서비스하는 호스트가 장애가 있을 시 자동으로 복구를 지원합니다. 당연히 VM1대로 구성되어 있다면 다운타임이 발생됩니다. DR은 리전 장애가 발생되었을때 다른 리전으로 서비스 할수 있도록 구성할 수 있습니다.

 

Q3: vm 생성에서 vm size 선택시 가용성 zone에 따라서 선택이 안 되는것도 있었던것 같은데 zone마다 지원을 안하는 크기가 있는것일까요? (정해져 있는지)

A3: 네 맞습니다. 모든 리전에서 동일한 VM을 사용할 수 있는것은 아닙니다. 특정 VM은 특정 리전에서만 사용 가능하며, VM Sku별로 가용성 영역을 지원하지 않는 VM이 존재 합니다. 관련된 내용은 링크 확인 부탁 드립니다. https://azure.microsoft.com/ko-kr/global-infrastructure/services/#select-product