Microsoft Azure 리소스 그룹: 소개 및 모범 사례

Azure 리소스 그룹은 모든 Azure 가상 머신(VM)을 그룹화해야 하는 Microsoft Azure 서비스입니다. 이 게시물에서는 이 그룹 구조가 실제로 무엇을 의미하는지 살펴보고, 이를 사용하여 더 나은 거버넌스를 구축하고 인프라에 대한 Azure 리소스를 보다 효과적으로 관리하는 방법을 알아보겠습니다.

먼저, 리소스에 대한 관리 계층인 Azure Resource Manager를 통해 리소스 그룹을 관리하고 프로비저닝하는 방법을 간단히 살펴보겠습니다. 익숙하실 수 있는 부분입니다. Azure Resource Manager를 사용하면 스크립트 대신 선언적 템플릿으로 인프라를 관리하고, 태그 관리, 배포 템플릿, 종속성 매핑, 간소화된 역할 기반 액세스 제어, 명확한 비용 관리를 수행할 수 있습니다.

워크플로 및 애플리케이션과 관련된 비용을 보호, 관리 및 추적하기 위해 리소스 그룹을 구성할 수 있습니다.

Azure 리소스 그룹은 VM, 스토리지 계정, 가상 네트워크, 웹앱, 데이터베이스 및 데이터베이스 서버의 논리적 컬렉션입니다. 이를 사용하면 애플리케이션에 관련된 리소스를 그룹화하고 이를 프로덕션 및 비프로덕션 그룹으로 나누거나 원하는 다른 조직 구조로 나눌 수 있습니다.

Azure 리소스 그룹 관리 모델은 리소스를 구성하기 위한 네 가지 수준 또는 “범위” 관리를 제공합니다.

• 관리 그룹: 이러한 그룹은 여러 구독에 대한 액세스, 정책 및 규정 준수를 관리하기 위한 컨테이너입니다. 관리 그룹의 모든 구독은 관리 그룹에 적용된 조건을 자동으로 상속합니다. 이는 종종 내부 부서나 지역별로 구독을 그룹화하는 데 사용됩니다.
• 구독: 구독은 사용자 계정과 해당 사용자 계정에서 만든 리소스를 연결합니다. 각 구독에는 생성하고 사용할 수 있는 리소스 수에 대한 제한 또는 할당량이 있습니다. 조직은 구독을 사용하여 사용자, 팀 또는 프로젝트에서 생성한 비용과 리소스를 관리할 수 있습니다. 일반적으로 구독은 애플리케이션과 동일합니다. 
• 리소스 그룹: 리소스 그룹은 웹 앱, 데이터베이스 및 스토리지 계정과 같은 Azure 리소스가 배포되고 관리되는 논리적 컨테이너입니다.
• 리소스: 리소스는 VM, 스토리지 또는 SQL Database와 같이 사용자가 생성하는 서비스의 인스턴스입니다.

이러한 범위를 관리할 때 명심해야 할 중요한 요소 중 하나는 Azure 구독과 관리 그룹 간에 차이가 있다는 것입니다. 관리 그룹에는 Azure 리소스가 포함될 수 없습니다. 다른 관리 그룹 또는 구독만 포함할 수 있습니다. Azure 관리 그룹은 Azure 구독보다 상위 수준의 조직을 제공합니다. 예를 들어 구독이 애플리케이션을 나타내는 경우 Azure 관리 그룹에는 해당 부서에서 관리하는 모든 애플리케이션이 포함될 수 있습니다. 또한 Azure에는 “중첩” 리소스 그룹에 대한 구조가 없습니다. 권한에 대한 그룹을 “중첩”하려면 앞서 나열된 다양한 수준의 권한을 조합해서 사용해야 합니다. 또한 Azure 리소스 그룹과 “Azure 가용성 집합”의 개념을 구별해야 합니다. Azure의 가용성 집합은 애플리케이션의 가용성을 보호하기 위해 애플리케이션이 어떻게 구축되는지 Azure에 알려주는 가상 머신의 논리적 그룹입니다.

Azure 리소스 그룹을 만드는 방법에는 여러 가지가 있습니다.

• Azure 포털
• Azure PowerShell 스크립트
• Azure CLI
• ARM 템플릿

Azure 리소스 그룹을 사용하기 위한 모범 사례는 다음과 같습니다.

• 그룹의 리소스는 동일한 라이프사이클을 가져야 합니다. 예를 들어 애플리케이션에 SQL 데이터베이스, 웹 앱 또는 모바일 앱과 같이 함께 업데이트해야 하는 다양한 리소스가 필요한 경우 이러한 리소스를 동일한 리소스 그룹으로 그룹화하는 것이 합리적입니다. 그러나 DevTest, 스테이징 또는 프로덕션의 경우 다른 리소스 그룹 또는 새 리소스 그룹을 사용하는 것이 중요하며, 이러한 그룹의 리소스는 수명 주기가 다르기 때문입니다. 
• Azure 리소스 그룹에 리소스를 추가하거나 삭제할 수 있습니다. 그러나 각 리소스는 Azure 리소스 그룹에 속해야 하므로 한 리소스 그룹에서 다른 리소스 그룹으로 리소스를 이동하려면 원래 그룹에서 리소스를 제거한 다음 새 그룹에 추가해야 합니다.
• 모든 리소스를 다른 리소스 그룹으로 이동할 수 있는 것은 아닙니다.
• 리소스 그룹에 포함하는 리소스는 그룹 자체와 다른 지역, 심지어 다른 Azure 지역에 위치할 수도 있습니다. 그러나 때로는 지연 시간이나 지역 간 데이터 전송을 줄이기 위해 모든 리소스를 동일한 지역의 리소스 그룹에 유지하는 것이 가장 좋은 방법입니다. 그럼에도 불구하고, 그룹에는 일부 규정 준수 정책에 필요한 메타데이터가 저장될 위치를 지정하는 위치가 필요합니다. 
• 리소스 그룹으로 액세스 권한을 부여합니다. 리소스 그룹을 사용하여 리소스에 대한 액세스를 제어해야 하며, 액세스 제어에 대해서는 나중에 자세히 설명하도록 하겠습니다.
• 리소스 그룹이 삭제되면 해당 그룹의 모든 리소스가 삭제됩니다. 
• 일부 예외를 제외하고 각 리소스 그룹에 리소스 유형의 인스턴스를 최대 800개까지 배포할 수 있습니다.

Azure 리소스 그룹 최적화를 자동화할 준비가 되셨나요?

Azure 리소스 그룹은 역할 기반 액세스 제어(RBAC)를 구현하는 방법입니다. 일반적으로 리소스 그룹 수준에서 사용자 액세스 권한을 부여하는 것이 좋습니다. 그룹을 만들면 관리가 더 간편해지고 가시성이 향상됩니다.

CIO에게 가장 권장하는 클라우드 모범 사례 중 하나는 조직 전략을 뒷받침하는 구조를 마련하는 것입니다. Azure 리소스를 구성하는 방식은 조직 구조를 따르게 되며, 이를 통해 최소 권한 원칙을 쉽게 준수하고 필요한 최소 권한만 부여할 수 있습니다. 이는 관리 그룹이나 구독 레벨이 아니라 리소스 그룹 레벨에서 수행할 수 있습니다. 예를 들어, 암호화 키 관리와 관련된 정책은 관리 그룹 레벨에서 적용할 수 있고, 예약된 중지 정책은 리소스 그룹 레벨에서 적용할 수 있습니다.

태그 지정을 효과적으로 사용하면 기술, 자동화, 청구 및 보안 목적으로 리소스를 식별할 수 있습니다. 태그는 리소스 그룹을 넘어 확장될 수 있으므로 태그를 사용하여 동일한 프로젝트, 애플리케이션 또는 서비스에 속하는 그룹과 리소스를 연결할 수 있습니다. 리소스를 최적화하기 위해 리소스를 배포하기 전에 표준 태그 집합을 적용하도록 요구하는 것과 같은 모범 사례를 적용해야 합니다.

구독과 리소스 그룹을 구성하는 일반적인 방법은 여러 가지가 있습니다. 첫 번째, 안타깝게도 일반적인 모델은 "혼돈"입니다. 만약 이 단어가 여러분의 환경을 설명한다면, 포기하지 마세요. 우리는 많은 조직이 이러한 성장통을 겪으며 환경을 정상화해나가는 것을 보았습니다.

그런 다음 애플리케이션별로 정리할 수 있습니다. 예를 들어, 급여나 청구 애플리케이션은 단일 Azure 클라우드 구독에 맞춰 조정되고, 개발, 테스트, 스테이징 등 각 환경에 대한 리소스 그룹은 해당 구독 아래에 통합됩니다.

우리는 흔히 환경별 조직 구조가 적용된 사례를 봅니다. 이 경우, 운영 전체를 위한 단일 구독, 개발을 위한 구독, 테스트를 위한 구독이 각각 존재하며, 각 구독 아래 애플리케이션별로 리소스 그룹이 배치됩니다.가장 성숙한 구성 방식은 비즈니스 부서 또는 서비스 부서 단위로 조직하는 것으로, 각 회사 기능이 리소스 소유권을 갖는 모델입니다. 예를 들어, 재무 부서는 하나의 구독을 가지고, 마케팅 부서는 또 다른 구독을 갖게 됩니다. 해당 구독 아래에는 각 애플리케이션에 해당하는 리소스 그룹이 배치됩니다.

Azure 리소스 그룹과 클라우드 제공자가 제공하는 기타 구조를 사용하면 클라우드 리소스를 효과적으로 구성하고 관리할 수 있습니다. 기초를 구축하고 Azure 리소스 그룹을 활용해 비즈니스 라인과 그 위에서 실행되는 애플리케이션에 필요한 세분화와 정렬을 확보한 후에는, 리소스를 애플리케이션 수요에 효과적으로 맞추는 작업이 다음 단계입니다. 이렇게 하면 애플리케이션 성능을 최대화하는 동시에 리소스 비용을 최적화할 수 있습니다.

애플리케이션 성능을 보장하고 클라우드를 최적화하는 일은 인간의 규모를 넘어서는 작업이기 때문에, IBM은 어떤 애플리케이션이든, 어떤 클라우드든, 어떤 규모든 그 성능, 규정 준수, 비용을 관리하는 것을 우리의 사명으로 삼고 있습니다.

Turbonomic 소프트웨어를 사용하면 구독과 리소스 그룹 간의 상하 관계를 더 쉽게 시각화할 수 있습니다. 이 기능은 조직에서 구현해둔 프레임워크를 시각적으로 매핑하는 데 도움이 되며, 이미 구축한 애플리케이션 컨텍스트 내에서 인프라를 확인할 수 있게 해줍니다. Turbonomic 소프트웨어는 연관된 모든 Azure 구독, 해당 구독에 속한 리소스 그룹, 그리고 각 그룹 내의 Azure VM, Azure 관리형 디스크, Azure SQL Server 등 모든 리소스뿐 아니라 공유 RI 또는 특정 구독이나 리소스 그룹에 할당된 RI까지 자동으로 탐지합니다. 그 다음 Turbonomic 소프트웨어는 각 리소스의 사용률을 분석하고 최적화 작업을 생성하기 시작합니다. 여기 보이는 화면은 단일 Azure 구독과 그 아래의 여러 Azure 리소스 그룹, 리소스 그룹별 보류 중인 최적화 작업, 그리고 해당 작업을 통해 절감될 수 있는 잠재적 비용을 보여줍니다.

또한 Turbonomic 소프트웨어에는 안전한 샌드박스 모드에서 클라이언트가 다양한 시나리오를 클라우드 환경에 적용해 모델링할 수 있도록 설계된 강력한 최적화 모델링 엔진이 포함되어 있습니다. 예를 들어, 리소스 그룹의 워크로드를 적정 크기(Rightsizing)로 조정한 경우와 조정하지 않은 경우, Azure Reserved VM Instance 재고 활용도에 어떤 영향이 있는지 시뮬레이션할 수 있습니다.