하이브리드 클라우드 아키텍처의 설계 및 구현은 기업의 비즈니스 목표, 현재 기술 환경, 디지털 혁신 목표, 보안 고려 사항을 포함해 수많은 요소를 고려해야 합니다. 다양한 하이브리드 클라우드 솔루션을 사용하는 이러한 아키텍처는 걸핏하면 복잡해질 수 있기 때문에 중앙 집중화되고 원활하며 확장 가능한 클라우드 관리를 위해서는 운영 도구를 활용하는 것이 중요합니다. 다음은 하이브리드 클라우드 전략을 수립할 때 고려해야 할 요소입니다.

현대화 전략

대부분의 조직에서 하이브리드 클라우드 컴퓨팅이라는 개념은 현대화 또는 온프레미스에서 클라우드로 애플리케이션을 이동하는 것부터 시작하며, 이를 실행하는 방법은 몇 가지가 있습니다.

시간이 오래 걸릴 뿐만 아니라 불필요할 수도 있는 전체 모놀리식 애플리케이션을 클라우드로 옮기는 것보다 한두 개의 서비스(규정 준수 또는 긴급한 성능 개선이 필요하지 않은 서비스)를 식별하여 리팩토링(예: 이전 서비스 인터페이스가 특정 플랫폼에 밀접하게 결합될 수 있으므로 REST API를 노출하는 글루 코드 추가)하고 클라우드에 배포하는 것이 더 좋습니다. 이러한 단계적 이동을 통해 소량의 트래픽을 클라우드의 새 인스턴스로 라우팅하여 테스트 및 학습 기회를 제공하고, 궁극적으로는 서비스의 모든 인스턴스를 클라우드로 이동할 수 있습니다. 재설계: 마지막으로, 모든 시스템 구성 요소를 모듈식이며 독립적인 프로덕션 경로를 가진 단일 책임 마이크로서비스로 나누고 이를 컨테이너화하는 가장 정교한 접근 방식이 있습니다. 이 프로세스에는 완전한 재작성이 수반되고 비용도 많이 들지만 수익도 극대화됩니다.

통합 제어 플레인

엔터프라이즈 운영팀은 환경 전반에서 일관되고 일관된 클라우드 운영 경험을 제공하는 통합 컨트롤 플레인을 통해 클라우드 환경을 관리합니다. 워크로드 스케줄링 및 오케스트레이션, CI/CD(지속적인 통합 및 배포) 파이프라인, 로깅, 원격 측정 및 연합 보안과 같은 핵심 클러스터 관리 기능을 지원합니다.

목표는 애플리케이션팀에서 개별적인 클라우드 서비스 제공업체(CSP)와 런타임의 근본적인 복잡성을 추상화하고, 운영팀이 기업에서 워크로드를 관리할 수 있는 일반적인 인터페이스를 제공하는 것입니다.

통합 컨트롤 플레인의 몇 가지 이점은 다음과 같습니다.

가상 머신, 컨테이너 또는 서버리스 배포 전반에 걸쳐 동적 워크로드 배치 전략 활용

최소한의 노력으로 추가 공급자 또는 엣지 로케이션을 온보딩할 수 있습니다.

다양한 클라우드 구현에서 작동하고 가용성이 높은 서비스형 기능(FaaS) 등의 PaaS 기능 구축

컴플라이언스 관리 중앙 집중화

API 게이트웨이 및 서비스 메시

중심 집중형 API 게이트웨이와 서비스 메시와 같은 아키텍처 패턴을 사용하면 라우팅, 서비스 간 통신, 보안, 속도 제한 및 관측 가능성을 포함한 클라우드 기능을 투명하게 관리할 수 있습니다.

API 게이트웨이는 모든 지역에서 단일한 프런트 도어 역할을 하며 다음과 같은 '노스-사우스' 트래픽 기능을 처리합니다.

사용자 인증 및 권한 부여

스로틀링 및 속도 제한

트래픽 관리

API 라이프사이클 관리

클라우드 보안 가드레일

엣지 분석

반면, 서비스 메시는 서비스 종속성 간의 '이스트-웨스트' 트래픽을 처리합니다.

클러스터에서 보안 서비스 간 통신

로드 밸런싱, 라우팅 규칙, 재시도, 장애, 재해 복구, 결함 주입을 통한 트래픽 관리

클러스터 송신 및 수신을 포함하여 클러스터 내의 모든 트래픽에 대한 지표, 로그 및 추적이 포함된 원격 측정

분산 추적 기능을 통해 서비스 경계를 넘나들며 요청의 흐름 계측

서비스 검색 자동화

예를 들어, Istio는 클라우드 관리자가 제공한 사전 정의된 구성에 따라 서비스 간 통신을 지시하는 오픈 소스 서비스 메시 계층입니다. Kubernetes 오케스트레이션 계층의 사이드카 역할을 하며 컨테이너와 함께, 하지만 프로그래머와 관리자에게는 보이지 않게 작동합니다.

보안

하이브리드 클라우드 아키텍처의 복잡성으로 인해 엔드투엔드 보안 및 보호를 보장하기 위해서는 다양한 계층에서 다계층적인 접근 방식이 필요합니다.

IBM Cloud, AWS(Amazon Web Services), Microsoft Azure 및 Google Cloud와 같은 CSP는 SLA(서비스 수준 계약)에 따라 경계 계층에서 모든 통화를 인증하고 권한을 부여하여 엔터프라이즈 애플리케이션 주위에 방화벽을 구축할 책임이 있습니다. 여기에는 서비스 거부 보호 및 일반 데이터 보호 규정(GDPR) 및 건강 보험 양도 및 책임에 관한 법률(HIPAA)와 같은 개인 정보 보호 규정 준수가 포함됩니다.

온프레미스 인프라에서는 모든 API 엔드포인트를 보호하는 API 게이트웨이를 사용해 경계 보안을 달성할 수 있습니다. 데이터 센터 외부에 있는 웹 서비스 또는 모바일 애플리케이션의 모든 호출은 API 게이트웨이를 통해 유효성을 검사하고 라우팅해야 합니다.

클라우드 컴퓨팅 환경에는 서비스 메시에서 정의된 제어 정책과 오케스트레이션 플랫폼에 의해 노출되는 API의 형태로 추가적인 보안 계층이 포함되어 있습니다. 이러한 정책은 보안 호출만 Kubernetes 노드와 마이크로서비스로 전달되도록 보장합니다.

또한 환경을 여러 논리적 보안 세그먼트로 나누어 각 서비스 및 워크로드에 대한 액세스 제어 정책을 정의하는 마이크로 세그멘테이션의 개념을 사용하여 환경 내에서 실행되는 서비스 간의 보안 수준을 구축하고 구분할 수 있습니다. 마지막으로 암호화 정책은 추가 데이터 보호 계층 역할을 합니다.

네트워크 연결

단일 클라우드 리전에서는 가용성 영역에 네트워크의 모든 노드를 연결하는 전용 파이버 네트워크가 있습니다. 이를 통해 기업은 대역폭에 제한이 없고 네트워크 지연 시간이 짧은 고가용성 아키텍처를 구축할 수 있습니다. 하지만 여러 리전과 클라우드 제공업체를 오가는 통신은 공용 인터넷을 통해 라우팅되며 대기 시간이 길어지고 오류가 발생할 수 있습니다.

하이브리드 클라우드 아키텍처에는 기본 공급자 간의 데이터 교환 패턴이 세 가지 있습니다.

인터넷을 통한 공용 IP 주소(공유 대역폭으로 인한 긴 대기 시간)

VPN과 같은 위탁관리 서비스(강화된 보안으로 인한 지연 시간)

일반적인 POP(Point of Presence)를 통한 전용 상호 연결(CSP에서 제공하는 고가의 옵션이지만 보안은 극대화하고 지연은 최소화)

이러한 옵션은 전송 속도, 지연 시간, 안정성, SLA, 복잡성 및 가격 측면에서 다르기 때문에 네트워크 연결 계층을 설계하기 전에 제약 조건과 이점을 고려하는 것이 중요합니다.

개발 플랫폼에서 오픈 소스에 대한 편견

하이브리드 클라우드를 도입한다는 것은 한 환경에서 다른 환경으로 워크로드를 이동할 수 있고 모든 클라우드에서 실행되는 애플리케이션 개발 플랫폼을 보유하는 것을 의미합니다. 진정한 클라우드 네이티브를 이루려면 특정한 기술이나 플랫폼, CSP에 대한 의존도가 높아서는 안 되며, 기업은 시장의 변화에 민첩하게 대응해야 합니다.

오픈 소스 아키텍처는 구현에 사용하는 기술과 관계없이 개발자들이 기본 인프라를 관리할 수 있는 통합적인 개발 접근 방식을 가능하게 합니다. 오픈 소스는 더 이상 특정 층에서 비용 효율성을 위해 사용하는 변두리 기술이 아닙니다. 다양한 기능과 품질, 커뮤니티 기반 개발의 힘을 입어 중심 무대를 꿰찬 주류 기술입니다.

엔터프라이즈 오픈 소스 현황에 관한 Red Hat 보고서에서 보고한 바와 같이, 보안과 같은 민감한 분야에서도 오픈 소스 소프트웨어는 이제 훌륭한 선택으로 인식되고 있습니다. 클라우드 네이티브 아키텍처에 대한 보안, 품질 및 지원은 기업이 오픈 소스에 대해 의식적인 편향을 보이는 가장 큰 이유입니다.

JJ Asghar의 글 'Cultivating Careers, Communities and Companies with Open Source'에서 더 자세한 내용을 살펴보세요.