Azure Stack Hub에서 Windows 가상 머신 실행

Azure Stack Hub에서 VM(가상 머신)을 프로비전하려면 네트워킹 및 스토리지 리소스를 포함하여 VM 자체 외에 몇 가지 추가 구성 요소가 필요합니다. 이 문서에서는 Azure에서 Windows VM을 실행하는 모범 사례를 보여줍니다.

Architecture for Windows VM on Azure Stack Hub

Resource group

리소스 그룹은 관련 Azure Stack Hub 리소스를 보유하는 논리 컨테이너입니다. 일반적으로 리소스의 수명 및 관리하는 주체에 따라 리소스를 그룹화합니다.

동일한 수명 주기를 공유하는 긴밀하게 연결된 리소스를 동일한 리소스 그룹에 배치합니다. 리소스 그룹을 사용하여 리소스를 그룹 단위로 배포 및 모니터링하고, 리소스 그룹별로 청구 비용을 추적할 수 있습니다. 리소스를 하나의 집합으로 삭제할 수도 있습니다. 이러한 기능은 테스트 배포에서 유용합니다. 의미 있는 리소스 이름을 할당하면 간단하게 특정 리소스를 찾고 해당 역할을 이해할 수 있습니다. 자세한 내용은 Azure 리소스에 대한 권장 명명 규칙을 참조하세요.

가상 머신

게시된 이미지 목록 또는 Azure Stack Hub Blob Storage에 업로드된 사용자 지정 관리형 이미지 또는 VHD(가상 하드 디스크) 파일에서 VM을 프로비전할 수 있습니다.

Azure Stack Hub는 Azure와 다른 가상 머신 크기를 제공합니다. 자세한 내용은 Azure Stack Hub의 가상 머신에 대한 크기를 참조하세요. 기존 워크로드를 Azure Stack Hub로 이동하는 경우 온-프레미스 서버/Azure와 가장 일치하는 VM 크기부터 시작합니다. 그런 다음, CPU, 메모리, 디스크 IOPS(초당 입력/출력 작업 수)에 따라 실제 워크로드의 성능을 측정하고 필요에 따라 크기를 조정합니다.

디스크

비용은 프로비전된 디스크 용량을 기준으로 산정됩니다. IOPS 및 처리량(즉, 데이터 전송 속도)은 VM 크기에 따라 달라지므로 디스크를 프로비전할 때 세 가지 요소(용량, IOPS 및 처리량)를 모두 고려합니다.

Azure Stack Hub의 디스크 IOPS(초당 입력/출력 작업)는 디스크 유형 대신 VM 크기의 함수입니다. 즉, Standard_Fs 시리즈 VM의 경우 디스크 유형에 대해 SSD 또는 HDD를 선택하든 관계없이 단일 추가 데이터 디스크에 대한 IOPS 제한은 2300 IOPS입니다. 부과된 IOPS 제한은 시끄러운 인접 항목을 방지하기 위한 상한(가능한 최대값)입니다. 특정 VM 크기에서 얻을 수 있는 IOPS의 보장은 아닙니다.

또한 관리되는 디스크를 사용하는 것이 좋습니다. Managed Disks는 스토리지를 처리하여 디스크 관리를 단순화합니다. 관리 디스크는 스토리지 계정이 필요하지 않습니다. 디스크의 크기와 유형을 지정하기만 하면 고가용성 리소스로 배포됩니다.

OS 디스크는 Azure Stack Hub Blob Storage에 저장된 VHD이므로 호스트 컴퓨터가 다운된 경우에도 유지됩니다. 또한 애플리케이션 데이터에 사용되는 영구 VHD인 데이터 디스크를 하나 이상 만드는 것이 좋습니다. 가능한 경우 OS 디스크가 아닌 데이터 디스크에 애플리케이션을 설치합니다. 일부 기존 애플리케이션은 C: 드라이브에 구성 요소를 설치해야 할 수 있습니다. 이 경우 PowerShell을 사용하여 OS 디스크 크기를 조정할 수 있습니다.

또한 VM은 임시 디스크(Windows D: 드라이브)를 사용하여 만들어집니다. 이 디스크는 Azure Stack Hub 스토리지 인프라의 임시 볼륨에 저장됩니다. 다시 부팅 및 기타 VM 수명 주기 이벤트 중에 삭제될 수 있습니다. 페이지 또는 스왑 파일과 같은 임시 데이터에 대해서만 이 디스크를 사용합니다.

네트워크

네트워킹 구성 요소에는 다음 리소스가 포함됩니다.

  • 가상 네트워크. 모든 VM은 가상 네트워크에 배포되어 여러 서브넷으로 분할될 수 있습니다.

  • NIC(네트워크 인터페이스). NIC를 통해 VM을 가상 네트워크와 통신하도록 할 수 있습니다. VM에 여러 개의 NIC가 필요한 경우 각 VM 크기에 대한 최대 NIC 수가 정의되어 있습니다.

  • 공용 IP 주소/VIP. 공용 IP 주소는 VM과 통신하는 데 필요합니다(예: RDP(원격 데스크톱)). 이 공용 IP 주소는 동적 또는 정적일 수 있습니다. 기본값은 동적입니다.

  • 변경되지 않는 고정 IP 주소가 필요한 경우 고정 IP 주소를 예약합니다. 예를 들어 DNS 'A' 레코드를 만들거나 안전한 목록에 IP 주소를 추가해야 하는 경우입니다.

  • IP 주소의 FQDN(정규화된 도메인 이름)을 만들 수도 있습니다. 그런 후 FQDN을 가리키는 DNS에 CNAME 레코드를 등록할 수 있습니다. 자세한 내용은 Azure Portal에서 정규화된 도메인 이름 만들기를 참조하세요.

  • NSG(네트워크 보안 그룹) . NSG는 VM에 대한 네트워크 트래픽을 허용하거나 거부하는 데 사용됩니다. NSG는 서브넷 또는 개별 VM 인스턴스로 연결할 수 있습니다.

모든 NSG에는 모든 인바운드 인터넷 트래픽을 차단하는 규칙을 포함하여 기본 규칙 집합이 있습니다. 기본 규칙은 삭제할 수 없으나 다른 규칙으로 재정의할 수 있습니다. 인터넷 트래픽을 사용하도록 설정하려면 특정 포트(예: HTTP용 포트 80)에 대한 인바운드 트래픽을 허용하는 규칙을 만듭니다. RDP를 사용하도록 설정하려면 TCP 포트 3389에 인바운드 트래픽을 허용하는 NSG 규칙을 추가합니다.

작업

진단. 기본 상태 메트릭, 진단 인프라 로그 및 부팅 진단을 모니터링 및 진단을 사용하도록 설정할 수 있습니다. 부팅 진단은 VM이 부팅할 수 없는 상태로 전환되는 경우 부팅 오류를 진단하는 데 도움이 될 수 있습니다. 로그를 저장할 Azure Storage 계정을 만듭니다. 표준 LRS(로컬 중복 스토리지) 계정은 진단 로그에 충분합니다. 자세한 내용은 모니터링 및 진단 사용을 참조하세요.

가용성. Azure Stack Hub 운영자가 예약한 대로 계획된 유지 관리로 인해 VM이 다시 부팅될 수 있습니다. Azure에서 다중 VM 프로덕션 시스템의 고가용성을 위해 VM은 여러 장애 도메인 및 업데이트 도메인에 분산되는 가용성 집합 에 배치됩니다. Azure Stack Hub의 규모가 작을수록 가용성 집합의 장애 도메인이 배율 단위의 단일 노드로 정의됩니다.

Azure Stack Hub의 인프라는 이미 오류에 복원력이 있지만 하드웨어 오류가 있는 경우 영향을 받은 물리적 서버의 VM에 대한 기본 기술(장애 조치(failover) 클러스터링)은 여전히 가동 중지 시간을 발생합니다. Azure Stack Hub는 Azure와 일치하도록 최대 3개의 장애 도메인이 있는 가용성 집합을 지원합니다.

장애 도메인

가용성 집합에 배치된 VM은 여러 장애 도메인(Azure Stack Hub 노드)을 통해 가능한 한 균등하게 분산하여 물리적으로 서로 격리됩니다. 하드웨어 오류가 있는 경우 실패한 장애 도메인의 VM이 다른 장애 도메인에서 다시 시작됩니다. 가능한 경우 다른 VM과는 별도의 장애 도메인에 보관되지만 가능한 경우 동일한 가용성 집합에 보관됩니다. 하드웨어가 다시 온라인 상태가 되면 고가용성을 유지하기 위해 VM의 균형을 다시 조정합니다.

업데이트 도메인

업데이트 도메인은 Azure가 가용성 집합에서 고가용성을 제공하는 또 다른 방법입니다. 업데이트 도메인은 유지 관리를 동시에 수행할 수 있는 기본 하드웨어의 논리적 그룹입니다. 계획된 유지 관리 중에 동일한 업데이트 도메인에 있는 VM이 함께 다시 시작됩니다. 테넌트가 가용성 집합 내에서 VM을 만들면 Azure 플랫폼은 이러한 업데이트 도메인에 VM을 자동으로 배포합니다.

Azure Stack Hub에서 VM은 기본 호스트가 업데이트되기 전에 클러스터의 다른 온라인 호스트에서 실시간 마이그레이션됩니다. 호스트 업데이트 중에 테넌트 가동 중지 시간이 없으므로 Azure Stack Hub의 업데이트 도메인 기능은 Azure와의 템플릿 호환성을 위해서만 존재합니다. 가용성 집합의 VM은 포털에서 업데이트 도메인 번호로 0을 표시합니다.

백업을 Azure Stack Hub IaaS VM 보호에 대한 권장 사항은 Azure Stack Hub에 배포된 VM 보호를 참조하세요.

VM을 중지합니다. Azure에서는 "중지됨"과 "할당 취소됨" 상태를 구분합니다. VM 상태가 중지되면 요금이 청구되지만 VM 할당이 취소되면 청구되지 않습니다. Azure Stack Hub 포털에서 중지 단추는 VM의 할당을 취소합니다. 로그인한 상태에서 OS를 통해 종료하면 VM은 중지되지만 할당 취소되지 않으므로 비용이 계속 청구됩니다.

VM 삭제. VM을 삭제하면 VM 디스크가 삭제되지 않습니다. 즉, 데이터 손실 없이 안전하게 VM을 삭제할 수 있습니다. 그러나 스토리지에 대한 비용은 계속 청구됩니다. VM 디스크를 삭제하려면 관리 디스크 개체를 삭제합니다. 실수로 삭제하지 않도록 하려면 리소스 잠금을 사용하여 전체 리소스 그룹을 잠그거나 VM과 같은 개별 리소스를 잠급니다.

보안 고려 사항

Azure Security Center VM을 온보딩하여 Azure 리소스의 보안 상태를 중앙에서 볼 수 있습니다. Security Center는 잠재적인 보안 문제를 모니터링하고 배포의 보안 상태에 대한 종합적인 그림을 제공합니다. 보안 센터는 각 Azure 구독을 기준으로 구성됩니다. Security Center 표준에 Azure 구독 온보딩에서 설명된 대로 보안 데이터 컬렉션을 활성화합니다. 데이터 수집이 사용되도록 설정되면 보안 센터는 해당 구독에서 만든 모든 VM을 자동으로 검색합니다.

패치 관리. VM에서 패치 관리를 구성하려면 문서를 참조하세요. 이 기능이 설정된 경우 Security Center는 보안 및 중요 업데이트 누락 여부를 확인합니다. VM의 그룹 정책 설정을 사용하여 자동 시스템 업데이트를 사용하도록 설정합니다.

맬웨어 방지. 이 기능이 설정되면 보안 센터는 맬웨어 방지 소프트웨어 설치 여부를 확인합니다. 또한 보안 센터를 사용하여 Azure 포털 내에서 맬웨어 방지 소프트웨어를 설치할 수도 있습니다.

액세스 제어. RBAC(역할 기반 액세스 제어)를 사용하여 Azure 리소스에 대한 액세스를 제어합니다. RBAC를 통해 DevOps 팀의 구성원에게 권한 역할을 할당할 수 있습니다. 예를 들어 읽기 권한자 역할은 Azure 리소스를 볼 수 있지만 만들거나 관리하거나 삭제할 수는 없습니다. 일부 권한은 Azure 리소스 형식에 적용됩니다. 예를 들어 Virtual Machine Contributor 역할은 VM을 다시 시작하거나 할당을 취소하고, 관리자 암호를 재설정하고, 새 VM을 만드는 등의 작업을 수행할 수 있습니다. 이 아키텍처에 유용할 수 있는 기타 기본 제공 RBAC 역할에는 DevTest Labs 사용자네트워크 참가자가 포함됩니다.

참고

RBAC는 VM에 로그온한 사용자가 수행할 수 있는 작업을 제한하지 않습니다. 이러한 사용 권한은 게스트 OS의 계정 유형에 따라 결정됩니다.

감사 로그. 활동 로그를 사용하여 프로비전 작업 및 기타 VM 이벤트를 확인합니다.

데이터 암호화. Azure Stack Hub는 BitLocker 128비트 AES 암호화를 사용하여 스토리지 하위 시스템의 미사용 사용자 및 인프라 데이터를 보호합니다. 자세한 내용은 Azure Stack Hub의 미사용 데이터 암호화를 참조하세요.

다음 단계