클라우드 채택 프레임 워크 엔터프라이즈 규모 방문 영역 아키텍처Cloud Adoption Framework enterprise-scale landing zone architecture

엔터프라이즈급은 규모에 따라 Azure에서 랜딩 영역을 효과적으로 생성 하 고 운영 화 수 있도록 하는 아키텍처 접근 방식과 참조 구현입니다.Enterprise-scale is an architectural approach and a reference implementation that enables effective construction and operationalization of landing zones on Azure, at scale. 이 방법은 azure 로드맵 및 Azure 용 클라우드 채택 프레임 워크에 부합 합니다.This approach aligns with the Azure roadmap and the Cloud Adoption Framework for Azure.

아키텍처 개요Architecture overview

클라우드 채택 프레임 워크 엔터프라이즈 규모 방문 영역 아키텍처는 조직의 Azure 환경에 대 한 전략적 설계 경로 및 대상 기술 상태를 나타냅니다.The Cloud Adoption Framework enterprise-scale landing zone architecture represents the strategic design path and target technical state for an organization's Azure environment. Azure 플랫폼과 함께 계속 발전하면서, 조직이 Azure 경험을 매핑하기 위해 내려야 하는 다양한 디자인 결정에 의해 정의됩니다.It will continue to evolve alongside the Azure platform and is defined by the various design decisions that your organization must make to map your Azure journey.

모든 기업이 동일한 방식으로 Azure를 채택 하는 것은 아니므로 클라우드 채택 프레임 워크 엔터프라이즈 규모 방문 영역 아키텍처는 고객 마다 다릅니다.Not all enterprises adopt Azure the same way, so the Cloud Adoption Framework enterprise-scale landing zone architecture varies between customers. 이 가이드의 기술 고려 사항 및 디자인 권장 사항은 조직의 시나리오에 따라 서로 다른 장단점을 얻을 수 있습니다.The technical considerations and design recommendations in this guide might yield different trade-offs based on your organization's scenario. 약간의 변형이 필요하지만 핵심 권장 사항을 따르는 경우 결과 대상 아키텍처는 조직을 지속 가능한 규모로 안내할 것입니다.Some variation is expected, but if you follow the core recommendations, the resulting target architecture will set your organization on a path to sustainable scale.

엔터프라이즈 규모의 방문 영역Landing zone in enterprise-scale

Azure 랜딩 존은 규모, 보안, 거버넌스, 네트워킹 및 ID를 설명하는 다중 구독 Azure 환경의 출력입니다.Azure landing zones are the output of a multisubscription Azure environment that accounts for scale, security, governance, networking, and identity. Azure 방문 영역을 사용 하면 Azure에서 엔터프라이즈 규모의 응용 프로그램 마이그레이션 및 최적의 개발을 수행할 수 있습니다.Azure landing zones enable application migrations and greenfield development at enterprise-scale in Azure. 이들 영역은 고객의 애플리케이션 포트폴리오를 지원하는 데 필요한 모든 플랫폼 리소스를 고려하고 서비스로서의 인프라 또는 서비스로서의 플랫폼의 차이를 구분하지 않습니다.These zones consider all platform resources that are required to support the customer's application portfolio and don't differentiate between infrastructure as a service or platform as a service.

예를 들어 새 주택을 생성 하기 전에 물, 가스, 전기 등의 구/군/시 유틸리티에 액세스할 수 있습니다.An example is how city utilities such as water, gas, and electricity are accessible before new homes are constructed. 이 컨텍스트에서는 네트워크, id 및 액세스 관리, 정책, 관리 및 모니터링이 시작 되기 전에 응용 프로그램 마이그레이션 프로세스를 간소화 하는 데 사용할 수 있어야 하는 공유 유틸리티 서비스입니다.In this context, the network, identity and access management, policies, management, and monitoring are shared utility services that must be readily available to help streamline the application migration process before it begins.

랜딩 영역 디자인을 보여 주는 다이어그램입니다.

그림 1: 방문 영역 설계.Figure 1: Landing zone design.

상위 수준 아키텍처High-level architecture

엔터프라이즈 규모 아키텍처는 8 개의 중요 한 디자인 영역에 대 한 디자인 고려 사항 집합 및 권장 사항 집합으로 정의 됩니다. 여기에는 AZURE 가상 WAN 네트워크 토폴로지를 기반으로 하는 엔터프라이즈급 아키텍처 (그림 2에 표시) 또는 허브 및 스포크 아키텍처 (그림 3에 표시)를 기반으로 하는 기존 Azure 네트워크 토폴로지를 기반으로 하는 두 개의 네트워크 토폴로지가 권장 됩니다.An enterprise-scale architecture is defined by a set of design considerations and recommendations across eight critical design areas, with two network topologies recommended: an enterprise-scale architecture based on an Azure Virtual WAN network topology (depicted in figure 2), or based on a traditional Azure network topology based on the hub and spoke architecture (depicted in figure 3).

Azure 가상 WAN 네트워크 토폴로지를 기반으로 하는 클라우드 채택 프레임 워크 엔터프라이즈 규모 방문 영역 아키텍처를 보여 주는 다이어그램입니다.Diagram that shows Cloud Adoption Framework enterprise-scale landing zone architecture based on an Azure Virtual WAN network topology.

그림 2: Azure 가상 WAN 네트워크 토폴로지를 기반으로 하는 클라우드 채택 프레임 워크 엔터프라이즈 규모 방문 영역 아키텍처 연결 구독은 가상 WAN 허브를 사용 합니다.Figure 2: Cloud Adoption Framework enterprise-scale landing zone architecture based on an Azure Virtual WAN network topology. Note that the connectivity subscription uses a Virtual WAN hub.

클라우드 채택 프레임 워크 엔터프라이즈 규모 방문 영역 아키텍처를 보여 주는 다이어그램입니다.Diagram that shows Cloud Adoption Framework enterprise-scale landing zone architecture.

그림 3: 기존 Azure 네트워킹 토폴로지를 기반으로 하는 클라우드 채택 프레임 워크 엔터프라이즈 규모 방문 영역 아키텍처. 연결 구독은 허브 VNet을 사용 합니다.Figure 3: Cloud Adoption Framework enterprise-scale landing zone architecture based on a traditional Azure networking topology. Note that the connectivity subscription uses a hub VNet.

허브 및 스포크 (pdf ) 아키텍처를 기반으로 하는 기존 Azure 네트워크 토폴로지 또는 가상 WAN (pdf) 네트워크 토폴로지를 기반으로 하는 엔터프라이즈 규모 아키텍처 다이어그램이 포함 된 pdf 또는 Visio 파일을 다운로드 합니다.Download the PDF or Visio files that contain the enterprise-scale architecture diagrams based on the Virtual WAN (PDF) network topology or a traditional Azure network topology based on the hub and spoke (PDF) architecture. 가상 WAN과 허브 및 스포크 아키텍처 다이어그램이 모두 포함 된 Visio 파일을 visio 다이어그램 (.vsdx)으로 다운로드할 수 있습니다.A Visio file containing both the Virtual WAN and the hub and spoke architecture diagram can be downloaded as a Visio diagram (VSDX).

그림 2와 3에는 엔터프라이즈 규모의 중요 한 디자인 영역에 대 한 참조가 있습니다 .이 영역에는 문자 A로 표시 됩니다.On figures 2 and 3 there are references to the enterprise-scale critical design areas, which are indicated with the letters A to I:

문자 A 기업계약 (EA) 등록 및 Azure Active Directory 테 넌 트입니다.The letter A Enterprise Agreement (EA) enrollment and Azure Active Directory tenants. EA(기업계약) 등록은 Microsoft와 조직에서 Azure를 사용하는 방법 간의 상업적 관계를 나타냅니다.An Enterprise Agreement (EA) enrollment represents the commercial relationship between Microsoft and how your organization uses Azure. 모든 구독에 대한 요금 청구 기준을 제공하고 디지털 자산 관리에 영향을 줍니다.It provides the basis for billing across all your subscriptions and affects administration of your digital estate. EA 등록은 Azure EA 포털을 통해 관리 됩니다.Your EA enrollment is managed via the Azure EA portal. 등록은 종종 부서, 계정, 구독을 포함하는 조직의 계층 구조를 나타냅니다.An enrollment often represents an organization's hierarchy, which includes departments, accounts, and subscriptions. Azure AD 테넌트는 보안 태세에서 중요한 부분인 ID 및 액세스 관리를 제공합니다.An Azure AD tenant provides identity and access management, which is an important part of your security posture. Azure AD 테넌트는 인증되고 권한 있는 사용자가 액세스 권한이 있는 리소스에만 액세스할 수 있도록 합니다.An Azure AD tenant ensures that authenticated and authorized users have access to only the resources for which they have access permissions.

문자 B id 및 액세스 관리.The letter B Identity and access management. 서버와 사용자 인증을 모두 보장 하려면 Azure Active Directory 디자인 및 통합을 빌드해야 합니다.Azure Active Directory design and integration must be built to ensure both server and user authentication. Azure RBAC (역할 기반 액세스 제어)는 의무와 플랫폼 운영 및 관리에 필요한 권리를 분리 하는 데 사용할 수 있도록 모델링 및 배포 되어야 합니다.Azure role-based access control (Azure RBAC) must be modeled and deployed to enforce separation of duties and the required entitlements for platform operation and management. 리소스에 안전 하 게 액세스 하 고 회전 및 복구와 같은 작업을 지원 하려면 키 관리를 설계 하 고 배포 해야 합니다.Key management must be designed and deployed to ensure secure access to resources and support operations such as rotation and recovery. 궁극적으로 액세스 역할은 리소스를 자율적으로 만들고 관리 하기 위해 컨트롤 및 데이터 평면의 응용 프로그램 소유자에 게 할당 됩니다.Ultimately, access roles are assigned to application owners at the control and data planes to create and manage resources autonomously.

문자 C 관리 그룹 및 구독 조직The letter C Management group and subscription organization. Azure AD(Azure Active Directory) 테넌트 내의 관리 그룹 구조는 조직 매핑을 지원하며, 조직에서 대규모 Azure 채택을 계획할 때 철저하게 고려해야 합니다.Management group structures within an Azure Active Directory (Azure AD) tenant support organizational mapping and must be considered thoroughly when an organization plans Azure adoption at scale. 구독은 Azure에서 관리, 청구 및 크기 조정의 단위입니다.Subscriptions are a unit of management, billing, and scale within Azure. 대규모 Azure 도입을 위해 디자인하는 경우 구독은 중요한 역할을 합니다.They play a critical role when you're designing for large-scale Azure adoption. 이 중요 한 디자인 영역은 중요 한 요인에 따라 구독 요구 사항을 캡처하고 대상 구독을 설계 하는 데 도움이 됩니다.This critical design area helps you capture subscription requirements and design target subscriptions based on critical factors. 이러한 요인은 환경 유형, 소유권 및 거버넌스 모델, 조직 구조, 애플리케이션 포트폴리오입니다.These factors are environment type, ownership and governance model, organizational structure, and application portfolios.

문자 D 관리 및 모니터링The letter D Management and monitoring. 플랫폼 수준에서 전체(수평) 리소스 모니터링 및 경고를 디자인, 배포, 통합해야 합니다.Platform-level holistic (horizontal) resource monitoring and alerting must be designed, deployed, and integrated. 패치 및 백업과 같은 운영 작업을 정의 하 고 간소화 해야 합니다.Operational tasks such as patching and backup must also be defined and streamlined. 보안 작업, 모니터링 및 로깅은 Azure와 기존 온-프레미스 시스템의 두 리소스에 대해 디자인 및 통합 되어야 합니다.Security operations, monitoring, and logging must be designed and integrated with both resources on Azure and existing on-premises systems. 리소스 간 제어 평면 작업을 캡처하는 모든 구독 활동 로그는 Azure RBAC 사용 권한에 따라 쿼리 및 분석에 사용할 수 있도록 Log Analytics로 스트리밍됩니다.All subscription activity logs that capture control plane operations across resources should be streamed into Log Analytics to make them available for query and analysis, subject to Azure RBAC permissions.

문자 E 네트워크 토폴로지 및 연결입니다.The letter E Network topology and connectivity. 종단 간 네트워크 토폴로지를 구축 하 고 Azure 지역 및 온-프레미스 환경에 배포 하 여 플랫폼 배포 간에 북쪽 남부 및 동-서 연결을 보장 해야 합니다.The end-to-end network topology must be built and deployed across Azure regions and on-premises environments to ensure north-south and east-west connectivity between platform deployments. 보안 요구 사항이 완전히 충족 되도록 하려면 방화벽 및 네트워크 가상 어플라이언스와 같은 필수 서비스 및 리소스를 네트워크 보안 디자인 전체에서 식별 하 고 배포 하 고 구성 해야 합니다.Required services and resources such as firewalls and network virtual appliances must be identified, deployed, and configured throughout network security design to ensure that security requirements are fully met.

문자 F ,  문자 G ,  문자 H 비즈니스 연속성, 재해 복구보안, 거 버 넌 스 및 규정 준수입니다.The letter F, The letter G, The letter H Business continuity and disaster recovery and Security, governance, and compliance. 회사, 규정 및 기간 업무 (lob) 컨트롤이 준비 되어 있는지 확인 하기 위해 전체 및 방문 영역 관련 정책을 식별 하 고,이를 구축 하 고, 대상 Azure 플랫폼에 배포 해야 합니다.Holistic and landing-zone-specific policies must be identified, described, built, and deployed onto the target Azure platform to ensure corporate, regulatory, and line-of-business controls are in place. 궁극적으로, 정책을 사용 하 여 추상화 프로 비전 또는 관리 기능 없이 응용 프로그램 및 기본 리소스의 호환성을 보장 해야 합니다.Ultimately, policies should be used to guarantee the compliance of applications and underlying resources without any abstraction provisioning or administration capability.

Letter I 플랫폼 자동화 및 devopsThe letter I Platform automation and DevOps. 강력한 소프트웨어 개발 수명 주기를 사용 하는 종단 간 DevOps 환경을 설계, 빌드 및 배포 하 여 인프라 코드 아티팩트를 안전 하 고, 반복 가능 하 고, 일관 된 방식으로 전달 해야 합니다.An end-to-end DevOps experience with robust software development lifecycle practices must be designed, built, and deployed to ensure a safe, repeatable, and consistent delivery of infrastructure-as-code artifacts. 이러한 아티팩트는 강력한 원본 제어 및 추적 기능을 갖춘 전용 통합, 릴리스 및 배포 파이프라인을 사용 하 여 개발, 테스트 및 배포 됩니다.Such artifacts are to be developed, tested, and deployed by using dedicated integration, release, and deployment pipelines with strong source control and traceability.

다음 단계Next steps

클라우드 채택 프레임 워크 엔터프라이즈 규모 디자인 지침을 사용 하 여이 아키텍처의 구현을 사용자 지정 합니다.Customize implementation of this architecture by using the Cloud Adoption Framework enterprise-scale design guidelines.