기존 Azure 환경을 Azure 랜딩 존 개념 아키텍처로 전환
많은 조직에는 기존 Azure 공간, 하나 이상의 구독 및 잠재적으로 기존 관리 그룹 구조가 있습니다. 비즈니스 요구 사항 및 시나리오에 따라 하이브리드 연결을 위해 Azure VPN Gateway 또는 Azure ExpressRoute와 같은 Azure 리소스를 배포할 수 있습니다.
이 문서에서는 조직이 Azure 랜딩 존 개념 아키텍처로 전환하는 기존 Azure 환경에 따라 변경 내용을 탐색하는 데 도움이 되는 권장 사항을 제공합니다. 또한 이 문서에서는 기존 관리 그룹에서 다른 관리 그룹으로 구독을 이동하는 등 Azure에서 리소스를 이동하기 위한 고려 사항에 대해서도 설명합니다. 기존 Azure 환경의 전환을 평가하고 계획하는 데 도움이 되도록 이러한 권장 사항을 고려하세요.
Azure에서 리소스 이동
만든 후 Azure에서 일부 리소스를 이동할 수 있습니다. 범위 간에 사용자의 AZURE RBAC(역할 기반 액세스 제어) 권한이 적용되는 다양한 접근 방식이 있습니다. 다음 표에서는 이동할 수 있는 리소스, 범위 및 각 리소스와 연결된 장단점을 간략하게 설명합니다.
| 범위 | 대상 | Pro | Con |
|---|---|---|---|
| 리소스 그룹의 리소스입니다. | 동일하거나 다른 구독에서 새 리소스 그룹으로 이동할 수 있습니다. | 배포 후 리소스 그룹에서 리소스 컴퍼지션을 수정할 수 있습니다. | 모든 resourceTypes에서 지원되지 않습니다. 일부 resourceType에는 특정 제한 사항 또는 요구 사항이 있습니다. resourceId는 업데이트되며 기존 모니터링, 경고 및 컨트롤 플레인 작업에 영향을 줍니다. 리소스 그룹은 이동 기간 동안 잠깁니다. 정책 및 RBAC 사전 이동 및 이동 후 작업에 대한 평가가 필요합니다. |
| 테넌트에서 구독 | 다른 관리 그룹으로 이동할 수 있습니다. | resourceId 값이 변경되지 않으므로 구독 내의 기존 리소스에는 영향을 주지 않습니다. | 정책 및 RBAC 사전 이동 및 이동 후 작업에 대한 평가가 필요합니다. |
사용해야 하는 이동 전략을 결정하려면 다음 예제를 고려하세요.
구독 이동
일반적으로 구독을 이동하여 관리 그룹으로 구성하거나 구독을 새 Microsoft Entra ID 테넌트로 전송합니다. 구독을 새 테넌트로 이동하는 목적은 주로 청구 소유권을 이전하려고 하는 것입니다. 동일한 테넌트에서 관리 그룹 간에 구독을 이동하는 방법에 대한 자세한 내용은 관리 그룹 및 구독 이동을 참조 하세요.
Azure RBAC 요구 사항
이동하기 전에 구독을 평가하려면 사용자에게 적절한 Azure RBAC가 있는 것이 중요합니다. 사용자는 구독의 소유자(직접 역할 할당)이고 대상 관리 그룹에 대한 쓰기 권한이 있을 수 있습니다. 대상 관리 그룹에 대한 쓰기 권한을 지원하는 기본 제공 역할은 소유자 역할, 기여자 역할 및 관리 그룹 기여자 역할입니다.
사용자에게 기존 관리 그룹의 구독에 대한 상속된 소유자 역할 권한이 있는 경우 사용자에게 소유자 역할이 할당된 관리 그룹으로만 구독을 이동할 수 있습니다.
정책
기존 구독에는 현재 있는 관리 그룹에서 직접 할당되거나 할당된 Azure 정책이 적용될 수 있습니다. 새 관리 그룹 또는 관리 그룹 계층 구조에 존재할 수 있는 현재 정책 및 정책을 평가하는 것이 중요합니다.
Azure Resource Graph를 사용하여 기존 리소스의 인벤토리를 수행하고 해당 구성을 대상에 있는 정책과 비교할 수 있습니다.
기존 Azure RBAC 및 정책이 있는 관리 그룹으로 구독을 이동한 후 다음 요소를 고려합니다.
이동된 구독에 상속된 Azure RBAC의 경우 관리 그룹 캐시의 사용자 토큰을 새로 고치는 데 최대 30분이 걸릴 수 있습니다. 이 프로세스를 신속하게 수행하려면 로그아웃하여 토큰을 새로 고치거나 새 토큰을 요청할 수 있습니다.
할당 범위에 이동된 구독이 포함된 정책은 기존 리소스에 대해서만 감사를 수행합니다. 구독의 기존 리소스는 다음과 같습니다.
DeployIfNotExists정책 효과는 비준수로 표시되며 자동으로 수정되지 않습니다. 사용자는 수동으로 수정을 수행해야 합니다.Deny정책 효과는 비준수로 표시되며 거부되지 않습니다. 사용자는 이 결과를 적절하게 수동으로 완화해야 합니다.Append및Modify정책 효과는 비준수로 표시되며 사용자가 완화해야 합니다.Audit및AuditIfNotExist정책 효과는 비준수로 표시되며 사용자가 완화해야 합니다.
이동된 구독의 리소스에 대한 모든 새 쓰기는 정상적으로 실시간으로 할당된 정책의 적용을 받습니다.
리소스 이동
일반적으로 동일한 수명 주기를 공유하는 경우 리소스를 동일한 리소스 그룹으로 통합하려는 경우 리소스를 이동합니다. 또는 비용, 소유권 또는 Azure RBAC 요구 사항으로 인해 리소스를 다른 구독으로 이동하려는 경우
리소스를 이동하면 이동 작업 중에 원본 리소스 그룹 및 대상 리소스 그룹이 잠깁니다. 리소스 그룹에서 리소스를 추가, 업데이트 또는 삭제할 수 없습니다. 리소스 이동 작업은 리소스의 위치를 변경하지 않습니다.
동일한 테넌트에서 리소스 그룹 및 구독 간에 리소스를 이동하는 방법에 대한 자세한 내용은 리소스를 새 리소스 그룹 또는 구독으로 이동을 참조하세요.
팁
지역 가동 중단의 영향을 최소화하려면 리소스 그룹과 동일한 지역에 리소스를 배치하는 것이 좋습니다. 자세한 내용은 리소스 그룹 위치 맞춤을 참조 하세요.
동일한 리소스 그룹 내의 다른 지역에 리소스가 있는 경우 리소스를 새 리소스 그룹 또는 구독으로 이동하는 것이 좋습니다.
리소스가 다른 리소스 그룹으로의 이동을 지원하는지 확인하려면 리소스를 상호 참조하여 리소스를 인벤토리화합니다. 적절한 필수 조건을 충족하는지 확인합니다.
리소스를 이동하기 전에
이동 작업 전에 리소스가 지원되는지 확인하고 요구 사항 및 종속성을 평가해야 합니다. 예를 들어 피어링된 가상 네트워크를 이동하는 경우 먼저 가상 네트워크 피어링을 사용하지 않도록 설정하고 이동 작업이 완료된 후 피어링을 다시 사용하도록 설정해야 합니다. 가상 네트워크에 연결될 수 있는 기존 워크로드에 미치는 영향을 이해할 수 있도록 종속성을 사용하지 않도록 미리 계획하고 다시 사용하도록 설정합니다.
리소스를 이동한 후
리소스를 동일한 구독의 새 리소스 그룹으로 이동하는 경우 관리 그룹 또는 구독의 상속된 Azure RBAC 및 정책이 계속 적용됩니다. 구독에 다른 Azure RBAC 및 정책 할당이 적용될 수 있는 새 구독의 리소스 그룹으로 이동하는 경우에도 적용됩니다. 리소스 준수 및 액세스 제어의 유효성을 검사해야 합니다.
시나리오
다음 시나리오에서는 기존 환경을 Azure 랜딩 존 개념 아키텍처로 마이그레이션하고 전환하는 방법을 설명합니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기