구독 고려 사항 및 권장 사항

  • 아티클

구독은 Azure에서 관리, 청구 및 크기 조정의 단위입니다. 대규모 Azure 도입을 위해 디자인하는 경우 구독은 중요한 역할을 합니다. 이 문서는 중요한 요소를 기반으로 구독 요구 사항을 포착하고 대상 구독을 디자인하는 데 유용합니다.

  • 환경 유형
  • 소유권 및 거버넌스 모델
  • 조직 구조
  • 애플리케이션 포트폴리오

최근 YouTube 동영상인 Azure 랜딩 존 - Azure에서 얼마나 많은 구독을 사용해야 하나요?에서 이 항목에 대해 논의했습니다.

참고 항목

Azure Portal의 청구 계정 및 범위에 설명된 대로 구독 제한을 검토해야 합니다. 이 지침은 주로 기업 계약, Microsoft 고객 계약(기업) 또는 Microsoft CSP(파트너 계약)를 사용하는 고객을 대상으로 합니다.

구독 고려 사항

다음 섹션에는 Azure에 대한 구독을 계획하고 만드는 데 도움이 되는 고려 사항이 포함되어 있습니다.

조직 및 거버넌스 디자인 고려 사항

  • 구독은 Azure Policy를 할당하기 위한 경계 역할을 합니다.

    • 예를 들어 PCI(결제 카드 산업) 워크로드와 같은 보안 워크로드는 일반적으로 규정 준수를 달성하기 위해 다른 정책이 필요합니다. 관리 그룹을 사용하여 PCI 규정 준수가 필요한 워크로드를 수집하는 대신, 적은 수의 구독으로 너무 많은 관리 그룹을 보유하지 않고도 구독과 동일한 분리를 달성할 수 있습니다.

      • 동일한 워크로드 원형의 구독을 여러 개 그룹화해야 하는 경우 관리 그룹 아래에 만듭니다.

  • 구독은 크기 조정 단위 역할을 하므로 구성 요소 워크로드는 플랫폼 구독 제한 내에서 크기를 조정할 수 있습니다. 워크로드를 디자인할 때 구독 리소스 제한을 고려해야 합니다.

  • 구독은 거버넌스 및 격리를 위한 관리 경계를 제공하여 문제를 명확하게 구분합니다.

  • 필요한 경우 관리(모니터링), 연결 및 ID를 위한 별도의 플랫폼 구독을 만듭니다.

    • 플랫폼 관리 그룹에 전용 관리 구독을 설정하여 Azure Monitor Log Analytics 작업 영역 및 Azure Automation Runbook과 같은 전역 관리 기능을 지원합니다.
      • 필요한 경우 플랫폼 관리 그룹에서 전용 ID 구독을 설정하여 Windows Server Active Directory 도메인 컨트롤러를 호스트합니다.
      • Azure Virtual WAN 허브, 프라이빗 DNS(도메인 이름 서비스), ExpressRoute 회로 및 기타 네트워킹 리소스를 호스트하도록 플랫폼 관리 그룹에서 전용 연결 구독을 설정합니다. 전용 구독을 기준으로 모든 기초 네트워크 리소스가 함께 청구되고 다른 워크로드와 격리됩니다.
      • 구독을 비즈니스 요구 사항 및 우선 순위에 맞게 조정된 보편화된 관리 단위로 처리합니다.

  • 수동 프로세스를 사용하여 Microsoft Entra 테넌트만 등록 구독을 기업계약 제한합니다. 수동 프로세스를 사용하면 루트 관리 그룹 범위에서 Microsoft Developer Network 구독을 만들 수 없습니다.

  • Azure 청구 제품 간의 구독 전송은 Azure 구독 및 예약 전송 허브를 참조하세요.

할당량 및 용량 디자인 고려 사항

Azure 지역에는 한정된 수의 리소스가 있을 수 있습니다. 결과적으로 리소스 수가 많은 Azure 채택에 대해 사용 가능한 용량 및 SKU를 추적해야 합니다.

테넌트 전송 제한 디자인 고려 사항

각 Azure 구독은 Azure 구독에 대한 ID 공급자(IdP) 역할을 하는 단일 Microsoft Entra 테넌트에 연결됩니다. Microsoft Entra 테넌트는 사용자, 서비스 및 디바이스를 인증하는 데 사용됩니다.

Azure 구독에 연결된 Microsoft Entra 테넌트는 필요한 권한이 있는 모든 사용자가 변경할 수 있습니다. 이 프로세스는 다음 문서에서 자세히 설명하고 있습니다.

참고 항목

다른 Microsoft Entra 테넌트로 전송하는 것은 Azure CSP(클라우드 솔루션 공급자) 구독에 대해 지원되지 않습니다.

Azure 랜딩 존을 사용하면 사용자가 조직의 Microsoft Entra 테넌트로 구독을 전송하지 못하도록 요구 사항을 설정할 수 있습니다. Azure 구독 정책 관리의 프로세스를 검토합니다.

제외된 사용자 목록을 제공하여 구독 정책을 구성합니다. 제외된 사용자는 정책에 설정된 내용을 무시할 수 있습니다.

중요

제외된 사용자 목록은 Azure Policy가 아닙니다.

  • Visual Studio/MSDN Azure 구독을 사용하는 사용자가 Microsoft Entra 테넌트 간에 구독을 전송할 수 있는지 여부를 고려합니다.

  • 테넌트 전송 설정은 Microsoft Entra Global 관리istrator 역할이 할당된 사용자만 구성할 수 있습니다. 정책을 변경하려면 이러한 사용자에게 상승된 액세스 권한이 있어야 합니다.

    • 개별 사용자 계정을 Microsoft Entra 그룹이 아닌 제외된 사용자만 지정할 수 있습니다.

  • Azure에 액세스할 수 있는 모든 사용자는 Microsoft Entra 테넌트에 대해 정의된 정책을 볼 수 있습니다.

    • 사용자는 제외된 사용자 목록을 볼 수 없습니다.

    • 사용자는 Microsoft Entra 테넌트 내에서 전역 관리자를 볼 수 있습니다.

  • Microsoft Entra 테넌트로 전송된 Azure 구독은 해당 테넌트에 대한 기본 관리 그룹에 배치됩니다.

  • 조직에서 승인한 경우 애플리케이션 팀은 Azure 구독을 Microsoft Entra 테넌트로 또는 Microsoft Entra 테넌트에서 전송할 수 있도록 하는 프로세스를 정의할 수 있습니다.

비용 관리 디자인 고려 사항 설정

비용 투명성은 모든 대규모 엔터프라이즈 조직이 직면한 중요한 관리 과제입니다. 문서의 이 섹션에서는 대규모 Azure 환경에서 비용 투명성을 달성하는 주요 측면을 살펴봅니다.

  • 더 높은 밀도를 얻기 위해 Azure App Service Environment 및 Azure Kubernetes Service와 같은 차지백 모델 공유가 필요할 수 있습니다. 공유 PaaS(Platform as a Service) 리소스는 차지백 모델의 영향을 받을 수 있습니다.

  • 비프로덕션 워크로드에 대한 종료 일정을 사용하여 비용을 최적화합니다.

  • Azure Advisor를 사용하여 비용 최적화에 대한 권장 사항을 확인합니다.

  • 차지백 모델을 구축하여 조직 전체에 걸쳐 비용을 더 효율적으로 배분합니다.

  • 조직의 환경에 배포할 권한이 없는 리소스의 배포를 방지하는 정책을 구현합니다.

  • 워크로드에 대한 비용 및 적절한 크기 리소스를 검토하는 정기적인 일정 및 주기를 설정합니다.

구독 권장 사항

다음 섹션에는 Azure에 대한 구독을 계획하고 만드는 데 도움이 되는 권장 사항이 포함되어 있습니다.

조직 및 거버넌스 권장 사항

  • 구독을 비즈니스 요구 사항 및 우선 순위에 맞는 관리 단위로 처리합니다.

  • 구독 소유자가 역할 및 책임을 인식하도록 합니다.

    • Microsoft Entra Privileged Identity Management에 대한 분기별 또는 연간 액세스 검토를 수행하여 사용자가 조직 내에서 이동할 때 권한이 확산되지 않도록 합니다.
    • 예산 지출 및 리소스의 전체 소유권을 확보합니다.
    • 정책 준수를 확인하고 필요한 경우 재구성합니다.

  • 새 구독에 대한 요구 사항을 식별할 때 다음 원칙을 참조하세요.

    • 크기 조정 제한: 구독은 플랫폼 구독 제한 내에서 크기가 조정되는 구성 요소 워크로드의 배율 단위로 사용됩니다. 고성능 컴퓨팅, IoT 및 SAP와 같은 대규모 특수 워크로드는 이러한 제한을 피하기 위해 별도의 구독을 사용해야 합니다.
    • 관리 경계: 구독은 거버넌스 및 격리를 위한 관리 경계를 제공하여 문제를 명확하게 구분할 수 있습니다. 개발, 테스트 및 프로덕션과 같은 다양한 환경은 종종 관리 관점에서 제거됩니다.
    • 정책 경계: 구독은 Azure Policy 할당을 위한 경계 역할을 합니다. 예를 들어 PCI와 같은 보안 워크로드는 일반적으로 규정 준수를 달성하기 위해 다른 정책이 필요합니다. 별도의 구독을 사용하는 경우 다른 오버헤드는 고려되지 않습니다. 개발 환경에는 프로덕션 환경보다 더 완화된 정책 요구 사항이 있습니다.
    • 대상 네트워크 토폴로지: 구독 간에 가상 네트워크를 공유할 수는 없지만, 가상 네트워크 피어링 또는 Azure ExpressRoute와 같은 다양한 기술과 연결할 수 있습니다. 새 구독이 필요한지 결정할 때 서로 통신해야 하는 워크로드를 고려합니다.

  • 관리 그룹 구조체 및 정책 요구 사항에 맞춰 관리 그룹에서 구독을 그룹화합니다. 구독을 그룹화하면 동일한 정책 세트 및 Azure 역할 할당이 있는 구독이 관리 그룹에서 제공됩니다.

  • Platform 관리 그룹에 전용 관리 구독을 설정하여 Azure Monitor Log Analytics 작업 영역 및 Azure Automation Runbook과 같은 전역 관리 기능을 지원합니다.

  • 필요한 경우 Platform 관리 그룹에서 전용 ID 구독을 설정하여 필요할 때 Windows Server Active Directory 도메인 컨트롤러를 호스트합니다.

  • Azure Virtual WAN 허브, 개인 DNS(도메인 이름 서비스), ExpressRoute 회로 및 기타 네트워킹 리소스를 호스트하도록 Platform 관리 그룹에서 전용 연결 구독을 설정합니다. 전용 구독을 기준으로 모든 기초 네트워크 리소스가 함께 청구되고 다른 워크로드와 격리됩니다.

  • 엄격한 구독 모델을 사용하지 않습니다. 대신 유연한 조건 세트를 사용하여 조직 전체에서 구독을 그룹화합니다. 이러한 유연성을 통해 조직의 구조 및 워크로드 구성이 변경되면 기존의 고정된 구독 집합을 사용하는 대신 새 구독 그룹을 만들 수 있습니다. 한 가지 크기는 구독에 모두 적합하지 않으며 한 사업부에서 작동하는 항목이 다른 사업부에서는 작동하지 않을 수 있습니다. 일부 애플리케이션은 동일한 랜딩 존 구독 내에 공존할 수 있는 반면 다른 애플리케이션은 자체 구독이 필요할 수 있습니다.

할당량 및 용량 권장 사항

  • 구독을 배율 단위로 사용하고 필요에 따라 리소스와 구독을 스케일 아웃합니다. 그러면 워크로드에서 Azure 플랫폼의 구독 제한에 도달하지 않고도 크기 조정에 필요한 리소스를 사용할 수 있습니다.

  • 용량 예약을 사용하여 일부 지역의 용량을 관리합니다. 그러면 워크로드에 특정 지역의 수요가 많은 리소스에 필요한 용량이 있을 수 있습니다.

  • 사용자 지정 보기를 사용한 대시보드를 설정하여 사용된 용량 수준을 모니터링하고 용량이 중요한 수준(CPU 사용량의 90%)에 도달하는 경우 경고를 설정합니다.

  • 구독 프로비저닝에서 할당량 증가에 대한 지원 요청을 제출합니다(예: 구독 내에서 사용 가능한 총 VM 코어 수). 워크로드가 기본 제한을 초과하기 전에 할당량 제한이 설정되었는지 확인합니다.

  • 선택한 배포 지역 내에서 필요한 서비스 및 기능을 사용할 수 있는지 확인합니다.

자동화 권장 사항

  • 구독 자동 판매에 설명된 대로 요청 워크플로를 통해 애플리케이션 팀에 대한 구독 만들기를 자동화하는 구독 자동 판매 프로세스를 빌드합니다.

테넌트 전송 제한 권장 사항

  • 사용자가 Microsoft Entra 테넌트에서 Azure 구독을 전송하지 못하도록 다음 설정을 구성합니다.

    • Microsoft Entra 디렉터리를 종료하는 구독을 .로 Permit no one설정합니다.

    • Microsoft Entra 디렉터리에 입력하는 구독을 .로 Permit no one설정합니다.

  • 제외된 사용자의 제한된 목록을 구성합니다.

    • Azure PlatformOps(플랫폼 운영) 팀의 구성원을 포함합니다.
    • 비상 계정을 제외된 사용자 목록에 포함합니다.

다음 단계

정책 기반 가드레일 채택