다음을 통해 공유

Azure Stack Hub에서 Windows 가상 머신 실행

  • 아티클

Azure Stack Hub에서 VM(가상 머신)을 프로비전하려면 네트워킹 및 스토리지 리소스를 포함하여 VM 자체 외에 몇 가지 추가 구성 요소가 필요합니다. 이 문서에서는 Azure에서 Windows VM을 실행하는 모범 사례를 보여 줍니다.

Azure Stack Hub아키텍처

리소스 그룹

리소스 그룹 관련된 Azure Stack Hub 리소스를 보유하는 논리 컨테이너입니다. 일반적으로 리소스는 수명에 따라 그룹화하고 누가 관리할 것인지에 따라 그룹화합니다.

동일한 수명 주기를 공유하는 밀접하게 연결된 리소스를 동일한 리소스 그룹배치합니다. 리소스 그룹을 사용하면 리소스를 그룹으로 배포 및 모니터링하고 리소스 그룹별로 청구 비용을 추적할 수 있습니다. 테스트 배포에 유용한 집합으로 리소스를 삭제할 수도 있습니다. 의미 있는 리소스 이름을 할당하여 특정 리소스를 찾고 해당 역할을 이해하는 작업을 간소화합니다. 자세한 내용은 Azure 리소스대한 권장 명명 규칙을 참조하세요.

가상 머신

게시된 이미지 목록 또는 Azure Stack Hub Blob Storage에 업로드된 사용자 지정 관리형 이미지 또는 VHD(가상 하드 디스크) 파일에서 VM을 프로비전할 수 있습니다.

Azure Stack Hub는 Azure와 다른 가상 머신 크기를 제공합니다. 자세한 내용은 Azure Stack Hub 가상 머신의크기를 참조하세요. 기존 워크로드를 Azure Stack Hub로 이동하는 경우 온-프레미스 서버/Azure와 가장 가까운 VM 크기로 시작합니다. 그런 다음 CPU, 메모리 및 IOPS(초당 디스크 입력/출력 작업)의 측면에서 실제 워크로드의 성능을 측정하고 필요에 따라 크기를 조정합니다.

디스크

비용은 프로비전된 디스크의 용량을 기반으로 합니다. IOPS 및 처리량(즉, 데이터 전송 속도)은 VM 크기에 따라 달라지므로 디스크를 프로비전할 때 세 가지 요소(용량, IOPS 및 처리량)를 모두 고려합니다.

Azure Stack Hub의 디스크 IOPS(초당 입력/출력 작업)는 디스크 유형 대신 VM 크기 함수입니다. 즉, Standard_Fs 시리즈 VM의 경우 디스크 유형에 대해 SSD 또는 HDD를 선택하든 관계없이 단일 추가 데이터 디스크에 대한 IOPS 제한은 2300 IOPS입니다. 부과되는 IOPS 제한은 시끄러운 이웃을 방지하기 위한 상한(가능한 최대값)입니다. 특정 VM 크기에서 얻을 수 있는 IOPS의 보장은 아닙니다.

또한 Managed Disks사용하는 것이 좋습니다. 관리 디스크는 스토리지를 처리하여 디스크 관리를 간소화합니다. 관리 디스크에는 스토리지 계정이 필요하지 않습니다. 디스크의 크기와 유형을 지정하기만 하면 고가용성 리소스로 배포됩니다.

OS 디스크는 Azure Stack Hub Blob Storage에 저장된 VHD이므로 호스트 머신이 다운된 경우에도 유지됩니다. 또한 애플리케이션 데이터에 사용되는 영구 VHD인 하나 이상의데이터 디스크를 만드는 것이 좋습니다. 가능하면 OS 디스크가 아닌 데이터 디스크에 애플리케이션을 설치합니다. 일부 레거시 애플리케이션은 C: 드라이브에 구성 요소를 설치해야 할 수 있습니다. 이 경우 PowerShell을 사용하여 OS 디스크의 크기 조정할 수 있습니다.

또한 VM은 임시 디스크(Windows의 D: 드라이브)를 사용하여 만들어집니다. 이 디스크는 Azure Stack Hub 스토리지 인프라의 임시 볼륨에 저장됩니다. 다시 부팅 및 기타 VM 수명 주기 이벤트 중에 삭제될 수 있습니다. 이 디스크는 페이지 또는 스왑 파일과 같은 임시 데이터에만 사용합니다.

네트워크

네트워킹 구성 요소에는 다음 리소스가 포함됩니다.

  • 가상 네트워크 . 모든 VM은 여러 서브넷으로 분할할 수 있는 가상 네트워크에 배포됩니다.

  • NIC(네트워크 인터페이스). NIC를 사용하면 VM이 가상 네트워크와 통신할 수 있습니다. VM에 여러 NIC가 필요한 경우 각 VM 크기대해 최대 NIC 수가 정의됩니다.

  • 공용 IP 주소/VIP. 공용 IP 주소는 VM과 통신하는 데 필요합니다(예: RDP(원격 데스크톱)). 공용 IP 주소는 동적 또는 정적일 수 있습니다. 기본값은 동적입니다.

  • 변경되지 않는 고정 IP 주소가 필요한 경우 고정 IP 주소 예약합니다(예: DNS 'A' 레코드를 만들거나 안전한 목록에 IP 주소를 추가해야 하는 경우).

  • IP 주소에 대한 FQDN(정규화된 도메인 이름)을 만들 수도 있습니다. 그런 다음, FQDN을 가리키는 CNAME 레코드 DNS에 등록할 수 있습니다. 자세한 내용은 Azure Portal정규화된 도메인 이름 만들기를 참조하세요.

  • NSG(네트워크 보안 그룹). NSG는 VM에 대한 네트워크 트래픽을 허용하거나 거부하는 데 사용됩니다. NSG는 서브넷 또는 개별 VM 인스턴스와 연결할 수 있습니다.

모든 NSG에는 모든 인바운드 인터넷 트래픽을 차단하는 규칙을 포함하여 기본 규칙 집합이 포함되어 있습니다. 기본 규칙은 삭제할 수 없지만 다른 규칙은 재정의할 수 있습니다. 인터넷 트래픽을 사용하도록 설정하려면 특정 포트(예: HTTP용 포트 80)에 대한 인바운드 트래픽을 허용하는 규칙을 만듭니다. RDP를 사용하도록 설정하려면 TCP 포트 3389에 대한 인바운드 트래픽을 허용하는 NSG 규칙을 추가합니다.

운영

진단. 기본 상태 메트릭, 진단 인프라 로그 및 부팅 진단포함하여 모니터링 및 진단을 사용하도록 설정합니다. 부팅 진단은 VM이 부팅할 수 없는 상태로 전환되는 경우 부팅 실패를 진단하는 데 도움이 될 수 있습니다. 로그를 저장할 Azure Storage 계정을 만듭니다. 표준 LRS(로컬 중복 스토리지) 계정은 진단 로그에 충분합니다. 자세한 내용은 모니터링 및 진단활성화를 참조하세요.

가용성. Azure Stack Hub 운영자가 예약한 대로 계획된 유지 관리로 인해 VM이 다시 부팅될 수 있습니다. Azure에서 다중 VM 프로덕션 시스템의 고가용성을 위해 VM은 여러 장애 도메인 및 업데이트 도메인에 분산되는 가용성 집합 배치됩니다. Azure Stack Hub의 규모가 작을수록 가용성 집합의 장애 도메인이 배율 단위의 단일 노드로 정의됩니다.

Azure Stack Hub의 인프라는 이미 장애에 대한 복원력이 있지만, 하드웨어 오류가 발생하면 기본 기술인 장애 조치(failover) 클러스터링으로 인해 영향을 받은 물리적 서버의 VM에는 일정한 가동 중지 시간이 발생할 수 있습니다. Azure Stack Hub는 Azure와 일치하도록 최대 3개의 장애 도메인이 있는 가용성 집합을 지원합니다.

장애 도메인

가용성 집합에 배치된 VM은 여러 장애 도메인(Azure Stack Hub 노드)을 통해 가능한 한 균등하게 분산하여 물리적으로 서로 격리됩니다. 하드웨어 오류가 발생하면 실패한 장애 도메인의 VM이 다른 장애 도메인에서 다시 시작됩니다. 다른 VM과 별도의 장애 도메인에 보관되지만 가능한 경우 동일한 가용성 집합에 보관됩니다. 하드웨어가 다시 온라인 상태가 되면 고가용성을 유지하기 위해 VM의 균형이 조정됩니다.

도메인 업데이트

업데이트 도메인은 Azure가 가용성 집합에서 고가용성을 제공하는 또 다른 방법입니다. 업데이트 도메인은 유지 관리를 동시에 수행할 수 있는 기본 하드웨어의 논리적 그룹입니다. 동일한 업데이트 도메인에 있는 VM은 계획된 유지 관리 중에 함께 다시 시작됩니다. 테넌트가 가용성 집합 내에서 VM을 만들면 Azure 플랫폼은 이러한 업데이트 도메인에 VM을 자동으로 배포합니다.

Azure Stack Hub에서 VM은 기본 호스트가 업데이트되기 전에 클러스터의 다른 온라인 호스트에서 실시간 마이그레이션됩니다. 호스트 업데이트 중에 테넌트 가동 중지 시간이 없으므로 Azure Stack Hub의 업데이트 도메인 기능은 Azure와의 템플릿 호환성을 위해서만 존재합니다. 가용성 집합의 VM은 포털에서 업데이트 도메인 번호로 0을 표시합니다.

백업 Azure Stack Hub에서 IaaS VM을 보호하기 위한 권장 사항은 Azure Stack Hub에 배포된 VM 보호를 참조하세요.

VM을 중지하기. Azure는 "중지됨" 상태와 "할당 취소됨" 상태를 구분합니다. VM 상태가 중지된 경우 요금이 부과되지만 VM의 할당을 취소할 때는 요금이 청구되지 않습니다. Azure Stack Hub 포털에서 중지 단추는 VM의 할당을 취소합니다. 로그인하는 동안 OS를 통해 종료하면 VM이 중지되지만 할당이 해제되지 않아 요금이 청구됩니다.

VM삭제. VM을 삭제하면 VM 디스크가 삭제되지 않습니다. 즉, 데이터를 잃지 않고 VM을 안전하게 삭제할 수 있습니다. 그러나 스토리지에 대한 요금은 계속 청구됩니다. VM 디스크를 삭제하려면 관리 디스크 개체를 삭제합니다. 실수로 인한 삭제를 방지하려면 리소스 잠금 사용하여 전체 리소스 그룹을 잠그거나 VM과 같은 개별 리소스를 잠급니다.

보안 고려 사항

Azure Security Center VM을 온보딩하여 Azure 리소스의 보안 상태를 중앙에서 볼 수 있습니다. Security Center는 잠재적인 보안 문제를 모니터링하고 배포의 보안 상태에 대한 포괄적인 그림을 제공합니다. Security Center는 Azure 구독별로 구성됩니다. Azure 구독을 Security Center Standard 온보딩하는설명한 대로 보안 데이터 수집을 사용하도록 설정합니다. 데이터 수집을 사용하도록 설정하면 Security Center는 해당 구독에서 만든 모든 VM을 자동으로 검색합니다.

패치 관리. VM에서 패치 관리를 구성하려면 이 문서 참조하세요. 사용하도록 설정된 경우 Security Center는 보안 및 중요 업데이트가 누락되었는지 확인합니다. VM에서 그룹 정책 설정 사용하여 자동 시스템 업데이트를 사용하도록 설정합니다.

맬웨어 방지 . 사용하도록 설정된 경우 Security Center는 맬웨어 방지 소프트웨어가 설치되어 있는지 확인합니다. Security Center를 사용하여 Azure Portal 내부에서 맬웨어 방지 소프트웨어를 설치할 수도 있습니다.

액세스 제어. RBAC(역할 기반 액세스 제어) 사용하여 Azure 리소스에 대한 액세스를 제어합니다. RBAC를 사용하면 DevOps 팀의 구성원에게 권한 부여 역할을 할당할 수 있습니다. 예를 들어 읽기 권한자 역할은 Azure 리소스를 볼 수 있지만 만들거나 관리하거나 삭제할 수는 없습니다. 일부 권한은 Azure 리소스 유형과 관련이 있습니다. 예를 들어 Virtual Machine 기여자 역할은 VM을 다시 시작하거나 할당 취소하고 관리자 암호를 다시 설정하며 새 VM을 만드는 등의 작업을 수행할 수 있습니다. 이 아키텍처에 유용할 수 있는 다른 기본 제공 RBAC 역할DevTest Labs 사용자네트워크 기여자포함됩니다.

메모

RBAC는 VM에 로그인한 사용자가 수행할 수 있는 작업을 제한하지 않습니다. 이러한 권한은 게스트 OS의 계정 유형에 따라 결정됩니다.

감사 로그. 활동 로그 사용하여 프로비저닝 작업 및 기타 VM 이벤트를 확인합니다.

데이터 암호화. Azure Stack Hub는 BitLocker 128비트 AES 암호화를 사용하여 스토리지 하위 시스템의 미사용 사용자 및 인프라 데이터를 보호합니다. 자세한 내용은 Azure Stack Hub 미사용 데이터 암호화를 참조하세요.

다음 단계