Azure Portal에서 다중 클라우드 커넥터를 사용하여 AWS에 연결
Azure Arc에서 사용하도록 설정된 다중 클라우드 커넥터를 사용하면 Azure Portal을 사용하여 비 Azure 퍼블릭 클라우드 리소스를 Azure에 연결할 수 있습니다. 현재 AWS 퍼블릭 클라우드 환경이 지원됩니다.
AWS 계정을 Azure에 연결하는 과정에서 CloudFormation 템플릿을 AWS 계정에 배포합니다. 이 템플릿은 연결에 필요한 모든 리소스를 만듭니다.
필수 조건
다중 클라우드 커넥터를 사용하려면 AWS와 Azure 모두에서 적절한 권한이 필요합니다.
AWS 필수 구성 요소
커넥터를 만들고 다중 클라우드 인벤토리를 사용하려면 AWS에서 다음 권한이 필요합니다.
- AmazonS3FullAccess
- AWSCloudFormationFullAccess
- IAMFullAccess
Arc 온보딩 의 경우 충족해야 하는 더 많은 필수 구성 요소가 있습니다.
AWS 솔루션 권한
CloudFormation 템플릿을 업로드하면 선택한 솔루션에 따라 더 많은 권한이 요청됩니다.
인벤토리의 경우 사용 권한을 선택할 수 있습니다.
전역 읽기: AWS 계정의 모든 리소스에 대한 읽기 전용 액세스를 제공합니다. 새 서비스가 도입되면 커넥터는 업데이트된 CloudFormation 템플릿 없이도 해당 리소스를 검색할 수 있습니다.
최소 권한 액세스: 선택한 서비스의 리소스에 대한 읽기 액세스만 제공합니다. 나중에 더 많은 리소스를 검색하도록 선택하는 경우 새 CloudFormation 템플릿을 업로드해야 합니다.
Arc 온보딩의 경우 Azure Connected Machine 에이전트를 설치하려면 서비스에서 EC2 쓰기 액세스 권한이 필요합니다.
Azure 필수 조건
Azure 구독에서 다중 클라우드 커넥터를 사용하려면 기여자 기본 제공 역할이 필요합니다.
서비스를 처음 사용하는 경우 구독에 대한 기여자 액세스 권한이 필요한 이러한 리소스 공급자를 등록해야 합니다.
Microsoft.HybridCompute
Microsoft.HybridConnectivity
Microsoft.AwsConnector
Microsoft.Kubernetes
참고 항목
다중 클라우드 커넥터는 Defender for Cloud의 AWS 커넥터와 함께 작동할 수 있습니다. 선택하는 경우 두 커넥터를 모두 사용할 수 있습니다.
Azure Portal에서 퍼블릭 클라우드 추가
AWS 퍼블릭 클라우드를 Azure에 추가하려면 Azure Portal을 사용하여 세부 정보를 입력하고 CloudFormation 템플릿을 생성합니다.
Azure Portal에서 Azure Arc로 이동합니다.
관리에서 다중 클라우드 커넥터(미리 보기)를 선택합니다.
커넥터 창에서 만들기를 선택합니다.
기본 사항 페이지에서 다음을 수행합니다.
- 커넥터 리소스를 만들 구독 및 리소스 그룹을 선택합니다.
- 커넥터의 고유한 이름을 입력하고 지원되는 지역을 선택합니다.
- 연결하려는 AWS 계정의 ID를 제공하고 단일 계정인지 아니면 조직 계정인지를 나타냅니다.
- 다음을 선택합니다.
솔루션 페이지에서 이 커넥터에 사용할 솔루션을 선택하고 구성합니다. 추가를 선택하여 인벤토리, Arc 온보딩 또는 둘 다를 사용하도록 설정합니다.
인벤토리의 경우 다음 옵션을 수정할 수 있습니다.
지원되는 모든 AWS 서비스 추가를 사용하도록 설정할 지 여부를 선택합니다. 기본적으로 이 기능은 모든 서비스(현재 사용 가능하며 나중에 추가된 서비스)를 검사하도록 사용하도록 설정됩니다.
리소스를 검색하고 가져올 AWS 서비스를 선택합니다. 기본적으로 사용 가능한 모든 서비스가 선택됩니다.
사용 권한을 선택합니다. 지원되는 모든 AWS 서비스 추가를 선택한 경우 전역 읽기 권한이 있어야 합니다.
주기적인 동기화를 사용하도록 설정할지 여부를 선택합니다. 기본적으로 커넥터가 AWS 계정을 정기적으로 검색하도록 사용하도록 설정됩니다. 확인란을 선택 취소하면 AWS 계정이 한 번만 검사됩니다.
주기적 동기화를 사용하도록 설정한 경우 모든 선택 영역의 Recur를 확인하거나 변경하여 AWS 계정이 검사되는 빈도를 지정합니다.
지원되는 모든 AWS 지역 포함을 사용하도록 설정할지 여부를 선택합니다. 이 옵션을 선택하면 현재 및 미래의 모든 AWS 지역이 검사됩니다.
AWS 계정에서 리소스를 검색할 지역을 선택합니다. 기본적으로 사용 가능한 모든 지역이 선택됩니다. 지원되는 모든 AWS 지역 포함을 선택한 경우 모든 지역을 선택해야 합니다.
선택 작업을 마쳤으면 저장을 선택하여 솔루션 페이지로 돌아갑니다.
Arc 온보딩의 경우:
연결 방법을 선택하여 연결된 컴퓨터 에이전트가 공용 엔드포인트를 통해 또는 프록시 서버를 통해 인터넷에 연결해야 하는지 여부를 결정합니다. 프록시 서버를 선택하는 경우 EC2 인스턴스가 연결할 수 있는 프록시 서버 URL을 제공합니다.
주기적인 동기화를 사용하도록 설정할지 여부를 선택합니다. 기본적으로 커넥터가 AWS 계정을 정기적으로 검색하도록 사용하도록 설정됩니다. 확인란을 선택 취소하면 AWS 계정이 한 번만 검사됩니다.
주기적 동기화를 사용하도록 설정한 경우 모든 선택 영역의 Recur를 확인하거나 변경하여 AWS 계정이 검사되는 빈도를 지정합니다.
지원되는 모든 AWS 지역 포함을 사용하도록 설정할지 여부를 선택합니다. 이 옵션을 선택하면 현재 및 미래의 모든 AWS 지역이 검사됩니다.
AWS 계정에서 EC2 인스턴스를 검색할 지역을 선택합니다. 기본적으로 사용 가능한 모든 지역이 선택됩니다. 지원되는 모든 AWS 지역 포함을 선택한 경우 모든 지역을 선택해야 합니다.
AWS 태그별로 EC2 인스턴스를 필터링하도록 선택합니다. 여기에 태그 값을 입력하면 해당 태그가 포함된 EC2 인스턴스만 Arc에 온보딩됩니다. 이 값을 비워 두면 검색된 모든 EC2 인스턴스가 Arc에 온보딩됩니다.
인증 템플릿 페이지에서 AWS에 업로드할 CloudFormation 템플릿을 다운로드합니다. 이 템플릿은 기본 사항에서 제공한 정보와 선택한 솔루션에 따라 만들어집니다. 즉시 템플릿을 업로드하거나 퍼블릭 클라우드 추가가 완료될 때까지 기다릴 수 있습니다.
태그 페이지에서 사용할 태그를 입력합니다.
검토 및 만들기 페이지에서 정보를 확인한 다음 만들기를 선택합니다.
이 프로세스 중에 템플릿을 업로드하지 않은 경우 다음 섹션의 단계에 따라 업로드합니다.
AWS에 CloudFormation 템플릿 업로드
이전 섹션에서 생성된 CloudFormation 템플릿을 저장한 후에는 AWS 퍼블릭 클라우드에 업로드해야 합니다. Azure Portal에서 AWS 클라우드 연결을 완료하기 전에 템플릿을 업로드하면 AWS 리소스가 즉시 검사됩니다. 템플릿을 업로드하기 전에 Azure Portal에서 퍼블릭 클라우드 추가 프로세스를 완료하는 경우 AWS 리소스를 검사하고 Azure에서 사용할 수 있도록 하는 데 시간이 좀 더 오래 걸립니다.
스택 만들기
다음 단계에 따라 스택을 만들고 템플릿을 업로드합니다.
AWS CloudFormation 콘솔을 열고 스택 만들기를 선택합니다.
템플릿 준비 완료를 선택한 다음 템플릿 파일 업로드를 선택합니다. 파일 선택을 선택하고 서식 파일을 찾습니다. 그런 후 다음을 선택합니다.
스택 세부 정보 지정에서 스택 이름을 입력합니다.
Arc 온보딩 솔루션을 선택한 경우 Stack 매개 변수에 다음 세부 정보를 입력합니다.
EC2SSMIAMRoleAutoAssignment: SSM 작업에 사용되는 IAM 역할이 EC2 인스턴스에 자동으로 할당되는지 여부를 지정합니다. 기본적으로 이 값은 true로 설정되며 검색된 모든 EC2에는 IAM 역할이 할당됩니다. 이 값을 false로 설정하면 Arc에 온보딩하려는 EC2 인스턴스에 IAM 역할을 수동으로 할당해야 합니다.
EC2SSMIAMRoleAutoAssignmentSchedule: SSM 작업에 사용되는 EC2 IAM 역할을 주기적으로 자동 할당할지 여부를 지정합니다. 기본적으로 사용하도록 설정 됩니다. 즉, 검색된 이후 EC2 컴퓨터에 IAM 역할이 자동으로 할당됩니다. 이 기능을 사용하지 않도록 설정하면 Azure Arc에 온보딩하려는 새로 배포된 EC2에 IAM 역할을 수동으로 할당해야 합니다.
EC2SSMIAMRoleAutoAssignmentScheduleInterval: SSM 작업에 사용되는 EC2 IAM 역할의 자동 할당 간격을 지정합니다(예: 15분, 6시간 또는 1일). EC2SSMIAMRoleAutoAssignment를 true 로 설정하고 EC2SSMIAMRoleAutoAssignmentSchedule 을 사용하도록 설정하는 경우 IAM 역할을 할당할 새 EC2 인스턴스를 검색할 빈도를 선택할 수 있습니다. 기본적으로 이 날짜는 1일입니다.
EC2SSMIAMRolePolicyUpdateAllowed: SSM 작업에 사용되는 기존 EC2 IAM 역할이 누락된 경우 필요한 권한 정책으로 업데이트할 수 있는지 여부를 지정합니다. 기본적으로 true로 설정됩니다. false로 설정하려는 경우 EC2 인스턴스에 이 IAM 역할 권한을 수동으로 추가해야 합니다.
그렇지 않은 경우 다른 옵션을 기본 설정으로 설정하고 다음을 선택합니다.
스택 구성 옵션에서 옵션을 기본 설정으로 설정하고 다음을 선택합니다.
검토 및 만들기에서 정보가 올바른지 확인하고 승인 확인란을 선택한 다음 제출을 선택합니다.
StackSet 만들기
AWS 계정이 조직 계정인 경우 StackSet을 만들고 템플릿을 다시 업로드해야 합니다. 수행할 작업:
AWS CloudFormation 콘솔을 열고 StackSets를 선택한 다음, StackSet 만들기를 선택합니다.
템플릿 준비 완료를 선택한 다음 템플릿 파일 업로드를 선택합니다. 파일 선택을 선택하고 서식 파일을 찾습니다. 그런 후 다음을 선택합니다.
스택 세부 정보 지정에서 StackSet 이름으로 입력
AzureArcMultiCloudStackset
합니다.Arc 온보딩 솔루션을 선택한 경우 Stack 매개 변수에 다음 세부 정보를 입력합니다.
EC2SSMIAMRoleAutoAssignment: SSM 작업에 사용되는 IAM 역할이 EC2 인스턴스에 자동으로 할당되는지 여부를 지정합니다. 기본적으로 이 값은 true로 설정되며 검색된 모든 EC2에는 IAM 역할이 할당됩니다. 이 값을 false로 설정하면 Arc에 온보딩하려는 EC2 인스턴스에 IAM 역할을 수동으로 할당해야 합니다.
EC2SSMIAMRoleAutoAssignmentSchedule: SSM 작업에 사용되는 EC2 IAM 역할을 주기적으로 자동 할당할지 여부를 지정합니다. 기본적으로 사용하도록 설정 됩니다. 즉, 검색된 이후 EC2 컴퓨터에 IAM 역할이 자동으로 할당됩니다. 이 기능을 사용하지 않도록 설정하면 Arc에 온보딩하려는 새로 배포된 EC2 인스턴스에 IAM 역할을 수동으로 할당해야 합니다.
EC2SSMIAMRoleAutoAssignmentScheduleInterval: SSM 작업에 사용되는 EC2 IAM 역할의 자동 할당 간격(예: 15분, 6시간 또는 1일)을 지정합니다. EC2SSMIAMRoleAutoAssignment를 true 로 설정하고 EC2SSMIAMRoleAutoAssignmentSchedule 을 사용하도록 설정하는 경우 IAM 역할을 할당할 새 EC2 인스턴스를 검색할 빈도를 선택할 수 있습니다. 기본적으로 이 날짜는 1일입니다.
EC2SSMIAMRolePolicyUpdateAllowed: SSM 작업에 사용되는 기존 EC2 IAM 역할이 누락된 경우 필요한 권한 정책으로 업데이트할 수 있는지 여부를 지정합니다. 기본적으로 true로 설정됩니다. false로 설정하려는 경우 EC2 인스턴스에 이 IAM 역할 권한을 수동으로 추가해야 합니다.
그렇지 않은 경우 다른 옵션을 기본 설정으로 설정하고 다음을 선택합니다.
스택 구성 옵션에서 옵션을 기본 설정으로 설정하고 다음을 선택합니다.
배포 옵션 설정에서 StackSet이 배포될 AWS 계정의 ID를 입력하고 스택을 배포할 AWS 지역을 선택합니다. 다른 옵션을 기본 설정으로 설정하고 다음을 선택합니다.
검토에서 정보가 올바른지 확인하고 승인 확인란을 선택한 다음 제출을 선택합니다.
배포 확인
Azure에서 퍼블릭 클라우드 추가 옵션을 완료하고 템플릿을 AWS에 업로드하면 커넥터 및 선택한 솔루션이 만들어집니다. 평균적으로 AWS 리소스를 Azure에서 사용할 수 있게 되는 데는 약 1시간이 걸립니다. Azure에서 퍼블릭 클라우드를 만든 후 템플릿을 업로드하는 경우 AWS 리소스가 표시되기까지 시간이 좀 더 걸릴 수 있습니다.
AWS 리소스는 명명 규칙 aws_yourAwsAccountId
을(를) 사용하여 리소스 그룹에 저장됩니다. 검사는 정기적인 동기화 활성화 선택에 따라 이러한 리소스를 업데이트하기 위해 정기적으로 실행됩니다.
다음 단계
- 다중 클라우드 커넥터 인벤토리 솔루션을 사용하여 인벤토리를 쿼리합니다.
- 다중 클라우드 커넥터 Arc 온보딩 솔루션 사용 방법에 대해 알아봅니다.