다음을 통해 공유


자동화를 사용하도록 설정하기 위한 권장 사항

이 Azure Well-Architected Framework Operation Excellence 검사 목록 권장 사항에 적용됩니다.

OE:10 수명 주기 문제, 부트스트래핑, 거버넌스 및 규정 준수 가드 레일 적용과 같은 작업을 위한 자동화를 사전에 설계하고 구현합니다. 나중에 자동화를 개조하지 마세요. 플랫폼에서 제공하는 자동화 기능을 선택합니다.

이 가이드에서는 자동화를 사용하도록 워크로드를 디자인하고 구현하기 위한 권장 사항을 설명합니다. 자동화를 염두에 두고 워크로드를 디자인하여 리소스 프로비저닝, 크기 조정 및 배포와 같은 일상적인 작업이 빠르고 안정적으로 수행되도록 합니다. Automation을 사용하면 유지 관리 작업이 간소화되고 시스템을 보다 효율적으로 업데이트, 패치 및 업그레이드할 수 있습니다.

주요 디자인 전략

자동화를 지원하도록 워크로드 구성 요소 디자인

아이디어화 단계에서 진행 중인 개선 단계로 자동화를 지원하도록 워크로드를 디자인할 수 있습니다. 먼저 워크로드에 자동화를 적용하여 필요한 부분을 배치하는 방법을 고려합니다. 사용할 자동화 유형을 계획하는 데 도움이 되는 잘 설계된 프레임워크 핵심 요소의 관점에서 워크로드에 대해 생각해 보세요. 보안, 안정성, 성능, 작업 및 비용 제어의 많은 기능을 자동화할 수 있습니다.

워크로드가 실행된 후 리팩터링을 최소화하도록 자동화를 염두에 두고 디자인합니다. 사용할 자동화 도구를 결정할 때 워크로드 요구 사항을 고려합니다. 팀이 이미 잘 알고 있는 기성품 자동화 도구가 있을 수 있습니다. 이러한 도구를 채택하면 워크로드를 더 쉽게 자동화할 수 있지만 클라우드 플랫폼과의 제한 사항 및 호환성을 염두에 두어야 합니다. 예를 들어 일부 자동화 도구는 Azure CLI 도구와 잘 통합될 수 있지만 다른 도구에는 REST 인터페이스가 필요할 수 있습니다. 항상 클라우드 플랫폼이 제공하는 도구를 조사하여 호환되는지 확인하고 필요한 기능을 제공합니다. 자동화를 사전에 계획할 수 있는 방법의 예는 다음과 같습니다.

  • 배포: 예측 가능한 표준을 보장하기 위해 애플리케이션 및 인프라 배포를 자동화합니다. 배포 표준을 개발하고, 사용할 도구에 대해 팀을 교육하고, 필요한 인프라를 구현하여 자동화된 배포를 계획합니다.

  • 유효성 검사: 오케스트레이션 또는 정책 도구를 사용하여 워크로드에 대한 규정 준수 요구 사항의 유효성을 자동으로 검사합니다. 워크로드에 적합한 유효성 검사 도구를 식별하고 필요한 시스템(예: 오케스트레이션 서버)을 구현하도록 계획합니다.

  • 자동 크기 조정: 인프라 전체에서 자동 크기 조정을 사용하여 안정성 및 성능 요구 사항을 달성할 수 있습니다. 중복성 및 자연 증가 계획 외에도 크기 조정 작업을 고려하기 위해 미리 워크로드에 IP 주소 공간 및 서브넷을 할당해야 합니다.

절충: 자동화를 사용하도록 워크로드를 디자인할 때 유지 관리하려는 제어 수준과 자동화를 통해 얻을 수 있는 효율성을 고려합니다. 경우에 따라 워크로드가 일부 함수를 자동화할 만큼 충분히 성숙하지 않거나 자동화에서 제공하지 않는 유연성 수준이 필요할 수 있습니다.

또한 워크로드를 디자인할 때 팀의 기술 집합을 고려합니다. 높은 수준의 자동화에 팀이 지원할 준비가 되지 않은 도구가 필요한 경우 덜 포괄적인 디자인을 중간 단계로 사용해야 할 수 있습니다.

수명 주기 동안 자동화 디자인 다시 보기

워크로드가 클라우드에서 실행되면 지속적인 개선의 우선 순위를 지정하는 것이 중요합니다. 워크로드의 작동 상태를 관찰하고, 사용 패턴을 분석하고, 워크로드와 관련된 고객 동작을 검토하여 자동화를 개선할 수 있는 영역을 식별합니다. 기존 자동화를 향상시키거나 새로운 자동화를 도입하여 고객 환경을 개선하는 방법을 찾습니다. 예를 들어 자동화된 크기 조정을 사용하도록 설정했지만 워크로드 증가는 수명이 짧습니다. 부하가 임계값 아래로 떨어질 때 스케일 인 자동화를 통합하여 CPU 사용량을 줄일 수 있습니다.

이 가이드의 다음 섹션에서는 워크로드 디자인 및 구현에 도움이 될 수 있는 자동화의 특정 영역에 대한 권장 사항을 제공합니다.

부트스트래핑 자동화

부트스트래핑은 리소스가 프로비전된 후 워크로드 풀의 일부로 사용 가능해지기 전에 이루어져야 하는 리소스에 대한 구성 업데이트를 의미합니다. 부트스트래핑은 종종 VM(가상 머신)과 연결되지만 PaaS(Platform as a Service) 기술 및 AKS(Azure Kubernetes Service)와 같은 컨테이너 호스팅 기술을 포함하여 배포 프로세스의 일부로 다른 많은 리소스를 설정해야 합니다.

클라우드 플랫폼은 가능한 경우 사용해야 하는 부트스트래핑 솔루션을 제공할 수 있습니다. 예를 들어 Azure에서 VM 확장을 사용하여 배포 프로세스 중에 미리 정의된 구성을 변경하고 PowerShell 스크립트를 삽입하여 구성 변경 내용을 사용자 지정할 수 있습니다.

액세스 관리에 자동화 통합

인증 및 권한 부여 전략을 디자인할 때 자동화를 고려합니다. 프로덕션 워크로드에서 최고 수준의 보안을 유지하는 것이 중요하지만 자동화에 영향을 줄 수 있습니다. 예를 들어 생체 인식 또는 다단계 인증을 사용하면 자동화 디자인에서 고려해야 하는 복잡성이 추가됩니다. 관리 ID, 워크로드 ID 또는 인증서와 같은 자동화된 인증에 비인간적이고 안전한 계정을 사용합니다. 인증 보안을 강화하기 위해 자동화에 비밀 및 키 관리를 포함해야 합니다.

워크로드의 가변성 설계

아티팩트에서 유연성을 구축하여 약간 변경된 경우 새 인프라를 불필요하게 배포하지 않습니다. 예를 들어 기능 플래그가 변경될 때 인프라를 다시 배포하는 대신 앱 구성과 같은 구성 요소를 업데이트하도록 설정된 매개 변수를 사용할 수 있습니다. 과용 및 구성 드리프트를 방지하기 위해 가변성을 사용하는 방법을 명확하게 정의하고 문서화해야 합니다.

컨트롤 플레인 빌드

컨트롤 플레인은 통합 인터페이스를 통해 애플리케이션 및 해당 종속성을 관리하는 데 사용하는 백 엔드 시스템 또는 도구 모음입니다. REST 인터페이스, CLI 또는 웹후크와 같은 컨트롤 플레인을 빌드하여 외부 도구를 통한 자동화를 지원합니다.

순서대로 백업 및 복원, 부트스트랩, 구성, 가져오기/내보내기, 일괄 처리 작업 등 워크로드 구성 요소를 조정할 수 있는 제어 평면을 통해 유지 관리 작업을 노출합니다. 컨트롤 플레인을 통해 노출할 작업을 결정할 때 적절한 수준의 세분성을 선택해야 합니다.

데이터 기반 접근 방식을 채택하여 자동화 개발

필요한 자동화 유형을 구동하는 메트릭을 캡처하는 모니터링 전략을 개발합니다. 구조화된 로깅 및 사용자 지정 메트릭을 사용하여 자동화 도구로 쉽게 인식할 수 있는 형식으로 자동화에 필요한 정보를 제공합니다. 캡처하는 메트릭은 적절한 경우 경고 및 자동화된 작업(예: 알림 또는 자동 복구 메커니즘)을 트리거하는 모니터링 시스템에 정의된 임계값과 페어링되어야 합니다. 자세한 내용은 자기 치유 및 자기 보존에 대한 권장 사항을 참조하세요.

사용자 수명 주기 이벤트 자동화

개인 또는 다중 테넌트 고객을 위해 자동화된 사용자 온보딩 및 오프보딩을 허용하도록 애플리케이션 및 인프라를 디자인합니다. 스크립트, 인프라 프로비저닝 및 프로비전 해제, 자격 증명 및 비밀 관리를 통해 자동화된 데이터베이스 업데이트를 계획합니다.

원하는 상태 구성 자동화

지속적인 워크로드 관리의 일환으로 리소스에서 DSC(Desired State Configuration)를 자동화하여 규정 준수 및 비즈니스 요구 사항을 충족하는지 확인할 수 있습니다. DSC 자동화를 사용하면 구성 드리프트를 빠르게 포착하고 수정할 수 있습니다. 오케스트레이션 도구 또는 정책 관리 도구를 사용하여 DSC를 자동화할 수 있습니다. Azure DevOps 서비스 또는 Jenkins와 같은 오케스트레이션 도구를 푸시 기반 메커니즘으로 간주합니다. 오케스트레이션 도구를 사용하면 수동 또는 자동화된 배포와 같은 워크플로 이벤트를 통해 구성 업데이트를 푸시할 수 있습니다. 이러한 업데이트는 배포 스크립트에 정의된 작업 순서의 일부로 실행됩니다. 정책 관리 도구는 풀 기반 메커니즘을 사용합니다. 즉, 시스템이 워크로드를 주기적으로 폴링하여 정의된 DSC에 대해 상태를 확인하는 워크로드의 기본 수준에서 실행됩니다. 폴링이 잘못된 정렬 또는 구성 드리프트를 식별하는 경우 도구는 수정 작업을 수행합니다. 오케스트레이션 및 정책 관리 도구 중에서 결정할 때 다음 요소를 고려합니다.

  • 오케스트레이션 도구에는 구성 드리프트를 위해 워크로드를 사전에 폴링하는 기본 제공 기능이 없습니다. 오케스트레이션 도구는 IaC(Infrastructure as Code) 배포 및 관리에 대한 표준을 유지하기 위해 CI/CD(지속적인 통합 및 지속적인 업데이트) 파이프라인에 통합되어야 합니다. 오케스트레이션 도구를 사용하면 리소스가 배포될 때 항상 완전히 구성된다는 장점이 있습니다.

  • 정책 관리 도구를 사용하면 하나 이상의 리소스 그룹에 영향을 주는 정책을 정의할 수 있습니다. 이러한 정책은 리소스가 정책 관리 시스템으로 체크 인할 때 적용됩니다. 정책 관리를 사용하는 장점은 이러한 시스템이 코드 기반이 아니므로 팀의 운영자가 더 쉽게 채택할 수 있다는 것입니다.

오케스트레이션 또는 정책 도구 중에서 결정할 때 배포 시 새 리소스에 대해 수행할 구성 업데이트를 수행해야 하는지 여부를 고려합니다. 또한 코드에서 업데이트를 정의하는 것이 운영 방식과 배포하려는 리소스 종류 수에 맞는지 고려합니다. 리소스 종류에 다양한 구성이 있는 경우 정책 도구가 업데이트를 관리하는 더 쉬운 방법이 될 수 있습니다.

Azure 촉진

정책 관리

Azure Policy: Azure Policy를 사용하여 표준을 적용하고 대규모로 규정 준수를 평가할 수 있습니다. Azure Policy는 규정 준수 대시보드에서 워크로드 환경의 전체 상태를 평가하기 위해 집계된 보기를 제공합니다. 또는 Azure Policy를 사용하여 각 리소스 및 정책을 세분화된 수준에서 평가할 수 있습니다. Azure Policy를 사용하여 새 리소스를 자동으로 수정하거나 기존 리소스를 대량으로 수정할 수도 있습니다.

절충: CI/CD 파이프라인에서 Azure Policy와 같은 플랫폼 도구 또는 서비스로 자동화를 오프로드하면 파이프라인을 간소화할 수 있지만 여러 시스템을 사용하는 추가 관리 부담과 같은 단점이 있습니다. 예를 들어 플랫폼 서비스의 실행 실패는 파이프라인 로그에서 catch되지 않으며 적절한 당사자에게 알림을 받도록 관찰성 플랫폼에 지능적으로 공급되어야 합니다.

부트스트랩 자동화

Azure Virtual Machines 확장: Virtual Machines 확장은 VM에서 배포 후 구성 및 자동화를 실행하는 작은 패키지입니다. 스크립트 실행, 맬웨어 방지 솔루션 구성, 로깅 솔루션 구성 등 다양한 구성 작업에 여러 확장을 사용할 수 있습니다. Azure Resource Manager 템플릿, Azure CLI, Azure PowerShell 모듈 또는 Azure Portal을 사용하여 VM에 이러한 확장을 설치하고 실행합니다. 각 VM에는 확장의 수명 주기를 관리하는 VM 에이전트가 설치되어 있습니다.

일반적으로 VM 확장은 사용자 지정 스크립트 확장을 사용하여 소프트웨어를 설치하고, 명령을 실행하고, VM 또는 Azure Virtual Machine Scale Sets에서 구성을 수행합니다. 이러한 확장은 Azure VM 에이전트를 사용하여 새 VM에서 실행되도록 IaC 배포의 일부로 실행되도록 설정할 수 있습니다. Azure CLI, PowerShell 모듈 또는 Azure Portal을 사용하여 Azure 배포 외부에서 확장을 실행할 수도 있습니다.

Cloud-init: Cloud-init는 첫 번째 부팅 시 Linux VM을 구성하기 위한 업계 도구입니다. Azure 사용자 지정 스크립트 확장과 마찬가지로 cloud-init를 사용하면 Linux VM에서 패키지를 설치하고 명령을 실행할 수 있습니다. 소프트웨어 설치, 시스템 구성 및 콘텐츠 스테이징에 cloud-init를 사용할 수 있습니다. Azure에는 잘 알려진 Linux 배포판에 걸쳐 많은 cloud-init 지원 VM 이미지가 포함되어 있습니다. 전체 목록은 Azure의 VM에 대한 cloud-init 지원을 참조하세요.

Azure 배포 스크립트 리소스: Azure를 사용하여 배포하는 경우 사용자 계정, Kubernetes Pod의 관리를 부트스트래핑하거나 비 Azure 시스템에서 데이터를 쿼리하기 위해 임의의 코드를 실행해야 할 수 있습니다. 이러한 작업은 Azure 컨트롤 플레인을 통해 액세스할 수 없으므로 별도의 메커니즘이 필요합니다. 자세한 내용은 Microsoft.Resources deploymentScripts를 참조 하세요. 다른 Azure 리소스와 마찬가지로 배포 스크립트 리소스는 다음과 같습니다.

  • Azure Resource Manager 템플릿에서 사용할 수 있습니다.

  • 다른 리소스의 Azure Resource Manager 템플릿 종속성을 포함합니다.

  • 입력을 사용하고 출력을 생성합니다.

  • 인증에 사용자 할당 관리 ID를 사용합니다.

배포 시 배포 스크립트는 PowerShell 또는 Azure CLI 명령 및 스크립트를 실행합니다. 스크립트 실행 및 로깅은 Azure Portal 또는 Azure CLI 및 PowerShell 모듈에서 관찰할 수 있습니다. 스크립트 실패 후 실행 환경, 시간 제한 옵션 및 리소스 관리에 대한 변수를 사용자 지정할 수 있습니다.

GitOps를 사용하여 AKS 클러스터 부트스트랩: GitHub 리포지토리에서 구성 설정을 선언하여 GitOps 및 Flux v2 클러스터 확장을 사용하여 새로 프로비전된 AKS 클러스터를 부트스트랩할 수 있습니다. AKS 클러스터 파일은 GitHub 리포지토리에 저장되므로 버전이 지정되고 버전 간 변경 내용이 쉽게 추적됩니다. Kubernetes 컨트롤러는 클러스터에서 실행되며 리포지토리에서 파일을 끌어와 Git 리포지토리에 선언된 원하는 상태로 클러스터 상태를 지속적으로 조정합니다. 자세한 내용은 AKS 기준 참조 아키텍처를 참조 하세요.

구성 관리

Azure Automation 상태 구성 은 클라우드 또는 온-프레미스 데이터 센터의 노드에 대한 PowerShell DSC 구성을 작성, 관리 및 컴파일하는 데 사용할 수 있는 Azure Policy 게스트 구성 기능 에서 관리하는 DSC 관리 도구입니다. 이 도구를 사용하여 DSC 리소스를 가져오고 대상 노드에 구성을 할당할 수도 있습니다.

Azure 앱 구성은 애플리케이션 설정 및 기능 플래그를 중앙에서 관리하는 데 사용할 수 있는 서비스입니다. Azure Key Vault에서 작동하므로 환경 전체에서 다양한 애플리케이션 구성을 안전하게 관리할 수 있습니다.

변경 내용 추적 및 인벤토리

Azure Monitoring Agent 를 사용한 변경 내용 추적 및 인벤토리는 Azure VM 및 Arc 지원 VM 모두에서 OS 구성 드리프트를 추적합니다. 이렇게 하면 드리프트 검색, 서비스 실행 인벤토리 및 워크로드의 가상 머신에 설치된 패키지가 자동화됩니다. 변경 내용 추적 및 인벤토리에 의해 추적되는 항목은 다음과 같습니다.

  • 설치된 Windows 및 Linux 소프트웨어
  • 주요 Windows 및 Linux 파일
  • Windows 레지스트리 키
  • Windows 서비스 및 Linux 디먼

운영 우수성 검사 목록

전체 권장 사항 집합을 참조하세요.