구독 고려 사항 및 권장 사항

  • 아티클

구독은 Azure에서 관리, 청구 및 크기 조정의 단위입니다. 대규모 Azure 채택을 위해 디자인할 때 중요한 역할을 합니다. 이 문서는 다음에 따라 달라지는 중요한 요인에 따라 구독 요구 사항을 캡처하고 대상 구독을 디자인하는 데 도움이 됩니다.

  • 환경 유형
  • 소유권 및 거버넌스 모델
  • 조직 구조
  • 애플리케이션 포트폴리오
  • 지역

구독에 대한 자세한 내용은 YouTube 비디오: Azure 랜딩 존 - Azure에서 사용해야 하는 구독 수는 몇 개입니까?

참고 항목

기업계약, Microsoft 고객 계약(엔터프라이즈) 또는 CSP(Microsoft 파트너 계약)를 사용하는 경우 Azure Portal의 청구 계정 및 범위에서 구독 제한을 검토합니다.

구독 고려 사항

다음 섹션에는 Azure에 대한 구독을 계획하고 만드는 데 도움이 되는 고려 사항이 포함되어 있습니다.

조직 및 거버넌스 디자인 고려 사항

  • 구독은 Azure Policy를 할당하기 위한 경계 역할을 합니다.

    예를 들어 PCI(결제 카드 산업) 워크로드와 같은 보안 워크로드는 일반적으로 규정 준수를 달성하기 위해 다른 정책이 필요합니다. 관리 그룹을 사용하여 PCI 규정 준수가 필요한 워크로드를 수집하는 대신, 적은 수의 구독으로 너무 많은 관리 그룹을 보유하지 않고도 구독과 동일한 분리를 달성할 수 있습니다.

    동일한 워크로드 원형의 구독을 여러 개 그룹화해야 하는 경우 관리 그룹 아래에 만듭니다.

  • 구독은 크기 조정 단위 역할을 하므로 구성 요소 워크로드는 플랫폼 구독 제한 내에서 크기를 조정할 수 있습니다. 워크로드를 디자인할 때 구독 리소스 제한을 고려해야 합니다.

  • 구독은 거버넌스 및 격리를 위한 관리 경계를 제공하여 문제를 명확하게 구분합니다.

  • 필요한 경우 관리(모니터링), 연결 및 ID를 위한 별도의 플랫폼 구독을 만듭니다.

    • Azure Monitor 로그 작업 영역 및 Azure Automation Runbook과 같은 글로벌 관리 기능을 지원하도록 플랫폼 관리 그룹에 전용 관리 구독을 설정합니다.

    • 필요한 경우 플랫폼 관리 그룹에서 전용 ID 구독을 설정하여 Windows Server Active Directory 도메인 컨트롤러를 호스트합니다.

    • 플랫폼 관리 그룹에서 전용 연결 구독을 설정하여 Azure Virtual WAN 허브, DNS(프라이빗 도메인 이름 시스템), Azure ExpressRoute 회로 및 기타 네트워킹 리소스를 호스트합니다. 전용 구독을 기준으로 모든 기초 네트워크 리소스가 함께 청구되고 다른 워크로드와 격리됩니다.

    • 구독을 비즈니스 요구 사항 및 우선 순위에 맞는 민주화된 관리 단위로 사용합니다.

  • 수동 프로세스를 사용하여 Microsoft Entra 테넌트를 기업계약 등록 구독으로만 제한합니다. 수동 프로세스를 사용하는 경우 루트 관리 그룹 범위에서 MSDN(Microsoft Developer Network) 구독을 만들 수 없습니다.

    지원을 위해 Azure 지원 티켓을 제출합니다.

    Azure 청구 제안 간의 구독 전송에 대한 자세한 내용은 Azure 구독 및 예약 전송 허브를 참조하세요.

여러 지역 고려 사항

Important

구독은 특정 지역에 연결되지 않으며 전역 구독으로 처리할 수 있습니다. 여기에는 포함된 Azure 리소스에 대한 청구, 거버넌스, 보안 및 ID 제어를 제공하는 논리적 구문입니다. 따라서 각 지역에 대해 별도의 구독이 필요하지 않습니다.

  • 크기 조정 또는 지역 재해 복구를 위해 단일 워크로드 수준에서 또는 전역 수준(다른 지역의 다른 워크로드)에서 다중 리전 접근 방식을 채택할 수 있습니다.

  • 단일 구독은 요구 사항 및 아키텍처에 따라 다른 지역의 리소스를 포함할 수 있습니다.

  • 지역 재해 복구 컨텍스트에서 동일한 구독을 사용하여 기본 및 보조 지역의 리소스를 포함할 수 있습니다. 이는 논리적으로 동일한 워크로드의 일부이기 때문입니다.

  • 서로 다른 지역에 동일한 워크로드에 대해 서로 다른 환경을 배포하여 비용과 리소스 가용성을 최적화할 수 있습니다.

  • 여러 지역의 리소스가 포함된 구독에서 리소스 그룹을 사용하여 지역별로 리소스를 구성하고 포함할 수 있습니다.

할당량 및 용량 디자인 고려 사항

Azure 지역에는 한정된 수의 리소스가 있을 수 있습니다. 따라서 여러 리소스를 사용하여 Azure 채택에 사용할 수 있는 용량 및 SKU를 추적해야 합니다.

  • 워크로드에 필요한 각 서비스에 대한 Azure 플랫폼 내의 제한 및 할당량을 고려합니다.

  • 선택한 Azure 지역 내에서 필요한 SKU의 가용성을 고려합니다. 예를 들어 특정 지역에서만 새 기능이 제공될 수 있습니다. VM(가상 머신)과 같은 지정된 리소스에 대한 특정 SKU의 가용성은 지역마다 다를 수 있습니다.

  • 구독 할당량은 용량을 보장하지 않으며 지역별로 적용되도록 고려합니다.

    가상 머신 용량 예약은 주문형 용량 예약을 참조하세요.

  • 사용하지 않거나 서비스 해제된 구독을 다시 사용하는 것이 좋습니다. 자세한 내용은 Azure 구독 만들기 또는 재사용을 참조 하세요.

테넌트 전송 제한 디자인 고려 사항

각 Azure 구독은 Azure 구독에 대한 IdP(ID 공급자) 역할을 하는 단일 Microsoft Entra 테넌트에 연결됩니다. Microsoft Entra 테넌트에서 사용자, 서비스 및 디바이스를 인증합니다.

사용자에게 필요한 권한이 있는 경우 Azure 구독에 연결된 Microsoft Entra 테넌트도 변경할 수 있습니다. 자세한 내용은 다음을 참조하세요.

참고 항목

Azure CSP(클라우드 솔루션 공급자) 구독에 대한 다른 Microsoft Entra 테넌트로 전송할 수 없습니다.

Azure 랜딩 존의 경우 사용자가 조직의 Microsoft Entra 테넌트로 구독을 전송하지 못하도록 요구 사항을 설정할 수 있습니다. 자세한 내용은 Azure 구독 정책 관리를 참조하세요.

제외된 사용자 목록을 제공하여 구독 정책을 구성합니다. 제외된 사용자는 정책에 설정된 제한을 무시할 수 있습니다.

Important

제외된 사용자 목록은 Azure Policy아닙니다.

  • Visual Studio 또는 MSDN Azure 구독이 있는 사용자가 Microsoft Entra 테넌트 간에 구독을 전송하도록 허용할지 여부를 고려합니다.

  • Microsoft Entra 전역 관리자 역할이 있는 사용자만 테넌트 전송 설정을 구성할 수 있습니다. 이러한 사용자는 정책을 변경하려면 상승된 액세스 권한이 있어야 합니다.

    • 개별 사용자 계정을 Microsoft Entra 그룹이 아닌 제외된 사용자만 지정할 수 있습니다.

Important

가장 적은 권한으로 역할을 사용하는 것이 좋습니다. 이렇게 하면 조직의 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 높은 권한의 역할입니다.

  • Azure에 액세스할 수 있는 모든 사용자는 Microsoft Entra 테넌트에 대해 정의된 정책을 볼 수 있습니다.

    • 사용자는 제외된 사용자 목록을 볼 수 없습니다.

    • 사용자는 Microsoft Entra 테넌트 내의 전역 관리자를 볼 수 있습니다.

  • Microsoft Entra 테넌트로 전송하는 Azure 구독은 해당 테넌트에 대한 기본 관리 그룹에 배치됩니다.

  • 조직에서 승인하는 경우 애플리케이션 팀은 Azure 구독을 Microsoft Entra 테넌트로 또는 Microsoft Entra 테넌트에서 전송할 수 있도록 하는 프로세스를 정의할 수 있습니다.

비용 관리 디자인 고려 사항

모든 대기업 조직은 비용 투명성을 관리해야 합니다. 이 섹션에서는 대규모 Azure 환경에서 비용 투명성을 달성하기 위한 주요 측면을 살펴봅니다.

  • 더 높은 밀도를 얻으려면 App Service Environment 및 AKS(Azure Kubernetes Service)와 같은 차지백 모델을 공유해야 할 수 있습니다. 차지백 모델은 PaaS(공유 플랫폼 서비스) 리소스에 영향을 줄 수 있습니다.

  • 비프로덕션 워크로드에 대한 종료 일정을 사용하여 비용을 최적화합니다.

  • Azure Advisor를 사용하여 비용 최적화에 대한 권장 사항을 가져옵니다.

  • 조직 전체에서 비용의 더 나은 배포를 위해 차지백 모델을 설정합니다.

  • 사용자가 조직의 환경에서 권한 없는 리소스를 배포할 수 없도록 정책을 구현합니다.

  • 정기적인 일정 및 주기를 설정하여 비용을 검토하고 워크로드에 대한 리소스를 권한을 부여합니다.

구독 권장 사항

다음 섹션에는 Azure에 대한 구독을 계획하고 만드는 데 도움이 되는 권장 사항이 포함되어 있습니다.

조직 및 거버넌스 권장 사항

  • 구독을 비즈니스 요구 사항 및 우선 순위에 맞는 관리 단위로 처리합니다.

  • 구독 소유자에게 역할 및 책임을 알릴 수 있습니다.

    • Microsoft Entra PIM(Privileged Identity Management)에 대한 분기별 또는 연간 액세스 검토를 수행하여 사용자가 조직 내에서 이동할 때 권한이 확산되지 않도록 합니다.

    • 예산 지출 및 리소스의 전체 소유권을 확보합니다.

    • 정책 준수를 확인하고 필요한 경우 재구성합니다.

  • 새 구독에 대한 요구 사항을 식별하는 경우 다음 원칙을 참조하세요.

    • 크기 조정 제한: 구독은 플랫폼 구독 제한 내에서 크기가 조정되는 구성 요소 워크로드의 배율 단위로 사용됩니다. 고성능 컴퓨팅, IoT 및 SAP와 같은 대규모 특수 워크로드는 이러한 제한에 대해 실행되지 않도록 별도의 구독을 사용해야 합니다.

    • 관리 경계: 구독은 거버넌스 및 격리를 위한 관리 경계를 제공하므로 문제를 명확하게 구분할 수 있습니다. 개발, 테스트 및 프로덕션 환경과 같은 다양한 환경은 종종 관리 관점에서 제거됩니다.

    • 정책 경계: 구독은 Azure Policy 할당을 위한 경계 역할을 합니다. 예를 들어 PCI 워크로드와 같은 보안 워크로드는 일반적으로 규정 준수를 달성하기 위해 다른 정책이 필요합니다. 별도의 구독을 사용하는 경우 다른 오버헤드는 고려되지 않습니다. 개발 환경에는 프로덕션 환경보다 더 완화된 정책 요구 사항이 있습니다.

    • 대상 네트워크 토폴로지: 구독 간에 가상 네트워크를 공유할 수는 없지만 가상 네트워크 피어링 또는 ExpressRoute와 같은 다양한 기술로 연결할 수 있습니다. 새 구독이 필요한지 결정할 때 서로 통신해야 하는 워크로드를 고려합니다.

  • 관리 그룹 구조체 및 정책 요구 사항에 맞춰 관리 그룹에서 구독을 그룹화합니다. 구독을 그룹화하여 동일한 정책 집합 및 Azure 역할 할당이 있는 구독이 동일한 관리 그룹에서 제공되는지 확인합니다.

  • 관리 그룹에 전용 관리 구독 Platform 을 설정하여 Azure Monitor 로그 작업 영역 및 Automation Runbook과 같은 전역 관리 기능을 지원합니다.

  • 필요한 경우 Platform 관리 그룹에서 전용 ID 구독을 설정하여 필요할 때 Windows Server Active Directory 도메인 컨트롤러를 호스트합니다.

  • 관리 그룹에서 전용 연결 구독 Platform 을 설정하여 Virtual WAN 허브, 프라이빗 DNS, ExpressRoute 회로 및 기타 네트워킹 리소스를 호스트합니다. 전용 구독을 기준으로 모든 기초 네트워크 리소스가 함께 청구되고 다른 워크로드와 격리됩니다.

  • 엄격한 구독 모델을 사용하지 않습니다. 대신 유연한 조건 세트를 사용하여 조직 전체에서 구독을 그룹화합니다. 이러한 유연성을 통해 조직의 구조 및 워크로드 구성이 변경되면 기존의 고정된 구독 집합을 사용하는 대신 새 구독 그룹을 만들 수 있습니다. 한 가지 크기는 구독에 모두 적합하지 않으며 한 사업부에서 작동하는 항목이 다른 사업부에서는 작동하지 않을 수 있습니다. 일부 애플리케이션은 동일한 랜딩 존 구독 내에 공존할 수 있는 반면 다른 애플리케이션은 자체 구독이 필요할 수 있습니다.

    자세한 내용은 개발/테스트/프로덕션 워크로드 랜딩 존 처리를 참조 하세요.

여러 지역 권장 사항

  • 지역별 거버넌스 및 관리 요구 사항(예: 데이터 주권)이 있거나 할당량 제한을 초과하여 확장할 경우에만 각 지역에 대한 추가 구독을 만듭니다.

  • 크기 조정이 여러 지역에 걸쳐 있는 지역 재해 복구 환경에 문제가 되지 않는 경우 주 및 보조 지역 리소스에 대해 동일한 구독을 사용합니다. 채택하는 BCDR(비즈니스 연속성 및 재해 복구) 전략 및 도구에 따라 일부 Azure 서비스는 동일한 구독을 사용해야 할 수 있습니다. 배포가 독립적으로 관리되거나 수명 주기가 다른 활성-활성 시나리오에서는 다른 구독을 사용하는 것이 좋습니다.

  • 리소스 그룹을 만드는 지역과 포함된 리소스의 지역이 일치해야 하므로 복원력 및 안정성에 영향을 주지 않습니다.

  • 단일 리소스 그룹에는 다른 지역의 리소스가 포함되어서는 안 됩니다. 이 방법을 사용하면 리소스 관리 및 가용성에 문제가 발생할 수 있습니다.

할당량 및 용량 권장 사항

  • 구독을 배율 단위로 사용하고 필요에 따라 리소스와 구독을 스케일 아웃합니다. 그러면 워크로드가 Azure 플랫폼의 구독 제한에 도달하지 않고 확장에 필요한 리소스를 사용할 수 있습니다.

  • 용량 예약을 사용하여 일부 지역의 용량을 관리합니다. 그러면 워크로드에 특정 지역의 수요가 많은 리소스에 필요한 용량이 있을 수 있습니다.

  • 사용된 용량 수준을 모니터링하는 사용자 지정 보기가 있는 대시보드를 설정하고 용량이 CPU 사용량의 90%와 같은 중요한 수준에 도달하면 경고를 설정합니다.

  • 구독 프로비저닝에서 할당량 증가에 대한 지원 요청을 제출합니다(예: 구독 내에서 사용 가능한 총 VM 코어 수). 워크로드가 기본 제한을 초과하기 전에 할당량 제한이 설정되었는지 확인합니다.

  • 선택한 배포 지역 내에서 필요한 서비스 및 기능을 사용할 수 있는지 확인합니다.

자동화 권장 사항

  • 요청 워크플로를 통해 애플리케이션 팀에 대한 구독 만들기를 자동화하는 구독 자동 판매 프로세스를 빌드합니다. 자세한 내용은 구독 자동 판매를 참조 하세요.

테넌트 전송 제한 권장 사항

  • 사용자가 Microsoft Entra 테넌트 간에 Azure 구독을 전송하지 못하도록 다음 설정을 구성합니다.

    • Microsoft Entra 디렉터리를 종료하는 구독을 .로 Permit no one설정합니다.

    • Microsoft Entra 디렉터리에 입력하는 구독을 .로 Permit no one설정합니다.

  • 제외된 사용자의 제한된 목록을 구성합니다.

    • Azure 플랫폼 운영 팀의 구성원을 포함합니다.

    • 비상 계정을 제외된 사용자 목록에 포함합니다.

다음 단계

정책 기반 가드레일 채택