금융 HPC Azure ID 및 액세스 관리

  • 아티클

이 문서는 ID 및 액세스 관리를 위한 Azure 랜딩 존 디자인 영역 Azure 랜딩 존 문서에 정의된 고려 사항 및 권장 사항을 기반으로 합니다. 이 문서의 지침에 따라 ID 및 액세스 관리 디자인 고려 사항 및 권장 사항을 사용하여 금융 산업용 Microsoft Azure에 HPC(고성능 컴퓨팅) 애플리케이션을 배포할 수 있습니다.

디자인 고려 사항

HPC 애플리케이션을 배포할 때 다음 디자인 고려 사항에 유의하세요.

  • 팀의 다양한 구성원이 요구하는 Azure 리소스 관리를 결정합니다. 비프로덕션 환경에서 해당 팀 구성원에게 상승된 Azure 리소스 관리 액세스를 제공하는 것이 좋습니다.

    • 예를 들어 가상 머신 기여자 역할을 제공하세요.
    • 또한 프로덕션 환경에서 부분 Virtual Machine 기여자 역할과 같이 팀 구성원에게 부분적으로 상승된 관리 액세스 권한을 부여할 수도 있습니다. 두 옵션 모두 업무 분리와 운영 효율성 간의 균형을 잘 이룹니다.

  • 팀에서 수행해야 하는 Azure 관리 및 관리 활동을 검토합니다. Azure 환경에서 HPC를 고려합니다. 조직 내에서 가능한 최상의 책임 분배를 결정합니다.

    다음은 일반적인 Azure 관리 작업입니다.

    Azure 리소스 Azure 리소스 공급자 활동
    VM(가상 머신) Microsoft.Compute/virtualMachines VM 시작, 중지, 다시 시작, 할당 취소, 배포, 재배포, 변경 및 크기 조정 확장, 가용성 집합 및 근접 배치 그룹을 관리합니다.
    VM Microsoft.Compute/disks 디스크를 읽고 씁니다.
    스토리지 Microsoft.Storage 스토리지 계정(예: 부팅 진단 스토리지 계정)을 읽고 변경합니다.
    스토리지 Microsoft.NetApp NetApp 용량 풀 및 볼륨을 읽고 변경합니다.
    스토리지 Microsoft.NetApp Azure NetApp Files 스냅샷.
    스토리지 Microsoft.NetApp Azure NetApp Files 지역 간 복제본(replica).
    네트워킹 Microsoft.Network/networkInterfaces 네트워크 인터페이스를 읽고, 만들고, 변경합니다.
    네트워킹 Microsoft.Network/loadBalancers 부하 분산 장치를 읽고, 만들고, 변경합니다.
    네트워킹 Microsoft.Network/networkSecurityGroups 네트워크 보안 그룹을 읽습니다.
    네트워킹 Microsoft.Network/azureFirewalls 방화벽을 읽습니다.
    네트워킹 Microsoft.Network/virtualNetworks 네트워크 인터페이스를 읽고, 만들고, 변경합니다.

    VM의 리소스 그룹과 다른 경우 가상 네트워크의 리소스 그룹 및 관련 액세스에 필요한 관련 액세스를 고려합니다.

  • 사용하는 Microsoft 서비스(Azure CycleCloud, Azure Batch 또는 클라우드에 HPC VM이 있는 하이브리드 환경)를 고려합니다.

권장 사항

  • Azure CycleCloud를 사용하는 경우 암호화가 포함된 기본 제공 데이터베이스, Microsoft Entra ID 또는 LDAP(Lightweight Directory Access Protocol)의 세 가지 인증 방법이 있습니다. 자세한 내용은 사용자 인증을 참조하세요. Azure CycleCloud의 서비스 주체에 대한 자세한 내용은 서비스 주체 사용을 참조 하세요.
  • Batch를 사용하는 경우 통합 인증 또는 서비스 원칙이라는 두 가지 방법으로 Microsoft Entra ID로 인증할 수 있습니다. 이러한 다양한 방법을 사용하는 방법에 대한 자세한 내용은 Azure Batch 인증을 참조하세요. Batch 서비스 모드가 아닌 사용자 구독 모드 를 사용하는 경우 구독에 액세스할 수 있도록 Batch에 대한 액세스 권한을 부여합니다. 자세한 내용은 Batch가 구독에 액세스하도록 허용을 참조 하세요.
  • 온-프레미스 기능을 하이브리드 환경으로 확장하려는 경우 Azure에서 호스트되는 읽기 전용 do기본 컨트롤러를 사용하여 Active Directory를 통해 인증할 수 있습니다. 이 방법은 링크 간 트래픽을 최소화합니다. 이 통합은 사용자가 기존 자격 증명을 사용하여 관리되는 do기본 연결된 서비스 및 애플리케이션에 로그인하는 방법을 제공합니다. 또한 기존 그룹과 사용자 계정을 사용하여 리소스에 대한 액세스를 보호할 수 있습니다. 이러한 기능은 온-프레미스 리소스를 Azure로 원활하게 리프트 앤 시프트할 수 있도록 합니다.

자세한 내용은 랜딩 존에 대한 플랫폼 액세스 및 Azure ID 및 액세스에 대한 디자인 권장 사항을 참조하세요.

다음 단계

다음 문서에서는 클라우드 채택 프로세스의 다양한 단계에 대한 지침을 제공합니다. 이러한 리소스는 클라우드용 금융 부문 HPC 환경을 성공적으로 채택하는 데 도움이 될 수 있습니다.