1.25k likes | 3.84k Views
Microsoft Windows Azure 표준 제안서. IaaS (Infrastructure as a Service) . 목차. Microsoft Public Cloud 소개 구성 (Architecture) 가상 컴퓨터 (Virtual Machines) 데이터 서비스 (Data Services) 네트워크 (Networking) 관리 및 모니터링 보안 기술지원. Microsoft 의 서비스 영역 Microsoft 데이터 센터 Microsoft Azure 데이터 센터
E N D
Microsoft Windows Azure 표준 제안서 IaaS (Infrastructure as a Service)
목차 Microsoft Public Cloud 소개 구성 (Architecture) 가상 컴퓨터 (Virtual Machines) 데이터서비스 (Data Services) 네트워크 (Networking) 관리 및 모니터링 보안 기술지원 • Microsoft 의 서비스 영역 • Microsoft 데이터 센터 • Microsoft Azure 데이터 센터 • Microsoft Azure CDN Edge node
Microsoft Public Cloud 소개 Microsoft 의 서비스 영역 패키지 소프트웨어 Software (as a Service) Platform (as a Service) Infrastructure (as a Service) Applications Applications You manage Applications Applications Data Data You manage Data Data Runtime Runtime Runtime Runtime Managed by vendor Middleware Middleware You manage Middleware Middleware Managed by vendor O/S O/S O/S O/S Virtualization Virtualization Virtualization Virtualization Managed by vendor Servers Servers Servers Servers Storage Storage Storage Storage Networking Networking Networking Networking
Microsoft Public Cloud 소개 World Wide 서비스를 위한 데이터 센터 운영 • Mail, Game Platform, Bing 등 다양한 서비스들을 일반 고객에게 제공 • 데이터 센터 운영 능력과 오래된 경험을 바탕으로 안정적인 서비스 제공 Microsoft 데이터 센터
Microsoft Public Cloud Asia-Pacific Europe Americas Region China China Sub-Region West US Sub-Region East US Sub-Region West Europe Sub-Region North Europe Sub-Region East Asia Sub-Region N. Central US Sub-Region S. Central US Sub-Region Southeast Asia CDN Node Major Data Center Data center
Microsoft Public Cloud Asia-Pacific Europe Americas Region CDN Node Major Data Center Data center
목차 Microsoft Public Cloud 소개 구성 (Architecture) 가상 컴퓨터 (Virtual Machines) 데이터서비스 (Data Services) 네트워크 (Networking) 관리 및 모니터링 보안 기술지원 • Windows Azure 구성
Windows Azure 구성 Windows Azure 컴퓨팅, 스토리지 및 네트워크 서비스 비즈니스를 위한 Public Cloud 기반 가상컴퓨터, 저장 공간 그리고 네트워크를 서비스 형태로 제공
Windows Azure 구성 Windows Azure서비스 환경 관리 / 모니터링 서비스 비즈니스를 위한 Public Cloud 기반 가상컴퓨터, 저장 공간 그리고 네트워크를 서비스 형태로 제공
목차 Microsoft Public Cloud 소개 구성 (Architecture) 가상 컴퓨터 (Virtual Machines) 데이터서비스 (Data Services) 네트워크 (Networking) 관리 및 모니터링 보안 기술지원 • 가상 컴퓨터 관련 자원 • 운영체제및 가상컴퓨터 사이즈 • 신속한 가상 컴퓨터 생성 • 신속한 가상 컴퓨터 생성 환경 제공 • 디스크 (Disk)를 이용한 Hyper-V 이미지 이관(migration) 방안 • 고 가용성 확보 방안 • 데이터베이스 고 가용성 및 DR 구성 방안 • 서비스 부하 증감에 대한 대응 방안 • 서비스 수평 확장 방안
Windows Azure 가상 컴퓨터 (Virtual Machines) 가상 컴퓨터의 장점 • 기존 어플리케이션 클라우드로 확장 용이성 제공 • Windows Azure에 가상 컴퓨터는 운영체제 데이터를 포함합니다. • 데이터 디스크를 가상 컴퓨터에 연결하여 응용프로그램 데이터를 안전하게 저장합니다. • 기존 응용프로그램 변경 없이 쉽게 Windows Azure로 이관이 가능합니다. • 견고한 운영체제 데이터 저장소 제공 • 사용자에의 한 운영체제에 대한 설정 변경 등은 Windows Azure 저장소에 반영되어 영구 보존 됩니다. • 사용자에 의한 운영체제 관리 및 통제 • 사용자는 관리자로서 원격으로 가상 컴퓨터에 접속하여 유지보수와 문제 해결을 직접 수행할 수 있습니다. • Windows Azure에서 운영체제 데이터에 대한 관리와 설정은 사용자가 직접 수행한 인스턴스에만 적용 됩니다. • 가상 컴퓨터의 운영 체제 및 응용프로그램에 대한 유지보수는 서비스 사용자에 의해 수행되어야 합니다. • 운영체제 패치, 데이터 백업, 어플리케이션 이중화 등에 대한 관리자가 필요합니다. 사용자가서비스를 제공하기 위한 운영체제와 운영체제에 대한 제어 및 관리가 가능한 클라우드 자원
Windows Azure 가상 컴퓨터 (Virtual Machines) 디스크와 이미지 • 디스크 (Disk) • Windows Azure의 BLOBs Storage에 page blob 형식의 VHD 파일을 사용하여 가상 컴퓨터가 Volume Disk로 사용할 수 있습니다. • VHD 파일을 가상 컴퓨터의 디스크로 사용되며, 이는 영구적인 (persistent) 데이터 저장이 가능합니다. • (Fixed) VHD에 담겨있는 데이터뿐만 아니라 OS도 Azure가 인식하여 사용할 수 있습니다. • Hyper-V의 VHD 파일을 Windows Azure에 upload하여 디스크 또는 이미지로 만들어 활용이 가능합니다. • Disk로 등록된 VHD 파일은 Blob Storage에서 바로 삭제가 되지 않도록 안전 장치가 마련되어 있습니다. • 디스크종류 • OS Disk: 운영체제 및 관련 파일을 저장하는 디스크로 영구적인 데이터 저장을 지원합니다. • Temporary Storage Disk: 가상컴퓨터의 임의 데이터 저장용, 휘발성 디스크 입니다. • Data Disk: (최대 1023GB) 추가 디스크 볼륨으로 영구적인 데이터 저장을 지원합니다. 가상 컴퓨터 관련 자원 [ VHD를 upload하여 Disk 생성 ]
Windows Azure 가상 컴퓨터 (Virtual Machines) 디스크와 이미지 • 가상컴퓨터의 모든 디스크와 이미지는 원본을 포함한 3벌의 데이터를 항상 유지 • 가상 컴퓨터 인스턴스와 관련된 디스크에 대한 추가적 백업 작업을 최소화 할 수 있습니다. • 이미지(Images) • VHD 파일을 하나의 템플릿처럼 사용하여 새로운 가상 컴퓨터를 생성할 수 있는 라이브러리를 의미 합니다. • Windows Azure는 기본적으로 Windows 계열과 Linux 계열의 라이브러리를 제공합니다. • 또는 VM DEPOT을 활용하여 Linux 기반의 다양한 이미지를 활용하여 가상 컴퓨터를 구성할 수 있습니다. • 이미지로 등록된 VHD 파일은 Blob Storage에서 바로 삭제가 되지 않도록 안전 장치가 마련되어 있습니다. • Sys-Prepped/Generalized/Read Only • Created by uploading or by capture • 이미지 제공 (Image Provider) • Microsoft (운영체제 라이선스 및 S/W 비용은 과금에 포함되어 청구 됨) • Windows Server 2008 R2 / 2012 • Windows Server + SQL Server 2012 (Web, Standard, Enterprise Edition) • Windows Server + Biz Talk 2013 • User • 사용자 정의 이미지 가상 컴퓨터 관련 자원 • Partner • Cent OS • Ubuntu • SUSE [ VM DEPOT이 제공하는 이미지]
Windows Azure 가상 컴퓨터 (Virtual Machines) 운영체제 및 가상컴퓨터 사이즈 Windows Server 2008 R2 Windows Server 2012 • OpenSUSE 12.1 • CentOS 6.2 • Ubuntu 12.04 • SUSE Linux Enterprise Server 11 SP2 Windows Linux
Windows Azure 가상 컴퓨터 (Virtual Machines) 신속한 가상 컴퓨터 생성 환경 제공 • Windows Azure 포털을 통해 쉽게 신규 가상 컴퓨터 생성 • 즉각적인 시스템 증설 1. OS 선택 2. 시스템 계정 및 VM 사이즈 설정 3. DNS 이름 및 데이터 센터 선택 4. 가용 집합 구성 (생성 완료)
Windows Azure 가상 컴퓨터 (Virtual Machines) 디스크(Disk)를 이용한 Hyper-V 이미지 이관(migration) 방안 On-Premises 가상 컴퓨터 컴퓨터 이름: APPSRV1 메모리: 8 GB 코어: 4 포트: 80/443 (http/https) 클라우드 가상 컴퓨터 DNS: myapp1.cloudapp.net On-premise 에서 Cloud로 이관 이관과정 1) VHDs 업로드 2) VM 생성 OS 디스크 = APP-OS.vhd 3) 데이터 디스크 설정 Data Disk 1 = APP-Data.vhd Data Disk 2= App-Logs.vhd 4) 디스크 볼륨 문자열에 따른 설정 변경 5) 서비스 관련 포트 개방 80, TCP, http 443, TCP, https Azure 가상 컴퓨터 컴퓨터 이름: appsrv1 • 메모리: 7 GB 코어: 4 TCP 엔드포인트 80와 443 등록 Guest: C:\ Host: C:\VMs\APP-OS.vhd Windows Azure Storage Guest: C:\ WAStorage\VMs\APP-OS.vhd Guest: D:\ Host: D:\VMs\APP-Data.vhd Guest: E:\ WAStorage\VMs\APP-Data.vhd Guest: E:\ Host: E:\VMs\APP-Logs.vhd Guest: F:\ WAStorageVMs\APP-Logs.vhd
Windows Azure 가상 컴퓨터 (Virtual Machines) 고가용성 확보 방안 • 가용집합 (Availability Set) 구성 • 사용자가 서비스 중인 가상컴퓨터의 고 가용성 설정 • 사용자의 응용프로그램을 다수의 가상 컴퓨터에서 운영하여 서비스의 가용성을 네트워크 장애, 디스크 하드웨어 장애 또는 서비스 다운 타임에 대해 고 가용성 확보 • 가용 집합을 구성하여 Fault Domain과 Update Domain의 장애 최소화 • Fault Domain • 네트워크 스위치 또는 렉(Rack)의 전원 손실로 인한 Single Point ofFailure를 방지가 가능하여, 렉 수준의 이중화 구성이 가능합니다. • 다중의 가상 컴퓨터를 사용하여 Fault Domain을 구성하면 물리적으로 떨어진 서로 다른 렉에 가상 컴퓨터를 구성할 수 있습니다. • Update Domain • 응용프로그램 또는 서비스를 호스트하는인스턴스의 업데이트로 인해 발생할 수 있는 장애에 대한 방지책을 제공합니다. • 다중의 가상 컴퓨터를 논리적으로 구분하여 모든 가상 컴퓨터가 동시에 업데이트되어 재부팅되지 않도록 방지합니다. • 가용 집합 (Availability Set)과 함께 Load Balancer를 구성하여 가용성 향상 • Load Balancer 참고 [ 가상 컴퓨터 가용 집합 구성 ]
Windows Azure 가상 컴퓨터 (Virtual Machines) 데이터베이스 고 가용성 및 DR 구성 방안 • Virtual Machines에 설치된 SQL Server 고 가용성 (HA) 구성 • SQL Server DB Mirroring 또는 AlwaysOn적용 • SQL Server 2008 R2 또는 SQL Server 2012의 고 가용성 확보를 위한 DB Mirroring구성의 예 • Azure의 가상 컴퓨터와 SQL Server 의 미러링 구성으로 데이터베이스에 대한 고 가용성을 제공합니다. • 가상 네트워크 (Virtual Network) 구성, Multi-subnet 을 구성하여 DB를 설치합니다. • 1개의 DC (Domain Controller)와 3개의 SQL Server를 가상 네트워크에 구성합니다. • 3개의 SQL Server 가상컴퓨터 (주 서버, 미러 서버, witness 서버)를 back end subnet에 구성합니다. • 주서버와 미러 서버는 실시간 동기화되어 데이터에 대한 정합성을 보장하며, 주 서버 장애로 인해 서비스가 다운될시 신속하게 미러 서버가 주 서버 역할을 대신하여 요청을 처리 할 수 있습니다. • On-premise와 Public Cloud상의 Virtual Machines간의 DR 구성 • SQL Server 2012의 AlwaysOn기반 DR 구성 • On-premise와 Azure 간에 Site-to-SiteVPN(Virtual Private Network)를 구성하고 on-premise 의 DC (Domain Controller)를 통해 Azure 상의 가상 컴퓨터에서 운영되는 서비스에 대한 인증을 처리 합니다. (VPN 참고) • On-premise에 구성되어있는 AlwaysOn가용 그룹에 Azure 상에서 운영되는 가상 컴퓨터를 새로운 노드로 추가하여 DR 구성을 할 수 있습니다. • Azure 상의 가상컴퓨터는 on-premise의 비동기 노드로 구성하여 유사시 데이터 손실에 대해 최소화 할 수 있는 DR 구성이 가능합니다. Domain Controller Witness 서버 Virtual Network 주 서버 미러 서버 Sync [ Hybrid 방식의 데이터베이스 DR 구성] [ Azure에서 DB Mirroring 구성]
Windows Azure 가상 컴퓨터 (Virtual Machines) 서비스 부하 증감에 대한 대응 방안 • 가상 컴퓨터 사이즈 조절 (Scale-Up) • 명시적으로 가상 컴퓨터의 사이즈 변경 가능 • 가상 컴퓨터의 설정 메뉴 중 ‘가상 컴퓨터 사이즈 (Virtual Machine Size)’ 에서 사이즈 변경이 가능합니다. • 설정을 변경하고 적용 (Save)를 하게되면 즉각적으로 사이즈 변경이 시작됩니다. • 사이즈 변경을 위해 가상 컴퓨터는 일시적으로 서비스가 중단됩니다. • 서비스 중단에 대비하여 가용 그룹과 LB 적용을 통해 서비스 중단을 최소화 할 수 있습니다. • 가상 컴퓨터 사이즈 변경은 상향/하향 모두 가능 • 가상 컴퓨터 수평 확장 (Scale-Out) 참고 • Azure가 제공하는 LB 구성으로 Application 수평 확장 • 효과적인 수평 확장을 위해 Caching활용 • 잦은 읽기 데이터 집합에 대한 Caching으로 수평 확장시 신규 가상 컴퓨터가 기존 가상 컴퓨터와 데이터 공유를 신속하게 할 수 있도록 구성이 가능합니다. • Image를 활용한 신속한 수평 확장 가능 • 자주 사용하는 가상 컴퓨터 이미지를 사전에 등록하여 신속한 수평 확장이 가능합니다. • 가상 컴퓨터 인스턴스를Syspre하여 Image로 등록할 수 있습니다. (이미지 참고) [ 가상 컴퓨터 사이즈 변경 ]
Windows Azure 가상 컴퓨터 (Virtual Machines) 서비스 수평 확장 방안 • LB (Load Balancer)를통한 부하 분산과 장애 극복 • Azure의 LB를 활용하여 서비스의 성능 향상과 고 가용성 제공 • 부하 분산 • Round Robin 방식으로 서비스의 요청을 여러 가상 컴퓨터에 분산하여 서비스 요청을 처리합니다. • 각 가상 컴퓨터의 끝점 (End Point)를추가하여 여러대의 가상 컴퓨터가 동일한 서비스 요청을 받아 처리 합니다. • 새로운 가상 컴퓨터를 생성하여 추가로 부하를 분산 시킬 수 있습니다. • 고 가용성 • 장애로 가상 컴퓨터 중 한 대가 중단 되더라도 전체 서비스와 서비스 요청의 처리는 다른 가상 컴퓨터 수용되어 처리 됩니다. • 장애가 발생한 가상 컴퓨터가 자동으로 복구되면 다시 자동으로 LB가 인식해서 복구된 가상 컴퓨터를 사용할 수 있게 됩니다. Internet 요청 Azure Port80 공용 VIP(가상 IP) 주소 168.63.212.227 LB Port80 Port80 Port80 100.80.38.3 100.80.8.16 10.62.252.47 VM 01 VM 02 VM 03 [ LB 구성의 예 ]
목차 Microsoft Public Cloud 소개 구성 (Architecture) 가상 컴퓨터 (Virtual Machines) 데이터서비스 (Data Services) 네트워크 (Networking) 관리 및 모니터링 보안 기술지원 • BLOB Storage 소개 • BLOB Storage 서비스 구조 • 접근 제어 방안 • 고 가용성 제공 방안
Windows Azure 데이터 서비스 (Data Services) 대용량 비정형 데이터 또는 텍스트 저장 공간 • 수백 GB에 이르는 파일 또는 수백 TB의 데이터가 저장되어 있는 파일들을 REST API를 통해 언제 어디서나 접근 • 효과적으로 비정형의대량 Binary 데이터를 저장하고 빠른 속도로 읽는 구조에 적합 BLOB 스토리지를 활용할 수 있는 방안 • 이미지나 문서를 직접 브라우저를 통해 제공 • 분산된 접근을 위한 파일 저장 • Azure CDN과 연동하여 비디오 또는 오디오 스트리밍 • 안전한 백업과 재난 재해 대비 • Big Data의 원천 데이터의 저장 및 분석 BLOB 형태 (type) • Block Blob • 스트리밍에 최적화 (업로드와 다운로드) • 최대 4MB 블록으로 구성 • 고유한 Block ID에의해 Block 참조 됨 • 최대 사이즈는 200GB, 50,000 blocks으로 구성 • Page Blob • 임의의 엑세스에 최적화 (VHD) • Blob의 시작 offset에의해 참조되어지는 page들로 구성 • 최대 사이즈는 1TB로, 여러 pages 또는 단일 page로 구성 가능 BLOB Storage 소개 (1) [ Blob 관리 3rd party 솔루션 ]
Windows Azure 데이터 서비스 (Data Services) 고도의 분산 파일 시스템 • 수 백 개 이상의 스토리지에걸쳐 데이터가 분산되어 저장 • 저장된 데이터에 대한 복제 기본 구성 • 원본을 포함한 3벌의 데이터를 저장합니다. • 복제데이터들은 서로 다른 물리적인 스토리지에 무작위 방식으로 분산되어 저장됩니다. • 원본 또는 복제 데이터 중 일부가 손상되어도 항상 3벌의 데이터를 유지 합니다. • 초기 규모 산정 (Sizing) 없이 사용하는 만큼 Storage증가 • Blob 계정(Account) 당 최대 100TB의 저정공간을 제공합니다. • 여러 계정을 생성하여 저장 공간을 지속적으로 확보 할 수 있습니다. Blob 관련 주요 웹 서비스 기능 (REST API) • Put Blob: 새로운 Blob 생성 또는 컨테이너에 있는 기존의 Blob 수정(Replace) • GetBlob: 메타데이터와 속성을 포함한 데이터의 읽기 또는 다운로드 수행 • Delete Blob: Blob 삭제 • Copy Blob: 원본 Blob을 대상 blob 공간에 복사 (동일한 storage account 내에서) • SnapShot Blob: 읽기 전용 snapshot blob 파일 생성 Blob 관련 메타데이터 • 표준 HTTP 메타데이터 / 헤더 (Cach-Control, Content-Encoding, Content-Type, 등) • 메타데이터는 <이름, 값>의 쌍으로 Blob 당 최대 8KB까지 확장 가능 BLOB Storage 소개 (2) [ Http Header 관리 ] [ BLOB관련 메타데이터 ]
Windows Azure 데이터 서비스 (Data Services) 계정 (Account) • Windows Azure Storage에 대한 모든 접근은 스토리지 계정통해 이루어 짐 • 계정 사이즈는 100TB로 제한이 있으나 계정의 컨테이너 수에는 제한이 없음 • 계정별 최대 60MB/Sec의 성능을 제공 • 파일을 여러 계정을 통해 사용하는 경우 Scale-out 효과를 기대할 수 있습니다. • 여러 계정을 생성하고 각 계정별VHD를 VM과 연동하는 경우 IO를 계정별로 분산시켜 성능 향상을 제공합니다. 컨테이너 (Container) • Blob 집합의 그룹으로 Blob은 반드시 컨테이너에 포함되어야 함 • 컨테이너에 포함/저장 되는 BLOB 수는제한이 없음 블롭(Blob) • 어떤 형태든 크기든 상관없이 관리 및 저장 가능 • 저장 되는 파일 수 제한이 없음 URL 형태: 다음과 같은 URL를 사용하여 Blobs 에 접근 • http://<storage account>.blob.core.windows.net/<container>/<blob> • CNAME 지원 BLOB Storage 서비스 구조 [ BLOB Storage 구조 ] [ Azure 포털에서 BLOB 확인 ]
Windows Azure 데이터 서비스 (Data Services) 접근 제어 방안 • 컨테이너 수준에서 접근 제어 • Private • BLOB의 계정 소유자만 접근 가능합니다. • Public Blob • 컨테이너 내 BLOB에 대한 읽기 접근을공개하나, 컨테이너 속성 또는 메타데이터는 접근 불가능 하도록 설정합니다. • Public Container • 컨테이너 내 BLOB에 대한 읽기 접근과 컨테이너에 대한 접근도 가능하도록 설정합니다. • 새로운 컨테이너 생성시 기본 “private” 으로 선택되어 생성됨 • SAS (Shared Access Signatures) 접근 통제 • BLOB에대한 접근 제한 및 기간 설정 • URL에 접근 권한과 기한을 명시하여 인증 후 BLOB에 접근하도록 합니다. • 접근 기간을 설정하여 특정 기간 (시간) 동안 접근을 허용할 수 있도록 합니다. • BLOB에 대한 Read, Write, Update, Delete에 대한 동작을 제어 합니다. • SAS적용의 예 • 특정 사진 파일에 대한 읽기 권한 통제 [ container 수준의 접근 통제 ] https://myaccount.blob.core.windows.net/pictures/profile.jpg?sv=2012-02-12&st=2009-02-09&se=2009-02-10&sr=c&sp=r&si=YWJjZGVmZw%3d%3d&sig=dD80ihBh5jfNpymO5Hg1IdiJIEvHcJpCMiCMnN%2fRnbI%3d
Windows Azure 데이터 서비스 (Data Services) 고 가용성 제공 방안 • 데이터센터에 저장된 데이터 고 가용성 제공 (Local-redundancy) • 원본을 포함한 3개의 데이터 저장 • BLOB을 저장하는 데이터 센터 2벌의 추가 복제본 저장되어 실제 논리적으로 보이는 데이터 사이즈 보다 더 많은 물리적 저장공간을 사용합니다. • 데이터 센터 내 데이터 복제는 실시간으로 이루어지며, 원본 데이터의 손실 또는 장애 발생시 자동으로 복구되어 항상 3개의 데이터를 유지 합니다. • 지역 복제 (Geo-redundancy) • BLOB을 저장하는 데이터 센터 외 지리적으로 멀리 떨어져 있는 데이터센터에 추가적인 복제본을 구성 • 지역복제를 활성화한 Storage Account의 모든 데이터는 원본을 포함한 6개의 데이터가 두 데이터센터에 각 3벌씩 나누어 저장됩니다. • Storage Account 생성시 ‘지역 복제’ 활성화가 기본 설정 • 추후 옵션으로 ON/OFF 조정이 가능합니다. • 비동기 방식으로 복제가 이루어 지며, 대륙내 다른 지역의 데이터센터로 복제됨 • 예) 홍콩 데이터센터에 BLOB 저장시, 지역 복제가 활성화 되어 있다면싱가폴 데이터센터로 복제가 자동으로 구성됩니다. [ 데이터 복제 ] [ 두 데이터 센터간 복제 ]
목차 Microsoft Public Cloud 소개 구성 (Architecture) 가상 컴퓨터 (Virtual Machines) 데이터서비스 (Data Services) 네트워크 (Networking) 관리 및 모니터링 보안 기술지원 • Windows Azure End Point • Windows Azure Virtual Network • Site-to-Site VPN을 활용한 Hybrid Cloud 구성 방안 • Windows Azure Virtual Network 관리 방안 • Windows Azure Traffic Manager
Windows Azure Network 가상 컴퓨터 및 서비스 인스턴스 보안을 위한 방화벽 (Firewall) • White list 기반 방화벽으로 가상 컴퓨터에 대한 TCP, UDP 통신 제어 • 최대 25개의 Port까지 개방 가능 • TCP와 UDP에 대한 명시적인 포트 25개까지 관리 가능합니다. • 가상 컴퓨터를 최초 생성시 원격 데스크탑 포트 1개만 활성화 됩니다. • Web, Database 등 서비스의 포트는 관리자에의해 등록되어야 합니다. Endpoint를 등록하지 않는 경우 Azure 데이터센터 외부의 모든 traffic에 대한 수신을 원천 봉쇄 Port redirection 제공하여 실제 서비스 포트의 인터넷에 노출을 최소화 Windows Azure End Point Internet Azure https 443 http 80 http 80 사용자 ww.test.net http http https https 8080 관리자 [ Port Redirection]
Windows Azure Network 가상사설네트워크 (Private Network) • 클라우드 데이터 센터 내부에 논리적으로 구분된 가상 네트워크 구성 • IPv4 기반 가상 네트워크는 DHCP자동 구성되어, IP 주소를 별도로 관리 하실 필요가 없습니다. • 따라서, 가상 컴퓨터의 IP 주소를 Static 으로 변경은 지원하지 않습니다. • 각 네트워크의 1~3번은 사전에 예약되어 사용자가 사용할 수 없습니다. • 4번부터 프로비저닝되는 가상 컴퓨터 순서대로 IP 주소를 할당합니다. • 중간에 비어있는 주소는 자동으로 IP 주소가 할당되고 그 다음 주소부터 IP 주소가 할당 됩니다. • 가상 컴퓨터간의 통신을 위한 논리적 네트워크 구성 • 가상 네트워크 상의 가상 컴퓨터 간 통신은 사설 IP 주소로 가능합니다. • 다중 subnet을 구성하여 서비스 자원들의 구분이 가능합니다. • 가상 네트워크상의 가상 컴퓨터보호 (숨김) • 가상 네트워크에 가입되어 있는 가상 컴퓨터에 대해 inbound traffic을 차단할 수 있습니다. • 따라서 가상 사설 네트워크상에 DMZ 구역을 설정하여 가상 컴퓨터를 외부로부터 보호할 수 있는 구성이 가능합니다. Windows Azure Virtual Network Firewall Azure Virtual Network 차단 허용 Subnet 1 Web Service 허용 Subnet 2 Database [ Private Network 구성 및 관리] [ 가상 컴퓨터 보호 방안 ]
Windows Azure Network Site-to-Site VPN을 활용한 Hybrid Cloud 구성 방안 • 클라우드 데이터센터와 on-premise 데이터 센터 간의 연동 • VPN 구성을 위해 마이크로소프트의 인증받은 VPN 장비 사용을 권장합니다. • Azure와 On-premise 데이터센터 간의 IPSec기반 안전한 보안 채널을 구성하여 논리적으로 통합된 네트워크를 확보 할 수 있습니다. • Azure와 on-premise 간의 IT 자원 공유 • AD 기반 인증, 어플리케이션 간의 통신 및 데이터베이스 접근 등이 가능합니다. • VPN을 구성하기 위한 VPN 장비 요건 • IKE v1 • AES 128, 256 • SHA1, SHA2 • Microsoft 에서 인증 받은 VPN 장비 Cisco Juniper [ Site-to-Site 개념 ]
Windows Azure Network Windows Azure Virtual Network 관리방안 • 생성 • 가상 네트워크 관리를 위한 이름과 주소 대역을 설정하여 생성 • 사설망 주소 지원 대역 • 10.0.0.0 ~ 10.0.255.255 • 172.16.0.0 ~ 172.16.255.255 • 192.168.0.0 ~ 192.168.255.255 • 각 대역별 최대 65536 개의 IP 주소 할당 가능 • 네트워크 구성 시 Affinity Group사용 • 가상 네트워크에 가상 컴퓨터를 추가하는 경우 동일한 Affinity Group으로 지정해야 합니다. • 구성관리 • Windows Azure 포털을 통한 직관적인 가상 네트워크 관리 • 이미 설정된 가상 네트워크에 새로운 Subnet (네트워크 대역)추가가 가능합니다. • DNS 서버와 서버의 IP 주소 관리를 위한 메뉴를 제공합니다. • 가상 네트워크 상의 가상 컴퓨터 및 해당 IP에 정보 확인 • 가상 네트워크 구성 정보를 XML 형태로 내보내기 또는 불러오기하여 구성 가능 [ Private Network 생성과 관리 ] [ Private Network 설정 XML 추출 ]
Windows Azure Traffic Manager 글로벌 서비스를 위해 각 지역별 데이터센터에서 서비스를 운영할 때 서비스 사이의 요청을 제어 DNS 기반의 트래픽 매니저 정책 • Performance: 가상 머신의 응답속도 (ms)기준 • Round-Robin: 여러 가상 머신을 순서대로 돌아가며 서비스 • Failover: 장애가 발생한경우 자동으로 유효 서비스로 요청을 자동 전달 기대 효과 • 응용프로그램 서비스 및 성능 향상 • 사용자 요청을 가장 가깝고 성능 좋은 곳으로 연결하여 속도 향상 • 서로 다른 사용자가 여러 지역에서 접속을 시도하는 경우 최적의 서비스를 찾아 자동으로 사용자에게 연결합니다. • 응용프로그램의 가용성 향상 • 서비스가 정상적이지 않을 경우 다른 쪽으로 요청 전달(Redirection) 가능 글로벌 서비스를 위해 각 지역별 데이터센터에서 서비스를 운영할 때 서비스 사이의 요청을 제어 www.foo.com CNAME • Load-balancing • Endpoint monitoring foo.trafficmgr.cloudapp.net Policies [ TrafficManager] Hosted Service Hosted Service Hosted Service
목차 Microsoft Public Cloud 소개 구성 (Architecture) 가상 컴퓨터 (Virtual Machines) 데이터서비스 (Data Services) 네트워크 (Networking) 관리 및 모니터링 보안 기술지원 • 클라우드 자원 관리 (Resources Managements) • 클라우드 자원 관리 방안 • 클라우드 서비스 사용자 관리 방안 • 클라우드 서비스 모니터링 방안 제공 • 클라우드 서비스 감독 방안 제공 • 가시적인 클라우드 서비스 모니터링 방안
Windows Azure 관리 및 모니터링 다양한관리 방안 제공 • Web browser 기반의 Windows Azure Management 포털 • Script 기반의 PowerShell 클라우드 자원 관리 (Resources Managements) • 일반 사용자를 위한 직관적인 인터페이스와 다국어 (한글, 영어, 중국어, 일본어, 등 11개 언어) 를 지원 합니다. • 전체 메뉴에서 세부적인 서비스 별 메뉴까지 터치 또는 마우스 클릭으로 관리 할 수 있는 환경을 제공합니다. • HTML 5 기반으로 PC 뿐만 아니라 Mobile 및 Device에서 서비스 관리 및 모니터링이 가능합니다. • 기본 적인 신규 서비스 생성과 삭제 뿐만 아니라, 서비스와 관련된 데이터, BLOB 등 세부적인 내용 확인이 가능합니다. • 전문가를 위한 Script 기반의 관리 환경을 제공합니다. • PowerShell을 통해서 모든 Azure의 서버스 구성이 가능합니다. • 서비스 생성과 삭제뿐만 아니라 한 번에 여러 가상 컴퓨터나 관련 서비스를 주기적으로 실행할 때 용이합니다. • 자주 사용하는 명령에 대해서는 사전에 Script를 생성해 두고 사용 할 수 있는 높은 재사용성을 제공합니다.
Windows Azure 관리 및 모니터링 클라우드 자원 관리 방안 • Windows Azure Management Portal에서 시스템 모니터링 • 가상 컴퓨터 생성 및 삭제 등 GUI 환경에서 클라우드 자원을 쉽고 신속하게 관리할 수 있도록 함 • HTML5 기반으로 다양한 Web Browser와 호환성 제공, Desktop, Mobile 또는 Tablet 등 다양한 환경에서 서비스를 관리할 수 있음 • 가상컴퓨터 자원 관리 • 서버생성 후 재시작, 종료에 대한 명령을 수행 할 수 있습니다. • 새로운 Volume Disk 또는 기존 Disk 를추가/삭제 할 수 있습니다. • Capture를 이용하면 Azure 상에 syspre된 가상 컴퓨터를 이미지 (Image)로 등록하여 사용할 수 있습니다. 동일한 가상 컴퓨터를 여러대 생성할 때 사용합니다. • 가상컴퓨터 보안 관리 • 인터넷을 통해서 가상컴퓨터에 접속하기 위한 방화벽 정책을 관리 합니다. White list 를 작성하며 최대 25개의 port를 공개 할 수 있습니다. (보안 참고) [ Azure 포털 상의 가상 컴퓨터 관리메뉴 ]
Windows Azure 관리 및 모니터링 클라우드 서비스 사용자 관리 방안 • 사용자 및 관리자 등록/삭제 • Azure에 등록한 사용자의 email 주소를 등록하여 서비스 관리자 등록/삭제 추가 [ Azure 포털 메뉴에서 Azure 관리자 추가 ]
Windows Azure 관리 및 모니터링 클라우드 서비스 모니터링 방안 제공 • Azure 포털에서 가상컴퓨터 자원 사용률 모니터링 • 기본적인 CPU, Network 그리고 Disk 사용률 정보 제공 • 1시간, 24시간 그리고 7일 단위 모니터링 도구 제공 [ Azure 포털의 가상 컴퓨터 모니터 ]
Windows Azure 관리 및 모니터링 클라우드 서비스 감독 방안 제공 • Azure 포털에서서비스를 구독하는 구독자별 Cloud Service와 Blob 에 대한 사용 기록 제공 • 서비스생성, 수정 그리고 삭제에 대한 모든 행위를 자동으로 기록하여 제공 • 최대 지난 7일 간의 로그를 날짜별 검색 가능 [ Azure 사용 로그 ]
Windows Azure 관리 및 모니터링 System Center를 이용한 Windows Azure 통합 관리 고객의데이터 센터 및 Private 클라우드를 관리하는 System Center를 이용하여 Windows Azure를 통합 관리할 수 있습니다. 하나의 관리 도구 및 화면으로 필요한 컴퓨팅 자원을 Private 및 Public 클라우드에 생성하고, 모니터링 할 수 있으며, 필요에 따라 가상 컴퓨터를 Private 클라우드과 Private 클라우드로 이동할 수 있습니다. Azure IaaS Azure PaaS 사용자 관리 다 수의 Windows AzureSubscription을 통합 관리할 수 있도록 하고 사내 사용자들에게 권한 위임하여 사용자들이 동일한 subscription을사용할 수 있도록 합니다. 서비스 생성 / 관리 사용자들이 필요에 따라 Private 및 Public 클라우드에 필요한 컴퓨팅 자원을 생성할 수 있도록 합니다. App Controller 이동 • PaaS는 Azure에서만 • 동작합니다. 사용자가 가상 머신을Pirvate클라우드에서 Public 클라우드로 이동하거나 그 반대로 이동할 수 있도록 합니다. 자동화 워크플로우를 이용하여 관리자의 Azure 관리 작업을 자동화 할 수 있도록 합니다. Orchestrator 모니터링 Azure에서 동작하는 서비스 및 가상머신의 상태나 성능 모니터링을 제공합니다. Operations Manager 구성 관리 PaaS에서는 구성관리가 필요 없습니다. 기존 기업 데이터센터의 서버와 동일한 방식으로 AzureIaaS가상 머신에 대한 소프트웨어 배포, 패치, 구성관리 기능을 제공합니다. Configuration Manager
Windows Azure 관리 및 모니터링 Public 클라우드와 Private 클라우드의 통합 관리 셀프서비스 포털 제공 Subscription 통합 관리 서비스 및 가상 머신생성 System Center의 App Controller 컴포넌트는 사용자가 하나의 관리 도구 및 화면으로 Public 클라우드와 Private 클라우드관리할 수 있는 기능을 제공합니다. 클라우드사용자가 신규 서비스나 가상 머신을 생성할 때, Private 및 Public 클라우드어디에나 생성할 수 있는 통합 관리 기능을 제공합니다. 사용자는 Private 및 Public 클라우드에 동시 가입하여 사용할 수 있으며, 또한 Windows Azure의 Subscription을 사내의 사용자들에게 위임하여 다수의 기업 내부 사용자가 동일한Windows Azure의 Subscription을 동시에 이용할 수 있도록 해 줍니다. 가상 머신의클라우드간이동 하나의 화면에모든 자원관리 사용자는 하나의 화면에서 Private 및 Public 클라우드의 가상 머신을 관리 할 수 있습니다. 사용자는 필요에 따라 Private 클라우드에 존재하는 가상 머신을Windows Azure로 이동하여 Windows Azure의 IaaSVM으로 만들어 사용할 수 있습니다.
Windows Azure 관리 및 모니터링 Public 클라우드와 Private 클라우드의 통합 모니터링 System Center Operations Manager에서 기존 데이터센터의 서버 및 서비스와 Windows Azure서비스 또는 가상 머신을 동일한 화면에서 모니터링할 수 있도록 지원합니다. Private 및 Public 클라우드통합 모니터링 하이브리드클라우드서비스 통합 모니터링 하이브리드클라우드로 구성된 서비스 모니터링 Windows Azure 상의 IaaS가상 머신은 기존 데이터센터의 서버와 동일하게 모니터링 하며, Windows Azure의 PaaS서비스는 Role 기반으로 서비스 상태 및 성능을 모니터링 합니다. 사용자 접근성감시 시스템 Windows Azure 시스템 고객사 데이터센터 시스템 Public 클라우드상의 가상머신과 고객사의 데이터센터의 시스템으로 구성된 하이브리드 클라우드 서비스의 모니터링도 통합적으로 제공됩니다. 또한, 일반 사용자의 실제 접근성에 대해서도 모의 트랜잭션을 이용하여 검증하여 서비스의 이상 여부를 확실하게 검증할 수 있는 통합 모니터링 기능을 제공합니다. 기존 데이터센터의 서버와 서비스의 상태 및 성능 보고서와 동일하게 Windows Azure상의 서비스나 가상 머신에 대해 보고서를 제공합니다.
Windows Azure 관리 및 모니터링 Public 클라우드와 Private 클라우드의 관리 자동화 System Center Orchestrator에서 관리자에 의한 Windows Azure관리를 자동화 할 수 있는 기능을 제공하며, 기존 데이터의 자동화와 연동하여 통합 관리 자동화를 구현할 수 있습니다. Windows Azure 자동화 관리 기능 사용자의 요청 및 변경 요청 자동화 System Center Orchestrator는 Azure Integration Pack을 이용하여 관리자가 수행하는 업무 단위를 나열하여 자동화 워크플로우를 만들 수 있도록 지원합니다. 사용자가 System Center App Controller 셀프서비스 포털을 이용해서 직접 관리하는 방법과 더불어 System Center Service Manager의 포털을 통해 Windows Azure 서비스의 추가/삭제/변경 요청을 받고, 이를 System Center Orchestrator로 자동화 할 수 있습니다. Private 클라우드 상의 가상 머신을 Windows Azure이 이동하거나 반대로 Private 클라우드로 이동하는 것도 웹을 통한 사용자의 요청을 받고 이를 System Center Orchestrator로 자동화 할 수 있습니다. 관리 인증서 및 서비스 인증서를 추가/삭제/리스트 클라우드 서비스 생성/삭제, 이름 가용 여부 검증 등 서비스 배포에 대한 상세 관리 기능 수행 스토리지 계정 추가/삭제, Blob 및 컨테이너 관리 등 가상 머신 디스크 추가/삭제 등의 관리 가상 머신의 운영체제 이미지 관리 가상 머신의 추가/삭제, 시작/중단, 업데이트 등
목차 Microsoft Public Cloud 소개 구성 (Architecture) 가상 컴퓨터 (Virtual Machines) 데이터서비스 (Data Services) 네트워크 (Networking) 관리 및 모니터링 보안 기술지원 • Windows Azure 보안 전략 • Windows Azure 관련 보안 영역 • 데이터 센터 물리적 보안네트워크 보안 • 네트워크 보안 • 관리자 및 사용자 인증과 권한 통제 • 가상 컴퓨터 보안 • 어플리케이션 보안 지원 • 안전한 데이터 보호 방안 • Microsoft Endpoint Protection for Windows Azure • IT 규제 인증 현황
Windows Azure 보안 전략 Public Cloud에 제공되고 있는 다양한 보안 기능 및 전략 제공 Managed Code Access Security: partial trust Windows Azure 보안 전략 개요 Windows Account: running with least privileges • Spoofing • VLANs, Top of Rack Switches, Custom packet filtering 등 • Port Scanning/ Service Enumeration • Service Definition file, Windows Firewall, VM switch packet filtering 등 • Tampering & Disclosure • VM switch hardening, Certificate Services, Shared-Access Signatures, HTTPS, Side channel protections 등 • Denial of Service • Load-balanced Infrastructure, Network bandwidth throttling, Cisco Guard enabled on Storage nodes, Configurable scale-out 등 • Elevation of Privilege • Partial Trust Runtime, Hypervisor custom sandboxing, Virtual Service Accounts 등 Windows FW(VM): Rule based on service model Virtual Machine: Fixed CPU, memory, disk resources Root Partition Packet Filter: Defense in depth against VM ”jail breaking” Windows Azure 6 Layers Security Network ACLs: Dedicated VLANS for tenant nodes
Windows Azure 관련 보안 영역 Defense-in-Depth 데이터 센터물리 보안 네트워크 인증과권한 통제 호스트보안 어플리케이션 데이타
데이터 센터 물리적 보안 24 x 7 물리적 접근 통제 동작 감시기 생체정보 기반 시설 접근 통제 24시간 감시 카메라 가동 물리적 침입 탐지 서비스 보안은 완벽한 데이터 센터 보안에서 시작 World-ClassSecurity 인증 강화 주변경계 화재 진압 장비 광범위한 관제
네트워크 보안 라우터에서 Virtual LAN (VLAN) 과 패킷 필터를 이용해 서비스 요청을 구분, Windows Azure는 인터페이스에 대한 네트워크를 통한 공격으로부터 보호 VLAN- VLAN은 FC (Fabric Controller)와 기타 장치의 구분을 위해 사용 됨- VLAN의 통신은 무조건 라우터를 거치며, 라우터를 거치지 않은 통신은 원칙적으로 불가 함- 등록된 VLAN이 아니면 통신이 불가능 패킷 필터- Azure Hyperviso와 Root OS는 네트워크 패킷 필터를 제공- 승인받지 않은 VM은 위장된 트래픽 발생 불가능- LB와 Root OS에서 패킷 필터링으로 VM에 대한 접근이 제어 됨 DoS 공격 탐지와 블로킹 대응 VLAN과 패킷 필터 네트워크 공격으로부터 보호
네트워크 보안 VM Endpoint 관리를 통한 방화벽 관리 VM Endpoint 설정 및 SQL Database IP 기반 접근 통제 • SQL Database의 IP 기반 접근 통제 • 인터넷에 노출 될 Port • 가상컴퓨터가 서비스하는 실제 Port [ 가상 컴퓨터 Port 관리] [ IP 기반 접근 통제 ]
관리자 및 사용자 인증과 권한 통제 Windows Azure 관리자 계정 관리 및 통제 • Windows Live ID 또는 Self-Signed 인증서를 통해서 인증을 통해 관리자인증 WindowsAzure Active Directory의 응용프로그램 인증 • 클라우드응용프로그램에 대한 사용자 인증 제공 • Windows Live, Google, Facebook 등 다양한 공개 인증과 연동 (Oauth) 제공 • On-premise의 AD(Active Directory)와 연계하여 클라우드에 AD 복제본을 통한 인증 제공 Azure Storage에 대한 접근 인증 및 통제 • Shared Access Signatures를 활용한 접근 통제 • 접근 기간을 설정하여 특정 기간 (시간) 동안 접근 통제 • BLOB에 대한 Read, Write, Update, Delete 에 대한 동작을 제어 강력한 계정 관리 서비스를 통한 인증과 접근 제어 서비스를 통한 서비스에 대한 접근 통제 제공 [ Azure 인증서 관리 ] [ Azure Storage접근 통제
가상 컴퓨터 보안 Windows Server의 경량화 버전 기반 • 사전 승인된 드라이버 외 사용 불가하며,GUI 미지원 • 호스트의 방화벽을 이용한 네트워크 연결 통제 Hyper-V 기반의 외부 Hypervisor에 의해 호스트의 영역이 강제화 됨 모든 Guest VM들은 네트워크와 디스크를 Root VM(via the Hypervisor)을 통해 간접적으로 접근하게 되어 Guest VM간의 통신 차단 사전에 정의 된 이미지로부터 복사본 생성,Guest VM을 새로 프로비전하여 사용 • 단, IaaS의 경우 고객의 이미지를 사용할 수 있음 Hypervisor 및 Root VM은 Microsoft에서 직접 관리 가상 컴퓨터(Guest VM)에 대한 보호와 보안을 통해 가상 컴퓨터(Guest VM)간의 간섭 차단 Root VM Guest VM Guest VM Guest VM Guest VM Hypervisor Network / Disk