주요 솔루션 설계자로서 저는 클라우드 아키텍처에 대한 논의를 항상 안정성, 민첩성, 보안과 같은 클라우드 아키텍처 원칙의 "진리의 삼각형" 또는 "거룩한 삼위일체"로 시작합니다. 이 세가지가 있어야 합니다. 문제는 그 기둥의 두 정점을 맞추는 것이 매우 간단하다는 것입니다. 하나를 치는 것은 사소한 일입니다. 아키텍처 관점에서 볼 때 XNUMX개는 대부분의 비즈니스에서 확실히 이해할 수 있지만 XNUMX개는 상당히 어렵습니다. 세 가지를 동시에 달성한다면 코드로서의 인프라인 클라우드에 대한 성숙한 아키텍처와 접근 방식을 갖게 됩니다.

다음 단계를 식별하는 데 도움이 되도록 중요한 부분을 분석하고 비즈니스에 필요한 안정적이고 민첩하며 안전한 환경을 구축하기 위한 1일차 체크리스트를 제공하겠습니다.

안정

안정성을 위해서는 좋은 연결이 필요합니다. 표준 클라우드 아키텍처를 구현하려면 좋은 연결이 필수적입니다. 이것은 하이브리드 연결을 의미합니다. 연결은 SD-WAN, 에지 플레이 또는 개인 연결이 될 수 있습니다. 일반적으로 포춘 500대 기업과 블루칩 같은 대기업에서는 에지 연결과 사설 연결이 모두 나타납니다. 

연결이 얼마나 크고 관련되어야 하는지는 비즈니스 모델에 따라 다릅니다. 연결은 다중 지역 또는 다중 클라우드 전략, 이것이 클라우드에 대중 교통 네트워크를 보유하는 것이 중요해지는 이유입니다. 그러나 파이프가 얼마나 뚱뚱한지에 관계없이 워크로드를 클라우드로 가져오려면 안정적인 인터넷 전략이 필요합니다. 대부분의 엔터프라이즈 클라우드 배포가 하이브리드이기 때문입니다. 애플리케이션 및 관련 워크로드는 온프레미스 또는 클라우드에만 있는 것이 아니라 분산된 팀 전체에 분산됩니다. 

따라서 첫 번째 기둥은 연결을 확장하고 범위 내에서 대기 시간을 확보하는 것입니다. 애플리케이션은 이러한 파이프 전체에 걸쳐 느슨하게 확장되므로 견고하고 대기 시간이 짧은 하이브리드 연결이 있으면 다른 모든 것을 구축할 기반이 됩니다.

민첩

민첩성은 코드로서의 인프라를 수행하고 모든 것을 자동화하는 클라우드의 약속에 따라 실행할 수 있는 능력입니다. 훌륭하고 민첩한 배포와 지속적인 개발 및 CI-CD 파이프라인, 그리고 Terraform과 같은 것을 적절히 사용하면 민첩성이 향상됩니다. 좋은 클라우드 운영 사례에는 단순히 클라우드에 배포하는 것 이상이 포함됩니다. 2일차 작업에 대한 계획도 중요합니다.

보안

알맞은 클라우드의 보안 신선한 생각이 필요합니다. 네트워크 보안은 까다로운 경향이 있습니다. 많은 클라우드 보안 스택과 기능은 대규모로 자동화하기 어렵습니다. 엔터프라이즈 수준의 다중 클라우드 보안 아키텍처를 사용할 수 있는 사람이 전 세계적으로 100명 정도 있을 수 있습니다.

많은 회사에서 현재 직원을 교육하여 이러한 기술 격차를 해결하려고 합니다. 그러나 우리 대부분과 마찬가지로 많은 보안 및 IT 전문가는 궁극적으로 자신이 알고 있는 정보에 의존합니다. 그래서 그들은 가상 방화벽이나 가상 라우터와 같은 가상 제품을 가져옵니다. 익숙한 기술을 기반으로 하는 도구입니다. 

불행히도 이 가상화는 자멸적입니다. 이 항목의 대부분은 클라우드 운영 모델과 일치하지 않습니다. 가상 방화벽을 코드로 오케스트레이션하는 것은 어렵습니다. 

최근에 우리는 이러한 방화벽이 서비스로 선전되는 것을 보았습니다. 단점은 서비스형 제품과 마찬가지로 블랙박스가 된다는 것입니다. 서비스 제공자에 의해 수행되기 때문에 가시성과 통제력을 잃게 됩니다. 데이터 덤프가 필요하거나 문제를 해결하고 인터페이스에서 무슨 일이 일어나는지 확인해야 하는 경우 티켓팅 프로세스가 됩니다. 또는 전화를 받는 과정. 둘 다 시간이 많이 걸리고 느려서 2일차 작업을 매우 어렵게 만듭니다. 

이러한 보안 장치에 대한 저울이 기울어지고 있으며, 이는 인재를 위해 최고의 비용을 지불하지 않고도 보안이 요구하는 많은 제어, 가시성 및 애플리케이션 수준의 통찰력을 제공합니다. 모든 것이 코드 기반입니다. 

그래도 위험이 있습니다. 이러한 방화벽은 비용이 많이 들고 확장이 복잡합니다. 실패하면 모든 보안을 이 방화벽으로 끌어들였기 때문에 모든 것을 잃게 됩니다. 초신성이 되면 예쁘지 않습니다. 

가능한 경우 VNet 또는 VPC 내부에서 클라우드 네이티브 네트워크 보안 스택을 사용하고 VNet 또는 VPC를 의미 있는 경계로 만드는 것이 좋습니다. 그걸 써. 남용하지 마세요. 수백 개를 만들지 마십시오. 거기에 들어가야 하는 것은 이질적이어야 합니다. 아마도 일종의 애플리케이션 또는 비즈니스 라인일 것입니다. 

VPC는 남용되고 남용되는 경향이 있습니다. 좋은 오케스트레이션을 사용하십시오. 가능하면 세그먼트 간에 VPC 내부의 클라우드 네이티브 보안 스택을 사용하고 VPC 간의 큰 움직임에 대해 방화벽을 예약하여 방화벽을 덜 바쁘게 유지합니다. 

체크리스트

체크리스트를 요약해 보겠습니다.

1. 안정

• 좋은 에지 전략, 좋은 연결성, 인터넷이나 사설 파이프 또는 둘 다 비즈니스 모델에 효과적인지 이해하는 것으로 시작하십시오.

• 연결의 반대편에 무엇이 있는지 생각해 보십시오. 바람직하게는 확장 가능하고 "스탬프 가능"한 우수한 가상 데이터 센터 아키텍처입니다. 

• 비즈니스 모델이 성장할 준비가 되었는지 확인하기 위해 지역 간 교통이 원활하게 이루어지고 있는지 확인하십시오. 지역 간은 글로벌 고객에게 도달하고 비즈니스를 확장할 뿐만 아니라 안정성을 위해서도 중요합니다. 

2. 민첩

• 지역 정전 및 이벤트가 예상됩니다.

• 매우 좋은 2일차 작업 제어 및 가시성을 위해 적절하게 계획합니다. 둘 다 안티 패턴인 클라우드로 이동하는 기존 보안 모델로 인해 다소 방해를 받았습니다. 확장되지 않으며 클라우드의 속도와 성장을 따라잡을 수 없습니다. 

• 모든 데이터 개인 정보 보호 규정을 숙지하십시오. 

3. 보안

• 모든 곳에서 또는 가능한 한 많은 곳에서 암호화를 보장합니다. 

• 보수적인 보안 정책을 수립합니다.

• 마이크로 세분화를 사용합니다. 

• VNet 및 VPC가 의미 있고 해당 VNet 및 VPC 내부에서 진행되는 작업이 보호되는지 확인하십시오. 

• 공유 사업부 내에 있더라도 클라우드 기능을 사용하십시오. 

• 가능하면 보안 그룹을 만들어 액세스를 줄이십시오. 

• 항상 최소한의 권한 액세스로 이동하십시오.

많은 기업이 이러한 체크리스트를 운영하는 데 필요한 전문 지식을 개발하거나 고용하는 것이 어려울 수 있습니다. 그러나 이러한 복잡성의 상당 부분을 추상화하고 클라우드로의 마이그레이션 관리를 단순화하는 서비스가 있습니다.