하이브리드 클라우드에서 계정 및 네트워크 관리를위한 서버리스 솔루션

하이브리드 클라우드에서 계정 및 네트워크 관리를위한 우아한 서버리스 솔루션

1.0 소개

신세대 조직은 기본적으로 퍼블릭 클라우드에서 비즈니스를 구축하고 있습니다. 클라우드 제공 업체의 서비스가 계속 증가함에 따라 조직의 계정을 지능적으로 관리하고 개별 계정의 가시성을 제어하는 ​​것은 어려운 작업입니다. 데이터 흐름을위한 지속 가능하고 비용 효율적이며 안정적인 네트워킹 백본을 구축하는 것은 이러한 기업에 매우 중요합니다. 이러한 회사는 보안, 규정 준수, 엣지 대기 시간 또는 기타 SLA 요구 사항을 충족하기 위해 점점 더 온 프레미스 프로비저닝을 연결했습니다. 바로 이러한 비즈니스 특성으로 인해 하이브리드 클라우드 전략을 채택하는 데 한계가 있습니다.

클라우드에서 태어나지 않은 기업은 이러한 최신 디지털 기술을 활용할 준비가되어 있지 않습니다. 컴퓨팅, 스토리지 및 네트워킹 백본을위한 전통적인 수단에 집중하면보다 민첩하고 대응력이 뛰어나며 혁신적인 조직에 경쟁 우위를 잃게됩니다. 이러한 비즈니스가 전환 접근 방식을 채택하지 않고 하이브리드 클라우드로 전환하는 것은 "언제"의 문제가되었습니다. [1].

글로벌 IT 솔루션 제공 업체 인 Rahi Systems Inc.는 앞서 나가려는 기업을 위해 하이브리드 클라우드를 신속하게 채택하는 데 도움을주는 전문가입니다. 다른 많은 이점 중에서 하이브리드 클라우드 변환은 배포 리드 타임을 줄여 수익을 증가시키고 리소스를 더 잘 관리하여 비용을 절감하며 해결주기를 단축합니다. 이러한 채택은 가동 시간, 응답 시간, 오류율 및 가용성과 같은 측정 가능한 지표를 지속적으로 개선하여 고객 경험을 향상시킵니다.

차세대 조직인 Lumina Networks는 Amazon Web Services (AWS) 플랫폼에서 비즈니스를 구축하는 Rahi Systems Inc.의 고객입니다. 고객의 요구 사항은 개별 AWS 계정을 관리 할 수있는 강력한 솔루션을 보유하는 것이 었습니다. VPC보안 및 네트워크 정책을 구성하고 관리하기위한 단일 정보 소스를위한 메커니즘 인이 계정에 생성되었습니다. 요청의 일부는 모든 계정에 걸쳐 보안 모델을 구성하여 동서 및 남북 트래픽 모두에 대해 데이터 흐름을 보호하고 VPC를 환경 그룹으로 구성하여 트래픽에 필요한 리소스 액세스 및 격리를 지능적으로 관리하는 것이 었습니다. 이는 소프트웨어 정의 VPN을 사용하여 VPC 리소스에 대한 안전하고 세분화 된 원격 액세스를 제공합니다. 또한 앞서 언급 한 요구 사항에 따라 Lambda, CloudTrail, CloudWatch, SNS 등과 같은 AWS 제공 도구를 활용하는 맞춤형 솔루션을 고안하여 최적의 시스템 상태와 효율적인 성능을 위해이 오케스트레이션을 모니터링해야합니다. 모니터링 설정을 갖추게 된 이유 주요 리소스를 최적화하고, 방화벽 정책 및 계정 간 VPN 액세스를 관리하고, 필요에 따라 자동화를 도입하고, 사전 알림을 생성하여 일정 수준의 정확도로 가능한 중단을 경고하고 중단 후 자동 복구를 제공합니다.

Rahi Systems는 AWS와 같은 퍼블릭 클라우드 플랫폼으로 구축 된 하이브리드 클라우드 환경에서 네트워크 자동화 및 모니터링, 데이터 흐름 오케스트레이션 및 계정 관리를 처리하는 서버리스 솔루션을 구축함으로써 Lumina Networks와 같은 복잡한 요구 사항이있는 회사에 솔루션을 제공하는 데 앞장서고 있습니다. AWS의 IaaS 및 Lambda 기술을 사용하여 네트워크 백본을 제공하여 단순한 '만약 그렇다면'(ITTT) 논리.
AWS와 하이브리드 클라우드

그림 1 : 서버리스 솔루션의 개발 단계

위의 그림은 AWS와 하이브리드 클라우드에서 지능형 계정 및 데이터 흐름 오케스트레이션을위한 우아한 서버리스 솔루션 개발의 XNUMX 가지 별개 단계를 보여줍니다.

2.0 구성

2.1 계정 관리

특히 다중 계정의 경우 일관되고 확장 가능한 방식으로 AWS 계정 설정이 올바르게 수행되도록하려면 심층 분석을하고 시간을 미리 들여야합니다. 올바르게 수행하면 특히 조직의 AWS 계정 수가 증가함에 따라 재 작업을 줄이고 트랙을 다시 계획 할 수 있습니다. 이것은 AWS에서 가장 흥미 진진한 부분은 아니지만 올바르게하는 데 중요한 부분입니다.

여러 사용자를 단일 계정으로 구성하는 것은 실용적이거나 확장 가능하지 않으며 책임을 강화하는 데 어려움이 있습니다. 조직은 다음을 지원하는 다중 계정 구조를 신속하게 채택합니다.

  • 비용 최적화 및 청구
  • 보안 및 거버넌스
  • 워크로드 제어
  • 리소스 그룹화
  • 사업 단위 정의

위의 요구를 해결하기 위해 두 가지 새로운 아티팩트가있는 개념을 소개합니다.

  1. 제어 계정
  2. 운영 환경

Rahi Systems는 중요한 설립 단계로서 고객과 함께이 프로세스에 상당한 시간을 할애합니다. 예를 들어, Lumina의 사용 사례에서 자동 판매 계정 접근 방식은 편리하고 확장 가능합니다.

그림 2 : AWS 조직

조직 수준의 AWS 계정 관리자는 개별 이메일 ID로 생성 된 경우 자동 판매 계정에 대한 완전한 제어 권한을 잃게됩니다. 그래서 우리는 통제 된 계정의 개념을 소개합니다. 제어 계정은 회사의 개별 사용자에게 배포 할 목적으로 생성 된 AWS 계정입니다. 개인의 이메일 주소로 계정을 생성하는 대신 별칭 이메일 주소 또는 AWS 계정 관리자에 속한 배포 그룹의 주소를 사용하여이 새 계정을 생성합니다. 그런 다음이 개별 사용자를 관리자 권한에 가까운 새로 생성 된 AWS 계정에 추가하면 개인이 원하는대로 완전한 제어 권한을 갖게됩니다.

비즈니스 목적은 계정의 운영 환경을 결정합니다. 운영 환경은 AWS 아티팩트가 아니며 유사한 보안, 규정 준수 및 데이터 흐름 제한 및 요구 사항을 가진 계정 모음입니다. 예를 들어 Lumina의 사용 사례에서 컨트롤러 계정은 프로덕션 (Prod), 개발 (Dev) 및 테스트 (테스트) 환경으로 간단하게 분리되었습니다. 루트 사용자 이메일 ID로 생성 된 계정은 개별 사용자 이메일 대신 IT 관리자가 소유하는 것을 제어 계정이라고합니다.

Rahi Systems는 아래에 제시된 몇 가지 간단한 지침에 따라 조직 계정을 구성 할 것을 권장합니다.

  • 메일 그룹 인 전자 메일 주소로 제어 계정을 만듭니다.
  • 필요한 경우 개별 이메일 ID로 사용자를 생성하고 ID 기반 정책을 적용하여 제어 된 계정을 개별 사용자 계정으로 용도를 변경합니다.
  • 네트워크 관리 장치 만 호스트하도록 특정 제어 계정을 지정합니다.
  • 또한 일반 애플리케이션을 호스팅하는 제어 계정을 지정하고 게시합니다.
  • 이러한 각 제어 계정에 고유 한 CIDR 범위를 할당합니다.
  • 자동화를 활성화하려면 계정 전체에 CloudTrail 로깅을 설정하십시오.
  • 람다 함수가 기본 VPC에서 실행되도록 허용하는 계정 권한 설정
  • 환경에 할당 된 각 계정.
  • 람다 기능을 실행하여 여러 계정을 관리, 모니터링 및 자동화하기위한 중앙 계정으로 제어 계정을 마스터로 선택합니다.

AWS 관제탑는 가드 레일을 사용하여 자동 착륙 구역 설정 및 거버넌스를위한 서비스입니다. 2 년 2019 분기부터 정식 출시되면 위 문제 중 일부를 해결할 수 있습니다.

2.2 VPC 관리를위한 네트워크 설계

Virtual Private Cloud는 기존 데이터 센터 네트워크와 유사하여 비즈니스 목적에 맞는 가상 네트워크에서 리소스를 시작하기 위해 클라우드 내에서 격리 된 섹션을 제공합니다. 라우팅 테이블, 게이트웨이, IP 범위를 완벽하게 제어 할 수 있습니다. 대기업의 경우 특히 위에서 설명한대로 계정 판매 방법을 사용할 때 VPC의 수가 빠르게 증가합니다. VPC 피어링
서로 소통하는 빠르고 쉬운 방법입니다. VPC 피어링
연결은 두 VPC 간의 네트워킹 연결로,
사설 IPv4 주소 또는 IPv6을 사용하여 트래픽을 라우팅하려면
구애. 두 VPC의 인스턴스는 마치
동일한 네트워크 내에 있습니다. VPC 피어링을 생성 할 수 있습니다.
자체 VPC 간 또는 다른 AWS 계정의 VPC와의 연결.

Rahi Systems는 서버리스 유틸리티를 사용하여 네트워크 설계를 단순화하고 네트워크 관리를 자동화하는 데 도움을줍니다. 네트워크는 특히 네트워크를 설계, 크기 조정 및 관리 할 전담 네트워크 전문가가없는 고객을 위해 탄력적이고 오류가 없으며 비용 효율적으로 설계되었습니다. 이러한 서버리스 유틸리티는 고객이 VPC의 전체 수명주기를 관리 할 수 ​​있도록 설계된 제어 플레인의 일부입니다.

첫 번째 단계로 고객과 협력하여 현재 설계와 복잡성을 발견하여 VPC, 라우팅, IP 할당 및 트래픽 엔지니어링을 관리하기위한 효율적인 솔루션을 평가하고 권장합니다.

mVPC 피어링을 사용하여 서로 통신하는 nVPC가있는 AWS 내에서 프로비저닝 된 상당히 복잡한 네트워크를 고려하십시오. VPC 전체의 트래픽은 보안 그룹 및 네트워크 ACL을 사용하여 네트워크 관리자가 관리하고 제어합니다. VPC가 추가 될 때마다 vpc 피어링, 라우팅 테이블, 보안 그룹 및 ACL은 관리자가 수동으로 구성하고 업데이트해야합니다. 이러한 복잡한 네트워크의 배포 및 관리를 용이하게하기 위해 Rahi 시스템은 통합 솔루션을 설계하고 배포했습니다. 통과 게이트웨이. 허브 및 스포크 모델과 유사한 중앙 집중식 아키텍처를 사용하여 VPC 연결을 처리하고 VPC 간의 통신을 제어함으로써 관리를 상당히 단순화합니다. 이 솔루션은 운영 비용과 VPC 연결 수를 크게 줄입니다. 예를 들어 Lumina Networks는 네트워크를 손쉽게 관리하고 비용을 절감 할 수있는 비즈니스 요구 사항을 충족하는 기술 솔루션이 필요했습니다. 이 비즈니스 사례는 아래의 간단한 설정을 배포하여 해결되었습니다.

그림 3. 네트워크 인프라 설계

3.0 지속적 통합 (CI) / 지속적 배포 (CD) :

위에서 설명한 복잡한 인프라를 설정하면 관리하기가 기하 급수적으로 어려워집니다. 새로운 기능이 활성화되고 새 계정이 추가됨에 따라 성장을 모니터링하고 관리하는 것이 불가능 해집니다. AWS 콘솔.

AWS CloudFormation AWS 인프라 배포를 예측 가능하고 반복적으로 생성하고 프로비저닝 할 수 있습니다. 클라우드 환경에서 AWS 및 타사 애플리케이션 리소스를 모델링하고 프로비저닝하기위한 공통 언어를 제공합니다. AWS CloudFormation을 사용하면 프로그래밍 언어 또는 간단한 텍스트 파일을 사용하여 모든 리전 및 계정에서 애플리케이션에 필요한 모든 리소스를 자동화되고 안전한 방식으로 모델링하고 프로비저닝 할 수 있습니다. 이를 통해 AWS 및 타사 리소스에 대한 단일 소스를 제공합니다.

그러나 팀의 개발자는 장기간 격리 된 상태로 작업하고 작업이 완료된 후에 만 ​​변경 사항을 마스터 브랜치에 병합 할 수 있습니다. 이로 인해 코드 변경 사항을 병합하는 것이 어렵고 시간이 많이 걸리고 수정하지 않고 오랫동안 버그가 누적되었습니다. 이러한 요인으로 인해 고객에게 업데이트를 신속하게 제공하기가 더 어려워졌습니다. 이에 대한 AWS 솔루션은 AWS Codepipeline, 코드를 병합하는 모든 사람이 하루에 여러 번 중앙 저장소로 변경됩니다. 각 병합은 자동화 된 빌드 및 테스트를 트리거합니다. 소스 코드의 변경 사항은 전체 CI / CD 솔루션을 제공하기 위해 개발 / 프로덕션 서버에 자동으로 배포됩니다.

CI / CD 파이프 라인의 몇 가지 이점은 다음과 같습니다.

  • 조기 버그 감지
  • 작은 코드 변경, 충돌은 더 간단합니다
  • 결함 격리가 더 간단하고 빠릅니다.
  • 전체 프로세스 자동화가 더 쉽습니다.
  • 비용 효율적인 프로세스
  • 팀 전체의 가시성과 투명성 향상

그림 4. CI / CD 파이프 라인

DevOps 팀은 다른 솔루션을 사용하여 수동 프로세스를 사용하는 대신 기술 스택을 자동으로 관리하고 프로비저닝하는 데 Bitbucket, Jenkins, Ansible 및 Terraform의 도움을 받아 위 다이어그램에 나와 있습니다. Jenkins는 소프트웨어 프로젝트를 지속적으로 빌드하고 테스트하는 데 사용되는 오픈 소스 도구로 개발자가 변경 사항을 프로젝트에 쉽게 통합 할 수 있도록합니다. Jenkins는 빌드, 문서, 테스트, 패키지, 준비, 배포, 정적 분석 등을 포함한 수명주기 프로세스를 통합합니다. 전체 다중 클라우드 인프라는 Terraform을 사용하여 관리 할 수 ​​있습니다. Terraform 사용의 몇 가지 이점은 다음과 같습니다.

  1. 오케스트레이션
  2. 불변 인프라
  3. 선언적 코드
  4. 변경 자동화
  5. 리소스 그래프

Rahi Systems는 Terraform 및 CloudFormation 스크립트를 모두 사용하여 Lumina Networks의 프로젝트 요구 사항을 해결하기 위해 고안된 고급 클라우드 솔루션을 구현했습니다. 스크립트는 재사용 가능하고 확장 가능한 모듈의 형태로 작성됩니다. Terraform 상태 파일 (terraform.tfstate)은 S3 백엔드에 저장됩니다. 아래 다이어그램은 Terraform을 사용하여 AWS 스택을 배포하는 데 관련된 다양한 단계를 보여줍니다.

그림 5 : Terraform 워크 플로

코드는 BitBucket에서 액세스 할 수 있습니다. 링크.

4.0 자동화

회사의 워크로드가 증가함에 따라 자동화는 운영을 비용 효율적으로 유지하기위한 핵심입니다. AWS는 포괄적 인 로깅, 이벤트 전파 관찰 및 알림을위한 이벤트 트리거링. 그러나 복잡한 설정을 자동화하고 이러한 다양한 로그를 효과적으로 통합, 관리 및 분석하기 위해 고객은 여러 계정 및 지역에서 중앙 집중식 로깅 솔루션을 구현하기로 선택합니다. 우리는 중앙 집중식 로깅 솔루션 고객의 특정 요구에 맞게 설계된 제어 플레인을 구동 할 수 있습니다.

실행 가능한 인텔리전스는 실시간으로 사용할 수 있으며 조건이 충족되면 이벤트가 ELK 스택에 도달하지 않고 CloudTrail 추출을 기반으로 람다 함수 세트가 트리거됩니다. 이는 모든 계정에 람다 복사본을 설치하고 구성함으로써 가능합니다. 단일 포트 가시성으로 변경, 업그레이드, 버그 수정을위한 여러 프로비저닝을 관리하면 계정 전체에 걸쳐 중앙 집중식 로깅이 활성화 된 경우에도 어렵습니다. Rahi는 오케스트레이션을 위해 주로 람다를 활용하는 중앙 제어 플레인을 배포하여이를 해결합니다. 이렇게하면 아래 그림과 같이 모든 계정 및 리전에 람다 함수의 단일 복사본을 적용 할 수 있습니다. 모든 리전의 마스터 계정에 대한 CloudTrail의 이벤트는 SNS를 사용하여 알림을 보내기 위해 CloudWatch로 전달됩니다.

그림 6. Lambda 교차 계정 워크 플로

Lumina에 대한이 오케스트레이션은 대량 정보 흐름을 직렬화되고 쉽게 추적 및 관리 가능한 설정으로 크게 줄였습니다. 컨트롤 플레인은 네트워크 구성, 워크로드, 게이트웨이 연결, VPN 구성, 보안 그룹 구성, 고 가용성, 네트워크 및 컴퓨팅 프로비저닝, 계정 자동 판매를 통한 VPC 관리의 상태에 따라 작동합니다.

이 컨트롤 플레인의 세부 아키텍처는이 문서의 범위를 벗어납니다. 고객은 Rahi Systems 솔루션 아키텍트 팀에 연락하여 귀하의 필요에 맞는 전문 맞춤형 솔루션을 논의하고 활용하는 것이 좋습니다. 자동화를 사용하여 프로덕션, 개발 또는 테스트 환경에 VPC를 연결하는 예는 완전성을 위해 요약됩니다.

  • 특정 형식으로 VPC에 태그를 지정합니다. 그렇지 않은 경우 사용자에게 형식을 수정하라는 알림이 표시됩니다. 일정 시간이 지나면 불량 태그 형식의 VPC가 제거됩니다.
  • 서브넷 연결과 함께 참조 VPC 데이터베이스 유지
  • 형식에서 VPC 서브넷 태그 및 환경 연결 식별
  • 참조 데이터베이스의 도움으로 이벤트 이동 또는 새 VPC로 작업 식별
  • 해당 환경의 모든 새 VPC에 대한 전송 게이트웨이 연결 생성
  • 서브넷을 TGW 라우팅 테이블에 자동 연결하고 전파를 활성화합니다.
  • 환경 간 마이그레이션의 경우 요청 된 환경에 첨부 태그를 다시 연결하기 전에 분리 태그를 적용하십시오.
  • Slack과 같은 타사 이벤트 알림이있는 경우 통합을 활용하여 알림을 채널에 보냅니다.

필요한 작업 순서는 다음과 같습니다.

 그림 7. Lambda 교차 계정 액세스 흐름

5.0 관리

오늘날 기업은 핵심 가치에 집중하여 진화하고 혁신하며 차별화해야합니다. 점점 더 많은 기업이 관리 형 서비스를 찾고 있습니다. 관리 형 서비스는 변경 요청, 모니터링, 패치 관리, 보안 및 백업 서비스와 같은 일반적인 활동을 자동화하여 운영 오버 헤드 및 위험을 완화하고 위험을 줄이는 데 도움이되며 클라우드 인프라를 프로비저닝, 실행 및 지원하는 전체 수명주기 서비스를 제공합니다.

AWS 관리 형 서비스 Active Directory 통합 및 규정 준수 인증 매핑 (HIPAA, GDPR, SOC, NIST, ISO, PCI)의 중요한 작업을 포함하여 보안, ID 및 규정 준수 경계를 클라우드로 확장하기위한 단계별 프로세스를 제공하여이를 달성합니다. 경고 분석 및 사고 대응과 같은 클라우드 환경 운영을 책임집니다.

Rahi Systems는 AWS 플랫폼뿐만 아니라 전체 하이브리드 인프라를 최적화 할 수있는 전문 지식을 갖추고 있습니다. 이러한 균형을 지속적으로 달성하기위한 모범 사례를 제안합니다. 필요에 따라 인력을 교육하여 기업이 인프라를 가장 잘 관리하는 방법에 대한 이해를 가속화 할 수 있습니다. 퍼블릭 클라우드 안팎에서 리소스 및 워크로드의 마이그레이션 노력을 방해하는 데 도움이됩니다.

Lumina Networks는 Rahi Systems가 제공 할 수있는 전문 지식 중 일부를 활용했습니다. Rahi 시스템을 보안 운영 센터 (SOC)로 구축하려고합니다. Rahi는 알림을 위해 Slack을 통합했습니다.

6.0 결론

오늘날 경쟁 기업은 더 빠른 혁신주기, 확장 성, 위험 감소, 최적화 된 비용 등과 같은 핵심 동인으로 인해 디지털 변환, 데이터 센터 통합 및 대규모 DevOps를 점점 더 많이 찾고 있습니다.

Rahi System은 글로벌 규모의 하이브리드 솔루션을 설계하고, 전체적인 운영 모델을 정의하며, 관리 형 서비스를 제공하여 교육 및 위험 제거 기업을 제공합니다. 우리는 어떤 형태로든 클라우드를 도입 할 준비가되어있는 회사 나 비용 및 예산 관리에 대한 모범 사례가 필요한 대규모 클라우드 중대 기업 및 하이브리드 클라우드 여정에서이 두 상태 사이의 모든 회사에 대한 장벽을 제거하도록 지원합니다.

사용 사례와 관련하여이 기사는 특히 Rahi Systems가 네트워크 백본을 해결하고 AWS 플랫폼에서 계정 관리를 단순화하기 위해 Lumina Networks에 구현 한 서버리스 솔루션을 설명하는 데 집중합니다. Lumina Networks는 핵심 비즈니스가 확장됨에 따라 자립하고 운영을 자동화하기 위해이 여정에서 Rahi System을 계속 참여시키고 있습니다. 솔루션의 일부 사소한 부분은 아직 개발 중입니다. 그러나 우리는 솔루션이 엔터프라이즈 공간에서 더 넓은 범위와 응용 프로그램을 가지고 있다고 강력하게 믿습니다.

추가 정보가 필요하고 특정 요구 사항에 대한 도움이 필요하면 팀원에게 문의하십시오.

참조 :

[1]https://aws.amazon.com/blogs/apn/cloud-transformation-is-not-just-a-cheaper-alternative-to-a-data-center-but-a-path-to-it-innovation/

[2]https://internetofthingsagenda.techtarget.com/definition/IFTTT-If-This-Then-That

[3]https://www.rahisystems.com/blog/a-look-at-aws-transit-gateways/

[4] [5]https://semaphoreci.com/blog/2017/07/27/what-is-the-difference-between-continuous-integration-continuous-deployment-and-continuous-delivery.html

[6]https://searchitoperations.techtarget.com/definition/Infrastructure-as-Code-IAC

[7]https://d1.awsstatic.com/whitepapers/building-a-scalable-and-secure-multi-vpc-aws-network-infrastructure.pdf?did=wp_card&trk=wp_card

오류: 콘텐츠 보호!





언어를 선택하십시오 US CA
국가 선택 :

한국 - 한국어

  • 모든 국가 / 지역
  • 북아메리카
  • 아시아 태평양
  • 유럽
  • 중화권