Azure Resource Manager(리소스관리자), Resource Group(리소스 그룹)

Resource Manager?

클라우드 거버넌스 5가지 규칙 중 리소스 액세스 *거버넌스를 준수해 Azure의 리소스를 배포하고 관리하는 서비스

즉, 리소스만들기 수정, 삭제, 액세스 제어, 잠금, 태그 설정 등의 유지 관리를 위한 관리계층을 제공

클라우드 거버넌스 5가지 규칙

1. 비용관리

  클라우드를 사용하면서  IT 비용 지출과 관련된 잠재적인 위험을 파악해 클라우드 리소스를 구현하고 관리하는 조직에 비용 위험 완화 지침을 제공한다

2. 보안기준

  클라우드 환경에 대한 잠재적인 보안 위협을 파악하고 이런 위협을 해결하는 프로세스를 수립한다.

3. ID기준

  클라우드 작업 전반에 인증 및 요구사항을 일관성 있게 적용해 보안 기준을 보완한다.

4. 리소스 일관성

  서비스 환경이나 애플리케이션, 워크로드의 운영관리와 관련된 정책을 설정하는데 중점을 둔다.

5. 배포가속화

  서비스를 구성하고 리소스 배포를 제어하는 정책설정에 중점을 둔다.

 

 

 

일관적인 관리계층

사용자가 Azure 도구, API 또는 SDK에서 요청을 보내면 Resource Manager에서 요청을 받습니다.

요청을 인증하고 권한을 부여합니다.

Resource Manager에서 요청된 작업을 수행하는 Azure 서비스에 요청을 보냅니다

모든 요청이 동일한 API를 통해 처리되므로 모든 여러 도구에서 일관적인 결과 및 기능을 볼수 있습니다.

알아야 할 용어들

리소스(Resource)

리소스 관리자가 관리할 수 있는 가상머신이나 데이터베이스, 가상네트워크, 스토리지 계정 등의 구성요소를 리소스 라고 한다. 리소스는 반드시 리소스 그룹에 속해야 한다.

리소스 그룹(Resource Group)

동일한 수명을 갖거나 동일한 프로젝트에 속하는 리소스를 함께 그룹으로 묶은 논리적인 그룹을 말합니다. 
리소스는 하나의 리소스 그룹에만 속해야 합니다.  필요에 따라 이동할 수 있습니다.

리소스 그룹도 하나의 리소스 입니다.

리소스 공급자(Resource Provider)

원하는 리소스를 제공하는 서비스를 말합니다

ex) 가상머신:Mircrosoft.Computer

리소스 매니저 템플릿(Resource Manger Template)

리소스 그룹, 관리그룹 또는 테넌트에 배포할 하나 이상의 리소스를 정의하는 JSON 파일.

리소스를 일관되고 반복적으로 배포하는데 사용합니다.

 

리소스 관리자를 사용할 때의 이점

1. 스크립트가아닌 선언적 템플릿을 통해 인프라를 관리한다.

2. 리소스를 개별적으로 처리하는 대신, 솔루션의 모든 리소스를 그룹으로 배포, 관리 및 모니터링 한다.

3. 개발 수명 주기 전체에 걸쳐 솔루션을 다시 배포하고, 리소스가 일관된 상태로 배포한다.

4. 리소스가 올바른 순서로 배포되도록 리소스 간의 종속성을 정의한다.

5. Azure RBAC가 기본적으로 관리 플랫폼에 통합되어 있으므로 액세스 제어가 모든 서비스에 적용된다.

6. 리소스에 태그 적용하여 구독의 모든 리소스를 논리적으로 구성한다.

7. 동일한 태그를 공유하는 리소스 그룹에 대한 비용을 확인하여 조직의 청구를 명확히 한다.

 

리소스 범위 이해

리소스 그룹의 정의할때 고려해야할 요인들

1. 리소스 그룹의 모든 리소스는 동일한 수명주기를 공유해야한다.

2. 각 리소스는 하나의 리소스 그룹에만 존재 할 수 있다.

3. 언제든지 리소스 그룹에 리소스를 추가하거나 제거할 수 있다.

4. 특정 리소스 그룹에서 다른 그룹에 리소스를 이동할 수 있다.

5. 리소스그룹의 리소스는 다른 리소스 그룹과 다른 지역에 있을 수 있다.

6. 리소스 그룹을 만들때 해당 리소스 그룹의 위치를 제공해야한다.

  -> 리소스그룹은 리소스에 대한 메타데이터를 저장한다. 

  ->리소스 그룹의 지역이 일시적으로 사용할 수 없는 경우 메타데이터를 사용할 수 없기 때문에 리소스 그룹의 리소스를 업데이트할 수 없습니다.

7. 관리 작업에 대한 Access Control 범위를 지정하는데 리소스 그룹을 사용할 수 있다.

8. 리소스 그룹에 태그를 적용할 수 있다

  -> 리소스 그룹의 리소스들은 태그를 상속하지 않는다.

9. 리소스 그룹을 삭제 할 시 소속된 리소스도 삭제된다.

 

 

리소스 이동 시 고려할 점

1. 구독간 이동은 양쪽 구독이 동일한 Azure AD(Active Directroy) 테넌트에 연결된 경우만 가능하다

2.  리소스 이동 작업 중에는 원본 그룹과 대상 그룹은 모두 잠금 상태가 되어 해당 리소스의 쓰기와 삭제 작업은 차단한다.

3. 이동하는 리소스와 종속성이 있는 리소스가 있다면 함께 이동해야 한다.

  (ex. 가상머신을 구성하는 가상디스크,네트워크 등의 다른 리소스들은 모두 함께 이동해야한다.)

4. 다른 구독을 이동하려는 리소스와 종속 리소스의 리소스 그룹이 다른 경우 먼저 하나의 리소스 그룹으로 모은 뒤 다른 구독의 리소스 그룹으로 이동합니다.

5. Azure AD나 ExpressRoute처럼 이동할 수 없는 리소스도 있다.

  -> 자세한 이동 가능 여부는 Azure 기술문서를 참고

  -> https://docs.microsoft.com/ko-kr/azure/azure-resource-manager/management/move-support-resources

6. 이동하는 리소스에 대한 리소스 공급자를 다르 구독에서도 사용할 수 있어야 ㅏㄴ다.

 

출처--

처음 배우는 애저(김도균 지음, 한빛미디어)

Azure docs