기업이 디지털 전환을 가속화하면서, 온-프레미스 환경의 장점과 클라우드의 확장성을 모두 활용할 수 있는 하이브리드 클라우드 환경에 대한 수요가 급증하고 있습니다. 특히 보안 및 규정 준수 요구사항을 충족하면서도 빠른 혁신을 추진해야 하는 기업들에게 Azure 랜딩존은 최적의 해답을 제시합니다.

  KT는 MS의 Azure를 활용하여 사내 데이터센터와 동일한 수준의 보안과 거버넌스를 제공하면서도 클라우드의 유연성과 확장성을 극대화하는 엔터프라이즈급 인프라 구축했습니다.

  Azure 랜딩존은 Well-Architected Framework의 5개 디자인 원칙을 따르는 환경입니다.

1. 비용 최적화 (Cost Optimization)
   전달되는 가치를 극대화하기 위해 비용을 관리하는 것입니다. 불필요한 리소스 제거, 적절한 크기 조정, 예약 인스턴스 활용 등을 통해 클라우드 투자 대비 효과를 극대화합니다.
2. 운영 우수성 (Operational Excellence)
   시스템을 프로덕션 환경에서 지속적으로 운영하는 운영 프로세스에 관한 것입니다. 자동화, 모니터링, 배포 프로세스 개선 등을 통해 안정적인 서비스 운영을 보장합니다.
3. 성능 효율성 (Performance Efficiency)
   부하 변화에 적응하는 시스템의 능력을 다룹니다. 확장성, 응답 시간 최적화, 리소스 효율적 사용 등을 통해 사용자 경험을 향상시킵니다.
4. 신뢰성 (Reliability)
   장애로부터 복구하고 지속적으로 기능할 수 있는 시스템의 능력입니다. 고가용성, 재해 복구, 백업 전략 등을 통해 서비스 연속성을 보장합니다.
5. 보안 (Security)
   위협으로부터 애플리케이션과 데이터를 보호하는 것입니다. 인증, 권한 부여, 암호화, 네트워크 보안 등을 통해 종합적인 보안 체계를 구축합니다.

  이러한 디자인 원칙은 모든 애플리케이션 포트폴리오를 수용하고 대규모로 애플리케이션 마이그레이션, 현대화 및 혁신을 가능하게 합니다. Azure 랜딩존은 구독을 사용하여 애플리케이션 리소스와 플랫폼 리소스를 격리하고 크기 조정합니다.

  KT Azure 랜딩존 프로젝트는 2024년 6월 ExpressRoute(ER) 구축을 시작으로 3개월 간의 집중적인 작업을 통해 구축했습니다. 주요 목표는 사내 IT 운영 정책(표준TA, It's Portal 절차)을 Azure 환경에 적용하여 기존 온-프레미스 데이터센터(천안/목동/분당/탄방)와 동등한 수준의 보안 및 운영 체계를 구축하는 것이었습니다.

  허브 및 스포크 네트워크 토폴로지는 Azure에서 사용자 지정되고 향상된 보안을 갖춘 대규모 네트워크를 구축하는 데 도움이 됩니다.

라우팅과 보안을 직접 관리하며, 사내 IP 체계를 Azure에 적용하여 하이브리드 연결성을 확보했습니다.

Hub-and-Spoke 모델의 주요 이점은 다음과 같습니다:

• 격리 및 분할: 리소스를 별도의 스포크 VNet으로 나누어 워크로드를 격리하고 분할할 수 있어, 잠재적인 문제나 보안 위험이 네트워크의 다른 부분에 영향을 미치는 것을 방지합니다
• 중앙 집중식 관리: 허브 VNet이 공유 서비스의 단일 관리 지점 역할을 하여 네트워크 전반에 걸쳐 정책을 더 쉽게 유지, 모니터링 및 적용할 수 있습니다
• 단순화된 연결: VNet 피어링을 통해 허브와 스포크 VNet 간의 원활한 통신이 가능합니다
  
  

ExpressRoute를 통한 온-프레미스 연결

  Azure ExpressRoute를 사용하면 연결 공급자의 도움을 받아 프라이빗 연결을 통해 온-프레미스 네트워크를 Microsoft 클라우드로 확장할 수 있습니다. ExpressRoute 연결은 퍼블릭 인터넷을 통해 이동하지 않으므로, 안정적이고 속도가 빠르며 대기 시간이 일관되고 보안성이 높습니다.

  Azure Policy를 사용하여 가드레일을 제공하고 Workload가 KT 보안 정책을 준수하는지 확인합니다. Azure Policy는 Workload 운영자에게 보안을 따로 고려하지 않아도 안전한 환경을 제공합니다.

  Azure Policy을 사용하여 기본 환경을 구성하지 않으면 규정 준수 유지 관리의 운영 및 관리 오버헤드가 증가합니다. Azure Policy는 환경 내에서 원하는 규정 준수 상태를 제한하고 자동화합니다.

  Azure 환경에서는 Microsoft Entra ID 역할과 Azure RBAC 역할이 존재합니다:

• Azure RBAC 역할: 가상 머신, 구독 및 리소스 그룹과 같은 Azure 리소스에 대한 관리 권한을 제어합니다

  Azure PaaS / SaaS 서비스는 기본 구성에서 일반적으로 Microsoft 글로벌 네트워크를 통해 공개적으로 사용 가능한 엔드포인트를 통해 액세스됩니다. Azure 플랫폼은 이러한 엔드포인트를 보호하거나 완전히 비공개로 만들기 위한 선택적 기능을 제공합니다.

  KT 랜딩존은 데이터 반출 보호 및 개인 IP 주소 지정만 사용하는 것이 확고한 요구 사항으로 Private Endpoint를 활용하여 PaaS / SaaS 서비스의 네트워크 보안을 강화했습니다.

  Azure AI 서비스는 개발자와 조직이 즉시 사용 가능하도록 만들어졌으며, Azure의 AI 서비스를 활용하여 Workload에서 다양한 AI 기능을 지원할 수 있게 해줍니다. AI API 및 모델을 사용하여, 지능적인 최첨단 Workload를 신속하게 만들 수 있게 해 줍니다.

주요 AI 서비스들은 다음과 같습니다:

  Azure 랜딩존 Terraform 모듈은 Terraform을 사용하여 대규모로 Azure 랜딩존을 관리하는 데 필요한 플랫폼 리소스를 신속하게 구현합니다. 이 모듈은 연결 및 관리 구독에서 관리 그룹 계층 구조, 정책 및 리소스의 배포를 간소화하도록 설계되었습니다.

  Azure 랜딩존을 활용한 하이브리드 클라우드 데이터센터 구축은 기업의 디지털 전환을 가속화하는 핵심 전략입니다. 체계적인 디자인 영역 고려사항을 통해 보안, 거버넌스, 확장성을 모두 만족하는 엔터프라이즈급 인프라를 구축할 수 있습니다.

  특히 Azure의 PaaS/SaaS 및 AI 서비스를 활용하면 개발팀은 인프라 관리에 대한 부담 없이 비즈니스 로직 개발에 집중할 수 있으며, 이를 통해 혁신적인 서비스를 더 빠르게 시장에 출시할 수 있습니다. Terraform과 같은 Infrastructure as Code 도구를 활용하면 일관성 있고 반복 가능한 배포가 가능하여 운영 효율성을 크게 향상시킬 수 있습니다.

참고 자료

• Azure 랜딩 존이란 무엇인가요? - Cloud Adoption Framework | Microsoft Learn
• Azure Well-Architected 프레임워크 - Microsoft Azure Well-Architected Framework | Microsoft Learn
• Define an Azure network topology - Cloud Adoption Framework | Microsoft Learn
  
• Terraform을 사용하여 Azure 랜딩 존 배포 - Cloud Adoption Framework | Microsoft Learn