Azure Soverign Cloud에서 GA되지 않은 서비스의 대안 아키텍처 설계 및 기술 검증 사례
KT SPC는 Azure Public Cloud에서 제공하는 Soverignity 상품을 이용해 클라우드 환경을 설계하였으나, Azure Public Cloud에서 제공되는 일부 서비스는 아직 Korea Region의 소버린 클라우드 환경에서는GA(General Availability)상태가 아니며, 이에 따라 동일한 기능을 제공하기 위한대안 아키텍처 설계와 기술 검증이 필수적이었습니다.
본 아티클에서는 특히 여러 대안 중,데이터베이스(DB)와백업 서비스를 중심으로, GA되지 않은 Azure 서비스를 대체하기 위한 아키텍처 설계, 기술 검증, 그리고 실제 서비스 적용 사례를 상세히 다룹니다.
GA되지 않은 서비스의 한계
PaaS 기반의 Azure Database 서비스
Azure Backup, Azure Site Recovery 등 백업 관련 서비스
AKS를 포함한 쿠버네티스 환경 등..
체감상 초기 KT SPC를 구축할때는, Public Cloud Service가 아닌 가상화 환경에서 인프라를 구축하는 느낌이었습니다.
대안 아키텍처 기술 검증
1. 데이터베이스: 설치형 DB로의 전환
GA되지 않은 Azure PaaS DB 서비스를 대체하기 위해,설치형 데이터베이스 아키텍처를 설계하였습니다.
-
환경구성: Azure Confidential Computing 기반의 VM과 Customer-Managed Key(CMK)를 통한 디스크 암호화 환경
-
기술 검증항목
-
설치형 Database의 기본 기능 및 Application과의 연계성 확인
-
Replication 및 이중화 검증을 통한 운영 안정성 확보
-
특히, 전체적인 서비스 흐름 관점에서의 검증을 위해 WEB-WAS-DB 모두 설치형으로 인프라를 구성하였고, WEB 서버에서 DB의 기능이 정상적으로 수행하는지 확인하였습니다.
Replication과 HA는 비동기식 복제 방식의 솔루션을 사용하여 CVM과 CMK가 결합한 환경에서도 데이터의 정합성을 유지한채 올바르게 이중화가 되었어요.
2. 백업: 3rd Party 솔루션 도입
Azure Backup과 Azure Recovery 이 지원되지 않는 환경에서는3rd party 백업 솔루션을 도입하여 기술 검증을 수행하였어요.
-
기술 검증 항목:
-
CVM+CMK 환경에서의 설치 및 운영 가능 여부
-
CVM+CMK 환경 외의 VM에서도 백업/복구에 대한 기능을 제공하는지 여부
-
백업 대상 VM 및 DB에 대한 정합성 검증
-
백업/복구 속도 및 안정성 테스트(약 10TB DB)
-
CVM+CMK 환경에서도 백업 솔루션은 정상적으로 서비스를 제공하였으며, 복구시에도 데이터의 정합성이 검증되었어요.
또한 CVM은 기밀 OS 디스크 환경으로 성능이 감소할 수 있다고 알려져 있는데, 백업 솔루션으로 성능테스트 시, 약 5회 시행해본 결과 일반 VM과 차이는 없었습니다.
힘들었던 점은..
백업 솔루션의 검증의 경우 아래 각 3가지의 환경에서 교차로 기술 검증을 하다보니, 총 27번의 기술검증이 필요하였습니다.
|
마스터 서버 |
백업 서버 |
복구 서버 |
|---|---|---|
|
PMK |
PMK |
PMK |
|
CMK(Azure Keyvault) |
CMK(Azure Keyvault) |
CMK(Azure Keyvault) |
|
CMK(Managed HSM) |
CMK(Managed HSM) |
CMK(Managed HSM) |
검증의 검증을 또 거쳐서 최종적으로 3rd Party 솔루션 또한 KT SPC 환경에서 사용할 수 있다는 기술 검증을 확인하였고, 실제 구축을 위한 다음 단계를 진행하였습니다.
최종 아키텍처 구성/구축
-
백업 인프라는 별도 공통 백업 구독에 배치(마스터 서버, 백업 스토리지 등)
백업 서버를 운영 환경과 논리적으로 분리하여보안 격리를 강화하고, 침해 사고 발생 시 백업 자산 보호를 보장하도록 구성하였어요.
-
백업 데이터는 별도 스토리지 계정에 저장, CMK로 암호화
백업 전용 스토리지 계정은 운영 스토리지와 별도로 구성하고, 스토리지 계정은 Managed HSM의 CMK로 암호화를 적용하여 백업 데이터가 암호화된 상태로 저장되어 무단 접근 시에도 안전하도록 구성하였어요.
-
백업 정책은 고객 요구사항에 따라 커스터마이징
다양한 서비스의 보존 주기, 복구 시점, 백업 빈도 요구사항을 충족하기 위해 유연한 정책 설계가 필요하였어요. 내부적으로 표준 백업 정책을 수립한 후 각 서비스별 복구 시점 목표(RPO)와 복구 시간 목표(RTO) 기준으로 설정되도록 백업 품질을 향상시켰어요.
마치며..
해당 프로젝트를 진행하며 “안되는 것은 없다”라는 마음으로, 대안의 대안을 계속해서 찾아나가고, 기술을 확보해나가는 시간이었습니다.
먼저, GA 여부에 관계없이, 기술 검증과 설계 역량을 통해 충분히 안정적인 서비스 제공이 가능하였으며
강화된 보안 환경(CVM+CMK)에서도 3rd party 솔루션의 유연한 도입과 검증은 필수적인 전략이라고 생각하고 있습니다.
이런 과정을 거쳐 현재 KT SPC는 사내 서비스 공통백업 영역에서 Disk / Database / Container 등의 전 영역에서 백업을 제공하고 있고,
KT SPC의 안정적인 운영환경을 지원해나갈 것입니다.