Red Hat Summit1.3. 애플리케이션 아키텍처
Microsoft Azure의 Ansible Automation Platform은 관리형 애플리케이션으로 설치됩니다. Red Hat은 인프라가 Azure 테넌트에서 실행되는 동안 기본 Azure 리소스와 이 리소스에서 실행되는 소프트웨어를 모두 관리합니다.
관리 애플리케이션 리소스 그룹(RG)은 테넌트의 다른 RG와 완전히 다릅니다. Red Hat은 다른 테넌트 리소스에 대한 가시성 없이 관리되는 애플리케이션 RG에만 액세스할 수 있습니다.
이 작동 방식 및 리소스 및 액세스가 나머지 Azure 리소스와 격리되는 방법에 대한 자세한 내용은 Microsoft Azure 관리 애플리케이션 가이드의 Azure 관리 애플리케이션 개요 를 참조하십시오.
Microsoft Azure의 Ansible Automation Platform은 다음 RG를 사용합니다.
- 테넌트의 신규 또는 기존 RG입니다. 이 RG에는 Microsoft Azure 관리 애플리케이션 배포의 Ansible Automation Platform을 참조하는 단일 리소스가 포함되어 있습니다. Red Hat은 지원, 유지 관리 및 업그레이드를 수행하기 위해 관리 앱에 액세스할 수 있지만 RG는 Red Hat의 관리 범위를 벗어납니다.
- Microsoft Azure에서 Ansible Automation Platform을 작동하는 데 필요한 대부분의 인프라를 포함하는 다중 테넌트 관리 리소스 그룹(MRG)입니다. 이 멀티 테넌트 MRG는 Red Hat 테넌트와 테넌트 간에 공유됩니다. Red Hat은 전체 관리 권한을 가지며 RG에 대한 읽기 전용 액세스 권한을 갖습니다.
- AKS 노드 풀 리소스 그룹(NPRG). Microsoft는 AKS 배포를 위해 10.0.0.1RG가 필요합니다. AKS가 작동하는 데 사용하는 리소스가 포함되어 있습니다. 배포 시 생성되며 Red Hat의 관리 범위를 벗어납니다. CHAPRG에 대한 자세한 내용은 Microsoft의 AKS 문서를 참조하십시오.
Microsoft Azure SRE 팀의 Ansible Automation Platform으로 명시적으로 전달하지 않는 한 NPRG의 리소스와 상호 작용하지 마십시오. iPXERG의 리소스에 대한 변경 사항은 Red Hat에서 보호할 수 없으며 애플리케이션에 복구할 수 없는 손상을 초래할 수 있습니다.
Red Hat은 CHAPRG의 리소스를 변경하거나 삭제하는 기능을 제한할 수 없습니다.
Microsoft Azure에 Ansible Automation Platform을 설치할 때 배포가 공용인지 프라이빗인지 선택합니다. 이는 사용자가 Ansible Automation Platform 사용자 인터페이스에 액세스할 수 있는 방법에 영향을 미칩니다.
퍼블릭 또는 프라이빗 배포를 선택하든 관계없이 Ansible Automation Platform에서 자동화하려는 리소스가 포함된 프라이빗 네트워크로의 아웃바운드 통신에 대한 네트워크 피어링을 구성해야 합니다. Microsoft Azure의 Ansible Automation Platform에서 프라이빗 Azure VNet으로 네트워크 피어링을 구성하고 Azure에서 라우팅을 전송하는 온-프레미스 또는 다중 클라우드 네트워크로 구성할 수 있습니다.
1.3.1. 공용 배포
공용 배포를 통해 공용 인터넷을 통해 Microsoft Azure 사용자 인터페이스의 Ansible Automation Platform에 수신할 수 있습니다. 배포 시 도메인 이름은 Microsoft Azure 인스턴스의 Ansible Automation Platform에 발행됩니다. Ansible Automation Platform에 액세스하기 위한 구성이 필요하지 않습니다. 공용 인터넷에서 도메인으로 이동하여 사용자 인터페이스에 로그인할 수 있습니다.
다음 다이어그램에서는 Microsoft Azure의 Ansible Automation Platform 공용 배포 시 관리되는 애플리케이션 리소스 그룹에 배포된 애플리케이션 리소스 및 아키텍처를 Azure 구독에 간략하게 설명합니다. 배포에 설정한 네트워킹 주소 범위에 따라 IP 범위가 변경됩니다.
1.3.2. 프라이빗 배포
Ansible Automation Platform의 프라이빗 배포는 외부 소스에서 액세스할 수 없는 격리된 Azure VNet에 있습니다. 공용 인터넷 및 기타 Azure VNet 및 서브넷이 차단됩니다.
Ansible Automation Platform 사용자 인터페이스의 URL에 액세스하려면 네트워크 피어링을 구성해야 합니다.
피어링 및 라우팅을 구성한 후 연결된 Azure 서브넷의 VM을 통해 Ansible Automation Platform에 액세스하거나 조직에서 Azure와 로컬 네트워크 간에 설정된 전송 라우팅이 설정된 경우 직접 액세스할 수 있습니다.
두 개의 Azure 네트워킹 구성이 동일하지 않습니다. Ansible Automation Platform URL에 대한 사용자 액세스를 허용하려면 조직에서 Azure 관리자와 협력하여 개인 액세스 배포를 연결해야 합니다.
다음 다이어그램에서는 Microsoft Azure의 Ansible Automation Platform 개인 배포 시 관리되는 애플리케이션 리소스 그룹에 배포된 애플리케이션 리소스 및 아키텍처를 Azure 구독에 간략하게 설명합니다. 배포에 설정한 네트워킹 주소 범위에 따라 IP 범위가 변경됩니다.
1.3.3. 보안
Microsoft Azure의 Ansible Automation Platform은 Red Hat과 Microsoft의 보안 모범 사례를 따릅니다. 다음 리소스는 애플리케이션 및 인프라의 보안 상태를 설명합니다.
이동 중 데이터 암호화 및 미사용
- 모든 Azure Storage Services는 기본적으로 서비스 관리 키를 사용하여 서버 측 암호화를 사용하도록 설정
- 모든 Azure 호스팅 서비스는 Rest 옵션에서 암호화를 제공하기 위해 최선을 다하고 있습니다.
- Azure 암호화 개요
- AKS(Azure Kubernetes Service) 내의 서비스 간 모든 통신(예: Ansible Automation Platform, Postgres, 스토리지 계정)은 TLS(Transport Layer Security) v1.2 이상을 사용합니다.
- Azure Kubernetes Service(AKS)에 대한 Azure 보안 기준
암호 스토리지
- 고객이 제공한 Ansible Automation Platform 관리자 암호는 전송 중에 암호화됩니다. Kubernetes API에서 SRE(사이트 안정성 엔지니어)에 액세스할 수 있으며 고객 요청에 따라 SREs를 통해 재설정할 수 있습니다.
업계 표준을 사용하여 생성된 키
키 설치, 교체
SSL/TLS 트래픽 암호화
- AKS 내의 서비스 간 모든 통신(예: Ansible Automation Platform, Postgres, 스토리지 계정)은 TLS v1.2 이상을 사용합니다.
- 공용 배포를 위해 애플리케이션 게이트웨이를 통해 또는 개인 배포를 위해 nginx 인그레스를 통해 Ansible Automation Platform UI와의 모든 통신은 TLS v1.2 이상을 사용합니다.
API 보안
- 중요한 정보를 유출할 수 있는 Ansible Automation Platform API의 모든 부분은 알려진 Ansible Automation Platform 사용자로 인증을 통해서만 액세스할 수 있으며 해당 사용자에게 해당 API를 사용할 수 있는 적절한 수준의 권한 부여가 있어야 합니다. 프라이빗 배포에서 Ansible Automation Platform API에 대한 액세스는 프라이빗 배포에 연결하기 위해 선택한 경로를 통해 고객이 액세스할 수 있습니다.
- Kubernetes API는 프라이빗 API이며 프라이빗 끝점에서만 액세스할 수 있습니다.
- 워크로드 ID가 활성화되고 Kubernetes 애플리케이션이 Microsoft Entra ID를 사용하여 Azure 클라우드 리소스에 안전하게 액세스할 수 있습니다.
업데이트 및 패치
- Red Hat SREs는 Kubernetes 버전, 기본 노드 OS 및 Ansible Automation Platform 버전을 최신의 안정적인 최신 버전으로 업데이트하여 최신 기능, 버그 수정 및 보안 수정을 가져옵니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}