그림001
장점
Azure Trusted VM은 다양한 기술적 기능과 전략을 결합하여 클라우드 환경에서의 가상 머신 보안과 신뢰성을 강화합니다. 이러한 강점들은 기업 및 기관들이 민감한 데이터와 업무 애플리케이션을 안전하게 운영하고 보호할 수 있도록 지원합니다.
1.하이퍼바이저 수준의 격리 및 보안 강화:
Azure Trusted VM은 하이퍼바이저 수준에서의 강력한 보안 기능을 제공하여 가상 머신 간의 격리를 강화합니다. 이는 가상 머신들 간의 보안 경계를 확립하고, 악의적인 공격으로부터 시스템을 보호하는 역할을 합니다. 이를 통해 가상 머신 간의 상호 작용이 안전하게 이루어지면서도 성능 손실을 최소화합니다.
2.신뢰할 수 있는 부팅 메커니즘:
Trusted VM은 부팅 과정에서의 신뢰성을 강조하고, 악의적인 변경으로부터 시스템을 보호하는데 중점을 둡니다. 안전한 부팅 절차를 통해 가상 머신이 안정적으로 기동되며, 부팅 과정에서의 보안 위협에 대한 방어를 제공합니다.
3.신뢰할 수 있는 인증 및 엑세스 제어:
Azure Trusted VM은 사용자 및 자원에 대한 엄격한 보안 정책을 적용하기 위한 신뢰할 수 있는 인증 및 엑세스 제어 기능을 제공합니다. 이를 통해 민감한 데이터에 대한 접근을 제한하고, 권한이 없는 사용자로부터의 보안 위협을 방지할 수 있습니다.
4.가상 네트워크 보안 강화:
클라우드 환경에서의 가상 네트워크 보안은 매우 중요합니다. Trusted VM은 네트워크 트래픽을 감시하고 통제하여 보안 정책을 준수하도록 도와줍니다. 또한, 가상 네트워크 간의 안전한 통신을 촉진하여 데이터 이동 시의 보안 문제를 해결합니다.
5.최신 보안 업데이트 및 컴플라이언스 지원:
Azure Trusted VM은 최신 보안 업데이트를 지속적으로 제공하며, 규제 및 규정 준수를 촉진하는데 기여합니다. 이는 기업이 새로운 보안 위협에 대응하고, 산업 표준을 준수하는 데에 도움이 됩니다.
6.성능 최적화 및 확장성:
Trusted VM은 안전성을 강화하면서도 성능 최적화에 중점을 둡니다. 이는 안전한 환경에서도 높은 성능을 유지하면서 비즈니스 애플리케이션을 운영할 수 있게 해줍니다. 또한, 확장성을 갖추어 기업의 변화하는 요구에 대응할 수 있도록 지원합니다.
이러한 다양한 장점들을 통해 Azure Trusted VM은 클라우드 환경에서의 가상 머신 보안을 새로운 수준으로 끌어올리며, 기업들이 안전하게 클라우드 리소스를 활용할 수 있도록 지원합니다.
7.보안 부팅
보안부팅이 가능해서 루트킷 부팅키트에 멀웨어 설치가 불가능합니다.
8.vTPM 가능
VM에 자체 전용 TPM 인스턴스를 제공하여 VM의 손이 닿지 않는 보안 환경에서 실행됩니다
9.Microsoft Defender 통합
신뢰할 수 있는 시작은 클라우드용 Microsoft Defender와 통합되어 VM이 제대로 구성되었는지 확인합니다.
단점
Azure Trusted VM은 강력한 보안 및 신뢰성 기능을 제공하지만, 몇 가지 단점과 고려해야 할 측면도 있습니다. 이러한 단점들을 살펴보면 다음과 같습니다:
1.복잡성과 학습 곡선:
Trusted VM은 고급 보안 기능을 많이 포함하고 있어 구성 및 관리가 복잡할 수 있습니다. 새로 도입하는 조직에서는 이러한 기능들을 올바르게 설정하고 관리하기 위한 학습 곡선이 필요할 수 있습니다.
2.비용 증가:
고급 보안 기능은 추가 비용이 발생할 수 있습니다. Trusted VM을 사용하면 일반적인 가상 머신에 비해 추가적인 비용이 들 수 있으며, 이는 일부 기업에게는 부담이 될 수 있습니다.
3.일부 성능 손실:
Trusted VM은 보안을 강화하기 위해 일부 성능 최적화를 포기할 수 있습니다. 따라서 특히 성능에 중점을 둔 애플리케이션을 실행하는 환경에서는 일부 성능 손실이 발생할 수 있습니다.
4.호환성 문제:
일부 응용 프로그램 및 시스템에서는 Trusted VM의 일부 기능이 호환되지 않을 수 있습니다. 특히 특정 소프트웨어나 라이브러리의 요구 사항이 있는 경우 호환성 문제가 발생할 수 있습니다.
유지보수 및 업데이트 어려움:
5.고급 보안 기능을 갖춘 시스템은 유지보수 및 업데이트가 어려울 수 있습니다. 신규 버전이나 보안 업데이트를 적용하는 과정에서 시스템의 다운타임이 발생할 수 있고, 이는 비즈니스 운영에 영향을 미칠 수 있습니다.
6.리소스 사용 증가:
Trusted VM은 일부 고급 보안 기능을 수행하기 위해 추가 리소스를 사용할 수 있습니다. 따라서 특히 자원이 제한된 환경에서는 이러한 리소스 사용 증가가 중요한 고려 요소가 될 수 있습니다.
7.호환성 문제:
일부 응용 프로그램 및 시스템에서는 Trusted VM의 일부 기능이 호환되지 않을 수 있습니다. 특히 특정 소프트웨어나 라이브러리의 요구 사항이 있는 경우 호환성 문제가 발생할 수 있습니다.
8.현재 지원되지 않는 기능
Azure Site Recovery 는 아직 사용 할수 없습니다.
관리되는 이미지는 아직 미지원 ( Azure Gallery를 사용해야함)
중첩된 가상화를 전체 사용할수 없습니다.(대부분의 v5 VM 크기 패밀리가 지원됨)
2세대 VM 만 사용 가능
이러한 단점들은 특정 조직이나 프로젝트의 요구에 따라 다르게 평가될 수 있으며, 이러한 측면들을 고려하여 Azure Trusted VM을 도입할 때는 신중한 검토가 필요합니다.
결론
결론적으로, Azure Trusted VM은 고급 보안 기능을 제공하여 클라우드 환경에서의 가상 머신 보안을 강화하는 데 중요한 역할을 합니다. 그러나 이러한 강력한 기능들과 함께 몇 가지 고려해야 할 단점들도 존재합니다. 따라서 기업이나 기관이 Azure Trusted VM을 도입할 때에는 장단점을 균형 있게 고려하고 신중한 계획을 수립해야 합니다.
Azure Trusted VM의 강점 중 하나는 하이퍼바이저 수준에서의 격리와 보안을 강화하여 가상 머신 간의 신뢰성을 높이는 데에 있습니다. 이로써 기업은 민감한 데이터와 비즈니스 애플리케이션을 안전하게 운영할 수 있습니다. 또한, 신뢰할 수 있는 부팅 메커니즘과 엄격한 인증 및 액세스 제어를 통해 보안 정책을 강화하고 데이터 접근을 통제할 수 있습니다.
그러나 이러한 강점들과 함께, Azure Trusted VM의 도입은 몇 가지 단점과 고려해야 할 사항이 있습니다. 복잡성과 학습 곡선, 추가 비용 부담, 일부 성능 손실, 호환성 문제 등은 실제 도입 전에 고려해야 할 중요한 측면입니다. 또한, 보안 업데이트와 유지보수 과정에서 발생할 수 있는 어려움도 고려해야 합니다.
따라서 Azure Trusted VM을 선택하고 도입하는 기업은 강력한 보안 기능과 단점을 고려하여 전략을 수립해야 합니다. 비즈니스 요구에 따라 최적의 보안 솔루션을 선택하고, 유연하게 조정하여 클라우드 환경에서 안전하고 효율적으로 운영할 수 있도록 해야 합니다. Azure Trusted VM은 클라우드 보안을 강화하는 강력한 도구로서 기업들에게 새로운 가능성을 제시하고 있지만, 이를 최대한 활용하기 위해서는 신중한 계획과 실행이 필요합니다.
]]>
그림001
1.그림001은 복구 포인트의 구조를 보여줍니다. 기본적으로 Restore Collection 이라는 복구 모듬이란 이름으로 제품이 구성됩니다.
가장 상단에 큰 껍데기는 이 Collection 모듬이며 이 모듬의 하위계층은 VM 포인트와 VM 의 하위 구조인 Disk 복구 포인트로 구성됩니다.
그러므로 가장 먼저 Azure Portal 안에서는 복구 모듬을 만들어야 합니다.
해당 방법을 스크린샷으로 보여주면서 설명하겠습니다.
그림002
2.그림002 에서 보는 것 처럼 해당 리전을 선택하면 연결 가능한 소스 가상머신리스트를 볼수 있습니다.
https://learn.microsoft.com/en-us/azure/virtual-machines/virtual-machines-create-restore-points
링크에서 보면 제한 사항이 잘 나와있으므로 제한된 울트라 디스크 이런거는 리스트에 올라 오지 않습니다.
그림003
3.그림003을 보면 OS Disk 와 DataDisk 까지 컬랙션 생성과 동시에 최초 리스토어 포인트가 생성이 됩니다.
그림004
4.그림004처럼 리스토어 컬렉션에 리스토어 포인트 빨간 박스 부분이 생성되어 있습니다.
+생성 복원지점 을 클릭을 하면 다시 추가적으로 생성하는 블래이드가 나옵니다.
그림005
5. 그림005는 +버튼을 누르면 생성되며 이번2023년 12월에 업데이트 된 Consistency mode가 현재는 비활성화
되었지만 이부분을 신청하면 사용할 수 있을것으로 보이면 현재는 제가 신청중입니다.
아직 포털에서는 사용할 수 없다는 Product Team 에 답변을 받았습니다. 곧 업데이트 되기를 기대 해봅니다.
그림006
6. 그림006에서는 현재 가상머신에 연결된 디스크를 보여주며 선택을 할수 있습니다.
그림007
7. 선택을 하고 나면 2번째 리스토어 포인트가 보입니다.
그림008
8.해당 리스토어 포인트를 선택하면 빨간색 박스처럼 복원지점에서 가상머신을 생성할수 있는 페이지로
이동하고 복원지점에 가상머신을 만들수 있습니다.
장점:
1.데이터 보호 및 안전성: 복원 지점을 통해 데이터는 일정한 간격으로 백업되어 저장되므로
2.시스템 장애나 데이터 손실 시에 안전하게 복구할 수 있습니다.
3.빠른 시스템 회복: 스냅샷을 이용하면 이전의 상태로 빠르게 시스템을 회복할 수 있어 업무 중단을 최소화할 수 있습니다.
4.유연성과 효율성: 필요한 시점으로 시스템을 복원할 수 있으므로 비즈니스 요구에 따라 유연하게 데이터를 관리할 수 있습니다.
5.간편한 관리: 자동화된 백업 프로세스로 복원 지점을 관리하기 용이합니다.
단점:
1.저장 공간과 비용: 많은 양의 스냅샷이 저장되면 저장 공간과 비용이 증가할 수 있습니다.
2.주기적 백업의 필요성: 지속적인 백업이 이루어져야만 최신 데이터를 보존할 수 있어 관리와 유지에 노력이 필요합니다. 주기적 백업은 Azure Backup으로 설정해서 커버할 수 있습니다.
3.복구 시간과 지연: 큰 규모의 시스템에서는 스냅샷을 복구하는 데 시간이 걸릴 수 있고, 이는 업무 중단으로 이어질 수 있습니다.
이러한 장단점을 고려하여, 복원 지점을 효과적으로 활용하려면 적절한 백업 주기와 저장 정책을 설정하고, 비즈니스 요구사항에 맞게 데이터 관리 전략을 수립하는 것이 중요합니다.
결론
AWS 에서는 없는 Azure 에서 장점이 점점 작은 부분에서 많이 생기는 부분은 매우 고무적이며 이것이 Microsoft의 큰 그림으로 가는 작은 그림의 하나로 생각하고 있습니다.
복원 지점은 현대 클라우드 환경에서 데이터 관리와 보안을 강화하는 데 중요한 수단입니다. 그러나 장점과 함께 고려해야 할 몇 가지 단점도 존재합니다.
장점으로는 데이터의 안전한 보호와 빠른 시스템 회복을 강조할 수 있습니다. 이를 통해 업무 연속성을 유지하고 중요한 데이터 손실을 방지할 수 있습니다. 또한, 유연성과 효율성을 향상시켜 비즈니스 요구에 맞춰 데이터를 관리할 수 있습니다.
하지만 저장 공간과 비용 문제, 주기적 백업의 필요성, 복구 지연 등의 단점도 염두에 두어야 합니다. 이러한 단점을 극복하기 위해서는 적절한 백업 정책과 데이터 관리 전략을 마련하고, 비즈니스 목표에 부합하는 방식으로 복원 지점을 활용해야 합니다.
결과적으로, 복원 지점은 클라우드 환경에서 데이터 손실로부터 보호받을 수 있는 필수적인 도구이며, 적절한 관리와 전략 수립을 통해 그 효과를 극대화할 수 있습니다. 비즈니스 연속성과 데이터 보안을 고려할 때, 복원 지점은 중요한 요소로 자리매김하고 있습니다.
]]>
그림001
그림001은 인텔 공식문서에서 가져온 그림입니다.
인텔 Trust Domain Extensions (TDX)는 기존 SGX 기술을 뛰어넘어 VMX(가상화 확장) 기능을 확장하여, 신뢰할 수 없는 하이퍼바이저 환경에서도 하드웨어의 지원을 통해 VM을 안전하게 실행하고, VMM과 다른 도메인으로부터 분리하여 작동할 수 있도록 하는 기술입니다. 이를 위해 Intel TDX는 Trust Domain이라고 불리는 보호 도메인을 활용합니다. 이 도메인은 기밀성, 무결성, 메모리 변환 무결성, CPU 상태의 기밀성 및 무결성, 안전한 인터럽트 전달, 그리고 원격 증명(Attestation) 등을 제공하여 보호합니다.
인텔 TDX는 소프트웨어 및 하드웨어 기반의 대부분의 공격으로부터 시스템을 보호할 수 있지만, 플랫폼의 메모리를 직접 캡처하는 등의 물리적인 공격 방법에 대해서는 방어하기 어려운 한계가 있습니다. 이러한 한계를 갖고 있음에도 불구하고, 인텔 TDX는 기밀성과 보안성을 강화하며 신뢰할 수 있는 가상 환경을 제공하여 다양한 보안 위협으로부터 시스템을 보호하는 데 기여합니다. 소프트웨어가 TD내부에서 충분한 Security체크를 통해서 돌아간다는 것을 클라우드 플랫폼 이용자에게 전달하기 위한 외부 인증 기법(Remote attestation)을 Intel TDX는 제공하고 있습니다.
Azure 기밀 가상머신 선택
그림002
그림002 처럼 Azure Portal에서 프리뷰이므로 현재는 East US2 등등에서 만 선택 가능합니다. 또한 이미지도 small disk 로 된 윈도우 2019만 선택 가능하며 DCedsv5-series 나 ECedsv5-series 처럼 C라는 문자가 들어간 타입만 선택할수 있습니다.
그림003
그림003 은 Portal에서 가상머신을 선택할때 3가지 타입의 보안타입을 이제 선택할 수 있습니다.
TDX의 단점은?
1.물리적 공격에 취약: TDX는 하드웨어 수준에서 가상 머신 간에 격리를 제공하지만, 물리적인 공격으로부터 완전히 보호하지는 못합니다. 플랫폼의 메모리를 직접 캡쳐하는 메모리 스니핑이나 플랫폼 레벨에서의 물리적 접근과 같은 물리적 공격은 TDX가 해결하기 어려운 부분입니다.
2.하드웨어 요구 사항과 호환성: TDX를 사용하려면 특정 하드웨어 지원이 필요하며, 이는 모든 시스템이나 플랫폼에서 사용 가능하지 않을 수 있습니다. 또한 이 기술을 활용하기 위해서는 하드웨어 및 소프트웨어 측면에서의 호환성을 고려해야 합니다.
성능 영향: 하드웨어 기반의 보안 기술은 종종 일부 성능 영향을 초래할 수 있습니다. TDX도 예외는 아니며, 가상 머신 간의 격리와 보안을 위해 추가적인 작업을 수행하므로 성능에 약간의 영향을 미칠 수 있습니다.
3.복잡성과 구현 난이도: 하드웨어 기반의 보안 기술은 구현이 복잡하고, 관리와 유지보수에 있어서도 더 많은 노력과 전문 지식을 요구합니다. 이로 인해 초기 설정과 관리가 어려울 수 있습니다.
4.최신 기술의 적용 속도: 하드웨어 기반의 보안 기술은 시스템 업데이트나 최신 기술 적용에 따른 시간 지연이 발생할 수 있습니다. 이로 인해 최신 보안 취약점에 대한 대응이 다소 느릴 수 있습니다.
이러한 단점들은 TDX의 보안성을 제한하지만, 여전히 많은 보안 위협으로부터 시스템을 보호하는 데 효과적인 수단으로 인정되고 있습니다.
Trusted Launch 와 Confidential VMs 차이
Trusted Launch와 Confidential VMs는 모두 보안을 강화하기 위한 기술이지만, 목적과 기능에서 약간의 차이가 있습니다.
Trusted Launch (신뢰할 수 있는 부팅): 이 기술은 시스템이 부팅될 때부터 시작하여 플랫폼의 신뢰성을 보장하는 데 중점을 둡니다. Trusted Launch는 하드웨어 루트 신뢰성 기반의 부팅 프로세스를 보장하여 시스템의 각 구성 요소가 신뢰할 수 있는지를 확인합니다. 이를 통해 BIOS 또는 펌웨어로부터 OS와 애플리케이션의 실행까지 연결된 모든 단계에서 시스템의 무결성을 보호합니다.
Confidential VMs (기밀 가상 머신): 이는 클라우드 환경에서 민감한 데이터를 보호하기 위한 것으로, Intel TDX와 같은 하드웨어 기반의 기술을 사용하여 가상 머신 간에 격리된 보안 영역을 생성합니다. Confidential VMs는 메모리 내용을 암호화하여 민감한 정보가 노출되는 것을 방지하고, 클라우드 환경에서의 데이터 보안을 강화합니다.
Trusted Launch는 하드웨어와 플랫폼 레벨에서의 신뢰성을 강화하는 데 초점을 맞추고, Confidential VMs는 클라우드에서 가상 머신 간 보안을 강화하여 민감한 데이터를 보호하는 데 주력합니다. 둘 다 하드웨어 보안을 기반으로 하지만 다른 측면의 보안을 강화하는 데 사용됩니다.
AWS Nitro Enclaves 와 Azure TDX 기밀 컴퓨팅 차이
AWS Nitro Enclaves와 Azure TDX는 클라우드 환경에서 보안을 강화하기 위한 기술이지만, 약간의 차이가 있습니다.
AWS Nitro Enclaves: 이는 AWS의 Nitro 가상화 기술을 기반으로 하는 솔루션으로, 가상 머신 내부에 격리된 안전한 환경(Enclave)을 생성합니다. 이 Enclave는 민감한 데이터나 보안 감시가 필요한 워크로드를 안전하게 실행할 수 있도록 해주는데, 이러한 Enclaves는 완벽히 격리되어 있어 해당 가상 머신의 다른 부분과 분리되어 있습니다. 데이터 처리를 위한 격리된 환경을 제공하여 외부에서의 접근을 방지하고 보안성을 높입니다.
Azure TDX (Trust Domain Extensions): 이는 Intel의 하드웨어 기반의 기술로, 기밀성이 요구되는 가상 머신 간에 격리된 보안 영역을 생성합니다. 이것은 메모리 내용을 암호화하여 데이터 노출을 방지하고, 클라우드 환경에서의 민감한 작업 부하를 보호합니다. Azure의 Confidential VMs를 통해 TDX를 활용하여 데이터 보호 및 격리를 강화합니다.
주요한 차이점 중 하나는 Nitro Enclaves가 특정 AWS 인프라에서 실행되는 반면, Azure TDX는 Intel의 하드웨어 기반으로 작동하며 Azure의 Confidential VMs와 같이 사용됩니다. 둘 다 보안을 강화하기 위해 하드웨어 기반의 격리와 보호를 제공하지만, 구현 방식과 특정한 클라우드 서비스와의 통합에서 차이가 있습니다.
Azure 기밀 가상머신과 보안 규제 법
Intel TDX를 기반으로 하는 Azure의 기밀 가상 머신은 GDPR 및 HIPAA와 같은 규정 및 규제 준수를 강화하는 데 도움이 될 수 있습니다.
GDPR(일반 개인정보 보호법):
데이터 보호: 기밀 가상 머신은 메모리 내용을 암호화하여 민감한 정보의 노출을 방지하고, 데이터에 대한 엄격한 접근 제어를 제공합니다. 이는 GDPR에서 요구하는 개인 데이터 보호에 부합하며, 데이터 노출 위험을 줄일 수 있습니다.
기술적 보호조치: Intel TDX는 하드웨어 기반의 보호 수준을 높여 안전한 데이터 처리 환경을 제공하여 GDPR에서 요구하는 적절한 보호 조치를 충족시킬 수 있습니다.
HIPAA(건강보험 이동성과 책임법):
개인 건강 정보 보호: 기밀 가상 머신은 민감한 건강 정보를 안전하게 저장하고 처리할 수 있는 환경을 제공합니다. 이를 통해 HIPAA 규정에서 요구하는 개인 건강 정보 보호에 부합할 수 있습니다.
데이터 암호화 및 보안성: Intel TDX는 데이터의 기밀성을 유지하기 위해 메모리 암호화를 제공하며, 민감한 건강 정보에 대한 액세스 제어를 강화하여 HIPAA에서 요구하는 보안성을 강화합니다.
이러한 기술적 보안 조치는 GDPR 및 HIPAA와 같은 규정 준수를 위한 한 부분일 뿐입니다. 따라서 조직은 여전히 데이터 처리 및 관리 과정에서 적절한 정책 및 절차를 시행하여 전반적인 규정 준수를 보장해야 합니다.
결론
Intel TDX를 기반으로 하는 Azure의 기밀 가상 머신은 뛰어난 보안성을 제공합니다. 이 기술은 하드웨어 기반의 보호 도메인을 활용하여 기밀성, 무결성, 메모리 변환 무결성, CPU 상태의 기밀성 및 무결성, 안전한 인터럽트 전달, 그리고 원격 증명과 같은 다양한 보안 측면을 강화합니다.
기밀 가상 머신은 클라우드 환경에서 민감한 데이터를 보호하기 위해 메모리 내용을 암호화하고, 격리된 보안 영역을 구축하여 가상 머신 간에 안전한 환경을 제공합니다. 이는 클라우드에서 작동하는 비즈니스에 중요한 역할을 합니다. 민감한 정보를 안전하게 보호하고 클라우드 환경의 신뢰성을 향상시키는 데 기여하여 보안적으로 더욱 강력한 솔루션을 제공합니다.
그러나 물리적 공격과 같은 일부 공격 형태에 대한 완벽한 방어를 제공하지는 않을 수 있습니다. 이러한 한계를 고려하더라도, Intel TDX를 활용한 기밀 가상 머신은 클라우드 환경에서의 데이터 보호와 보안을 강화하는 데 중요한 역할을 하며, 신뢰할 수 있는 환경을 구축하는 데 큰 도움이 됩니다.
Reference
프리뷰 https://azure.microsoft.com/ko-kr/updates/public-preview-intel-tdx-based-confidential-vms-now-available-in-the-azure-portal-azure-cli-and-arm-templates/?WT.mc_id=AZ-MVP-5002667
DCesv5 및 DCedsv5 시리즈 기밀 VM https://learn.microsoft.com/en-us/azure/virtual-machines/dcesv5-dcedsv5-series?WT.mc_id=AZ-MVP-5002667
다자간 컴퓨팅 아키텍처 설계 https://learn.microsoft.com/en-us/azure/architecture/guide/blockchain/multiparty-compute?WT.mc_id=AZ-MVP-5002667
TDX 란https://junhoahn.kr//noriwiki/index.php/Trust_domain_extensions#:~:text=10%20References-,%EA%B0%9C%EC%9A%94,%EC%88%98%20%EC%9E%88%EB%8F%84%EB%A1%9D%20%ED%95%98%EB%8A%94%20%EA%B8%B0%EC%88%A0%EC%9D%B4%EB%8B%A4.
인텔 TDX https://www.intel.com/content/www/us/en/developer/tools/trust-domain-extensions/overview.html
Azure trusted Launch vm https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch?WT.mc_id=AZ-MVP-5002667?WT.mc_id=AZ-MVP-5002667
]]>| Standard HDD | Standard SSD | Premium SSD | Ultra Disk | Premium SSD v2 | |
| 최대용량 | 32767GiB | 32767GiB | 32767GiB | 65536GiB | 65536GiB |
| 최대IOPS | 2000 | 6000 | 20000 | 160000 | 80000 |
| 최대처리량 | 500MB/sec | 750MB/sec | 900MB/sec | 4000MB/sec | 1200MB/sec |
가용성 영역을 사용하는 AKS 클러스터에 대한 월간 가동 시간 계산 및 서비스 수준을 계산해보면 최대 사용 가능 시간(분)은 고객이 청구 월 동안 AKS 클러스터를 중지하거나 삭제하는 작업을 시작한 시간까지 가용성 영역 지원 AKS 클러스터의 총 누적 시간(분)입니다. 가동 중지 시간은 해당 지역의 프로비저닝된 가용 영역 지원 AKS 클러스터에서 Kubernetes API 서버에 연결되지 않은 최대 사용 가능 시간(분)의 일부인 총 누적 시간(분)입니다.
가용성 영역이 활성화된 AKS 클러스터에 대한 "월간 가동 시간 백분율"은 지정된 Microsoft Azure 구독에 대해 청구 월의 최대 사용 가능한 시간(분)에서 가동 중지 시간을 뺀 최대 사용 가능한 시간(분)으로 계산됩니다. 월별 가동 시간 비율은 다음 공식으로 표시됩니다. 월별 가동 시간 % = (최대 사용 가능한 시간(분) - 가동 중지 시간) / 최대 사용 가능한 시간(분) X 100 가동 중지 시간은 프로비전된 AKS 클러스터가 Kubernetes API 서버에 연결되지 않은 최대 사용 가능 시간(분)의 일부인 총 누적 시간(분)입니다. 쉽게 말해서 Kubernetes 의 API 서버에 엔드 포인트에 대한 부분 외는 SLA 범위가 아닙니다. 이는 생각보다 중요한 부분입니다. AKS 의 업데이트 시 가동 중지 , 사용 불가, 일시 중지 등에 따라 API 서버의 엔드 포인드가 죽지 않고 살아만 있다면 된다라는 의미입니다. AKS 의 모든 부분에 대해서 SLA 를 보장하지 않는 다는 내용입니다. 대부분의 고객은 AKS 클러스터 SLA라고 하면 AKS에 모든 부분에 대해서 SLA 보장이 되는 것이라 믿고 있을것 입니다. 그러나 https://azure.github.io/PSRule.Rules.Azure/en/rules/Azure.AKS.UptimeSLA/ 이 SLA 공식 문서를 보면 하기 처럼 정확한 AKS의 범위가 적혀 있습니다. 가동 시간 SLA는 가용 영역을 사용하는 클러스터에 대해 Kubernetes API 서버 엔드포인트의 99.95% 가용성을 보장합니다. 라고 쓰여 있으므로 이부분은 매우 중요한 부분입니다.
그림001
그림001 에서 보면 AKS SLA 보장은 Standard 티어 부터 가능하다고 써있으므로 이부분도 확실히 잘 인지 해야 합니다.
AWS 의 EKS 는 어떨까요?
https://aws.amazon.com/ko/eks/sla/ 여기에 있는 AWS EKS SLA 공식 문서 입니다. 당연하게 Azure 와 똑같은 SLA를 보장합니다. AWS EKS 문서를 봅시다.
특정 EKS 클러스터에 대한 "월간 가동 시간 백분율"은 EKS 클러스터 엔드포인트를 사용할 수 없는 월별 청구 주기 동안 5분 간격의 백분율을 100%에서 빼서 계산됩니다. 해당 EKS 클러스터를 한 달 중 일부 기간 동안만 실행한 경우 EKS 클러스터는 해당 달 중 실행되지 않은 부분에 대해 100% 사용 가능한 것으로 간주됩니다.
-> 이말은 엔드포인트만 보장한다는 의미입니다.
결론
어쩜 이렇게 Azure 와 AWS 가 완전히 같은 SLA를 보장할까요? EKS 엔드포인트를 사용할수 없는 시간만 빼줍니다. 범위가 엔드포인트 까지 입니다. 필자의 직접 경험을 비출때 엔드포인트 이외의 장애 말고는 보상해주지 않습니다. AKS와 EKS는 각각의 클라우드 제공 업체의 강점과 약점을 가지고 있습니다. SLA 보상 범위는 Azure 든 AWS 든 고객을 완전히 만족시키는 SLA를 아닌것으로 보입니다. SLA 부분 보시면 범위 뿐만아니라 가동 시간이 월 클러스터 비용의 퍼센트를 제공해주므로 AKS 나 EKS 를 많이 쓰는 고객 아니라면 비용적으로 의미가 있는 보상은 아니라는 제 개인적 생각입니다. 실제로 많이 사용하는 고객이라면 서비스가 장애가 났다면 비용으로 이를 매꿀수 있는 수준은 아니며 단순히 증빙용이 아닐까 생각이 듭니다.
]]>
그림001
그림001은 DNS 도메인에 대한 모든것을 설명합니다. 이 그림 하나로 모든것을 이해 할 수 있습니다.
1.User 가 1번의 DNS Resolver 에게 먼저 물어봅니다.DNS resolver는 일반적으로 인터넷 서비스 제공업체(ISP)나 네트워크 서비스 제공업체에서 제공하는 서버입니다. 이 resolver 서버들은 물리적으로 전 세계에 분산되어 있습니다. 사용자의 장치(컴퓨터, 스마트폰 등)는 일반적으로 ISP에서 제공하는 DNS resolver를 사용하거나 특정한 공공 DNS resolver(예: Google Public DNS, Cloudflare DNS 등)를 사용합니다. 여기서 예제를 image.kakayo.com 이미지.카카요 닷컴이라는 도메인이 있다고 가정합니다.이미지. 카카요 닷컴을 유저가 브라우저에서 입력 하면 먼저 KT DNS 리졸버에게 물어봅니다. 이미지. 카카요 어딧냐? 라고 물어보면 그림의 2번 숫자처럼 Root name server에게 물어봅니다.
2.2번에서 Root name server 는 또다시 난 레코드가 없다라고 답변하고 대신 나는 .com 주소는 알아 라고 DNS Resolver에게 대답해줍니다.
3.3번에서 DNS Resolver 는 TLD .com 서버에게 물어봅니다. 어 너 이미지. 카카요닷컴 어딧는지 알어?
응 알아? 난 kakayo.com 만 알아 이미지는 어딧는지 몰라.라고 DNS resolver에게 답변 합니다.
4.DNS Resolver 는 이미지. 카카요닷컴 어딧냐 라고 물어보면 이제 Azure DNS에 등록 되어 있는 카카요닷컴 주소를 DNS Resolver 에게 답변합니다.
5.DNS Resolver는 이제 카카요 닷컴이 있는 Azure DNS 에게 물어봅니다. 이미지.카카요는 어딧냐? 라고 물어보면 어 이미지.카카요는 다른 Azure DNS 에 있어 라고 합니다 그래서 그 두번째 Azure DNS 에 이미지.카카요닷컴의 주소를 DNS Resolver에 줍니다. 이야.. 그래서 유저는 드디어 image.kakayo.com 에 주소를 받게 됩니다. 그래서 그 주소가 있는 웹서버에 접속합니다.
이 resolver 서버들은 사용자가 웹 브라우저에 도메인 이름을 입력했을 때, 해당 도메인 이름을 IP 주소로 해석하는 작업을 수행합니다. 그러기 위해선 이 resolver 서버들은 DNS 계층 구조를 따라 동작하여 루트 DNS 서버, 톱레벨 도메인(TLD) 서버, 그리고 해당 도메인의 Authoritative Name Server까지 쿼리를 보내고 응답을 받습니다.따라서 DNS resolver는 사용자와 도메인의 실제 물리적 위치 사이에서 중간 역할을 하며, DNS 서비스를 통해 도메인 이름을 IP 주소로 해석하는 과정에서 중요한 역할을 수행합니다. 이 resolver 서버들은 분산되어 있어 전 세계 어디에서나 빠르고 효율적인 DNS 해석을 제공할 수 있도록 구축되어 있습니다.
DNS Resolver는 그러면 매번 이 과정을 수행 하냐? 아닙니다. 한번 불러 온 일을 미리 캐싱해서 2번3번4번5번을 반복하지 않습니다.
6.그림에서 6은 .com 인지 .net 인지 최상위 Root 주소만 알고 있습니다. 그 주소를 .com 주소에게 자동적으로 위임이 되어 있습니다.
7.그림에서 7번은 도메인을 구입한 곳에서 Name server를 직접 제공한다거나 Nameserver를 변경할수 있도록 해줍니다. 반약 변경을 한다면 이 도메인에 대한 소유권을 Azure DNS로 옴기는 작업이 필요하며 그 방법은 단순이 Nameserver을 Azure DNS 에 생성하고 Nameserver 4개의 주소를 Azure DNS 에 DNS Record를 적으면 됩니다. 그러면 이 도메인은 kakayo.com 까지 주소의 하위주소까지 전부 소유 합니다.
8.그림에서 8번은 도메인은 7번의 Azure DNS 는 kakayo.com 을 소유 하지만 8번에 image.kakayo.com의 소유권을 넘기는겁니다. 이말은 소유권을 넘긴다라는 말은 image.kakayo.com은 8번에서 관리한다는 의미입니다. 자 그러므로 7번과 8번의 Azure DNS 의 Azure 텐던트나 구독이 다른곳에서 만들수 있다는 의미입니다. 이말은 내가 .만약 7번을 가지고 있는 kakayo.com 의 DNS 루트관리자와 image.kakayo.com 의 루트 관리자를 다른 계정, 다른 구독, 다른 회사, 다른 자회사에게 해당 도메인만 줄수 있다는 장점이 있습니다. 마약 카카요닷컴에 자회사가 경매 사업을 시작했습니다. 카카요옥션 이라고 해보죠. 카카요옥션은 auction.kakayo.com 도메인을 사용하고 싶습니다. 이때 바로 우리는 다른 자회사의 DNS 관리자에게 소유권을 부분 이전해줄수 있다라고 생각하시면 됩니다.
결론
DNS 위임은 네트워크에서 도메인 이름을 IP 주소로 해석하는 프로세스를 관리하는 중요한 방법 중 하나입니다. 위임의 장점 중 하나는 계층화된 구조로 인해 도메인 네임 시스템이 유연하고 확장 가능하다는 것입니다. 그러나 위임은 몇 가지 단점과 함께 제약사항도 가지고 있습니다.
장점 중 하나는 확장성입니다. DNS 위임은 도메인 이름 공간을 분할하고, 관리하고, 분산하여 조직의 필요에 맞게 맞춤 설정할 수 있게 합니다. 이는 대규모 네트워크 환경에서 유용합니다. 또한, 위임은 오류나 문제가 발생했을 때 일부 영역만 수정하고 관리할 수 있는 장점이 있습니다. 이는 유연한 관리와 유지보수를 가능하게 합니다.
그러나 이러한 장점과는 별개로, 위임은 몇 가지 단점도 가지고 있습니다. 주요 단점 중 하나는 오류 발생 시 트러블슈팅이 어려울 수 있다는 점입니다. 도메인 이름 해석에 문제가 발생하면, 이를 해결하기 위해 위임 구조를 탐색해야 할 수 있습니다. 또한, 위임된 영역 간의 일관성 유지와 관련된 어려움도 있을 수 있습니다.
또한, DNS 위임은 인프라 구조가 조직 내에서 제대로 설정되어야 합니다. 올바르게 구성되지 않으면 위임된 영역의 관리나 보안 문제가 발생할 수 있습니다.
요약하자면, DNS 위임은 유연성과 확장 가능성을 제공하는 데 도움을 줍니다. 그러나 잠재적인 오류와 관련된 복잡성, 그리고 적절한 구성과 관리의 필요성이 있는 단점도 고려해야 합니다. 올바르게 구성하고 유지보수하는 한, DNS 위임은 효과적인 도메인 이름 관리 방법 중 하나로 여겨질 수 있습니다.
]]>
그림001
2. 그림002 처럼 Azure 의 경우 매우 독특하게 Azure native ISV service 란 제품으로 도 가능합니다.
이기능은 Azure 포털 안에서 DataDog 을 바로 연결해서 Datadog organization을 만들거나 연동할수 있는 기능인데..
매우 편한 기능이긴 한데 아직 West US2 만 지원을 해서 아직은 반쪽짜리 제품입니다.
DataDog 은 ORG 의 위치에 따라 독립적이기 때문에 West US2 만 지원되는 것은 곧 업데이트 되어야 할것으로 보입니다.
그림002
3. Azure Portal 의 서칭 창에서 Azure Entre ID 를 서칭 합니다. 이 제품이 구 Azure Active Directory입니다.
이름이 변경 됐지만 이부분이 업데이트 된 공식문서는 그리 많지 않습니다.
그림003
4. Entra ID 에서 App registrations 를 선택하고 + New Registration 을 선택합니다.
그림004
5.애플리케이션을 등록 해서 Datadog 이 앱으로 서 권한을 가지게 만들어야 합니다.
하기 정보 입력
앱 이름 Datadog Thanos
계정 유형 Accounts in this organizational directory only (Default Directory only - Single tenant)
리디렉션 URL : https://app.datadoghq.com
그림005
Application (client) ID 어딘가에 이 스트링을 적어놓아야 데이터독에 등록 가능
Object ID 필요없음
Directory (tenant) ID 어딘가에 이 스트링을 적어놓아야 데이터독에 등록 가능
Value 필요없음
Secret id 어딘가에 이 스트링을 적어놓아야 데이터독에 등록 가능
이 3개의 정보를 기록 해놓고 Datadog 에 연동해야 합니다.
6.Azure 포털에서 Subscription 구독을 선택하고 권한을 줘야 합니다.
하기 그림처럼 구독-> IAM -> +Add 를 선택하고 Role Assignment 를 선택합니다.
그림006
7. 역할을 추가 하는데 이중에 integration 만 할 예정이므로 monitoring Reader 를 선택하고 Next 를 선택합니다.
그림007
8.맴버 탭에서 애플리케이션에서 등록한 Datadog Thanos 를 찾습니다.
그림008
9.Datadog Thanos 를 선택합니다.
그림009
10. 다시 Entra ID로 돌아가서 그림010 처럼 Certificates & secrets 를 선택하고 새로운 키를 만듭니다.
그림010
11.새로운 키에 대한 유효기간을 설정합니다. 이부분이 매우 좋은 프로세스입니다.
최소 권한 원칙 및 유효기간을 설정할수 있는 부분이 보안에 매우 좋은 예라고 할수 있습니다.
그림011
12.데이터독 포털로 돌아가서 Integrations 탭을 선택하고 Configuration을 선택하면 2가지 선택지가 나옵니다.
한개는 Azure ARM Template으로 하는 방법과 수동으로 하는 방법이 나옵니다. ARM 이 더 쉽지만 우리는 수동
유저이므로 어려운길을 택했습니다. 사실 Bicep 도 선택지가 추후에는 있어야 할듯 합니다. 윗단계에서 적어놓은
3가지 값을 카피해서 넣으면 연동이 마무리 됩니다.
그림012
13.인테그레이션 탭을 확인하면 테스트용도의 2개의 Azure VM 이 연동된것을 볼수 있습니다.
그림013
14.당연하게도 Datadog 에 제공한 Azure 모니터링 Reader 권한이므로 딱 거기까지만 보입니다.
예를들어 RAM 이나 더 많은 메트릭을 보기 위해서는 Agent를 설치 해야 합니다. DataDog 이 연동안한 정보까지는 볼수 없습니다.
그림014
그림015
15.DataDog 대시보드 탭에서 보면 디폴트 Azure 인프라 모니터링 을 보면 하기 그림015처럼 여러가지 다양한
대시보드를 원하는대로 커스텀이 가능합니다.
결론
AWS 에 비해 Azure는 예전보다는 많은 제품을 커버해주긴 하지만 아직도 많은 제품이 연동 안되는 부분이 있습니다.
인테그레이션만 보여준 기초이지만 다양한 기능을 연동하기 위해서 다양한 방법을 사용해야 합니다. Datadog은 모니터링
및 분석 도구로 클라우드에서 유명합니다. 시스템의 성능을 실시간으로 모니터링하고 문제를 신속하게 해결하는 데 도움을 줍니다.
다양한 데이터 소스를 통해 종합적인 시각화와 분석을 제공하여, 운영 효율성을 높이고 문제 발생을 최소화하는 데 도움이 됩니다.
하지만 어떤 도구를 선택할지는 사용하는 상황과 필요에 따라 다를 수 있습니다. 조직의 요구 사항, 기술 스택, 비즈니스 목표
등을 고려하여 적합한 도구를 선택하는 것이 중요합니다. 어떤 도구를 사용하는, 적절한 구성과 사용법을 이해하고
효과적으로 활용하는 것이 성공에 중요한 포인트입니다. 또한 가장 중요한 포인트는 Datadog은 기본적으로 비싸기때문에
잘 옵티마이즈 해서 필요한 부분만 사용하는 것이 필요합니다. 다른 툴에 비해 현재는 매우 상위권 제품은 확실합니다.
근래에는 데이터독이 보안에 초점을 맞춰서 다양한 제품을 내놓고 있으며 이에 따라 모니터링 솔루션만으로는 더 큰 비전을
볼수 없기 때문에 새로운 도전을 하는 듯 합니다.]]>- 비용 Archive 단계로 가기 전까진 최저 가격입니다.
- Cold 티어이면서도 복원 시간이 없으며 검색 시간이 빠르다.
2. 포털에 접속합니다.
3.스토리지 어카운트의 Blob에 컨테이너를 하나 만들고 동영상 mp4 파일을 업로드 합니다.
하기의 스크린샷 처럼 Hot 티어 입니다
4. 하기의 스크린샷 처럼 Change Tier 를 클릭 하면 Cold 티어가 보입니다.
5. Cold 티어로 변경되었습니다.
6. Storage Explorer 에서는 티어 변경이 아직 안됩니다.
7. 포털에서 변경하고 나면 Cold 계층으로 변경은 됩니다.
8. Cold 티어이지만 URL로 접근하면 하기 스크린샷 처럼 바로 스트리밍이 됩니다.
결론
Azure Archive 티어는 는 긴 기간 보존할 필요가 있는 데이터에 이상적인 비용 효율적인 스토리지 서비스입니다. 하지만 데이터를 검색하는 데 소요되는 시간이 오래 걸리기 때문에 긴급한 데이터 복구 시나리오에서는 사용하기 어려웠습니다. 이를 해결하기 위해 Azure는 Azure Cold 티어을 도입했습니다.
Azure Cold 티어은 기존의 Azure Archive 티어보다 빠른 검색 시간과 높은 가용성을 제공합니다. 이를 통해 긴급한 데이터 검색과 복구가 가능해졌습니다. 또한, Azure Cold 티어은 Azure Archive 티어보다 높은 가격대를 가지고 있지만, 비용을 최소화하기 위해 수명 주기 규칙과 조정 가능한 검색 수준 등을 제공합니다.
하지만, Azure Cold 티어을 사용할 때는 여전히 불리한 점이 있습니다. 가장 큰 단점은 높은 비용입니다. Azure Cold 티어은 검색된 데이터 양과 검색 횟수에 따라 비용이 결정되기 때문에 검색이 더 빈번하게 발생할수록 더 많은 비용이 발생할 수 있습니다. 또한, 검색 시간이 다른 스토리지 클래스보다 느리다는 것도 단점 중 하나입니다.
결론적으로, Azure Cold 티어은 긴급한 데이터 검색과 복구 시나리오에서 매우 유용합니다. 그러나 검색 속도와 가용성이 중요하지 않은 경우에는 기존의 Azure Archive 티어나 다른 티어를 사용하는 것이 더 경제적일 수 있습니다. 따라서 사용자는 자신의 요구 사항과 예산에 맞게 적절한 스토리지 클래스를 선택하는 것이 중요합니다.
Reference Link
Blob 데이터를 위한 액세스 계층
]]>
그림001
그림002
코드 링크 https://github.com/thanoslee369/chatgpt-terraform-azure/blob/main/gptoriginal001.tf
상단의 코드 링크에 코드는 chatgpt가 준 코드입니다.이 코드는 만약 테라폼을 아신다면 매우 낯익을수 있습니다. https://registry.terraform.io/providers/hashicorp/azurerm/latest/docs/resources/virtual_machine 링크에 있는 코드와 유사합니다. 조각조각을 붙여서 만들어온 느낌의 답변입니다.
잘 실행 될까요? 실행이 안됩니다. 그래서 왼쪽 코드는 에러가 나지 않게 고친 코드입니다.
그림003
어떻게 고쳤는지 과정을 알아볼까요?
그림003에서 1번 빨간 박스를 보면 버전 부분이 이 너무 예전 버전입니다. 최신버전이 3.43인데 이버전은 너무 낮은 버전입니다. 버전을 삭제 하면 자동으로 디폴트 버전을 사용할수 있습니다.
2번 빨간박스를 보면 address_prefix 는 주소값을 한개만 받는 예전 코드입니다. address_prefixes로 바꾸고 배열 [] 로 바꿔줍니다. 이건 예전에만 사용되던 코드입니다.
3번 빨간빡스는 dynamic 을 Dynamic으로 변경해줍니다.
4번 빨간박스는 스토리지 어카운트 이름이므로 URL이 되므로 이미 선점된 이름은 사용할 수 없습니다.그러므로 뒤에 숫자를 붙여서 유니크한 URL을 만들어 줍니다.
그림004
그림004에 1번 빨간 박스는 현재는 사용되지 않는 예전 코드에서만 존재하는 코드입니다. 그래서 주석 처리 했습니다.
2번 빨간 박스는 어떤 부분이 잘못되었을까요? 이름이 다른 이미지라 실행되지 않습니다. 우분투 16.04로 변경해봤습니다.
그림005
다고치면 이렇게 그림005처럼 잘 실행되고 리소스가 만들어 집니다.
다고쳐진 코드 링크 https://github.com/thanoslee369/chatgpt-terraform-azure/blob/main/fixedmain001.tf
그림006
Azure portal에서도 잘 만들어집니다.
지금 실험은 단순히 예제를 실험한 한것입니다. Chatgpt 가 이렇게 허술한 예제만 준다면 사람들이 열광할까요? 예전코드라 실행이 안되며 여러가지 오류도 있습니다.
자 좀더 심화된 테스트를 해보겠습니다.
Chatgpt에게 좀더 여러가지 질문을 한번에 해보고 코드를 짜달라고 해보겠습니다.
Can you write a terraform code to create followings
A Virtual network with a cidr block of 18.2.0.0/16
Regions in korea central
A subnet with cidr block 18.2.0.0/24 with vnet, and no public IP
A nsg that allows incoming traffic on 22(SSH), 80(http), from 18.2.0.0/16
Virtual machine type = Standard DS1 v2 (1 vcpu, 3.5 GiB memory)
Operating system is ubuntu 20.04 LTS
가상네트워크의 주소는 18.2.0.0/16이고 한국 중부에 서브넷은 18.2.0.0/16 주소이고 퍼브릭 아이피는 없이 만들어 주고 이서브넷의 22번과 80번 포트 열어주고 Standard DS1 v2 로 만들고 우분투 20.04 LTS 를 만드는 코드를 써줘 라고 질문했습니다.
그림007
그림008
그림009
그림007 008 009가 chatgpt의 답변입니다.
답변 코드 링크
https://github.com/thanoslee369/chatgpt-terraform-azure/blob/main/gptoriginal002.tf
이렇게 자세하게 원하는것을 넣었는데도 답변이 나오다니 chatgpt는 놀랍습니다.
잘 실행 될까요? 실행이 안됩니다.
그림010
첫번째 빨간박스에 버전은 2.0이므로 오래된 버전이므로 해당 부분은 삭제 했습니다. 삭제하면 디폴트 버전이 실행됩니다
2번 빨간박스를 보면 address_prefix 는 주소값을 한개만 받는 예전 코드입니다. address_prefixes로 바꾸고 배열 [] 로 바꿔줍니다. 이건 예전에만 사용되던 코드입니다.
그림011
그림011에서 이미지 이름이 다르기 때문에 이를 16.04 버전 이름으로 변경했습니다.
그림012
그림012에서 비밀번호는 다른 비밀번호로 변경했습니다.
Chatgpt가 준 코드에서 오류를 고친 코드 링크
https://github.com/thanoslee369/chatgpt-terraform-azure/blob/main/fixedmain002.tf
그림013
고친 코드를 실행했습니다. 매우 잘 실행이 됩니다
그림014
Azure 포털에서도 리소스가 잘 생성되었습니다.
결론
매우 간단한 테스트이지만 내가 원하는 변수를 코드에 넣어서 코드를 주는 부분이 매우 인상적입니다. 오래된 코드와 현재 코드를 섞어서 만들어 주는 부분도 인상적이며 결과 값이 무조건 실행이 되지는 않는 부분이 약간 아쉽습니다. 그러나 활용도는 매우 높을 수 있습니다. 질문에 따라서 매우 좋은 코드의 결과도 가져올 수 있으며 안되는 코드를 고쳐 주는 부분도 존재합니다. 아직 초기 품질은 약간 오류도 있고 문제도 있으며 단어 하나하나에 따라 결과 값이 좀 다른 부분도 있습니다. 그러나 확실한 건 기존에 없던 파격적 기술이라는 것은 의심이 필요 없습니다. Chatgpt로 인해 직업을 잃거나 일자리가 줄어들 수 있다는 말은 거짓이며 개발자가 코딩에서 많은 부분을 도움을 받을 수 있다 라고 표현하면 정확합니다.구글 서칭도 처음부터 완벽하진 않았습니다. 점점 발전해 나가는 부분은 기대할 만 합니다. 테라폼 모듈을 만드는 부분을 해볼 예정이며 결과가 궁금합니다. 쓰는 사람이 아주 코딩을 할 줄 모르면 디버깅이 안되기 때문에 어려울 수 있지만 테라폼을 중급만 되어도 쉽게 chatgpt를 응용 할 수 있을 듯 합니다. ]]>- 애저 포털 로그인하고 리소스 만들기
- 검색창에서 Azure Load Testing 으로 찾습니다
- Create 선택
- 리소스 그룹 만들기 rg-azure-load-testing
- 인스턴스 이름 azure-load-testing001
- 지역 east-asia 선택
- 만들기
- 빠른 테스트 만들기 선택
- 테스트 하고 싶은 URL 선택 cloud.syncrofusion.com
- 가상 사용자수를 300으로 선택 하면 2개의 인스턴스에서 테스트 가능
- 테스트 시간 및 테스트의 증가 시간 업데이트
- 테스트 후 시작
- 결과 보기
배경 하루에 몃번이나 Terraform 명령어를 치는 데 terrafrom으로 오타를 쓴것이 약 250만번쯤 되는데 이를 Tesla 로 변경하는 방법 bash 를 사용한다고 가정
bash 는 Bourne Again Shell의 약자로 유저의 Command를 받아서 장치와 연결되는 작업을 실행 할수 있는 인터프리터 입니다. 소스 코드를 직접 실행 하면서 소스코드를 변환 한것을 바로 생행 합니다. 코드를 기계어로 번역하는 컴파일러와 차이점을 가지고 있습니다.
적용 방법 Bash의 Run Commnad 인 bashrc의 위치는 다릅니다.
- home Directory 로 간다
- nano .bashrc 로 .bashrc를 편집
- alias tesla="terraform" 테슬라로 테라폼에 별칭을 준다.
- 데이터 용량
- 다운로드 네트워크 트래픽(데이터센터 바깥으로 나가는 트래픽이며 업로드는 무료)
- 운영 및 데이터 전송
- 로그 비용
- 예약 용량 가격
- GRS 의 비용
- Archive 계층에 검색 비용
- SFTP 비용
- Blob 인덱스 비용
- 암호화 Key 볼트 비용
- Blob 변경 피드 비용
그림001
1.데이터 용량은 1기가의 Blob을 계층은 표준 v2 이며 핫에 LRS 를 사용하면 한달 동안 쓰면 25.34원이 나가는 부분입니다.
매우 간단하며 1기가에 대한 저장 용량 이므로 매우 직관적으로 알 수 있는 부분입니다.
그림002
2.다운로드 네트워크 트래픽(데이터센터 바깥으로 나가는 트래픽이며 업로드는 무료) 은 계산기에 없는 내용입니다. 네트워크 트래픽을 완벽히 예측 할 수 있는 방법은 없습니다. 만약 웹서비스를 하는 입장이라면 고객이 몇 명 얼마나 들어올지 정확히 예측 할 수는 없습니다. 그러나 근사값을 예측 하는 것은 가능하며 이 부분이 근사값으로 정해 져야 하지만 Azure 계산기에서는 입력 하는 부분이 존재 하지 않습니다. 그러면 Bandwidth라는 추가 프로덕트를 선택해야 합니다 그림002는 추가로 선택한 부분입니다. 자 100기가 이하는 무료이므로 0원이 입니다. 101 기가부터는 139.38원을 부과 합니다. 101기가 마다 139.38원이 아니라 1기가에 139.38원입니다.
그러나 같은 지역에 Blob이 있고 같은 지역에 Hosting되는 VM이 있다면 그부분은 무료입니다.. 내부 Transactions은 무료라는 뜻입니다.. 그러나 만약에 서울 중부에 VM이 있고 서울 남부에 Blob이 있다면 이건 무료가 아닙니다..
3.운영 및 데이터 전송
3번은 아주 애매하며 클라우드 이전시대인 사람(1990식 소타나 세대)은 이해 하기 쉽지 않습니다. “Rest 요청” 즉 파일에 대한 읽기, 쓰기, 불러오기, 에 대한 요청 수당 에 비용이 청구 됩니다. 어 이거 머야? 라고 생각할 수 있습니다.. 결론적으로 읽고 쓰고 하는 비용까지 청구 한다고? 생각할 수 있으며 그 부분이 정확히 맞는 것입니다. 아 피곤하게 파일을 읽고 쓰고 하는 부분까지 과금한다고? 라고 생각할 수 있으며 정확히 맞는 것입니다. 자 그러나 같은 지역에 Blob이 있고 같은 지역에 Hosting되는 VM이 있다면 그 부분은 무료입니다.. 내부 Transactions은 무료라는 뜻입니다.. 그러나 만약에 서울 중부에 VM이 있고 서울 남부에 Blob이 있다면 이건 무료가 아닙니다..
- A single GetBlob request to the blob service = 1 transaction
- PutBlob with 1 request to the blob service = 1 transaction
- Large blob upload that results in 100 requests via PutBlock, and then 1 PutBlockList for commit = 101 transactions
- Listing through a lot of blobs using 5 requests total (due to 4 continuation markers) = 5 transactions
그림003
보통은 GRS 비용에 이 부분을 잘 보기 힘들지만 계산기에서 주의 깊게 보아야할 부분입니다.
7.Archive 계층에 검색 비용
그림004
그림처럼 Archive 계층에서는 검색 비용이 1GB 당 27.876으로 검색 비용이 추가 되며 이 부분을 놓치기 쉽습니다.
그림005
8.SFTP 비용
SFTP 기능을 사용하면 시간 당 0.3달러가 추가 비용이 생깁니다.
그림006
Blob에 인덱스를 생성하는 것은 만개 태그 당 0.03달러입니다.
10.암호화 볼트 키 비용
그림007
암호화 키볼트 사용시 월 1불 이 발생합니다.
11.Blob 변경 피드 비용
그림008
블롭에서 발생하는 변경 내용에 트랜젝션 로그에 대한 비용이 추가 비용이 생깁니다.
변경 피드 비용과 스토리지 분석 로깅의 차이점은 분석로그는 모든 작업에서 기록이 있지만 변경피드는 변경된 작업에서만 저장되는 로그입니다.
결론
11개의 비용에서 보통 계산기에서는 3개만 확인 할 수 있으며 나머지 8개는 비용이 매우 많이 사용하는 유저가 아니면 크게 비용이 나오지 않기 때문에 간과 할수 있으나 매우 많이 사용하는 유저일수록 다른 비용들도 고려 대상이 된다는 사실을 간과해서는 안됩니다. 보통은 새로나온 SFTP 와 같은 비용들은 새로나온 기능이며 Preview 때는 비용을 알지 못하므로 모를수 있으나 GA된 이후에 비용이 보통 나오기때문에 알기 어려운 비용들 입니다. 또한 업데이트가 매우 빠르고 계속된 업데이트에 따라서 계산기가 업데이트가 되지 않으므로 이런 부분은 놓치기 쉬운 부분입니다. 클라우드는 계속 진화 합니다. 그러므로 비용부분도 항상 체크해야 합니다. ]]>