다음을 통해 공유

대규모 Azure 서버 관리 서비스 구성

  • 아티클

Azure 서버 관리 서비스를 서버에 온보딩하려면 다음 두 작업을 완료해야 합니다.

  • 서비스 에이전트를 서버에 배포합니다.
  • 관리 솔루션을 사용하도록 설정합니다.

이 문서에서는 다음 작업을 완료하는 데 필요한 세 가지 프로세스를 설명합니다.

  1. Azure Policy를 사용하여 필요한 에이전트를 Azure VM에 배포합니다.
  2. 필요한 에이전트를 온-프레미스 서버에 배포합니다.
  3. 솔루션을 사용하도록 설정하고 구성합니다.

참고 항목

가상 머신을 Azure 서버 관리 서비스에 온보딩하기 전에 필요한 Log Analytics 작업 영역 및 Azure Automation 계정을 만듭니다.

Azure Policy를 사용하여 Azure VM에 확장 배포

Azure 관리 도구 및 서비스에서 설명하는 모든 관리 솔루션을 사용하려면 Log Analytics 에이전트가 Azure의 가상 머신과 온-프레미스 서버에 설치되어야 합니다. Azure Policy를 사용하여 대규모로 Azure VM을 온보딩할 수 있습니다. 에이전트가 Azure VM에 설치되고 올바른 Log Analytics 작업 영역에 연결되었는지 확인하는 정책을 할당합니다.

Azure Policy에는 VM용 Azure Monitor에 필요한 Microsoft Dependency Agent 및 Log Analytics 에이전트를 포함하는 기본 제공 정책 이니셔티브가 있습니다.

참고 항목

Azure 모니터링을 위한 다양한 에이전트에 관한 자세한 내용은 Azure 모니터링 에이전트 개요를 참조하세요.

정책 할당

이전 섹션에 설명된 정책을 할당하려면:

  1. Azure Portal에서 정책>할당>이니셔티브 할당으로 이동합니다.

    Screenshot of the portal's policy interface with the Assignments option and Assign initiative option called out.

  2. 정책 할당 페이지에서 줄임표(...)를 선택한 다음, 관리 그룹 또는 구독을 선택하여 범위를 설정합니다. 필요한 경우 리소스 그룹을 선택합니다. 그런 다음, 범위 페이지 아래쪽에서 선택을 선택합니다. 범위에 따라 정책이 할당된 리소스 또는 리소스 그룹이 결정됩니다.

  3. 정책 정의 옆에 있는 줄임표(...)를 선택하여 사용 가능한 정의 목록을 엽니다. 이니셔티브 정의를 필터링하려면 검색 상자에 Azure Monitor를 입력합니다.

    Screenshot of the Enable Azure Monitor for V M initiative definition.

  4. 선택한 정책 이름이 할당 이름에 자동으로 채워지지만, 할당 이름을 변경할 수 있습니다. 선택적 설명을 추가하여 이 정책 할당에 관한 자세한 정보를 제공할 수도 있습니다. 할당한 사람 필드는 로그인한 사람에 따라 자동으로 채워집니다. 이 필드는 선택 사항이며 사용자 지정 값을 지원합니다.

  5. 이 정책의 경우 연결할 Log Analytics 에이전트에 대한 Log Analytics 작업 영역을 선택합니다.

    Screenshot of the Log Analytics workspace option.

  6. 관리 ID 위치 확인란을 선택합니다. 이 정책이 DeployIfNotExists 형식인 경우 정책을 배포하려면 관리 ID가 필요합니다. 포털에서 확인란 선택이 표시하는 대로 계정이 만들어집니다.

  7. 할당을 선택합니다.

마법사를 완료한 후 정책 할당이 환경에 배포됩니다. 정책이 적용되는 데 최대 30분이 걸릴 수 있습니다. 테스트하려면 30분 후에 새 VM을 만들고 Log Analytics 에이전트가 기본적으로 VM에서 사용되는지 확인합니다.

온-프레미스 서버에 에이전트 설치

참고 항목

Azure 서버 관리 서비스를 서버에 온보딩하기 전에 필요한 Log Analytics 작업 영역 및 Azure Automation 계정을 만듭니다.

온-프레미스 서버의 경우 Log Analytics 에이전트 및 Microsoft Dependency Agent를 수동으로 다운로드하여 설치하고 올바른 작업 영역에 연결하도록 구성해야 합니다. 작업 영역 ID 및 키 정보를 지정해야 합니다. 해당 정보를 얻으려면 Azure Portal에서 Log Analytics 작업 영역으로 이동한 다음, 설정>고급 설정을 선택합니다.

Screenshot of Log Analytics workspace advanced settings in the Azure portal

솔루션 사용 및 구성

솔루션을 사용하도록 설정하려면 Log Analytics 작업 영역을 구성해야 합니다. 온보딩된 Azure VM 및 온-프레미스 서버는 연결된 Log Analytics 작업 영역에서 솔루션을 가져옵니다.

업데이트 관리

업데이트 관리 솔루션과 변경 내용 추적 및 인벤토리 솔루션에는 Log Analytics 작업 영역과 Azure Automation 계정이 모두 필요합니다. 해당 리소스가 제대로 구성되었는지 확인하려면 Automation 계정을 통해 온보딩하는 것이 좋습니다. 자세한 내용은 업데이트 관리 솔루션과 변경 내용 추적 및 인벤토리 솔루션 온보딩을 참조하세요.

모든 서버에 대해 업데이트 관리 솔루션을 사용하도록 설정하는 것이 좋습니다. 업데이트 관리는 Azure VM 및 온-프레미스 서버에 대해 무료입니다. Automation 계정을 통해 업데이트 관리를 사용하도록 설정하면 범위 구성이 작업 영역에 만들어집니다. 업데이트 관리 솔루션에서 다루는 컴퓨터를 포함하도록 범위를 수동으로 업데이트합니다.

기존 서버와 미래 서버를 포함하려면 범위 구성을 제거해야 합니다. 이렇게 하려면 Azure Portal에서 Automation 계정을 확인합니다. 업데이트 관리>컴퓨터 관리>사용 가능한 모든 향후 컴퓨터에서 사용을 선택합니다. 이 설정을 사용하면 작업 영역에 연결된 모든 Azure VM에서 업데이트 관리를 사용할 수 있습니다.

Screenshot of Update Management in the Azure portal

변경 내용 추적 및 인벤토리 솔루션

변경 내용 추적 및 인벤토리 솔루션을 온보딩하려면 업데이트 관리와 동일한 단계를 수행합니다. Automation 계정에서 이 솔루션을 온보딩하는 방법에 관한 자세한 내용은 업데이트 관리 솔루션과 변경 내용 추적 및 인벤토리 솔루션 온보딩을 참조하세요.

변경 내용 추적 및 인벤토리 솔루션은 Azure VM의 경우 무료이며 온-프레미스 서버의 경우 매월 노드당 $6의 비용이 듭니다. 이 비용에는 변경 내용 추적, 인벤토리 및 Desired State Configuration이 포함됩니다. 특정 온-프레미스 서버만 등록하려는 경우 해당 서버를 옵트인할 수 있습니다. 모든 프로덕션 서버를 온보딩하는 것이 좋습니다.

Azure Portal을 통해 옵트인

  1. 변경 내용 추적 및 인벤토리가 사용하도록 설정된 Automation 계정으로 이동합니다.
  2. 변경 내용 추적을 선택합니다.
  3. 오른쪽 위 창에서 컴퓨터 관리를 선택합니다.
  4. 선택한 컴퓨터에서 사용을 선택합니다. 그런 다음, 컴퓨터 이름 옆에 있는 추가를 선택합니다.
  5. 사용을 선택하여 해당 컴퓨터에 대해 솔루션을 사용하도록 설정합니다.

Screenshot of Change Tracking in the Azure portal

저장된 검색을 사용하여 옵트인

또는 온-프레미스 서버를 옵트인하도록 범위 구성을 구성할 수 있습니다. 범위 구성은 저장된 검색을 사용합니다.

저장된 검색을 만들거나 수정하려면 다음 단계를 수행합니다.

  1. 이전 단계에서 구성한 Automation 계정에 연결된 Log Analytics 작업 영역으로 이동합니다.

  2. 일반에서 저장된 검색을 선택합니다.

  3. 필터 상자에 변경 내용 추적을 입력하여 저장된 검색 목록을 필터링합니다. 결과에서 MicrosoftDefaultComputerGroup을 선택합니다.

  4. 컴퓨터 이름 또는 VMUUID를 입력하여 변경 내용 추적 및 인벤토리를 옵트인하려는 컴퓨터를 포함합니다.

Heartbeat
| where AzureEnvironment=~"Azure" or Computer in~ ("list of the on-premises server names", "server1")
| distinct Computer

참고 항목

서버 이름은 식의 값과 정확히 일치해야 하며 도메인 이름 접미사를 포함하면 안 됩니다.

  1. 저장을 선택합니다. 기본적으로 범위 구성은 MicrosoftDefaultComputerGroup 저장된 검색에 연결됩니다. 자동으로 업데이트됩니다.

Azure 활동 로그

Azure 활동 로그는 Azure Monitor의 일부이기도 합니다. Azure에서 발생하는 구독 수준 이벤트에 대한 인사이트를 제공합니다.

이 솔루션을 구현하려면:

  1. Azure Portal에서 모든 서비스를 연 다음, 관리 + 거버넌스>솔루션을 선택합니다.
  2. 솔루션 보기에서 추가를 선택합니다.
  3. 활동 로그 분석을 검색하고 선택합니다.
  4. 만들기를 실행합니다.

솔루션이 사용하도록 설정된 이전 섹션에서 만든 작업 영역의 작업 영역 이름을 지정해야 합니다.

Azure Log Analytics 에이전트 상태

Azure Log Analytics 에이전트 상태 솔루션은 Windows 및 Linux 서버의 상태, 성능, 가용성을 보고합니다.

이 솔루션을 구현하려면:

  1. Azure Portal에서 모든 서비스를 연 다음, 관리 + 거버넌스>솔루션을 선택합니다.
  2. 솔루션 보기에서 추가를 선택합니다.
  3. Azure Log Analytics 에이전트 상태를 검색하고 선택합니다.
  4. 만들기를 실행합니다.

솔루션이 사용하도록 설정된 이전 섹션에서 만든 작업 영역의 작업 영역 이름을 지정해야 합니다.

만들기가 완료된 후 보기>솔루션을 선택하면 작업 영역 리소스 인스턴스가 AgentHealthAssessment를 표시합니다.

맬웨어 방지 평가

맬웨어 방지 평가 솔루션은 감염되었거나 맬웨어에 의한 감염 위험이 증가하는 서버를 식별하는 데 도움이 됩니다.

이 솔루션을 구현하려면:

  1. Azure Portal에서 모든 서비스를 열고 관리 + 거버넌스>솔루션을 선택합니다.
  2. 솔루션 보기에서 추가를 선택합니다.
  3. 맬웨어 방지 평가를 검색하고 선택합니다.
  4. 만들기를 실행합니다.

솔루션이 사용하도록 설정된 이전 섹션에서 만든 작업 영역의 작업 영역 이름을 지정해야 합니다.

만들기가 완료된 후 보기>솔루션을 선택하면 작업 영역 리소스 인스턴스가 AntiMalware를 표시합니다.

VM용 Azure Monitor

단일 VM에서 관리 서비스를 평가하도록 설정에 설명된 대로 VM 인스턴스의 보기 페이지를 통해 VM용 Azure Monitor를 사용하도록 설정할 수 있습니다. 이 문서에 설명된 다른 솔루션과 마찬가지로 솔루션 페이지에서 직접 솔루션을 사용하도록 설정하면 안 됩니다. 대규모 배포의 경우 자동화를 사용하여 작업 영역에서 올바른 솔루션을 사용하도록 설정하는 것이 더 쉬울 수 있습니다.

Microsoft Defender for Cloud

최소한 모든 서버를 클라우드용 Microsoft Defender의 무료 계층에 온보딩하는 것이 좋습니다. 이 옵션은 환경에 대한 기본 보안 평가와 실행 가능한 보안 권장 사항을 제공합니다. 표준 계층은 추가적인 이점을 제공합니다. 자세한 내용은 클라우드용 Microsoft Defender 가격 책정을 참조하세요.

클라우드용 Microsoft Defender의 무료 계층을 사용하도록 설정하려면 다음 단계를 수행합니다.

  1. 클라우드용 Defender 포털 페이지로 이동합니다.
  2. 정책 및 준수에서 보안 정책을 선택합니다.
  3. 오른쪽 창에서 만든 Log Analytics 작업 영역 리소스를 찾습니다.
  4. 해당 작업 영역에 대해 설정 편집을 선택합니다.
  5. 가격 책정 계층을 선택합니다.
  6. 무료 옵션을 선택합니다.
  7. 저장을 선택합니다.

다음 단계

자동화를 사용하여 서버를 온보딩하고 경고를 만드는 방법을 알아봅니다.

온보딩 및 경고 구성 자동화