샘플 웹 애플리케이션을 Azure로 마이그레이션하기 전에 AWS와 Azure 플랫폼 간의 운영 차이점을 확실하게 이해해야 합니다.
이 문서에서는 이 워크로드에 대한 몇 가지 주요 개념을 안내하고 자세한 내용은 리소스에 대한 링크를 제공합니다. Azure와 AWS 서비스 간의 포괄적인 비교는 AWS와 Azure 서비스 비교를 참조하세요.
배치
AKS와 EKS는 모두 Azure 및 AWS에서 관리되는 Kubernetes 클러스터를 배포하기 위한 여러 옵션을 제공합니다. 이러한 옵션에는 타사 시스템 또는 오픈 소스 기술을 기반으로 하는 네이티브 솔루션 및 프로비전 솔루션이 포함됩니다.
| 배포 옵션 | EKS | AKS |
|---|---|---|
| 입구 | AWS 관리 콘솔 | Azure Portal |
| 네이티브 인프라를 코드로 | AWS 클라우드 형성 | Bicep 및 ARM(Azure Resource Manager) |
| 네이티브 CLI | AWS CLI 및 EKS CLI | Azure CLI, Azure 개발자 CLI 및 PowerShell |
| Terraform (테라폼) | EKS 모듈 | AzureRM 공급자 |
| Pulumi | EKS 클러스터 | AKS ManagedCluster |
| 크로스플레인 | 예 | 예 |
| 클러스터 API | 예 | 예 |
Azure CLI는 단순성과 사용 편의성을 위해 설계되었습니다. 단일 명령을 사용하여 클러스터를 만들거나 업그레이드하거나 삭제할 수 있습니다. 이 간소화된 접근 방식은 Azure에서 Kubernetes 클러스터를 관리하는 복잡성을 줄입니다. 자세한 내용은 az aks 명령을 참조하세요. 반면, EKS CLI는 kubectl 사용과 함께 여러 단계가 필요한 보다 수동적인 접근 방식을 사용합니다.
모니터링
효과적인 모니터링은 Kubernetes 클러스터에서 문제를 식별하고 해결하는 데 필수적입니다. 다음 정보는 AKS 및 EKS에서 모니터링을 처리하는 방법을 간략하게 설명합니다.
| 모니터링 옵션 | EKS | AKS |
|---|---|---|
| 네이티브 모니터링 | Amazon CloudWatch | Azure Monitor |
| 관리되는 Prometheus 및 Grafana | Amazon Managed Service for Prometheus 및 Amazon Managed Grafana | Azure Monitor Prometheus용 관리 서비스 및 Azure Managed Grafana |
| Datadog | 예 | 예 |
| Dynatrace | 예 | 예 |
오픈 소스 프로젝트 지원
AKS와 EKS는 모두 오픈 소스 프로젝트를 지원하므로 더 많은 기능과 기능을 활용할 수 있습니다. AKS는 아래에 설명된 대로 KEDA 및 Karpenter 모두에 대한 관리되는 기능을 제공합니다.
| 오픈 소스 프로젝트 | EKS | AKS |
|---|---|---|
| Kubernetes KEDA(이벤트 기반 자동 크기 조정) | 예 | 예 |
| 카르펜터 (미국) | 예 | 노드 자동 프로비저닝 및 AKS Karpenter 프로바이더 |
부하 분산
컨테이너용 Azure Application Gateway 와 AWS 애플리케이션 Load Balancer 는 각각 Microsoft Azure와 Amazon Web Services에서 제공하는 두 가지 인기 있는 계층 7 부하 분산 솔루션입니다. 이러한 서비스는 애플리케이션의 고가용성 및 향상된 성능을 보장하기 위해 들어오는 네트워크 트래픽을 여러 서버에 분산하는 데 중요한 역할을 합니다.
AWS 애플리케이션 부하 분산 장치
AWS ALB(애플리케이션 부하 분산 장치)는 AWS(Amazon Web Services)의 탄력적 부하 분산의 구성 요소입니다. ALB는 트래픽이 정상 대상으로만 라우팅됨을 보증하며 수신 트래픽에 맞춰 크기 조정합니다. 애플리케이션, 네트워크, 게이트웨이 및 클래식 부하 분산 장치를 비롯한 다양한 부하 분산 장치를 지원합니다.
컨테이너용 Azure Application Gateway
컨테이너용 Azure Application Gateway 는 고객이 여러 다운스트림 웹 애플리케이션 및 REST API에 대한 인바운드 트래픽을 관리할 수 있는 계층 7 웹 트래픽 지역 부하 분산 장치입니다. 컨테이너용 Azure Application Gateway는 웹 애플리케이션 배달을 최적화하고 AKS(Azure Kubernetes Service)용 Azure Web Application Firewall과 같은 기능을 통해 향상된 보안을 제공하도록 설계되었습니다. 들어오는 애플리케이션 트래픽을 여러 백 엔드 풀에 분산합니다. 여기에는 공용 및 프라이빗 Azure Load Balancer, Azure VM(가상 머신), Azure VMSS(Virtual Machine Scale Sets), 호스트 이름, Azure App Service 및 온-프레미스/외부 서버가 포함됩니다.
컨테이너 및 AWS ALB용 Azure Application Gateway 비교
Azure Application Gateway 및 AWS 애플리케이션 Load Balancer 는 비슷한 기능 집합을 제공합니다. 다음 표에서는 솔루션 비교를 제공합니다.
| 특징 | 컨테이너용 Azure Application Gateway | AWS 애플리케이션 Load Balancer |
|---|---|---|
| SSL(Secure Sockets Layer)/TLS 종료 | Supported | Supported |
| Autoscaling | Supported | Supported |
| 영역 중복성 | Supported | Supported |
| 웹 애플리케이션 방화벽 | Supported | Supported |
| 인그레스 컨트롤러 | Supported | Supported |
| URL 기반 라우팅 | Supported | Supported |
| 다중 사이트 호스팅 | Supported | Supported |
| Redirection | Supported | Supported |
| 세션 선호도 | Supported | Supported |
| WebSocket 및 HTTP/2 트래픽 | Supported | Supported |
| 상호 TLS 인증 | Supported | Supported |
| 연결 드레이닝 | Supported | Supported |
| HTTP 헤더 및 URL 다시 쓰기 | Supported | AWS WAF에서 지원 |
웹 애플리케이션 방화벽
웹 애플리케이션 보안을 보장하는 것은 진화하는 사이버 위협으로부터 보호하는 데 중요합니다. 완전 관리형 웹 애플리케이션 방화벽 서비스는 위협 및 악의적인 공격로부터 웹 애플리케이션을 강력하게 보호합니다.
AWS WAF(웹 액세스 방화벽)
AWS WAF(웹 액세스 방화벽) 는 웹 애플리케이션에 대한 HTTP 및 HTTPS 요청을 모니터링하는 웹 애플리케이션 방화벽입니다. AWS 애플리케이션 Load Balancer를 통해 노출되는 리소스를 포함하여 여러 AWS 리소스를 보호합니다.
Azure WAF(웹 애플리케이션 방화벽)
일반적인 악용 및 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호하는 WAF(Azure Web Application Firewall)입니다. WAF는 Microsoft의 Azure Application Gateway for Containers, Azure Front Door 및 Azure CDN(Content Delivery Network) 서비스를 사용하여 배포할 수 있습니다.
Azure WAF에는 교차 사이트 스크립팅 및 SQL 삽입을 비롯한 다양한 유형의 공격에 대한 보호를 제공하는 미리 구성된 플랫폼 관리 OWASP(Open Web Application Security Project) 규칙 집합 이 함께 제공됩니다. WAF 관리자는 CRS(핵심 규칙 집합) 규칙을 향상시키기 위해 고유한 사용자 지정 규칙을 작성할 수 있는 옵션이 있습니다. Azure WAF는 악성 봇이 웹 애플리케이션에서 데이터를 스크랩, 스캔하고 취약점을 찾는 것을 방지하기 위해 사용할 수 있는 봇 보호 규칙 집합을 지원합니다. Azure WAF는 다음 두 가지 모드에서 실행되도록 구성할 수 있습니다.
- 검색 모드: 모든 위협 경고를 모니터링하고 기록합니다. 진단 섹션에서 컨테이너용 Application Gateway에 대한 진단 로깅을 설정합니다. 그리고 WAF 로그가 선택되어 있고 켜져 있는지 확인해야 합니다. 웹 애플리케이션 방화벽은 검색 모드에서 작동할 때 들어오는 요청을 차단하지 않습니다.
- 방지 모드: 규칙이 감지하는 침입 및 공격을 차단합니다. 공격자는 "403 무단 액세스" 예외를 수신하고, 연결이 종료됩니다. 방지 모드는 이러한 공격을 WAF 로그에 기록합니다.
Azure WAF(웹 애플리케이션 방화벽) 모니터링 및 로깅은 로깅과 Azure Monitor 및 Azure Monitor 로그와의 통합을 통해 제공됩니다. Azure Application Gateway for Containers, Azure Front Door 및 AZURE CDN(Content Delivery Network)을 구성하여 WAF(Azure Web Application Firewall)를 사용하고 진단 로그 및 메트릭을 Log Analytics 작업 영역에 저장할 수 있습니다. Azure Monitor 메트릭 탐색기를 사용하여 Azure WAF 메트릭 및 Kusto 쿼리 언어를 분석하여 Log Analytics 작업 영역에서 수집된 진단 로그에 대해 쿼리를 만들고 실행할 수 있습니다.
다음 단계
AKS와 EKS 간의 차이점에 대한 자세한 내용은 다음 문서를 참조하세요.
- Amazon EKS에서 AKS(Azure Kubernetes Service)로 마이그레이션
- Amazon EKS 전문가를 위한 AKS
- ID 및 액세스 관리
- 클러스터 로깅 및 모니터링
- 보안 네트워크 토폴로지
- 스토리지 옵션
- 비용 최적화 및 관리
- 에이전트 노드 및 노드 풀 관리
- 클러스터 거버넌스
- 워크로드 마이그레이션
기여자
Microsoft에서 이 문서를 유지 관리합니다. 그것은 원래 다음 기여자에 의해 작성되었습니다:
대표 저자:
- 파올로 살바토리 | 수석 고객 엔지니어
기타 기여자:
- Ken Kilty | 수석 TPM
- 러셀 드 피나 | 주요 기술 프로그램 관리자
- Erin Schaffer | 콘텐츠 개발자 2