Google Cloud 아키텍처 프레임워크의 이 문서에서는 Google Cloud에서 리소스를 구성 및 관리하기 위한 권장사항을 제공합니다.
리소스 계층 구조
Google Cloud 리소스는 조직, 폴더, 프로젝트에 계층적으로 배열됩니다. 이 계층 구조를 통해 액세스 제어, 구성 설정 및 정책과 같이 리소스의 공통된 요소를 관리할 수 있습니다. Cloud 리소스의 계층 구조를 설계하기 위한 권장사항은 Google Cloud 시작 영역의 리소스 계층 구조 결정을 참조하세요.
리소스 라벨 및 태그
이 섹션에서는 라벨과 태그를 사용하여 Google Cloud 리소스를 구성하기 위한 권장사항을 제공합니다.
단순한 폴더 구조 사용
폴더를 사용하여 프로젝트와 하위 폴더를 조합해서 그룹화할 수 있습니다. 단순한 폴더 구조를 만들어 Google Cloud 리소스를 구성하세요. 비즈니스 요구사항을 지원하도록 리소스 계층 구조를 정의하는 데 필요한 만큼 수준을 더 추가할 수 있습니다. 폴더 구조는 유연하고 확장 가능합니다. 자세한 내용은 폴더 만들기 및 관리를 참조하세요.
폴더와 프로젝트를 사용하여 데이터 거버넌스 정책 반영
조직 내 데이터 거버넌스 정책을 반영하도록 폴더, 하위 폴더, 프로젝트를 사용하여 리소스를 서로 분리하세요. 예를 들어 폴더와 프로젝트를 조합해서 사용하여 재무, 인적 자원, 엔지니어링을 분리할 수 있습니다.
프로젝트를 사용하여 동일한 신뢰 경계를 공유하는 리소스를 그룹화합니다. 예를 들어 같은 제품 또는 마이크로서비스의 리소스는 동일한 프로젝트에 속할 수 있습니다. 자세한 내용은 Google Cloud 시작 영역의 리소스 계층 구조 결정을 참조하세요.
프로젝트 초기에 태그 및 라벨 사용
Google Cloud 제품을 사용하기 시작할 때 나중을 위해 라벨과 태그를 사용하세요. 나중에 라벨과 태그를 추가하려면 오류가 발생하기 쉬우며 완료하기 어려운 수동 작업이 필요할 수 있습니다.
태그를 사용하면 리소스에 특정 태그가 있는지 여부에 따라 조건부로 정책을 허용하거나 거부할 수 있습니다. 라벨은 Google Cloud 인스턴스를 체계화하는 데 도움이 되는 키-값 쌍입니다. 라벨에 대한 자세한 내용은 라벨 요구사항, 라벨을 지원하는 서비스 목록, 라벨 형식을 참조하세요.
Resource Manager는 리소스를 관리하고, 비용을 할당 및 보고하고, 세분화된 액세스 제어를 위해 다양한 리소스에 정책을 할당하는 데 도움이 되는 라벨과 태그를 제공합니다. 예를 들어 라벨과 태그를 사용하여 세분화된 액세스 및 관리 원칙을 다양한 테넌트 리소스와 서비스에 적용할 수 있습니다. VM 라벨과 네트워크 태그에 대한 자세한 내용은 VM 라벨과 네트워크 태그 사이의 관계를 참조하세요.
다음을 포함하여 여러 목적으로 라벨을 사용할 수 있습니다.
- 리소스 결제 관리: 결제 시스템에서 라벨을 사용할 수 있으므로 비용을 라벨별로 구분할 수 있습니다. 예를 들어 다른 비용 센터 또는 예산에 라벨을 지정할 수 있습니다.
- 유사한 특성 또는 관계별로 리소스 그룹화: 라벨을 사용하여 여러 애플리케이션 수명 주기 단계 또는 환경을 구분할 수 있습니다. 예를 들어 프로덕션, 개발, 테스트 환경에 라벨을 지정할 수 있습니다.
비용 및 결제 보고를 지원하는 라벨 할당
통합 보고 구조 외부의 속성(예: 프로젝트별 또는 제품별 유형)을 기반으로 세분화된 비용 및 결제 보고를 지원하려면 리소스에 라벨을 할당합니다. 라벨은 비용 센터, 부서, 특정 프로젝트, 내부 재청구 메커니즘에 소비를 할당할 수 있습니다. 자세한 내용은 비용 최적화 카테고리를 참조하세요.
라벨을 대량으로 만들지 않기
라벨을 대량으로 만들지 않습니다. 주로 프로젝트 수준에서 라벨을 만들고 하위 팀 수준에서는 라벨을 만들지 않는 것이 좋습니다. 지나치게 세분화된 라벨을 만들면 분석에 노이즈가 추가될 수 있습니다. 라벨의 일반적인 사용 사례는 라벨의 일반적인 사용 사례를 참조하세요.
라벨에 민감한 정보 추가하지 않기
라벨은 민감한 정보를 처리하도록 고안된 것은 아닙니다. 개인의 이름이나 직책과 같이 개인을 식별할 수 있는 정보를 포함하여 민감한 정보를 라벨에 포함하지 마세요.
프로젝트 이름의 정보를 익명처리
COMPANY_INITIAL_IDENTIFIER-ENVIRONMENT-APP_NAME과 같은 프로젝트 이름 지정 패턴을 따르세요. 자리표시자는 고유하며 회사 또는 애플리케이션 이름을 공개하지 않습니다. 이후에 변경될 수 있는 속성(예: 팀 이름 또는 기술)은 포함하지 마세요.
비즈니스 측정기준 모델링에 태그 적용
태그를 적용하여 조직 구조, 리전, 워크로드 유형, 비용 센터 등의 추가적인 비즈니스 측정기준을 모델링할 수 있습니다. 태그에 대한 자세한 내용은 태그 개요, 태그 상속, 태그 생성 및 관리를 참조하세요. 정책에 태그를 사용하는 방법은 정책 및 태그를 참조하세요. 태그를 사용하여 액세스 제어를 관리하는 방법은 태그 및 액세스 제어를 참조하세요.
조직 정책
이 섹션에서는 클라우드 리소스 계층 구조에서 Google Cloud 리소스에 대한 거버넌스 규칙을 구성하기 위한 권장사항을 제공합니다.
프로젝트 명명 규칙 설정
SYSTEM_NAME-ENVIRONMENT(dev, test, uat, stage, prod)와 같은 표준화된 프로젝트 이름 지정 규칙을 설정합니다.
프로젝트 이름은 30자로 제한됩니다.
COMPANY_TAG-SUB_GROUP/SUBSIDIARY_TAG와 같은 프리픽스를 적용할 수 있지만 회사가 재구성을 수행하면 프로젝트 이름이 오래될 수 있습니다.
식별 가능한 이름을 프로젝트 이름에서 프로젝트 라벨로 이동하는 것을 고려하세요.
프로젝트 생성 자동화
프로덕션 및 대규모 비즈니스를 위한 프로젝트를 만들려면 Deployment Manager 또는 Google Cloud 프로젝트 팩토리 Terraform 모듈과 같은 자동화된 프로세스를 사용하세요. 이러한 도구는 다음을 수행합니다.
- 적절한 권한이 있는 개발, 테스트, 프로덕션 환경 또는 프로젝트를 자동으로 만듭니다.
- 로깅 및 모니터링 구성
Google Cloud 프로젝트 팩토리 Terraform 모듈을 사용하면 Google Cloud 프로젝트 생성을 자동화할 수 있습니다. 대기업에서는 Google Cloud에서 프로젝트를 만들기 전에 프로젝트를 검토하고 승인하는 것이 좋습니다. 이 프로세스를 통해 다음을 확인할 수 있습니다.
- 비용은 기속될 수 있습니다. 자세한 내용은 비용 최적화 카테고리를 참조하세요.
- 데이터 업로드 시 승인이 적용됩니다.
- 규제 또는 규정 준수 요구사항이 충족됩니다.
Google Cloud 프로젝트 및 리소스 생성과 관리를 자동화하면 일관성, 재현성, 테스트 가능성의 이점을 얻게 됩니다. 구성을 코드로 취급하면 소프트웨어 아티팩트와 함께 구성의 수명 주기를 관리하고 버전을 관리할 수 있습니다. 자동화는 일관된 명명 규칙 및 리소스 라벨 지정과 같은 권장사항을 지원할 수 있습니다. 자동화는 요구사항이 진화하는 과정에서 프로젝트 리팩터링을 간소화합니다.
시스템 정기 감사
새 프로젝트에 대한 요청을 감사 및 승인할 수 있도록 하려면 기업의 티켓 시스템 또는 감사를 제공하는 독립형 시스템과 통합하세요.
일관성 있는 프로젝트 구성
조직의 요구사항을 일관되게 충족하도록 프로젝트를 구성합니다. 프로젝트를 설정할 때 다음 항목을 포함하세요.
- 프로젝트 ID 및 명명 규칙
- 결제 계정 연결
- 네트워킹 구성
- 사용 설정된 API 및 서비스
- Compute Engine 액세스 구성
- 로그 내보내기 및 사용 보고서
- 프로젝트 삭제 선취권
워크로드 또는 환경 분리 및 격리
할당량 및 한도는 프로젝트 수준에서 적용됩니다. 할당량과 한도를 관리하려면 워크로드 또는 환경을 프로젝트 수준에서 분리하고 격리합니다. 자세한 내용은 할당량 작업을 참조하세요.
환경 분리는 데이터 분류 요구사항과 다릅니다. 인프라에서 데이터를 분리하는 것은 비용이 많이 들고 구현하기 복잡할 수 있으므로 데이터 민감도 및 규정 준수 요구사항에 따라 데이터 분류를 구현하는 것이 좋습니다.
결제 격리 적용
결제 격리를 적용하여 워크로드 및 환경별로 다양한 결제 계정 및 비용 가시성을 지원합니다. 자세한 내용은 셀프 서비스 Cloud Billing 계정 생성, 수정, 해지 및 프로젝트 결제 사용 설정, 사용 중지, 변경을 참조하세요.
관리 복잡성을 최소화하려면 프로젝트 수준의 중요 환경 또는 여러 프로젝트에 분산된 워크로드에 세분화된 액세스 관리 제어를 사용하세요. 중요한 프로덕션 애플리케이션의 액세스 제어를 선별하면 워크로드의 보안과 효과적인 관리가 보장됩니다.
조직 정책 서비스를 사용하여 리소스 제어
조직 정책 서비스를 사용하면 정책 관리자에게 조직의 클라우드 리소스에 대한 중앙 집중식 프로그래매틱 제어를 제공하여 리소스 계층 구조 전반에 걸친 제약 조건을 구성할 수 있습니다. 자세한 내용은 조직 정책 관리자 추가를 참조하세요.
조직 정책 서비스를 사용하여 규제 정책 준수
규정 준수 요건을 충족하려면 조직 정책 서비스를 사용하여 리소스 공유 및 액세스에 대한 규정 준수 요건을 적용하세요. 예를 들어 외부 사용자와의 공유를 제한하거나 클라우드 리소스를 지리적으로 배포할 위치를 결정할 수 있습니다. 기타 규정 준수 시나리오에는 다음이 포함됩니다.
- 조직의 리소스 사용 방법을 정의하는 제한사항 구성을 중앙에서 제어합니다.
- 개발팀이 규정을 준수할 수 있도록 정책을 정의하고 설정합니다.
- 프로젝트 소유자와 해당 팀에서 시스템을 변경하도록 하면서 규정 준수를 유지하고 규정 준수 규칙 위반에 대한 우려를 최소화합니다.
도메인을 기반으로 리소스 공유 제한
제한된 공유 조직 정책을 사용하면 Google Cloud 리소스가 조직 외부의 ID와 공유되지 않도록 할 수 있습니다. 자세한 내용은 도메인별 ID 제한 및 조직 정책 제약조건을 참조하세요.
서비스 계정 및 키 생성 사용 중지
보안을 강화하려면 Identity and Access Management(IAM) 서비스 계정 및 해당 키의 사용을 제한하세요. 자세한 내용은 서비스 계정 사용 제한을 참조하세요.
새 리소스의 물리적 위치 제한
리소스 위치를 제한하여 새로 만든 리소스의 물리적 위치를 제한합니다. 조직의 리소스를 제어할 수 있는 제약조건 목록을 보려면 조직 정책 서비스 제약조건을 참조하세요.
다음 단계
다음을 포함한 컴퓨팅 선택 및 관리 방법 알아보기
안정성, 운영 우수성, 보안, 개인정보 보호, 규정 준수 등 아키텍처 프레임워크의 다른 카테고리 살펴보기