/
운영표준관리

운영표준관리

운영표준관리

클라우드 표준 미준수 항목(미사용 리전에 자원 생성, 사용하지 않는 인스턴스 생성 등)에 대한 규칙 평가 및 알림 제공을 위한 기능입니다. 

1. 표준 정책 설정 화면 

1.1. 메뉴 안내

  1. 검색

    1. 조회하고자 하는 정책을 검색할 수 있는 기능을 제공합니다.

    2. 소문자/대문자 무시, 툴팁 내용도 검색할 수 있습니다.

    3. 문자를 입력하고 돋보기 버튼을 누르면 검색할 수 있습니다. 문자를 모두 지우고 돋보기 버튼을 다시 누르면 처음 상태로 돌아갈 수 있습니다.

  2. 정책 등록

    1. 신규 정책 등록 버튼을 클릭하여 정책을 등록할 수 있습니다.

  3. 테이블 툴바

    1. EXPAND : 모든 정책의 상세 내용을 펼쳐서 한눈에 확인할 수 있습니다. 다시 누르면 기본 형태로 돌아갑니다.

    2. COLUMNS : 조회하고자 하는 컬럼을 선택할 수 있습니다. (설명, 생성 일시, 마지막 검사 시간 컬럼을 추가로 선택할 수 있습니다.)

    3. FILTERS : 고급 필터 기능입니다.

    4. EXPORT : CSV 파일로 정책 목록을 다운로드할 수 있습니다.

  4. 정책 템플릿별 정렬

    1. 정책 목록은 템플릿별로 정렬되어 표시됩니다. 괄호 안의 숫자는 정책의 개수를 의미합니다.

  5. 조건

    1. 기본적으로 조건의 개수만 나타나며, 파란 글씨를 클릭하면 상세 조건 내용을 문장 형태로 확인할 수 있습니다.

  6. 정책 수정

    1. 연필 버튼을 클릭하여 정책을 수정할 수 있습니다.

  7. 정책 삭제

    1. 휴지통 버튼을 클릭하여 정책을 삭제할 수 있습니다.

  8. 총 개수

    1. 전체 정책의 개수를 확인할 수 있습니다. 검색 기능을 사용했다면 검색 결과 개수를 확인할 수 있습니다.


정책 템플릿 설정

'신규 정책 등록' 버튼을 클릭하면, CXP에서 지원하는 정책 템플릿을 선택할 수 있습니다.

 

1.2. 테이블 안내

  • 정책 이름

    • 정책의 역할을 알 수 있도록 사용자가 지정하는 이름입니다.

    • 필수 값이며, 최대 100자이며, 중복이 가능합니다.

  • 범위

    • 서비스와 계정으로 구분할 수 있습니다.

    • 서비스 : 회사 내부의 '서비스' 단위로 여러 개의 계정에 쉽게 정책을 생성할 수 있습니다.

    • 계정 : 계정마다 정책을 생성할 수 있습니다.

  • 대상

    • 범위(서비스, 계정)에 대한 정보를 나타냅니다. 툴팁으로 상세 내용을 확인할 수 있습니다.

  • CSP

    • AWS, Azure, GCP를 지원합니다.

  • 리소스

    • 정책에 영향받는 클라우드 자원의 종류를 의미합니다.

    • 여러 개일 경우 개수가 나타나며 툴팁으로 상세 내용을 확인할 수 있습니다.

  • 조건

    • 리소스의 정책 위반 여부를 평가하기 위한 파라미터와 오퍼레이션을 의미합니다.

  • 설명 (기본값 : Hide)

    • 정책의 내용을 알 수 있도록 사용자가 작성한 설명입니다.

    • 필수 값이 아니며, 최대 200자입니다.

  • 최근 변경

    • 정책이 최근에 수정되었던 시간과 수정한 사용자에 대한 정보를 확인할 수 있습니다.

  • 생성 일시 (기본값 : Hide)

    • 정책이 생성된 시간과 생성한 사용자에 대한 정보를 확인할 수 있습니다.

  • 마지막 검사 시간 (기본값 : Hide)

    • 정책이 가장 최근에 평가된 시간을 확인할 수 있습니다.

    • 정책 평가는 시스템 내부적으로 일정 시간 간격마다 이루어집니다. 

  • 활성화

    • 정책의 활성화/비활성화 설정 여부를 알 수 있습니다.

  • 알람

    • 알림 수신이 설정되었는지에 대한 정보를 알 수 있습니다.

    • '알림수신설정' 메뉴에서 설정할 수 있습니다.

    • 서비스 범위 정책의 경우, 일부 계정에 대하여 알람이 설정되어있을 경우 On으로 표시됩니다.

  • Actions

    • 정책의 수정/삭제 기능을 제공합니다.

1.3. 이상 인스턴스 타입의 신규 리소스 관리 정책

  • 설명 : VM, SQL 서버 타입에 대한 규칙입니다. 

  • 리소스 : AWS :: EC2, RDS,
                 Azure :: Virtual Machine, SQL Database,
                 GCP :: VM Instance, SQL Instance

  • 오퍼레이션 : 와 같아야한다, 와 같지 않아야 한다, 로 시작해야 한다, 로 시작하지 않아야 한다, 로 끝나야 한다, 로 끝나지 않아야 한다 

    • (예시) [EC2] 자원의 타입은 m6로 시작하지 않아야 한다.

1.4. 미사용 리전에서 신규 리소스 관리 정책

  • 설명 : 리전 자원의 생성 혹은 수정 시 특정 리전에 대한 규칙입니다. 

  • 리소스 : AWS :: EC2, EBS, Image, Snapshot, EFS, RDS, EKS, EC2 RI, RDS RI, ElastiCache RI, Redshift RI, Opensearch RI, Savings Plan
                 Azure :: Virtual Machine, Disk, Snapshot, SQL Server, SQL Database, Cluster
                 GCP :: VM Instance, Disk, Image, Snapshot, SQL Instance, Cluster

  • 해당 정책 템플릿의 조건 리소스는 다중 선택이 가능합니다.

  • 오퍼레이션 : 와 같아야한다, 와 같지 않아야 한다, 로 시작해야 한다, 로 시작하지 않아야 한다, 로 끝나야 한다, 로 끝나지 않아야 한다

    • (예시) [모든] 자원의 리전은 ap-northeast-2와 같아야 한다.

 

1.5. 정책 등록 화면 설명

  1. 기본 정보 입력

    1. 정책 이름/대상은 필수 항목이며 정책 생성 후 수정할 수 없습니다.

    2. 대상은 서비스 단위 또는 계정 단위로 설정할 수 있으며, 클라우드 네비게이션 바에서 선택한 계정 목록이 표시됩니다.

  2. 활성화

    1. 정책의 On/Off 기능을 제공합니다. 정책 생성 후 언제든지 수정이 가능합니다.

  3. 계정별 활성화 목록

    1. 대상이 서비스 범위일 경우, 계정별로 활성화 여부를 지정할 수 있습니다.

    2. 정책 생성 후 언제든지 수정이 가능합니다.

  4. 조건

    1. 리소스를 선택합니다. (EC2) → 파라미터를 입력합니다. (m6) → 오퍼레이션을 선택합니다. (로 시작하지 않아야 한다.)

  5. 파라미터 목록 스위칭 버튼

    1. 체크 박스 버튼을 클릭하면 파라미터 목록 박스가 제공됩니다. 다시 연필 버튼을 클릭하면 입력 박스가 제공됩니다. 

    2. '미사용 리전에서 신규 리소스 관리 정책'의 경우에만 제공됩니다. 각 CSP에서 사용할 수 있는 리전 목록을 조회할 수 있습니다.

  6. 조건 삭제

    1. 조건을 삭제할 수 있습니다.

  7. 조건 추가

    1. 조건을 추가할 수 있습니다.

  8. 적용/취소

    1. 적용 버튼은 정책 생성이 가능할 경우 활성화됩니다.

    2. 정책 생성이 불가능한 경우 : 정책 이름/대상/조건이 비어있을 경우

 

 

2. 검출 결과 확인

 

2.1. 어드바이저

  • Cloud Advisor의 Compliance 탭에서 정책에 위반된 리소스 목록을 정책 템플릿별로 확인할 수 있습니다.

  • Capture Time은 처음 검출된 시각을 의미합니다.

  • 정책이 삭제되거나, 조건이 변경된 경우, 해당 정책에 위반된 리소스 목록도 삭제됩니다.

  • 어드바이저는 매일 새벽에 동기화됩니다.

 

2.2. 알림수신설정

  • 수신 정보에서 알림 받을 사용자의 정보를 입력하고 '저장하기' 버튼을 누릅니다.

  • 수신 대상에서 알림 받을 구독을 On/Off 하고, 대상 회사/서비스/계정을 선택합니다.

    • Inventory - 인스턴스 타입 제한 알림 : '이상 인스턴스 타입의 신규 리소스 관리 정책' 템플릿 위반 알림

    • Inventory - 리전 제한 알림 : '미사용 리전에서 신규 리소스 관리 정책' 템플릿 위반 알림

    • Inventory - 클라우드 표준 미준수 알림 (기본) : 메타 정보가 존재하지 않는 예외의 경우에도 기본적으로 수신 받을 수 있는 알림

 

2.3. 알림 지원

  • 알림 채널은 메일과 Slack, Team를 지원합니다.

  • 정책마다 개별로 발송됩니다.

  • 일정 시간 간격(1시간)으로 표준을 위반한 자원(들)을 검출하기 때문에
    검출 주기 내 위반한 자원 목록을 확인할 수 있습니다.

 

알림 메일 (샘플)

 

3. 주의사항

  • 정책 등록 이후에 생성되거나 변경된 자원에 대해서만 검출할 수 있습니다.

 

운영표준관리 FAQ

  1. 5~6시간마다 VM, DB의 표준을 체크해서 응답을 해주는 것인지요?
    => 표준 체크 시간은 현재 1시간 주기로 설정되어 있지만 VM, DB 수집 주기 2~3시간까지 포함하여 최대 3~4시간이 걸릴 수 있습니다

  2. 텔타 값만 체크하므로 한번 표준에 어긋나는 것을 한번만 통보를 주면 그 다음에는 통보를 추가로 주지는 않는 것인지요?
    => 네. 리소스당 1번만 통보됩니다.

  3. 만약 표준에 맞지 않는 것은 델타가 아니라 지속적으로 알람을 받을 수 있도록 사용자가 옵션으로 선택할 수 있도록 한다면 향후에 기능 업그레이드 가능한 아키텍처일지요?
    => 네. 선택적으로 지속 알림을 받도록 개선이 가능할 것으로 보입니다.

  4. shutdown된 서버도 체크하는 것인지요?
     => 네. 상태와 상관 없이 모든 서버 대상으로 체크합니다.

  5. 아래와 같이 서비스(정산그룹) 전체를 선택한 경우에는 향후에 정산 그룹하위에 계정이 추가되었을 경우 자동으로 하위계정 대상에 포함되나요?
    우리가 만든 기능들이 "서비스" 단위로 선택을 하면 하위 계정이 자동으로 업데이트가 되는 구조로 만들어진것인지 서비스마다 각기 다른지 궁금합니다.
    (그러한 선택 기능도 동일하게 작동이 되도록 해야 일관성이 있을 것 같습니다.)
    => 정책이 생성된 이후 추가되는 하위계정은 대상에 포함되지 않습니다. 매번 화면에서 활성화 여부를 직접 업데이트해야 하며, 정책 생성시 해당 안내 메세지를 보여주고 있습니다.
     이것은 다른 기능(ex. 알림수신설정 -> 자동 업데이트)과의 일관성을 위해, 표준 정책 기능 쪽에서 하위 계정이 자동 업데이트 되도록 개선이 필요할 것 같습니다.