programing

Azure 테넌트와 Azure 서브스크립션의 차이점은 무엇입니까?

megabox 2023. 5. 4. 19:47
반응형

Azure 테넌트와 Azure 서브스크립션의 차이점은 무엇입니까?

Azure 서브스크립션과 Azure 테넌트가 어떻게 다른지 구별하기 위해 노력하고 있습니다.저는 예시를 사용하여 그것을 알아내려고 노력했지만 매번 같은 것이라는 결론에 도달합니다.테넌트가 조직이 마이크로소프트 클라우드 서비스에 등록할 때 받고 소유하는 Azure AD 서비스의 전용 인스턴스인 경우, 구독도 마찬가지입니까?

기본 이해:

  • 테넌트가 단일 ID(개인, 회사 또는 조직)와 연결되어 있으며 하나 이상의 구독을 소유할 수 있습니다.
  • 구독이 결제 설정에 연결되어 있으며 각 구독은 별도의 청구서를 생성합니다.
  • 모든 구독에서 가상 리소스(VM, 스토리지, 네트워크 등)를 추가할 수 있습니다.

추가로:

  • 모든 테넌트가 단일 Azure AD 인스턴스에 연결되어 모든 테넌트의 구독과 공유됩니다.

  • 한 구독의 리소스가 다른 구독의 리소스와 분리됨

  • 테넌트의 소유자는 여러 개의 구독을 가질 수 있습니다.

    • 구독 제한에 도달한 경우
    • 다른 지불 방법을 사용하다
    • 서로 다른 부서, 프로젝트, 지역 사무소 등 간에 리소스를 격리합니다.

예 1:

Conoso는 2개의 구독을 가진 테넌트를 결정합니다.

  • 신용카드 A가 있는 제품 부서에 대한 1회 구독
  • 신용카드 B가 있는 개발 부서에 대한 1회 구독
    다른

이 예에서는 두 부서가 동일한 Azure AD 데이터베이스를 공유합니다.그러나 부서 간에 리소스가 분리되고 예산도 분리될 수 있습니다.

예 2:

한 지주 회사에서 두 명의 테넌트를 결정합니다.

  • Dev 및 Prod에 대한 구독이 하나 있는 자회사 Contoso의 테넌트 1명
  • 자회사 Fabrikam의 테넌트 한 명, Dev 및 Prod의 구독 한 명

이 예에서 두 회사는 서로 다른 Azure AD 데이터베이스를 가지고 있습니다.

예 3:

개인 교육을 위한 세입자가 있습니다.
이 테넌트에서는 다음을 사용할 수 있습니다.

  • 무료 Azure 구독 1회(신용카드와 연동되지만 충전되지 않으며, 무료 평가판 사용 후 Pay-As-You-Go 구독으로 전환 가능)
  • 하나 또는 여러 개의 Pay-As-You-Go 가입(다른 신용 카드에 연결됨)
  • 하나 또는 여러 개의 Azure Pass Sponsorship 구독, 이 구독은 Microsoft 교육 중에 얻기 때문에 신용 카드에 연결되지 않음
  • 하나의 Visual Studio 구독(신용 카드에 연결됨) 및 무료 구독과 다른 할당량(무료 리소스)

이러한 모든 구독에는 독립된 리소스(구독당)가 있으며 일부는 무료이며 다른 구독에는 비용을 지불해야 하지만 모든 구독은 동일한 Azure AD 데이터베이스를 공유합니다.

zure 테넌트는 디렉토리입니다.Zure 헤드라인 등록은 리소스를 넣을 수 있는 "폴더"를 나타내는 개체입니다.구독은 테넌트와 연결되어 있으므로 한 테넌트는 많은 구독을 가질 수 있지만 그 반대는 아닙니다.

링크:
https://learn.microsoft.com/en-us/azure/://learn.microsoft.com/en-us/azure/azure-subscription-service-limits

시나리오를 작성하는 데 도움이 됩니다.

portal.azure.com 에 처음 로그인하여 무료 계층 계정을 만들었다고 가정해 보겠습니다.

Azure에 로그인할 때 계정과 연결된 단일 테넌트 ID가 있으며 이는 Microsoft에 계정 삭제를 요청하지 않는 한 변경되지 않습니다(예: bob@gmail.com ).

다른 구독을 구입하거나 관리하지 않은 경우('청구 소유권 이전' 기능 사용), 구독 아래에 모두 나열됩니다.

테넌트 ID와 연결된 모든 "리소스"에 대한 전체 액세스 권한을 갖게 됩니다.이러한 리소스는 사용자 자신의 Azure '디렉토리'의 일부이거나 사용자에게 액세스 권한을 부여한 다른 도메인의 일부일 수 있습니다.

최대 20개의 디렉토리를 생성할 수 있으며 최대 500개의 디렉토리에 속할 수 있습니다.

서브스크립션(예: 무료 계정)을 소유한 경우, 서브스크립션의 '루트'까지 모든 권한을 가집니다(예: 오른쪽 상단 모서리에 있는 사용자 이름을 클릭하고 "..."을 선택하는 경우).> 권한" 다음과 같은 내용이 표시됩니다.귀하의 계정 'YOURACCOUNT@gmail.com '에 '사용자 액세스 관리자'(BuiltInRole 유형) 역할이 할당되었으며 범위 /에 액세스할 수 있습니다.

리소스에는 구독 소유자인 사용자가 Azure Active Directory(또는 신뢰할 수 있는 다른 디렉토리)의 다른 사용자에게 할당할 수 있는 역할 기반 액세스 제어가 있습니다.

기본적으로 새 구독의 경우 계정 관리자에게 "서비스 관리자" 권한이 할당됩니다.이것은 RBAC 역할 위에 있는 것으로, 구독당 서비스 관리자가 한 명만 있을 수 있습니다.RBAC 용어로 이것은 '소유자'입니다.

추가 포인트:

단일 테넌트는 여러 AD 디렉토리를 가질 수 있지만 단일 디렉토리는 하나의 테넌트만 가질 수 있습니다.

*단일 테넌트만 유지하고 해당 테넌트에서 모든 AD 도메인을 관리하는 것이 좋습니다. 그렇지 않으면 도메인 간의 사용자 환경이 원활하지 않습니다.

*테넌트는 AD 리소스와 직접 연결됩니다. 오른쪽 상단 모서리에 있는 사용자 이름 위에 마우스를 놓으면 연결된 AD 도메인과 긴 영숫자 문자열이 표시됩니다. 이 문자열은 AD > 속성에 있는 문자열과 동일합니다.

*다른 디렉토리(있는 디렉토리가 있는 경우)로 전환하면 가입명(bob@gmail.com )은 변경되지 않지만 테넌트 ID는 다릅니다.

참조:

https://learn.microsoft.com/en-us/azure/role-based-access-control/rbac-and-directory-admin-roles

https://marckean.com/2016/06/01/azure-vs-azure-ad-accounts-tenants-subscriptions/

https://blogit.create.pt/miguelisidoro/2019/01/07/pros-and-cons-of-single-tenant-vs-multiple-tenants-in-office-365/

이 MS 문서는 마이크로소프트 클라우드 제품에 대한 구독, 라이센스, 계정 및 테넌트와 같은 모든 것을 매우 잘 설명했습니다.

설명서의 계층 구조 요약 섹션에서 인용합니다.

다음은 간단한 요약입니다.

조직은 여러 개의 구독을 가질 수 있습니다.

  • 구독에 여러 개의 라이센스가 있을 수 있습니다.
  • 라이센스를 개별 사용자 계정에 할당할 수 있습니다.
  • 사용자 계정은 Azure AD 테넌트에 저장됩니다.

같은 섹션의 뒷부분에 다음과 같이 쓰여 있습니다.

여러 마이크로소프트 클라우드 오퍼링 구독에서 공통 ID 공급자 역할을 하는 동일한 Azure AD 테넌트를 사용할 수 있습니다.사내 AD DS의 동기화된 계정을 포함하는 중앙 Azure AD 테넌트는 조직에 클라우드 기반 IDaaS(Identity as a Service)를 제공합니다.

실제 사례를 통해 이 모든 것을 이해해 보겠습니다.제가 소프트웨어 제품을 제조하는 FooBar라는 회사의 소유주라고 가정해 보겠습니다.이제 회사를 위해 Azure 인프라를 설정하기 위해 수행할 작업은 다음과 같습니다.

  1. 제 이메일 아이디로 Azure 계정을 만들겠습니다.

  2. 그런 다음 회사의 직원을 관리하기 위해 아래에 언급된 Azure Active Directory(AAD 일명 테넌트)를 내 Azure 계정에 생성했습니다.

    • 영구 광고
    • 애드혹 광고

    모든 정규직(FTE)의 사용자 계정은 영구적인 AAD에 추가되고 모든 임시 또는 계약직 직원은 애드혹 AAD에 추가됩니다.

  3. 마찬가지로 저는 애드혹 직원과 FTE의 청구를 별도로 관리하고 싶습니다.그래서 저는 PermannetSubAdhocSub라는 두 개의 구독을 만듭니다.PermanentAadPermanentSub의 신뢰 관계를 설정하겠습니다.AdhocAadAdhocSub도 마찬가지입니다.따라서 FTE가 Azure 리소스(예: 가상 시스템(VM)를 생성하면 해당 VM의 비용이 PermanentSubscription의 총 청구 금액에 추가됩니다.

  4. 이제 라이센싱 부분이 시작됩니다.라이센스를 통해 사용자는 Azure에서 리소스, VM 생성 등의 작업을 수행할 수 있습니다.FTE에게 Enterprise Mobility + Security E5 라이센스를 부여하여 FTE가 모든 항목을 테스트하기 위한 VM을 생성할 수 있도록 지원할 수 있습니다.

요약:

  • 당신이 Azure에서 일하고 싶다면 Azure 계정이 필요합니다.Azure 계정을 만들려면 활성 이메일 ID가 필요합니다.

  • IT 인프라의 일부인 사람/직원 또는 기계/기기를 추가하려면 테넌트/AAD가 필요합니다.Azure 계정을 생성할 때 기본적으로 테넌트/AAD 하나를 얻습니다.논리적 분리가 필요한 경우 추가로 생성할 수 있습니다.AAD 서비스는 모든 AAD 인스턴스를 관리하는 Azure의 모든 위치에 걸쳐 있는 글로벌 서비스입니다.AAD는 Azure Active Directory, AAD, Azure AD 인스턴스, AAD 인스턴스, Azure AD 테넌트, AAD 테넌트, 간단히 테넌트 또는 조직 등으로도 알려져 있습니다.그들은 모두 같은 의미입니다.따라서:

    조직 == 테넌트 == Azure Active Directory

  • Azure 계정 사용자에 대한 청구를 논리적으로 분리해야 하는 경우 여러 개의 가입이 필요합니다.새 Azure 계정을 만들 때 기본적으로 하나의 구독을 받습니다.아래 목록에 따라 4가지 유형의 서브스크립션이 제공됩니다.

    1. 공짜
    2. 종량제
    3. 기업협약
    4. 클라우드 솔루션 공급자
  • 사용자가 작업을 수행할 수 있도록 하려면 라이센스(예: 라이센스)를 발급하여 VM 또는 Azure 앱 서비스를 생성할 수 있습니다.또한 라이센스와 역할 기반 액세스 제어(RBAC)는 모두 Azure 포털에서 작업을 수행할 수 있지만 동일하지 않습니다.하지만 그들은 여러분이 스스로 탐구할 수 있는 다른 뉘앙스를 가지고 있습니다.

아래 이미지는 위의 설명을 요약합니다.이 답변의 시작 부분에서 언급한 것과 동일한 문서에서 발췌했습니다. 마이크로소프트 클라우드 제품에 대한 구독, 라이센스, 계정테넌트입니다.

설명서의 사용자 계정 섹션에서 인용합니다.

여기에 이미지 설명 입력

따라서 조직의 모든 사용자 계정 및 장치는 공통 Azure AD 테넌트/인스턴스에 상주합니다.

기존 답변에 테넌트가 도메인임을 추가합니다. 특정 회사의 이메일 주소인 경우 user@exampledomain.com admin@exampledomain.com

테넌트는 "예시 도메인"으로 인식될 수 있으며, 실제 시나리오에서는 회사 또는 클라이언트에 대해 테넌트를 생성합니다.

구독은 다른 논리적 고급 그룹과 같습니다.예를 들어, 동일한 테넌트 내에서 작업하는 각 환경에 대한 구독을 생성할 수 있습니다. 예를 들어, exampledomain.com 테넌트에는 개발, QA 및 운영 구독이 있을 수 있습니다.해당 비용은 가입한 계획에 따라 별도로 청구됩니다.

다음은 주요 용어와 용어 간의 관계에 대한 간략한 설명입니다.

이 문서는 모두 Microsoft 공식 문서에서 가져온 것입니다.

  • 계좌
  • 세입자
  • 신원
  • 서브스크립션
  • 자원
  • 리소스 그룹

계좌

Azure 서비스를 만들고 사용하려면 먼저 [Azure 계정]에 가입해야 합니다.

다음과 같습니다.
학습 경로: Azure Active Directory에서 ID액세스 관리
모듈: Azure 계정 만들기
연습:Azure 계정 만들기

세입자

Azure 테넌트는 Azure AD의 신뢰할 수 있는 단일 전용 인스턴스입니다.각 테넌트(디렉토리라고도 함)는 단일 조직을 나타냅니다.조직이 Microsoft 클라우드 서비스 가입에 등록하면 새 테넌트가 자동으로 생성됩니다.각 테넌트는 Azure AD의 신뢰할 수 있는 전용 인스턴스이므로 여러 테넌트 또는 인스턴스를 생성할 수 있습니다.

신원

ID는 인증할 수 있는 개체입니다.ID는 사용자 이름과 암호를 가진 사용자일 수 있습니다.또한 ID는 비밀 키 또는 인증서를 사용하여 인증을 필요로 하는 응용프로그램 또는 기타 서버일 수 있습니다.Azure AD는 ID 서비스를 제공하는 기본 제품입니다.

다음과 같습니다.
학습 경로: AZ-104: Azure에서 아이덴티티거버넌스 관리
모듈: Azure Active Directory 구성
연습:Azure Active Directory 개념 설명

서브스크립션

Azure 서비스를 만들고 사용하려면 Azure 구독이 필요합니다...추가 구독을 만들 수 있습니다.예를 들어, 회사에서 비즈니스에 단일 Azure 계정을 사용하고 개발, 마케팅 및 영업 부서에 별도의 가입을 사용할 수 있습니다.Azure 구독을 만든 후에는 각 구독 내에 Azure 리소스를 만들기 시작할 수 있습니다.

여기에 이미지 설명 입력

다음과 같습니다.
학습 경로: Azure 기초: Azure 아키텍처 및 서비스 설명
모듈:Azure 계정 시작하기

Azure에서 구독은 관리, 청구 및 규모의 단위입니다.리소스 그룹이 리소스를 논리적으로 구성하는 방법인 것과 유사하게, 구독을 사용하면 리소스 그룹을 논리적으로 구성하고 과금을 쉽게 수행할 수 있습니다.계정 하나에 여러 개의 구독이 있을 수 있지만 하나만 있으면 됩니다.다중 구독 계정에서 구독을 사용하여 서로 다른 청구 모델을 구성하고 서로 다른 액세스 관리 정책을 적용할 수 있습니다.Azure 구독을 사용하여 Azure 제품, 서비스 및 리소스에 대한 경계를 정의할 수 있습니다.

여기에 이미지 설명 입력

다음과 같습니다.
학습 경로: Azure 기초: Azure 아키텍처 및 서비스 설명
모듈:Azure 관리 인프라 설명

자원

자원은 Azure의 기본 구성요소입니다.생성, 프로비저닝, 배포 등 모든 작업이 리소스입니다.가상 머신(VM), 가상 네트워크, 데이터베이스, 인지 서비스 등은 모두 Azure 내의 리소스로 간주됩니다.

리소스 그룹

리소스 그룹은 단순히 리소스 그룹입니다.리소스를 생성할 때 리소스 그룹에 배치해야 합니다.리소스 그룹에는 여러 리소스가 포함될 수 있지만 단일 리소스는 한 번에 하나의 리소스 그룹에만 포함될 수 있습니다.일부 리소스는 리소스 그룹 간에 이동할 수 있지만 리소스를 새 그룹으로 이동하면 이전 그룹과 더 이상 연결되지 않습니다.또한 리소스 그룹을 중첩할 수 없으므로 리소스 그룹 B를 리소스 그룹 A 내부에 둘 수 없습니다.

리소스 그룹은 리소스를 함께 그룹화할 수 있는 편리한 방법을 제공합니다.리소스 그룹에 작업을 적용하면 해당 작업이 리소스 그룹 내의 모든 리소스에 적용됩니다.리소스 그룹을 삭제하면 모든 리소스가 삭제됩니다.리소스 그룹에 대한 액세스를 허용하거나 거부하면 리소스 그룹 내의 모든 리소스에 대한 액세스를 허용하거나 거부한 것입니다.

리소스를 프로비저닝할 때는 필요에 가장 적합한 리소스 그룹 구조를 고려하는 것이 좋습니다.

예를 들어 임시 개발 환경을 설정하는 경우 모든 리소스를 함께 그룹화하면 리소스 그룹을 삭제하여 관련된 모든 리소스를 한 번에 프로비저닝 해제할 수 있습니다.세 가지 액세스 스키마가 필요한 계산 리소스를 프로비저닝하는 경우 액세스 스키마를 기준으로 리소스를 그룹화한 다음 리소스 그룹 수준에서 액세스를 할당하는 것이 가장 좋습니다.

리소스 그룹을 사용하는 방법에 대한 엄격한 규칙은 없으므로 리소스 그룹의 유용성을 극대화하기 위해 리소스 그룹을 설정하는 방법을 고려해 보십시오.

여기에 이미지 설명 입력

출처:
학습 경로: Azure 기초: Azure 아키텍처 및 서비스 설명
모듈:Azure 관리 인프라 설명

간단히 말해, Azure AD 인스턴스는 조직이 Microsoft와 관계를 맺을 때 받는 것으로, 예를 들어 Azure, Microsoft Intune 또는 Microsoft 365에 가입하는 것과 같습니다.

테넌트는 온프레미스 환경의 포리스트와 유사합니다.

Active Directory 포리스트(AD 포리스트)는 도메인, 사용자, 시스템 및 그룹 정책이 포함된 Active Directory 구성의 최상위 논리 컨테이너입니다.

테넌트를 Azure에 등록된 사용자/도메인 엔티티로 간주합니다.테넌트는 Azure 디렉터리에 등록되는 고유 엔터티인 Azure '고객'입니다.구독은 리소스를 그룹화하는 작업 수준입니다.세입자는 구독이 있습니다.테넌트는 매우 유용한 접근 방식이며, 제 생각에는 AWS에서 누락된 것 같습니다.

언급URL : https://stackoverflow.com/questions/47307368/what-is-the-difference-between-an-azure-tenant-and-azure-subscription

반응형