요약 사전 조건 및 제한 사항 아키텍처 도구 모범 사례 에픽 문제 해결 관련 리소스

Terraform을 사용하여 AWS Organizations에서 소프트웨어 패키지 배포를 중앙 집중화합니다.

제작: 프라딥 쿠마르 판디 (AWS), 아르티 라즈풋 (AWS), 친타마니 아파레 (AWS), T.V.R.L. 파니 쿠마르 다디 (AWS), 마유리 신데 (AWS), 프라탑 쿠마르 난다 (AWS)

환경: 프로덕션

기술: 관리 및 거버넌스, 인프라

AWS 서비스: AWS 조직, AWS Systems Manager

요약

기업은 워크로드 간에 강력한 격리 장벽을 만들기 위해 여러 AWS 리전 곳에 분산된 여러 개를 유지 관리하는 경우가 많습니다. AWS 계정 보안 및 규정 준수를 유지하기 위해 관리 팀은, 또는 보안 스캔을 위한 도구와 Amazon CloudWatch 에이전트 CrowdStrike SentinelOne, Datadog Agent 또는 모니터링용 에이전트와 같은 에이전트 기반 TrendMicro도구를 설치합니다. AppDynamics 이러한 팀은 이러한 대규모 환경에서 소프트웨어 패키지 관리 및 배포를 중앙에서 자동화하려는 경우 종종 어려움을 겪습니다.

배포자 (Destributor) 는 단순화된 단일 인터페이스를 통해 클라우드 및 온프레미스 서버 전반의 관리형 Microsoft Windows 및 Linux 인스턴스에 소프트웨어를 패키징하고 게시하는 프로세스를 자동화합니다. AWS Systems Manager 이 패턴은 Terraform을 사용하여 소프트웨어 설치 관리 프로세스를 더욱 단순화하고 최소한의 노력으로 다수의 인스턴스와 구성원 계정에서 스크립트를 실행하는 방법을 보여줍니다. AWS Organizations

이 솔루션은 Systems Manager에서 관리하는 Amazon, Linux 및 Windows 인스턴스에서 작동합니다.

사전 조건 및 제한 사항

설치할 소프트웨어가 들어 있는 디스트리뷰터 패키지
테라폼 버전 0.15.0 이상
Systems Manager에서 관리하고 대상 계정의 아마존 심플 스토리지 서비스 (Amazon S3) 에 액세스할 수 있는 기본 권한을 가진 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스
다음을 사용하여 설정된 조직의 랜딩 존 AWS Control Tower
(선택 사항) 테라폼용 어카운트 팩토리 (AFT)

아키텍처

리소스 세부 정보

이 패턴은 Account Factory for Terraform (AFT) 을 사용하여 필요한 모든 AWS 리소스를 생성하고 코드 파이프라인을 사용하여 배포 계정에 리소스를 배포합니다. 코드 파이프라인은 두 개의 리포지토리에서 실행됩니다.

글로벌 사용자 지정에는 AFT에 등록된 모든 계정에서 실행되는 Terraform 코드가 포함되어 있습니다.
계정 사용자 지정에는 배포 계정에서 실행할 Terraform 코드가 포함됩니다.

계정 사용자 지정 폴더에서 Terraform 명령을 실행하여 AFT를 사용하지 않고 이 솔루션을 배포할 수도 있습니다.

Terraform 코드는 다음 리소스를 배포합니다.

AWS Identity and Access Management (IAM) 역할 및 정책
- SystemsManager- 대상 계정에서 자동화를 실행할 권한을 사용자에게 AutomationExecutionRole 부여합니다.
- SystemsManager- 사용자에게 여러 계정 및 OU (조직 단위) 에서 자동화를 실행할 수 있는 권한을 AutomationAdministrationRole 부여합니다.
패키지의 압축 파일 및 manifest.json
- Systems Manager의 패키지에는 소프트웨어 또는 설치 가능한 에셋의.zip 파일이 하나 이상 포함되어 있습니다.
- JSON 매니페스트에는 패키지 코드 파일에 대한 포인터가 포함되어 있습니다.
S3 버킷
- 조직 전체에서 공유되는 분산 패키지는 Amazon S3 버킷에 안전하게 저장됩니다.
AWS Systems Manager 문서 (SSM 문서)
- DistributeSoftwarePackage멤버 계정의 모든 대상 인스턴스에 소프트웨어 패키지를 배포하는 로직이 포함되어 있습니다.
- AddSoftwarePackageToDistributor설치 가능한 소프트웨어 자산을 패키징하여 Automation에 추가하는 로직 (기능) 이 포함되어 있습니다. AWS Systems Manager
Systems Manager 연결
- Systems Manager 연결을 사용하여 솔루션을 배포합니다.

아키텍처 및 워크플로

AWS Organizations의 소프트웨어 패키지 배포를 중앙 집중화하기 위한 아키텍처 다이어그램

다이어그램은 다음 단계들을 보여줍니다.

중앙 집중식 계정에서 솔루션을 실행하려면 배포 단계와 함께 패키지 또는 소프트웨어를 S3 버킷에 업로드합니다.
사용자 정의된 패키지는 Systems Manager 콘솔 문서 섹션의 Owned by me 탭에서 사용할 수 있습니다.
Systems Manager의 기능인 State Manager는 조직 전체에서 패키지에 대한 연결을 만들고, 일정을 잡고, 실행합니다. 연결은 소프트웨어 패키지를 대상 노드에 설치하려면 먼저 관리 노드에 소프트웨어 패키지를 설치하고 실행해야 한다고 지정합니다.
연결은 Systems Manager에 대상 노드에 패키지를 설치하도록 지시합니다.
후속 설치 또는 변경의 경우 사용자는 단일 위치에서 정기적으로 또는 수동으로 동일한 연결을 실행하여 계정 전체에 배포를 수행할 수 있습니다.
회원 계정에서 자동화는 배포자에게 배포 명령을 보냅니다.
배포자는 소프트웨어 패키지를 인스턴스 전체에 배포합니다.

이 솔루션은 내의 관리 계정을 사용하지만 AWS Organizations조직을 대신하여 관리 계정을 관리할 계정 (위임된 관리자) 을 지정할 수도 있습니다.

도구

AWS 서비스

Amazon Simple Storage Service(S3)는 원하는 양의 데이터를 저장, 보호 및 검색하는 데 도움이 되는 클라우드 기반 객체 스토리지 서비스입니다. 이 패턴은 Amazon S3를 사용하여 분산 패키지를 중앙 집중화하고 안전하게 저장합니다.
AWS Systems Manager은 AWS 클라우드에서 실행되는 애플리케이션 및 인프라를 관리하는 데 도움을 줍니다. 애플리케이션 및 리소스 관리를 간소화하고, 운영 문제를 감지 및 해결하는 시간을 단축하고, AWS 리소스를 대규모로 안전하게 관리할 수 있도록 지원합니다. 이 패턴은 다음과 같은 Systems Manager 기능을 사용합니다.
- 배포자를 통해 소프트웨어를 패키징하고 Systems Manager 관리형 인스턴스에 게시할 수 있습니다.
- 자동화는 많은 서비스에 대한 일반적인 유지 관리, 배포 및 수정 작업을 간소화합니다. AWS
- 문서는 조직 및 계정 전체의 Systems Manager 관리형 인스턴스에서 작업을 수행합니다.
AWS Organizations여러 계정을 하나의 조직으로 통합하여 사용자가 만들고 중앙에서 관리하는 데 도움이 되는 AWS 계정 관리 서비스입니다.

기타 도구

Terraform은 클라우드 및 온프레미스 리소스를 생성하고 관리하는 데 도움이 HashiCorp 되는 코드형 인프라 (IaC) 도구입니다.

코드 리포지토리

이 패턴에 대한 지침과 코드는 GitHub 중앙 집중식 패키지 배포 리포지토리에서 확인할 수 있습니다.

모범 사례

연결에 태그를 할당하려면 AWS Command Line Interface (AWS CLI) 또는 를 사용하십시오 AWS Tools for PowerShell. Systems Manager 콘솔을 사용하여 연결에 태그를 추가하는 것은 지원되지 않습니다. 자세한 내용은 Systems Manager 설명서에서 Systems Manager 리소스 태깅을 참조하십시오.
다른 계정에서 공유한 새 버전의 문서를 사용하여 연결을 실행하려면 문서 버전을 로 default 설정하십시오.
대상 노드에만 태그를 지정하려면 태그 키 하나를 사용하십시오. 여러 태그 키를 사용하여 노드를 타겟팅하려면 리소스 그룹 옵션을 사용하십시오.

에픽

작업	설명	필요한 기술
리포지토리를 복제합니다.	GitHub 중앙 집중식 패키지 배포 리포지토리를 복제하십시오. `git clone https://github.com/aws-samples/aws-organization-centralised-package-distribution` Terraform 코드 리포지토리에는 AFT에서 관리하는 두 개의 사용자 지정 폴더가 필요합니다. 리포지토리의 로컬 사본에 다음 폴더가 포함되어 있는지 확인하십시오. `$ cd centralised-package-distribution $ ls global-customization account-customization`	DevOps 엔지니어
글로벌 변수를 업데이트합니다.	`global-customization/variables.tf`파일에서 다음 입력 매개변수를 업데이트합니다. 이러한 변수는 AFT에서 생성 및 관리하는 모든 계정에 적용됩니다. `account_id`: 디스트리뷰터 솔루션이 배포될 계정의 ID. `aws_region`: 연결이 배포될 AWS 리전 위치입니다.	DevOps 엔지니어
계정 변수 업데이트	`account-customization/variables.tf`파일에서 다음 입력 매개변수를 업데이트하십시오. 이러한 변수는 AFT에서 생성하고 관리하는 특정 계정에만 적용됩니다. `package_bucket_name`: 패키지 배포 파일이 포함된 S3 버킷의 이름. `package_name`: 패키지 배포 파일의 이름. `package_version`: 설치 프로그램의 패키지 버전.	DevOps 엔지니어

작업	설명	필요한 기술
State Manager 연결을 위한 입력 매개변수를 업데이트하십시오.	`account-customization/association.tf`파일에서 다음 입력 파라미터를 업데이트하여 인스턴스에 유지할 상태를 정의하십시오. 사용 사례를 지원하는 경우 기본 파라미터 값을 사용할 수 있습니다. `targetAccounts`: 배포할 대상 인스턴스의 계정을 나타내는 AWS Organizations 내의 조직 단위 (OU) ID입니다. OU ID는 “ou”로 시작합니다. `targetRegions`: 대상 인스턴스가 실행되고 있는 곳 AWS 리전 (예: “us-east-1″ 또는 “ap-southeast-2") `action`: 패키지 설치 또는 제거 여부를 지정합니다. `installationType`: 다음 설치 유형 중 하나: `uninstall`: 패키지가 제거되었습니다. `reinstall`: 재설치 프로세스가 완료될 때까지 애플리케이션이 오프라인 상태로 전환됩니다. `In-place update`: 새 파일이나 업데이트된 파일이 설치에 추가되는 동안 응용 프로그램을 사용할 수 있습니다. `name`: 설치 또는 제거할 패키지 이름. `version`: 설치 또는 제거할 패키지 버전. 패키지 버전이 설치되지 않은 경우 시스템에서 오류를 반환합니다. `bucketName`: 패키지가 배포된 S3 버킷 이름. 이 버킷은 패키지와 매니페스트 파일로만 구성되어야 합니다. `bucketPrefix`: 패키지 자산이 저장되는 S3 접두사. `AutomationAssumeRole`: 의 아마존 리소스 이름 (ARN). `SystemsManager-AutomationAdministrationRole`	DevOps 엔지니어
압축 파일과 패키지용 `manifest.json` 파일을 준비합니다.	이 패턴은 폴더에 PowerShell 설치 및 제거 스크립트가 포함된 설치 가능한 샘플 파일 (Windows의 경우 .msi, Linux의 경우 .rpm) 을 제공합니다. `account-customization/package` PowerShell 설치 가능한 파일을 자체 파일로 바꾸거나 설치 파일, 설치 및 제거 스크립트, 매니페스트 파일을 제공하여 계정의 폴더에 패키지를 생성하십시오. `account-customization` 요구 사항에 따라 Terraform이 폴더에 생성하는 기본 `manifest.json` 파일을 사용자 정의하십시오`account-customization`.	DevOps 엔지니어

작업 설명 필요한 기술

작업	설명	필요한 기술
Terraform 구성을 초기화합니다.	AFT를 사용하여 솔루션을 자동으로 배포하려면 코드를 다음 위치로 푸시하십시오. AWS CodeCommit `$ git add * $ git commit -m "message" $ git push` 폴더에서 Terraform 명령을 실행하여 AFT를 사용하지 않고 이 솔루션을 배포할 수도 있습니다. `account-customization` Terraform 파일이 포함된 작업 디렉토리를 초기화하려면 다음을 실행하십시오. `$ terraform init`	DevOps 엔지니어
변경 사항 미리 보기	Terraform이 인프라에 적용할 변경 사항을 미리 보려면 다음 명령을 실행하십시오. `$ terraform plan` 이 명령은 Terraform 구성을 평가하여 선언된 리소스의 원하는 상태를 확인합니다. 또한 원하는 상태를 작업 공간 내에서 프로비저닝할 실제 인프라와 비교합니다.	DevOps 엔지니어
변경 사항 적용	다음 명령을 실행하여 `variables.tf` 파일에 적용한 변경 사항을 구현합니다. `$ terraform apply`	DevOps 엔지니어

Terraform 구성을 초기화합니다.

AFT를 사용하여 솔루션을 자동으로 배포하려면 코드를 다음 위치로 푸시하십시오. AWS CodeCommit


$ git add *
$ git commit -m "message"
$ git push

폴더에서 Terraform 명령을 실행하여 AFT를 사용하지 않고 이 솔루션을 배포할 수도 있습니다. account-customization Terraform 파일이 포함된 작업 디렉토리를 초기화하려면 다음을 실행하십시오.


$ terraform init

DevOps 엔지니어

변경 사항 미리 보기

Terraform이 인프라에 적용할 변경 사항을 미리 보려면 다음 명령을 실행하십시오.


$ terraform plan

이 명령은 Terraform 구성을 평가하여 선언된 리소스의 원하는 상태를 확인합니다. 또한 원하는 상태를 작업 공간 내에서 프로비저닝할 실제 인프라와 비교합니다.

DevOps 엔지니어

변경 사항 적용

다음 명령을 실행하여 variables.tf 파일에 적용한 변경 사항을 구현합니다.


$ terraform apply

DevOps 엔지니어

작업	설명	필요한 기술
SSM 문서 생성을 검증합니다.	Systems Manager 콘솔의 왼쪽 탐색 창에서 [문서] 를 선택합니다. 내 소유(Owned by me) 탭을 선택합니다. `DistributeSoftwarePackage`및 `AddSoftwarePackageToDistributor` 패키지가 표시되어야 합니다.	DevOps 엔지니어
자동화가 성공적으로 배포되었는지 검증하십시오.	Systems Manager 콘솔의 왼쪽 탐색 창에서 자동화를 선택합니다. 자동화 실행 목록에서 가장 최근 `DistributeSoftwarePackage` 및 `AddSoftwarePackageToDistributor` 배포를 확인할 수 있습니다. 실행 ID를 선택하여 성공적으로 완료되었는지 확인합니다.	DevOps 엔지니어
패키지가 대상 멤버 계정 인스턴스에 배포되었는지 확인합니다.	Systems Manager 콘솔의 탐색 창에서 명령 실행을 선택합니다. 명령 기록에서 각 호출 및 상태를 확인할 수 있습니다. 명령 ID를 선택하면 각 대상 인스턴스의 배포 기록을 볼 수 있습니다. 인스턴스 ID를 선택하고 Output 섹션에서 배포를 확인합니다.	DevOps 엔지니어

문제 해결

문제	Solution
State Manager 연결이 실패했거나 보류 중 상태로 멈췄습니다.	AWS 지식 센터의 문제 해결 정보를 참조하십시오.
예약된 연결을 실행하지 못했습니다.	스케줄 지정이 유효하지 않을 수 있습니다. State Manager는 현재 연관성을 위해 크론 표현식으로 월을 지정하는 것을 지원하지 않습니다. cron 또는 rate 표현식을 사용하여 일정을 확인하세요.