.. _cloud:

클라우드에서 노드 관리
=========================
 
Genian ZTNA Cloud Collector는 클라우드 환경에서 IP 지원 노드에 대한 정보를 수집하도록 활성화할 수 있습니다. 설정된 수행 주기로 Cloud Collector는  Cloud Service provider에게 쿼리하여 지정된 환경의 노드와 검색된 노드의 기타 중요한 클라우드 관련 세부 정보를 식별합니다.
 
클라우드 환경 구성
--------------------------

.. _cloud-provider:

Cloud Provider 추가
^^^^^^^^^^^^^^^^^^^^^^

클라우드와 관련한 다양한 작업을 위해, 클라우드 계정을 등록하고 관리하는 설정 화면 입니다.

#. 상단 메뉴에서 시스템 > Cloud Provider로 이동합니다.
#. 작업 선택을 클릭한 다음 생성을 클릭합니다.
#. 설정명 입력(예: 'AWS Cloud')
#. Cloud에 대해 "AWS", "AZURE", "NHN", "NAVER", "LINODE" 중 하나를 선택하십시오.
#. 아래 'Cloud 종류별 입력방법'을 참고하여 정보를 넣어주십시오.
#. 생성 클릭

Cloud 종류별 입력방법
^^^^^^^^^^^^^^^^^^^^^^

- **AWS의 크리덴셜 정보**
 #. Access Key : AWS Console > 오른쪽 상단의 사용자 이메일 선택 > Security credentials(보안 자격 증명) 선택 > 'Access key' 확인 후 입력합니다.
 #. Secret Key : Access key 생성할 때 show(표시) 선택 > 'Secret key' 확인 후 입력합니다.
  
  - **AWS 계정의 IAM관련 활성화 되어야하는 정책**
  - 설정 경로 : AWS Console > IAM > Users > 사용자 아이디 > Permissions > Policy name
  - AdministratorAccess : AWS 서비스 및 리소스에 대한 전체 액세스를 제공합니다.
  - AmazonEC2FullAccess : AWS Management Console을 통해 Amazon EC2에 대한 전체 액세스를 제공합니다.
  - AmazonRoute53FullAccess : AWS Management Console을 통해 모든 Amazon Route 53에 대한 전체 액세스를 제공합니다.
  - AmazonS3FullAccess : AWS Management Console을 통해 모든 버킷에 대한 전체 액세스를 제공합니다.
  - AWSMarketplaceFullAccess : AWS Marketplace 소프트웨어를 구독 및 구독 취소할 수 있는 기능을 제공하고, 사용자가 Marketplace '귀하의 소프트웨어' 페이지에서 Marketplace 소프트웨어 인스턴스를 관리할 수 있도록 하며, EC2에 대한 관리 액세스를 제공합니다
  - AWSSupportAccess : 사용자가 AWS 지원 센터에 액세스할 수 있도록 허용합니다.
  - CloudFrontFullAccess : CloudFront 콘솔에 대한 전체 액세스 권한과 AWS Management Console을 통해 Amazon S3 버킷을 나열하는 기능을 제공합니다.
  - CloudWatchEventsFullAccess : Amazon CloudWatch Events에 대한 전체 액세스를 제공합니다.
  - CloudWatchFullAccess : CloudWatch에 대한 전체 액세스를 제공합니다.
  - SecurityAudit : 보안 감사 템플릿은 보안 구성 메타데이터를 읽을 수 있는 액세스 권한을 부여합니다. AWS 계정의 구성을 감사하는 소프트웨어에 유용합니다.

- **AZURE의 크리덴셜 정보**
 #. Client ID : Azure Portal > Azure Active Directory > App registrations(앱 등록) > 'Application ID' 확인 후 입력합니다.
 #. Client Secret : Home > Azure Active Directory > App registrations(앱 등록) > Certificates & secrets(인증서 및 암호) > 'Value' 확인 후 입력합니다.
 #. Subscription ID : Home > Subscriptions > 'Subscription ID' 확인 후 입력합니다.
 #. Tenant ID : Home > Azure Active Directory > App registrations(앱 등록) > 'Directory ID' 확인 후 입력합니다.
 #. Resource Group Name : Home > Subscriptions > Subscription Name > Resource groups > 'Name' 확인 후 입력합니다.

  - **Azure 계정의 IAM관련 활성화 되어야하는 정책**
  - 설정 경로 : Access control(IAM) > View my access > Current role assignments > Role 항목
  - Contributor : 모든 리소스를 관리할 수 있는 전체 액세스 권한을 부여하지만 Azure RBAC에서 역할을 할당하거나, Azure Blueprints에서 할당을 관리하거나, 이미지 갤러리를 공유할 수는 없습니다.
  - User Access Administrator : Azure 리소스에 대한 사용자 액세스를 관리할 수 있습니다.
  - Managed Application Operator Role: 관리형 애플리케이션 리소스에 대한 작업을 읽고 수행할 수 있습니다.

- **NHN의 크리덴셜 정보**
 #. User Name : NHN Console 로그인 'ID'를 입력한다.
 #. Tenant ID : Compute > Instance > 관리 페이지 > API 엔드포인트 설정 버튼 클릭 > 'Tenant ID' 확인 후 입력한다.
 #. Password : Compute > Instance > 관리 페이지의  API 엔드포인트 설정 버튼 클릭 > 원하는 API 'Password' 지정 후 입력한다.
  
  - **NHN 계정의 IAM관련 설정해야 할 프로젝트의 역할**
  - 경로 : 헤당 콘솔 로그인 > 맴버 관리 > IAM 맴버
  - 프로젝트의 역할 설정은 ADMIN으로 한다. 
  - 프로젝트 기본 정보, 멤버, 역할, 서비스 등 프로젝트 전체에 대한 Create(생성)/Read(읽기)/Update(갱신)/Delete(삭제)가 가능하다.

- **NAVER의 크리덴셜 정보**
 #. Access Key : NCloud Console > 우측 상단 사용자 ID > 계정 관리 > 비밀번호 및 인증 > 인증키 관리 > 신규 API 인증키 생성 > 'Access Key ID' 확인 후 입력한다.
 #. Secret Key : API 인증키 생성 후 'Secret Key' 확인 후 입력한다.
  
  - **Naver 계정의 IAM관련 활성화 되어야하는 정책 항목**
  - 설정 경로 : 우측 상단 사용자 ID > 권한보기
  - 권한의 정책명은 NCP_ADMINISTRATOR(포털과 콘솔에 접근할 수 있는 권한이 메인 계정과 동일한 권한)로 설정한다.
  - 권한설정은 관리자 전용 메뉴로 좌측 상단에 서비스 환경 설정 > 구성원/권한 관리에서 설정한다.

- **LINODE의 크리덴셜 정보**
 #. Token : Linode Console > My Profile > API Tokens > Add a Personal Access Token > 'Key' 확인 후 입력한다.

  - **Linode 계정 관련 활성화 되어야하는 정책**
  - API Token 생성시 생성/삭제 등 모든 권한을 가지도록 설정한다.
  - 좌측 Account > User & Grants > 해당 유저의 User Permissions > Full Account Access로 설정한다.

클라우드 사이트 생성
^^^^^^^^^^^^^^^^^^^^

SASE 구성을 설정하기 위한 설정 화면 입니다. 사이트 생성 및 관리를 통해 Cloud에 Service Edge(ZTNA Gateway, Hub)를 만들고 Service Edge에 연결할 Branch를 구성 할 수 있습니다.

#. 상단 메뉴에서 시스템 > 사이트로 이동합니다.
#. 작업을 클릭한 다음 생성을  클릭합니다.
#. 사이트명 입력 (예: '기업 hub' 또는 'VPC-XXXXXXXX')
#. 인프라의 경우 Cloud 선택
#. Cloud Provider의 경우 이전 단계에서 생성한 Cloud Provider를 선택합니다.
#. Cloud Provider 선택시 수집기의 유무에 따라 아래 Collector탭의 출력 여부가 결정됩니다.
#. Region의 경우 목록에서 원하는 리전을 선택합니다.
#. VPC ID의 경우 목록에서 원하는 VPC를 선택합니다.
#. Network Address의 경우 VPC ID 선택시 자동으로 입력됩니다.

.. note:: VPC가 나열되지 않으면 이전 단계와 로그를 확인하여 Cloud Provider를 추가할 때 문제가 없었는지 확인하십시오.

#. 타입에 대해 hub 또는 branch를 선택하십시오.
#. 네트워크 주소에 7단계에서 입력한 VPC에 해당하는 서브넷을 입력합니다(예: 172.31.16.0/20).
#. Collector 상태를 사용으로 설정(프록시 설정을 기본값으로 두고 원하는 수행 주기 설정)
#. 저장 클릭

클라우드 노드 감지 확인
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

센서에 의해 등록된 노드를 다양한 현황 및 필터를 사용하여 검색할 수 있는 페이지 입니다.

#. 상단 메뉴에서 관리 > 노드로 이동합니다.
#. 왼쪽 창에서 이전 단계에서 만든 사이트 이름을 클릭합니다.
#. 이전에 지정된 VPC 및 서브넷의 모든 AWS EC2 인스턴스는 노드로 나열되어야 합니다.
#. 검색된 노드에 대한 AWS 세부 정보는 노드 세부 정보를 볼 수 있습니다. 노드 세부 정보는 관리 > 노드로 이동하여 노드 IP를 클릭하고 AWS 섹션까지 아래로 스크롤하여 볼 수 있습니다.

.. note:: 노드 검색, 그룹화 및 모니터링에 대해서는 :ref:`네트워크 노드 모니터링<network-nodes>` 를 참조 하십시오.


.. toctree::
   :maxdepth: 1

   cloud/awsconnector