이 아키텍처는 Windows Server의 파일에도 액세스하는 온-프레미스 사용자 및 애플리케이션에 클라우드의 파일 공유를 제공하는 방법을 보여 줍니다.
아키텍처
이 아키텍처의 Visio 파일을 다운로드합니다.
워크플로
이 솔루션은 온-프레미스 AD DS 및 클라우드 기반 Microsoft Entra ID를 동기화합니다. 동기화는 클라우드 및 온-프레미스 리소스 모두에 액세스하기 위한 공통 ID를 제공하여 사용자의 생산성을 높입니다.
Microsoft Entra 커넥트 동기화를 수행하는 온-프레미스 Microsoft 애플리케이션입니다. Microsoft Entra 커넥트 대한 자세한 내용은 Microsoft Entra 커넥트란? 및 Microsoft Entra 커넥트 동기화: 동기화 이해 및 사용자 지정을 참조하세요.
Azure Virtual Network는 클라우드에서 가상 네트워크를 제공합니다. 이 솔루션의 경우 두 개 이상의 서브넷이 있습니다. 하나는 Azure DNS용이고 다른 하나는 파일 공유에 액세스하기 위한 프라이빗 엔드포인트용입니다.
VPN 또는 Azure ExpressRoute는 온-프레미스 네트워크와 클라우드의 가상 네트워크 간에 보안 연결을 제공합니다. VPN을 사용하는 경우 Azure VPN Gateway를 사용하여 게이트웨이를 만듭니다. ExpressRoute를 사용하는 경우 ExpressRoute 가상 네트워크 게이트웨이를 만듭니다. 자세한 내용은 VPN Gateway란? 및 ExpressRoute 가상 네트워크 게이트웨이 정보를 참조하세요.
Azure Files는 클라우드에서 파일 공유를 제공합니다. 이를 위해서는 Azure Storage 계정이 필요합니다. 파일 공유에 대한 자세한 내용은 Azure Files란?을 참조하세요.
프라이빗 엔드포인트는 파일 공유에 대한 액세스를 제공합니다. 프라이빗 엔드포인트는 Azure 서비스에 연결되는 서브넷 내부의 NIC(네트워크 인터페이스 카드)와 같습니다. 이 경우 서비스는 파일 공유입니다. 프라이빗 엔드포인트에 대한 자세한 내용은 Azure Storage에 프라이빗 엔드포인트 사용을 참조하세요.
온-프레미스 DNS 서버는 IP 주소를 확인합니다. 그러나 Azure DNS는 Azure 파일 공유 FQDN(정규화된 도메인 이름)을 확인합니다. Azure DNS에 대한 모든 DNS 쿼리는 가상 네트워크에서 시작됩니다. 이러한 쿼리를 Azure DNS로 라우팅하기 위해 가상 네트워크 내부에 DNS 프록시가 있습니다. 자세한 내용은 DNS 전달자를 사용하는 온-프레미스 워크로드를 참조하세요.
Windows 또는 Linux 서버에서 DNS 프록시를 제공하거나 Azure Firewall을 사용할 수 있습니다. 장점으로, 가상 머신을 관리할 필요가 없는 Azure Firewall 옵션에 대한 자세한 내용은 Azure Firewall DNS 설정을 참조하세요.
온-프레미스 사용자 지정 DNS는 조건부 전달자를 통해 DNS 트래픽을 Azure DNS로 전달하도록 구성됩니다. 조건부 전달에 대한 정보는 DNS 전달자를 사용하는 온-프레미스 워크로드에서도 찾을 수 있습니다.
온-프레미스 AD DS는 파일 공유에 대한 액세스를 인증합니다. 이는 1부: Azure 파일 공유에 대한 AD DS 인증 사용에 설명된 대로 4단계 프로세스입니다.
구성 요소
- Azure Storage는 대규모로 확장 가능하고 안전한 데이터, 앱 및 워크로드용 클라우드 서비스 세트입니다. 여기에는 Azure Files, Azure Table Storage 및 Azure Queue Storage가 포함됩니다.
- Azure Files는 Azure Storage 계정에서 완전 관리형 파일 공유를 제공합니다. 파일은 클라우드 또는 온-프레미스에서 액세스할 수 있습니다. Windows, Linux 및 macOS 배포는 Azure 파일 공유를 동시에 탑재할 수 있습니다. 파일 액세스는 업계 표준 SMB(서버 메시지 블록) 프로토콜을 사용합니다.
- Azure Virtual Network는 Azure에서 개인 네트워크의 기본 구성 요소입니다. 가상 머신과 같은 Azure 리소스가 인터넷 및 온-프레미스 네트워크와 안전하게 서로 통신할 수 있는 환경을 제공합니다.
- Azure ExpressRoute는 프라이빗 연결을 통해 온-프레미스 네트워크를 Microsoft 클라우드로 확장합니다.
- Azure VPN Gateway는 원격 지사에 연결하는 것과 거의 같은 방식으로 사이트 간 VPN을 통해 온-프레미스 네트워크를 Azure에 연결합니다. 연결은 안전하며 업계 표준 프로토콜인 IPsec(Internet Protocol Security) 및 IKE(Internet Key Exchange)를 사용합니다.
- Azure Private Link는 가상 네트워크에서 Azure PaaS(Platform as a Service), 고객 소유 또는 Microsoft 파트너 서비스에 대한 프라이빗 연결을 제공합니다. 네트워크 아키텍처를 간소화하고 퍼블릭 인터넷에 대한 데이터 노출을 예방하여 Azure에서 엔드포인트 간 연결을 보호합니다.
- 프라이빗 엔드포인트는 가상 네트워크의 개인 IP 주소를 사용하는 네트워크 인터페이스입니다. 가상 네트워크의 클라이언트가 프라이빗 링크를 통해 데이터에 액세스할 수 있도록 Azure Storage 계정에 프라이빗 엔드포인트를 사용할 수 있습니다.
- Azure Firewall은 Azure Virtual Network 리소스를 보호하는 클라우드 기반 관리 네트워크 보안 서비스입니다. 고가용성 및 무제한 클라우드 확장성이 내장되어 있는 서비스 형태의 완전한 상태 저장 방화벽입니다. DNS 프록시 역할을 하도록 Azure Firewall을 구성할 수 있습니다. DNS 프록시는 클라이언트 가상 머신에서 DNS 서버로의 DNS 요청에 대한 중개자입니다.
시나리오 정보
다음과 같은 일반적인 상황을 고려합니다. 온-프레미스 Windows Server는 사용자와 애플리케이션에 파일을 제공합니다. Windows Server AD DS(Active Directory Domain Services)는 파일을 보호하고 온-프레미스 DNS 서버가 있습니다. 모든 것이 동일한 개인 네트워크에 있습니다.
이제 클라우드에 파일 공유가 필요하다고 가정합니다.
여기에 설명된 아키텍처는 Azure를 사용하여 이러한 요구 사항을 충족하는 방법과 온-프레미스 네트워크, AD DS 및 DNS를 계속 사용하여 저렴한 비용으로 수행하는 방법을 보여 줍니다.
이 아키텍처에서 Azure Files는 파일 공유를 제공합니다. 사이트 간 VPN 또는 Azure ExpressRoute는 온-프레미스 네트워크와 Azure Virtual Network 간의 보안 연결을 제공합니다. 사용자와 애플리케이션은 연결을 사용하여 파일에 액세스합니다. Microsoft Entra ID 및 Azure DNS는 온-프레미스 AD DS 및 DNS와 협력하여 액세스를 보호합니다.
요컨대, 설명된 상황에 있는 경우 저렴한 비용으로 온-프레미스 사용자에게 클라우드 파일을 제공하고 온-프레미스 AD DS 및 DNS를 통해 보안 파일 액세스를 계속 제공할 수 있습니다.
잠재적인 사용 사례
- 파일 서버는 클라우드로 이동하지만 사용자는 온-프레미스에 남아 있어야 합니다.
- 클라우드로 마이그레이션되는 애플리케이션은 온-프레미스 파일과 클라우드로 마이그레이션되는 파일에 액세스해야 합니다.
- 파일 스토리지를 클라우드로 이동하여 비용을 줄여야 합니다.
고려 사항
이러한 고려 사항은 워크로드의 품질을 향상시키는 데 사용할 수 있는 일단의 지침 원칙인 Azure Well-Architected Framework의 핵심 요소를 구현합니다. 자세한 내용은 Microsoft Azure Well-Architected Framework를 참조하세요.
안정성
안정성은 애플리케이션이 고객에 대한 약정을 충족할 수 있도록 보장합니다. 자세한 내용은 안정성 핵심 요소 개요를 참조하세요.
- Azure Storage는 항상 동일한 영역에 데이터의 여러 복사본을 저장하므로 계획되거나 계획되지 않은 중단으로부터 보호됩니다. 다른 영역 또는 지역에 추가 복사본을 만드는 옵션이 있습니다. 자세한 내용은 Azure Storage 중복성을 참조하세요.
- Azure Firewall에는 고가용성이 기본 제공됩니다. 자세한 내용은 Azure Firewall 표준 기능을 참조하세요.
보안
우수한 보안은 중요한 데이터 및 시스템에 대한 고의적인 공격과 악용을 방어합니다. 자세한 내용은 보안 요소의 개요를 참조하세요.
이러한 문서에는 Azure 구성 요소에 대한 보안 정보가 있습니다.
- Azure Storage에 대한 Azure 보안 기준
- Azure Private Link에 대한 Azure 보안 기준
- Virtual Network에 대한 Azure 보안 기준
- Azure Firewall에 대한 Azure 보안 기준
비용 최적화
비용 최적화는 불필요한 비용을 줄이고 운영 효율성을 높이는 방법을 찾는 것입니다. 자세한 내용은 비용 최적화 핵심 요소 개요를 참조하세요.
Azure 제품 및 구성의 비용을 예상하려면 Azure 가격 계산기를 사용합니다.
다음 문서에는 Azure 구성 요소에 대한 가격 책정 정보가 있습니다.
성능 효율성
성능 효율성은 사용자가 배치된 요구 사항을 효율적인 방식으로 충족하기 위해 워크로드의 크기를 조정할 수 있는 기능입니다. 자세한 내용은 성능 효율성 핵심 요소 개요를 참조하세요.
- Azure Storage 계정에는 파일 공유를 포함하여 모든 Azure Storage 데이터 개체가 포함됩니다. 스토리지 계정은 HTTP 또는 HTTPS를 통해 전 세계 어디에서나 액세스할 수 있는 데이터에 대한 고유한 네임스페이스를 제공합니다. 이 아키텍처의 경우 스토리지 계정에는 Azure Files에서 제공하는 파일 공유가 포함됩니다. 최상의 성능을 위해 다음을 권장합니다.
- 파일 공유를 포함하는 스토리지 계정에 데이터베이스, Blob 등을 넣지 마세요.
- 스토리지 계정당 활성이 높은 파일 공유가 하나만 있어야 합니다. 덜 활성화된 파일 공유를 동일한 스토리지 계정으로 그룹화할 수 있습니다.
- HDD가 아닌 SSD 기반 스토리지를 사용합니다. 파일 공유의 확장성 및 성능에 대한 자세한 내용은 Azure Files 확장성 및 성능 대상를 참조하세요.
- 중요한 기능이 없기 때문에 범용 v1 스토리지 계정을 선택하지 마세요. 스토리지 계정 유형은 스토리지 계정 개요에 설명되어 있습니다.
- 크기, 속도 및 기타 제한 사항에 주의해야 합니다. 이 정보는 Azure 구독 및 서비스 제한, 할당량 및 제약 조건을 참조하세요.
- 스토리지가 아닌 구성 요소의 성능을 개선하기 위해 할 수 있는 작업은 배포가 Azure 구독 및 서비스 제한, 할당량 및 제약 조건에 설명된 제한, 할당량 및 제약 조건을 준수하는지 확인하는 것뿐입니다.
- Azure 구성 요소의 확장성 정보는 Azure 구독 및 서비스 제한, 할당량 및 제약 조건을 참조하세요.
참가자
Microsoft에서 이 문서를 유지 관리합니다. 원래 다음 기여자가 작성했습니다.
보안 주체 작성자:
- Rudnei Oliveira | 선임 고객 엔지니어
다음 단계
- 빠른 시작: Azure 포털을 사용하여 가상 네트워크 만들기
- VPN Gateway란?
- 자습서: Azure Portal을 사용하여 VPN 게이트웨이 만들기 및 관리
- Azure 엔터프라이즈 클라우드 파일 공유
- Azure Virtual Network 개념 및 모범 사례
- Azure 파일 배포에 대한 계획
- Azure Storage에 프라이빗 엔드포인트 사용
- Azure 프라이빗 엔드포인트 DNS 구성
- Azure Firewall DNS 설정
- 자체 관리형 Active Directory Domain Services, Microsoft Entra ID와 관리형 Microsoft Entra Domain Services 비교