하이브리드 환경에서 Azure 파일 공유 사용

Microsoft Entra ID
Azure 파일

이 아키텍처는 하이브리드 환경에 Azure 파일 공유를 포함하는 방법을 보여 줍니다. Azure 파일 공유는 서버리스 파일 공유로 사용됩니다. AD DS(Active Directory Domain Services)를 사용하여 통합하면 AD DS 사용자에 대한 액세스를 제어하고 제한할 수 있습니다. 그러면 Azure 파일 공유는 기존 파일 서버를 대체할 수 있습니다.

아키텍처

클라이언트가 TCP 포트 445(SMB 3.0)를 통해 직접 또는 VPN 연결을 먼저 설정하여 Azure 파일 공유에 직접 액세스할 수 있는 방법을 보여 주는 Azure 파일 공유 아키텍처 다이어그램

이 아키텍처의 Visio 파일을 다운로드합니다.

워크플로

이 아키텍처는 다음과 같은 구성 요소로 구성됩니다.

  • Microsoft Entra 테넌트. 이 구성 요소는 조직에서 만든 Microsoft Entra의 인스턴스입니다. 온-프레미스 Active Directory에서 복사한 개체를 저장하여 클라우드 애플리케이션의 디렉터리 서비스 역할을 합니다. 또한 Azure 파일 공유에 액세스할 때 ID 서비스를 제공합니다.
  • AD DS 서버. 이 구성 요소는 온-프레미스 디렉터리 및 ID 서비스입니다. AD DS 디렉터리가 Microsoft Entra ID와 동기화되어 온-프레미스 사용자를 인증할 수 있습니다.
  • Microsoft Entra 커넥트 Sync 서버. 이 구성 요소는 Microsoft Entra 커넥트 Sync 서비스를 실행하는 온-프레미스 서버입니다. 이 서비스는 온-프레미스 Active Directory 보관된 정보를 Microsoft Entra ID와 동기화합니다.
  • 가상 네트워크 게이트웨이. 이 선택적 구성 요소는 인터넷을 통해 Azure Virtual Network와 온-프레미스 위치 간에 암호화된 트래픽을 보내는 데 사용됩니다.
  • Azure 파일 공유 Azure 파일 공유는 SMB(서버 메시지 블록), NFS(네트워크 파일 시스템), HTTP(Hypertext Transfer Protocol) 프로토콜을 통해 액세스할 수 있는 파일 및 폴더의 스토리지를 제공합니다. 파일 공유는 Azure Storage 계정에 배포됩니다.
  • Recovery Services 자격 증명 모음. 이 선택적 구성 요소는 Azure 파일 공유 백업을 제공합니다.
  • 클라이언트. 이러한 구성 요소는 사용자가 Azure 파일 공유에 액세스할 수 있는 AD DS 구성원 컴퓨터입니다.

구성 요소

이 아키텍처를 구현하는 데 사용되는 주요 기술:

  • Microsoft Entra ID 는 Single Sign-On, 다단계 인증 및 조건부 액세스를 제공하는 엔터프라이즈 ID 서비스입니다.
  • Azure Files는 산업 표준 프로토콜을 사용하여 액세스할 수 있는 클라우드에서 완전히 관리형 파일 공유를 제공합니다.
  • VPN Gateway VPN Gateway에서 퍼블릭 인터넷을 통해 Azure 가상 네트워크와 온-프레미스 위치 간에 암호화된 트래픽을 보냅니다.

시나리오 정보

잠재적인 사용 사례

이 아키텍처의 일반적인 용도는 다음과 같습니다.

  • 온-프레미스 파일 서버 바꾸기 또는 보완 Azure Files는 기존의 온-프레미스 파일 서버 또는 네트워크 연결 스토리지 디바이스를 완전히 바꾸거나 보완하는 데 사용할 수 있습니다. Azure 파일 공유 및 AD DS 인증을 사용하여 데이터를 Azure Files로 마이그레이션할 수 있습니다. 이 마이그레이션은 클라이언트 변경을 최소화하면서 고가용성 및 확장성을 활용할 수 있습니다.
  • 리프트 앤 시프트. Azure Files를 사용하면 파일 공유가 애플리케이션 또는 사용자 데이터를 클라우드에 저장할 것으로 예상되는 애플리케이션을 쉽게 “리프트 앤 시프트”할 수 있습니다.
  • 백업 및 재해 복구. Azure Files를 백업 또는 재해 복구를 위한 스토리지로 사용하여 비즈니스 연속성을 향상시킬 수 있습니다. Azure Files를 사용하여 구성된 Windows 임의 액세스 제어 목록을 유지하면서 기존 파일 서버에서 데이터를 백업할 수 있습니다. Azure 파일 공유에 저장된 데이터는 온-프레미스 위치에 영향을 줄 수 있는 재해의 영향을 받지 않습니다.
  • Azure 파일 동기화 Azure 파일 동기화를 사용하면 Azure 파일 공유를 온-프레미스 또는 클라우드에서 Windows Server에 복제할 수 있습니다. 이 복제는 성능을 향상시키고 사용 중인 위치에 데이터 캐싱을 분산시킵니다.

권장 사항

대부분의 시나리오의 경우 다음 권장 사항을 적용합니다. 이러한 권장 사항을 재정의하라는 특정 요구 사항이 있는 경우가 아니면 따릅니다.

Azure 파일 공유에 범용 v2(GPv2) 또는 FileStorage 스토리지 계정 사용

다양한 스토리지 계정에서 Azure 파일 공유를 만들 수 있습니다. GPv1(범용 v1) 및 클래식 스토리지 계정에는 Azure 파일 공유가 포함될 수 있지만 Azure Files의 대부분의 새 기능은 GPv2 및 FileStorage 스토리지 계정에서만 사용할 수 있습니다. Azure 파일 공유는 HDD 기반(하드 디스크 드라이브 기반) 하드웨어에 GPv2 스토리지 계정 데이터를 저장하지만 FileStorage 스토리지 계정 데이터는 SSD 기반(반도체 드라이브 기반) 하드웨어에 저장합니다. 자세한 내용은 Azure 파일 공유 만들기를 참조하세요.

Azure 파일 공유만 포함하는 스토리지 계정에 Azure 파일 공유 만들기

스토리지 계정을 사용하면 동일한 스토리지 계정에서 다른 스토리지 서비스를 사용할 수 있습니다. 이러한 스토리지 서비스에는 Azure 파일 공유, Blob 컨테이너, 테이블이 포함됩니다. 단일 스토리지 계정의 모든 스토리지 서비스는 동일한 스토리지 계정 제한을 공유합니다. 동일한 스토리지 계정에 스토리지 서비스를 혼합하면 성능 문제를 해결하기가 더 어려워집니다.

참고

가능하면 각 Azure 파일 공유를 별도의 자체 스토리지 계정에 배포합니다. 여러 Azure 파일 공유가 동일한 스토리지 계정에 배포되면 모두 스토리지 계정 제한을 공유합니다.

높은 처리량이 필요한 워크로드에 프리미엄 파일 공유 사용

프리미엄 파일 공유는 FileStorage 스토리지 계정에 배포되고 SSD 기반(반도체 드라이브 기반) 하드웨어에 저장됩니다. 이 설정을 사용하면 일관된 성능, 높은 처리량, 짧은 대기 시간이 필요한 데이터를 저장하고 액세스하는 데 적합합니다. (예를 들어 이러한 프리미엄 파일 공유는 데이터베이스에서 잘 작동합니다.) 성능 가변성에 덜 민감한 다른 워크로드를 표준 파일 공유에 저장할 수 있습니다. 이러한 워크로드 유형에는 범용 파일 공유 및 개발/테스트 환경이 포함됩니다. 자세한 내용은 Azure 파일 공유 만드는 방법을 참조하세요.

Azure 파일 공유에 액세스할 때 항상 암호화 필요

Azure 파일 공유의 데이터에 액세스할 때는 전송 중 항상 암호화를 사용합니다. (전송 중 암호화는 기본적으로 사용하도록 설정됩니다.) Azure Files는 SMB 3.0과 같이 암호화를 사용하는 프로토콜로 설정된 경우에만 연결을 허용합니다. SMB 3.0을 지원하지 않는 클라이언트는 전송 중 암호화가 필요한 경우 Azure 파일 공유를 탑재할 수 없습니다.

SMB에서 사용하는 포트(포트 445)가 차단된 경우 VPN 사용

많은 인터넷 서비스 공급자가 Azure 파일 공유에 액세스하는 데 사용되는 TCP(Transmission Control Protocol) 포트 445를 차단합니다. TCP 포트 445 차단 해제가 옵션이 아닌 경우 트래픽 차단을 방지하기 위해 ExpressRoute 또는 VPN(가상 사설망) 연결(사이트 간 또는 지점 및 사이트 간)을 통해 Azure 파일 공유에 액세스할 수 있습니다. 자세한 내용은 Azure Files에서 사용하기 위한 Windows의 P2S(지점 및 사이트 간) VPN 구성Azure Files에서 사용할 사이트 간 VPN 구성을 참조하세요.

Azure 파일 공유와 Azure 파일 동기화 사용 고려

Azure 파일 동기화 서비스를 사용하면 온-프레미스 Windows Server 파일 서버에서 Azure 파일 공유를 캐시할 수 있습니다. 클라우드 계층화를 사용하도록 설정할 때 파일 동기화를 통해 파일 서버가 로컬로 저장할 수 있는 것보다 더 많은 파일을 사용할 수 있더라도 파일 서버에 항상 사용 가능한 공간이 있도록 보장할 수 있습니다. 온-프레미스 Windows Server 파일 서버가 있는 경우 Azure 파일 동기화를 사용하여 파일 서버를 Azure 파일 공유와 통합하는 것이 좋습니다. 자세한 내용은 Azure 파일 동기화 배포에 대한 계획을 참조하세요.

고려 사항

이러한 고려 사항은 워크로드의 품질을 향상시키는 데 사용할 수 있는 일단의 지침 원칙인 Azure Well-Architected Framework의 핵심 요소를 구현합니다. 자세한 내용은 Microsoft Azure Well-Architected Framework를 참조하세요.

확장성

  • Azure 파일 공유 크기는 100TiB(테비바이트)로 제한됩니다. 최소 파일 공유 크기와 Azure 파일 공유 수에 대한 제한은 없습니다.
  • 파일 공유의 최대 파일 크기는 1TiB이며 파일 공유의 파일 수에는 제한이 없습니다.
  • 표준 파일 공유당 최대 IOPS(초당 I/O 작업)는 프리미엄 파일 공유당 10,000IOPS 및 100,000IOPS입니다.
  • 단일 표준 파일 공유의 최대 처리량은 최대 300MiB/초(메비바이트/초)이며 프리미엄 파일 공유의 경우 최대 6,204MiB/초입니다.
  • IOPS 및 처리량 제한은 Azure 스토리지 계정에 따라 달라지며 동일한 스토리지 계정의 Azure 파일 공유 간에 공유됩니다.
  • 자세한 내용은 Azure Files 확장성 및 성능 목표를 참조하세요.

가용성

참고

Azure 스토리지 계정은 Azure 파일 공유의 부모 리소스입니다. Azure 파일 공유에는 공유를 포함하는 스토리지 계정에서 제공하는 중복도의 수준이 있습니다.

  • Azure 파일 공유는 현재 다음과 같은 데이터 중복 옵션을 지원합니다.
    • LRS(로컬 중복 스토리지) . 데이터는 주 지역의 단일 물리적 위치 내에서 동기적으로 세 번 복사됩니다. 이렇게 하면 불량 디스크 드라이브와 같은 하드웨어 오류로 인한 데이터 손실을 방지할 수 있습니다.
    • ZRS(영역 중복 저장소). 데이터는 주 지역에 있는 3개의 Azure 가용성 영역에서 동기적으로 복사됩니다. 가용성 영역은 Azure 지역 내의 고유한 물리적 위치입니다. 각 영역은 독립된 전원, 냉각 및 네트워킹을 갖춘 하나 이상의 데이터 센터로 구성됩니다.
    • GRS(지역 중복 스토리지) 데이터는 LRS를 사용하여 주 지역의 단일 물리적 위치 내에서 동기적으로 세 번 복사됩니다. 그런 다음 데이터가 보조 지역의 단일 물리적 위치에 비동기적으로 복사됩니다. 지역 중복 스토리지는 두 Azure 지역 간에 분산된 데이터의 복사본 6개를 제공합니다.
    • GZRS(지역 영역 중복 스토리지) 데이터는 ZRS를 사용하여 주 지역에 있는 3개의 Azure 가용성 영역에서 동기적으로 복사됩니다. 그런 다음 데이터가 보조 지역의 단일 물리적 위치에 비동기적으로 복사됩니다.
  • 프리미엄 파일 공유는 LRS(로컬 중복 스토리지) 및 ZRS(영역 중복 스토리지)에만 저장할 수 있습니다. 표준 파일 공유는 LRS, ZRS, GRS(지역 중복 스토리지), GZRS(지역 영역 중복 스토리지)에만 저장할 수 있습니다. 자세한 내용은 Azure Files 배포에 대한 계획Azure Storage 중복성을 참조하세요.
  • Azure Files는 클라우드 서비스이며 모든 클라우드 서비스와 마찬가지로 Azure 파일 공유에 액세스하려면 인터넷에 연결되어 있어야 합니다. 중단을 방지하기 위해 중복 인터넷 연결 솔루션을 사용하는 것이 좋습니다.

관리 효율

  • 다른 Azure 서비스와 동일한 도구를 사용하여 Azure 파일 공유를 관리할 수 있습니다. 이러한 도구에는 Azure Portal, Azure 명령줄 인터페이스, Azure PowerShell이 포함됩니다.
  • Azure 파일 공유는 표준 Windows 파일 권한을 적용합니다. Azure 파일 공유를 탑재하고 파일 탐색기, Windows icacls.exe 명령 또는 Set-Acl Windows PowerShell cmdlet을 사용하여 권한을 구성함으로써 디렉터리 또는 파일 수준 권한을 구성할 수 있습니다.
  • Azure 파일 공유 스냅샷을 사용하여 Azure 파일 공유 데이터의 특정 시점 읽기 전용 복사본을 만들 수 있습니다. 파일 공유 수준에서 공유 스냅샷을 생성합니다. 그런 다음 Azure Portal 또는 파일 탐색기에서 개별 파일을 복원할 수 있으며, 전체 공유를 복원할 수도 있습니다. 공유당 최대 200개의 스냅샷을 포함할 수 있으므로 파일을 다른 특정 시점 버전으로 복원할 수 있습니다. 공유를 삭제하는 경우 스냅샷도 삭제됩니다. 공유 스냅샷은 증분됩니다. 가장 최근의 공유 스냅샷 이후에 변경된 데이터만 저장됩니다. 이렇게 하면 공유 스냅샷을 만드는 데 필요한 시간이 최소화되고 스토리지 비용이 절감됩니다. Azure 파일 공유 스냅샷은 Azure Backup을 사용하여 Azure 파일 공유를 보호할 때도 사용됩니다. 자세한 내용은 Azure Files의 공유 스냅샷 개요를 참조하세요.
  • 파일 공유의 일시 삭제를 사용하도록 설정하여 실수로 Azure 파일 공유를 삭제하는 것을 방지할 수 있습니다. 일시 삭제를 사용하도록 설정한 상태에서 파일 공유를 삭제하면 파일 공유가 영구적으로 지워지는 대신 일시 삭제된 상태로 전환됩니다. 일시 삭제된 데이터를 영구적으로 삭제하기 전에 복구할 수 있는 시간을 설정하고, 이 보존 기간 동안 언제든지 공유 삭제를 복원할 수 있습니다. 자세한 내용은 Azure 파일 공유에서 일시 삭제 사용을 참조하세요.

참고

Azure Backup은 각 스토리지 계정의 첫 번째 Azure 파일 공유에 대한 백업을 구성할 때 스토리지 계정의 모든 파일 공유에 대해 일시 삭제를 사용하도록 설정합니다.

참고

표준 및 프리미엄 파일 공유는 모두 프로비저닝된 용량이 아닌 일시 삭제될 때 사용된 용량에 대해 요금이 청구됩니다.

보안

우수한 보안은 중요한 데이터 및 시스템에 대한 고의적인 공격과 악용을 방어합니다. 자세한 내용은 보안 요소의 개요를 참조하세요.

  • Azure 파일 공유에 액세스하려면 SMB를 통한 AD DS 인증을 사용합니다. 이 설정은 Azure 파일 공유에 액세스할 때 온-프레미스 파일 공유에 액세스하는 것과 동일한 원활한 SSO(Single Sign-On) 환경을 제공합니다. 자세한 내용은 작동 방식 및 기능 사용 단계를 참조하세요. AD DS 도메인 컨트롤러에서 인증을 계속 수행하므로 클라이언트는 AD DS에 가입된 도메인이어야 합니다. 또한 데이터에 액세스하려면 공유 수준 및 파일/디렉터리 수준 권한을 모두 할당해야 합니다. 공유 수준 권한 할당은 Azure RBAC 모델을 거칩니다. 파일/디렉터리 수준 권한은 Windows ACL로 관리됩니다.

    참고

    Azure 파일 공유에 대한 액세스는 항상 인증됩니다. Azure 파일 공유는 익명 액세스를 지원하지 않습니다. 사용자는 SMB를 통한 ID 기반 인증 외에도 스토리지 액세스 키 및 공유 액세스 서명을 사용하여 Azure 파일 공유에 인증할 수 있습니다.

  • Azure 파일 공유에 저장된 모든 데이터는 Azure SSE(스토리지 서비스 암호화)를 사용하여 미사용 데이터로 암호화됩니다. SSE는 데이터가 파일 시스템 수준 아래에서 암호화되는 Windows의 BitLocker 드라이브 암호화와 유사하게 작동합니다. 기본적으로 Azure Files에 저장된 데이터는 Microsoft 관리형 키로 암호화됩니다. Microsoft는 Microsoft 관리형 키를 사용하여 데이터를 암호화/암호 해독하는 키를 유지 관리하고 정기적으로 이를 순환시킬 책임이 있습니다. 또한 순환 프로세스를 제어할 수 있는 자체 키를 관리하도록 선택할 수도 있습니다.

  • 모든 Azure 스토리지 계정은 전송 중 암호화를 기본적으로 사용하도록 설정되어 있습니다. 이 설정은 Azure 파일 공유와의 모든 통신이 암호화됨을 의미합니다. 암호화를 지원하지 않는 클라이언트는 Azure 파일 공유에 연결할 수 없습니다. 전송 중 암호화를 사용하지 않도록 설정하면 Windows Server 2008 R2 또는 이전 Linux와 같은 이전 운영 체제를 실행하는 클라이언트도 연결할 수 있습니다. 이러한 경우 데이터는 Azure 파일 공유에서 전송 중에 암호화되지 않습니다.

  • 기본적으로 클라이언트는 어디서나 Azure 파일 공유에 연결할 수 있습니다. 클라이언트가 Azure 파일 공유에 연결할 수 있는 네트워크를 제한하려면 방화벽, 가상 네트워크, 프라이빗 엔드포인트 연결을 구성합니다. 자세한 내용은 Azure Storage 방화벽 및 가상 네트워크 구성Azure Files 네트워크 엔드포인트 구성을 참조하세요.

비용 최적화

비용 최적화는 불필요한 비용을 줄이고 운영 효율성을 높이는 방법을 찾는 것입니다. 자세한 내용은 비용 최적화 핵심 요소 개요를 참조하세요.

  • Azure Files에는 두 개의 스토리지 계층과 두 가지 가격 책정 모델이 있습니다.
    • 표준 스토리지: HDD 기반 스토리지를 사용합니다. 최소 파일 공유 크기는 없으며 사용한 스토리지 공간에 대해서만 비용을 지불하면 됩니다. 또한 디렉터리 열거 또는 파일 읽기와 같은 파일 작업에 대한 비용을 지불해야 합니다.
    • 프리미엄 스토리지: SSD 기반 스토리지를 사용합니다. 프리미엄 파일 공유의 최소 크기는 100GB이며 프로비저닝된 스토리지 공간당 비용을 지불합니다. 프리미엄 스토리지를 사용하는 경우 모든 파일 작업은 무료입니다.
  • 파일 공유 스냅샷 및 아웃바운드 데이터 전송과 관련하여 추가 비용이 발생합니다. (Azure 파일 공유에서 데이터를 전송하는 경우 인바운드 데이터 전송은 무료입니다.) 데이터 전송 비용은 전송된 데이터의 양과 가상 네트워크 게이트웨이의 SKU(Stock Keeping Unit)에 따라 달라집니다. 실제 비용에 대한 자세한 내용은 Azure Files 가격 책정Azure 가격 계산기를 참조하세요. 실제 비용은 Azure 지역 및 개별 계약에 따라 달라집니다. 가격 책정에 대한 자세한 내용은 Microsoft 영업 담당자에게 문의하세요.

참가자

Microsoft에서 이 문서를 유지 관리합니다. 원래 다음 기여자가 작성했습니다.

보안 주체 작성자:

비공개 LinkedIn 프로필을 보려면 LinkedIn에 로그인합니다.

다음 단계

구성 요소 기술에 대해 자세히 알아보세요.

관련 아키텍처 살펴보기: