다음을 통해 공유

클라이언트 액세스 제어

  • 아티클

이 문서에서는 스토리지 대상에 대한 사용자 지정 클라이언트 액세스 정책을 만들고 적용하는 방법을 설명합니다.

클라이언트 액세스 정책은 클라이언트가 스토리지 대상 내보내기에 연결하도록 허용되는 방법을 제어합니다. 클라이언트 호스트 또는 네트워크 수준에서 루트 squash 및 읽기/쓰기 액세스와 같은 항목을 제어할 수 있습니다.

액세스 정책은 네임스페이스 경로에 적용됩니다. 즉, NFS 스토리지 시스템에서 두 개의 서로 다른 내보내기에 대해 서로 다른 액세스 정책을 사용할 수 있습니다.

이 기능은 여러 클라이언트 그룹이 스토리지 대상에 액세스하는 방식을 제어해야 하는 워크 플로를 위한 것입니다.

스토리지 대상 액세스를 세밀하게 제어할 필요가 없는 경우 기본 정책을 사용하거나 추가 규칙을 사용하여 기본 정책을 사용자 지정할 수 있습니다. 예를 들어 캐시를 통해 연결하는 모든 클라이언트에 대해 루트 스쿼시를 사용하려면 기본이라는 정책을 편집하여 루트 squash 설정을 추가할 수 있습니다.

클라이언트 액세스 정책 편집

Azure Portal의 클라이언트 액세스 정책 페이지를 사용하여 정책을 만들고 관리합니다.

screenshot of client access policies page. Several policies are defined, and some are expanded to show their rules

각 정책은 규칙으로 구성됩니다. 규칙은 가장 작은 범위(호스트)에서 가장 큰 범위(값) 순으로 호스트에 적용됩니다. 일치하는 첫 번째 규칙이 적용되며 이후 규칙은 무시됩니다.

새 액세스 정책을 만들려면 목록 상단에 있는 + 액세스 정책 추가 단추를 클릭합니다. 새 액세스 정책에 이름을 지정하고 규칙을 하나 이상 입력합니다.

screenshot of access policies edit blade with multiple rules filled in. Click ok to save the rule.

이 섹션의 나머지 부분에서는 규칙에서 사용할 수 있는 값을 설명합니다.

범위

범위 용어와 주소 필터는 함께 작동하여 규칙의 영향을 받는 클라이언트를 정의합니다.

범위는 규칙이 개별 클라이언트(호스트), IP 주소 범위(네트워크) 또는 모든 클라이언트(기본값)에 적용되는지 여부를 지정하는 데 사용합니다.

규칙에 적절한 범위 값을 선택합니다.

  • 호스트 - 규칙이 개별 클라이언트에 적용됩니다.
  • 네트워크 - 규칙이 IP 주소 범위의 클라이언트에 적용됩니다.
  • 기본 - 규칙이 모든 클라이언트에 적용됩니다.

정책의 규칙은 순서대로 평가됩니다. 클라이언트 탑재 요청은 하나의 규칙과 일치하며, 다른 규칙은 무시됩니다.

주소 필터

주소 필터 값은 규칙과 일치하는 클라이언트를 지정합니다.

범위를 호스트로 설정하면 필터에 하나의 IP 주소만 지정할 수 있습니다. 범위 설정이 기본인 경우 기본 범위가 모든 클라이언트와 일치하므로 주소 필터 필드에 IP 주소를 입력할 수 없습니다.

이 규칙의 IP 주소 또는 주소 범위를 지정하세요. CIDR 표기법(예: 0.1.0.0/16)을 사용하여 주소 범위를 지정합니다.

액세스 수준

범위 및 필터와 일치하는 클라이언트에 부여할 권한을 설정합니다.

옵션은 읽기/쓰기, 읽기 전용 또는 액세스 권한 없음입니다.

SUID

SUID 확인란을 선택하면 스토리지의 파일이 액세스 시 사용자 ID를 설정할 수 있습니다.

SUID는 일반적으로 사용자가 해당 파일과 관련된 작업을 수행할 수 있도록 사용자의 권한을 일시적으로 상승시키는 데 사용됩니다.

Submount 액세스

지정된 클라이언트가 이 내보내기의 하위 디렉터리를 직접 탑재할 수 있도록 하려면 이 확인란을 선택합니다.

루트 Squash

이 규칙과 일치하는 클라이언트에 대한 루트 squash를 설정할지 여부를 선택합니다.

이 설정은 Azure HPC Cache가 클라이언트 컴퓨터에서 루트 사용자의 요청을 처리하는 방식을 제어합니다. 루트 squash가 사용하도록 설정된 경우 클라이언트의 루트 사용자는 Azure HPC Cache를 통해 요청을 보낼 때 권한이 없는 사용자에게 자동으로 매핑됩니다. 또한 클라이언트 요청에서 UID 권한 비트를 사용하는 것을 방지합니다.

루트 squash가 사용하지 않도록 설정된 경우 클라이언트 루트 사용자(UID 0)의 요청은 백 엔드 NFS 스토리지 시스템에 루트로 전달됩니다. 이 구성은 부적절한 파일 액세스를 허용할 수 있습니다.

클라이언트 요청에 대한 루트 스쿼시를 설정하면 스토리지 대상 백 엔드 시스템에 대한 추가 보안을 제공할 수 있습니다. no_root_squash에 스토리지 대상으로 구성된 NAS 시스템을 사용하는 경우 이 문제가 중요할 수 있습니다. (NFS 스토리지 대상 필수 구성 요소에 대해 자세히 알아보세요.)

루트 squash를 활성화하는 경우 익명 ID 사용자 값도 설정해야 합니다. 포털에는 0에서 4294967295 사이의 정수 값을 사용할 수 있습니다. (이전 값 -2 및 -1은 이전 버전과의 호환성을 위해 지원되지만 새로운 구성에는 권장되지 않습니다.)

이러한 값은 특정 사용자 값에 매핑됩니다.

  • -2 또는 65534(대상 없음)
  • -1 또는 65535(액세스 권한 없음)
  • 0(권한 없는 루트)

스토리지 시스템에 특별한 의미를 가진 다른 값이 있을 수 있습니다.

액세스 정책 업데이트

클라이언트 액세스 정책 페이지의 테이블에서 액세스 정책을 편집하거나 삭제할 수 있습니다.

편집하려면 정책 이름을 클릭하여 엽니다.

정책을 삭제하려면 목록에서 해당 이름 옆에 있는 확인란을 표시한 다음 목록 상단의 삭제 단추를 클릭합니다. "기본" 정책은 삭제할 수 없습니다.

참고 항목

사용 중인 액세스 정책은 삭제할 수 없습니다. 정책을 삭제하기 전에 포함된 네임스페이스 경로에서 정책을 제거하세요.

다음 단계