Azure Files는 Azure 파일 공유를 탑재하기 위한 두 가지 업계 표준 프로토콜인 SMB(서버 메시지 블록) 프로토콜과 NFS(네트워크 파일 시스템) 프로토콜을 제공합니다. Azure Files를 사용하여 워크로드에 가장 적합한 파일 시스템 프로토콜을 선택할 수 있습니다. 동일한 스토리지 계정 내에서 SMB 및 NFS 파일 공유를 만들 수 있지만 Azure 파일 공유는 SMB 및 NFS 프로토콜을 사용하여 개별 Azure 파일 공유에 액세스하는 것을 지원하지 않습니다. 모든 파일 공유에 대해 Azure Files는 스토리지 요구 사항에 맞게 확장할 수 있고 수천 명의 클라이언트가 동시에 액세스할 수 있는 엔터프라이즈급 파일 공유를 제공합니다.
이 문서에서는 SMB Azure 파일 공유에 대해 설명합니다. NFS Azure 파일 공유에 대한 자세한 내용은 Azure Files의 NFS 파일 공유를 참조 하세요.
일반적인 시나리오
SMB 파일 공유는 데이터베이스 및 애플리케이션을 백업하는 최종 사용자 파일 공유 및 파일 공유를 비롯한 다양한 애플리케이션에 사용됩니다. SMB 파일 공유는 다음과 같은 시나리오에서 자주 사용됩니다.
팀 공유, 홈 디렉터리 등의 최종 사용자 파일 공유
Win32 또는 .NET 로컬 파일 시스템 API용으로 작성된 SQL Server 데이터베이스 또는 LOB(기간 업무) 애플리케이션과 같은 Windows 기반 애플리케이션에 대한 백업 스토리지입니다.
특히 해당 애플리케이션 또는 서비스에 임의 IO 및 계층적 스토리지에 대한 요구 사항이 있는 경우 새 애플리케이션 및 서비스 개발
기능
Azure Files는 SMB 파일 공유의 프로덕션 배포에 필요한 SMB 및 Azure의 주요 기능을 지원합니다.
AD do기본 조인 및 임의 액세스 제어 목록(DCL).
Azure Backup과 서버리스 통합 백업.
Azure 프라이빗 엔드포인트를 사용한 네트워크 격리
SMB 다중 채널을 사용하는 높은 네트워크 처리량(프리미엄 파일 공유만 해당).
AES-256-GCM, AES-128-GCM 및 AES-128-CCM을 포함한 SMB 채널 암호화
이전 버전은 VSS 통합 공유 스냅샷 통해 지원됩니다.
실수로 인한 삭제를 방지하기 위해 Azure 파일 공유에서 자동 일시 삭제
필요에 따라 인터넷에서 액세스할 수 있는 파일 공유와 인터넷이 안전한 SMB 3.0 이상.
Azure Files에 저장된 모든 데이터는 Azure SSE(스토리지 서비스 암호화)를 사용하여 저장 데이터로 암호화됩니다. 스토리지 서비스 암호화는 Windows의 BitLocker와 유사하게 작동하며, 데이터는 파일 시스템 수준 아래에서 암호화됩니다. Azure 파일 공유의 파일 시스템 아래에서 데이터가 암호화되어 디스크로 인코딩되므로 Azure 파일 공유를 읽거나 쓰기 위해 클라이언트의 기본 키에 액세스할 필요가 없습니다. 저장 데이터 암호화는 SMB 및 NFS 프로토콜 모두에 적용됩니다.
기본적으로 모든 Azure 스토리지 계정에는 전송 중 암호화가 사용하도록 설정되어 있습니다. 즉, SMB를 통해 파일 공유를 탑재(또는 FileREST 프로토콜을 통해 액세스)할 때 Azure Files는 암호화 또는 HTTPS를 사용하는 SMB 3.x를 통해 만든 연결만 허용합니다. SMB 채널 암호화를 사용하여 SMB 3.x를 지원하지 않는 클라이언트는 전송 중인 암호화를 사용하는 경우 Azure 파일 공유를 탑재할 수 없습니다.
Azure Files는 Windows Server 2022 또는 Windows 11과 함께 사용할 때 SMB 3.1.1과 함께 AES-256-GCM을 지원합니다. SMB 3.1.1은 AES-128-GCM도 지원하며 SMB 3.0은 AES-128-CCM을 지원합니다. AES-128-GCM은 성능상의 이유로 Windows 10 버전 21H1에서 기본적으로 협상됩니다.
Azure Storage 계정에 대한 전송 중 암호화를 사용하지 않도록 설정할 수 있습니다. 암호화를 사용하지 않도록 설정하면 Azure Files는 암호화 없이 SMB 2.1 및 SMB 3.x도 허용합니다. 전송 중에 암호화를 사용하지 않도록 설정하는 주된 이유는 Windows Server 2008 R2 또는 이전 Linux 배포판과 같은 이전 운영 체제에서 실행되어야 하는 레거시 애플리케이션을 지원하기 위해서입니다. Azure Files는 Azure 파일 공유와 동일한 Azure 지역 내에서 SMB 2.1 연결만 허용합니다. 온-프레미스 또는 다른 Azure 지역과 같이 Azure 파일 공유의 Azure 지역 외부에 있는 SMB 2.1 클라이언트는 파일 공유에 액세스할 수 없습니다.
SMB 프로토콜 설정
Azure Files는 SMB 프로토콜의 동작, 성능 및 보안에 영향을 주는 여러 설정을 제공합니다. 스토리지 계정 내의 모든 Azure 파일 공유에 대해 구성됩니다.
SMB 다중 채널
SMB 다중 채널을 사용하면 SMB 3.x 클라이언트가 SMB 파일 공유에 대한 다중 네트워크 연결을 설정할 수 있습니다. Azure Files는 프리미엄 파일 공유(FileStorage 스토리지 계정 종류의 파일 공유)에서 SMB 다중 채널을 지원합니다. Azure Files에서 SMB 다중 채널을 사용하도록 설정하기 위한 추가 비용은 없습니다. SMB 다중 채널은 기본적으로 사용하지 않도록 설정됩니다.
SMB 다중 채널의 상태 보려면 프리미엄 파일 공유가 포함된 스토리지 계정으로 이동하고 스토리지 계정 목차의 데이터 스토리지 제목 아래에서 파일 공유를 선택합니다. SMB 다중 채널의 상태는 파일 공유 설정 섹션에서 확인할 수 있습니다.
SMB 다중 채널을 사용하거나 사용하지 않도록 설정하려면 현재 상태 선택합니다(상태 따라 사용 또는 사용 안 함). 결과 대화 상자는 SMB 다중 채널을 사용하거나 사용하지 않도록 설정하는 토글을 제공합니다. 원하는 상태를 선택하고 저장을 선택합니다.
SMB 다중 채널의 상태 가져오려면 cmdlet을 Get-AzStorageFileServiceProperty 사용합니다. 이러한 PowerShell 명령을 실행하기 전에 환경에 적합한 값을 바꾸고 바꿔 <resource-group><storage-account> 야 합니다.
$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"
# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
-ResourceGroupName $resourceGroupName `
-StorageAccountName $storageAccountName
# If you've never enabled or disabled SMB Multichannel, the value for the SMB Multichannel
# property returned by Azure Files will be null. Null returned values should be interpreted
# as "default settings are in effect". To make this more user-friendly, the following
# PowerShell commands replace null values with the human-readable default values.
$defaultSmbMultichannelEnabled = $false
# Get the current value for SMB Multichannel
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
Select-Object -Property `
ResourceGroupName, `
StorageAccountName, `
@{
Name = "SmbMultichannelEnabled";
Expression = {
if ($null -eq $_.ProtocolSettings.Smb.Multichannel.Enabled) {
$defaultSmbMultichannelEnabled
} else {
$_.ProtocolSettings.Smb.Multichannel.Enabled
}
}
}
SMB 다중 채널의 사용/사용 안 함을 설정하려면 Update-AzStorageFileServiceProperty cmdlet을 사용합니다.
SMB 다중 채널의 상태 가져오려면 명령을 사용합니다az storage account file-service-properties show. 이러한 Bash 명령을 실행하기 전에 환경에 적합한 값을 바꾸고 바꿔 <resource-group><storage-account> 야 합니다.
RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"
# If you've never enabled or disabled SMB Multichannel, the value for the SMB Multichannel
# property returned by Azure Files will be null. Null returned values should be interpreted
# as "default settings are in effect". To make this more user-friendly, the following
# PowerShell commands replace null values with the human-readable default values.
## Search strings
REPLACESMBMULTICHANNEL="\"smbMultichannelEnabled\": null"
# Replacement values for null parameters.
DEFAULTSMBMULTICHANNELENABLED="\"smbMultichannelEnabled\": false"
# Build JMESPath query string
QUERY="{"
QUERY="${QUERY}smbMultichannelEnabled: protocolSettings.smb.multichannel.enabled"
QUERY="${QUERY}}"
# Get protocol settings from the Azure Files FileService object
protocolSettings=$(az storage account file-service-properties show \
--resource-group $RESOURCE_GROUP_NAME \
--account-name $STORAGE_ACCOUNT_NAME \
--query "${QUERY}")
# Replace returned values if null with default values
PROTOCOL_SETTINGS="${protocolSettings/$REPLACESMBMULTICHANNEL/$DEFAULTSMBMULTICHANNELENABLED}"
# Print returned settings
echo $PROTOCOL_SETTINGS
SMB 다중 채널을 사용하거나 사용하지 않도록 설정하려면 이 명령을 사용합니다 az storage account file-service-properties update .
Azure Files는 조직의 요구 사항에 따라 SMB 프로토콜을 더 호환되거나 더 안전하게 전환할 수 있는 설정을 노출합니다. 기본적으로 Azure Files는 최대 호환되도록 구성되므로 이러한 설정을 제한하면 일부 클라이언트가 연결할 수 없게 될 수 있습니다.
Azure Files는 다음 설정을 노출합니다.
SMB 버전: 허용되는 SMB 버전입니다. 지원되는 프로토콜 버전은 SMB 3.1.1, SMB 3.0 및 SMB 2.1입니다. 기본적으로 모든 SMB 버전이 허용되지만, SMB 2.1은 전송 중 암호화를 지원하지 않으므로 "보안 전송 필요"를 사용하도록 설정한 경우 SMB 2.1이 허용되지 않습니다.
인증 방법: 허용되는 SMB 인증 방법입니다. 지원되는 인증 방법은 NTLMv2(스토리지 계정 키만 해당) 및 Kerberos입니다. 기본적으로 모든 인증 방법이 허용됩니다. NTLMv2를 제거하면 스토리지 계정 키를 사용하여 Azure 파일 공유를 탑재할 수 없습니다. Azure Files는 도메인 자격 증명에 NTLM 인증 사용을 지원하지 않습니다.
Kerberos 티켓 암호화: 허용되는 암호화 알고리즘입니다. 지원되는 암호화 알고리즘은 AES-256(권장) 및 RC4-HMAC입니다.
SMB 채널 암호화: 허용되는 SMB 채널 암호화 알고리즘입니다. 지원되는 암호화 알고리즘은 AES-256-GCM, AES-128-GCM 및 AES-128-CCM입니다. AES-256-GCM만 선택하는 경우 각 클라이언트에서 관리자 권한으로 PowerShell 터미널을 열고 실행 Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false하여 연결 클라이언트에 사용하도록 지시해야 합니다. AES-256-GCM 사용은 Windows 11/Windows Server 2022보다 오래된 Windows 클라이언트에서는 지원되지 않습니다.
Azure Portal, PowerShell 또는 CLI를 사용하여 SMB 보안 설정을 보고 변경할 수 있습니다. 원하는 탭을 선택하여 SMB 보안 설정을 가져오는 방법에 대한 단계를 확인합니다.
Azure Portal을 사용하여 SMB 보안 설정을 보거나 변경하려면 다음 단계를 수행합니다.
스토리지 계정을 검색하고, 보안 설정을 보려는 스토리지 계정을 선택합니다.
데이터 스토리지>파일 공유를 차례로 선택합니다.
파일 공유 설정 아래에서 보안과 관련된 값을 선택합니다. 보안 설정을 수정하지 않은 경우 이 값은 기본적으로 최대 호환성으로 설정됩니다.
프로필 아래에서 최대 호환성, 최대 보안 또는 사용자 지정을 선택합니다. 사용자 지정을 선택하면 SMB 프로토콜 버전, SMB 채널 암호화, 인증 메커니즘 및 Kerberos 티켓 암호화에 대한 사용자 지정 프로필을 만들 수 있습니다.
원하는 보안 설정이 입력되면 저장을 선택합니다.
SMB 프로토콜 설정을 가져오려면 Get-AzStorageFileServiceProperty cmdlet을 사용합니다 <resource-group> 및 <storage-account>를 사용자 환경에 적합한 값으로 바꿔야 합니다. 예를 들어 SMB 채널 암호화를 사용하지 않도록 설정하여 의도적으로 SMB 보안 설정을 null로 설정한 경우 특정 줄을 주석으로 처리하기 위한 스크립트의 지침을 참조하세요.
$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"
# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
-ResourceGroupName $resourceGroupName `
-StorageAccountName $storageAccountName
# If you've never changed any SMB security settings, the values for the SMB security
# settings returned by Azure Files will be null. Null returned values should be interpreted
# as "default settings are in effect". To make this more user-friendly, the following
# PowerShell commands replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following four lines to avoid
# changing the security settings back to defaults.
$smbProtocolVersions = "SMB2.1", "SMB3.0", "SMB3.1.1"
$smbAuthenticationMethods = "NTLMv2", "Kerberos"
$smbKerberosTicketEncryption = "RC4-HMAC", "AES-256"
$smbChannelEncryption = "AES-128-CCM", "AES-128-GCM", "AES-256-GCM"
# Gets the current values of the SMB security settings
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
Select-Object -Property `
ResourceGroupName, `
StorageAccountName, `
@{
Name = "SmbProtocolVersions";
Expression = {
if ($null -eq $_.ProtocolSettings.Smb.Versions) {
[String]::Join(", ", $smbProtocolVersions)
} else {
[String]::Join(", ", $_.ProtocolSettings.Smb.Versions)
}
}
},
@{
Name = "SmbChannelEncryption";
Expression = {
if ($null -eq $_.ProtocolSettings.Smb.ChannelEncryption) {
[String]::Join(", ", $smbChannelEncryption)
} else {
[String]::Join(", ", $_.ProtocolSettings.Smb.ChannelEncryption)
}
}
},
@{
Name = "SmbAuthenticationMethods";
Expression = {
if ($null -eq $_.ProtocolSettings.Smb.AuthenticationMethods) {
[String]::Join(", ", $smbAuthenticationMethods)
} else {
[String]::Join(", ", $_.ProtocolSettings.Smb.AuthenticationMethods)
}
}
},
@{
Name = "SmbKerberosTicketEncryption";
Expression = {
if ($null -eq $_.ProtocolSettings.Smb.KerberosTicketEncryption) {
[String]::Join(", ", $smbKerberosTicketEncryption)
} else {
[String]::Join(", ", $_.ProtocolSettings.Smb.KerberosTicketEncryption)
}
}
}
조직의 보안, 성능 및 호환성 요구 사항에 따라 SMB 프로토콜 설정을 수정할 수 있습니다. 다음 PowerShell 명령은 SMB 파일 공유를 가장 안전한 옵션으로만 제한합니다.
Important
SMB Azure 파일 공유를 가장 안전한 옵션으로만 제한하면 일부 클라이언트가 연결할 수 없게 될 수 있습니다. 예를 들어 AES-256-GCM은 Windows Server 2022 및 Windows 11부터 SMB 채널 암호화 옵션으로 도입되었습니다. 즉, AES-256-GCM을 지원하지 않는 이전 클라이언트는 연결할 수 없습니다. AES-256-GCM만 선택하는 경우 각 클라이언트에서 관리자 권한으로 PowerShell 터미널을 열고 실행 Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false하여 AES-256-GCM만 사용하도록 Windows Server 2022 및 Windows 11 클라이언트에 알려야 합니다.
SMB 보안 설정의 상태 얻으려면 명령을 사용합니다az storage account file-service-properties show. 이러한 Bash 명령을 실행하기 전에 환경에 적합한 값을 바꾸고 바꿔 <resource-group><storage-account> 야 합니다. 예를 들어 SMB 채널 암호화를 사용하지 않도록 설정하여 의도적으로 SMB 보안 설정을 null로 설정한 경우 특정 줄을 주석으로 처리하기 위한 스크립트의 지침을 참조하세요.
RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"
# If you've never changed any SMB security settings, the values for the SMB security
# settings returned by Azure Files will be null. Null returned values should be interpreted
# as "default settings are in effect". To make this more user-friendly, the commands in the
# following two sections replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following two sections before
# running the script to avoid changing the security settings back to defaults.
# Values to be replaced
REPLACESMBPROTOCOLVERSION="\"smbProtocolVersions\": null"
REPLACESMBCHANNELENCRYPTION="\"smbChannelEncryption\": null"
REPLACESMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": null"
REPLACESMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": null"
# Replacement values for null parameters. If you copy this into your own
# scripts, you will need to ensure that you keep these variables up-to-date with any new
# options we may add to these parameters in the future.
DEFAULTSMBPROTOCOLVERSIONS="\"smbProtocolVersions\": \"SMB2.1;SMB3.0;SMB3.1.1\""
DEFAULTSMBCHANNELENCRYPTION="\"smbChannelEncryption\": \"AES-128-CCM;AES-128-GCM;AES-256-GCM\""
DEFAULTSMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": \"NTLMv2;Kerberos\""
DEFAULTSMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": \"RC4-HMAC;AES-256\""
# Build JMESPath query string
QUERY="{"
QUERY="${QUERY}smbProtocolVersions: protocolSettings.smb.versions,"
QUERY="${QUERY}smbChannelEncryption: protocolSettings.smb.channelEncryption,"
QUERY="${QUERY}smbAuthenticationMethods: protocolSettings.smb.authenticationMethods,"
QUERY="${QUERY}smbKerberosTicketEncryption: protocolSettings.smb.kerberosTicketEncryption"
QUERY="${QUERY}}"
# Get protocol settings from the Azure Files FileService object
PROTOCOLSETTINGS=$(az storage account file-service-properties show \
--resource-group $RESOURCE_GROUP_NAME \
--account-name $STORAGE_ACCOUNT_NAME \
--query "${QUERY}")
# Replace returned values if null with default values
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBPROTOCOLVERSION/$DEFAULTSMBPROTOCOLVERSIONS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBCHANNELENCRYPTION/$DEFAULTSMBCHANNELENCRYPTION}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBAUTHENTICATIONMETHODS/$DEFAULTSMBAUTHENTICATIONMETHODS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBKERBEROSTICKETENCRYPTION/$DEFAULTSMBKERBEROSTICKETENCRYPTION}"
# Print returned settings
echo $PROTOCOLSETTINGS
조직의 보안, 성능 및 호환성 요구 사항에 따라 SMB 프로토콜 설정을 수정할 수 있습니다. 다음 Azure CLI 명령은 SMB 파일 공유를 가장 안전한 옵션으로만 제한합니다.
Important
SMB Azure 파일 공유를 가장 안전한 옵션으로만 제한하면 일부 클라이언트가 연결할 수 없게 될 수 있습니다. 예를 들어 AES-256-GCM은 Windows Server 2022 및 Windows 11부터 SMB 채널 암호화 옵션으로 도입되었습니다. 즉, AES-256-GCM을 지원하지 않는 이전 클라이언트는 연결할 수 없습니다. AES-256-GCM만 선택하는 경우 각 클라이언트에서 관리자 권한으로 PowerShell 터미널을 열고 실행 Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false하여 AES-256-GCM만 사용하도록 Windows Server 2022 및 Windows 11 클라이언트에 알려야 합니다.
Azure Files의 SMB 파일 공유는 SMB 프로토콜 및 NTFS 파일 시스템에서 지원하는 기능의 하위 집합을 지원합니다. 대부분의 사용 사례 및 애플리케이션에는 이러한 기능이 필요하지 않지만 일부 애플리케이션은 지원되지 않는 기능을 사용하는 경우 Azure Files에서 제대로 작동하지 않을 수 있습니다. 다음 기능은 지원되지 않습니다.
