Azure NetApp Files의 NAS 공유 권한

  • 6분

Azure NetApp Files 공유 및 파일 권한은 사용자 및 그룹의 액세스 권한을 제어하기 위해 백그라운드에서 작동합니다.

Azure NetApp Files는 NAS 데이터를 보호하는 여러 가지 방법을 제공합니다. 한 가지 보안 옵션은 사용 권한을 사용하는 것입니다. NAS에서 사용 권한은 다음 두 가지 범주로 나눌 수 있습니다.

  • 공유 액세스 권한은 NAS 볼륨을 탑재할 수 있는 사용자를 제한합니다. NFS는 IP 주소 또는 호스트 이름을 통해 공유 액세스 권한을 제어합니다. SMB는 사용자 및 ACL(그룹 액세스 제어 목록)을 사용하여 이를 제어합니다.
  • 파일 액세스 권한은 NAS 볼륨이 탑재되면 사용자 및 그룹이 수행할 수 있는 작업을 제한합니다. 파일 액세스 권한은 개별 파일 및 폴더에 적용됩니다.

액세스 권한 공유

NAS 환경에서 보호되는 첫 번째 진입점은 공유에 대한 액세스입니다. 공유 액세스 권한을 사용하면 공유를 탑재할 수 있는 사용자와 탑재할 수 없는 사용자를 잠글 수 있습니다.

공유는 볼륨의 주요 진입점이며 가장 제한적인 권한은 다른 사용 권한을 재정의합니다. 공유 권한은 아래 이미지에 표시된 것처럼 깔때기 논리를 따라야 합니다. 즉, 공유는 기본 파일과 폴더보다 더 많은 액세스 권한을 허용합니다.

Azure NetApp Files의 권한 계층 구조를 보여 주는 다이어그램

NFS 내보내기 정책

내보내기 정책은 원하는 액세스 순서로 나열되는 액세스 규칙 집합에 대한 컨테이너입니다. 이러한 규칙은 클라이언트 IP 주소 또는 서브넷을 사용하여 NFS 공유에 대한 액세스를 제어합니다.

Azure NetApp Files의 볼륨은 클라이언트에서 액세스할 수 있는 경로를 내보내 NFS 클라이언트에 공유됩니다. NFSv3 및 NFSv4.x는 모두 내보내기 정책을 사용하여 Azure NetApp Files의 NFS 공유에 대한 액세스를 제한합니다.

클라이언트가 내보내기 정책 규칙에 나열되지 않은 경우 해당 클라이언트는 NFS 내보내기를 탑재할 수 없습니다. 내보내기 정책 규칙은 순차적으로 읽습니다. 클라이언트에 더 제한적인 정책 규칙이 적용되는 경우 먼저 읽고 적용합니다. 더 많은 액세스를 허용하는 이후의 정책 규칙은 무시됩니다.

내보내기 정책의 작동 방식을 보여 주는 다이어그램

이 다이어그램은 서브넷 0.0.0.0/0(모든 서브넷의 모든 클라이언트)이 읽기 전용으로 설정되어 있고 정책에 첫 번째로 나열되기 때문에 볼륨에 대한 읽기 전용 액세스를 얻는 10.10.10.10의 IP를 가진 클라이언트를 보여줍니다.

Azure NetApp Files의 기본 정책 규칙

새 볼륨을 만들 때 기본 정책 규칙이 만들어집니다. 기본 규칙에는 다음 값이 있습니다.

  • 인덱스 = 1
  • 허용되는 클라이언트 = 0.0.0.0/0(모든 클라이언트에 액세스가 허용됨)
  • 액세스 = 읽기 및 쓰기
  • 루트 액세스 = 켜기
  • Chown 모드 = 제한됨

참고

이러한 값은 볼륨을 만들 때 또는 볼륨을 만든 후에 변경할 수 있습니다.

Azure NetApp Files에서 NFS Kerberos를 사용하도록 설정된 내보내기 정책 규칙

NFS Kerberos는 Azure NetApp Files에서 NFSv4.1을 사용하는 볼륨에서만 사용하도록 설정할 수 있습니다.

Kerberos를 사용하도록 설정하면 내보내기 정책 규칙의 값이 허용되어야 하는 Kerberos 모드를 지정할 수 있도록 변경됩니다. 둘 이상에 액세스해야 하는 경우 동일한 규칙에서 여러 Kerberos 보안 모드를 사용하도록 설정할 수 있습니다.

보안 모드는 다음과 같습니다.

  • Kerberos 5: 초기 인증만 암호화됩니다.
  • Kerberos 5i: 사용자 인증 및 무결성 검사.
  • Kerberos 5p: 사용자 인증, 무결성 검사 및 개인 정보 보호. 모든 패킷은 암호화됩니다.

내보내기 정책을 사용하여 볼륨 인터페이스 만들기의 스크린샷

참고

Kerberos 사용 클라이언트만 Kerberos를 지정하는 내보내기 규칙을 사용하여 볼륨에 액세스할 수 있습니다. Kerberos를 사용하는 경우 AUTH_SYS 액세스가 허용되지 않습니다.

루트 Squash

루트 사용자는 NFS 볼륨의 모든 항목에 대한 무제한 액세스 권한을 줍니다. Azure NetApp Files 볼륨에 대한 루트 액세스를 제한하려는 시나리오가 있습니다. 루트 액세스를 제한하는 유일한 방법은 특정 클라이언트의 루트가 더 이상 루트가 아니라는 것을 NFS 서버에 알리는 것입니다.

내보내기 정책 규칙을 사용하여 "루트 액세스: 끄기"를 선택하여 루트를 루트가 아닌 루트로 스쿼시할 수 있습니다. 즉, 지정된 클라이언트의 루트가 이제 사용자 ID 65534이며 해당 사용자에 대해 지정된 ACL/모드 비트를 기반으로 파일 및 폴더에 액세스할 수 있으며 사용자에게 더 이상 루트 권한이 없음을 의미합니다.

내보내기 정책 규칙 순서 지정

내보내기 정책 규칙의 순서에 따라 적용 방법이 결정됩니다. 두 가지 내보내기 정책을 사용하여 다음 시나리오를 고려합니다.

내보내기 정책을 이동하는 방법을 보여 주는 스크린샷

  • 인덱스의 첫 번째 규칙은 허용되는 클라이언트의 항목으로 0.0.0.0/0을 사용하는 기본 정책 규칙을 통해 모든 서브넷의 모든 클라이언트를 포함합니다. 이 규칙은 해당 Azure NetApp Files NFSv3 볼륨의 모든 클라이언트에 대한 "읽기 및 쓰기" 액세스를 허용합니다.
  • 인덱스의 두 번째 규칙은 NFS 클라이언트 10.10.10.10을 명시적으로 나열합니다. 루트 액세스 없이 액세스를 "읽기 전용"으로 제한하도록 구성됩니다(루트가 스쿼시됨).

이 시나리오에서 클라이언트 10.10.10.10은 목록의 첫 번째 규칙으로 인해 액세스 권한을 받습니다. 이 문제를 해결하고 원하는 수준으로 액세스를 설정하려면 원하는 클라이언트 액세스 규칙을 서브넷/CIDR 규칙 위에 배치하도록 규칙을 다시 정렬할 수 있습니다. Azure Portal에서 내보내기 정책 규칙의 순서를 변경할 수 있습니다.

SMB 공유

SMB 공유를 사용하면 최종 사용자가 Azure NetApp Files에서 SMB 또는 이중 프로토콜 볼륨에 액세스할 수 있습니다. SMB 공유는 공유를 탑재하고 액세스할 수 있는 사용자에 대한 액세스를 제어하고 Active Directory 도메인의 사용자 및 그룹에 대한 액세스 수준도 제어할 수 있습니다. 평가되는 첫 번째 권한 수준은 공유 ACL입니다.

SMB 공유에 대한 액세스 제어는 Azure NetApp Files 컨트롤 플레인에서 액세스 기반 열거 및 검색할 수 없는 공유 기능과 같은 SMB 보안 옵션으로만 제한됩니다. 이러한 보안 옵션은 볼륨 편집 기능을 사용하여 볼륨을 만드는 동안 구성됩니다.

볼륨 인터페이스 편집 스크린샷

공유 수준 권한 ACL은 Azure NetApp Files가 아닌 Microsoft 관리 콘솔을 통해 관리됩니다. 이러한 ACL은 System Tools > 공유 폴더 > 공유에서 찾을 수 있습니다.

공유 폴더 인터페이스의 스크린샷

공유 권한을 관리하려면 목록에서 수정할 공유의 이름을 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다. 공유 ACL을 추가, 제거 또는 수정할 수 있습니다.

볼륨 속성 옵션의 스크린샷.