Azure 엔터프라이즈 클라우드 파일 공유

이 참조 아키텍처에서는 Azure Files, Azure 파일 동기화, Azure 프라이빗 DNS 및 Azure 프라이빗 엔드포인트를 포함한 Azure 서비스를 사용하는 엔터프라이즈 수준 클라우드 파일 공유 솔루션을 보여 줍니다. 이 솔루션은 데이터 제어를 유지하면서 파일 서버 및 인프라 관리를 아웃소싱하여 비용을 절감합니다.

아키텍처

다음 다이어그램에서는 클라이언트에서 Azure 파일 공유에 액세스할 수 있는 방법을 보여 줍니다.

• 클라우드 계층화 파일 서버를 통해 로컬로
• 프라이빗 네트워크 환경의 ExpressRoute 개인 피어링 또는 VPN 터널을 통해 원격으로

이 아키텍처의 Visio 파일을 다운로드합니다.

워크플로

엔터프라이즈 수준 클라우드 파일 공유 솔루션은 다음 방법을 사용하여 기존 파일 공유와 동일한 사용자 환경을 제공하지만 Azure 파일 공유를 사용합니다.

• Azure 파일 동기화를 사용하여 파일 및 폴더 ACL(액세스 제어 목록)을 온-프레미스 파일 서버와 Azure 파일 공유 간에 동기화합니다.
• Azure 파일 동기화 에이전트의 클라우드 계층화 기능을 사용하여 자주 액세스하는 파일을 로컬로 캐시합니다.
• Azure 파일 공유를 통해 AD DS 인증을 적용합니다.
• ExpressRoute 개인 피어링 또는 VPN 터널을 통한 Private Link 및 프라이빗 엔드포인트를 통해 개인 IP를 통해 파일 공유 및 파일 동기화 서비스에 액세스합니다.

Azure Files 및 Azure 파일 동기화에서 Azure 프라이빗 엔드포인트를 구현하면 Azure 가상 네트워크에서 Azure Files 및 Azure 파일 동기화에 대한 액세스가 제한되도록 퍼블릭 엔드포인트 액세스가 사용하지 않도록 설정됩니다.

ExpressRoute 개인 피어링 VPN 사이트 간 터널은 온-프레미스 네트워크를 Azure 가상 네트워크로 확장합니다. 온-프레미스에서 Azure Files 및 Azure 파일 동기화 프라이빗 엔드포인트로의 Azure 파일 동기화 및 SMB(서버 메시지 블록) 트래픽은 프라이빗 연결로만 제한됩니다. 전환하는 동안 Azure Files는 SMB 3.0 이상을 사용하여 만든 경우에만 연결을 허용합니다. Azure 파일 동기화 에이전트에서 Azure 파일 공유 또는 스토리지 동기화 서비스로의 연결은 항상 암호화됩니다. 미사용 시 Azure Storage는 Azure Files와 마찬가지로 데이터가 클라우드에 유지될 때 데이터를 자동으로 암호화합니다.

DNS(Domain Name System) 확인자는 솔루션의 중요한 구성 요소입니다. 각 Azure 서비스(이 경우 Azure Files 및 Azure 파일 동기화)에는 FQDN(정규화된 도메인 이름)이 있습니다. 이러한 서비스의 FQDN은 다음과 같은 경우 공용 IP 주소로 확인됩니다.

• 클라이언트에서 Azure Files 공유에 액세스하는 경우
• 온-프레미스 파일 서버에 배포된 Azure 파일 동기화 에이전트에서 Azure 파일 동기화 서비스에 액세스하는 경우

프라이빗 엔드포인트를 사용하도록 설정하면 개인 IP 주소가 Azure 가상 네트워크에 할당됩니다. 이러한 주소는 프라이빗 연결을 통해 해당 서비스에 액세스할 수 있으며, 이제 동일한 FQDN이 개인 IP 주소로 확인되어야 합니다. 이를 위해 Azure Files 및 Azure 파일 동기화에서 CNAME(정식 이름 DNS 레코드)을 만들어 확인을 프라이빗 도메인 이름으로 리디렉션합니다.

• Azure 파일 동기화의 *.afs.azure.net 퍼블릭 도메인 이름은 *.<region>.privatelink.afs.azure.net 프라이빗 도메인 이름에 대한 CNAME 리디렉션을 가져옵니다.
• Azure Files의 <name>.file.core.windows.net 퍼블릭 도메인 이름은 <name>.privatelink.file.core.windows.net 프라이빗 도메인 이름에 대한 CNAME 리디렉션을 가져옵니다.

이 아키텍처에 표시된 솔루션은 다음 방법을 사용하여 프라이빗 도메인 이름을 개인 IP 주소로 확인하도록 온-프레미스 DNS 설정을 올바르게 구성합니다.

• Azure 파일 동기화 및 Azure 파일에 대한 프라이빗 이름 확인을 제공하기 위해 Azure에서 프라이빗 DNS 영역(11 및 12 구성 요소)을 만듭니다.
• 가상 네트워크에 배포된 DNS 서버 또는 Azure 프라이빗 DNS 확인자(8 구성 요소)에서 프라이빗 도메인 이름을 확인할 수 있도록 프라이빗 DNS 영역을 Azure 가상 네트워크에 연결합니다.
• Azure Files 및 Azure 파일 동기화에 대한 DNS A 레코드를 프라이빗 DNS 영역에 만듭니다. 엔드포인트를 구성하는 단계는 Azure Files 네트워크 엔드포인트 구성 및 Azure 파일 동기화 네트워크 엔드포인트 구성을 참조하세요.
• 온-프레미스 DNS 서버(3 구성 요소)에서 domain afs.azure.net 및 file.core.windows.net의 DNS 쿼리를 Azure 가상 네트워크의 DNS 서버(8 구성 요소)로 전달하도록 조건부 전달을 설정합니다.
• 온-프레미스 DNS 서버에서 전달된 DNS 쿼리를 받으면 Azure 가상 네트워크의 DNS 서버(8 구성 요소)에서 Azure DNS 재귀 확인자를 사용하여 프라이빗 도메인 이름을 확인하고 개인 IP 주소를 클라이언트에 반환합니다.

구성 요소

아키텍처 다이어그램에 표시된 솔루션에서 사용하는 구성 요소는 다음과 같습니다.

• 클라이언트(1 또는 2구성 요소) - 일반적으로 클라이언트는 SMB 프로토콜을 통해 파일 서버 또는 Azure Files와 통신할 수 있는 Windows, Linux 또는 Mac OSX 데스크톱입니다.

• DC 및 DNS 서버(3 구성 요소) - DC(도메인 컨트롤러)는 인증 요청에 응답하고 컴퓨터 네트워크에서 사용자를 확인하는 서버입니다. DNS 서버는 컴퓨터와 사용자에게 컴퓨터 이름-IP 주소 매핑 이름 확인 서비스를 제공합니다. DC 및 DNS 서버는 단일 서버로 결합하거나 다른 서버로 분리할 수 있습니다.

• 파일 서버(4 구성 요소) - 파일 공유를 호스트하고 SMB 프로토콜을 통해 파일 공유 서비스를 제공하는 서버입니다.

• CE/VPN 디바이스(5 구성 요소) - CE(고객 에지 라우터) 또는 VPN 디바이스는 Azure 가상 네트워크에 대한 ExpressRoute 또는 VPN 연결을 설정하는 데 사용됩니다.

• Azure ExpressRoute 또는 Azure VPN Gateway(6 구성 요소) – Azure ExpressRoute는 연결 공급자가 제공하는 프라이빗 연결을 통해 온-프레미스 네트워크를 Microsoft 클라우드로 확장할 수 있는 서비스입니다. Azure VPN Gateway는 공용 인터넷을 통해 Azure 가상 네트워크와 온-프레미스 위치 간에 암호화된 트래픽을 보내는 데 사용되는 특정 유형의 가상 네트워크 게이트웨이입니다. ExpressRoute 또는 VPN Gateway는 온-프레미스 네트워크에 대한 ExpressRoute 또는 VPN 연결을 설정합니다.

• Azure 프라이빗 엔드포인트(7 구성 요소) - Azure Private Link에서 제공하는 서비스에 비공개로 안전하게 연결하는 네트워크 인터페이스입니다. 이 솔루션에서 Azure 파일 동기화 프라이빗 엔드포인트는 Azure 파일 동기화(9)에 연결되고, Azure Files 프라이빗 엔드포인트는 Azure Files(10)에 연결됩니다.

• Azure Virtual Network 인스턴스의 DNS 서버/Azure 프라이빗 DNS 확인자(8 구성 요소)는 온-프레미스 DNS 서버에서 전달된 DNS 쿼리를 받은 후 Azure DNS 재귀 확인자를 사용하여 프라이빗 도메인 이름을 지정하고 개인 IP 주소를 클라이언트에 반환합니다.

• Azure 파일 동기화 및 클라우드 계층화(9 구성 요소) – Azure 파일 동기화는 온-프레미스 파일 서버의 유연성, 성능 및 호환성을 유지하면서 Azure에서 조직의 파일 공유를 중앙 집중화하는 Azure Storage의 기능입니다. Azure 파일 동기화의 선택적 기능인 클라우드 계층화를 사용하는 경우 액세스 빈도가 높은 파일은 서버에 로컬로 캐시되고 그 외의 모든 파일은 정책 설정에 따라 Azure Files에서 계층화됩니다.

• Azure Files(10 구성 요소) - 클라우드에서 업계 표준 SMB(서버 메시지 블록) 프로토콜을 통해 액세스할 수 있는 파일 공유를 제공하는 완전 관리형 서비스입니다. Azure Files는 SMB v3 프로토콜을 구현하고 온-프레미스 Active Directory Do기본 Services(AD DS) 및 Microsoft Entra Do기본 Services(Microsoft Entra Do기본 Services)를 통한 인증을 지원합니다. Azure Files의 파일 공유는 Windows, Linux 및 macOS의 클라우드 또는 온-프레미스 배포를 통해 동시에 탑재할 수 있습니다. 또한 Azure 파일 공유는 빠른 액세스를 위해 Azure 파일 동기화를 사용하여 Windows 서버에서 데이터가 사용되는 위치에 더 가깝게 캐시할 수 있습니다.

• Azure 프라이빗 DNS(11 및 12 구성 요소) - Azure에서 제공하는 DNS 서비스인 프라이빗 DNS는 사용자 지정 DNS 솔루션을 추가할 필요 없이 가상 네트워크에서 도메인 이름을 관리하고 확인합니다.

• Azure Backup(13 구성 요소) - Azure Backup은 파일 공유 스냅샷을 사용하여 클라우드 기반 백업 솔루션을 제공하는 Azure 파일 공유 백업 서비스입니다. 고려 사항은 데이터 손실 및 백업을 참조하세요.

시나리오 정보

이 솔루션을 사용하면 인터넷을 트래버스하지 않고 온-프레미스 및 Azure 가상 네트워크 간의 VPN(가상 사설망)을 통해 하이브리드 작업 환경에서 Azure 파일 공유에 액세스할 수 있습니다. 또한 Microsoft Entra Do기본 Services(AD DS) 인증을 통해 파일 액세스를 제어하고 제한할 수 있습니다.

잠재적인 사용 사례

클라우드 파일 공유 솔루션에서 지원하는 잠재적인 사용 사례는 다음과 같습니다.

• 파일 서버 또는 파일 공유 리프트 앤 시프트. 리프트 앤 시프트를 통해 데이터를 다시 구성하거나 다시 포맷할 필요가 없습니다. 또한 클라우드 스토리지의 이점을 활용하면서 온-프레미스에서 레거시 애플리케이션을 유지합니다.
• 향상된 운영 효율성을 통해 클라우드 혁신 가속화. 하드웨어 및 물리적 공간을 유지 관리하는 비용을 줄이고 데이터 손상 및 데이터 손실을 방지합니다.
• Azure 파일 공유에 대한 프라이빗 액세스. 데이터 반출을 방지합니다.

트래픽 흐름

Azure 파일 동기화 및 Azure Files를 사용하도록 설정하면 로컬 캐시 모드 또는 원격 모드의 두 가지 모드에서 Azure 파일 공유에 액세스할 수 있습니다. 두 가지 모드 모두에서 클라이언트는 기존 AD DS 자격 증명을 사용하여 자체를 인증합니다.

• 로컬 캐시 모드 - 클라이언트에서 클라우드 계층화가 사용하도록 설정된 로컬 파일 서버를 통해 파일 및 파일 공유에 액세스합니다. 사용자가 로컬 파일 서버에서 파일을 열면 파일 데이터가 파일 서버 로컬 캐시에서 제공되거나 Azure 파일 동기화 에이전트에서 Azure Files로부터 파일 데이터를 원활하게 회수합니다. 이 솔루션의 아키텍처 다이어그램에서 이 작업은 1과 4 구성 요소 간에 수행됩니다.

• 원격 모드 - 클라이언트에서 원격 Azure 파일 공유로부터 직접 파일 및 파일 공유에 액세스합니다. 이 솔루션의 아키텍처 다이어그램에서 트래픽 흐름은 2, 5, 6, 7 및 10 구성 요소를 통해 이동합니다.

Azure 파일 동기화 트래픽은 안정적인 연결을 위해 ExpressRoute 회로를 사용하여 4, 5, 6 및 7 구성 요소 사이를 이동합니다.

프라이빗 도메인 이름 확인 쿼리는 다음 시퀀스를 사용하여 3, 5, 6, 8, 11 및 12 구성 요소를 통과합니다.

1. 클라이언트에서 쿼리를 온-프레미스 DNS 서버에 보내 Azure Files 또는 Azure 파일 동기화 DNS 이름을 확인합니다.
2. 온-프레미스 DNS 서버에는 Azure 가상 네트워크의 DNS 서버에 대한 Azure File 및 Azure 파일 동기화 DNS 이름 확인을 가리키는 조건부 전달자가 있습니다.
3. 쿼리가 Azure 가상 네트워크의 DNS 서버 또는 Azure 프라이빗 DNS 확인자로 리디렉션됩니다.
4. 가상 네트워크의 DNS 구성에 따라:
   • 사용자 지정 DNS 서버가 구성된 경우 Azure 가상 네트워크의 DNS 서버에서 이름 쿼리를 Azure에서 제공하는 DNS(168.63.129.16) 재귀 확인자에 보냅니다.
   • Azure 프라이빗 DNS 확인자가 구성되고 쿼리가 가상 네트워크에 연결된 프라이빗 DNS 영역과 일치하는 경우 해당 영역이 참조됩니다.
5. 프라이빗 도메인 이름이 해당 프라이빗 DNS 영역으로 확인되면 DNS 서버/Azure 프라이빗 DNS 확인자에서 개인 IP를 반환합니다. Azure Virtual Network의 Azure Files DNS 영역 및 Azure 파일 동기화 프라이빗 DNS 영역에 대한 링크를 사용합니다.

고려 사항

이러한 고려 사항은 워크로드의 품질을 향상시키는 데 사용할 수 있는 일단의 지침 원칙인 Azure Well-Architected Framework의 핵심 요소를 구현합니다. 자세한 내용은 Microsoft Azure Well-Architected Framework를 참조하세요.

이 솔루션을 구현하는 경우 고려 사항은 다음과 같습니다.

계획

• Azure 파일 동기화 계획은 Azure 파일 동기화 배포 계획을 참조하세요.
• Azure Files 계획은 Azure Files 배포 계획을 참조하세요.

네트워킹

• Azure 파일 동기화 네트워크 고려 사항은 Azure 파일 동기화 네트워킹 고려 사항을 참조하세요.
• Azure Files 네트워킹 고려 사항은 Azure Files 네트워킹 고려 사항을 참조하세요.

DNS

프라이빗 엔드포인트에 대한 이름 확인을 관리하는 경우 Azure Files 및 Azure 파일 동기화의 프라이빗 도메인 이름은 다음과 같은 방법으로 확인됩니다.

Azure 쪽에서:

• Azure에서 제공하는 이름 확인을 사용하는 경우 Azure 가상 네트워크에서 프로비전된 프라이빗 DNS 영역에 연결해야 합니다.
• "사용자 고유 DNS 서버"를 사용하는 경우 사용자 고유의 DNS 서버가 배포된 가상 네트워크에서 프로비전된 프라이빗 DNS 영역에 연결해야 합니다.

온-프레미스 쪽에서 프라이빗 도메인 이름은 다음 방법 중 하나로 개인 IP 주소에 매핑됩니다.

• 다이어그램과 같이 Azure 가상 네트워크 또는 Azure 프라이빗 DNS 확인자에 배포된 DNS 서버로의 DNS 전달을 통해
• <region>.privatelink.afs.azure.net 및 privatelink.file.core.windows.net 프라이빗 도메인에 대한 영역을 설정하는 온-프레미스 DNS 서버를 통해. 서버는 Azure Files 및 Azure 파일 동기화 프라이빗 엔드포인트의 IP 주소를 DNS A 레코드로 해당 DNS 영역에 등록합니다. 온-프레미스 클라이언트는 로컬 온-프레미스 DNS 서버에서 직접 프라이빗 도메인 이름을 확인합니다.

분산 파일 시스템(DFS)

온-프레미스 파일 공유 솔루션의 경우 많은 관리자가 기존의 독립 실행형 파일 서버 대신 DFS를 사용하도록 선택합니다. DFS를 사용하면 사용자가 네트워크의 단일 지점에서 액세스할 수 있도록 관리자가 여러 서버에 있을 수 있는 파일 공유를 통합하여 모두 동일한 위치에 있는 것처럼 표시합니다. 클라우드 파일 공유 솔루션으로 이동하는 동안 기존 DFS-R 배포를 Azure 파일 동기화 배포로 바꿀 수 있습니다. 자세한 내용은 DFS 복제(DFS-R) 배포를 Azure 파일 동기화로 마이그레이션을 참조하세요.

데이터 손실 및 백업

데이터 손실은 모든 규모의 비즈니스에서 심각한 문제입니다. Azure 파일 공유 백업은 파일 공유 스냅샷을 사용하여 클라우드의 데이터를 보호하고 온-프레미스 백업 솔루션과 관련된 추가 유지 관리 오버헤드를 제거하는 클라우드 기반 백업 솔루션을 제공합니다. Azure 파일 공유 백업의 주요 이점은 다음과 같습니다.

• 제로 인프라
• 사용자 지정된 보존
• 기본 제공 관리 기능
• 즉시 복원
• 경고 및 보고
• 실수로 파일 공유를 삭제하지 않도록 보호

자세한 내용은 Azure 파일 공유 백업 정보를 참조하세요.

Azure Files에서 하이브리드 ID 지원

이 문서에서는 Azure Files에서 인증하기 위한 Active Directory에 대해 설명하지만 하이브리드 사용자 ID를 인증하는 데 Microsoft Entra ID를 사용할 수 있습니다. Azure Files는 다음 세 가지 방법을 통해 Kerberos 인증 프로토콜을 사용하여 SMB(서버 메시지 블록)를 통한 ID 기반 인증을 지원합니다.

• 온-프레미스 AD DS(Active Directory Domain Services)
• Microsoft Entra Domain Services(Microsoft Entra Domain Services)
• 하이브리드 사용자 ID에 대해서만 Microsoft Entra Kerberos(Microsoft Entra ID)

자세한 내용은 Azure Files에서 하이브리드 ID에 대한 Microsoft Entra Kerberos 인증 사용(미리 보기)을 참조하세요.

보안

우수한 보안은 중요한 데이터 및 시스템에 대한 고의적인 공격과 악용을 방어합니다. 자세한 내용은 보안 요소의 개요를 참조하세요.

애플리케이션 설계 모범 사례와 결합된 Azure DDoS Protection은 향상된 DDoS 완화 기능을 제공하여 DDoS 공격에 대한 방어력을 높입니다. 경계 가상 네트워크에서 Azure DDOS Protection을 사용하도록 설정해야 합니다.

보안 감사는 기업의 보안을 유지하는 데 필요한 요구 사항입니다. 업계 표준에 따라 기업은 데이터 보안 및 개인 정보 보호와 관련된 엄격한 규칙 집합을 준수해야 합니다.

파일 액세스 감사

파일 액세스 감사는 로컬 및 원격으로 사용하도록 설정할 수 있습니다.

• 동적 액세스 제어를 사용하여 로컬로. 자세한 내용은 파일 액세스 감사 계획을 참조하세요.
• Azure Files의 Azure Monitor에서 Azure Storage 로그를 사용하여 원격으로. Azure Storage 로그에는 StorageRead, StorageWrite, StorageDelete 및 Transaction 로그가 포함됩니다. Azure 파일 액세스는 스토리지 계정, 로그 분석 작업 영역에 로그하거나 별도로 이벤트 허브로 스트림할 수 있습니다. 자세한 내용은 Azure Storage 모니터링을 참조하세요.

참가자

Microsoft에서 이 문서를 유지 관리합니다. 원래 다음 기여자가 작성했습니다.

보안 주체 작성자:

• Yingting Huang | 선임 클라우드 솔루션 설계자

비공개 LinkedIn 프로필을 보려면 LinkedIn에 로그인하세요.

다음 단계

• Azure 파일 배포에 대한 계획
• Azure Files를 배포하는 방법
• Azure Files 네트워킹 고려 사항
• Azure Files 네트워크 엔드포인트 구성
• Azure Storage 모니터링
• 파일 액세스 감사 계획
• Azure 파일 공유 백업
• 개요 - Azure 파일 공유에 대해 SMB를 통한 온-프레미스 Active Directory Domain Services 인증
• Azure 파일 동기화 배포
• Azure 파일 동기화 네트워크 엔드포인트 구성
• 클라우드 계층화 개요
• Azure Portal에서 사이트 간 연결 만들기
• ExpressRoute 회로 및 피어링
• ExpressRoute 회로의 피어링 만들기 및 수정
• Azure 파일 공유 백업
• Azure DNS Private Resolver란?
• Azure Files에서 하이브리드 ID에 대해 Microsoft Entra Kerberos 인증 사용(미리 보기)

관련 참고 자료

• Azure 엔터프라이즈 클라우드 파일 공유
• 온-프레미스에 액세스하고 AD DS로 보호되는 Azure 파일
• 하이브리드 파일 서비스
• 하이브리드 환경에서 Azure 파일 공유 사용
• 원격 및 현지 지점 작업자를 위한 재해 복구 기능이 있는 하이브리드 파일 공유