Azure NetApp Files에 대한 이중 프로토콜 볼륨 만들기

Azure NetApp Files에서는 NFS(NFSv3 또는 NFSv4.1), SMB3 또는 이중 프로토콜(NFSv3 및 SMB 또는 NFSv4.1 및 SMB)을 사용하여 볼륨 만들기를 지원합니다. 이 문서에서는 LDAP 사용자 매핑을 지원하는 이중 프로토콜을 사용하는 볼륨을 만드는 방법을 보여 줍니다.

NFS 볼륨을 만들려면 NFS 볼륨 만들기를 참조하세요. SMB 볼륨을 만들려면 SMB 볼륨 만들기를 참조하세요.

시작하기 전에

• 용량 풀이 이미 만들어져 있어야 합니다.
  용량 풀 만들기를 참조하세요.
• Azure NetApp Files에 서브넷을 위임해야 합니다.
  Azure NetApp Files에 서브넷 위임을 참조하세요.
• 탐색할 수 없는 공유 및 액세스 기반 열거형 기능은 현재 미리 보기 상태입니다. 각 기능을 사용하려면 먼저 등록해야 합니다.

1. 기능을 등록합니다.

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSmbNonBrowsable
   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBAccessBasedEnumeration
   

2. 기능 등록 상태를 확인합니다.

   참고 항목

   RegistrationState는 Registered로 변경되기 전까지 최대 60분 동안 Registering 상태일 수 있습니다. Registered 상태가 될 때까지 기다린 후에 계속하세요.

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSmbNonBrowsable
   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBAccessBasedEnumeration
   

Azure CLI 명령az feature register 및 az feature show를 사용하여 기능을 등록하고 등록 상태를 표시할 수도 있습니다.

고려 사항

• Active Directory 연결에 대한 요구 사항을 충족하는지 확인합니다.

• DNS 서버에 역방향 조회 영역을 만든 다음 이 역방향 조회 영역에 AD 호스트 컴퓨터의 포인터(PTR) 레코드를 추가합니다. 그러지 않으면 이중 프로토콜 볼륨 만들기가 실패합니다.

• Active Directory 연결의 LDAP를 사용하는 로컬 NFS 사용자 허용 옵션은 로컬 사용자에게 간헐적이고 일시적인 액세스를 제공하기 위한 것입니다. 이 옵션을 사용하면 LDAP 서버에서 사용자 인증 및 조회 작업이 중지되고 Azure NetApp Files에서 지원하는 그룹 멤버 자격 수가 16개로 제한됩니다. 따라서 로컬 사용자가 LDAP 사용 볼륨에 액세스해야 하는 경우를 제외하고 Active Directory 연결에서 이 옵션을 ‘사용 안 함’으로 유지해야 합니다. 해당 경우에는 볼륨에 대한 로컬 사용자 액세스가 더 이상 필요하지 않은 즉시 이 옵션을 사용하지 않도록 설정해야 합니다. 로컬 사용자 액세스를 관리하는 방법에 대한 자세한 내용은 LDAP를 사용하는 로컬 NFS 사용자가 이중 프로토콜 볼륨에 액세스할 수 있도록 허용을 참조하세요.

• NFS 클라이언트가 최신 상태이며 운영 체제에 대한 최신 업데이트를 실행 중인지 확인합니다.

• 이중 프로토콜 볼륨은 AD DS(Active Directory Domain Services)와 Microsoft Entra Domain Services를 모두 지원합니다.

• 이중 프로토콜 볼륨은 Microsoft Entra Domain Services에서 LDAP over TLS 사용을 지원하지 않습니다. LDAP over TLS는 AD DS(Active Directory Domain Services)에서 지원됩니다. TLS를 통한 LDAP 고려 사항을 참조하세요.

• 이중 프로토콜 볼륨에서 사용하는 NFS 버전은 NFSv3 또는 NFSv4.1입니다. 다음 고려 사항이 적용됩니다.

  • 이중 프로토콜은 NFS 클라이언트의 Windows ACL 확장 특성 set/get을 지원하지 않습니다.

  • NFS 클라이언트는 NTFS 보안 스타일에 대한 권한을 변경할 수 없으며 Windows 클라이언트는 UNIX 스타일의 이중 프로토콜 볼륨에 대한 권한을 변경할 수 없습니다.

    다음 표에서는 보안 스타일 및 이에 대한 영향을 설명합니다.

    보안 스타일	사용 권한을 수정할 수 있는 클라이언트	클라이언트에서 사용할 수 있는 사용 권한	결과적으로 효과적인 보안 스타일	파일에 액세스할 수 있는 클라이언트
    Unix	NFS	NFSv3 또는 NFSv4.1 모드 비트	UNIX	NFS 및 Windows
    Ntfs	Windows	NTFS ACL	NTFS	NFS 및 Windows

  • 이름 매핑이 발생하는 방향(Windows-UNIX 또는 UNIX-Windows)은 사용되는 프로토콜과 볼륨에 적용되는 보안 스타일에 따라 달라집니다. Windows 클라이언트에는 항상 Windows-UNIX 이름 매핑이 필요합니다. 사용자에게 검토 권한이 적용되는지 여부는 보안 스타일에 따라 달라집니다. 반대로, NTFS 보안 스타일을 사용 중인 경우 NFS 클라이언트는 UNIX-Windows 이름 매핑만 사용해야 합니다.

    다음 표에서는 이름 매핑과 보안 스타일에 대해 설명합니다.

    프로토콜	보안 스타일	이름 매핑 방향	적용되는 권한
    SMB	Unix	Windows-UNIX	UNIX(모드 비트 또는 NFSv4.x ACL)
    SMB	Ntfs	Windows-UNIX	NTFS ACL(공유에 액세스하는 Windows SID 기준)
    NFSv3	Unix	없음	UNIX(모드 비트 또는 NFSv4.x ACL) NFSv4.x ACL은 NFSv4.x 관리 클라이언트를 사용하여 적용하고 NFSv3 클라이언트에 적용할 수 있습니다.
    NFS	Ntfs	UNIX-Windows	NTFS ACL(매핑된 Windows 사용자 SID 기준)

• 확장 그룹 기능이 있는 LDAP는 Unix 보안 스타일을 사용하여 [NFSv3 및 SMB] 및 [NFSv4.1 및 SMB]의 이중 프로토콜을 지원합니다. 자세한 내용은 NFS 볼륨 액세스를 위한 확장 그룹으로 AD DS LDAP 구성을 참조하세요.

• 대규모 토폴로지가 있고 이중 프로토콜 볼륨이 있는 Unix 보안 스타일 또는 확장된 그룹이 있는 LDAP를 사용하는 경우 Azure NetApp Files에 대한 Linux 클라이언트의 "액세스 거부" 오류를 방지하려면 Active Directory 연결 페이지에서 LDAP 검색 범위 옵션을 사용해야 합니다. 자세한 내용은 NFS 볼륨 액세스를 위한 확장 그룹으로 AD DS LDAP 구성을 참조하세요.

• 이중 프로토콜 볼륨을 만들기 위한 서버 루트 CA 인증서가 필요하지 않습니다. LDAP over TLS를 사용하는 경우에만 필요합니다.

• Azure NetApp Files 이중 프로토콜 및 관련 고려 사항을 이해하려면 Azure NetApp Files의 NAS 프로토콜 이해에 있는 이중 프로토콜 섹션을 참조하세요.

이중 프로토콜 볼륨 만들기

1. 용량 풀 블레이드에서 볼륨 블레이드를 클릭합니다. + 볼륨 추가를 클릭하여 볼륨을 만듭니다.

   

2. 볼륨 만들기 창에서 만들기를 클릭하고 기본 탭에서 다음 필드에 대한 정보를 제공합니다.

   • 볼륨 이름
     만들고 있는 볼륨의 이름을 지정합니다.

     볼륨에 대한 명명 규칙은 Azure 리소스에 대한 명명 규칙 및 제한을 참조하세요. 또한 default 또는 bin를 볼륨 이름으로 사용할 수 없습니다.

   • 용량 풀
     볼륨을 만들 용량 풀을 지정합니다.

   • 할당량
     볼륨에 할당되는 논리 스토리지의 크기를 지정합니다.

     사용 가능한 할당량 필드는 새 볼륨을 만들 때 사용할 수 있는 선택한 용량 풀에서 사용되지 않은 공간의 양을 보여줍니다. 새 볼륨의 크기는 사용 가능한 할당량을 초과해서는 안 됩니다.

   • 대용량 50TiB ~ 500TiB 사이의 볼륨에 대해 예를 선택합니다. 100TiB보다 큰 볼륨이 필요한 경우 아니요를 선택합니다.

     Important

     현재 대용량이 미리 보기 상태입니다. 대용량을 처음 사용하는 경우 먼저 기능을 등록하고 지역 용량 할당량 증가를 요청해야 합니다.

     크기가 50TiB에서 500TiB 사이인 볼륨은 큰 것으로 간주됩니다. 일반 볼륨은 대용량으로 변환할 수 없습니다. 대용량을 50TiB 미만으로 크기를 조정할 수 없습니다. 대용량의 요구 사항 및 고려 사항을 이해하려면 대용량 요구 사항 및 고려 사항 사용을 참조하세요. 다른 제한에 대해서는 리소스 제한을 참조하세요.

   • 처리량(MiB/S)
     볼륨이 수동 QoS 용량 풀에 생성되는 경우 원하는 처리량을 볼륨에 지정합니다.

     볼륨이 자동 QoS 용량 풀에 생성되는 경우 이 필드에 표시되는 값은 (할당량 x 서비스 수준 처리량)입니다.

   • 쿨 액세스 사용, 쿨 액세스 기간및 쿨 액세스 검색 정책
     이러한 필드는 Azure NetApp Files에서 쿨 액세스 권한이 있는 Standard Storage를 구성합니다. 자세한 내용은 쿨 액세스를 사용하여 Azure NetApp Files Standard Storage 관리를 참조하세요.

   • 가상 네트워크
     볼륨에 액세스하려는 Microsoft Azure Virtual Network(VNet)를 지정합니다.

     지정하는 VNet에는 Azure NetApp Files에 위임된 서브넷이 있어야 합니다. Azure NetApp Files는 동일한 VNet 또는 VNet 피어링을 통해 볼륨과 동일한 지역에 있는 VNet에서만 액세스할 수 있습니다. Express Route를 통해 온-프레미스 네트워크에서 볼륨에 액세스할 수도 있습니다.

   • 서브넷
     볼륨에 사용할 서브넷을 지정합니다.
     지정하는 서브넷은 Azure NetApp Files에 위임되어야 합니다.

     서브넷을 위임하지 않은 경우에는 볼륨 만들기 페이지에서 새로 만들기를 클릭할 수 있습니다. 그런 다음, 서브넷 만들기 페이지에서 서브넷 정보를 지정하고 Microsoft.NetApp/volumes를 선택하여 Azure NetApp Files의 서브넷을 위임합니다. 각 VNet에서 하나의 서브넷만 Azure NetApp Files에 위임할 수 있습니다.

     

   • 네트워크 기능
     지원되는 지역에서 볼륨에 대해 기본 또는 표준 네트워크 기능을 사용할지 여부를 지정할 수 있습니다. 자세한 내용은 볼륨에 대한 네트워크 기능 구성 및 Azure NetApp Files 네트워크 계획에 대한 지침을 참조하세요.

   • 암호화 키 원본Microsoft Managed Key 또는 Customer Managed Key를 선택할 수 있습니다. 이 필드를 사용하는 방법은 Azure NetApp Files 볼륨 암호화를 위해 고객 관리형 키 구성 및 Azure NetApp Files 미사용 이중 암호화를 참조하세요.

   • 가용성 영역
     이 옵션을 사용하면 지정한 논리적 가용성 영역에 새 볼륨을 배포할 수 있습니다. Azure NetApp Files 리소스가 있는 가용성 영역을 선택합니다. 자세한 내용은 가용성 영역 볼륨 배치 관리를 참조하세요.

   • 볼륨에 기존 스냅샷 정책을 적용하려면 고급 섹션 표시를 클릭하여 확장하고, 스냅숏 경로를 숨길지 여부를 지정한 후 풀다운 메뉴에서 스냅샷 정책을 선택합니다.

     스냅샷 정책을 만드는 방법에 대한 자세한 내용은 스냅샷 정책 관리를 참조하세요.

     

3. 프로토콜 탭을 선택하고 다음 작업을 완료합니다.

   • 볼륨의 프로토콜 유형으로 이중 프로토콜을 선택합니다.

   • 사용할 Active Directory 연결을 지정합니다.

   • 고유한 볼륨 경로를 지정합니다. 이 경로는 탑재 대상을 만들 때 사용됩니다. 경로 요구 사항은 다음과 같습니다.

     • 가용성 영역에 없는 볼륨 또는 동일한 가용성 영역에 있는 볼륨의 경우 볼륨 경로는 해당 지역의 각 서브넷 내에서 고유해야 합니다.
     • 가용성 영역에 있는 볼륨의 경우 볼륨 경로는 각 가용성 영역 내에서 고유해야 합니다. 이 기능은 현재 미리 보기로 제공되며 사용자가 기능을 등록해야 합니다. 자세한 내용은 가용성 영역 볼륨 배치 관리를 참조하세요.
     • 영문자로 시작해야 합니다.
     • 문자, 숫자 또는 대시(-)만 사용할 수 있습니다.
     • 길이가 80자를 초과해서는 안 됩니다.

   • 이중 프로토콜에 사용할 버전을 지정합니다(NFSv4.1과 SMB 또는 NFSv3과 SMB).

   • 사용할 보안 스타일을 NTFS(기본값) 또는 UNIX로 지정합니다.

   • 이중 프로토콜 볼륨에 대해 SMB3 프로토콜 암호화를 사용하도록 설정하려면 SMB3 프로토콜 암호화 사용을 선택합니다.

     이 기능을 통해 전송 중인 SMB3 데이터에 대한 암호화를 사용할 수 있습니다. 전송 중인 NFSv3 데이터는 암호화하지 않습니다. SMB3 암호화를 사용하지 않는 SMB 클라이언트는 이 볼륨에 액세스할 수 없습니다. 미사용 데이터는 이 설정에 관계없이 암호화됩니다. 자세한 내용은 SMB 암호화를 참조하세요.

   • 이중 프로토콜 볼륨 버전으로 NFSv4.1과 SMB를 선택한 경우 볼륨에 대해 Kerberos 암호화를 사용하도록 설정할지 여부를 지정합니다.

     Kerberos를 사용하려면 추가 구성이 필요합니다. NFSv4.1 Kerberos 암호화 구성의 지침을 따릅니다.

   • 액세스 기반 열거형을 사용하도록 설정하려면 액세스 기반 열거형 사용을 선택합니다.

     이 기능은 액세스 권한이 없는 사용자의 공유 아래에 만들어진 디렉터리 및 파일을 숨깁니다. 사용자는 여전히 공유를 볼 수 있습니다. 이중 프로토콜 볼륨이 NTFS 보안 스타일을 사용하는 경우에만 액세스 기반 열거형을 사용하도록 설정할 수 있습니다.

   • 탐색할 수 없는 공유 기능을 사용하도록 설정할 수 있습니다.

     이 기능은 Windows 클라이언트가 공유를 찾아보는 것을 방지합니다. 공유는 net view \\server /all 명령을 실행할 때 Windows 파일 브라우저 또는 공유 목록에 표시되지 않습니다.

   Important

   액세스 기반 열거형 및 탐색할 수 없는 공유 기능은 현재 미리 보기 상태입니다. 둘 중 하나를 처음 사용하는 경우 시작하기 전에의 단계를 참조하여 기능을 등록합니다.

   • 필요에 따라 Unix 권한을 사용자 지정하여 탑재 경로에 대한 변경 권한을 지정합니다. 탑재 경로 아래에 있는 파일에는 설정이 적용되지 않습니다. 기본 설정은 0770입니다. 이 기본 설정은 소유자와 그룹에 읽기, 쓰기, 실행 권한을 부여하지만 다른 사용자에게는 권한이 부여되지 않습니다.
     등록 요구 사항과 고려 사항은 Unix 권한 설정에 적용됩니다. Unix 권한 구성 및 소유권 모드 변경의 지침을 따릅니다.

   • 필요에 따라 볼륨에 대한 내보내기 정책을 구성합니다.

   

4. 검토 + 만들기를 클릭하여 볼륨 정보를 검토합니다. 그런 다음, 만들기를 클릭하여 볼륨을 만듭니다.

   만든 볼륨이 볼륨 페이지에 표시됩니다.

   볼륨은 해당 용량 풀에서 구독, 리소스 그룹, 위치 특성을 상속합니다. 볼륨 배포 상태를 모니터링하려면 알림 탭을 사용할 수 있습니다.

LDAP을 사용하는 로컬 NFS 사용자가 이중 프로토콜 볼륨에 액세스할 수 있도록 허용

Active Directory 연결의 LDAP를 사용하는 로컬 NFS 사용자 허용 옵션을 사용하면 Windows LDAP 서버에 없는 로컬 NFS 클라이언트 사용자가 확장된 그룹을 사용할 수 있는 LDAP가 있는 이중 프로토콜 볼륨에 액세스할 수 있습니다.

참고 항목

이 옵션을 사용하도록 설정하기 전에 고려 사항을 이해해야 합니다.
LDAP를 사용하여 로컬 NFS 사용자 허용 옵션은 확장 그룹을 사용하는 LDAP 기능의 일부이며 등록이 필요합니다. 자세한 내용은 NFS 볼륨 액세스에 대한 확장 그룹을 사용하여 AD DS LDAP 구성을 참조하세요.

1. Active Directory 연결을 선택합니다. 기존 Active Directory 연결에서 컨텍스트 메뉴(점 3개 …)를 클릭하고 편집을 선택합니다.

2. 표시되는 Active Directory 설정 편집 창에서 LDAP를 사용하여 로컬 NFS 사용자 허용 옵션을 선택합니다.

   

LDAP POSIX 특성 관리

Active Directory 사용자 및 컴퓨터 MMC 스냅인을 사용하여 UID, 홈 디렉터리 및 기타 값과 같은 POSIX 특성을 관리할 수 있습니다. 다음 예에서는 Active Directory 특성 편집기를 보여 줍니다.

LDAP 사용자 및 LDAP 그룹에 대해 다음 특성을 설정해야 합니다.

• LDAP 사용자에 필요한 특성:
  uid: Alice,
  uidNumber: 139,
  gidNumber: 555,
  objectClass: user, posixAccount
• LDAP 그룹에 대한 필수 특성:
  objectClass: group, posixGroup,
  gidNumber: 555
• 모든 사용자와 그룹에 각각 고유한 uidNumber 및 gidNumber가 있어야 합니다.

objectClass에 지정된 값은 별도의 항목입니다. 예를 들어, 다중값 문자열 편집기에서 objectClass에는 LDAP 사용자에 대해 다음과 같이 지정된 별도의 값(user 및 posixAccount)이 있습니다.

Microsoft Entra Domain Services는 조직 AADDC 사용자 OU에서 만들어진 사용자와 그룹의 objectClass POSIX 특성을 수정할 수 없습니다. 해결 방법으로, 사용자 지정 OU를 만들고 사용자 지정 OU에 사용자와 그룹을 만들 수 있습니다.

Microsoft Entra 테넌시의 사용자와 그룹을 AADDC 사용자 OU의 사용자와 그룹에 동기화하면, 사용자와 그룹을 사용자 지정 OU로 이동할 수 없습니다. 사용자 지정 OU에 생성된 사용자와 그룹은 AD 테넌트에 동기화되지 않습니다. 자세한 내용은 Microsoft Entra Domain Services 사용자 지정 OU 고려 사항 및 제한 사항을 참조하세요.

Active Directory 특성 편집기 액세스

Windows 시스템에서 다음과 같이 Active Directory 특성 편집기에 액세스할 수 있습니다.

1. 시작을 클릭하고 Windows 관리 도구로 이동한 다음, Active Directory 사용자 및 컴퓨터를 클릭하여 Active Directory 사용자 및 컴퓨터 창을 엽니다.
2. 보려는 도메인 이름을 클릭하고 콘텐츠를 펼칩니다.
3. 고급 특성 편집기를 표시하려면 Active Directory 사용자 컴퓨터 보기 메뉴에서 고급 기능 옵션을 사용하도록 설정합니다.
   
4. 왼쪽 창에서 사용자를 두 번 클릭하여 사용자 목록을 표시합니다.
5. 특정 사용자를 두 번 클릭하여 해당 특성 편집기 탭을 표시합니다.

NFS 클라이언트 구성

NFS 클라이언트를 구성하려면 Azure NetApp Files에 대한 NFS 클라이언트 구성의 지침을 따르세요.

다음 단계

• Azure NetApp Files 이중 프로토콜 볼륨 고려 사항
• Azure NetApp Files에 대한 가용성 영역 볼륨 배치 관리
• 대용량 요구 사항 및 고려 사항
• NFSv4.1 Kerberos 암호화 구성
• Azure NetApp Files에 대한 NFS 클라이언트 구성
• Unix 권한 구성 및 소유권 모드 변경
• Azure NetApp Files용 TLS를 통한 AD DS LDAP 구성
• NFS 볼륨 액세스를 위한 확장 그룹으로 AD DS LDAP 구성
• Azure NetApp Files의 볼륨 오류 문제 해결
• Azure NetApp Files에 대한 애플리케이션 복원력 FAQ