Azure NetApp Files에 대한 이중 프로토콜 볼륨 만들기
Azure NetApp Files에서는 NFS(NFSv3 또는 NFSv4.1), SMB3 또는 이중 프로토콜(NFSv3 및 SMB 또는 NFSv4.1 및 SMB)을 사용하여 볼륨 만들기를 지원합니다. 이 문서에서는 LDAP 사용자 매핑을 지원하는 이중 프로토콜을 사용하는 볼륨을 만드는 방법을 보여 줍니다.
NFS 볼륨을 만들려면 NFS 볼륨 만들기를 참조하세요. SMB 볼륨을 만들려면 SMB 볼륨 만들기를 참조하세요.
시작하기 전에
Important
사용자 지정 RBAC/IAM 역할을 사용하는 경우 볼륨을 만들거나 업데이트하려면 Microsoft.Network/virtualNetworks/subnets/read
권한이 구성되어 있어야 합니다.
권한에 대한 자세한 내용과 권한 구성을 확인하려면 Azure Portal을 사용하여 Azure 사용자 지정 역할 만들기 또는 업데이트를 참조하세요.
Important
Windows Server 2025는 현재 Azure NetApp Files SMB 프로토콜에서 작동하지 않습니다.
- 용량 풀이 이미 만들어져 있어야 합니다.
용량 풀 만들기를 참조하세요. - Azure NetApp Files에 서브넷을 위임해야 합니다.
Azure NetApp Files에 서브넷 위임을 참조하세요. - 50~100GiB 사이의 볼륨 할당량을 설정하는 기능은 현재 미리 보기 단계에 있습니다. 50GiB 볼륨을 만들려면 먼저 해당 기능에 등록해야 합니다.
기능을 등록합니다.
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANF50GiBVolumeSize
기능 등록 상태를 확인합니다.
참고 항목
RegistrationState는
Registered
로 변경되기 전까지 최대 60분 동안Registering
상태일 수 있습니다. 상태가Registered
이 될 때까지 기다린 후에 계속하세요.Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANF50GiBVolumeSize
Azure CLI 명령
az feature register
및az feature show
를 사용하여 기능을 등록하고 등록 상태를 표시할 수도 있습니다.
고려 사항
Active Directory 연결에 대한 요구 사항을 충족하는지 확인합니다.
DNS 서버에 역방향 조회 영역을 만든 다음 이 역방향 조회 영역에 AD 호스트 컴퓨터의 포인터(PTR) 레코드를 추가합니다. 그렇지 않으면 듀얼 프로토콜 볼륨 만들기가 실패합니다.
Active Directory 연결의 LDAP를 사용하는 로컬 NFS 사용자 허용 옵션은 로컬 사용자에게 간헐적이고 일시적인 액세스를 제공하기 위한 것입니다. 이 옵션을 사용하도록 설정하면 LDAP 서버에서 사용자 인증 및 조회가 중단되고 Azure NetApp Files에서 지원하는 그룹 멤버 자격 수가 16개로 제한됩니다. 따라서 로컬 사용자가 LDAP 사용 볼륨에 액세스해야 하는 경우를 제외하고 Active Directory 연결에서 이 옵션을 ‘사용 안 함’으로 유지해야 합니다. 해당 경우에는 볼륨에 대한 로컬 사용자 액세스가 더 이상 필요하지 않은 즉시 이 옵션을 사용하지 않도록 설정해야 합니다. 로컬 사용자 액세스를 관리하는 방법에 대한 자세한 내용은 LDAP를 사용하는 로컬 NFS 사용자가 이중 프로토콜 볼륨에 액세스할 수 있도록 허용을 참조하세요.
NFS 클라이언트가 최신 상태이며 운영 체제에 대한 최신 업데이트를 실행 중인지 확인합니다.
이중 프로토콜 볼륨은 AD DS(Active Directory Domain Services)와 Microsoft Entra Domain Services를 모두 지원합니다.
이중 프로토콜 볼륨은 Microsoft Entra Domain Services에서 LDAP over TLS 사용을 지원하지 않습니다. LDAP over TLS는 AD DS(Active Directory Domain Services)에서 지원됩니다. TLS를 통한 LDAP 고려 사항을 참조하세요.
이중 프로토콜 볼륨에서 사용하는 NFS 버전은 NFSv3 또는 NFSv4.1입니다. 다음 고려 사항이 적용됩니다.
이중 프로토콜은 NFS 클라이언트의 Windows ACL 확장 특성
set/get
을 지원하지 않습니다.NFS 클라이언트는 NTFS 보안 스타일에 대한 권한을 변경할 수 없으며 Windows 클라이언트는 UNIX 스타일의 이중 프로토콜 볼륨에 대한 권한을 변경할 수 없습니다.
다음 표에서는 보안 스타일 및 이에 대한 영향을 설명합니다.
보안 스타일 사용 권한을 수정할 수 있는 클라이언트 클라이언트에서 사용할 수 있는 사용 권한 결과적으로 효과적인 보안 스타일 파일에 액세스할 수 있는 클라이언트 Unix
NFS NFSv3 또는 NFSv4.1 모드 비트 UNIX NFS 및 Windows Ntfs
Windows NTFS ACL NTFS NFS 및 Windows 이름 매핑이 발생하는 방향(Windows-UNIX 또는 UNIX-Windows)은 사용되는 프로토콜과 볼륨에 적용되는 보안 스타일에 따라 달라집니다. Windows 클라이언트에는 항상 Windows-UNIX 이름 매핑이 필요합니다. 사용자에게 검토 권한이 적용되는지 여부는 보안 스타일에 따라 달라집니다. 반대로, NTFS 보안 스타일을 사용 중인 경우 NFS 클라이언트는 UNIX-Windows 이름 매핑만 사용해야 합니다.
다음 표에서는 이름 매핑과 보안 스타일에 대해 설명합니다.
프로토콜 보안 스타일 이름 매핑 방향 적용되는 권한 SMB Unix
Windows-UNIX UNIX(모드 비트 또는 NFSv4.x ACL) SMB Ntfs
Windows-UNIX NTFS ACL(공유에 액세스하는 Windows SID 기준) NFSv3 Unix
없음 UNIX(모드 비트 또는 NFSv4.x ACL)
NFSv4.x ACL은 NFSv4.x 관리 클라이언트를 사용하여 적용하고 NFSv3 클라이언트에 적용할 수 있습니다.NFS Ntfs
UNIX-Windows NTFS ACL(매핑된 Windows 사용자 SID 기준)
확장 그룹 기능이 있는 LDAP는 Unix 보안 스타일을 사용하여 [NFSv3 및 SMB] 및 [NFSv4.1 및 SMB]의 이중 프로토콜을 지원합니다. 자세한 내용은 NFS 볼륨 액세스를 위한 확장 그룹으로 AD DS LDAP 구성을 참조하세요.
대규모 토폴로지가 있고 이중 프로토콜 볼륨이 있는 Unix 보안 스타일 또는 확장된 그룹이 있는 LDAP를 사용하는 경우 Azure NetApp Files에 대한 Linux 클라이언트의 "액세스 거부" 오류를 방지하려면 Active Directory 연결 페이지에서 LDAP 검색 범위 옵션을 사용해야 합니다. 자세한 내용은 NFS 볼륨 액세스를 위한 확장 그룹으로 AD DS LDAP 구성을 참조하세요.
이중 프로토콜 볼륨을 만들기 위한 서버 루트 CA 인증서가 필요하지 않습니다. LDAP over TLS를 사용하는 경우에만 필요합니다.
Azure NetApp Files 이중 프로토콜 및 관련 고려 사항을 이해하려면 Azure NetApp Files의 NAS 프로토콜 이해에 있는 이중 프로토콜 섹션을 참조하세요.
이중 프로토콜 볼륨 만들기
용량 풀 블레이드에서 볼륨 블레이드를 선택합니다. + 볼륨 추가를 선택하여 볼륨을 만듭니다.
볼륨 만들기 창에서 만들기를 선택하고 기본 사항 탭 아래에 있는 다음 필드에 정보를 제공합니다.
볼륨 이름
만들고 있는 볼륨의 이름을 지정합니다.볼륨에 대한 명명 규칙은 Azure 리소스에 대한 명명 규칙 및 제한을 참조하세요. 또한
default
또는bin
를 볼륨 이름으로 사용할 수 없습니다.용량 풀
볼륨을 만들 용량 풀을 지정합니다.할당량
볼륨에 할당되는 논리 스토리지의 크기를 지정합니다.사용 가능한 할당량 필드는 새 볼륨을 만들 때 사용할 수 있는 선택한 용량 풀에서 사용되지 않은 공간의 양을 보여줍니다. 새 볼륨의 크기는 사용 가능한 할당량을 초과해서는 안 됩니다.
대용량 볼륨
일반 볼륨 할당량은 50GiB ~ 100TiB 사이입니다. 대용량 볼륨 할당량의 크기는 50TiB~1PiB입니다. 볼륨 할당량을 대용량 볼륨 범위에 포함시키려면 예를 선택합니다. 볼륨 할당량은 GiB 단위로 입력됩니다.
Important
대용량을 처음 사용하는 경우 먼저 기능을 등록하고 지역 용량 할당량 증가를 요청해야 합니다.
일반 볼륨은 대용량으로 변환할 수 없습니다. 대용량 볼륨은 50TiB 미만으로 크기를 조정할 수 없습니다. 대용량 볼륨에 대한 요구 사항 및 고려 사항을 이해하려면 대용량 볼륨에 대한 요구 사항 및 고려 사항을 참조하세요. 다른 제한에 대해서는 리소스 제한을 참조하세요.
처리량(MiB/S)
볼륨이 수동 QoS 용량 풀에 생성되는 경우 원하는 처리량을 볼륨에 지정합니다.볼륨이 자동 QoS 용량 풀에 생성되는 경우 이 필드에 표시되는 값은 (할당량 x 서비스 수준 처리량)입니다.
쿨 액세스 사용, 쿨 액세스 기간및 쿨 액세스 검색 정책
이러한 필드는 쿨 액세스를 통한 Azure NetApp Files 스토리지를 구성합니다. 설명은 쿨 액세스로 Azure NetApp Files 스토리지 관리를 참조하세요.가상 네트워크
볼륨에 액세스하려는 Microsoft Azure Virtual Network(VNet)를 지정합니다.지정하는 VNet에는 Azure NetApp Files에 위임된 서브넷이 있어야 합니다. Azure NetApp Files는 동일한 VNet 또는 VNet 피어링을 통해 볼륨과 동일한 지역에 있는 VNet에서만 액세스할 수 있습니다. Express Route를 통해 온-프레미스 네트워크에서 볼륨에 액세스할 수도 있습니다.
서브넷
볼륨에 사용할 서브넷을 지정합니다.
지정하는 서브넷은 Azure NetApp Files에 위임되어야 합니다.서브넷을 위임하지 않은 경우 볼륨 만들기 페이지에서 새로 만들기를 선택할 수 있습니다. 그런 다음, 서브넷 만들기 페이지에서 서브넷 정보를 지정하고 Microsoft.NetApp/volumes를 선택하여 Azure NetApp Files의 서브넷을 위임합니다. 각 VNet에서 하나의 서브넷만 Azure NetApp Files에 위임할 수 있습니다.
네트워크 기능
지원되는 지역에서 볼륨에 대해 기본 또는 표준 네트워크 기능을 사용할지 여부를 지정할 수 있습니다. 자세한 내용은 볼륨에 대한 네트워크 기능 구성 및 Azure NetApp Files 네트워크 계획에 대한 지침을 참조하세요.암호화 키 원본
Microsoft Managed Key
또는Customer Managed Key
를 선택할 수 있습니다. 이 필드를 사용하는 방법은 Azure NetApp Files 볼륨 암호화를 위해 고객 관리형 키 구성 및 Azure NetApp Files 미사용 이중 암호화를 참조하세요.가용성 영역
이 옵션을 사용하면 지정한 논리적 가용성 영역에 새 볼륨을 배포할 수 있습니다. Azure NetApp Files 리소스가 있는 가용성 영역을 선택합니다. 자세한 내용은 가용성 영역 볼륨 배치 관리를 참조하세요.볼륨에 기존 스냅샷 정책을 적용하려면 고급 섹션 표시를 선택하여 확장하고, 스냅샷 경로를 숨길지 여부를 지정하고, 풀다운 메뉴에서 스냅샷 정책을 선택합니다.
스냅샷 정책을 만드는 방법에 대한 자세한 내용은 스냅샷 정책 관리를 참조하세요.
프로토콜 탭을 선택하고 다음 작업을 완료합니다.
볼륨의 프로토콜 유형으로 이중 프로토콜을 선택합니다.
사용할 Active Directory 연결을 지정합니다.
고유한 볼륨 경로를 지정합니다. 이 경로는 탑재 대상을 만들 때 사용됩니다. 경로 요구 사항은 다음과 같습니다.
- 가용성 영역에 없는 볼륨 또는 동일한 가용성 영역에 있는 볼륨의 경우 볼륨 경로는 해당 지역의 각 서브넷 내에서 고유해야 합니다.
- 가용성 영역에 있는 볼륨의 경우 볼륨 경로는 각 가용성 영역 내에서 고유해야 합니다. 자세한 내용은 가용성 영역 볼륨 배치 관리를 참조하세요.
- 영문자로 시작해야 합니다.
- 문자, 숫자 또는 대시(
-
)만 사용할 수 있습니다. - 길이가 80자를 초과해서는 안 됩니다.
이중 프로토콜에 사용할 버전을 지정합니다(NFSv4.1과 SMB 또는 NFSv3과 SMB).
사용할 보안 스타일을 NTFS(기본값) 또는 UNIX로 지정합니다.
이중 프로토콜 볼륨에 대해 SMB3 프로토콜 암호화를 사용하도록 설정하려면 SMB3 프로토콜 암호화 사용을 선택합니다.
이 기능을 통해 전송 중인 SMB3 데이터에 대한 암호화를 사용할 수 있습니다. 전송 중인 NFSv3 데이터는 암호화하지 않습니다. SMB3 암호화를 사용하지 않는 SMB 클라이언트는 이 볼륨에 액세스할 수 없습니다. 미사용 데이터는 이 설정에 관계없이 암호화됩니다. 자세한 내용은 SMB 암호화를 참조하세요.
이중 프로토콜 볼륨 버전으로 NFSv4.1과 SMB를 선택한 경우 볼륨에 대해 Kerberos 암호화를 사용하도록 설정할지 여부를 지정합니다.
Kerberos를 사용하려면 추가 구성이 필요합니다. NFSv4.1 Kerberos 암호화 구성의 지침을 따릅니다.
액세스 기반 열거형을 사용하도록 설정하려면 액세스 기반 열거형 사용을 선택합니다.
액세스 기반 열거형은 액세스 권한이 없는 사용자에게 공유 아래에 만들어진 디렉터리와 파일을 숨깁니다. 여전히 공유 내용을 볼 수 있습니다. 이중 프로토콜 볼륨이 NTFS 보안 스타일을 사용하는 경우에만 액세스 기반 열거형을 사용하도록 설정할 수 있습니다.
탐색할 수 없는 공유 기능을 사용하도록 설정할 수 있습니다.
이 기능은 Windows 클라이언트가 공유를 찾아보는 것을 방지합니다. 공유는
net view \\server /all
명령을 실행할 때 Windows 파일 브라우저 또는 공유 목록에 표시되지 않습니다.필요에 따라 Unix 권한을 사용자 지정하여 탑재 경로에 대한 변경 권한을 지정합니다. 탑재 경로 아래에 있는 파일에는 설정이 적용되지 않습니다. 기본 설정은
0770
입니다. 이 기본 설정은 소유자와 그룹에 읽기, 쓰기, 실행 권한을 부여하지만 다른 사용자에게는 권한이 부여되지 않습니다.
등록 요구 사항과 고려 사항은 Unix 권한 설정에 적용됩니다. Unix 권한 구성 및 소유권 모드 변경의 지침을 따릅니다.필요에 따라 볼륨에 대한 내보내기 정책을 구성합니다.
검토 + 만들기를 선택하여 볼륨 정보를 검토합니다. 그런 다음 만들기를 선택하여 볼륨을 만듭니다.
만든 볼륨이 볼륨 페이지에 표시됩니다.
볼륨은 해당 용량 풀에서 구독, 리소스 그룹, 위치 특성을 상속합니다. 볼륨 배포 상태를 모니터링하려면 알림 탭을 사용할 수 있습니다.
LDAP을 사용하는 로컬 NFS 사용자가 이중 프로토콜 볼륨에 액세스할 수 있도록 허용
Active Directory 연결의 LDAP를 사용하는 로컬 NFS 사용자 허용 옵션을 사용하면 Windows LDAP 서버에 없는 로컬 NFS 클라이언트 사용자가 확장된 그룹을 사용할 수 있는 LDAP가 있는 이중 프로토콜 볼륨에 액세스할 수 있습니다.
참고 항목
이 옵션을 사용하도록 설정하기 전에 고려 사항을 이해해야 합니다.
LDAP를 사용하여 로컬 NFS 사용자 허용 옵션은 확장 그룹을 사용하는 LDAP 기능의 일부이며 등록이 필요합니다. 자세한 내용은 NFS 볼륨 액세스에 대한 확장 그룹을 사용하여 AD DS LDAP 구성을 참조하세요.
Active Directory 연결을 선택합니다. 기존 Active Directory 연결에서 바로 가기 메뉴(세 개의 점
…
)를 선택한 다음 편집을 선택합니다.표시되는 Active Directory 설정 편집 창에서 LDAP를 사용하여 로컬 NFS 사용자 허용 옵션을 선택합니다.
LDAP POSIX 특성 관리
Active Directory 사용자 및 컴퓨터 MMC 스냅인을 사용하여 UID, 홈 디렉터리 및 기타 값과 같은 POSIX 특성을 관리할 수 있습니다. 다음 예에서는 Active Directory 특성 편집기를 보여 줍니다.
LDAP 사용자 및 LDAP 그룹에 대해 다음 특성을 설정해야 합니다.
- LDAP 사용자에 필요한 특성:
uid: Alice
,
uidNumber: 139
,
gidNumber: 555
,
objectClass: user, posixAccount
- LDAP 그룹에 대한 필수 특성:
objectClass: group, posixGroup
,
gidNumber: 555
- 모든 사용자와 그룹에 각각 고유한
uidNumber
및gidNumber
가 있어야 합니다.
objectClass
에 지정된 값은 별도의 항목입니다. 예를 들어, 다중값 문자열 편집기에서 objectClass
에는 LDAP 사용자에 대해 다음과 같이 지정된 별도의 값(user
및 posixAccount
)이 있습니다.
Microsoft Entra Domain Services는 조직 AADDC 사용자 OU에서 만들어진 사용자와 그룹의 objectClass POSIX 특성을 수정할 수 없습니다. 해결 방법으로, 사용자 지정 OU를 만들고 사용자 지정 OU에 사용자와 그룹을 만들 수 있습니다.
Microsoft Entra 테넌시의 사용자와 그룹을 AADDC 사용자 OU의 사용자와 그룹에 동기화하면, 사용자와 그룹을 사용자 지정 OU로 이동할 수 없습니다. 사용자 지정 OU에서 만들어진 사용자와 그룹은 AD 테넌트와 동기화되지 않습니다. 자세한 내용은 Microsoft Entra Domain Services 사용자 지정 OU 고려 사항 및 제한 사항을 참조하세요.
Active Directory 특성 편집기 액세스
Windows 시스템에서 다음과 같이 Active Directory 특성 편집기에 액세스할 수 있습니다.
- 시작을 선택하고 Windows 관리 도구로 이동합니다. 그런 다음 Active Directory 사용자 및 컴퓨터를 선택하여 Active Directory 사용자 및 컴퓨터 창을 엽니다.
- 보려는 도메인 이름을 선택하고 콘텐츠를 펼칩니다.
- 고급 특성 편집기를 표시하려면 Active Directory 사용자 컴퓨터 보기 메뉴에서 고급 기능 옵션을 사용하도록 설정합니다.
- 왼쪽 창에서 사용자를 선택하면 사용자 목록을 볼 수 있습니다.
- 특정 사용자를 선택하면 해당 특성 편집기 탭을 볼 수 있습니다.
NFS 클라이언트 구성
NFS 클라이언트를 구성하려면 Azure NetApp Files에 대한 NFS 클라이언트 구성의 지침을 따르세요.
다음 단계
- Azure NetApp Files 이중 프로토콜 볼륨 고려 사항
- Azure NetApp Files에 대한 가용성 영역 볼륨 배치 관리
- 대용량 요구 사항 및 고려 사항
- NFSv4.1 Kerberos 암호화 구성
- Azure NetApp Files에 대한 NFS 클라이언트 구성
- Unix 권한 구성 및 소유권 모드 변경
- Azure NetApp Files용 TLS를 통한 AD DS LDAP 구성
- NFS 볼륨 액세스를 위한 확장 그룹으로 AD DS LDAP 구성
- Azure NetApp Files의 볼륨 오류 문제 해결
- Azure NetApp Files에 대한 애플리케이션 복원력 FAQ