Azure Storage Mover 에이전트를 등록하는 방법
Azure Storage Mover 서비스는 서비스에서 구성한 마이그레이션 작업을 수행하는 에이전트를 활용합니다. 에이전트는 원본 스토리지에 가까운 가상화 호스트에서 실행하는 가상 머신 기반 어플라이언스입니다.
Storage Mover 리소스와 신뢰 관계를 만들려면 에이전트를 등록해야 합니다. 이 신뢰를 사용하면 에이전트가 마이그레이션 작업을 안전하게 수신하고 진행 상황을 보고할 수 있습니다. 에이전트 등록은 Storage Mover 리소스의 퍼블릭 또는 프라이빗 엔드포인트를 통해 발생할 수 있습니다. 리소스에 대한 프라이빗 링크라고도 하는 프라이빗 엔드포인트는 Azure VNet(가상 네트워크)에 배포할 수 있습니다.
온-프레미스 회사 네트워크와 같은 다른 네트워크에서 Azure VNET에 연결할 수 있습니다. 이 유형의 연결은 Azure Express Route와 같은 VPN 연결을 통해 수행됩니다. 이 방법에 대한 자세한 내용은 Azure ExpressRoute 및 Azure Private Link 설명서를 참조하세요.
Important
현재는 Private Link를 통해 에이전트에서 대상 스토리지 계정으로 마이그레이션 데이터를 라우팅하도록 Storage Mover를 구성할 수 있습니다. 하이브리드 컴퓨팅 하트비트 및 인증서를 VNet(가상 네트워크)의 프라이빗 Azure Arc 서비스 엔드포인트로 라우팅할 수도 있습니다. 일부 Storage Mover 트래픽은 Private Link를 통해 라우팅할 수 없으며 Storage Mover 리소스의 퍼블릭 엔드포인트를 통해 라우팅됩니다. 이 데이터에는 제어 메시지, 진행 상황 원격 분석 및 복사 로그가 포함됩니다.
이 문서에서는 이전에 배포된 Storage Mover 에이전트 VM(가상 머신)을 성공적으로 등록하는 방법을 알아봅니다.
필수 조건
Azure Storage Mover 에이전트를 등록하기 전에 완료해야 할 두 가지 필수 조건이 있습니다.
Azure Storage Mover 리소스가 배포되어 있어야 합니다.
Storage Mover 리소스 만들기 문서의 단계에 따라 선택한 Azure 구독 및 지역에 이 리소스를 배포합니다.Azure Storage Mover 에이전트 VM을 배포해야 합니다.
Azure Storage Mover 에이전트 VM 배포 문서의 단계에 따라 에이전트 VM을 만들고 인터넷에 연결합니다.
등록 개요
에이전트 등록 프로세스는 에이전트와 Storage Mover 클라우드 리소스 간에 신뢰를 만듭니다. 이 신뢰를 통해 에이전트를 원격으로 관리하고 실행할 마이그레이션 작업을 할당할 수 있습니다.
등록은 항상 에이전트에서 시작됩니다. 보안을 위해 에이전트만 Storage Mover 서비스에 연결하여 신뢰를 설정할 수 있습니다. 등록 프로시저는 이전에 배포한 Storage Mover 리소스에 대한 Azure 자격 증명 및 권한을 활용합니다. Storage Mover 클라우드 리소스 또는 에이전트 VM이 아직 배포되지 않은 경우 필수 조건 섹션을 참조하세요.
1단계: 에이전트 VM에 연결
에이전트 VM은 어플라이언스입니다. 이 컴퓨터에서 수행할 수 있는 작업을 제한하는 관리 셸을 제공합니다. 에이전트에 연결하면 셸이 로드되고 직접 상호 작용할 수 있는 옵션이 제공됩니다. 그러나 에이전트 VM은 Linux 기반 어플라이언스이며 복사 및 붙여넣기 기능은 기본 호스트 창 내에서 작동하지 않는 경우가 많습니다.
호스트 창을 사용하는 대신 SSH 연결을 사용하는 것이 좋습니다. 이 방법에는 다음과 같은 장점이 있습니다.
- 모든 관리 컴퓨터에서 에이전트 VM의 셸에 연결할 수 있으며 호스트에 로그인할 필요가 없습니다.
- 복사/붙여넣기가 완벽하게 지원됩니다.
에이전트와 동일한 서브넷에 있는 컴퓨터에서 ssh 명령을 실행합니다.
ssh <AgentIpAddress> -l admin
Important
새로 배포된 Storage Mover 에이전트의 기본 암호:
로컬 사용자: admin
기본 암호: admin
새로 배포된 에이전트에 처음 연결한 직후 기본 암호를 변경하라는 메시지가 표시됩니다. 새 암호를 기록해 두세요. 복구할 수 있는 프로세스가 없습니다. 암호를 분실하면 관리 셸에서 잠깁니다. 클라우드 관리에는 이 로컬 관리자 암호가 필요하지 않습니다. 에이전트가 이전에 등록된 경우 마이그레이션 작업에 계속 사용할 수 있습니다. 에이전트는 일회용입니다. 실행 중인 현재 마이그레이션 작업 이상의 가치는 거의 없습니다. 항상 새 에이전트를 배포하고 이를 대신 사용하여 다음 마이그레이션 작업을 실행할 수 있습니다.
2단계: 네트워크 연결 테스트
에이전트가 인터넷에 연결되어 있어야 합니다.
관리 셸에 로그인하면 에이전트 연결 상태를 테스트할 수 있습니다.
1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit
xdmsh> 2
메뉴 항목 2) 네트워크 구성을 선택합니다.
1) Show network configuration
2) Update network configuration
3) Test network connectivity
4) Quit
Choice: 3
메뉴 항목 3) 네트워크 연결 테스트를 선택합니다.
Important
네트워크 연결 테스트에서 문제가 반환되지 않는 경우에만 등록 단계를 진행합니다.
3단계: 에이전트 등록
이 단계에서는 Azure 구독에 배포한 Storage Mover 리소스에 에이전트를 등록합니다. 에이전트의 관리 셸에 연결한 다음 메뉴 항목 4) 등록을 선택합니다.
1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit
xdmsh> 4
다음을 묻는 메시지가 표시됩니다.
구독 ID
리소스 그룹 이름
Storage Mover 리소스 이름
에이전트 이름: 이 이름은 Azure Portal에서 에이전트에 대해 표시됩니다. 이 에이전트 VM을 명확하게 식별하는 이름을 선택합니다. 지원되는 이름을 선택하려면 리소스 명명 규칙을 참조하세요.
프라이빗 링크 범위: 프라이빗 네트워킹을 활용하는 경우 프라이빗 링크 범위의 정규화된 리소스 ID를 제공합니다. Azure Private Link에 대한 자세한 내용은 Azure Private Link 설명서 문서에서 확인할 수 있습니다.
Important
Private Link를 통해 데이터를 마이그레이션하도록 Storage Mover를 구성한 경우 프라이빗 링크 범위의 정규화된 리소스 ID를 제공해야 합니다. 예:
/subscriptions/[GUID]/resourceGroups/myGroup/providers/Microsoft.HybridCompute/privateLinkScopes/myScope
.
이러한 값을 제공하면 에이전트가 등록을 시도합니다. 등록 프로세스 중에 구독 및 Storage Mover 리소스에 대한 권한이 있는 자격 증명을 사용하여 Azure에 로그인해야 합니다.
Important
등록에 사용하는 Azure 자격 증명에는 지정된 리소스 그룹 및 Storage Mover 리소스에 대한 소유자 권한이 있어야 합니다.
인증을 위해 에이전트는 Microsoft Entra ID와 함께 디바이스 인증 흐름을 활용합니다.
에이전트는 디바이스 인증 URL: https://microsoft.com/devicelogin 및 고유한 로그인 코드를 표시합니다. 인터넷에 연결된 컴퓨터에서 표시된 URL로 이동하여 코드를 입력하고 자격 증명을 사용하여 Azure에 로그인합니다.
에이전트가 자세한 진행 상황을 표시합니다. 등록이 완료되면 Azure Portal에서 에이전트를 볼 수 있습니다. 에이전트를 등록한 Storage Mover 리소스의 등록된 에이전트 아래에 있습니다.
인증 및 권한 부여
Azure로 원활한 인증을 수행하고 다양한 Azure 리소스에 대한 권한 부여를 수행하기 위해 에이전트는 다음 Azure 서비스에 등록됩니다.
- Azure Storage Mover(Microsoft.StorageMover)
- Azure Arc(Microsoft.HybridCompute)
Azure Storage Mover 서비스
Azure Storage Mover 서비스에 대한 등록은 Azure 구독에 배포한 Storage Mover 리소스를 통해 보고 관리할 수 있습니다. 등록된 에이전트는 ARM(Azure Resource Manager) 리소스입니다. 등록 프로세스를 통해서만 이 리소스를 만들 수 있습니다. 모든 Azure Resource Manager 클라이언트에서 리소스에 대한 세부 정보를 쿼리할 수 있습니다. 클라이언트에는 Azure Portal, Az PowerShell 모듈 PowerShell 및 Az PowerShell 모듈 CLI가 포함됩니다.
기호화하는 특정 에이전트 VM에 마이그레이션 작업을 할당하려는 경우 이 ARM(Azure Resource Manager) 리소스를 참조할 수 있습니다.
Azure Arc 서비스
에이전트는 Azure Arc 서비스에도 등록되어 있습니다. Arc는 이 등록된 에이전트에 대해 Microsoft Entra 관리 ID를 할당하고 유지하는 데 사용됩니다.
Azure Storage Mover는 시스템 할당 관리 ID를 사용합니다. 관리 ID는 Azure 리소스에서만 사용할 수 있는 특수 유형의 서비스 주체입니다. 관리 ID가 삭제되면 해당하는 서비스 주체도 자동으로 제거됩니다.
에이전트 등록을 취소하면 삭제 프로세스가 자동으로 시작됩니다. 그러나 이 ID를 제거하는 다른 방법이 있습니다. 이렇게 하면 등록된 에이전트가 무력화되고 에이전트를 등록 취소해야 합니다. 등록 프로세스에서만 에이전트가 Azure ID를 적절하게 얻고 유지하도록 할 수 있습니다.
참고 항목
공개 미리 보기 중에는 Azure Arc 서비스에 등록하는 부작용이 있습니다. Server-Azure Arc 형식의 별도 리소스도 Storage Mover 리소스와 동일한 리소스 그룹에 배포됩니다. 이 리소스를 통해 에이전트를 관리할 수 없습니다.
Server-Azure Arc 리소스를 통해 스토리지 이동 에이전트의 측면을 관리할 수 있는 것처럼 보일 수 있지만 대부분의 경우 관리할 수 없습니다. Storage Mover 리소스의 등록된 에이전트 창 또는 로컬 관리 셸을 통해 에이전트를 제외적으로 관리하는 것이 가장 좋습니다.
Warning
Storage Mover 리소스와 동일한 리소스 그룹에 등록된 에이전트에 대해 만들어진 Azure Arc 서버 리소스를 삭제하지 마세요. 이 리소스를 삭제할 수 있는 유일한 안전한 시간은 이 리소스에 해당하는 에이전트를 이전에 등록 취소했을 때입니다.
Authorization
등록된 에이전트는 구독의 여러 서비스 및 리소스에 액세스할 수 있는 권한이 부여되어야 합니다. 관리 ID는 ID를 증명하는 방법입니다. 그런 다음 Azure 서비스 또는 리소스는 에이전트가 액세스 권한이 있는지 여부를 결정할 수 있습니다.
에이전트는 Storage Mover 서비스와 대화할 수 있는 권한이 자동으로 부여됩니다. 예를 들어, 에이전트 등록을 취소하여 관리 ID를 삭제하지 않는 한 이 권한 부여를 보거나 영향을 미칠 수 없습니다.
Just-In-Time 권한 부여
마이그레이션 작업의 경우 대상 엔드포인트에 대한 액세스는 아마도 에이전트에 권한을 부여해야 하는 가장 중요한 리소스일 것입니다. 권한 부여는 역할 기반 액세스 제어를 통해 이루어집니다. Azure Blob 컨테이너를 대상으로 하는 경우 등록된 에이전트의 관리 ID는 전체 스토리지 계정이 아닌 대상 컨테이너의 기본 제공 역할 Storage Blob Data Contributor
에 할당됩니다. 마찬가지로 Azure 파일 공유 대상에 액세스하는 경우 등록된 에이전트의 관리 ID는 기본 제공 역할 Storage File Data Privileged Contributor
에 할당됩니다.
이러한 할당은 Azure Portal의 관리자 로그인 컨텍스트에서 이루어집니다. 따라서 관리자는 대상 컨테이너에 대한 RBAC(역할 기반 액세스 제어) 컨트롤 플레인 역할 "소유자"의 멤버여야 합니다. 이 할당은 마이그레이션 작업을 시작할 때 Just-In-Time에 이루어집니다. 이 시점에서 마이그레이션 작업을 실행할 에이전트를 선택했습니다. 이 시작 작업의 일부로 대상 컨테이너의 데이터 평면에 대한 권한이 에이전트에 부여됩니다. 에이전트는 대상 컨테이너 삭제 또는 기능 구성과 같은 관리 평면 작업을 수행할 수 있는 권한이 없습니다.
Warning
마이그레이션 작업을 실행하기 위해 Just-In-Time에 특정 에이전트에 액세스 권한이 부여됩니다. 그러나 에이전트의 대상 액세스 권한은 자동으로 제거되지 않습니다. 특정 대상에서 에이전트의 관리 ID를 수동으로 제거하거나 에이전트 등록을 취소하여 서비스 주체를 제거해야 합니다. 이 작업은 모든 대상 스토리지 권한 부여와 에이전트가 Storage Mover 및 Azure Arc 서비스와 통신하는 기능을 제거합니다.
다음 단계
데이터 마이그레이션을 준비하기 위해 원본 및 대상 엔드포인트를 정의합니다.