Elastic SAN의 네트워킹 구성에 대해 알아보기
Azure Elastic SAN(저장 영역 네트워크)을 사용하면 애플리케이션 및 엔터프라이즈 환경에 필요한 Elastic SAN 볼륨에 대한 액세스 수준을 보호하고 제어할 수 있습니다. 이 문서에서는 사용자 및 애플리케이션이 Azure 가상 네트워크 인프라에서 Elastic SAN 볼륨에 액세스할 수 있도록 허용하는 옵션을 설명합니다.
특정 가상 네트워크 서브넷의 특정 엔드포인트를 통해서만 액세스를 허용하도록 Elastic SAN 볼륨 그룹을 구성할 수 있습니다. 허용되는 서브넷은 동일한 구독의 가상 네트워크 또는 다른 Microsoft Entra 테넌트에 속하는 구독을 포함하여 다른 구독의 가상 네트워크에 속할 수 있습니다. 볼륨 그룹에 대해 네트워크 액세스가 구성되면 해당 구성은 그룹에 속한 모든 볼륨에서 상속됩니다.
구성에 따라 피어링된 가상 네트워크 또는 온-프레미스 네트워크의 애플리케이션도 그룹의 볼륨에 액세스할 수 있습니다. 온-프레미스 네트워크는 VPN 또는 ExpressRoute를 통해 가상 네트워크에 연결되어야 합니다. 가상 네트워크 구성에 대한 자세한 내용은 Azure Virtual Network 인프라를 참조하세요.
Elastic SAN 볼륨 그룹에 대한 액세스를 허용하도록 구성할 수 있는 두 가지 유형의 가상 네트워크 엔드포인트가 있습니다.
가장 적합한 옵션을 결정하려면 프라이빗 엔드포인트 및 서비스 엔드포인트 비교를 참조하세요. 일반적으로 Private Link는 더 나은 기능을 제공하므로 서비스 엔드포인트 대신 프라이빗 엔드포인트를 사용해야 합니다. 자세한 내용은 Azure Private Link를 참조하세요.
엔드포인트를 구성한 후 Elastic SAN 볼륨 그룹에 대한 액세스를 추가로 제어하도록 네트워크 규칙을 구성할 수 있습니다. 엔드포인트 및 네트워크 규칙이 구성되면 클라이언트는 그룹의 볼륨에 연결하여 워크로드를 처리할 수 있습니다.
공용 네트워크 액세스
SAN 수준에서 Elastic SAN 엔드포인트에 대한 공용 인터넷 액세스를 사용하거나 사용하지 않도록 설정할 수 있습니다. Elastic SAN에 대한 공용 네트워크 액세스를 사용하도록 설정하면 스토리지 서비스 엔드포인트를 통해 해당 SAN의 개별 볼륨 그룹에 대한 공용 액세스를 구성할 수 있습니다. 기본적으로 개별 볼륨 그룹에 대한 공용 액세스는 SAN 수준에서 허용하더라도 거부됩니다. SAN 수준에서 공용 액세스를 사용하지 않도록 설정하면 해당 SAN 내의 볼륨 그룹에 대한 액세스는 프라이빗 엔드포인트를 통해서만 가능합니다.
데이터 무결성
데이터 무결성은 클라우드 스토리지의 데이터 손상을 방지하는 데 중요합니다. TCP는 체크섬 메커니즘을 통해 기본 수준의 데이터 무결성을 제공하며, 특히 CRC-32C(순환 중복 검사)를 사용하여 보다 강력한 오류 검색을 통해 iSCSI를 통해 향상될 수 있습니다. CRC-32C를 사용하여 iSCSI 헤더 및 데이터 페이로드에 대한 체크섬 확인을 추가할 수 있습니다.
Elastic SAN은 탄력적 SAN 볼륨에 연결하기 위해 클라이언트 쪽에서 사용하도록 설정된 경우 CRC-32C 체크섬 확인을 지원합니다. Elastic SAN은 볼륨 그룹 수준에서 설정할 수 있는 속성을 통해 이 오류 검색을 적용하는 기능도 제공합니다. 이 속성은 해당 볼륨 그룹 내의 모든 볼륨에서 상속됩니다. 볼륨 그룹에서 이 속성을 사용하도록 설정하면 CRC-32C가 해당 연결의 헤더 또는 데이터 다이제스트에 대해 설정되지 않은 경우 Elastic SAN은 볼륨 그룹의 모든 볼륨에 대한 모든 클라이언트 연결을 거부합니다. 이 속성을 사용하지 않도록 설정하면 Elastic SAN 볼륨 체크섬 확인은 클라이언트의 헤더 또는 데이터 다이제스트에 대해 CRC-32C가 설정되어 있는지 여부에 따라 달라지지만 Elastic SAN은 연결을 거부하지 않습니다. CRC 보호를 사용하도록 설정하는 방법을 알아보려면 네트워킹 구성을 참조 하세요.
참고 항목
일부 운영 체제는 iSCSI 헤더 또는 데이터 다이제스트를 지원하지 않을 수 있습니다. Fedora 및 Red Hat Enterprise Linux, CentOS, Rocky Linux 등과 같은 다운스트림 Linux 배포판은 데이터 다이제스트를 지원하지 않습니다. 볼륨에 대한 연결이 실패하기 때문에 클라이언트가 iSCSI 헤더 또는 데이터 다이제스트를 지원하지 않는 이러한 운영 체제를 사용하는 경우 볼륨 그룹에서 CRC 보호를 사용하도록 설정하지 마세요.
스토리지 서비스 엔드포인트
Azure Virtual Network 서비스 엔드포인트는 Azure 백본 네트워크에서 최적화된 경로를 사용하여 Azure 서비스에 대한 안전한 직접 연결을 제공합니다. 서비스 엔드포인트를 사용하면 특정 가상 네트워크만 액세스할 수 있도록 중요한 Azure 서비스 리소스를 보호할 수 있습니다.
Azure Storage에 대한 지역 간 서비스 엔드포인트는 모든 지역의 가상 네트워크와 스토리지 서비스 인스턴스 간에 작동합니다. 지역 간 서비스 엔드포인트를 사용하면 서브넷은 더 이상 공용 IP 주소를 사용하여 다른 지역의 스토리지 계정을 포함한 모든 스토리지 계정과 통신하지 않습니다. 대신, 서브넷에서 스토리지 계정으로 가는 모든 트래픽은 개인 IP 주소를 원본 IP로 사용합니다.
팁
Microsoft.Storage로 식별된 원래 로컬 서비스 엔드포인트는 이전 버전과의 호환성을 위해 계속 지원되지만 새 배포를 위해 Microsoft.Storage.Global로 식별되는 지역 간 엔드포인트를 만들어야 합니다.
지역 간 서비스 엔드포인트와 로컬 엔드포인트는 동일한 서브넷에 공존할 수 없습니다. 지역 간 서비스 엔드포인트를 사용하려면 기존 Microsoft.Storage 엔드포인트를 삭제하고 Microsoft.Storage.Global로 다시 만들어야 할 수 있습니다.
프라이빗 엔드포인트
Azure Private Link를 사용하면 가상 네트워크 서브넷에서 프라이빗 엔드포인트를 통해 Elastic SAN 볼륨 그룹에 안전하게 액세스할 수 있습니다. 가상 네트워크와 서비스 간의 트래픽은 Microsoft 백본 네트워크를 트래버스하여 퍼블릭 인터넷에 서비스가 노출되지 않도록 합니다. Elastic SAN 프라이빗 엔드포인트는 각 볼륨 그룹에 대한 서브넷 주소 공간의 IP 주소 집합을 사용합니다. 엔드포인트당 사용되는 최대 수는 20개입니다.
프라이빗 엔드포인트는 서비스 엔드포인트에 비해 몇 가지 이점이 있습니다. 프라이빗 엔드포인트와 서비스 엔드포인트를 완전히 비교하려면 프라이빗 엔드포인트와 서비스 엔드포인트 비교를 참조하세요.
제한 사항
현재 ZRS(영역 중복 스토리지)를 사용하는 탄력적 SAN에는 프라이빗 엔드포인트가 지원되지 않습니다.
작동 방식
가상 네트워크와 Elastic SAN 간의 트래픽은 Azure 백본 네트워크의 최적의 경로를 통해 라우팅됩니다. 서비스 엔드포인트와 달리 스토리지 방화벽은 퍼블릭 엔드포인트를 통한 액세스만 제어하므로 프라이빗 엔드포인트의 트래픽을 허용하도록 네트워크 규칙을 구성할 필요가 없습니다.
프라이빗 엔드포인트를 구성하는 방법에 대한 자세한 내용은 프라이빗 엔드포인트 사용을 참조하세요.
가상 네트워크 규칙
Elastic SAN 볼륨에 대한 액세스를 더욱 안전하게 보호하려면 서비스 엔드포인트로 구성된 볼륨 그룹에 대한 가상 네트워크 규칙을 만들어 특정 서브넷의 액세스를 허용할 수 있습니다. 스토리지 방화벽은 퍼블릭 엔드포인트를 통한 액세스만 제어하므로 프라이빗 엔드포인트의 트래픽을 허용하는 네트워크 규칙이 불필요합니다.
각 볼륨 그룹은 최대 200개의 가상 네트워크 규칙을 지원합니다. 네트워크 규칙에 포함된 서브넷을 삭제하면 볼륨 그룹에 대한 네트워크 규칙에서 제거됩니다. 동일한 이름으로 새 서브넷을 만들면 볼륨 그룹에 액세스할 수 없습니다. 액세스를 허용하려면 볼륨 그룹에 대한 네트워크 규칙에서 새 서브넷에 명시적으로 권한을 부여해야 합니다.
이러한 네트워크 규칙을 통해 액세스 권한이 부여된 클라이언트에는 볼륨 그룹에 대한 적절한 Elastic SAN 권한도 부여되어야 합니다.
네트워크 규칙을 정의하는 방법을 알아보려면 가상 네트워크 규칙 관리를 참조하세요.
클라이언트 연결
원하는 엔드포인트를 사용하도록 설정하고 네트워크 규칙에서 액세스 권한을 부여한 후에는 iSCSI 프로토콜을 사용하여 적절한 Elastic SAN 볼륨에 연결할 수 있습니다. 클라이언트 연결을 구성하는 방법을 알아보려면 Linux, Windows 또는 Azure Kubernetes Service 클러스터에 연결하는 방법에 대한 문서를 참조하세요.
iSCSI 세션은 하루 종일 주기적으로 연결을 끊었다가 다시 연결할 수 있습니다. 이러한 연결 끊김 및 재연결은 정기적인 유지 관리의 일부이거나 네트워크 변동의 결과입니다. 이러한 연결 끊김 및 재연결로 인해 성능 저하가 발생해서는 안 되며 연결이 저절로 다시 설정되어야 합니다. 연결이 자동으로 다시 설정되지 않거나 성능 저하가 발생하는 경우 지원 티켓을 제출합니다.
참고 항목
VM(가상 머신)과 Elastic SAN 볼륨 간의 연결이 끊어지면 연결이 종료될 때까지 90초 동안 다시 시도됩니다. Elastic SAN 볼륨에 대한 연결이 끊어지는 경우 VM이 다시 시작되지 않습니다.