Azure Files에 대한 Azure 잘 설계된 프레임워크 관점
Azure Files는 클라우드용 Microsoft 파일 스토리지 솔루션입니다. Azure Files는 클라우드, 온-프레미스 또는 둘 다에서 클라이언트에 탑재할 수 있는 SMB(서버 메시지 블록) 및 NFS(네트워크 파일 시스템) 파일 공유를 제공합니다. Azure 파일 동기화 사용하여 로컬 Windows 서버에서 SMB 파일 공유를 캐시하고 자주 사용되지 않는 파일을 클라우드로 계층화할 수도 있습니다.
이 문서에서는 설계자로서 스토리지 옵션을 검토하고 워크로드를 실행할 스토리지 서비스로 Azure Files를 선택했다고 가정합니다. 이 문서의 지침은 Azure Well-Architected Framework 핵심 요소의 원칙에 매핑되는 아키텍처 권장 사항을 제공합니다.
Important
이 가이드를 사용하는 방법
각 섹션에는 기술 범위로 지역화된 디자인 전략과 함께 중요한 아키텍처 영역을 제공하는 디자인 검사 목록이 있습니다.
또한 이러한 전략을 구현하는 데 도움이 될 수 있는 기술 기능에 대한 권장 사항도 포함되어 있습니다. 권장 사항은 Azure Files 및 해당 종속성에 사용할 수 있는 모든 구성의 전체 목록을 나타내지 않습니다. 대신 디자인 관점에 매핑된 주요 권장 사항을 나열합니다. 권장 사항을 사용하여 개념 증명을 빌드하거나 기존 환경을 최적화합니다.
안정성
안정성 핵심 요소의 목적은 충분한 복원력과 오류로부터 빠르게 복구할 수 있는 기능을 구축하여 지속적인 기능을 제공하는 것입니다.
안정성 디자인 원칙은 개별 구성 요소, 워크로드, 시스템 흐름 및 시스템 전체에 적용되는 고급 디자인 전략을 제공합니다.
디자인 검사 목록
안정성에 대한 디자인 검토 검사 목록을 기반으로 디자인 전략을 시작합니다.
오류 모드 분석 사용: 가상 네트워크, Azure Key Vault 또는 Azure Content Delivery Network 또는 Azure Front Door 엔드포인트의 가용성과 같은 내부 종속성을 고려하여 실패 지점을 최소화합니다. Azure Files에 액세스하기 위해 자격 증명이 필요하고 Key Vault에서 자격 증명이 누락된 경우 오류가 발생할 수 있습니다. 또는 워크로드에서 누락된 콘텐츠 배달 네트워크를 기반으로 하는 엔드포인트를 사용하는 경우 오류가 발생할 수 있습니다. 이러한 경우 대체 엔드포인트에 연결하도록 워크로드를 구성해야 할 수 있습니다. 오류 모드 분석에 대한 일반적인 내용은 실패 모드 분석을 수행하기 위한 권장 사항을 참조 하세요.
안정성 및 복구 목표 정의: Azure SLA(서비스 수준 계약)를 검토합니다. 스토리지 계정에 대한 SLO(서비스 수준 목표)를 파생합니다. 예를 들어 선택한 중복 구성은 SLO에 영향을 줄 수 있습니다. 지역 중단의 영향, 데이터 손실 가능성 및 중단 후 액세스를 복원하는 데 필요한 시간을 고려합니다. 또한 오류 모드 분석의 일부로 식별한 내부 종속성의 가용성을 고려합니다.
데이터 중복성 구성: 최대 내구성을 위해 가용성 영역 또는 전역 지역에서 데이터를 복사하는 구성을 선택합니다. 최대 가용성을 위해 클라이언트가 주 지역의 중단 중에 보조 지역에서 데이터를 읽을 수 있도록 하는 구성을 선택합니다.
애플리케이션 디자인: 주 지역을 사용할 수 없는 경우 보조 지역에서 데이터를 읽을 수 있도록 원활하게 전환하도록 애플리케이션 을 디자인합니다. 이 디자인 고려 사항은 GRS(지역 중복 스토리지) 및 GZRS(지역 영역 중복 스토리지) 구성에만 적용됩니다. 가동 중단을 적절하게 처리하도록 애플리케이션을 디자인하여 고객의 가동 중지 시간을 줄입니다.
복구 대상을 충족하는 데 도움이 되는 기능을 살펴봅니다. 손상된 파일, 편집 또는 삭제된 파일을 복구할 수 있도록 파일을 복원할 수 있도록 합니다.
복구 계획 만들기: 데이터 보호 기능, 백업 및 복원 작업 또는 장애 조치(failover) 절차를 고려합니다. 잠재적인 데이터 손실 및 데이터 불일치 및 장애 조치(failover) 시간과 비용을 준비합니다. 자세한 내용은 재해 복구 전략 설계에 대한 권장 사항을 참조 하세요.
잠재적 가용성 문제 모니터링: Azure Service Health 대시보드를 구독하여 잠재적인 가용성 문제를 모니터링합니다. Azure Monitor에서 스토리지 메트릭 및 진단 로그를 사용하여 경고를 조사합니다.
권장 사항
| 추천 | 장점 |
|---|---|
| 중복성을 위해 스토리지 계정을 구성합니다. 최대 가용성 및 내구성을 위해 ZRS(영역 중복 스토리지), GRS 또는 GZRS를 사용하여 계정을 구성합니다. 제한된 Azure 지역은 표준 및 프리미엄 파일 공유에 대해 ZRS를 지원합니다. 표준 SMB 계정만 GRS 및 GZRS를 지원합니다. 프리미엄 SMB 공유 및 NFS 공유는 GRS 및 GZRS를 지원하지 않습니다. Azure Files는 RA-GRS(읽기 액세스 지역 중복 스토리지) 또는 RA-GZRS(읽기 액세스 지역 영역 중복 스토리지)를 지원하지 않습니다. RA-GRS 또는 RA-GZRS를 사용하도록 스토리지 계정을 구성하는 경우 파일 공유가 GRS 또는 GZRS로 구성되고 요금이 청구됩니다. |
중복성은 예기치 않은 오류로부터 데이터를 보호합니다. ZRS 및 GZRS 구성 옵션은 다양한 가용성 영역에 복제되며 애플리케이션이 중단 중에 데이터를 계속 읽을 수 있도록 합니다. 자세한 내용은 가동 중단 시나리오 및 내구성 및 가용성 매개 변수별 내구성 및 가용성을 참조하세요. |
| 장애 조치(failover) 또는 장애 복구(failback)를 시작하기 전에 마지막 동기화 시간 속성의 값을 확인하여 데이터 손실 가능성을 평가합니다. 이 권장 사항은 GRS 및 GZRS 구성에만 적용됩니다. | 이 속성을 사용하면 계정 장애 조치(failover)를 시작할 경우 손실될 수 있는 데이터의 양을 예측할 수 있습니다. 마지막 동기화 시간 전에 작성된 모든 데이터 및 메타데이터는 보조 지역에서 사용할 수 있지만, 보조 지역에 기록되지 않았기 때문에 마지막 동기화 시간 이후에 작성된 데이터 및 메타데이터가 손실될 수 있습니다. |
| 백업 및 복구 전략의 일환으로 일시 삭제를 사용하도록 설정하고 특정 시점 복원에 스냅샷을 사용합니다. Azure Backup을 사용하여 SMB 파일 공유를 백업할 수 있습니다. Azure 파일 동기화 사용하여 온-프레미스 SMB 파일 공유를 Azure 파일 공유에 백업할 수도 있습니다. 또한 Azure Backup을 사용하면 악의적인 행위자 또는 악의적인 관리자로 인한 랜섬웨어 공격 또는 원본 데이터 손실로부터 데이터를 보호하기 위해 Azure Files의 자격 증명 모음 백업(미리 보기)을 수행할 수 있습니다. Azure Backup은 자격 증명 모음 백업을 사용하여 Recovery Services 자격 증명 모음에 데이터를 복사하고 저장합니다. 이렇게 하면 최대 99년 동안 보존할 수 있는 데이터의 오프사이트 복사본이 만들어집니다. Azure Backup은 백업 정책에 정의된 일정과 보존에 따라 복구 지점을 만들고 관리합니다. 자세히 알아보기. |
일시 삭제는 Azure 파일 공유가 실수로 삭제되지 않도록 보호하기 위해 파일 공유 수준에서 작동합니다. 특정 시점 복원은 파일 공유를 이전 상태로 복원할 수 있으므로 실수로 인한 삭제 또는 손상으로부터 보호합니다. 자세한 내용은 데이터 보호 개요를 참조하세요. |
보안
보안 핵심 요소의 목적은 워크로드에 대해 기밀성, 무결성 및 가용성을 보증하는 데 있습니다.
보안 디자인 원칙은 파일 스토리지 구성의 기술 디자인에 접근 방식을 적용하여 이러한 목표를 달성하기 위한 높은 수준의 디자인 전략을 제공합니다.
보안 요구 사항 및 권장 사항은 워크로드가 SMB 또는 NFS 프로토콜을 사용하여 파일 공유에 액세스하는지 여부에 따라 달라집니다. 따라서 다음 섹션에는 SMB 및 NFS 파일 공유에 대한 별도의 디자인 검사 목록과 권장 사항이 있습니다.
보안 요구 사항이 다르기 때문에 SMB 및 NFS 파일 공유를 별도의 스토리지 계정에 유지하는 것이 가장 좋습니다. 이 방법을 사용하여 워크로드에 강력한 보안 및 높은 유연성을 제공합니다.
SMB 파일 공유에 대한 디자인 검사 목록
보안에 대한 디자인 검토 검사 목록을 기반으로 디자인 전략을 시작합니다. 보안 상태를 개선하기 위해 취약성 및 컨트롤을 식별합니다. 필요에 따라 더 많은 접근 방식을 포함하도록 전략을 확장합니다.
Azure Storage의 보안 기준을 검토합니다. 시작 하려면 Storage에 대한 보안 기준을 검토합니다.
네트워크 컨트롤을 사용하여 수신 및 송신 트래픽을 제한하는 것이 좋습니다. ID 기반 인증을 사용하여 파일 공유에 대한 액세스 권한을 부여하는 경우와 같이 특정 조건에서 스토리지 계정을 공용 인터넷에 노출하는 것이 편할 수 있습니다. 그러나 네트워크 컨트롤을 사용하여 사용자 및 애플리케이션에 필요한 최소 액세스 수준을 부여하는 것이 좋습니다. 자세한 내용은 스토리지 계정의 네트워크 보안에 접근하는 방법을 참조하세요.
공격 노출 영역 줄이기: 전송 중 암호화를 사용하고 비안전(HTTP) 연결에 대한 액세스를 방지하여 공격 표면을 줄입니다. 최신 버전의 TLS(전송 계층 보안) 프로토콜을 사용하여 클라이언트가 데이터를 보내고 받도록 요구합니다.
스토리지 계정 키 사용 최소화: ID 기반 인증은 스토리지 계정 키를 사용하는 것보다 뛰어난 보안을 제공합니다. 그러나 파일 소유권을 가져오는 기능을 포함하여 파일 공유에 대한 모든 관리 권한을 얻으려면 스토리지 계정 키를 사용해야 합니다. 보안 주체에게 작업을 수행하는 데 필요한 권한만 부여합니다.
중요한 정보 보호: 스토리지 계정 키 및 암호와 같은 중요한 정보를 보호합니다. 이러한 형태의 권한 부여를 사용하지 않는 것이 좋지만, 그렇게 하는 경우 안전하게 회전, 만료 및 저장해야 합니다.
위협 감지: Microsoft Defender for Storage를 사용하여 SMB 또는 FileREST 프로토콜을 통해 Azure 파일 공유에 액세스하거나 악용하려는 잠재적으로 유해한 시도를 감지할 수 있습니다. 구독 관리자는 의심스러운 활동에 대한 세부 정보 및 위협을 조사하고 수정하는 방법에 대한 권장 사항과 함께 이메일 경고를 받습니다. Defender for Storage는 Azure 파일 공유에 대한 바이러스 백신 기능을 지원하지 않습니다. 스토리지용 Defender를 사용하는 경우 트랜잭션이 많은 파일 공유에 상당한 비용이 발생하므로 특정 스토리지 계정에 대해 Defender for Storage를 옵트아웃하는 것이 좋습니다.
SMB 파일 공유에 대한 권장 사항
| 추천 | 장점 |
|---|---|
| 스토리지 계정에 Azure Resource Manager 잠금 을 적용합니다. | 실수로 또는 악의적인 스토리지 계정 삭제를 방지하기 위해 계정을 잠그면 데이터가 손실될 수 있습니다. |
| TCP 포트 445 아웃바운드를 열거나 Azure 외부의 클라이언트가 파일 공유에 액세스하도록 VPN Gateway 또는 Azure ExpressRoute 연결을 설정합니다. | SMB 3.x는 인터넷에서 안전한 프로토콜이지만 조직 또는 ISP 정책을 변경할 수 없는 경우도 있습니다. VPN 게이트웨이 또는 ExpressRoute 연결을 대체 옵션으로 사용할 수 있습니다. |
| 포트 445를 여는 경우 Windows 및 Linux 클라이언트에서 SMBv1을 사용하지 않도록 설정해야 합니다. Azure Files는 SMB 1을 지원하지 않지만 클라이언트에서 SMB 1을 사용하지 않도록 설정해야 합니다. | SMB 1은 오래되고, 비효율적이며, 안전하지 않은 프로토콜입니다. 클라이언트에서 사용하지 않도록 설정하여 보안 상태를 개선합니다. |
| 스토리지 계정에 대한 공용 네트워크 액세스를 사용하지 않도록 설정하는 것이 좋습니다. Azure 외부에 있는 SMB 클라이언트 및 서비스가 스토리지 계정에 액세스해야 하는 경우에만 공용 네트워크 액세스를 사용하도록 설정합니다. 공용 네트워크 액세스를 사용하지 않도록 설정하면 스토리지 계정에 대한 프라이빗 엔드포인트 를 만듭니다. 프라이빗 엔드포인트에 대한 표준 데이터 처리 속도가 적용됩니다. 프라이빗 엔드포인트는 퍼블릭 엔드포인트에 대한 연결을 차단하지 않습니다. 앞에서 설명한 대로 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. 파일 공유에 고정 IP 주소가 필요하지 않고 프라이빗 엔드포인트 비용을 방지하려는 경우 특정 가상 네트워크 및 IP 주소에 대한 퍼블릭 엔드포인트 액세스를 대신 제한할 수 있습니다. |
네트워크 트래픽은 공용 인터넷 대신 Microsoft 백본 네트워크를 통해 이동하므로 공용 인터넷에서 위험 노출이 제거됩니다. |
| 특정 가상 네트워크에 대한 액세스를 제한하는 방화벽 규칙을 사용하도록 설정합니다. 0개의 액세스 권한으로 시작한 다음, 클라이언트 및 서비스에 필요한 최소한의 액세스 권한을 체계적으로 증분 방식으로 제공합니다. | 공격자에 대한 개방을 만들 위험을 최소화합니다. |
| 가능하면 AES-256 Kerberos 티켓 암호화를 사용하여 ID 기반 인증을 사용하여 SMB Azure 파일 공유에 대한 액세스 권한을 부여합니다. | ID 기반 인증을 사용하여 스토리지 계정 키를 사용하여 파일 공유에 액세스할 가능성을 줄입니다. |
| 스토리지 계정 키를 사용하는 경우 Key Vault에 저장하고 주기적으로 다시 생성해야 합니다. 공유의 SMB 보안 설정에서 NTLMv2를 제거하여 파일 공유에 대한 스토리지 계정 키 액세스를 완전히 허용하지 않을 수 있습니다. 그러나 일반적으로 관리자가 일부 작업에 계정 키를 사용해야 하므로 공유의 SMB 보안 설정에서 NTLMv2를 제거해서는 안 됩니다. |
Key Vault를 사용하여 애플리케이션과 함께 키를 저장하는 대신 런타임에 키를 검색합니다. 또한 Key Vault를 사용하면 애플리케이션을 중단하지 않고 키를 쉽게 회전할 수 있습니다. 악의적인 공격에 데이터를 노출할 위험을 줄이기 위해 계정 키를 주기적으로 회전합니다. |
| 대부분의 경우 SMB 파일 공유에 대한 전송 중 암호화를 사용하도록 설정하려면 모든 스토리지 계정에서 보안 전송 필수 옵션을 사용하도록 설정해야 합니다. 아주 오래된 클라이언트가 공유에 액세스할 수 있도록 허용해야 하는 경우 이 옵션을 사용하도록 설정하지 마세요. 보안 전송을 사용하지 않도록 설정하는 경우 네트워크 컨트롤을 사용하여 트래픽을 제한해야 합니다. |
이 설정은 스토리지 계정에 대해 수행되는 모든 요청이 HTTPS(보안 연결)를 통해 수행되도록 합니다. HTTP를 통한 모든 요청은 실패합니다. |
| TLS 1.2가 클라이언트가 데이터를 보내고 받을 수 있는 최소 버전이 되도록 스토리지 계정을 구성합니다. | TLS 1.2는 최신 암호화 알고리즘 및 암호화 도구 모음을 지원하지 않는 TLS 1.0 및 1.1보다 더 안전하고 빠릅니다. |
| 가장 최근에 지원되는 SMB 프로토콜 버전(현재 3.1.1.)만 사용하고 SMB 채널 암호화에 AES-256-GCM만 사용합니다. Azure Files는 조직의 요구 사항에 따라 SMB 프로토콜을 토글하고 더 호환되거나 더 안전하게 만드는 데 사용할 수 있는 설정을 노출합니다. 기본적으로 모든 SMB 버전이 허용됩니다. 그러나 SMB 2.1은 전송 중인 데이터의 암호화를 지원하지 않으므로 보안 전송 필요를 사용하도록 설정하면 SMB 2.1이 허용되지 않습니다. 이러한 설정을 높은 수준의 보안으로 제한하면 일부 클라이언트가 파일 공유에 연결하지 못할 수 있습니다. |
Windows 10과 함께 릴리스된 SMB 3.1.1에는 중요한 보안 및 성능 업데이트가 포함되어 있습니다. AES-256-GCM은 보다 안전한 채널 암호화를 제공합니다. |
NFS 파일 공유에 대한 디자인 검사 목록
스토리지에 대한 보안 기준을 검토합니다. 시작하려면 Storage에 대한 보안 기준을 검토합니다.
조직의 보안 요구 사항 이해: NFS Azure 파일 공유는 NFSv4.1 프로토콜을 사용하는 Linux 클라이언트만 지원하며, 4.1 프로토콜 사양의 대부분의 기능을 지원합니다. Kerberos 인증, ACL(액세스 제어 목록) 및 전송 중인 암호화와 같은 일부 보안 기능은 지원되지 않습니다.
네트워크 수준 보안 및 컨트롤을 사용하여 수신 및 송신 트래픽을 제한합니다. NFS Azure 파일 공유에는 ID 기반 인증을 사용할 수 없으므로 네트워크 수준 보안 및 컨트롤을 사용하여 사용자 및 애플리케이션에 필요한 최소 액세스 수준을 부여해야 합니다. 자세한 내용은 스토리지 계정의 네트워크 보안에 접근하는 방법을 참조하세요.
NFS 파일 공유에 대한 권장 사항
| 추천 | 장점 |
|---|---|
| 스토리지 계정에 Resource Manager 잠금을 적용합니다. | 실수로 또는 악의적인 스토리지 계정 삭제를 방지하기 위해 계정을 잠그면 데이터가 손실될 수 있습니다. |
| NFS 공유를 탑재하려는 클라이언트에서 포트 2049를 열어야 합니다. | 클라이언트가 NFS Azure 파일 공유와 통신할 수 있도록 포트 2049를 엽니다. |
| NFS Azure 파일 공유는 제한된 네트워크를 통해서만 액세스할 수 있습니다. 따라서 스토리지 계정에 대한 프라이빗 엔드포인트를 만들거나 선택한 가상 네트워크 및 IP 주소에 대한 퍼블릭 엔드포인트 액세스를 제한해야 합니다. 프라이빗 엔드포인트를 만드는 것이 좋습니다. Azure Files는 NFS 프로토콜을 사용하여 전송 중인 암호화를 지원하지 않으므로 NFS 공유에 대한 네트워크 수준 보안을 구성해야 합니다. NFS Azure 파일 공유를 사용하려면 스토리지 계정에서 보안 전송 필요 설정을 사용하지 않도록 설정해야 합니다. 프라이빗 엔드포인트에 표준 데이터 처리 속도가 적용됩니다. 파일 공유에 고정 IP 주소가 필요하지 않고 프라이빗 엔드포인트의 비용을 방지하려는 경우 대신 퍼블릭 엔드포인트 액세스를 제한할 수 있습니다. |
네트워크 트래픽은 공용 인터넷 대신 Microsoft 백본 네트워크를 통해 이동하므로 공용 인터넷에서 위험 노출이 제거됩니다. |
| 스토리지 계정 수준에서 스토리지 계정 키 액세스를 허용하지 않는 것이 좋습니다. NFS 파일 공유를 탑재하려면 이 액세스 권한이 필요하지 않습니다. 그러나 파일 소유권을 가져오는 기능을 포함하여 파일 공유를 완전히 관리하려면 스토리지 계정 키를 사용해야 합니다. | 스토리지 계정 키를 사용하여 스토리지 계정을 더 안전하게 만들 수 없습니다. |
비용 최적화
비용 최적화는 비즈니스 요구 사항을 충족하면서 지출 패턴을 감지하고, 중요한 영역에 대한 투자의 우선 순위를 지정하고, 조직의 예산을 충족하도록 다른 영역에서 최적화하는 데 중점을 둡니다.
비용 최적화 디자인 원칙은 이러한 목표를 달성하고 파일 스토리지 및 해당 환경과 관련된 기술 디자인에서 필요에 따라 장단위를 만들기 위한 높은 수준의 디자인 전략을 제공합니다.
디자인 검사 목록
투자 비용 최적화를 위한 디자인 검토 검사 목록을 기반으로 디자인 전략을 시작합니다. 워크로드가 워크로드에 할당된 예산에 맞게 조정되도록 디자인을 미세 조정합니다. 디자인은 적절한 Azure 기능을 사용하고, 투자를 모니터링하고, 시간이 지남에 따라 최적화할 기회를 찾아야 합니다.
워크로드에 프리미엄 파일 공유(Azure Premium SSD)의 성능이 필요한지 또는 Azure Standard HDD 스토리지가 충분한지 결정합니다. 필요한 스토리지 유형에 따라 스토리지 계정 유형 및 청구 모델을 결정합니다. IOPS(초당 많은 양의 입력/출력 작업), 매우 빠른 데이터 전송 속도 또는 매우 짧은 대기 시간이 필요한 경우 프리미엄 Azure 파일 공유를 선택해야 합니다. NFS Azure 파일 공유는 프리미엄 계층에서만 사용할 수 있습니다. NFS 및 SMB 파일 공유는 프리미엄 계층에서 동일한 가격입니다.
파일 공유에 대한 스토리지 계정을 만들고 중복 수준을 선택합니다. 표준(GPv2) 또는 프리미엄(FileStorage) 계정을 선택합니다. 선택하는 중복 수준은 비용에 영향을 줍니다. 중복성이 높을수록 비용이 높아질 수 있습니다. LRS(로컬 중복 스토리지)가 가장 저렴합니다. GRS는 표준 SMB 파일 공유에만 사용할 수 있습니다. 표준 파일 공유는 스토리지 계정 수준에서만 트랜잭션 정보를 표시하므로 전체 청구 가시성을 보장하기 위해 각 스토리지 계정에 하나의 파일 공유만 배포하는 것이 좋습니다.
청구서 계산 방법 이해: 표준 Azure 파일 공유는 종량제 모델을 제공합니다. 프리미엄 공유는 특정 용량, IOPS 및 처리량을 미리 지정하고 지불하는 프로비전된 모델을 사용합니다. 종량제 모델에서 미터는 계정에 저장된 데이터의 양 또는 용량, 해당 데이터의 사용량에 따라 트랜잭션의 수와 유형을 추적합니다. 종량제 모델은 사용하는 것에 대해서만 지불하므로 비용 효율적일 수 있습니다. 종량제 모델을 사용하면 성능 요구 사항 또는 수요 변동에 따라 스토리지를 과도하게 프로비전하거나 프로비전 해제할 필요가 없습니다.
그러나 최종 사용자 사용으로 인해 비용이 증가하므로 예산 프로세스의 일부로 스토리지를 계획하기가 어려울 수 있습니다. 프로비전된 모델을 사용하면 트랜잭션이 청구에 영향을 주지 않으므로 비용을 예측하기 쉽습니다. 그러나 사용 여부에 관계없이 프로비전된 스토리지 용량에 대한 비용을 지불합니다. 비용을 계산하는 방법에 대한 자세한 내용은 Azure Files 청구 이해를 참조 하세요.
용량 및 작업 비용 예측: Azure 가격 계산기를 사용하여 데이터 스토리지, 수신 및 송신과 관련된 비용을 모델링할 수 있습니다. 다양한 지역, 계정 유형 및 중복 구성과 관련된 비용을 비교합니다. 자세한 내용은 Azure Files 가격 책정을 참조 하세요.
가장 비용 효율적인 액세스 계층을 선택합니다. 표준 SMB Azure 파일 공유는 트랜잭션 최적화, 핫 및 쿨의 세 가지 액세스 계층을 제공합니다. 세 계층은 모두 동일한 표준 스토리지 하드웨어에 저장됩니다. 이 세 계층의 주요 차이점은 쿨 계층에서 낮은 미사용 스토리지 가격의 데이터와 쿨러 계층에서 더 높은 트랜잭션 가격입니다. 자세한 내용은 표준 계층의 차이점을 참조 하세요.
필요한 부가 가치 서비스 결정: Azure Files는 Backup, Azure 파일 동기화 및 Storage용 Defender와 같은 부가 가치 서비스와의 통합을 지원합니다. 이러한 솔루션에는 자체 라이선스 및 제품 비용이 있지만 파일 스토리지에 대한 총 소유 비용의 일부로 간주되는 경우가 많습니다. Azure 파일 동기화 사용하는 경우 다른 비용 측면을 고려합니다.
가드레일 만들기: 구독 및 리소스 그룹을 기반으로 예산을 만듭니다. 거버넌스 정책을 사용하여 리소스 종류, 구성 및 위치를 제한합니다. 또한 RBAC(역할 기반 액세스 제어)를 사용하여 과다 지출로 이어질 수 있는 작업을 차단합니다.
비용 모니터링: 비용이 예산 내에서 유지되는지 확인하고, 예측과 비용을 비교하고, 초과 지출이 발생하는 위치를 확인합니다. Azure Portal의 비용 분석 창을 사용하여 비용을 모니터링할 수 있습니다. 비용 데이터를 스토리지 계정으로 내보내고 Excel 또는 Power BI를 사용하여 해당 데이터를 분석할 수도 있습니다.
사용량 모니터링: 사용 패턴을 지속적으로 모니터링하여 사용되지 않거나 사용되지 않는 스토리지 계정 및 파일 공유를 검색합니다. 예기치 않은 용량 증가를 확인합니다. 이는 수많은 로그 파일 또는 일시 삭제된 파일을 수집하고 있음을 나타낼 수 있습니다. 파일을 삭제하거나 파일을 보다 비용 효율적인 액세스 계층으로 이동하기 위한 전략을 개발합니다.
권장 사항
| 추천 | 장점 |
|---|---|
| 표준 Azure 파일 공유로 마이그레이션하는 경우 초기 마이그레이션 중에 트랜잭션 최적화 계층에서 시작하는 것이 좋습니다. 마이그레이션 중 트랜잭션 사용량은 일반적으로 일반적인 트랜잭션 사용량을 나타내지 않습니다. 프로비전된 청구 모델이 트랜잭션에 대해 요금을 부과하지 않으므로 프리미엄 파일 공유에는 이 고려 사항이 적용되지 않습니다. | Azure Files로 마이그레이션하는 것은 일시적 트랜잭션이 많은 워크로드입니다. 높은 트랜잭션 워크로드에 대한 가격을 최적화하여 마이그레이션 비용을 줄입니다. |
| 워크로드를 마이그레이션한 후 표준 파일 공유를 사용하는 경우 파일 공유 에 가장 비용 효율적인 액세스 계층(핫, 쿨 또는 트랜잭션 최적화)을 신중하게 선택합니다. 정기적인 사용으로 며칠 또는 몇 주 동안 작업한 후에는 가격 계산기에 트랜잭션 수를 삽입하여 워크로드에 가장 적합한 계층을 파악할 수 있습니다. 대부분의 고객은 공유를 적극적으로 사용하는 경우에도 쿨을 선택해야 합니다. 그러나 각 공유를 검사하고 스토리지 용량의 균형을 트랜잭션과 비교하여 계층을 결정해야 합니다. 트랜잭션 비용이 청구서의 상당 부분을 차지하는 경우 쿨 액세스 계층을 사용하여 절감하면 종종 이 비용을 상쇄하고 전체 비용을 최소화합니다. 워크로드 패턴의 변경 내용을 최적화하는 데 필요한 경우에만 액세스 계층 간에 표준 파일 공유를 이동하는 것이 좋습니다. 각 이동에는 트랜잭션이 발생합니다. 자세한 내용은 표준 계층 간 전환을 참조 하세요. |
비용을 상당히 줄이려면 표준 파일 공유에 적절한 액세스 계층을 선택합니다. |
| 프리미엄 공유를 사용하는 경우 워크로드에 충분한 용량과 성능을 프로비전하지만 불필요한 비용이 많이 발생하지 않도록 합니다. 2~3번 과도하게 프로비전하는 것이 좋습니다. 스토리지 및 IO(입력/출력) 성능 특성에 따라 프리미엄 파일 공유를 동적으로 확장하거나 축소할 수 있습니다. | 프리미엄 파일 공유를 적절한 양으로 과도하게 프로비전하여 성능을 유지하고 향후 성장 및 성능 요구 사항을 고려합니다. |
| 예약 인스턴스라고도 하는 Azure Files 예약을 사용하여 스토리지 사용량을 미리 커밋하고 할인을 받습니다. 일관된 공간을 가진 프로덕션 워크로드 또는 개발/테스트 워크로드에 예약을 사용합니다. 자세한 내용은 스토리지 예약을 사용하여 비용 최적화를 참조 하세요. 예약에는 트랜잭션, 대역폭, 데이터 전송 및 메타데이터 스토리지 요금이 포함되지 않습니다. |
3년 예약은 파일 스토리지의 총 비용에 대해 최대 36%의 할인을 제공할 수 있습니다. 예약은 성능에 영향을 주지 않습니다. |
| 스냅샷 사용량을 모니터링합니다. 스냅샷에는 요금이 부과되지만 각 스냅샷의 차등 스토리지 사용량에 따라 요금이 청구됩니다. 각 스냅샷의 차이에 대해서만 비용을 지불합니다. 자세한 내용은 스냅샷을 참조하세요. Azure 파일 동기화 일반 사용의 일부로 공유 수준 및 파일 수준 스냅샷을 가져와 총 Azure Files 청구서를 늘릴 수 있습니다. |
차등 스냅샷은 동일한 데이터를 저장하기 위해 여러 번 청구되지 않도록 합니다. 그러나 Azure Files 청구서를 줄이는 데 도움이 되도록 스냅샷 사용량을 모니터링해야 합니다. |
| 일시 삭제 기능에 대한 보존 기간을 설정합니다( 특히 처음 사용하기 시작할 때). 이 기능이 청구서에 미치는 영향을 더 잘 이해하려면 짧은 보존 기간부터 시작하는 것이 좋습니다. 최소 권장 보존 기간은 7일입니다. 표준 및 프리미엄 파일 공유를 일시 삭제하면 프로비전된 용량이 아닌 사용된 용량으로 요금이 청구됩니다. 프리미엄 파일 공유는 일시 삭제 상태인 동안 스냅샷 요금으로 청구됩니다. 표준 파일 공유는 일시 삭제 상태에서 일반 요금으로 청구됩니다. |
일시 삭제된 파일이 쌓여 용량 비용을 증가하지 않도록 보존 기간을 설정합니다. 구성된 보존 기간이 지나면 영구적으로 삭제된 데이터에는 비용이 발생하지 않습니다. |
운영 우수성
운영 우수성은 주로 개발 관행, 관찰성 및 릴리스 관리를 위한 절차에 중점을 둡니다.
운영 우수성 디자인 원칙은 워크로드의 운영 요구 사항에 대한 이러한 목표를 달성하기 위한 높은 수준의 디자인 전략을 제공합니다.
디자인 검사 목록
파일 스토리지 구성과 관련된 준수성, 테스트 및 배포에 대한 프로세스를 정의하기 위한 운영 우수성에 대한 디자인 검토 검사 목록을 기반으로 디자인 전략을 시작합니다.
유지 관리 및 긴급 복구 계획 만들기: 데이터 보호 기능, 백업 및 복원 작업 및 장애 조치 절차를 고려합니다. 잠재적인 데이터 손실 및 데이터 불일치 및 장애 조치(failover) 시간과 비용을 준비합니다.
스토리지 계정의 상태 모니터링: 스토리지 인사이트 대시보드를 만들어 가용성, 성능 및 복원력 메트릭을 모니터링합니다. 경고를 설정하여 고객이 문제를 파악하기 전에 시스템의 문제를 식별하고 해결합니다. 진단 설정을 사용하여 리소스 로그를 Azure Monitor 로그 작업 영역으로 라우팅합니다. 그런 다음 로그를 쿼리하여 경고를 더 자세히 조사할 수 있습니다.
주기적으로 파일 공유 작업 검토: 공유 작업은 시간이 지남에 따라 변경 될 수 있습니다. 표준 파일 공유를 쿨 액세스 계층으로 이동하거나 프리미엄 공유에 대한 용량을 프로비전하거나 프로비저닝 해제할 수 있습니다. 표준 파일 공유를 다른 액세스 계층으로 이동하면 트랜잭션 요금이 발생합니다. 월별 청구서를 줄이기 위해 필요한 경우에만 표준 파일 공유를 이동합니다.
권장 사항
| 추천 | 장점 |
|---|---|
| IaC(Infrastructure as Code)를 사용하여 ARM 템플릿(Azure Resource Manager 템플릿), Bicep 또는 Terraform에서 스토리지 계정의 세부 정보를 정의합니다. | 기존 DevOps 프로세스를 사용하여 새 스토리지 계정을 배포하고 Azure Policy를 사용하여 해당 구성을 적용할 수 있습니다. |
| Storage 인사이트를 사용하여 스토리지 계정의 상태 및 성능을 추적합니다. 스토리지 인사이트는 모든 스토리지 계정에 대한 오류, 성능, 가용성 및 용량에 대한 통합 보기를 제공합니다. | 각 계정의 상태 및 작업을 추적할 수 있습니다. 관련자가 스토리지 계정의 상태를 추적하는 데 사용할 수 있는 대시보드 및 보고서를 쉽게 만듭니다. |
| Monitor를 사용하여 가용성, 대기 시간 및 사용량과 같은 메트릭을 분석하고 경고를 만듭니다. | 모니터는 파일 공유의 가용성, 성능 및 복원력을 보여 줍니다. |
성능 효율성
성능 효율성은 용량을 관리하여 부하 가 증가하는 경우에도 사용자 환경을 유지하는 것입니다. 이 전략에는 리소스 크기 조정, 잠재적인 병목 현상 식별 및 최적화, 최고 성능 최적화가 포함됩니다.
성능 효율성 디자인 원칙은 예상된 사용량에 대해 이러한 용량 목표를 달성하기 위한 높은 수준의 디자인 전략을 제공합니다.
디자인 검사 목록
성능 효율성에 대한 디자인 검토 검사 목록을 기반으로 디자인 전략을 시작합니다. 파일 스토리지 구성에 대한 주요 성능 지표를 기반으로 하는 기준을 정의합니다.
규모 계획: 스토리지 계정, Azure Files 및 Azure 파일 동기화 대한 확장성 및 성능 목표를 이해합니다.
예측 가능한 성능을 달성하려면 애플리케이션 및 사용 패턴을 이해합니다. 대기 시간 민감도, IOPS 및 처리량 요구 사항, 워크로드 기간 및 빈도 및 워크로드 병렬 처리를 결정합니다. 다중 스레드 애플리케이션에 Azure Files를 사용하여 서비스의 상한 성능 제한을 달성할 수 있습니다. 대부분의 요청이 createfile, openfile, closefile, queryinfo 또는 querydirectory와 같은 메타데이터 중심인 경우 요청은 읽기 및 쓰기 작업보다 짧은 대기 시간을 만듭니다. 이 문제가 있는 경우 파일 공유를 동일한 스토리지 계정 내의 여러 파일 공유로 분리하는 것이 좋습니다.
최적의 스토리지 계정 유형을 선택합니다. 워크로드에 대량의 IOPS, 매우 빠른 데이터 전송 속도 또는 매우 짧은 대기 시간이 필요한 경우 프리미엄(FileStorage) 스토리지 계정을 선택해야 합니다. 대부분의 SMB 파일 공유 워크로드에 표준 범용 v2 계정을 사용할 수 있습니다. 두 스토리지 계정 유형 간의 주요 장단점은 비용 대 성능입니다.
IOPS, 송신, 수신 및 단일 파일 제한과 같은 프로비전된 공유 크기는 프리미엄 공유 성능을 결정합니다. 자세한 내용은 프리미엄 파일 공유에 대한 프로비전 이해를 참조 하세요. 프리미엄 파일 공유는 프리미엄 파일 공유의 기준 IOPS 제한을 일시적으로 초과해야 하는 경우 보험 정책으로 버스트 크레딧을 제공합니다.
대기 시간을 줄이기 위해 클라이언트를 연결하는 것과 동일한 지역에 스토리지 계정을 만듭니다. Azure Files 서비스에서 멀리 떨어져 있으면 대기 시간이 클수록 성능 확장 제한을 달성하기가 더 어려워집니다. 이 고려 사항은 온-프레미스 환경에서 Azure Files에 액세스할 때 특히 그렇습니다. 가능하면 스토리지 계정과 클라이언트가 동일한 Azure 지역에 공동 배치되어 있는지 확인합니다. 네트워크 대기 시간을 최소화하거나 ExpressRoute 연결을 사용하여 프라이빗 연결을 통해 온-프레미스 네트워크를 Microsoft 클라우드로 확장하여 온-프레미스 클라이언트에 최적화합니다.
성능 데이터 수집: 대기 시간, 가용성 및 사용 메트릭을 포함하여 워크로드 성능을 모니터링합니다. 로그를 분석하여 시간 제한 및 제한과 같은 문제를 진단합니다. 파일 공유가 제한되거나, 제한되거나, 대기 시간이 긴 경우 알려주는 경고를 만듭니다.
하이브리드 배포 최적화: Azure 파일 동기화 사용하는 경우 동기화 성능은 Windows Server 및 기본 디스크 구성, 서버와 Azure 스토리지 간의 네트워크 대역폭, 파일 크기, 총 데이터 세트 크기 및 데이터 세트의 활동 등 여러 요인에 따라 달라집니다. Azure 파일 동기화 기반으로 하는 솔루션의 성능을 측정하려면 초당 처리하는 파일 및 디렉터리와 같은 개체 수를 결정합니다.
권장 사항
| 추천 | 장점 |
|---|---|
| 프리미엄 SMB 파일 공유에 SMB 다중 채널을 사용하도록 설정합니다. SMB 다중 채널을 사용하면 SMB 3.1.1 클라이언트가 SMB Azure 파일 공유에 대한 여러 네트워크 연결을 설정할 수 있습니다. SMB 다중 채널은 클라이언트 쪽(클라이언트) 및 서비스 쪽(Azure) 모두에서 기능이 사용하도록 설정된 경우에만 작동합니다. Windows 클라이언트에서 SMB 다중 채널은 기본적으로 사용하도록 설정되어 있지만 스토리지 계정에서 사용하도록 설정해야 합니다. |
총 소유 비용을 줄이면서 처리량 및 IOPS를 증가합니다. 부하를 분산하는 파일 수가 늘어나면 성능이 향상됩니다. |
| Linux 클라이언트에서 NFS Azure 파일 공유와 함께 nconnect 클라이언트 쪽 탑재 옵션을 사용합니다. Nconnect를 사용하면 클라이언트와 NFSv4.1용 Azure Files 프리미엄 서비스 간에 더 많은 TCP 연결을 사용할 수 있습니다. | 대규모로 성능을 높이고 NFS 파일 공유에 대한 총 소유 비용을 줄입니다. |
| 파일 공유 또는 스토리지 계정이 제한되지 않아 대기 시간이 짧거나 처리량이 낮거나 IOPS가 낮아질 수 있는지 확인합니다. IOPS, 수신 또는 송신 제한에 도달하면 요청이 제한됩니다. 표준 스토리지 계정의 경우 계정 수준에서 제한이 발생합니다. 프리미엄 파일 공유의 경우 일반적으로 공유 수준에서 제한이 발생합니다. |
최상의 클라이언트 환경을 제공하려면 제한을 피하세요. |
Azure 정책
Azure는 Azure Files와 관련된 광범위한 기본 제공 정책 집합을 제공합니다. 이전 권장 사항 중 일부는 Azure 정책을 통해 감사할 수 있습니다. 예를 들어 다음을 확인할 수 있습니다.
- HTTPS와 같은 보안 연결의 요청만 수락됩니다.
- 공유 키 권한 부여를 사용할 수 없습니다.
- 네트워크 방화벽 규칙이 계정에 적용됩니다.
- Azure Files에 대한 진단 설정은 리소스 로그를 Azure Monitor 로그 작업 영역으로 스트리밍하도록 설정됩니다.
- 공용 네트워크 액세스가 사용하지 않도록 설정되어 있습니다.
- Azure 파일 동기화 프라이빗 DNS 영역을 사용하도록 프라이빗 엔드포인트로 구성됩니다.
포괄적인 거버넌스를 위해 컴퓨팅 계층의 보안에 영향을 줄 수 있는 스토리지 및 기타 정책에 대한 Azure Policy 기본 제공 정의를 검토합니다.
Azure Advisor 권장 사항
Azure Advisor 는 Azure 배포를 최적화하기 위한 모범 사례를 따르는 데 도움이 되는 개인 설정된 클라우드 컨설턴트입니다. 다음은 Azure Files의 안정성, 보안, 비용 효율성, 성능 및 운영 우수성을 개선하는 데 도움이 되는 몇 가지 권장 사항입니다.
다음 단계
자세한 내용은 Azure Files 설명서를 참조 하세요.