다음을 통해 공유


Azure 파일 공유에 액세스하기 위한 네트워크 엔드포인트 구성

Azure Files는 Azure 파일 공유에 액세스하기 위한 다음과 같은 두 가지 기본 유형의 엔드포인트를 제공합니다.

  • 퍼블릭 엔드포인트 - 공용 IP 주소를 사용하며 전 세계 어디서나 액세스할 수 있습니다.
  • 프라이빗 엔드포인트 - 가상 네트워크 내에 존재하며 해당 가상 네트워크의 주소 공간 내에서 개인 IP 주소를 사용합니다.

퍼블릭 엔드포인트와 프라이빗 엔드포인트는 Azure 스토리지 계정에 있습니다. 스토리지 계정은 여러 파일 공유뿐만 아니라 다른 스토리지 리소스(예: Blob 컨테이너 또는 큐)도 배포할 수 있는 공유 스토리지 풀을 나타내는 관리 구조입니다.

이 문서에서는 Azure 파일 공유에 직접 액세스하기 위한 스토리지 계정의 엔드포인트를 구성하는 방법을 중점적으로 설명합니다. 이 문서의 대부분은 Azure 파일 동기화가 스토리지 계정에 대한 퍼블릭 및 프라이빗 엔드포인트와 상호 운용되는 방식에도 적용됩니다. Azure 파일 동기화의 네트워킹 고려 사항에 대한 자세한 내용은 Azure 파일 동기화 프록시 및 방화벽 설정 구성을 참조하세요.

이 가이드를 읽기 전에 Azure Files 네트워킹 고려 사항을 읽어보는 것이 좋습니다.

적용 대상

파일 공유 유형 SMB NFS
표준 파일 공유(GPv2), LRS/ZRS 예 아니요
표준 파일 공유(GPv2), GRS/GZRS 예 아니요
프리미엄 파일 공유(FileStorage), LRS/ZRS 예 예

필수 조건

  • 이 문서에서는 독자들이 이미 Azure 구독을 만들었다고 가정합니다. Azure 구독이 아직 없는 경우 시작하기 전에 체험 계정을 만듭니다.
  • 이 문서에서는 사용자가 온-프레미스에서 연결하려는 스토리지 계정에 Azure 파일 공유를 이미 만들었다고 가정합니다. Azure 파일 공유를 만드는 방법을 알아보려면 Azure 파일 공유 만들기를 참조하세요.
  • Azure PowerShell을 사용하려면 최신 버전을 설치하세요.
  • Azure CLI를 사용하려면 최신 버전을 설치하세요.

엔드포인트 구성

스토리지 계정에 대한 네트워크 액세스를 제한하도록 엔드포인트를 구성할 수 있습니다. 스토리지 계정에 대한 액세스를 가상 네트워크로 제한하는 두 가지 방법은 다음과 같습니다.

프라이빗 엔드포인트 만들기

스토리지 계정의 프라이빗 엔드포인트를 만들 때 배포되는 Azure 리소스는 다음과 같습니다.

  • 프라이빗 엔드포인트: 스토리지 계정의 프라이빗 엔드포인트를 나타내는 Azure 리소스입니다. 스토리지 계정과 네트워크 인터페이스를 연결하는 리소스라고 생각하시면 됩니다.
  • NIC(네트워크 인터페이스): 지정된 가상 네트워크/서브넷 내에서 개인 IP 주소를 유지 관리하는 네트워크 인터페이스입니다. VM(가상 머신)을 배포할 때 배포되는 것과 정확히 동일한 리소스이지만, VM에 할당되는 것이 아니라 프라이빗 엔드포인트의 소유입니다.
  • 프라이빗 DNS(Domain Name System) 영역: 이전에 이 가상 네트워크에 대한 프라이빗 엔드포인트를 배포하지 않은 경우 가상 네트워크에 대한 새 프라이빗 DNS 영역이 배포됩니다. 이 DNS 영역의 스토리지 계정에 대한 DNS A 레코드도 생성됩니다. 이 가상 네트워크에 프라이빗 엔드포인트를 이미 배포한 경우 스토리지 계정에 대한 새 A 레코드가 기존 DNS 영역에 추가됩니다. DNS 영역 배포는 선택 사항입니다. 하지만 배포할 것을 적극 권장하며, AD 서비스 주체 또는 FileREST API를 사용하여 Azure 파일 공유를 탑재하는 경우에는 필수입니다.

참고 항목

이 문서에서는 core.windows.net Azure 퍼블릭 지역에 대한 스토리지 계정 DNS 접미사를 사용합니다. 이는 Azure US Government 클라우드 및 21Vianet에서 운영하는 Microsoft Azure와 같은 Azure 소버린 클라우드에도 적용되며, 사용자 환경에 적합한 접미사로 바꾸기만 하면 됩니다.

프라이빗 엔드포인트를 만들려는 스토리지 계정으로 이동합니다. 서비스 메뉴의 보안 + 네트워킹 아래에서 네트워킹, 프라이빗 엔드포인트 연결을 선택한 다음+ 프라이빗 엔드포인트를 선택하여 새 프라이빗 엔드포인트를 만듭니다.

스토리지 계정 서비스 메뉴의 프라이빗 엔드포인트 연결 항목 스크린샷

그 결과로 마법사에는 완료할 페이지가 여러 개 있습니다.

기본 사항 블레이드에서 프라이빗 엔드포인트에 원하는 구독, 리소스 그룹, 이름, 네트워크 인터페이스 이름 및 지역을 선택합니다. 이러한 항목은 원하는 대로 지정할 수 있지만 어쨌든 간에 스토리지 계정과 일치할 필요는 없습니다. 그러나 프라이빗 엔드포인트는 해당 프라이빗 엔드포인트를 만들려는 가상 네트워크와 동일한 지역에 만들어야 합니다. 그런 다음, 다음: 리소스를 선택합니다.

새 프라이빗 엔드포인트에 대한 프로젝트 및 인스턴스 세부 정보를 제공하는 방법을 보여 주는 스크린샷.

리소스 블레이드에서 대상 하위 리소스에 대한 파일을 선택합니다. 그런 다음 , 다음: 가상 네트워크를 선택합니다.

새 프라이빗 엔드포인트를 사용하여 연결할 리소스를 선택하는 방법을 보여 주는 스크린샷.

Virtual Network 블레이드에서는 프라이빗 엔드포인트를 추가할 가상 네트워크 및 서브넷을 선택할 수 있습니다. 새 프라이빗 엔드포인트에 대한 동적 또는 고정 IP 주소 할당을 선택합니다. 정적을 선택하는 경우 이름과 개인 IP 주소도 제공해야 합니다. 필요에 따라 애플리케이션 보안 그룹을 지정할 수도 있습니다. 완료되면 다음: DNS를 선택합니다.

새 프라이빗 엔드포인트에 대한 가상 네트워크, 서브넷 및 IP 주소 세부 정보를 제공하는 방법을 보여 주는 스크린샷.

DNS 블레이드에는 프라이빗 엔드포인트를 프라이빗 DNS 영역과 통합하기 위한 정보가 포함되어 있습니다. 구독 및 리소스 그룹이 올바른지 확인한 후, 다음: 태그를 선택합니다.

프라이빗 엔드포인트를 프라이빗 DNS 영역과 통합하는 방법을 보여 주는 스크린샷.

모든 테스트 리소스에 환경이라는 이름과 테스트 값을 적용하는 것과 같이 필요에 따라 태그를 적용하여 리소스를 분류할 수 있습니다. 원하는 경우 이름/값 쌍을 입력하고 다음: 검토 + 만들기를 선택합니다.

쉽게 분류할 수 있도록 이름/값 쌍으로 필요에 따라 프라이빗 엔드포인트에 태그를 지정하는 방법을 보여 주는 스크린샷.

만들기를 선택하여 프라이빗 엔드포인트를 만듭니다.

연결 확인

가상 네트워크 내에 VM이 있거나 Azure 파일용 전달 DNS 구성에 설명된 대로 DNS 전달을 구성한 경우, 프라이빗 엔드포인트가 올바르게 설정되었는지 테스트할 수 있습니다. PowerShell, 명령줄 또는 터미널에서 다음 명령을 실행합니다(Windows, Linux 또는 macOS에서 작동). 다음과 같이 <storage-account-name>을 적절한 스토리지 계정 이름으로 바꿔야 합니다.

nslookup <storage-account-name>.file.core.windows.net

정상적으로 작동하는 경우 다음과 같은 출력이 표시됩니다. 여기서 192.168.0.5는 가상 네트워크의 프라이빗 엔드포인트 개인 IP 주소입니다(Windows에 표시되는 출력).

Server:  UnKnown
Address:  10.2.4.4

Non-authoritative answer:
Name:    storageaccount.privatelink.file.core.windows.net
Address:  192.168.0.5
Aliases:  storageaccount.file.core.windows.net

퍼블릭 엔드포인트 액세스 제한

퍼블릭 엔드포인트 액세스를 제한하려면 먼저 퍼블릭 엔드포인트에 대한 일반 액세스를 사용하지 않도록 설정해야 합니다. 퍼블릭 엔드포인트에 대한 액세스를 사용하지 않도록 설정해도 전용 프라이빗 엔드포인트는 영향받지 않습니다. 퍼블릭 엔드포인트를 사용하지 않도록 설정한 후, 퍼블릭 엔드포인트에 계속 액세스할 수 있는 특정 네트워크나 IP 주소를 선택할 수 있습니다. 일반적으로 스토리지 계정에 관한 대부분의 방화벽 정책에서는 네트워킹 액세스를 하나 이상의 가상 네트워크로 제한합니다.

퍼블릭 엔드포인트에 대한 액세스 제한

퍼블릭 엔드포인트에 대한 모든 액세스가 제한된 경우에도 프라이빗 엔드포인트를 통해 스토리지 계정에 액세스할 수 있습니다. 그렇지 않으면 스토리지 계정의 퍼블릭 엔드포인트에 대한 유효한 요청이 거절됩니다. 단 특별히 허용된 출처에서 오는 요청은 예외입니다.

퍼블릭 엔드포인트에 대한 모든 액세스를 제한하려는 스토리지 계정으로 이동합니다. 스토리지 계정의 목차에서 네트워킹을 선택합니다.

페이지 맨 위에서 선택한 가상 네트워크 및 IP 주소에서 사용 라디오 단추를 선택합니다. 그러면 퍼블릭 엔드포인트의 제한을 제어할 수 있는 여러 설정이 표시됩니다. 신뢰할 수 있는 서비스 목록의 Azure 서비스에서 이 스토리지 계정에 액세스하도록 허용을 선택하여 Azure File Sync와 같은 신뢰할 수 있는 자사 Microsoft 서비스에서 스토리지 계정에 액세스할 수 있도록 합니다.

스토리지 계정 퍼블릭 엔드포인트에 액세스할 수 없도록 하는 데 필요한 설정이 적용된 네트워킹 블레이드의 스크린샷.

퍼블릭 엔드포인트에 대한 액세스를 특정 가상 네트워크로 제한

스토리지 계정을 특정 가상 네트워크로 제한하면 지정된 가상 네트워크 내에서 퍼블릭 엔드포인트에 요청하는 것을 허용하는 것입니다. 이는 서비스 엔드포인트라는 가상 네트워크의 기능을 사용하여 작동합니다. 이 방법에 프라이빗 엔드포인트를 사용해도 되고 사용하지 않아도 됩니다.

퍼블릭 엔드포인트를 특정 가상 네트워크로 제안하려는 스토리지 계정으로 이동합니다. 스토리지 계정의 목차에서 네트워킹을 선택합니다.

페이지 맨 위에서 선택한 가상 네트워크 및 IP 주소에서 사용 라디오 단추를 선택합니다. 그러면 퍼블릭 엔드포인트의 제한을 제어할 수 있는 여러 설정이 표시됩니다. +기존 가상 네트워크 추가를 선택하여 퍼블릭 엔드포인트를 통해 스토리지 계정에 액세스할 수 있도록 허용해야 하는 가상 네트워크를 선택합니다. 가상 네트워크와 해당 가상 네트워크에 대한 서브넷을 선택한 다음, 사용을 선택합니다.

신뢰할 수 있는 서비스 목록의 Azure 서비스에서 이 스토리지 계정에 액세스하도록 허용을 선택하여 Azure File Sync와 같은 신뢰할 수 있는 자사 Microsoft 서비스에서 스토리지 계정에 액세스할 수 있도록 합니다.

퍼블릭 엔드포인트를 통해 스토리지 계정에 액세스할 수 있도록 허용된 특정 가상 네트워크의 네트워킹 블레이드 스크린샷.

참고 항목