AZ-104 (10) (Network Watcher, Storage)

Network Watcher

• 리전에 하나씩 생성됨
  
• 해당 네트워크 구성에서 보안 규칙이 제대로 구성돼있는지 확인할 수 있음
  
• 토폴로지로 한 눈에 확인할 수도 있음.

Storage

• 파일, 메시지, 테이블 및 기타 유형의 정보를 저장하는 데 사용할 수 있는 서비스
• 가상 머신/ 구조화 되지 않은 데이터 및 구조적 데이터용 스토리지가 있음
  
  컨테이너 : 텍스트 및 이진 데이터용 저장소
  테이블 : NoSQL 저장소
  큐 : 비동기처리에 최적화
  Files : 파일 공유 저장소 서비스, 가장 쉽고 간편한 저장소

• blob 전용 스토리지가 있음 (그만큼 많이 쓴다)

• blob은 정적 HTML을 지원해주고 HTTP를 통해 컨텐츠를 노출되게 해준다. 정적 HTML 웹 사이트에서 BLOB을 이용하면 적절하기도 하다.
  
  

• 스토리지 어카운트에 담긴 데이터는 내구성과 고가용성을 위해 복제가 이루어진다.

• 기본 3군데에 나뉘어져 담기게 됨.

• Geo > 리전 > 가용 zone 1,2,3 > 데이터센터

• LRS : 하나에 데이터 센터 내에 3개의 데이터를 모두 담는다.-> 프리미엄만 가능

• ZRS : Zone 1,2,3에 데이터를 나눠 담는다.

• GRS : 총 6개 복사본, LRS을 2개 해두는 것 / 읽고 쓰기는 기본 지역만 가능

• GZRS : ZRS를 2개 두는 것

• RA- : 기본 복제본의 읽고 쓰기 + 보조 복제본의 읽기 제공

스토리지 엔드포인트 보호

• 서브넷 및 가상 네트워크는 스토리지 계정과 동일한 Azure 지역 또는 지역 쌍에 존재 해야한다.

연결해보기

• 프리미엄은 LRS만 가능
• https를 사용
  
• 선택 액세스, 프라이빗 액세스 선택 가능
  
• (기본) 7일 이내 삭제된 데이터는 복구 가능
  
• 무조껀 암호화는 진행해야하지만 키는 선택할 수있음
• BLOB에서만 쓸 지 모든 서비스에서 쓸지 선택가능
• 생성하면 4가지 타입의 저장소가 생성 -> 데이터를 담는 컨테이너를 생성하고 이것을 저장소에 저장 -> 스토리지 어카운트 생성 후 4가지 유형의 데이터 각각에 맞는 컨테이너를 만들도록 구성

• 액세스를 blob 단위로만 가능하게 할것인지, 컨테이너를 다 열어줄지 선택 가능

• blob 컨테이너를 만들면 자동으로 http url를 갖게된다.
  
• BLOB에 이미지를 올리면 이미지에 대한 URL도 생성된다.
• 모두가 접근가능하게 하려면 액세스 수준변경으로 blob, 컨테이너 전체에 대해서 허용해주는 방법도 있다.

Blob storage

• 구조화되지 않은 데이터를 저장
• 개체 스토리지라고도 함
• 비디오 및 오디오 스트로밍
• 모든 유형의 텍스트, 바이너리 저장
• 로그를 담는 저장소용으로도 사용 (백업, 복구)
• 컨테이너 생성은 무제한
  
• 핫 : 자주 액세스 되는 데이터에 적합, 저장소 비용이 가장 높음
• 쿨 : 30일 이상 저장되는 대량의 데이터
• 보관 : 180 이상 보관 계층에 저장하는 데이터, 액세스 비용이 가장 높음
  
  
• ex1. 30일 이상의 데이터를 쿨 스토리지로 이동되게 규칙 추가할 수있음
• ex2. 180일 이상 수정하지 않았으면 보관 스토리지로 이동하도록 규칙 추가 가능
  
• blob 개체 복제는 스토리지 계정 간의 복제를 지원
• 원본 스토리지 계정에서 대상 계정으로 blob-blob을 비동기로 복제
• 복제 규칙은 다른 지역과 비동기로 read access랑 다르다.
• v1, 프리미엄 blob-blob에서만 지원
  
• 블록 blob : 범용적 데이터 저장에 사용
• 페이지 blob : 가상 머신 디스크를 저장할 때
• 추가 blob : 로깅같은 계속 끊임없이 데이터가 추가되는 데이터 저장에 사용

보안

1. Azure AD 및 RBAC를 통한 인증

2. 스토리지 키를 통한 인증

3. 공유 액세스 서명

• 위임된 액세스를 리소스에 제공
• SAS로 저장소 계정에 대해서 제한된 조건을 갖고 액세스를 제공할 때 적당하다. 계정을 손상시키지 않고 액세스 주는 방법
  
• 스토리지 > 액세스 키를 갖고 접근하면 계정 수준의 권한을 갖고 접근하게 되고,
• 허용되는 서비스, 리소스 종류, 권한, 시작/종료시작 설정, IP주소, 프로토콜을 설정/선택하여 서명키 생성 가능

• 스토리지 > 파일 > 공유 액세스 서명키(SAS)와 컨테이너 안에 BLOB 서비스마다의 SAS도 있다.

• SAS는 스토리지 리소스를 가리키는 서명된 URI

• 리소스 URI, 스토리지 서비스 버전, 서비스, 리소스 유형, 시작 시간, 만료 시간, 리소스, 권한, IP 범위, 프로토콜, 서명에 대한 매개 변수가 포함됨

  
  

4. 데이터 암호화
   

• 자동으로 데이터를 암호화하고 해독

• 256비트 AES 암호화를 통해 암호화

• 비활성화 불가
  

• 고객 관리 키를 사용하여 직접 관리 가능

  • key vault라는 key 인증서 보관 서비스를 제공한다.
  • key vault를 통해서 관리하도록 권고함
  
  
  

Azure Files

• 가격, 편리성, 속도면에서 많이 사용함

• Blob은 B2C용으로 서비스용(스트리밍에 유용)
• Files는 내부에서 B2B 업무용으로 사용하면 좋지않을까, 온프레미스에서 클라우드로 옮길 때도 좋을 수 있음
  
• 업로드는 blob과 같지만 접근할 때는 smb 프로토콜로 연결해야함
• windows는 445 포트를 열어야 함.
  
• 파일 공유 스냅샷 기능으로 백업할 수 있음.
  
  
• 파일 sink는 스토리지 어카운트에 파일 공유를 만들어두고 네트워크 드라이브를 연결해서 써도 좋지만 지역적/물리적 제한이 있을 경우 또는 온프레미스에 포트가 막혀있다면 온프레미스 서버에 파일 공유 캐쉬 폴더를 구성하는게 파일 동기화 서비스이다.
• 중앙 집중화 된 파일이 Azure Files에 있고 스토리지 어카운트에 파일에 캐쉬 폴더를 로컬에 공유하여 캐싱을 가지고 연결하는..? 드라이브 공유보다 호환성이 좋다는 장점이 있다.
  
• 파일 싱크 에이전트로 작동하는데 동기화할 윈도우 서버에 에이전트를 두면 에이전트가 파일을 캐싱해준다.
• 클라우드 엔드포인트는 Azure 파일 공유다.
• 동기화 그룹은 동기화된 파일을 정의한다.
• 서버 엔드포인트는 폴더와 같은 등록된 서버에서 특정 위치를 나타낸다.
  
• 파일 동기화 설정