Azure Files, onprem 또는 사무실에서 연결하기

눕눕·2022년 3월 29일
0
post-custom-banner

네트워크 드라이브?

사무실에서 네트워크 드라이브라는 이름으로 많이들 연결해 보았을 것이다.

mapping된 드라이브 안에 들어가면 자료를 한폴더에 던져 놓은것 보다, 더욱 찾기 힘든 트리 구조로 저장되어져 있는게 흔한 경우였다.
회사 몇군데 안 다녀봤지만 알수없는건 매한가지

우리회사 클라우드 쓴다는데 클라우드는 이런 네트워크 드라이브 어디 없나?

Azure에서는 Azure Files라는 이름으로 445포트를 통해 이러한 서비스를 제공한다.

잠시.. 445?

445 포트!?

445 포트하면 떠오르는 생각들의 체인이 있다.

445 포트 -> Wannacry -> 취약점 -> 국내 ISP들이 기본적으로 막음

445 포트하면 전 세계적으로 큰 피해를 입혔던 Wannacry가 생각 나시는 분들도 계실 것이다. Wannacry는 당시 445포트의 원격코드실행 취약점을 악용한 랜섬웨어로, 그 당시 신문에서 심심찮게 볼 수 있었던 악명높은 랜섬웨어였다.

국내 ISP들은 기본적으로 445포트를 막는 정책을 가지고 있으며, 고객의 요청에 따라 열어 주는 경우도 있다.

하지만, 최근에 Azure Files 관련해서 설정중, 445포트를 못여는 경우가 있었다.

건물에 들어간 ISP 회선이 쪼개져서 인터넷이 제공되고 있는데, 445 포트를 여는 부분은 해당 회선 전체의 445 포트를 여는 결과를 불러와서, 그 건물에서 해당 ISP를 사용하는 모든 장치들이 445 포트가 열린채로 사용이 되어진다.

즉, 내가 방화벽을 가지고 있어도, 나와는 상관없는 다른 회사 또는 부서가 영문도 모른채 445 포트를 열고 사용이 될 수도 있어, 적용이 불가능했었다.

그럼 이부분을 어떻게 해야하나?

어떻게 연결할까?

크게 2가지로 나누어서 보자.

445포트 가용 가능할 때 ISP 감사합니다.

아래의 스크린샷과 같이 매우 쉽게 연결 할 수 있다.
(Storage account -> File Shares -> 원하는 File Share의 ... 눌러서 Connect 클릭)

위쪽에 붉은색 박스를 친 부분과 같이, Windows, Linux, macOS 까지 흔히 많이들 사용하는 플랫폼들의 명령어를 제공하고 있다.

뭐라구요? 445 포트를 못열어 준다구요?

위의 445포트 관련해서 이야기를 풀어나갈 때와 같이, 445포트를 못쓰는 경우가 있다.
(내부적인 보안 규정에 의해 못쓰는 경우도 있다.)

이럴 때는, VPN을 연결해서 사용을 하자.

VPN 뚫는거 여기저기 허가를 많이 받아야 하지만, 아예 못쓰는 것보다는 나을 것이다.
(다른 workaround를 찾고 테스트 하는 과정도 진정한 hellgate다.)

VPN을 뚫어서 쓸 때, 위와 같은 명령어로 붙이면 되지만, 전제조건이 필요하다.

DNS 추가이다. 예를 들어서, sttest445.file.core.windows.net이 더이상 public으로 가지 않고, VPN 통해서 10.0.0.4 라는 Storage account의 private endpoint ip로 가야하기 때문에, DNS를 설정해주어야 한다.

AD서버에서 Zone을 추가해줘도 되고, 급한데로 test를 진행한다면, host를 수정해도 된다.

어찌 되었든, sttest445.file.core.windows.net이 public의 52.1.2.3를 찾아가는 것이 아닌 10.0.0.4로, VPN Gateway 타고 Azure로 찾아게끔만 하면 된다.

DNS의 추가가 특정한 이유로 인해 불가한 경우에는 sttest445.file.core.windows.net이라는 부분을 강제로 private ip인 10.0.0.4로 바꿔서 넣어서 연결해도 사용은 가능했었다.
(이 부분도, 특정 회사에서는 DNS의 추가도 안되는 규정을 가진 곳들도 존재했었다.)

하지만 private endpoint의 권고 사항인, DNS 추가를 하고 쓰라는 부분은 아니기에 잘 판단하여 사용 여부를 결정하면 될 것 같다.

참고로 private endpoint의 lifetime은 private endpoint의 삭제시 까지기 때문에, 특별한 경우가 아니라면 private ip가 바뀌는 부분은 없다고 생각해도 무방할 것 같다.

여기서 표현하는 read-only network interface는 private endpoint를 생성하면, 타겟 vnet에 자동으로 같이 생성되는 nic를 뜻하는 것 같다.

마치며

Azure Files를 onprem이나 사무실에서 편하게 쓰고 싶으신분들의 의사결정을 도와드리는 글이 되었으면 좋겠다.

profile
n년차 눕눕
post-custom-banner

0개의 댓글