Storage Server
- 여러 물리적 스토리지를 합쳐 하나의 논리적 스토리지를 생성 (=RAID)
- 다양한 방법으로 생성된 스토리지를 외부에 서비스 해주는 서버
- 가용성을 높임
- Storage 서비스를 제공하는 방법
- SAN: Storage 전용 Network를 이용해 Sotrage 서비스 제공 (SCSI [스카시] )
- IP: TCP/IP Network를 이요해 Storage 서비스 제공 (iSCSI, NFS)
Storage Protocol
- Block 방식(SCSI, SAS, SATA, NVMe, iSCSI)
- 데이터를 고정 크기의 블록으로 나누어 저장
- 고성능과 낮은 지연 시간을 제공하여 데이터베이스와 같은 고속 입출력이 필요한 애플리케이션에 적합
- 일반적으로 로컬 스토리지나 SAN(Storage Area Network)에서 사용
- File 방식(NFS, SMB, FTP)
- 데이터를 파일 단위로 저장 -> 계층구조
- 사용자는 디렉터리 구조를 통해 파일을 쉽게 관리하고 접근
- 주로 NAS(Network Attached Storage)와 같은 파일 서버에서 사용
- 운영자가 쉽게 관리할 수 있음
- 파일이 많아지면 성능저하가 생김
서버에 전송하는 방법
- SAN / IP
fc / 광케이블,UTP
접근방법: Lun / IP
NFS(Network File System)
- 네트워크에 파일을 저장하는 메커니즘
- 사용자가 원격 컴퓨터에 있는 파일 및 디렉토리를 액세스 가능
- 액세스 된 파일 및 디렉터리는 로컬에 있는 것처럼 처리
- 즉, 분산 파일 시스템
- 여러 컴퓨터나 서버에 분산된 저장 장치를 하나의 통합된 파일 시스템처럼 사용
- 사용자나 애플리케이션이 네트워크에 연결된 여러 장치에 저장된 데이터를 쉽게 접근하고 관리
- NFS Server(=Storage) / NFS Client(=연동받는 클라이언트) 구성
- TCP/IP 네트워크를 사용하며 Port Number는 비고정
SCSI(Small Computer System Interface)
- SCSI는 PC의 저장장치 및 기타 장치간의 데이터 전송을 위한 표준 인터페이스
- 블록방식(속도 빠름)
- SCSI는 서버용, 워크스테이션, 고성능 데이터 스토리지 시스템에 사용
- 높은 성능
- 신뢰성
- 확장성
- 적응성
- SCSI 인터페이스는 일반 메인보드에서는 지원하지 않고 서버용 보드 또는 별도의 컨트롤러 필요
- 고속 전송을 지원하지만, 케이블 길이에 제한이 있어 짧은 거리에 사용
- 설치 및 유지보수가 상대적으로 복잡
- SAS(Serial Attached SCSI)
- 병렬 통신의 SCSI 기술을 기반으로 한 직렬 통신을 위한 인터페이스
- 별도 컨트롤러 필요
- SCSI의 단점을 바꾼 기술이라 현재 사용
iSCSI (Internet Small Computer System Interface)
- SCSI 프로토콜을 TCP/IP 네트워크 사에서 전송하기 위한 기술
- 네트워크 속도에 따라 성능 결정
- 인터넷을 통해 원격지의 스토리지에 접근할 수 있어 지리적 거리제한 없음
- 추가 비용 없이 기존 인프라를 활용해 SAN 구축 가능
- 네트워크의 구조와 크기에 유연한 대응 가능
- 익숙한 IP 네트워크 기술을 사용해 설정 및 관리가 상대적으로 간단
- 다양한 운영체제와 하드웨어에서 광범위하게 지원
- 표준화된 프로토콜로 이기종 시스템 간 호환상 뛰어남
iSCSI 용어
- iSCSI Target: Storage 서버
- 스토리지 네트워크에서 요청을 받아들이고 처리하는 스토리지 디바이스
- iSCSI Initiator: Storage 클라이언트
- 스토리지 네트워크에서 데이터를 요청하는 컴퓨터
- LUN: 스토리지의 논리적 저장 공간을 식별하는 고유한 번호(=드라이브명이랑 비슷)
- IQN: iSCSI 장치를 식별하기 위한 고유 이름(전 세계적으로 고유)
- 장치에 대한 명확한 식별 가능
iSCSI 통신 과정
- IP 주소를 사용해 스토리지 찾기
- 서버(이니시에이터)는 스토리지(타겟)의 IP 주소를 알고 있음
- 이 IP 주소를 사용하여 네트워크를 통해 스토리지에 접근
- IQN을 사용해 연결 설정
- 스토리지의 IP주소를 통해 연결을 시도할 때, 서버는 타겟의 IQN을 확인하여 올바른 장치와 통신하는지 확인
- LUN을 사용하여 데이터 접근
- 연결이 설정되면, 타겟은 서버에 LUN을 제공
- 서버는 LUN을 사용하여 스토리지 내의 특정 논리적 단위에 접근
* 클라이언트는 IP주소를 사용하여 스토리지 장치에 접근하고, IQN을 통해 올바른 연결을 설정한 후, LUN을 통해 구체적인 데이터 공간에 접근하여 데이터를 읽고 씀
Windows Server Active Directory
AD 개요
- Microsoft사에서 제공하는 대규모 네트워크 관리 및 운영을 위한 기술
- 대규모 회사는 지역적으로 분산된 환경에서 많은 수의 컴퓨터를 운영
- 이러한 네트워크 환경에서 '단일서버'은 한계까 있음
- 네트워크 상에서 나눠져 있는 여러 자원(Resource)을 중앙 관리자가 통합 관리
- 직원들은 자신의 PC에 모든 정보를 보관할 필요가 없어짐
- PC가 있는 장소와 무관하게 회사의 어디서든 자신의 ID로 회사 전체 자원을 편리하게 사용
- 통합 관리를 위해 AD에서 지원되는 기술은 굉장히 많음
- 주로 윈도우 사용자 및 윈도우 단말의 일괄 관리를 위해 사용
- 생소한 용어 및 구성이 어려워 진입 장벽이 높음
AD 용어
- Directory Service
- 분산된 네트워크 관련 자원 정보를 중앙 저장소에 통합시켜 관리 가능하게 해주는 서비스
- 즉, 사용자는 중앙의 저장소를 통해 원하는 네트워크 자원에 대한 정보를 '자동으로' 취득/접근
- Active Directory(AD)
- Directory Service를 Windows Server에서 구현한 것
- Active Directory Domain Service(AD DS)
- AD를 통해 컴퓨터 사용자, 기타 주변 장치에 대한 정보를 네트워크상에 저장하고 이 정보를 관리자가 통합 관리
- Domain Controller 필요(=DNS)
- Domain Controller(=DNS)
- 로그온, 이용 권한 확인, 새로운 사용자 등록, 암호 변경, 그룹 등을 처리하는 서버 컴퓨터
- 각 도메인마다 하나 이상의 DC 설치
- 읽기 전용 Domain Controller (RODC)
- 주 DC로부터 AD 관련 데이터를 전송 받아 저장 후 사용(데이터 추가/변경 불가능)
- 본사와 멀리 떨어진 지사에 사용
- DC는 필요하지만 규모가 크지 않아 관리자를 두기 어려운 경우 또는 주 컨트롤러의 부하를 분담하기 위해 사용
AD 용어-2
- Domain(=Group)
- AD의 가장 기본 단위로 서울본사, 부산지사 등이 각각 하나의 도메인
- 즉, 관리 범위를 표현
- 트리(Tree)
- 도메인의 집합
- RAPA.com = 서울지사, 부산지사, 광주지사
- RAPA Tree
- 서울지사 = rapa.com = 부모 도메인
- 부산지사 = bs.rapa.com = 자식 도메인
- 광주지사 = gj.rapa.com = 자식 도메인
- 포리스트(Forest)
- 서로 다른 Tree의 묶음
도메인 < 트리 <= 포리스트
- 도메인 나누는 이유
- AD의 성능향상
- 분리된 정책
- 조직 구성 단위(Organizational Unit, OU)
- 도메인을 세부적으로 나눈 단위
- RAPA 서울 지사(=RAPA 서울 도메인)
- 인사팀 (OU)
- 관리팀 (OU)
- 운영팀 (OU)
- 글로벌 카탈로그(Global Catalog, GC)
- AD 도메인 안에 포함된 개체에 대한 정보를 수집해 저장하는 통합 저장소
- 사용자의 정보, 전체 이름, 아이디, 암호 등..
- 가장 먼저 설치하는 Domain Controller가 GC 서버로 지정
- 필요 시 모든 DC는 GC로 동작 가능
- 각 지사에 관리해야 하는 정보가 방대한 경우 부하 분산 용도(AD 성능 향상)
- 서울 DC = 서울 GC / 부산 DC = 부산 GC / 광주 DC = 광주 GC
- 필수는 아니지만 트리 내에 1개 이상의 GC는 필수
- AD 도메인 안에 포함된 개체에 대한 정보를 수집해 저장하는 통합 저장소
AD 필요성
- 회사 사용자의 정보 관리 일원화
- 그룹정책을 통해 사용자의 관리 및 정책 관리
- 사용자 그룹 정책
- 특정 계정은 ESXi 서버의 VM 생성 불가..
- 컴퓨터 그룹 정책
- 사용권한 제어, 계정 및 암호정책, 네트워크 정책, 소프트웨어 제한 ...
- 사용자 그룹 정책
- 소프트웨어 라이센스 관리 일원화
- 개별 운영/관리 되던 전산자원 논리적으로 조직화 -> 중앙 통합관리
* NetBIOS
- Windows 환경의 네트워크에 사용
- 별개의 컴퓨터 상에 애플리케이션들이 근거리 통신망 내에서 서로 통신할 수 있게 해주는 프로그램
- NetBIOS를 사용해 동일한 네트워크에 연결된 여러 대의 컴퓨터 간 통신을 가능하게 해줌
AD 사용자 계정과 조직 구성 단위
- 사용자 계정
- '로컬 사용자 계정'과 AD 도메인에 접근 가능한 '도메인 사용자 계정'이 있음
- 도메인 사용자 게정 표현(hanbit.com의 thisUser)
- 기본 도메인 로그인 이름: HANBIT\thisUser
- UPN(User Principal Name): thisUser@hanbit.com
-> 도메인 사용자만 UPN으로 접근 가능
- 조직 구성 단위(Organizational Unit, OU)
- 사용자, 그룹, 컴퓨터를 포함할 수 있는 Active Directory 컨테이너
- 즉, 회사의 내부의 조직. 도메인의 작은 개념
- 사용자 뿐만 아니라 컴퓨터, 프린터, 그룹, 다른 OU등 모두 포함 가능
AD 그룹
- 사용자 또는 컴퓨터의 집합
- 그룹은 다른 그룹을 포함 가능
- 그룹을 구성하는 컴퓨터 및 사용자의 편리한 권한 부여가 목적
- 그룹 종류
- 배포 그룹
- 보안 그룹
- 글로벌 그룹
- 도메인 로컬 그룹
- 유니버셜 그룹
- 글로벌 그룹
- 모든 도메인에 위치한 자원의 권한 할당 가능(공유폴더, 프린터 등...)
- 글로벌 그룹을 생성한 도메인의 구성원만 소속이 가능
hanbit.com의 글로벌 그룹
hanbit 도메인 소속 사용자만 가입가능
- 도메인 로컬 그룹
- 다른 도메인에 있는 사용자도 구성원 가능
- 도메인 로컬 그룹을 생성한 도메인의 자원만 권한 할당 가능
- 유니버셜 그룹
- 글로벌 그룹 + 도메인 로컬 그룹
- 모든 도메인의 자원에 대한 권한 할당 가능 / 모든 도메인의 사용자 소속 가능
유니버셜 그룹의 정보는 GC에 모두 저장되어야 하는 정보들
-> 포리스트의 AD 성능 하락됨
- 유니버셜 그룹 최소화
AD 계정 / OU / 그룹 Summary
- 그룹은 작업을 하는 계정을 관리하거나 권한을 부여하기 위한 단위
- OU는 사용자, 그룹, 컴퓨터 등을 배치할 수 있는 컨테이너(= 폴더, 부서)
- OU는 그룹 정책을 적용하기 위한 최소의 단위
- OU에는 권한을 줄 수 없음
- 사용자 계정은 하나의 OU에만 가입 가능
- 사용자 계정은 여러 개의 그룹에 가입 가능
AD 그룹 정책 개념
- AD 통해 도메인 안의 많은 컴퓨터나 사용자에게 다양한 사용 제한 구성 가능(권한 X, 정책)
- 특정 사용자에게만 동작하는 프로그램 지정
- 시작 메뉴 사용 옵션
- USB 및 CD/DVD 사용 제한
- 잘못된 사용자의 시스템 구성 변경이나 네트워크 바이러스 침투 등의 사고 예방
- 그룹 정책을 통해 각 컴퓨터 및 사용자에 대한 일괄된 관리 기능
- 그룹 정책 개체(Group Policy Object, GPO)
-> ACL- GPO는 도메인 단위에 저장
- 글로벌 카탈로그에 해당 정보가 저장
- GPO를 적용하기 위한 가장 작은 단위: OU
- 종류
- 로컬 GPO:4순위
- 사이트 GPO:3순위
- 도메인 GPO:2순위
- OU GPO:1순위
- GPO는 도메인 단위에 저장
- 그룹 정책은 상속 가능
- 부모 컨테이너 -> 자식 컨테이너
- 자식 컨테이너는 필요시 상속 내용 재정의, 상속 차단 가능
- 부모 컨테이너는 차단하지 못하도록 강제 상속 가능
