Azure Systems의 SAP용 전송 중인 Azure Files NFS 암호화

Azure Files NFS v4.1 볼륨은 성능 저하 없이 클라이언트와 서버 간의 모든 트래픽을 암호화하여 엔터프라이즈급 보안을 제공하는 TLS를 통해 전송 중인 암호화를 지원합니다. Azure Files NFS를 사용하면 미사용, 전송 중 및 네트워크를 통해 데이터를 엔드 투 엔드(end-to-end)로 암호화할 수 있습니다.

자세한 내용은 다음 문서를 참조하세요. NFS Azure 파일 공유에 대한 전송 중인 암호화입니다.

Azure Files NFS 공유에 대한 EiT(전송 중 암호화) 배포

Azure 환경의 SAP의 경우 두 가지 방법으로 VM 내에서 Azure Files NFS 공유를 탑재합니다.

/etc/fstab에 구성된 파일 시스템
Pacemaker 리소스 에이전트로 구성된 파일 시스템

이 두 가지 시나리오에 대해 전송 중인 Azure Files NFS 암호화를 설정하는 단계는 이 문서에 설명되어 있습니다.

중요합니다

HA(고가용성) 구성의 Azure 환경 SAP 및 Pacemaker에서 관리하는 파일 시스템의 경우 EiT(Azure Files NFS Encryption in Transit)에 대한 지원은 다음으로 제한됩니다.

SAP 15 SP 4 이상용 SLES
SAP 8.8, 8.10, 9.x 이상용 RHEL

Azure 시스템의 SAP에 대한 운영 체제 지원 가능성에 대한 SAP Note 1928533을 참조하세요.

전송 중 Azure Files NFS 암호화 배포 준비

NFS Azure 파일 공유 만들기에 설명된 대로 Azure Files 스토리지 계정, NFS 파일 공유 및 프라이빗 엔드포인트 구성

비고

Azure Storage 계정의 모든 파일 공유에 대해 전송 중 암호화를 적용하려면 스토리지 계정의 구성 탭에서 보안 전송 필수 옵션을 사용하도록 설정합니다.
Linux VM에 AZNFS(탑재 도우미) 패키지를 배포합니다.

운영 체제에 따라 AZNFS 탑재 도우미 패키지 설치 단계를 따릅니다.
- SLES
- RHEL
```
curl -sSL -O https://packages.microsoft.com/config/$(source /etc/os-release && echo "$ID/${VERSION_ID%%.*}")/packages-microsoft-prod.rpm
sudo rpm -i packages-microsoft-prod.rpm
rm packages-microsoft-prod.rpm
sudo zypper refresh
sudo zypper install aznfs
```
설치하는 동안 패키지를 자동 업데이트하도록 No을(를) 선택합니다. 파일 AUTO_UPDATE_AZNFS에서 각각 false/true로 /opt/microsoft/aznfs/data/config 값을 변경하여 언제든지 자동 업데이트 기능을 끄거나 켤 수도 있습니다.

자세한 내용은 패키지 설치 섹션을 참조하세요.
```
curl -sSL -O https://packages.microsoft.com/config/$(source /etc/os-release && echo "$ID/${VERSION_ID%%.*}")/packages-microsoft-prod.rpm
sudo rpm -i packages-microsoft-prod.rpm
rm packages-microsoft-prod.rpm
sudo yum update
sudo yum install aznfs
```
설치하는 동안 패키지를 자동 업데이트하도록 No을(를) 선택합니다. 파일 AUTO_UPDATE_AZNFS에서 각각 false/true로 /opt/microsoft/aznfs/data/config 값을 변경하여 언제든지 자동 업데이트 기능을 끄거나 켤 수도 있습니다.

자세한 내용은 패키지 설치 섹션을 참조하세요.

파일 공유를 탑재할 디렉터리를 만듭니다.
```
mkdir -p <full path of the directory>
```

'/etc/fstab'에 탑재 명령을 추가하여 파일 공유를 영구적으로 탑재합니다.

vi /etc/fstab
sapnfs.file.core.windows.net:/sapnfsafs/sapnw1/sapmntNW1 /sapmnt/NW1  aznfs noresvport,vers=4,minorversion=1,sec=sys,_netdev  0  0

# Mount the file systems
mount -a

자세한 내용은 Linux VM에서 전송 중인 Azure Files NFS 암호화 파일 공유를 탑재하기 위한 NFS 파일 공유 탑재 섹션을 참조하세요.

언급된 파일 시스템은 탑재 명령 구문을 설명하는 예제입니다.
전송 중에 AZNFS 탑재 도우미 및 암호화를 사용하려면 fstype을 aznfs(으)로 사용합니다. 필요한 서비스가 활성화된 후에만 파일 공유가 다시 부팅 시 탑재되도록 항상 /etc/fstab 항목에 _netdev 옵션을 추가해야 합니다.
동일한 Azure VM에서 Azure Files NFS를 사용하여 다른 파일 시스템을 탑재하기 위해 전송 중 암호화 및 전송 중 암호화가 아닌 메서드를 사용하지 않는 것이 좋습니다. 전송 중 암호화 및 전송 중 암호화가 아닌 메서드가 동일한 VM에서 사용되는 경우 탑재 명령이 파일 시스템을 탑재하지 못할 수 있습니다.
탑재 도우미는 전송 중인 Azure Files NFS 암호화에 대한 프라이빗 엔드포인트 기반 연결을 지원합니다.
SAP VM이 사용자 지정 도메인에 가입된 경우 DNS에 정의된 대로 '/etc/fstab'의 파일 공유에 사용자 지정 DNS FQDN 또는 짧은 이름을 사용합니다. 호스트 이름 해상도를 확인하려면 nslookup <hostname> 및 getent host <hostname> 명령을 사용하여 확인하십시오.

Azure에서 SAP의 고가용성 설정을 위해 Azure Files NFS 파일 시스템을 Pacemaker 클러스터의 리소스로 사용하는 옵션을 선택하는 경우 Pacemaker 클러스터 명령을 사용하여 탑재해야 합니다. Pacemaker 명령에서 파일 시스템을 클러스터 리소스로 설정하려면 탑재 유형을 aznfs에서 nfs(으)로 변경합니다. 옵션 섹션에도 _netdev을(를) 추가합니다.

SLES 및 RHEL에 대한 명령의 예입니다.

SLES
RHEL

sudo crm configure primitive fs_NW1_ASCS Filesystem device='sapnfs.file.core.windows.net:/sapnfsafs/sapnw1/usrsapNW1ascs' directory='/usr/sap/NW1/ASCS00' fstype='aznfs' options='noresvport,vers=4,minorversion=1,sec=sys,_netdev' \
op start timeout=60s interval=0 \
op stop timeout=60s interval=0 \
op monitor interval=20s timeout=40s

중요합니다

Pacemaker 클러스터 리소스 에이전트에서 aznfs를 파일 시스템 유형으로 사용하려면 운영 체제 릴리스에 따라 필요한 resource-agents 패키지 버전을 유지해야 합니다.

SLES 15 SP4: resource-agents-4.10.0+git40.0f4de473-150400.3.34.2 이상
SLES 15 SP5: resource-agents-4.12.0+git30.7fd7c8fa-150500.3.15.3 이상
SLES 15 SP6 및 이후: resource-agents-4.13.0+git6.ae50f94f-150600.4.9.2 또는 이후

sudo pcs resource create fs_NW1_ASCS Filesystem device='sapnfs.file.core.windows.net:/sapnfsafs/sapnw1/usrsapNW1ascs' \
directory='/usr/sap/NW1/ASCS00' fstype='aznfs' force_unmount=safe options='noresvport,vers=4,minorversion=1,sec=sys,_netdev' \
fast_stop=no op start interval=0 timeout=60 op stop interval=0 timeout=120 op monitor interval=200 timeout=40 \
--group g-NW1_ASCS

중요합니다

RHEL 8의 경우

RHEL 8.8 : resource-agents-4.9.0-40.el8_8.10 이상
RHEL 8.10: resource-agents-4.9.0-54.el8_10.13 이상

RHEL 9의 경우

RHEL 9.0: resource-agents-4.10.0-9.el9_0.13 이상
RHEL 9.2: resource-agents-4.10.0-34.el9_2.10 이상
RHEL 9.4: resource-agents-4.10.0-52.el9_4.8 이상
RHEL 9.6: resource-agents-4.10.0-71.el9_6.5 이상

Azure 파일 NFS에 대한 전송 중인 데이터 암호화 유효성 검사

VM에서 탑재된 파일 시스템을 확인합니다.

eite10app1:~ # df -Th --type nfs4
Filesystem                                  Type  Size  Used Avail Use% Mounted on
127.0.0.1:/eite10sapinst00/sapinst          nfs4  512G  224G  289G  44% /sapinstall
127.0.0.1:/eite10sapapps00/e10-usrsap-d01   nfs4  256G  7.1G  249G   3% /usr/sap
127.0.0.1:/eite10sapapps00/e10-sapmnt-app   nfs4  1.0T  439G  586G  43% /sapmnt/E10
127.0.0.1:/eite10sapapps00/e10-usrsap-temp  nfs4  2.0T  640G  1.4T  32% /usr/sap/temp
127.0.0.1:/eite10sapapps00/e10-usrsap-trans nfs4  256G  3.0G  254G   2% /usr/sap/trans
eite10app1:~ #

이러한 탑재 세부 정보는 클라이언트(VM)가 외부 네트워크가 아닌 로컬 포트 127.0.0.1을 통해 연결되었음을 나타냅니다. stunnel 프로세스는 NFS 클라이언트(VM)에서 들어오는 NFS 트래픽에 대해 127.0.0.1(localhost)에서 수신 대기합니다. 그런 다음 Stunnel은 이 트래픽을 가로채 TLS를 통해 Azure의 Azure Files NFS 서버로 안전하게 전달합니다.

자세한 내용은 추가 검사를 위해 전송 중인 데이터 암호화 성공 확인 섹션을 참조하세요.

다음 단계

피드백

이 페이지가 도움이 되었나요?

Last updated on 2025-09-15

다음을 통해 공유

Azure Systems의 SAP용 전송 중인 Azure Files NFS 암호화

Azure Files NFS 공유에 대한 EiT(전송 중 암호화) 배포

전송 중 Azure Files NFS 암호화 배포 준비

/etc/fstab에서 NFS 파일 공유 탑재

NFS 파일 공유를 Pacemaker 클러스터 리소스로 탑재

Azure 파일 NFS에 대한 전송 중인 데이터 암호화 유효성 검사

다음 단계

피드백

추가 리소스