본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

테넌트 계정 및 연결을 구성합니다

기여자

클라이언트 응용 프로그램에서 연결을 허용하도록 StorageGRID를 구성하려면 하나 이상의 테넌트 계정을 만들고 연결을 설정해야 합니다.

S3 테넌트 계정 생성 및 구성

S3 API 클라이언트가 StorageGRID에 오브젝트를 저장하고 검색할 수 있으려면 먼저 S3 테넌트 계정이 필요합니다. 각 테넌트 계정에는 고유한 계정 ID, 그룹 및 사용자, 컨테이너 및 객체가 있습니다.

S3 테넌트 계정은 StorageGRID 그리드 관리자가 그리드 관리자 또는 그리드 관리 API를 사용하여 생성합니다. S3 테넌트 계정을 생성할 때 그리드 관리자는 다음 정보를 지정합니다.

  • 테넌트의 표시 이름(테넌트의 계정 ID가 자동으로 할당되며 변경할 수 없음)

  • 테넌트 계정이 플랫폼 서비스를 사용하도록 허용되는지 여부 플랫폼 서비스를 사용할 수 있는 경우 그리드 사용을 지원하도록 구성해야 합니다.

  • 필요한 경우 테넌트 계정의 스토리지 할당량 — 테넌트의 객체에 사용할 수 있는 최대 GB, 테라바이트 또는 PB입니다. 테넌트의 스토리지 할당량은 물리적 크기(디스크 크기)가 아닌 논리적 양(오브젝트 크기)을 나타냅니다.

  • StorageGRID 시스템에 대해 ID 페더레이션이 설정된 경우 테넌트 계정을 구성할 수 있는 루트 액세스 권한이 있는 통합 그룹입니다.

  • StorageGRID 시스템에서 SSO(Single Sign-On)를 사용하지 않는 경우 테넌트 계정이 자체 ID 소스를 사용할지 또는 그리드의 ID 소스를 공유할지 여부 및 테넌트의 로컬 루트 사용자의 초기 암호를 공유할지 여부

S3 테넌트 계정이 생성된 후 테넌트 사용자는 테넌트 관리자에 액세스하여 다음과 같은 작업을 수행할 수 있습니다.

  • ID 소스를 그리드와 공유하지 않는 경우 ID 페더레이션을 설정하고 로컬 그룹 및 사용자를 만듭니다

  • S3 액세스 키를 관리합니다

  • S3 오브젝트 잠금이 설정된 버킷을 포함하여 S3 버킷을 생성하고 관리합니다

  • 플랫폼 서비스 사용(활성화된 경우)

  • 스토리지 사용량을 모니터링합니다

중요 S3 테넌트 사용자는 테넌트 관리자를 사용하여 S3 버킷을 생성 및 관리할 수 있지만, S3 액세스 키를 가지고 S3 REST API를 사용하여 오브젝트를 수집 및 관리해야 합니다.

클라이언트 연결 구성 방법

그리드 관리자는 S3 클라이언트가 StorageGRID에 연결하여 데이터를 저장 및 검색하는 방법에 영향을 주는 구성을 선택합니다. 연결에 필요한 특정 정보는 선택한 구성에 따라 다릅니다.

클라이언트 응용 프로그램은 다음 중 하나를 연결하여 개체를 저장하거나 검색할 수 있습니다.

  • 관리 노드 또는 게이트웨이 노드의 부하 분산 서비스 또는 선택적으로 관리 노드 또는 게이트웨이 노드의 고가용성(HA) 그룹의 가상 IP 주소입니다

  • 게이트웨이 노드의 CLB 서비스 또는 게이트웨이 노드의 고가용성 그룹의 가상 IP 주소(선택 사항)입니다

    참고 CLB 서비스는 더 이상 사용되지 않습니다. StorageGRID 11.3 릴리스 전에 구성된 클라이언트는 게이트웨이 노드에서 CLB 서비스를 계속 사용할 수 있습니다. 로드 밸런싱을 제공하기 위해 StorageGRID에 의존하는 다른 모든 클라이언트 애플리케이션은 로드 밸런서 서비스를 사용하여 연결해야 합니다.
  • 외부 로드 밸런서가 있거나 없는 스토리지 노드

StorageGRID를 구성할 때 그리드 관리자는 그리드 관리자 또는 그리드 관리 API를 사용하여 다음 단계를 수행할 수 있습니다. 이 모든 단계는 선택 사항입니다.

  1. 로드 밸런서 서비스의 끝점을 구성합니다.

    로드 밸런서 서비스를 사용하려면 끝점을 구성해야 합니다. 관리 노드 또는 게이트웨이 노드의 부하 분산 서비스는 들어오는 네트워크 연결을 클라이언트 애플리케이션에서 스토리지 노드로 분산합니다. 로드 밸런서 끝점을 만들 때 StorageGRID 관리자는 포트 번호, 엔드포인트가 HTTP 또는 HTTPS 연결을 수락하는지 여부, 엔드포인트를 사용할 클라이언트 유형(S3 또는 Swift) 및 HTTPS 연결에 사용할 인증서(해당하는 경우)를 지정합니다.

  2. 신뢰할 수 없는 클라이언트 네트워크를 구성합니다.

    StorageGRID 관리자가 노드의 클라이언트 네트워크를 신뢰할 수 없도록 구성하는 경우 노드는 로드 밸런서 끝점으로 명시적으로 구성된 포트의 클라이언트 네트워크에서 인바운드 연결만 허용합니다.

  3. 고가용성 그룹을 구성합니다.

    관리자가 HA 그룹을 생성하면 여러 관리 노드 또는 게이트웨이 노드의 네트워크 인터페이스가 액티브-백업 구성에 배치됩니다. HA 그룹의 가상 IP 주소를 사용하여 클라이언트 연결이 이루어집니다.

각 옵션에 대한 자세한 내용은 StorageGRID 관리 지침을 참조하십시오.

요약: 클라이언트 연결을 위한 IP 주소 및 포트

클라이언트 애플리케이션은 그리드 노드의 IP 주소와 해당 노드의 서비스 포트 번호를 사용하여 StorageGRID에 접속합니다. HA(고가용성) 그룹이 구성되어 있는 경우 클라이언트 애플리케이션은 HA 그룹의 가상 IP 주소를 사용하여 연결할 수 있습니다.

클라이언트 연결을 만드는 데 필요한 정보입니다

이 표에는 클라이언트가 StorageGRID에 연결할 수 있는 다양한 방법과 각 연결 유형에 사용되는 IP 주소 및 포트가 요약되어 있습니다. 자세한 내용은 StorageGRID 관리자에게 문의하거나 StorageGRID 관리 지침 에서 그리드 관리자에서 이 정보를 찾는 방법에 대한 설명을 참조하십시오.

연결 위치 클라이언트가 연결하는 서비스입니다 IP 주소입니다 포트

HA 그룹

로드 밸런서

HA 그룹의 가상 IP 주소입니다

  • 로드 밸런서 엔드포인트 포트

HA 그룹

CLB

참고:** CLB 서비스는 더 이상 사용되지 않습니다.

HA 그룹의 가상 IP 주소입니다

기본 S3 포트:

  • HTTPS: 8082

  • HTTP: 8084

관리자 노드

로드 밸런서

관리 노드의 IP 주소입니다

  • 로드 밸런서 엔드포인트 포트

게이트웨이 노드

로드 밸런서

게이트웨이 노드의 IP 주소입니다

  • 로드 밸런서 엔드포인트 포트

게이트웨이 노드

CLB

참고:** CLB 서비스는 더 이상 사용되지 않습니다.

게이트웨이 노드의 IP 주소입니다

  • 참고:** 기본적으로 CLB 및 LDR에 대한 HTTP 포트는 사용되지 않습니다.

기본 S3 포트:

  • HTTPS: 8082

  • HTTP: 8084

스토리지 노드

LDR

스토리지 노드의 IP 주소입니다

기본 S3 포트:

  • HTTPS: 18082

  • HTTP: 18084

S3 클라이언트를 게이트웨이 노드 HA 그룹의 로드 밸런서 끝점에 연결하려면 아래와 같이 구조화된 URL을 사용합니다.

  • "https://VIP-of-HA-group:_LB-endpoint-port_`

예를 들어 HA 그룹의 가상 IP 주소가 192.0.2.5이고 S3 로드 밸런서 끝점의 포트 번호가 10443인 경우 S3 클라이언트는 다음 URL을 사용하여 StorageGRID에 연결할 수 있습니다.

  • "https://192.0.2.5:10443`

클라이언트가 StorageGRID에 연결하는 데 사용하는 IP 주소에 대한 DNS 이름을 구성할 수 있습니다. 로컬 네트워크 관리자에게 문의하십시오.

HTTPS 또는 HTTP 연결을 사용하도록 결정합니다

로드 밸런서 끝점을 사용하여 클라이언트 연결을 만들 때는 해당 끝점에 지정된 프로토콜(HTTP 또는 HTTPS)을 사용하여 연결해야 합니다. 스토리지 노드 또는 게이트웨이 노드의 CLB 서비스에 대한 클라이언트 연결에 HTTP를 사용하려면 해당 사용을 설정해야 합니다.

기본적으로 클라이언트 응용 프로그램이 게이트웨이 노드의 스토리지 노드 또는 CLB 서비스에 연결할 때는 모든 연결에 암호화된 HTTPS를 사용해야 합니다. 선택적으로 Grid Manager에서 * HTTP Connection * 그리드 사용 옵션을 선택하여 보안성이 떨어지는 HTTP 연결을 활성화할 수 있습니다. 예를 들어, 클라이언트 애플리케이션은 비운영 환경에서 스토리지 노드에 대한 접속을 테스트할 때 HTTP를 사용할 수 있습니다.

중요 요청은 암호화되지 않은 상태로 전송되므로 프로덕션 그리드에 대해 HTTP를 설정할 때는 주의해야 합니다.
참고 CLB 서비스는 더 이상 사용되지 않습니다.

HTTP 연결 사용 * 옵션을 선택한 경우 클라이언트는 HTTPS에 사용하는 것과 다른 HTTP 포트를 사용해야 합니다. StorageGRID 관리 지침을 참조하십시오.

S3 요청에 대한 끝점 도메인 이름입니다

클라이언트 요청에 S3 도메인 이름을 사용하려면 StorageGRID 관리자가 S3 경로 스타일 및 S3 가상 호스팅 스타일 요청에서 S3 도메인 이름을 사용하는 연결을 허용하도록 시스템을 구성해야 합니다.

S3 가상 호스팅 스타일 요청을 사용하려면 그리드 관리자가 다음 작업을 수행해야 합니다.

  • 그리드 관리자를 사용하여 StorageGRID 시스템에 S3 끝점 도메인 이름을 추가합니다.

  • 클라이언트가 StorageGRID에 대한 HTTPS 연결에 사용하는 인증서가 클라이언트에 필요한 모든 도메인 이름에 서명되었는지 확인합니다.

    예를 들어, 끝점이 '3.company.com` 인 경우 그리드 관리자는 HTTPS 연결에 사용되는 인증서에 '3.company.com` 끝점 및 끝점 와일드카드 주체 대체 이름(SAN):' * .s3.company.com` 가 포함되어 있는지 확인해야 합니다.

  • 필요한 와일드카드 레코드를 포함하여 끝점 도메인 이름과 일치하는 DNS 레코드를 포함하도록 클라이언트에서 사용하는 DNS 서버를 구성합니다.

클라이언트가 로드 밸런서 서비스를 사용하여 연결하는 경우 그리드 관리자가 구성하는 인증서는 클라이언트가 사용하는 로드 밸런서 끝점에 대한 인증서입니다.

참고 각 로드 밸런서 끝점마다 고유한 인증서가 있으며 각 끝점이 서로 다른 끝점 도메인 이름을 인식하도록 구성할 수 있습니다.

클라이언트가 스토리지 노드 또는 게이트웨이 노드의 CLB 서비스에 연결하는 경우 그리드 관리자가 구성하는 인증서는 그리드에 사용되는 단일 사용자 지정 서버 인증서입니다.

참고 CLB 서비스는 더 이상 사용되지 않습니다.

자세한 내용은 StorageGRID 관리 지침을 참조하십시오.

이러한 단계를 완료한 후에는 가상 호스팅 스타일 요청(예: ' bucket.s3.company.com` )을 사용할 수 있습니다.

S3 REST API 구성을 테스트합니다

AWS CLI(Amazon Web Services Command Line Interface)를 사용하여 시스템에 대한 연결을 테스트하고 시스템에 개체를 읽고 쓸 수 있는지 확인할 수 있습니다.

무엇을 ’필요로 할거야
  • 에서 AWS CLI를 다운로드하여 설치했습니다 "aws.amazon.com/cli".

  • StorageGRID 시스템에서 S3 테넌트 계정을 생성했습니다.

단계
  1. StorageGRID 시스템에서 생성한 계정을 사용하도록 Amazon 웹 서비스 설정을 구성합니다.

    1. 구성 모드 'AWS configure’로 진입한다

    2. 생성한 계정의 AWS 액세스 키 ID를 입력합니다.

    3. 생성한 계정의 AWS Secret Access 키를 입력합니다.

    4. 사용할 기본 영역을 입력합니다(예: us-east-1).

    5. 사용할 기본 출력 형식을 입력하거나 * Enter * 를 눌러 JSON을 선택합니다.

  2. 버킷을 만듭니다.

    aws s3api --endpoint-url https://10.96.101.17:10443
    --no-verify-ssl create-bucket --bucket testbucket

    버킷이 성공적으로 생성되면 다음 예와 같이 버킷의 위치가 반환됩니다.

"Location": "/testbucket"
  1. 개체를 업로드합니다.

    aws s3api --endpoint-url https://10.96.101.17:10443 --no-verify-ssl
    put-object --bucket testbucket --key s3.pdf --body C:\s3-test\upload\s3.pdf

    객체가 성공적으로 업로드되면 객체 데이터의 해시인 Etag가 반환됩니다.

  2. 버킷의 내용을 나열하여 객체가 업로드되었는지 확인합니다.

    aws s3api --endpoint-url https://10.96.101.17:10443 --no-verify-ssl
    list-objects --bucket testbucket
  3. 개체를 삭제합니다.

    aws s3api --endpoint-url https://10.96.101.17:10443 --no-verify-ssl
    delete-object --bucket testbucket --key s3.pdf
  4. 버킷을 삭제합니다.

    aws s3api --endpoint-url https://10.96.101.17:10443 --no-verify-ssl
    delete-bucket --bucket testbucket