기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 를 사용하여 온프레미스 스토리지로 또는 온프레미스 스토리지에서 전송 AWS DataSync
를 사용하면 여러 온프레미스 또는 자체 관리형 스토리지 시스템과 다음 AWS 스토리지 서비스 간에 파일과 객체를 전송할 AWS DataSync수 있습니다.
+ [Amazon S3](create-s3-location.md)
+ [Amazon EFS](create-efs-location.md)
+ [Amazon FSx for Windows File Server](create-fsx-location.md)
+ [Amazon FSx for Lustre](create-lustre-location.md)
+ [Amazon FSx for OpenZFS](create-openzfs-location.md)
+ [Amazon FSx for NetApp ONTAP](create-ontap-location.md)
**Topics**
+ [NFS 파일 서버를 사용하여 AWS DataSync 전송 구성](create-nfs-location.md)
+ [SMB 파일 서버를 사용하여 AWS DataSync 전송 구성](create-smb-location.md)
+ [HDFS 클러스터를 사용하여 AWS DataSync 전송 구성](create-hdfs-location.md)
+ [객체 스토리지 시스템을 사용하는 DataSync 전송 구성](create-object-location.md)
# NFS 파일 서버를 사용하여 AWS DataSync 전송 구성
를 사용하면 NFS(Network File System) 파일 서버와 다음 AWS 스토리지 서비스 간에 데이터를 전송할 AWS DataSync수 있습니다. 지원되는 스토리지 서비스는 아래와 같이 작업 모드에 따라 달라집니다.
| 기본 모드 | 확장 모드 |
| --- | --- |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/datasync/latest/userguide/create-nfs-location.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/datasync/latest/userguide/create-nfs-location.html) |
이러한 종류의 전송을 설정하려면 NFS 파일 서버의 [위치](how-datasync-transfer-works.md#sync-locations)를 생성해야 합니다. 이 위치를 전송의 소스 또는 대상으로 사용할 수 있습니다.
## DataSync에 NFS 파일 서버 액세스 권한 제공
DataSync에서 NFS 파일 서버에 액세스하려면 DataSync [에이전트](how-datasync-transfer-works.md#sync-agents)가 필요합니다. 에이전트는 NFS 프로토콜을 사용하여 파일 서버에 내보내기를 마운트합니다. 원하는 작업 모드에 해당하는 에이전트를 사용해야 합니다.
**Topics**
+ [NFS 내보내기 구성](#accessing-nfs-configuring-export)
+ [지원되는 NFS 버전](#supported-nfs-versions)
### NFS 내보내기 구성
전송을 위해 DataSync에서 필요한 내보내기는 NFS 파일 서버가 소스 위치인지 대상 위치인지와 파일 서버 권한이 구성된 방식에 따라 달라집니다.
파일 서버가 소스 위치인 경우 DataSync는 파일과 폴더를 읽고 탐색하기만 하면 됩니다. 대상 위치인 경우 DataSync에서 위치에 쓰기를 수행하고 복사하려는 파일 및 폴더에 소유권, 권한 및 기타 메타데이터를 설정할 수 있는 루트 액세스 권한이 필요합니다. `no_root_squash` 옵션을 사용하여 내보내기에 루트 액세스를 허용할 수 있습니다.
다음 예제는 DataSync에 대한 액세스를 제공하는 NFS 내보내기를 구성하는 방법을 설명합니다.
**NFS 파일 서버가 소스 위치인 경우(루트 액세스)**
DataSync 읽기 전용 권한(`ro`) 및 루트 액세스(`no_root_squash`)를 제공하는 다음 명령을 사용하여 내보내기를 구성합니다.
```
export-path datasync-agent-ip-address(ro,no_root_squash)
```
**NFS 파일 서버가 대상 위치인 경우**
DataSync 쓰기 전용 권한(`rw`) 및 루트 액세스(`no_root_squash`)를 제공하는 다음 명령을 사용하여 내보내기를 구성합니다.
```
export-path datasync-agent-ip-address(rw,no_root_squash)
```
**NFS 파일 서버가 소스 위치인 경우(루트 액세스 아님)**
내보내기에 대한 DataSync 읽기 전용 권한을 제공하는 것으로 알고 있는 POSIX 사용자 ID(UID) 및 GID(그룹 ID)를 지정하는 다음 명령을 사용하여 내보내기를 구성합니다.
```
export-path datasync-agent-ip-address(ro,all_squash,anonuid=uid,anongid=gid)
```
### 지원되는 NFS 버전
기본적으로 DataSync는 NFS 버전 4.1을 사용합니다. DataSync는 NFS 4.0 및 3.x도 지원합니다.
## NFS 전송을 위한 네트워크 구성
DataSync 전송의 경우 몇 가지 네트워크 연결에 대한 트래픽을 구성해야 합니다.
1. DataSync 에이전트에서 NFS 파일 서버로 다음 포트의 트래픽을 허용합니다.
+ **NFS 버전 4.1 및 4.0**-TCP 포트 2049
+ **NFS 버전 3.x**-TCP 포트 111 및 2049
네트워크의 다른 NFS 클라이언트는 데이터 전송에 사용하는 NFS 내보내기를 마운트할 수 있어야 합니다. 내보내기는 Kerberos 인증 없이도 액세스할 수 있어야 합니다.
1. [서비스 엔드포인트 연결](datasync-network.md)(예: VPC, 퍼블릭 또는 FIPS 엔드포인트)에 대한 트래픽을 구성합니다.
1. DataSync 서비스에서 전송 중인 [AWS 스토리지 서비스](datasync-network.md#storage-service-network-requirements)로의 트래픽을 허용합니다.
## NFS 전송 위치 생성
시작하기 전에 다음 사항에 유의하세요.
+ 데이터를 전송할 NFS 파일 서버가 필요합니다.
+ [파일 서버에 액세스](#accessing-nfs)할 수 있는 DataSync 에이전트가 필요합니다.
+ DataSync는 NFS 버전 4 액세스 제어 목록(ACL) 복사를 지원하지 않습니다.
### DataSync 콘솔 사용
1. [https://console.aws.amazon.com/datasync/](https://console.aws.amazon.com/datasync/) AWS DataSync 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **데이터 전송**을 펼친 다음, **위치**와 **위치 생성**을 선택합니다.
1. **위치 유형**에서 **네트워크 파일 시스템(NFS)**을 선택합니다.
1. **에이전트**에서 NFS 파일 서버에 연결할 수 있는 DataSync 에이전트를 선택합니다.
2개 이상의 에이전트를 선택할 수 있습니다. 자세한 설명은 [여러 DataSync 에이전트 사용](do-i-need-datasync-agent.md#multiple-agents)섹션을 참조하세요.
1. **NFS 서버**에는 DataSync 에이전트가 연결하는 NFS 파일 서버의 도메인 이름 시스템(DNS) 이름 또는 IP 주소를 입력합니다.
1. **마운트 경로**에는 DataSync에서 마운트할 NFS 내보내기 경로를 입력합니다.
이 경로(또는 경로의 하위 디렉터리)는 DataSync가 데이터를 전송하고 전송 받는 곳입니다. 자세한 설명은 [NFS 내보내기 구성](#accessing-nfs-configuring-export)섹션을 참조하세요.
1. (선택 사항) **추가 설정**을 확장하고 DataSync가 파일 서버에 액세스할 때 사용할 특정 **NFS 버전**을 선택합니다.
자세한 설명은 [지원되는 NFS 버전](#supported-nfs-versions)섹션을 참조하세요.
1. (선택 사항) **태그 추가**를 선택하여 NFS 위치에 태그를 지정합니다.
*태그*는 위치를 관리, 필터링 및 검색하는 데 도움이 되는 키-값 페어입니다. 위치에 이름 태그를 하나 이상 생성하는 것이 좋습니다.
1. **위치 생성**을 선택합니다.
### 사용 AWS CLI
+ 다음 명령을 사용하여 NFS 위치를 생성합니다.
```
aws datasync create-location-nfs \
--server-hostname nfs-server-address \
--on-prem-config AgentArns=datasync-agent-arns \
--subdirectory nfs-export-path
```
위치 생성에 대한 자세한 정보는 [DataSync에 NFS 파일 서버 액세스 권한 제공](#accessing-nfs)(을)를 참조하세요.
NFS 위치에서 읽는 데 사용하는 NFS 버전을 DataSync가 자동으로 선택합니다. NFS 버전을 지정하려면 [NfsMountOptions](API_NfsMountOptions.md) API 작업에서 선택적 `Version` 파라미터를 사용합니다.
이들 명령은 다음과 같은 Amazon 리소스 이름(ARN)과 비슷한 NFS 위치의 ARN을 반환합니다.
```
{
"LocationArn": "arn:aws:datasync:us-east-1:111222333444:location/loc-0f01451b140b2af49"
}
```
디렉터리를 탑재할 수 있는지 확인하려면 에이전트와 동일한 네트워크 구성을 가진 컴퓨터에 연결하여 다음 명령을 실행하세요.
```
mount -t nfs -o nfsvers=
를 사용하면 SMB(Server Message Block) 파일 서버와 다음 AWS 스토리지 서비스 간에 데이터를 전송할 AWS DataSync수 있습니다. 지원되는 스토리지 서비스는 아래와 같이 작업 모드에 따라 달라집니다.
| 기본 모드 | 확장 모드 |
| --- | --- |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/datasync/latest/userguide/create-smb-location.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/datasync/latest/userguide/create-smb-location.html) |
이러한 종류의 전송을 설정하려면 SMB 파일 서버의 [위치](how-datasync-transfer-works.md#sync-locations)를 생성해야 합니다. 이를 전송의 소스 또는 대상으로 사용할 수 있습니다. 원하는 작업 모드에 해당하는 에이전트를 사용해야 합니다.
## DataSync에 SMB 파일 서버 액세스 권한 제공
DataSync는 SMB 프로토콜을 사용하여 파일 서버에 연결하고 NTLM 또는 Kerberos로 인증할 수 있습니다.
**Topics**
+ [지원되는 SMB 버전](#configuring-smb-version)
+ [NTLM 인증 사용](#configuring-smb-ntlm-authentication)
+ [Kerberos 인증 사용](#configuring-smb-kerberos-authentication)
+ [필수 권한](#configuring-smb-permissions)
+ [DFS 네임스페이스](#configuring-smb-location-dfs)
### 지원되는 SMB 버전
기본적으로 DataSync는 SMB 파일 서버와의 협상을 기반으로 SMB 프로토콜 버전을 자동으로 선택합니다.
특정 SMB 버전을 사용하도록 DataSync를 구성할 수도 있지만 DataSync가 SMB 파일 서버와 자동으로 협상하는 데 문제가 있는 경우에만 이렇게 하는 것이 좋습니다. DataSync는 SMB 버전 1.0 이상을 지원합니다. 보안상의 이유로 SMB 버전 3.0.2 이상을 사용하는 것이 좋습니다. SMB 1.0과 같은 이전 버전에는 알려진 보안 취약성이 포함되어 있어, 공격자가 데이터를 손상시키기 위해 이를 악용할 수 있습니다.
DataSync 콘솔 및 API의 옵션 목록은 다음 표를 참조하세요.
| 콘솔 옵션 | API 옵션 | 설명 |
| --- | --- | --- |
| 자동 | `AUTOMATIC` | DataSync와 SMB 파일 서버는 2.1과 3.1.1 사이에서 상호 지원하는 SMB의 가장 높은 버전을 협상합니다. 이는 기본값이며 권장 옵션입니다. 대신 파일 서버에서 지원하지 않는 특정 버전을 선택하면 `Operation Not Supported` 오류가 발생할 수 있습니다. |
| SMB 3.0.2 | `SMB3` | 프로토콜 협상을 SMB 버전 3.0.2로만 제한합니다. |
| SMB 2.1 | `SMB2` | 프로토콜 협상을 SMB 버전 2.1로만 제한합니다. |
| SMB 2.0 | `SMB2_0` | 프로토콜 협상을 SMB 버전 2.0으로만 제한합니다. |
| SMB 1.0 | `SMB1` | 프로토콜 협상을 SMB 버전 1.0으로만 제한합니다. |
### NTLM 인증 사용
NTLM 인증을 사용하려면 사용자 이름과 암호를 제공하여 DataSync가 전송을 주고 받는 SMB 파일 서버에 액세스하도록 허용합니다. 해당 사용자는 파일 서버의 로컬 사용자이거나 Microsoft Active Directory의 도메인 사용자일 수 있습니다.
### Kerberos 인증 사용
Kerberos 인증을 사용하려면 Kerberos 보안 주체, Kerberos 키 테이블(키 탭) 파일, Kerberos 구성 파일을 제공하여 DataSync가 전송을 주고 받는 SMB 파일 서버에 액세스하도록 허용합니다.
**Topics**
+ [사전 조건](#configuring-smb-kerberos-prerequisites)
+ [Kerberos에 대한 DataSync 구성 옵션](#configuring-smb-kerberos-options)
#### 사전 조건
몇 가지 Kerberos 아티팩트를 생성하고 네트워크를 구성하면 DataSync가 SMB 파일 서버에 액세스할 수 있습니다.
+ [ktpass](https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/ktpass) 또는 [kutil](https://web.mit.edu/kerberos/krb5-1.12/doc/admin/admin_commands/ktutil.html) 유틸리티를 사용하여 Kerberos 키탭 파일을 생성합니다.
다음 예시에서는 `ktpass`를 사용하여 키탭 파일을 생성합니다. 지정한 Kerberos 영역(`MYDOMAIN.ORG`)은 대문자여야 합니다.
```
ktpass /out C:\YOUR_KEYTAB.keytab /princ HOST/kerberosuser@MYDOMAIN.ORG /mapuser kerberosuser /pass * /crypto AES256-SHA1 /ptype KRB5_NT_PRINCIPAL
```
+ 간소화된 버전의 Kerberos 구성 파일(`krb5.conf`)을 준비합니다. 영역, 도메인 관리자 서버의 위치, Kerberos 영역에 대한 호스트 이름 매핑에 대한 정보를 포함합니다.
`krb5.conf` 콘텐츠가 영역 및 도메인 영역 이름에 대한 올바른 대/소문자 형식으로 혼합되어 있는지 확인합니다. 예제:
```
[libdefaults]
dns_lookup_realm = true
dns_lookup_kdc = true
forwardable = true
default_realm = MYDOMAIN.ORG
[realms]
MYDOMAIN.ORG = {
kdc = mydomain.org
admin_server = mydomain.org
}
[domain_realm]
.mydomain.org = MYDOMAIN.ORG
mydomain.org = MYDOMAIN.ORG
```
+ 네트워크 구성에서 Kerberos 키 분배 센터(KDC) 서버 포트가 열려 있는지 확인합니다. KDC 포트는 일반적으로 TCP 포트 88입니다.
#### Kerberos에 대한 DataSync 구성 옵션
Kerberos를 사용하는 SMB 위치를 생성할 때 다음 옵션을 구성합니다.
| 콘솔 옵션 | API 옵션 | 설명 |
| --- | --- | --- |
| **SMB 서버** | `ServerHostName` | DataSync 에이전트가 탑재할 SMB 파일 서버의 도메인 이름입니다. Kerberos에서는 파일 서버의 IP 주소를 지정할 수 없습니다. |
| **Kerberos 보안 주체** | `KerberosPrincipal` | Kerberos 영역의 자격 증명으로, SMB 파일 서버의 파일, 폴더, 파일 메타데이터에 액세스할 권한을 가집니다. Kerberos 보안 주체는 `HOST/kerberosuser@MYDOMAIN.ORG`처럼 보일 수 있습니다. 보안 주체 이름은 대/소문자를 구분합니다. |
| **키탭 파일** | `KerberosKeytab` | Kerberos 보안 주체와 암호화 키 간의 매핑을 포함하는 Kerberos 키 테이블(키탭) 파일입니다. |
| **Kerberos 구성 파일** | `KerberosKrbConf` | Kerberos 영역 구성을 정의하는 `krb5.conf` 파일입니다. |
| **DNS IP 주소**(선택 사항) | `DnsIpAddresses` | SMB 파일 서버가 속한 DNS 서버의 IPv4 주소입니다. 환경에 여러 도메인이 있는 경우 이를 구성하면 DataSync가 올바른 SMB 파일 서버에 연결되도록 할 수 있습니다. |
### 필수 권한
DataSync에 SMB 파일 서버의 파일, 폴더, 파일 메타데이터를 탑재하고 액세스하기 위한 필수 권한을 제공해야 합니다.
Active Directory에 자격 증명을 제공하는 경우, 이는 다음 사용자 권한 중 하나 또는 둘 다([DataSync가 복사할 메타데이터](configure-metadata.md)에 따라 다름)를 가진 Active Directory 그룹의 구성원이어야 합니다.
| 사용자 권한 | 설명 |
| --- | --- |
| **파일 및 디렉터리 복원**(`SE_RESTORE_NAME`) | DataSync가 객체 소유권, 권한, 파일 메타데이터, NTFS 임의 액세스 목록(DACL)을 복사하도록 허용합니다. 이 사용자 권한은 일반적으로 **도메인 관리자** 및 **백업 운영자** 그룹(둘 다 기본 Active Directory 그룹)의 멤버에게 부여됩니다. |
| **감사 및 보안 로그 관리**(`SE_SECURITY_NAME`) | DataSync가 NTFS 시스템 액세스 제어 목록(SACL)을 복사하도록 허용합니다. 이 사용자 권한은 일반적으로 **도메인 관리자** 그룹의 멤버에게 부여됩니다. |
Windows ACL을 복사하려는 경우와 SMB 파일 서버 및 SMB를 사용하는 다른 스토리지 시스템(예: Amazon FSx for Windows File Server 또는 FSx for ONTAP) 간에 전송하는 경우, DataSync에 제공하는 자격 증명은 같은 Active Directory 도메인에 속하거나 도메인 간에 Active Directory 신뢰 관계가 있어야 합니다.
### DFS 네임스페이스
DataSync는 Microsoft 분산 파일 시스템(DFS) 네임스페이스를 지원하지 않습니다. DataSync 위치를 생성할 때 기본 파일 서버 또는 공유를 지정하는 것이 좋습니다.
## SMB 전송 위치 생성
시작하려면 데이터를 전송할 SMB 파일 서버가 필요합니다.
### DataSync 콘솔 사용
1. [https://console.aws.amazon.com/datasync/](https://console.aws.amazon.com/datasync/) AWS DataSync 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **데이터 전송**을 펼친 다음, **위치**와 **위치 생성**을 선택합니다.
1. **Location type(위치 유형)**에서 **Server Message Block (SMB)(SMB(Server Message Block))**을 선택합니다.
나중에 이 위치를 소스 또는 대상 주소로서 구성합니다.
1. **에이전트**에서 SMB 파일 서버에 연결할 수 있는 DataSync 에이전트를 선택합니다.
2개 이상의 에이전트를 선택할 수 있습니다. 자세한 내용은 [여러 DataSync 에이전트 사용](do-i-need-datasync-agent.md#multiple-agents) 단원을 참조하십시오.
1. **SMB 서버**에서 DataSync 에이전트가 탑재할 SMB 파일 서버의 도메인 이름 또는 IP 주소를 입력합니다.
이 설정에서는 다음 사항에 유의하세요.
+ IP 버전 6(IPv6) 주소는 지정할 수 없습니다.
+ Kerberos 인증을 사용하는 경우 도메인 이름을 지정해야 합니다.
1. **공유 이름**에는 DataSync가 데이터를 읽거나 쓸 SMB 파일 서버에서 내보낸 공유의 이름을 입력합니다.
공유 경로에 하위 디렉토리(예: `/path/to/subdirectory`)를 포함할 수 있습니다. 네트워크의 다른 SMB 클라이언트도 이 경로를 마운트할 수 있는지 확인하세요.
하위 디렉터리의 모든 데이터를 복사하려면 DataSync가 SMB 공유를 마운트하고 모든 데이터에 액세스할 수 있어야 합니다. 자세한 설명은 [필수 권한](#configuring-smb-permissions)섹션을 참조하세요.
1. (선택 사항) **추가 설정**을 확장하고 DataSync가 파일 서버에 액세스할 때 사용할 **SMB 버전**을 선택합니다.
기본적으로 DataSync는 SMB 파일 서버와의 협상을 기반으로 버전을 자동으로 선택합니다. 자세한 내용은 [지원되는 SMB 버전](#configuring-smb-version) 단원을 참조하세요.
1. **인증 유형**에서 **NTLM** 또는 **Kerberos**를 선택합니다.
1. 선택한 인증 유형에 따라 다음 중 하나를 수행합니다.
------
#### [ NTLM ]
+ **사용자**에는 SMB 파일 서버를 마운트할 수 있고 전송과 관련된 파일 및 폴더에 액세스할 수 있는 권한을 가진 사용자 이름을 입력합니다.
자세한 설명은 [필수 권한](#configuring-smb-permissions)섹션을 참조하세요.
+ **암호**에는 SMB 파일 서버를 마운트할 수 있고 전송과 관련된 파일 및 폴더에 액세스할 수 있는 권한을 가진 사용자의 암호를 입력합니다.
+ (선택 사항) **도메인**에는 SMB 파일 서버가 속하는 Windows 도메인 이름을 입력합니다.
환경에 여러 도메인이 있는 경우 이 설정을 구성하면 DataSync가 올바른 SMB 파일 서버에 연결할 수 있습니다.
------
#### [ Kerberos ]
+ **Kerberos 보안 주체**에서 SMB 파일 서버의 파일, 폴더, 파일 메타데이터에 액세스할 권한이 있는 보안 주체를 Kerberos 영역에 지정합니다.
Kerberos 보안 주체는 `HOST/kerberosuser@MYDOMAIN.ORG`처럼 보일 수 있습니다.
보안 주체 이름은 대/소문자를 구분합니다. 이 설정에 대해 지정한 보안 주체가 키탭 파일 생성에 사용하는 보안 주체와 정확히 일치하지 않으면 DataSync 작업 실행이 실패합니다.
+ **Keytab 파일**에서 Kerberos 보안 주체와 암호화 키 간의 매핑을 포함하는 키탭 파일을 업로드합니다.
+ **Kerberos 구성 파일**에서 Kerberos 영역 구성을 정의하는 `krb5.conf` 파일을 업로드합니다.
+ (선택 사항) **DNS IP 주소**에서 SMB 파일 서버가 속한 DNS 서버에 대해 최대 2개의 IPv4 주소를 지정합니다.
환경에 여러 도메인이 있는 경우 이 파라미터를 구성하면 DataSync가 올바른 SMB 파일 서버에 연결되도록 할 수 있습니다.
------
1. (선택 사항) **태그 추가**를 선택하여 SMB 위치에 태그를 지정합니다.
*태그*는 위치를 관리, 필터링 및 검색하는 데 도움이 되는 키-값 페어입니다. 위치에 이름 태그를 하나 이상 생성하는 것이 좋습니다.
1. **위치 생성**을 선택합니다.
### 사용 AWS CLI
다음 지침은 NTLM 또는 Kerberos 인증을 사용하여 SMB 위치를 생성하는 방법을 설명합니다.
------
#### [ NTLM ]
1. 다음 `create-location-smb`명령을 복사합니다.
```
aws datasync create-location-smb \
--agent-arns datasync-agent-arns \
--server-hostname smb-server-address \
--subdirectory smb-export-path \
--authentication-type "NTLM" \
--user user-who-can-mount-share \
--password user-password \
--domain windows-domain-of-smb-server
```
1. `--agent-arns`에서 SMB 파일 서버에 연결할 DataSync 에이전트를 지정합니다.
2개 이상의 에이전트를 선택할 수 있습니다. 자세한 내용은 [여러 DataSync 에이전트 사용](do-i-need-datasync-agent.md#multiple-agents) 단원을 참조하십시오.
1. `--server-hostname`에서 DataSync 에이전트가 탑재할 SMB 파일 서버의 도메인 이름 또는 IPv4 주소를 지정합니다.
1. `--subdirectory`에서 DataSync가 데이터를 읽거나 쓸 SMB 파일 서버에서 내보낸 공유 이름을 지정합니다.
공유 경로에 하위 디렉토리(예: `/path/to/subdirectory`)를 포함할 수 있습니다. 네트워크의 다른 SMB 클라이언트도 이 경로를 마운트할 수 있는지 확인하세요.
하위 디렉터리의 모든 데이터를 복사하려면 DataSync가 SMB 공유를 마운트하고 모든 데이터에 액세스할 수 있어야 합니다. 자세한 내용은 [필수 권한](#configuring-smb-permissions) 단원을 참조하십시오.
1. `--user`에서 사용자의 SMB 파일 서버를 탑재할 수 있고 전송과 관련된 파일 및 폴더에 액세스할 권한을 가진 사용자 이름을 지정합니다.
자세한 내용은 [필수 권한](#configuring-smb-permissions) 단원을 참조하십시오.
1. `--password`에서 사용자 SMB 파일 서버를 탑재하고 전송과 관련된 파일과 폴더에 액세스할 권한이 있는 사용자의 암호를 지정합니다.
1. (선택 사항) `--domain`에서 SMB 파일 서버가 속한 Windows 도메인 이름을 지정합니다.
환경에 여러 도메인이 있는 경우 이 설정을 구성하면 DataSync가 올바른 SMB 파일 서버에 연결할 수 있습니다.
1. (선택 사항) DataSync가 특정 SMB 버전을 사용하도록 하려면 `--version` 옵션을 추가합니다. 자세한 내용은 [지원되는 SMB 버전](#configuring-smb-version) 단원을 참조하십시오.
1. `create-location-smb` 명령을 실행합니다.
명령이 성공하면 생성한 위치의 ARN을 보여주는 응답을 받게 됩니다. 예제:
```
{
"arn:aws:datasync:us-east-1:123456789012:location/loc-01234567890example"
}
```
------
#### [ Kerberos ]
1. 다음 `create-location-smb`명령을 복사합니다.
```
aws datasync create-location-smb \
--agent-arns datasync-agent-arns \
--server-hostname smb-server-address \
--subdirectory smb-export-path \
--authentication-type "KERBEROS" \
--kerberos-principal "HOST/kerberosuser@EXAMPLE.COM" \
--kerberos-keytab "fileb://path/to/file.keytab" \
--kerberos-krb5-conf "file://path/to/krb5.conf" \
--dns-ip-addresses array-of-ipv4-addresses
```
1. `--agent-arns`에서 SMB 파일 서버에 연결할 DataSync 에이전트를 지정합니다.
2개 이상의 에이전트를 선택할 수 있습니다. 자세한 내용은 [여러 DataSync 에이전트 사용](do-i-need-datasync-agent.md#multiple-agents) 단원을 참조하십시오.
1. `--server-hostname`에서 DataSync 에이전트가 탑재할 SMB 파일 서버의 도메인 이름을 지정합니다.
1. `--subdirectory`에서 DataSync가 데이터를 읽거나 쓸 SMB 파일 서버에서 내보낸 공유 이름을 지정합니다.
공유 경로에 하위 디렉토리(예: `/path/to/subdirectory`)를 포함할 수 있습니다. 네트워크의 다른 SMB 클라이언트도 이 경로를 마운트할 수 있는지 확인하세요.
하위 디렉터리의 모든 데이터를 복사하려면 DataSync가 SMB 공유를 마운트하고 모든 데이터에 액세스할 수 있어야 합니다. 자세한 내용은 [필수 권한](#configuring-smb-permissions) 단원을 참조하십시오.
1. Kerberos 옵션의 경우 다음을 수행합니다.
+ `--kerberos-principal`: SMB 파일 서버의 파일, 폴더, 파일 메타데이터에 액세스할 권한이 있는 보안 주체를 Kerberos 영역에 지정합니다.
Kerberos 보안 주체는 `HOST/kerberosuser@MYDOMAIN.ORG`처럼 보일 수 있습니다.
보안 주체 이름은 대/소문자를 구분합니다. 이 옵션에 대해 지정한 보안 주체가 키탭 파일 생성에 사용하는 보안 주체와 정확히 일치하지 않으면 DataSync 작업 실행이 실패합니다.
+ `--kerberos-keytab`: Kerberos 보안 주체와 암호화 키 간의 매핑을 포함하는 키탭 파일을 지정합니다.
+ `--kerberos-krb5-conf`: Kerberos 영역 구성을 정의하는 `krb5.conf` 파일을 지정합니다.
+ (선택 사항) `--dns-ip-addresses`: SMB 파일 서버가 속한 DNS 서버에 대해 최대 2개의 IPv4 주소를 지정합니다.
환경에 여러 도메인이 있는 경우 이 파라미터를 구성하면 DataSync가 올바른 SMB 파일 서버에 연결되도록 할 수 있습니다.
1. (선택 사항) DataSync가 특정 SMB 버전을 사용하도록 하려면 `--version` 옵션을 추가합니다. 자세한 내용은 [지원되는 SMB 버전](#configuring-smb-version) 단원을 참조하십시오.
1. `create-location-smb` 명령을 실행합니다.
명령이 성공하면 생성한 위치의 ARN을 보여주는 응답을 받게 됩니다. 예제:
```
{
"arn:aws:datasync:us-east-1:123456789012:location/loc-01234567890example"
}
```
------
# HDFS 클러스터를 사용하여 AWS DataSync 전송 구성
를 사용하면 기본 모드 작업을 사용하여 하둡 분산 파일 시스템(HDFS) 클러스터와 다음 AWS 스토리지 서비스 중 하나 간에 데이터를 전송할 AWS DataSync수 있습니다.
+ [Amazon S3](create-s3-location.md)
+ [Amazon EFS](create-efs-location.md)
+ [Amazon FSx for Windows File Server](create-fsx-location.md)
+ [Amazon FSx for Lustre](create-lustre-location.md)
+ [Amazon FSx for OpenZFS](create-openzfs-location.md)
+ [Amazon FSx for NetApp ONTAP](create-ontap-location.md)
이러한 종류의 전송을 설정하려면 HDFS 클러스터의 [위치](how-datasync-transfer-works.md#sync-locations)를 생성해야 합니다. 이 위치를 전송의 소스 또는 대상으로 사용할 수 있습니다.
## DataSync에 HDFS 클러스터 액세스 권한 제공
DataSync는 HDFS 클러스터에 연결하기 위해 HDFS 클러스터에 최대한 가깝게 [배포하는](deploy-agents.md) 기본 모드 에이전트를 사용합니다. DataSync 에이전트는 HDFS 클라이언트 역할을 하며 클러스터의 NameNodes 및 DataNodes와 통신합니다.
전송 작업을 시작하면 DataSync는 클러스터의 파일 및 폴더 위치에 대한 NameNode 쿼리를 제기합니다. HDFS 위치가 소스 위치로 구성된 경우 DataSync는 클러스터의 DataNodes에서 파일 및 폴더 데이터를 읽고 데이터를 대상으로 복사합니다. HDFS 위치가 대상 위치로 구성된 경우 DataSync는 소스에서 클러스터의 DataNodes로 파일 및 폴더를 씁니다.
### Authentication
HDFS 클러스터에 연결할 때 DataSync는 단순 인증 또는 Kerberos 인증을 지원합니다. 단순 인증을 사용하려면 HDFS 클러스터에 대한 읽기 및 쓰기 권한이 있는 사용자의 사용자 이름을 제공하세요. Kerberos 인증을 사용하려면 Kerberos 구성 파일, Kerberos 키 테이블(keytab) 파일 및 Kerberos 보안 주체를 제공하세요. Kerberos 보안 주체의 보안 인증은 제공된 keytab 파일에 있어야 합니다.
### 암호화(Encryption)
Kerberos 인증을 사용하는 경우 DataSync는 DataSync 에이전트와 HDFS 클러스터 간에 전송되는 데이터의 암호화를 지원합니다. HDFS 위치를 생성할 때 HDFS 클러스터의 QOP(Quality of Protection) 구성 설정을 사용하고 QOP 설정을 지정하여 데이터를 암호화합니다. QOP 구성에는 데이터 전송 보호 및 원격 프로시저 호출(RPC) 보호 설정이 포함됩니다.
**DataSync는 다음과 같은 Kerberos 암호화 유형을 지원합니다.**
+ `des-cbc-crc`
+ `des-cbc-md4`
+ `des-cbc-md5`
+ `des3-cbc-sha1`
+ `arcfour-hmac`
+ `arcfour-hmac-exp`
+ `aes128-cts-hmac-sha1-96`
+ `aes256-cts-hmac-sha1-96`
+ `aes128-cts-hmac-sha256-128`
+ `aes256-cts-hmac-sha384-192`
+ `camellia128-cts-cmac`
+ `camellia256-cts-cmac`
투명한 데이터 암호화(TDE)를 사용하여 유휴 시 암호화에 대해 HDFS 클러스터를 구성할 수도 있습니다. 단순 인증을 사용하는 경우 DataSync는 TDE 지원 클러스터를 읽고 씁니다. DataSync를 사용하여 TDE 지원 클러스터에 데이터를 복사하는 경우 먼저 HDFS 클러스터에서 암호화 영역을 구성하세요. DataSync는 암호화 영역을 생성하지 않습니다.
## 지원되지 않는 HDFS 기능
다음과 같은 HDFS의 기능은 현재 DataSync에서 지원되지 않습니다.
+ Kerberos 인증 사용 시 투명한 데이터 암호화(TDE)
+ 다중 NameNode 구성
+ HTTP를 통한 Hadoop HDFS(HTTPFS)
+ POSIX 액세스 제어 목록(ACL)
+ HDFS 확장 속성(xatter)
+ Apache HBase를 사용하는 HDFS 클러스터
## HDFS 전송 위치 생성
이 위치를 DataSync 전송의 소스 또는 대상으로 사용할 수 있습니다.
**시작하기 전**: 다음을 수행하여 에이전트와 Hadoop 클러스터 간의 네트워크 연결을 확인합니다.
+ [온프레미스, 자체 관리형 및 기타 클라우드 스토리지에 대한 네트워크 요구 사항](datasync-network.md#on-premises-network-requirements)에 나열된 TCP 포트에 대한 액세스를 테스트합니다.
+ 로컬 에이전트와 Hadoop 클러스터 간의 액세스를 테스트합니다. 지침은 [에이전트의 스토리지 시스템 연결 확인](test-agent-connections.md#self-managed-storage-connectivity) 섹션을 참조하세요.
### DataSync 콘솔 사용
1. [https://console.aws.amazon.com/datasync/](https://console.aws.amazon.com/datasync/) AWS DataSync 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **데이터 전송**을 펼친 다음, **위치**와 **위치 생성**을 선택합니다.
1. **위치 유형**에서 **Hadoop 분산 파일 시스템(HDFS)**을 선택합니다.
나중에 이 위치를 소스 또는 대상으로 구성할 수 있습니다.
1. **에이전트**에서 HDFS 클러스터에 연결할 수 있는 에이전트를 선택합니다.
2개 이상의 에이전트를 선택할 수 있습니다. 자세한 내용은 [여러 DataSync 에이전트 사용](do-i-need-datasync-agent.md#multiple-agents) 단원을 참조하십시오.
1. **NameNode**에서 HDFS 클러스터의 기본 NameNode의 도메인 이름 또는 IP 주소를 입력합니다.
1. **폴더**에서 DataSync가 데이터 전송에 사용하길 원하는 HDFS 클러스터의 폴더를 입력합니다.
HDFS 위치가 소스인 경우 DataSync는 이 폴더의 파일을 대상으로 복사합니다. 위치가 대상인 경우 DataSync는 이 폴더에 파일을 씁니다.
1. **블록 크기** 또는 **복제 인수**를 설정하려면 **추가 설정**을 선택합니다.
기본 블록 크기는 128MiB입니다. 제공하는 블록 크기는 512바이트의 배수여야 합니다.
HDFS 클러스터로 전송할 때 기본 복제 인수는 세 개의 DataNode입니다.
1. **보안** 섹션에서 HDFS 클러스터에 사용되는 **인증 유형**을 선택합니다.
+ **단순** – **사용자**에, HDFS 클러스터에서 다음 권한을 가진 사용자 이름을 지정합니다(사용 사례에 따라 다름).
+ 이 위치를 소스 위치로 사용하려는 경우 읽기 권한만 있는 사용자를 지정합니다.
+ 이 위치를 대상 위치로 사용하려는 경우 읽기 권한과 쓰기 권한이 있는 사용자를 지정합니다.
선택적으로, HDFS 클러스터의 키 관리 서버(KMS) URI를 지정합니다.
+ **Kerberos** – HDFS 클러스터에 액세스할 수 있는 Kerberos **보안 주체를** 지정합니다. 다음으로, 제공된 Kerberos 보안 주체가 포함된 **KeyTab 파일**을 제공합니다. 그런 다음 **Kerberos 구성 파일**을 제공합니다. 마지막으로 **RPC 보호** 및 **데이터 전송 보호** 드롭다운 목록에서 전송 중 암호화 보호 유형을 지정합니다.
1. (선택 사항) **태그 추가**를 선택하여 HDFS 위치에 태그를 지정합니다.
*태그*는 위치를 관리, 필터링 및 검색하는 데 도움이 되는 키-값 페어입니다. 위치에 이름 태그를 하나 이상 생성하는 것이 좋습니다.
1. **위치 생성**을 선택합니다.
### 사용 AWS CLI
1. 다음 `create-location-hdfs`명령을 복사합니다.
```
aws datasync create-location-hdfs --name-nodes [{"Hostname":"host1", "Port": 8020}] \
--authentication-type "SIMPLE|KERBEROS" \
--agent-arns [arn:aws:datasync:us-east-1:123456789012:agent/agent-01234567890example] \
--subdirectory "/path/to/my/data"
```
1. `--name-nodes` 파라미터에서 HDFS 클러스터의 기본 NameNode의 호스트 이름 또는 IP 주소와 NameNode가 수신 대기 중인 TCP 포트를 지정합니다.
1. `--authentication-type` 파라미터에서 Hadoop 클러스터에 연결할 때 사용할 인증 유형을 지정합니다. `SIMPLE` 또는 `KERBEROS`를 지정할 수 있습니다.
`SIMPLE` 인증을 사용하는 경우 `--simple-user`파라미터를 사용하여 사용자의 사용자 이름을 지정합니다. `KERBEROS` 인증을 사용하는 경우 `--kerberos-principal`, `--kerberos-keytab`, 및 `--kerberos-krb5-conf`파라미터를 사용합니다. 자세한 내용은 [create-location-hdfs](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/datasync/create-location-hdfs.html)를 참조하세요.
1. `--agent-arns` 파라미터에서 HDFS 클러스터에 연결할 수 있는 DataSync 에이전트의 ARN을 지정합니다.
2개 이상의 에이전트를 선택할 수 있습니다. 자세한 내용은 [여러 DataSync 에이전트 사용](do-i-need-datasync-agent.md#multiple-agents) 단원을 참조하십시오.
1. (선택 사항) `--subdirectory` 파라미터에서 DataSync가 데이터 전송에 사용할 HDFS 클러스터의 폴더를 지정합니다.
HDFS 위치가 소스인 경우 DataSync는 이 폴더의 파일을 대상으로 복사합니다. 위치가 대상인 경우 DataSync는 이 폴더에 파일을 씁니다.
1. `create-location-hdfs` 명령을 실행합니다.
명령이 성공하면 생성한 위치의 ARN을 보여주는 응답을 받게 됩니다. 예제:
```
{
"arn:aws:datasync:us-east-1:123456789012:location/loc-01234567890example"
}
```
# 객체 스토리지 시스템을 사용하는 DataSync 전송 구성
를 사용하면 기본 모드 작업을 사용하여 객체 스토리지 시스템과 다음 AWS 스토리지 서비스 중 하나 간에 데이터를 전송할 AWS DataSync수 있습니다.
+ [Amazon S3](create-s3-location.md)
+ [Amazon EFS](create-efs-location.md)
+ [Amazon FSx for Windows File Server](create-fsx-location.md)
+ [Amazon FSx for Lustre](create-lustre-location.md)
+ [Amazon FSx for OpenZFS](create-openzfs-location.md)
+ [Amazon FSx for NetApp ONTAP](create-ontap-location.md)
이러한 종류의 전송을 설정하려면 객체 스토리지 시스템의 [위치](how-datasync-transfer-works.md#sync-locations)를 생성해야 합니다. 이 위치를 전송의 소스 또는 대상으로 사용할 수 있습니다. 온프레미스 객체 스토리지에서 데이터를 전송하려면 기본 모드 DataSync 에이전트가 필요합니다.
## 사전 조건
DataSync가 연결하려면 클라우드 객체 스토리지 시스템이 다음의 [Amazon S3 API 작업](https://docs.aws.amazon.com/AmazonS3/latest/API/API_Operations.html)과 호환되어야 합니다.
+ `AbortMultipartUpload`
+ `CompleteMultipartUpload`
+ `CopyObject`
+ `CreateMultipartUpload`
+ `DeleteObject`
+ `DeleteObjects`
+ `DeleteObjectTagging`
+ `GetBucketLocation`
+ `GetObject`
+ `GetObjectTagging`
+ `HeadBucket`
+ `HeadObject`
+ `ListObjectsV2`
+ `PutObject`
+ `PutObjectTagging`
+ `UploadPart`
## 객체 스토리지 전송 위치 생성
시작하려면 데이터를 주고받으며 전송할 객체 스토리지 시스템이 필요합니다.
### DataSync 콘솔 사용
1. [https://console.aws.amazon.com/datasync/](https://console.aws.amazon.com/datasync/) AWS DataSync 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **데이터 전송**을 펼친 다음, **위치**와 **위치 생성**을 선택합니다.
1. **위치 유형**에서 **객체 스토리지**를 선택합니다.
나중에 이 위치를 소스 또는 대상 주소로서 구성합니다.
1. **서버**에는 객체 스토리지 서버의 도메인 이름 또는 IP 주소를 지정합니다.
1. **버킷 이름**에는 전송과 관련된 객체 스토리지 버킷의 이름을 입력합니다.
1. **폴더**에는 객체 접두사를 입력합니다.
DataSync는 이 접두사가 있는 객체만 복사합니다.
1. 전송에 에이전트가 필요한 경우 **에이전트 사용**을 선택한 다음 DataSync 에이전트를 선택하여 객체 스토리지 시스템에 연결합니다.
일부 전송에는 에이전트가 필요하지 않습니다. 다른 시나리오에서는 둘 이상의 에이전트를 사용하는 것이 좋을 수 있습니다. 자세한 내용은 [DataSync 에이전트가 필요하지 않은 상황](do-i-need-datasync-agent.md#when-agent-not-required) 및 [여러 DataSync 에이전트 사용](do-i-need-datasync-agent.md#multiple-agents) 섹션을 참조하세요.
1. 객체 스토리지 서버에 대한 연결을 구성하려면 **추가 설정**을 확장하고 다음을 수행하세요.
1. **서버 프로토콜**에서 **HTTP** 또는 **HTTPS**를 선택합니다.
1. **서버 포트**에는 기본 포트(HTTP의 경우 **80**, HTTPS의 경우 **443**)를 사용하거나 필요한 경우 사용자 지정 포트를 지정합니다.
1. **인증서**에서 객체 스토리지 시스템이 프라이빗 또는 자체 서명된 인증 기관(CA)을 사용하는 경우 **파일 선택**을 선택하고 전체 인증서 체인이 있는 단일 `.pem` 파일을 지정합니다.
인증서 체인에는 다음이 포함될 수 있습니다.
+ 객체 스토리지 시스템의 인증서
+ 모든 중간 인증서(있는 경우)
+ 서명 CA의 루트 인증서
인증서를 `.pem` 파일로 연결할 수 있습니다(base64 인코딩 전 최대 32,768바이트). 다음 예제의 `cat` 명령은 세 개의 인증서가 포함된 `object_storage_certificates.pem` 파일을 생성합니다.
```
cat object_server_certificate.pem intermediate_certificate.pem ca_root_certificate.pem > object_storage_certificates.pem
```
1. 객체 스토리지 서버가 액세스를 위해 자격 증명을 요구하는 경우 **자격 증명 필요**를 선택하고 버킷에 액세스하기 위한 **액세스 키**를 입력합니다. 그런 다음 **보안 키를** 직접 입력하거나 키가 포함된 AWS Secrets Manager 보안 암호를 지정합니다. 자세한 내용은 [스토리지 위치에 대한 자격 증명 제공](https://docs.aws.amazon.com/datasync/latest/userguide/location-credentials.html)을 참조하세요.
액세스 키와 비밀 키는 각각 사용자 이름과 암호일 수 있습니다.
1. (선택 사항) **태그 추가**를 선택하여 객체 스토리지 위치에 태그를 지정합니다.
*태그*는 위치를 관리, 필터링 및 검색하는 데 도움이 되는 키-값 페어입니다. 위치에 이름 태그를 하나 이상 생성하는 것이 좋습니다.
1. **위치 생성**을 선택합니다.
### 사용 AWS CLI
1. 다음 `create-location-object-storage`명령을 복사합니다.
```
aws datasync create-location-object-storage \
--server-hostname object-storage-server.example.com \
--bucket-name your-bucket \
--agent-arns arn:aws:datasync:us-east-1:123456789012:agent/agent-01234567890deadfb
```
1. 명령에서 다음 필수 파라미터를 지정합니다.
+ `--server-hostname` – 객체 스토리지 서버의 도메인 이름 또는 IP 주소를 지정합니다.
+ `--bucket-name` – 전송을 보내거나 받는 객체 스토리지 서버의 버킷 이름을 지정합니다.
1. (선택 사항) 명령에 다음 파라미터 중 하나를 추가합니다.
+ `--agent-arns` – 객체 스토리지 서버에 연결할 DataSync 에이전트를 지정합니다.
+ `--server-port` – 객체 스토리지 서버가 인바운드 네트워크 트래픽을 수락하는 포트(예: 포트 `443`)를 지정합니다.
+ `--server-protocol` – 객체 스토리지 서버의 통신에 사용되는 프로토콜(`HTTP` 또는 `HTTPS`)을 지정합니다.
+ `--access-key` – 객체 스토리지 서버에 인증하는 데 보안 인증이 필요한 경우 액세스 키(예: 사용자 이름)를 지정합니다.
+ `--secret-key` – 객체 스토리지 서버에 인증하는 데 보안 인증이 필요한 경우 보안 암호 키(예: 암호)를 지정합니다.
또한 AWS Secrets Manager를 사용하여 키를 보호하기 위한 추가 파라미터를 제공할 수 있습니다. 자세한 내용은 [스토리지 위치에 대한 자격 증명 제공](https://docs.aws.amazon.com/datasync/latest/userguide/location-credentials.html)을 참조하세요.
+ `--server-certificate`-시스템이 프라이빗 또는 자체 서명 인증 기관(CA)을 사용하는 경우 DataSync가 객체 스토리지 시스템으로 인증하기 위한 인증서 체인을 지정합니다. 전체 인증서 체인(예: `file:///home/user/.ssh/object_storage_certificates.pem`)이 있는 단일 `.pem` 파일을 지정해야 합니다.
인증서 체인에는 다음이 포함될 수 있습니다.
+ 객체 스토리지 시스템의 인증서
+ 모든 중간 인증서(있는 경우)
+ 서명 CA의 루트 인증서
인증서를 `.pem` 파일로 연결할 수 있습니다(base64 인코딩 전 최대 32,768바이트). 다음 예제의 `cat` 명령은 세 개의 인증서가 포함된 `object_storage_certificates.pem` 파일을 생성합니다.
```
cat object_server_certificate.pem intermediate_certificate.pem ca_root_certificate.pem > object_storage_certificates.pem
```
+ `--subdirectory` – 객체 스토리지 서버의 객체 접두사를 지정합니다.
DataSync는 이 접두사가 있는 객체만 복사합니다.
+ `--tags` – 리소스에 추가하려는 태그를 나타내는 키-값 페어를 지정합니다.
태그는 리소스 관리, 필터링 및 검색에 도움이 됩니다. 위치에 이름 태그를 생성하는 것이 좋습니다.
1. `create-location-object-storage` 명령을 실행합니다.
방금 생성한 위치 ARN을 보여주는 응답을 받게 됩니다.
```
{
"LocationArn": "arn:aws:datasync:us-east-1:123456789012:location/loc-01234567890abcdef"
}
```