[Amazon FSx] AWS Managed Microsoft AD를 이용한 FSx 파일 시스템 구성

본 포스팅에서는 AWS Directory Service를 이용하여 AWS Managed Microsoft AD를 구성하고, Windows 기반의 EC2를 생성하여 해당 서버에서 Amazon FSx를 이용한 파일 시스템에 접근하는 방법을 테스트한다.

1. Active Directory 구성
2. FSx 파일 시스템의 Client Compute(EC2) 구성
3. FSx 파일 시스템 구성
4. Client EC2에서 파일 시스템 연결

 

☄️ To-Be Architecture

 

Amazon FSx for Windows File Server를 구성하기 위해서는 Active Directory가 사전에 구성되어 있어야 한다.

Amazon FSx는 Microsoft AD(Active Directory)와 함께 작동하여 기존 Windows 환경과 통합된다. Amazon FSx를 이용하여 파일 시스템을 생성하는 경우, Active Directory에 조인되어 사용자 인증과 파일, 폴더 수준의 액세스 제어를 제공받아야 한다.

(EC2는 접근하기 편리하도록 public 서브넷에 구성하였습니다.)

 

 

1. Active Directory 구성

AWS Directory Service를 이용하여 directory를 생성한다.

• Directory type: AWS Manage Microsoft AD
• Directory DNS name: corp.example.com
• Admin password 설정
• Network(VPC, Subnet) 설정

 

2. EC2 구성

2-1. IAM Role 생성

아래 두 AWS managed Policy 연결한 IAM Role을 생성한다.

• AmazonSSMManagedInstanceCore : AWS Systems Manager 서비스 핵심 기능을 사용
• AmazonSSMDirectoryServiceAccess : SSM Agent가 관리되는 인스턴스에 도메인 조인을 위해 대신 Directory Service에 액세스 가능

2-2. Security Group 생성

우선 RDP를 통해 접속할 수 있도록 3389 포트를 오픈한다.

2-3. EC2 생성

• OS: Windows
• Network(VPC, Subnet) 설정
• 2-2에서 생성한 Security Group 연결
• IAM instance profile : 2-1에서 생성한 IAM Role 연결
• Domain join directory 지정 : 1에서 생성한 directory 선택 (생성 시 directory join을 누락한 경우, 2-4 참고)

2-4. (참고) EC2 생성 후, AWS Managed Directory에 조인하는 경우

(1) DNS Server Address 를 directory DNS Server address로 변경한다.

win+R > ncpa.cpl

⇒ 연결 가능한 네트워크 커넥션 > 우측 마우스 > [속성(Properties)] 버튼 클릭

⇒ [ Internet Protocol Version 4(TCP/IPv4) ] 더블클릭

⇒ DNS Server adress를 자동으로 부여받지 않고, 직접 입력하는 것으로 변경

⇒ 1에서 생성한 directory의 DNS Server 주소로 변경 및 적용

Directory의 DNS 주소는 Networking & security 탭의 Networking details에서 확인 가능

(2) Computer Name/Domain 변경 (서버 재시작 필요)

win+R > sysdm.cpl

⇒ [ Change ] 버튼 클릭

⇒ 1에서 생성한 Directory의 Full Domain명 입력 (corp.example.com)

⇒ AD directory 생성 시 입력했던 Admin 계정 정보 입력

 

 

3. FSx 파일 시스템 생성 (AWS FSx for Windows File Server)

3-1. Security Group 생성

3-2. AD Domain Controller의 보안그룹 설정

본 포스팅과 같이 AWS Directory Service를 이용하여 directory를 구성한 경우 AD Domain Controller의 보안 그룹에 필요한 Rule이 이미 모두 적용되어 있다. ( EC2 콘솔 > Network interfaces > DC의 ENI에 {directory-id}_controllers 라는 이름의 Security Group이 자동으로 연결되어 있다. )

그렇지 않고 자체 관리형 AD를 사용하는 경우, 3-1에서 생성한 FSx의 Security Group 및 Domain Controller의 방화벽에 아래 링크를 참고하여 필요한 트래픽을 오픈해야 한다.

(참고) AWS Docs: File System Access Control with Amazon VPC

3-3. 파일 시스템 생성

• 파일 시스템: Amazon FSx for Windows File Server
• Windows Authentication : AWS Managed Microsoft Active Directory > 1에서 생성한 directory 선택

AD와 정상적으로 통신되어 파일 시스템이 문제 없이 생성된 경우, 위와 같이 상태가 Available로 잘 표시된다.

 

 

 

4. Client에서 파일 시스템 연결

3에서 생성한 FSx 파일 시스템의 콘솔에서 우측 상단의 Attach 버튼을 누르면 연결 방법이 가이드된다.

2에서 생성한 Client 인스턴스에 접속하여 아래와 같은 명령어를 실행한다. Z는 다른 가능한 drive 문자로 변경하여도 무방하다.

net use Z: \\{FSx-DNS-Name}\share

FSx 파일 시스템 구성 성공~!

(Command 실행 시 에러가 발생하는 경우 FSx, EC2, AD의 보안그룹을 잘 살펴보자)

 

 

5. (참고) Windows EC2에 AD 관리 툴 설치 및 관리

5-1. 1에서 생성한 Directory Admin 계정으로 접속

5-2. Powershell에서 아래의 명령어 실행

Install-WindowsFeature RSAT-ADDS

5-3. Server Manger를 통해 Feature를 설치

[ Windows Server > Server manager > Add Roles and Features ]에서 아래 3개의 Feature를 설치한다.

① Active Directory Domain Services

② Active Directory Lightweight Domain Services

③ DNS Server

5-4. Windows Administrative Tools에서 설치 확인 가능

5-5. Active Directory users and Computers > FSx 조인 확인 가능

 

 

 

 

🔗 참고 링크

1. AWS Docs: Seamlessly join a Windows EC2 instance
2. AWS Docs: Manually join a Windows instance
3. AWS Docs: File System Access Control with Amazon VPC
4. AWS Docs: Installing the Active Directory administration tools