ハイブリッド環境で Azure ファイル共有を使用する

Microsoft Entra ID
Azure Files

このアーキテクチャは、ハイブリッド環境に Azure ファイル共有を加える方法を示しています。 Azure ファイル共有は、サーバーレスのファイル共有として使用されます。 これらを Active Directory Directory Services (AD DS) と統合すると、AD DS ユーザーへのアクセスを制御および制限できます。 このようにすることで、従来のファイル サーバーを Azure ファイル共有に置き換えることができます。

アーキテクチャ

クライアントが TCP ポート 445 (SMB 3.0) を介して直接 Azure ファイル共有にアクセスするか、最初に VPN 接続を確立して Azure ファイル共有にアクセスする方法を示す Azure ファイル共有のアーキテクチャ図。

このアーキテクチャの Visio ファイルをダウンロードします。

ワークフロー

アーキテクチャは、次のコンポーネントで構成されています。

  • Microsoft Entra テナント. このコンポーネントは、組織が作成した Microsoft Entra のインスタンスです。 これは、オンプレミスの Active Directory からコピーされたオブジェクトを格納することにより、クラウド アプリケーションのディレクトリ サービスとして動作します。 また、Azure ファイル共有にアクセスするときの ID サービスも提供されます。
  • AD DS サーバー。 このコンポーネントは、オンプレミスのディレクトリおよび ID サービスです。 AD DS ディレクトリは、Microsoft Entra ID がオンプレミスのユーザーを認証できるように同期されます。
  • Microsoft Entra Connect 同期サーバー。 このコンポーネントは、Microsoft Entra Connect 同期サービスが実行されるオンプレミスのサーバーです。 このサービスは、オンプレミスの Active Directory に保持されている情報を Microsoft Entra ID に同期します。
  • 仮想ネットワーク ゲートウェイ。 このオプション コンポーネントは、暗号化されたトラフィックを Azure 仮想ネットワークとオンプレミスの場所の間でインターネットを介して送信するために使用されます。
  • Azureファイル共有であることが明確になります。 Azure ファイル共有は、サーバー メッセージ ブロック (SMB)、ネットワーク ファイルシステム (NFS)、ハイパーテキスト転送プロトコル (HTTP) の各プロトコルを介してアクセスできるファイルとフォルダーのストレージを提供します。 ファイル共有は、Azure ストレージ アカウントに配置されます。
  • Recovery Services コンテナー。 このオプション コンポーネントは、Azure ファイル共有のバックアップを提供します。
  • クライアント。 これらのコンポーネントは、AD DS メンバーのコンピューターであり、ユーザーはそこから Azure ファイル共有にアクセスできます。

コンポーネント

このアーキテクチャの実装に使用される主要テクノロジ:

  • Microsoft Entra ID は、シングル サインオン、多要素認証、条件付きアクセスを提供するエンタープライズ ID サービスです。
  • Azure Files はクラウドで、業界標準のプロトコルを使用してアクセスできる、フル マネージドのファイル共有を提供します。
  • VPN Gateway VPN Gateway は、Azure 仮想ネットワークとオンプレミスの場所の間で、パブリック インターネットを介して暗号化されたトラフィックを送信します。

シナリオの詳細

考えられるユース ケース

このアーキテクチャの一般的な用途は次のとおりです。

  • オンプレミスのファイル サーバーの置換または補完。 Azure Files では、従来のオンプレミス ファイル サーバーまたはネットワーク接続ストレージ デバイスを完全に置き換えたり、補完したりすることができます。 Azure ファイル共有と AD DS 認証を使用すると、データを Azure Files に移行できます。 この移行では、クライアントの変更を最小限に抑えながら、高可用性とスケーラビリティを活用できます。
  • リフト アンド シフト。 Azure Files を使用すると、アプリケーションまたはユーザー データがファイル共有に格納されることを期待するアプリケーションをクラウドに簡単に "リフト アンド シフト" できます。
  • バックアップとディザスター リカバリー。 Azure Files をバックアップ用またはディザスター リカバリー用のストレージとして使用して、ビジネス継続性を向上させることができます。 Azure Files を使用すると、構成済みの Windows 随意アクセス制御リストを維持したまま、既存のファイル サーバーからデータをバックアップできます。 Azure ファイル共有に格納されているデータは、オンプレミスの場所に影響を及ぼす可能性のある障害の影響を受けません。
  • Azure File Sync。Azure File Sync を使用すると、Azure ファイル共有でオンプレミスでもクラウドでも Windows Server にレプリケートできます。 このレプリケーションにより、パフォーマンスが向上し、使用されている場所にデータのキャッシュが分散されます。

Recommendations

ほとんどのシナリオには、次の推奨事項が適用されます。 これらの推奨事項には、オーバーライドする特定の要件がない限り、従ってください。

汎用 v2 (GPv2) または FileStorage ストレージ アカウントを Azure ファイル共有に使用する

Azure ファイル共有は、さまざまなストレージ アカウントに作成できます。 汎用 v1 (GPv1) および従来のストレージ アカウントにも Azure ファイル共有を格納できますが、Azure Files のほとんどの新機能は、GPv2 および FileStorage ストレージ アカウントでのみ使用できます。 Azure ファイル共有では、GPv2 ストレージ アカウント データはハード ディスク ドライブベース (HDD ベース) のハードウェアに格納されますが、FileStorage ストレージ アカウント データはソリッドステート ドライブベース (SSD ベース) のハードウェアに格納されます。 詳細については、「Azure ファイル共有を作成する」を参照してください。

Azure ファイル共有のみを含むストレージ アカウントで Azure ファイル共有を作成する

ストレージ アカウントを使用すると、同じストレージ アカウントでさまざまなストレージ サービスを使用できます。 これらのストレージ サービスには、Azure ファイル共有、BLOB コンテナー、テーブルなどが含まれます。 1 つのストレージ アカウント内のすべてのストレージ サービスは、同じストレージ アカウントの制限を共有します。 同じストレージ アカウント内に複数のストレージ サービスを混在させると、パフォーマンスに関する問題のトラブルシューティングが困難になります。

注意

可能であれば、それぞれの Azure ファイル共有を個別のストレージ アカウントにデプロイしてください。 複数の Azure ファイル共有が同じストレージ アカウントにデプロイされている場合、それらはすべてそのストレージ アカウントの制限を共有します。

高スループットを必要とするワークロードに Premium ファイル共有を使用する

Premium ファイル共有は、FileStorage ストレージ アカウントにデプロイされ、ソリッドステート ドライブベース (SSD ベース) のハードウェアに格納されます。 このセットアップにより、ファイル共有は、一貫したパフォーマンス、高スループット、低遅延を必要とするデータの格納とアクセスに適したものになります (たとえば、これらの Premium ファイル共有はデータベースで適切に動作します)。パフォーマンス変動の影響を受けにくい他のワークロードは、Standard ファイル共有に格納できます。 このような種類のワークロードには、汎用ファイル共有と開発およびテスト環境が含まれます。 詳細については、Azure ファイル共有の作成方法に関する記事を参照してください。

SMB Azure ファイル共有へのアクセス時は常に暗号化が必要

SMB Azure ファイル共有内のデータにアクセスするときは、常に転送中の暗号化を使用します 転送中の暗号化は既定で有効になっています。 Azure Files では、SMB 3.0 などの暗号化を使用するプロトコルで接続が確立されている場合にのみ接続が許可されます。 転送中の暗号化が必要な場合、SMB 3.0 をサポートしていないクライアントは Azure ファイル共有をマウントできません。

SMB で使用されるポート (ポート 445) がブロックされている場合に VPN を使用する

Azure ファイル共有へのアクセスに使用される伝送制御プロトコル (TCP) ポート 445 は、多くのインターネット サービス プロバイダーによってブロックされています。 TCP ポート 445 のブロック解除がオプションでない場合は、ExpressRoute または仮想プライベート ネットワーク (VPN) 接続 (サイト間またはポイント対サイト) 経由で Azure ファイル共有にアクセスして、トラフィックがブロックされないようにすることができます。 詳細については、「Windows 上で Azure Files で使用するポイント対サイト (P2S) VPN を構成する」および「Azure Files で使用するサイト間 VPN を構成する」を参照してください。

Azure File Sync を Azure ファイル共有で使用することを検討する

Azure File Sync サービスを使用すると、オンプレミスの Windows Server ファイル サーバーに Azure ファイル共有をキャッシュすることができます。 クラウドを使った階層化を有効にする場合、File Sync を使用することで、ファイル サーバーがローカルに格納できるよりも多くのファイルを使用できるようにすると同時に、ファイル サーバーに空き領域を常に確保しておくことができます。 オンプレミスの Windows Server ファイル サーバーをお使いの場合は、Azure File Sync を使用して、ファイル サーバーを Azure ファイル共有と統合することをご検討ください。詳細については、「Azure File Sync のデプロイの計画」を参照してください。

考慮事項

以降の考慮事項には、ワークロードの品質向上に使用できる一連の基本原則である Azure "Well-Architected Framework" の要素が組み込まれています。 詳細については、「Microsoft Azure Well-Architected Framework」を参照してください。

スケーラビリティ

  • Azure ファイル共有のサイズは、100 テビバイト (TiB) に制限されています。 ファイル共有の最小サイズは設けられておらず、Azure ファイル共有の数にも制限はありません。
  • ファイル共有内のファイルの最大サイズは 1 TiB であり、ファイル共有内のファイルの数には制限がありません。
  • IOPS とスループットの制限は、Azure ストレージ アカウントごとに設定され、同じストレージ アカウント内の Azure ファイル共有間で共有されます。

詳細については、「Azure Files のスケーラビリティおよびパフォーマンスのターゲット」を参照してください。

可用性

Note

Azure ストレージ アカウントは、Azure ファイル共有の親リソースです。 Azure ファイル共有には、その共有を含むストレージ アカウントによって提供される冗長性レベルがあります。

  • 現在、Azure ファイル共有では次のデータ冗長性オプションがサポートされています。
    • ローカル冗長ストレージ (LRS) 。 データは、プライマリ リージョンの 1 つの物理的な場所内で、同期的に 3 回コピーされます。 この方法により、不良ディスク ドライブなどのハードウェア障害によるデータの損失を防ぐことができます。
    • ゾーン冗長ストレージ (ZRS)。 データは、プライマリ リージョンの 3 つの Azure 可用性ゾーン間で同期的にコピーされます。 可用性ゾーンは、Azure リージョン内の一意の物理的な場所です。 それぞれのゾーンは、独立した電源、冷却手段、ネットワークを備えた 1 つまたは複数のデータセンターで構成されています。
    • geo 冗長ストレージ (GRS) 。 データは、プライマリ リージョンの 1 つの物理的な場所内で、LRS を使用して同期的に 3 回コピーされます。 その後、データはセカンダリ リージョンの 1 つの物理的な場所に非同期的にコピーされます。 geo 冗長ストレージでは、データの 6 つのコピーが 2 つの Azure リージョンに分散して作成されます。
    • geo ゾーン冗長ストレージ (GZRS) 。 データは、プライマリ リージョンの 3 つの Azure 可用性ゾーン間で、ZRS を使用して同期的にコピーされます。 その後、データはセカンダリ リージョンの 1 つの物理的な場所に非同期的にコピーされます。
  • Premium ファイル共有は、ローカル冗長ストレージ (LRS) とゾーン冗長ストレージ (ZRS) にのみ格納できます。 Standard ファイル共有は、LRS、ZRS、geo 冗長ストレージ (GRS)、および geo ゾーン冗長ストレージ (GZRS) に格納できます。 詳細については、「Azure Files のデプロイの計画」および「Azure Storage の冗長性」を参照してください。
  • Azure Files はクラウド サービスの 1 つであるため、すべてのクラウド サービスと同様に、Azure ファイル共有へのアクセスにはインターネット接続が必要です。 中断を回避するには、冗長インターネット接続ソリューションを強くお勧めします。

管理の容易性

  • 他の Azure サービスと同じツールを使用して、Azure ファイル共有を管理できます。 そのようなツールとしては、Azure portal、Azure コマンド ライン インターフェイス、Azure PowerShell などがあります。
  • Azure ファイル共有では、Windows ファイルの標準のアクセス許可が適用されます。 ディレクトリまたはファイル レベルのアクセス許可を構成するには、Azure ファイル共有をマウントしてから、エクスプローラー、Windows の icacls コマンド、または Set-Acl Windows PowerShell コマンドレットを使用してアクセス許可を構成します。
  • Azure ファイル共有のスナップショットを使用して、Azure ファイル共有データの特定の時点の読み取り専用コピーを作成することができます。 ファイル共有レベルで共有スナップショットを作成します。 その後、Azure portal またはエクスプローラーで個々のファイルを復元できますが、共有全体を復元することもできます。 共有ごとに最大 200 件のスナップショットを作成できるため、さまざまな特定時点のバージョンにファイルを復元することが可能です。 共有を削除すると、そのスナップショットも削除されます。 共有スナップショットは増分です。 最新の共有のスナップショットの後に変更されたデータだけが保存されます。 この方法により、共有スナップショットの作成に必要な時間を最小限に抑え、ストレージ コストを節約できます。 Azure ファイル共有のスナップショットは、Azure Backup で Azure ファイル共有を保護する場合にも使用されます。 詳細については、「Azure Files の共有スナップショットの概要」を参照してください。
  • Azure ファイル共有が誤って削除されないようにするには、ファイル共有の論理的な削除を有効にします。 論理的な削除が有効になっている場合は、ファイル共有を削除しても、ファイル共有は完全に消去されるのではなく、論理的に削除された状態に移行します。 論理的に削除されたデータが完全に削除されるまでの回復可能な期間を構成し、その保持期間中はいつでも共有を復元できるようにすることができます。 詳細については、「Azure ファイル共有で論理的な削除を有効にする」を参照してください。

注意

Azure Backup では、それぞれのストレージ アカウントの最初の Azure ファイル共有のバックアップを構成するときに、ストレージ アカウント内のすべてのファイル共有に対して論理的な削除が有効になります。

注意

Standard と Premium の両方のファイル共有は、プロビジョニングされた容量ではなく、論理的な削除時の使用済み容量に課金されます。

セキュリティ

セキュリティは、重要なデータやシステムの意図的な攻撃や悪用に対する保証を提供します。 詳細については、「セキュリティの重要な要素の概要」を参照してください。

  • Azure ファイル共有へのアクセスには、SMB 経由の AD DS 認証を使用します。 このセットアップにより、Azure ファイル共有にアクセスするときに、オンプレミスのファイル共有にアクセスするのと同じシームレスなシングル サインオン (SSO) エクスペリエンスを実現できます。 詳細については、「しくみ」のセクションと、機能の有効化の手順に関する記事を参照してください。 認証は現在も AD DS ドメイン コントローラーによって行われるため、お使いのクライアントは AD DS にドメイン参加している必要があります。 また、データにアクセスするには、共有レベルとファイルおよびディレクトリ レベルの両方のアクセス許可を割り当てる必要があります。 共有レベルのアクセス許可の割り当ては、Azure RBAC モデルを通じて行われます。 ファイル/ディレクトリ レベルのアクセス許可は、Windows ACL として管理されます。

    注意

    Azure ファイル共有へのアクセスは常に認証されます。 Azure ファイル共有では匿名アクセスをサポートしていません。 SMB 経由の ID ベースの認証以外に、ユーザーは、ストレージ アクセス キーと Shared Access Signature を使用して Azure ファイル共有に対する認証を行うこともできます。

  • Azure ファイル共有に格納されるデータはすべて、保存時に Azure Storage Service Encryption (SSE) を使用して暗号化されます。 SSE は Windows の BitLocker ドライブ暗号化 と同様に機能し、データはファイル システム レベルで暗号化されます。 規定では、Azure Files に格納されるデータは、Microsoft マネージド キーで暗号化されます。 Microsoft マネージド キーを使用すると、Microsoft によってデータの暗号化および暗号化解除のためのキーが保持され、それらの定期的なローテーションが管理されます。 また、お客様が自分でキーを管理することもでき、その場合はお客様がローテーション プロセスを制御できます。

  • すべての Azure ストレージ アカウントでは、"転送中の暗号化" が既定で有効になっています。 このセットアップは、Azure ファイル共有とのすべての通信が暗号化されることを意味します。 暗号化をサポートしていないクライアントは、Azure ファイル共有に接続できません。 "転送中の暗号化" を無効にした場合、Windows Server 2008 R2 や古い Linux などの古いオペレーティング システムが動作しているクライアントも接続できます。 このような場合、データは Azure ファイル共有からの転送中に暗号化されません。

  • 既定では、クライアントはどこからでも Azure ファイル共有に接続できます。 クライアントが Azure ファイル共有に接続するために使用できるネットワークを制限するには、ファイアウォール、仮想ネットワーク、プライベート エンドポイント接続を構成します。 詳細については、「Azure Storage ファイアウォールおよび仮想ネットワークを構成する」および「Azure Files ネットワーク エンドポイントの構成」を参照してください。

コストの最適化

コストの最適化とは、不要な費用を削減し、運用効率を向上させる方法を検討することです。 詳細については、「コスト最適化の柱の概要」および 「Azure Files の請求について理解する」を参照してください。

  • Azure Files には、2 つのストレージ層と 2 つの価格モデルがあります。
    • Standard Storage:HDD ベースのストレージを使用します。 ファイル共有の最小サイズは設けられておらず、使用した記憶領域に対してのみ料金が発生します。 また、ディレクトリの列挙やファイルの読み取りなど、ファイル操作に対しても料金を支払う必要があります。
    • Premium Storage: SSD ベースのストレージを使用します。 Premium ファイル共有の最小サイズは 100 ギビバイトであり、プロビジョニングされた記憶領域ごとに課金されます。 Premium Storage の使用時は、すべてのファイル操作が無料です。
  • 追加コストは、ファイル共有スナップショットと送信データ転送に関連するものです (Azure ファイル共有からデータを転送する場合、受信データ転送は無料です)。データ転送コストは、転送されたデータ量および仮想ネットワーク ゲートウェイの Stock Keeping Unit (SKU) によって異なります (使用している場合)。 コストの詳細については、「Azure Files の価格」および Azure 料金計算ツールを参照してください。 実際の料金は Azure リージョンおよび個々の契約によって異なります。 価格について詳しくは、Microsoft の営業担当者にお問い合わせください。

次のステップ

コンポーネントのテクノロジの詳細については、次を参照してください。

次の関連するアーキテクチャを確認してください。