Azure Files に対する Azure Well-Architected Framework の観点
Azure Files は、クラウド用の Microsoft ファイル ストレージ ソリューションです。 Azure Files には、クラウド、オンプレミス、またはその両方のクライアントにマウントできるサーバー メッセージ ブロック (SMB) とネットワーク ファイル システム (NFS) ファイル共有が用意されています。 また、Azure File Sync を使用して、ローカル Windows サーバー上の SMB ファイル共有をキャッシュし、使用頻度の低いファイルをクラウドに階層化することもできます。
この記事では、アーキテクトとして、 ストレージ オプションを確認し ワークロードを実行するストレージ サービスとして Azure Files を選択したことを前提としています。 この記事のガイダンスでは、 Azure Well-Architected Framework の柱の原則にマップされるアーキテクチャに関する推奨事項を示します。
重要
このガイドの使用方法
各セクションには、 設計チェックリスト テクノロジスコープにローカライズされた設計戦略と共に関心のあるアーキテクチャ領域が示されています。
また、これらの戦略 実装に役立つテクノロジ機能に関する に関する説明も含まれています。 推奨事項は、Azure Files とその依存関係で使用できるすべての構成の完全な一覧を表すわけではありません。 代わりに、設計パースペクティブにマップされた主要な推奨事項が一覧表示されます。 推奨事項を使用して概念実証を構築するか、既存の環境を最適化します。
信頼性
信頼性の柱の目的は、十分な回復性 構築し、障害から迅速に復旧する機能をして継続的な機能を提供することです。
責任設計の原則個々のコンポーネント、ワークロード、システム フロー、およびシステム全体に適用される高度な設計戦略を提供します。
設計チェック リスト
信頼性の設計レビュー チェックリストに基づいて、設計戦略を開始します。
エラー モード分析の使用: 仮想ネットワーク、Azure Key Vault、Azure Content Delivery Network、Azure Front Door エンドポイントの可用性などの内部依存関係を考慮して、障害点を最小限に抑えます。 Azure Files にアクセスするために資格情報が必要で、資格情報が Key Vault に表示されない場合、エラーが発生する可能性があります。 または、不足しているコンテンツ配信ネットワークに基づくエンドポイントをワークロードが使用している場合に、エラーが発生する可能性があります。 このような場合は、代替エンドポイントに接続するようにワークロードを構成することが必要になる場合があります。 障害モード分析の一般的な情報については、「 エラー モード分析を実行するための推奨事項を参照してください。
信頼性と復旧のターゲットを定義する: Azure サービス レベル アグリーメント (SLA) を確認します。 ストレージ アカウントのサービス レベル目標 (SLO) を派生させます。 たとえば、選択した冗長性構成が SLO に影響する可能性があります。 リージョンの停止の影響、データ損失の可能性、および停止後にアクセスを復元するために必要な時間を考慮してください。 また、障害モード分析の一部として識別した内部依存関係の可用性も考慮してください。
データ冗長性の構成: 持続性を最大にするため、可用性ゾーンまたはグローバル リージョン間でデータをコピーする構成を選択します。 可用性を最大限に高めるために、プライマリ リージョンの停止中にクライアントがセカンダリ リージョンからデータを読み取る構成を選択します。
アプリケーションの設計: プライマリ リージョンが使用できない場合にセカンダリ リージョンからデータを読み取ることができるように アプリケーションをシームレスにシフトするように設計します。 この設計上の考慮事項は、geo 冗長ストレージ (GRS) と geo ゾーン冗長ストレージ (GZRS) の構成にのみ適用されます。 障害を適切に処理するようにアプリケーションを設計し、顧客のダウンタイムを短縮します。
回復ターゲットを満たすのに役立つ機能を調べる: 破損したファイル、編集済み、または削除されたファイルを回復できるようにファイルを復元できるようにします。
復旧計画を作成する: データ保護機能、バックアップと復元の操作、またはフェールオーバーの手順を検討します。 潜在的な データ損失とデータの不整合 フェールオーバーの 時間とコストに備えます。 詳細については、「 ディザスター リカバリー戦略の設計に関する推奨事項を参照してください。
可用性の問題の可能性を監視する: Azure Service Health ダッシュボードをサブスクライブ 潜在的な可用性の問題を監視します。 Azure Monitor のストレージ メトリックと診断ログを使用して、アラートを調査します。
推奨事項
| 推奨事項 | 特長 |
|---|---|
| 冗長性を確保するためにストレージ アカウントを構成します。 可用性と持続性を最大限に高める場合は、 ゾーン冗長ストレージ (ZRS)、 GRS、または GZRS を使用してアカウントを構成します。 制限付き Azure リージョンでは、 standard および premium ファイル共有の ZRS がサポートされます。 GRS と GZRS をサポートするのは、標準の SMB アカウントのみです。 Premium SMB 共有と NFS 共有では、GRS と GZRS はサポートされていません。 Azure Files では、読み取りアクセス geo 冗長ストレージ (RA-GRS) または読み取りアクセス geo ゾーン冗長ストレージ (RA-GZRS) はサポートされていません。 RA-GRS または RA-GZRS を使用するようにストレージ アカウントを構成すると、ファイル共有が構成され、GRS または GZRS として課金されます。 |
冗長性により、予期しない障害からデータが保護されます。 ZRS と GZRS の構成オプションは、さまざまな可用性ゾーン間でレプリケートされ、停止中にアプリケーションがデータを読み取り続けることができます。 詳細については、「 障害シナリオ別の可用性と可用性 および 可用性と可用性のパラメーターを参照してください。 |
| フェールオーバーまたはフェールバックを開始する前に、 last synchronization time プロパティの値を調べて、データ損失の可能性を 評価します。 この推奨事項は、GRS および GZRS 構成にのみ適用されます。 | このプロパティは、アカウントのフェールオーバーを開始した場合に失われる可能性があるデータの量を見積もるのに役立ちます。 最後の同期時刻より前に書き込まれたデータとメタデータはすべてセカンダリ リージョンで使用できますが、セカンダリ リージョンに書き込まれていないため、前回の同期後に書き込まれたデータとメタデータが失われる可能性があります。 |
| バックアップと復旧の戦略の一環として、可能な論理的な削除スナップショットを使用ポイントインタイム リストアを行います。 Azure Backup を使用して、SMB ファイル共有をバックアップできます。 Azure File Sync を使用して、オンプレミスの SMB ファイル共有を Azure ファイル共有にバックアップすることもできます。 Azure Backup では、Azure Files のコンテナーバックアップ (プレビュー) を実行して、悪意のあるアクターまたは不正な管理者によるランサムウェア攻撃やソース データ損失からデータを保護することもできます。コンテナー化されたバックアップを使用すると、Azure Backup は Recovery Services コンテナーにデータをコピーして格納します。 これにより、最長 99 年間保持できるデータのオフサイト コピーが作成されます。 Azure Backup では、バックアップ ポリシーで定義されているスケジュールと保持期間に従って、復旧ポイントが作成および管理されます。 詳細情報。 |
論理的な削除は、偶発的な削除から Azure ファイル共有を保護するために、ファイル共有レベルで機能します。 ポイントインタイム リストアでは、ファイル共有を以前の状態に復元できるため、誤った削除や破損から保護されます。 詳細については、「データ保護の概要」を参照してください。 |
セキュリティ
セキュリティの柱の目的は、ワークロードに 整合性、整合性、可用性 保証を提供することです。
セキュリティ設計の原則は、ファイル ストレージ構成の技術的な設計にアプローチを適用することで、これらの目標を達成するための高度な設計戦略を提供します。
セキュリティの要件と推奨事項は、ワークロードが SMB プロトコルと NFS プロトコルのどちらを使用してファイル共有にアクセスするかによって異なります。 そのため、次のセクションでは、SMB ファイル共有と NFS ファイル共有に関する個別の設計チェックリストと推奨事項について説明します。
ベスト プラクティスとして、SMB ファイル共有と NFS ファイル共有は異なるセキュリティ要件があるため、別々のストレージ アカウントに保持する必要があります。 このアプローチを使用して、強力なセキュリティと高い柔軟性をワークロードに提供します。
SMB ファイル共有の設計チェックリスト
セキュリティのデザイン レビュー チェックリストに基づいて、設計戦略を開始します。 セキュリティ体制を改善するための脆弱性と制御を特定します。 必要に応じて、より多くのアプローチを含むように戦略を拡張します。
Azure Storage のセキュリティ ベースラインを確認します: 開始するには、Storage のセキュリティ ベースライン 確認。
ネットワーク制御を使用してイングレス トラフィックとエグレス トラフィックを制限することを検討してください: ID ベースの認証を使用してファイル共有へのアクセスを許可する場合など、特定の条件下でストレージ アカウントをパブリック インターネットに公開するのが快適な場合があります。 ただし、ネットワーク制御を使用して、ユーザーとアプリケーションに最低限必要なレベルのアクセス権を付与することをお勧めします。 詳細については、「 ストレージ アカウントのネットワーク セキュリティにアプローチする方法を参照してください。
攻撃対象領域を減らす: 転送中の暗号化を使用し、セキュリティで保護されていない (HTTP) 接続経由のアクセスを防ぎ、攻撃対象領域を減らします。 トランスポート層セキュリティ (TLS) プロトコルの最新バージョンを使用して、クライアントにデータの送受信を要求します。
ストレージ アカウント キーの使用を最小限に抑えます: Identity ベースの認証 は、ストレージ アカウント キーの使用に比べて優れたセキュリティを提供します。 ただし、ストレージ アカウント キーを使用して、ファイル共有の完全な管理制御 (ファイルの所有権を取得する機能を含む) を取得する必要があります。 セキュリティ プリンシパルに、タスクを実行するために必要なアクセス許可のみを付与します。
機密情報の保護: ストレージ アカウント キーやパスワードなどの機密情報を保護します。 これらの形式の承認を使用することはお勧めしませんが、使用する場合は、ローテーション、期限切れ、および安全に保存する必要があります。
脅威の検出: Microsoft Defender for Storage を有効にして、SMB または FileREST プロトコル経由で Azure ファイル共有にアクセスまたは悪用しようとする潜在的に有害な試行を検出します。 サブスクリプション管理者は、疑わしいアクティビティの詳細と、脅威の調査と修復方法に関する推奨事項を含む電子メール アラートを受け取ります。 Defender for Storage では、Azure ファイル共有のウイルス対策機能はサポートされていません。 Defender for Storage を使用する場合、トランザクションが多いファイル共有では大きなコストが発生するため、特定のストレージ アカウントに対して Defender for Storage をオプトアウトすることを検討してください。
SMB ファイル共有の推奨事項
| 推奨事項 | 特長 |
|---|---|
| ストレージ アカウントに Azure Resource Manager ロック を適用します。 | ストレージ アカウントが誤って削除されたり、悪意を持って削除されたりするのを防ぐために、アカウントをロックすると、データが失われる可能性があります。 |
| TCP ポート 445 の送信を開くか、Azure 外部のクライアントがファイル共有にアクセスできるように VPN ゲートウェイまたは Azure ExpressRoute 接続を設定します。 | SMB 3.x はインターネットに安全なプロトコルですが、組織または ISP ポリシーを変更できない可能性があります。 代替オプションとして、VPN ゲートウェイまたは ExpressRoute 接続を使用できます。 |
| ポート 445 を開く場合は、必ず Windows および Linux クライアントで SMBv1 を無効にします。 Azure Files では SMB 1 はサポートされていませんが、クライアントでは引き続き無効にする必要があります。 | SMB 1 は、旧式で効率が悪く、またセキュリティに不安があるプロトコルです。 クライアントで無効にして、セキュリティ体制を向上させます。 |
| ストレージ アカウントへのパブリック ネットワーク アクセスを無効にすることを検討してください。 Azure の外部にある SMB クライアントとサービスがストレージ アカウントへのアクセスを必要とする場合にのみ、パブリック ネットワーク アクセスを有効にします。 パブリック ネットワーク アクセスを無効にした場合ストレージ アカウントのプライベート エンドポイント を作成します。 プライベート エンドポイントの標準のデータ処理料金が適用されます。 プライベート エンドポイントは、パブリック エンドポイントへの接続をブロックしません。 前述のように、パブリック ネットワーク アクセスを無効にする必要があります。 ファイル共有に静的 IP アドレスを必要とせず、プライベート エンドポイントのコストを回避したい場合は、代わりに、特定の仮想ネットワークと IP アドレスにパブリック エンドポイント アクセスをできます。 |
ネットワーク トラフィックは、パブリック インターネットではなく Microsoft バックボーン ネットワークを経由して送信されるため、パブリック インターネットからのリスクにさらされるリスクが排除されます。 |
| 特定の仮想ネットワークへのアクセスを制限するファイアウォール規則を有効にします。 ゼロ アクセスから始めてから、クライアントとサービスに必要な最小限のアクセスを体系的かつ段階的に提供します。 | 攻撃者の開口部を作成するリスクを最小限に抑えます。 |
| 可能であれば、 id ベースの認証 AES-256 Kerberos チケット暗号化を使用して、SMB Azure ファイル共有へのアクセスを承認します。 | ID ベースの認証を使用して、攻撃者がストレージ アカウント キーを使用してファイル共有にアクセスする可能性を減らします。 |
| ストレージ アカウント キーを使用 場合は、それらを Key Vault に保存し、定期的に再生成してください。 共有の SMB セキュリティ設定から NTLMv2 を削除することで、ファイル共有へのストレージ アカウント キーのアクセスを完全に禁止できます。 ただし、管理者は一部のタスクにアカウント キーを使用する必要があるため、通常は共有の SMB セキュリティ設定から NTLMv2 を削除しないでください。 |
Key Vault を使用して、アプリケーションに保存するのではなく、実行時にキーを取得します。 また、Key Vault を使用すると、アプリケーションを中断することなく、キーを簡単にローテーションできます。 アカウント キーを定期的にローテーションして、悪意のある攻撃にデータを公開するリスクを軽減します。 |
| ほとんどの場合、SMB ファイル共有の転送中の暗号化を有効にするには、すべてのストレージ アカウントで Secure transfer required オプションを有効にする必要があります。 非常に古いクライアントが共有にアクセスできるようにする必要がある場合は、このオプションを有効にしないでください。 安全な転送を無効にする場合は、ネットワーク制御を使用してトラフィックを制限してください。 |
この設定により、ストレージ アカウントに対して行われたすべての要求が、セキュリティで保護された接続 (HTTPS) 経由で行われます。 HTTP 経由で行われた要求はすべて失敗します。 |
| TLS 1.2 がクライアントがデータを送受信するための最小バージョンになるように ストレージ アカウントを構成します。 | 最新の暗号アルゴリズムと暗号スイートをサポートしていない TLS 1.0 および 1.1 よりも、TLS 1.2 の方が安全性が高く高速です。 |
| サポートされている最新の SMB プロトコル バージョン (現在は 3.1.1.) のみを使用し、SMB チャネル暗号化には AES-256-GCM のみを使用します。 Azure Files では、組織の要件に応じて、SMB プロトコルを切り替えたり、互換性を高めたり、セキュリティを強化したりするために使用できる設定が公開されています。 既定では、すべての SMB バージョンが許可されます。 ただし、SMB 2.1 は転送中のデータの暗号化をサポートしていないためセキュリティで保護された転送を有効にした場合、SMB 2.1 は許可されません。 これらの設定を高レベルのセキュリティに制限すると、一部のクライアントはファイル共有に接続できない可能性があります。 |
Windows 10 でリリースされた SMB 3.1.1 には、重要なセキュリティとパフォーマンスの更新プログラムが含まれています。 AES-256-GCM は、より安全なチャネル暗号化を提供します。 |
NFS ファイル共有の設計チェックリスト
Storage のセキュリティ ベースラインを確認します: 作業を開始するには、Storage のセキュリティ ベースライン 確認。
組織のセキュリティ要件を理解する: NFS Azure ファイル共有では、NFSv4.1 プロトコルを使用する Linux クライアントのみがサポートされ、4.1 プロトコル仕様のほとんどの機能がサポートされます。 Kerberos 認証、アクセス制御リスト (ACL)、転送中の暗号化など、一部のセキュリティ機能はサポートされていません。
ネットワーク レベルのセキュリティと制御を使用してイングレス トラフィックとエグレス トラフィックを制限する: NFS Azure ファイル共有では ID ベースの認証を使用できないため、ネットワーク レベルのセキュリティと制御を使用して、ユーザーとアプリケーションに最低限必要なレベルのアクセス権を付与する必要があります。 詳細については、「 ストレージ アカウントのネットワーク セキュリティにアプローチする方法を参照してください。
NFS ファイル共有の推奨事項
| 推奨事項 | 特長 |
|---|---|
| ストレージ アカウントにリソース マネージャー ロックを適用します。 | ストレージ アカウントが誤って削除されたり、悪意を持って削除されたりするのを防ぐために、アカウントをロックすると、データが失われる可能性があります。 |
| NFS 共有をマウントするクライアントでポート 2049 を開く必要があります。 | ポート 2049 を開いて、クライアントが NFS Azure ファイル共有と通信できるようにします。 |
| NFS Azure ファイル共有には、制限付きネットワーク経由でのみアクセスできます。 そのため、ストレージ アカウントのプライベート エンドポイント作成するかパブリック エンドポイント アクセスを選択した仮想ネットワークと IP アドレスにする必要があります。 プライベート エンドポイントを作成することをお勧めします。 Azure Files では NFS プロトコルによる転送中の暗号化がサポートされていないため、NFS 共有のネットワーク レベルのセキュリティを構成する必要があります。 NFS Azure ファイル共有を使用するにはストレージ アカウントの Require secure transfer 設定を可能にする必要があります。 プライベート エンドポイントには、標準のデータ処理レートが適用されます。 ファイル共有に静的 IP アドレスを必要とせず、プライベート エンドポイントのコストを回避したい場合は、代わりにパブリック エンドポイントのアクセスを制限できます。 |
ネットワーク トラフィックは、パブリック インターネットではなく Microsoft バックボーン ネットワークを経由して送信されるため、パブリック インターネットからのリスクにさらされるリスクが排除されます。 |
| ストレージ アカウント レベルでストレージ アカウント キーへのアクセスを禁止することを検討してください。 NFS ファイル共有をマウントするために、このアクセス権は必要ありません。 ただし、ファイル共有の完全な管理制御 (ファイルの所有権を取得する機能を含む) には、ストレージ アカウント キーを使用する必要があることに注意してください。 | ストレージ アカウントのセキュリティを強化するために、ストレージ アカウント キーの使用を禁止します。 |
コストの最適化
コストの最適化では、 支出パターンの検出、重要な領域への投資の優先順位付け、他の領域での最適化 ビジネス要件を満たしながら組織の予算を満たすことに重点を置いています。
コスト最適化の設計原則は、ファイル ストレージとその環境に関連する技術的な設計において、これらの目標を達成し、必要に応じてトレードオフを行う高度な設計戦略を提供します。
設計チェック リスト
投資のためのコストの最適化の設計レビュー チェックリストに基づいて、設計戦略を開始します。 ワークロードがワークロードに割り当てられている予算に合わせて設計を微調整します。 設計では、適切な Azure 機能を使用し、投資を監視し、時間の経過と同時に最適化する機会を見つける必要があります。
ワークロードで Premium ファイル共有 (Azure Premium SSD) のパフォーマンスが必要かどうか、または Azure Standard HDD ストレージで十分かどうかを判断します: 必要なストレージの種類に基づいて、ストレージ アカウントの種類と課金モデルを決定します。 1 秒あたりの大量の入出力操作 (IOPS)、非常に高速なデータ転送速度、または非常に短い待機時間が必要な場合は、Premium Azure ファイル共有を選択する必要があります。 NFS Azure ファイル共有は、Premium レベルでのみ使用できます。 NFS ファイル共有と SMB ファイル共有は、Premium レベルで同じ価格です。
ファイル共有のストレージ アカウントを作成し、冗長性レベルを選択します: Standard (GPv2) アカウントまたは Premium (FileStorage) アカウントを選択します。 選択した冗長性レベルがコストに影響します。 冗長性が高いほど、コストが高くなります。 ローカル冗長ストレージ (LRS) は最も手頃な価格です。 GRS は、標準の SMB ファイル共有でのみ使用できます。 Standard ファイル共有では、ストレージ アカウント レベルのトランザクション情報のみが表示されるため、完全な課金の可視性を確保するために、各ストレージ アカウントに 1 つのファイル共有のみをデプロイすることをお勧めします。
請求書の計算方法を理解する: Standard Azure ファイル共有は、 従って支払うモデルを提供します。 Premium 共有では、 プロビジョニングされたモデルが使用されます。このモデルでは 一定の容量、IOPS、スループットを前もって指定して支払います。 従量課金制モデルでは、メーターは、アカウントに格納されているデータの量、容量、およびそのデータの使用状況に基づくトランザクションの数と種類を追跡します。 従量課金制モデルは、使用した分だけ支払うため、コスト効率が高くなります。 従量課金制モデルでは、パフォーマンス要件や需要の変動に基づいてストレージのオーバープロビジョニングやプロビジョニング解除を行う必要はありません。
ただし、エンドユーザーの消費によってコストが発生するため、予算作成プロセスの一環としてストレージを計画することは困難な場合があります。 プロビジョニングされたモデルでは、トランザクションは課金に影響しないため、コストを簡単に予測できます。 ただし、プロビジョニングされたストレージ容量は、使用するかどうかに関係なく支払います。 コストの計算方法の詳細な内訳については、「Azure Files の課金を理解する」を参照してください。
容量と操作のコストを見積もる: Azure pricing 計算ツール を使用して、データ ストレージ、イングレス、エグレスに関連するコストをモデル化できます。 さまざまなリージョン、アカウントの種類、冗長性の構成に関連するコストを比較します。 詳細については、「 Azure Files の価格を参照してください。
最もコスト効率の高いアクセス層を選択します:Standard SMB Azure ファイル共有には、 トランザクション最適化、 hot、 クールの 3 つのアクセス層が用意されています。 3 つのレベルはすべて、同じ Standard Storage ハードウェアに格納されます。 これら 3 つのレベルの主な違いは、保存データのストレージ価格 (よりクールなレベルでは低い) と、よりクールな層の方が高いトランザクション価格です。 詳細については、「standard レベルの Differences」を参照してください。
必要な付加価値サービスを決定する: Azure Files では、バックアップ、Azure File Sync、Defender for Storage などの 値が追加されたサービス との統合がサポートされます。 これらのソリューションには独自のライセンスと製品コストがありますが、多くの場合、ファイル ストレージの総保有コストの一部と見なされます。 Azure File Sync 使用する場合は その他のコスト面を検討してください。
ガードレールの作成: サブスクリプションとリソース グループに基づいてbudgets を作成します。 ガバナンス ポリシーを使用して、リソースの種類、構成、場所を制限します。 さらに、ロールベースのアクセス制御 (RBAC) を使用して、オーバーペンドにつながる可能性のあるアクションをブロックします。
コストの監視: コストが予算内に収まるようにし、コストを予測と比較して、超過支出が発生する場所を確認します。 Azure portal の コスト分析 ペインを使用して、コストを監視できます。 コスト データをストレージ アカウントにエクスポートし、Excel または Power BI を使用してそのデータを分析することもできます。
使用状況の監視: 使用状況パターンを継続的に監視して、未使用または未使用のストレージ アカウントとファイル共有を検出します。 予期しない容量の増加を確認します。これは、多数のログ ファイルまたは論理的に削除されたファイルを収集していることを示している可能性があります。 ファイルを削除したり、よりコスト効率の高いアクセス層にファイルを移動したりするための戦略を策定します。
推奨事項
| 推奨事項 | 特長 |
|---|---|
| 標準の Azure ファイル共有に移行する場合は、初期移行中に transaction 最適化 レベルから開始することをお勧めします。 移行中のトランザクションの使用は、通常、通常のトランザクション使用量を示すわけではありません。 プロビジョニングされた課金モデルはトランザクションに対して課金されないため、この考慮事項は Premium ファイル共有には適用されません。 | Azure Files への移行は、トランザクションが多い一時的なワークロードです。 移行コストを削減するために、トランザクションの多いワークロードの価格を最適化します。 |
| ワークロードを移行した後、標準のファイル共有を使用する場合は、ファイル共有の最もコスト効率の高いアクセス層 ( hot、 クール、または トランザクション最適化を慎重に選択します。 定期的な使用で数日または数週間操作した後、 計算ツールにトランザクション数を挿入して ワークロードに最も適したレベルを把握できます。 ほとんどのお客様は、共有 アクティブに使用している場合でも クールを選択する必要があります。 ただし、各共有を調べて、ストレージ容量とトランザクションのバランスを比較して、階層を決定する必要があります。 トランザクション コストが請求書のかなりの割合を占める場合、 クール アクセス層の使用による節約は、多くの場合、このコストを相殺し、全体的なコスト全体を最小限に抑えます。 ワークロード パターンの変更を最適化するために必要な場合にのみ、アクセス層間で標準ファイル共有を移動することをお勧めします。 各移動ではトランザクションが発生します。 詳細については、「 Standard レベル間の切り替え」を参照してください。 |
コストを大幅に削減するために、Standard ファイル共有に適したアクセス層を選択します。 |
| Premium 共有を使用する場合は、ワークロードに十分な容量とパフォーマンスをプロビジョニングしますが、不要なコストが発生するほどではありません。 オーバープロビジョニングは 2 ~ 3 回行うことをお勧めします。 ストレージと入出力 (IO) のパフォーマンス特性に応じて、Premium ファイル共有を動的にスケールアップまたはスケールダウンできます。 | パフォーマンスを維持し、将来の成長とパフォーマンスの要件を考慮するために、Premium ファイル共有を妥当な量でオーバープロビジョニングします。 |
| Azure Files の予約 (予約インスタンスとも呼ばれます) を使用して、ストレージの使用を事前にコミットし、割引を受けます。 運用ワークロードまたは開発/テスト ワークロードの予約を一貫したフットプリントで使用します。 詳細については、「 ストレージ予約を使用してコストを最適化するを参照してください。 予約には、トランザクション、帯域幅、データ転送、メタデータ ストレージの料金は含まれません。 |
3 年間の予約では、ファイル ストレージの合計コストに対して最大 36% の割引を提供できます。 予約はパフォーマンスに影響しません。 |
| スナップショットの使用状況を監視します。 スナップショットには料金が発生しますが、各スナップショットの差分ストレージ使用量に基づいて課金されます。 各スナップショットの差異に対してのみ支払います。 詳細については、「スナップショット」を参照してください。 Azure File Sync では、通常の使用の一環として共有レベルとファイル レベルのスナップショットが取得されるため、Azure Files の合計請求額が増加する可能性があります。 |
差分スナップショットでは、同じデータを格納するために複数回課金されないようにします。 ただし、Azure Files の課金を減らすのに役立つスナップショットの使用状況は引き続き監視する必要があります。 |
| 論理的な削除機能の保持期間を設定します(特に、最初に使用を開始する場合)。 この機能が請求書に与える影響をより深く理解するには、短い保有期間から始めてみてください。 推奨される最小保持期間は 7 日です。 Standard ファイル共有と Premium ファイル共有を論理的に削除すると、プロビジョニングされた容量ではなく、使用済み容量として課金されます。 また、Premium ファイル共有は、論理的な削除状態の間にスナップショットレートで課金されます。 標準ファイル共有は、論理的な削除状態にある間、通常のレートで課金されます。 |
論理的に削除されたファイルが重なって容量のコストが増加しないように、保持期間を設定します。 構成された保持期間の後、完全に削除されたデータにはコストは発生しません。 |
オペレーショナル エクセレンス
オペレーショナル エクセレンスは主に、 開発プラクティス、可観測性、リリース管理の手順に重点を置いています。
Operational Excellence の設計原則は、ワークロードの運用要件に対してこれらの目標を達成するための高度な設計戦略を提供します。
設計チェック リスト
ファイル ストレージの構成に関連する監視、テスト、デプロイのプロセスを定義するためにオペレーショナル エクセレンスの設計レビュー チェックリストに基づいて設計戦略を開始します。
メンテナンスと緊急復旧計画を作成する: データ保護機能、バックアップと復元の操作、フェールオーバーの手順を検討します。 潜在的な データ損失とデータの不整合 フェールオーバーの 時間とコストに備えます。
ストレージ アカウントの正常性を監視する: Storage insights ダッシュボードを作成して、可用性、パフォーマンス、回復性のメトリックを監視します。 アラートを設定して、システム内の問題を特定して対処してから、顧客が問題に気付く前に対処します。 診断設定を使用して、リソース ログを Azure Monitor ログ ワークスペースにルーティングします。 その後、ログにクエリを実行して、アラートをより深く調査できます。
ファイル共有アクティビティを定期的に確認する: 共有アクティビティは時間の経過と同時に変化する可能性があります。 Standard ファイル共有をよりクールなアクセス層に移動するか、Premium 共有の容量をプロビジョニングまたはプロビジョニング解除できます。 Standard ファイル共有を別のアクセス層に移動すると、トランザクション料金が発生します。 毎月の請求額を削減するために必要な場合にのみ、標準ファイル共有を移動します。
推奨事項
| 推奨事項 | 特長 |
|---|---|
| コードとしてのインフラストラクチャ (IaC) を使用して、 Azure Resource Manager テンプレート (ARM テンプレート)、 Bicep、または Terraform でストレージ アカウントの詳細を定義します。 | 既存の DevOps プロセスを使用して新しいストレージ アカウントをデプロイし、 Azure Policy を使用して構成を適用できます。 |
| Storage Insights を使用して、ストレージ アカウントの正常性とパフォーマンスを追跡します。 Storage Insights は、すべてのストレージ アカウントの障害、パフォーマンス、可用性、容量の統合ビューを提供します。 | 各アカウントの正常性と操作を追跡できます。 利害関係者がストレージ アカウントの正常性を追跡するために使用できるダッシュボードとレポートを簡単に作成できます。 |
| Monitor を使用して、可用性、待機時間、使用状況などのメトリックを分析し、アラートをします。 | モニターは、ファイル共有の可用性、パフォーマンス、回復性のビューを提供します。 |
パフォーマンス効率
パフォーマンス効率は、容量 管理 負荷が増加した場合でもユーザー エクスペリエンスを維持することです。 この戦略には、リソースのスケーリング、潜在的なボトルネックの特定と最適化、ピーク パフォーマンスの最適化が含まれます。
パフォーマンス効率設計の原則は、予想される使用に対してこれらの容量目標を達成するための高度な設計戦略を提供します。
設計チェック リスト
パフォーマンス効率の 設計レビュー チェックリストに基づいて、設計戦略を開始します。 ファイル ストレージ構成の主要業績評価指標に基づくベースラインを定義します。
スケールの計画: ストレージ アカウント、Azure Files、Azure File Sync の スケーラビリティとパフォーマンスのターゲット について理解します。
予測可能なパフォーマンスを実現するためのアプリケーションと使用パターンを理解する: 待機時間の感度、IOPS とスループットの要件、ワークロードの期間と頻度、ワークロードの並列化を決定します。 サービスのパフォーマンスの上限を達成するのに役立つマルチスレッド アプリケーションには Azure Files を使用します。 要求のほとんどがメタデータ中心 (createfile、openfile、closefile、queryinfo、querydirectory など) である場合、要求は読み取りと書き込みの操作よりも待機時間が短くなります。 この問題が発生した場合は、同じストレージ アカウント内の複数のファイル共有にファイル共有を分離することを検討してください。
最適なストレージ アカウントの種類を選択: ワークロードで大量の IOPS、非常に高速なデータ転送速度、または非常に短い待機時間が必要な場合は、Premium (FileStorage) ストレージ アカウントを選択する必要があります。 ほとんどの SMB ファイル共有ワークロードには、標準の汎用 v2 アカウントを使用できます。 2 つのストレージ アカウントの種類間の主なトレードオフは、コストとパフォーマンスです。
プロビジョニングされた共有サイズ (IOPS、エグレス、イングレスなど) と単一ファイルの制限によって、Premium 共有のパフォーマンスが決まります。 詳細については、「 Premium ファイル共有のプロビジョニングの管理を参照してください。 Premium ファイル共有では、premium ファイル共有のベースライン IOPS 制限を一時的に超える必要がある場合にクレジットが保険契約として提供されます。
待機時間を短縮するためにクライアントを接続するのと同じリージョンにストレージ アカウントを作成します: Azure Files サービスから離れているほど、待機時間が長くなり、パフォーマンススケールの制限を達成するのが難しくなります。 この考慮事項は、オンプレミス環境から Azure Files にアクセスする場合に特に当てはまります。 可能であれば、ストレージ アカウントとクライアントが同じ Azure リージョンに併置されていることを確認します。 ネットワーク待機時間を最小限に抑えるか、ExpressRoute 接続を使用してオンプレミス ネットワークをプライベート接続経由で Microsoft クラウドに拡張することで、オンプレミス クライアント用に最適化します。
パフォーマンス データの収集: latency、 availability、 usage メトリックなど、ワークロードのパフォーマンスを監視します。 ログを分析 タイムアウトや調整などの問題を診断します。 アラートを作成 ファイル共有が調整されているか、調整されようとしているか、待機時間が長いかを通知します。
ハイブリッド デプロイの最適化: Azure File Sync を使用する場合、同期のパフォーマンスは、Windows Server と基になるディスク構成、サーバーと Azure ストレージ間のネットワーク帯域幅、ファイル サイズ、データセットの合計サイズ、データセットのアクティビティなど、さまざまな要因によって異なります。 Azure File Sync に基づくソリューションのパフォーマンスを測定するには、1 秒あたりに処理するオブジェクト (ファイルやディレクトリなど) の数を決定します。
推奨事項
| 推奨事項 | 特長 |
|---|---|
| Premium SMB ファイル共有 SMB マルチチャネル を有効にします。 SMB マルチチャネルを使用すると、SMB 3.1.1 クライアントは SMB Azure ファイル共有への複数のネットワーク接続を確立できます。 SMB マルチチャネルは、クライアント側 (クライアント) とサービス側 (Azure) の両方で機能が有効になっている場合にのみ機能します。 Windows クライアントでは、SMB マルチチャネルは既定で有効になっていますが、ストレージ アカウントで有効にする必要があります。 |
総保有コストを削減しながら、スループットと IOPS を向上させます。 負荷を分散するファイルの数が増えると、パフォーマンス上の利点が向上します。 |
| nconnect Linux クライアント上の NFS Azure ファイル共有でクライアント側マウント オプションを使用します。 Nconnect を使用すると、クライアントと NFSv4.1 用の Azure Files Premium サービスの間でより多くの TCP 接続を使用できます。 | 大規模なパフォーマンスを向上させ、NFS ファイル共有の総保有コストを削減します。 |
| ファイル共有またはストレージ アカウントが調整 されていないことを確認します、待機時間が長く、スループットが低く、IOPS が低くなる可能性があります。 要求は、IOPS、イングレス、またはエグレスの制限に達すると調整されます。 Standard ストレージ アカウントの場合、調整はアカウント レベルで行われます。 Premium ファイル共有の場合、通常、調整は共有レベルで行われます。 |
最適なクライアント エクスペリエンスを提供するために調整を避けます。 |
Azure のポリシー
Azure には、Azure Files に関連する広範な組み込みポリシー セットが用意されています。 上記の推奨事項の一部は、Azure ポリシーを使用して監査できます。 たとえば、次のことを確認できます。
- HTTPS などのセキュリティで保護された接続からの要求のみが受け入れられます。
- 共有キーの承認が無効になっています。
- ネットワーク ファイアウォール規則がアカウントに適用されます。
- Azure Files の診断設定は、リソース ログを Azure Monitor ログ ワークスペースにストリーミングするように設定されます。
- パブリック ネットワーク アクセスが無効になっています。
- Azure File Sync は、プライベート DNS ゾーンを使用するようにプライベート エンドポイントで構成されます。
包括的なガバナンスについては、ストレージコンピューティング レイヤーのセキュリティに影響する可能性があるその他のポリシーのAzure Policy の組み込み定義を確認します。
Azure Advisor の推奨事項
Azure Advisor は、ベスト プラクティスに従って Azure デプロイメントを最適化できるようにする、個人用に設定されたクラウド コンサルタントです。 Azure Files の信頼性、セキュリティ、コスト効率、パフォーマンス、オペレーショナル エクセレンスの向上に役立つ推奨事項を次に示します。
次のステップ
詳細については、 Azure Files のドキュメントを参照してください。