Azure から Linux VHD をダウンロードする
適用対象: ✔️ Linux VM ✔️ フレキシブルなスケール セット
この記事では、Azure portal を使用して Azure から Linux 仮想ハード ディスク (VHD) ファイルをダウンロードする方法を説明します。
VM を停止する
VHD は、実行中の VM に接続されている場合、Azure からダウンロードできません。 VM を実行し続けたい場合は、スナップショットを作成してから、スナップショットをダウンロードします。
VM を停止するには:
Azure portal にサインインします。
左側のメニューで [Virtual Machines] を選択します。
一覧から VM を選択します。
VM のページで、 [停止] を選択します。
代替手段: VM ディスクのスナップショットを作成する
ダウンロードするディスクのスナップショットを作成します。
- ポータルで VM を選択します。
- 左側のメニューで [ディスク] を選択し、スナップショットを作成するディスクを選択します。 ディスクの詳細が表示されます。
- ページ上部のメニューから [スナップショットの作成] を選択します。 [スナップショットの作成] ページが開きます。
- [名前] にスナップショットの名前を入力します。
- [スナップショットの種類] に、 [完全] または [増分] を選択します。
- 完了したら、 [確認および作成] を選択します。
スナップショットはすぐに作成され、別のVMのダウンロードや作成に使用することができます。
Note
最初に VM を停止しないと、クリーンなスナップショットになりません。 スナップショットは、スナップショットが作成された時点で VM の電源を入れ直したか、クラッシュした場合と同じ状態になります。 通常は安全ですが、その時点で実行中のアプリケーションがクラッシュ耐性を持っていない場合に問題が発生する可能性があります。
この方法は、OS ディスクが 1 つの VM にのみ推奨されます。 データ ディスクが 1 つ以上の VM の場合、ダウンロードする前、または OS ディスクと各データ ディスクのスナップショットを作成する前に、停止する必要があります。
Microsoft Entra ID を使用してダウンロードとアップロードをセキュリティで保護する
Microsoft Entra ID を使用してリソース アクセスを制御している場合は、それを使用して Azure マネージド ディスクのアップロードとダウンロードを制限できるようになりました。 この機能は、すべてのリージョンで GA オファリングとして利用できます。 ユーザーがディスクをアップロードまたはダウンロードしようとすると、Azure により、要求しているユーザーの ID が Microsoft Entra ID で検証され、ユーザーが必要なアクセス許可を持っていることが確認されます。 より上位のレベルでは、システム管理者は Azure アカウントまたはサブスクリプションのレベルでポリシーを設定することで、すべてのディスクとスナップショットでのアップロードまたはダウンロード時に必ず Microsoft Entra ID が使用されるようにすることができます。 Microsoft Entra ID を使用してアップロードまたはダウンロードをセキュリティ保護する方法についてご質問がある場合は、azuredisks@microsoft.com までメールでお問い合わせください
制限
- VHD を空のスナップショットにアップロードすることはできません。
- Azure Backup では、Microsoft Entra ID でセキュリティ保護されたディスクは現在サポートされていません。
- Azure Site Recovery では、Microsoft Entra ID でセキュリティ保護されたディスクは現在サポートされていません。
前提条件
- 最新の Azure PowerShell モジュールをインストールします。
RBAC ロールを割り当てる
Microsoft Entra ID を使用してセキュリティで保護されたマネージド ディスクにアクセスするには、要求するユーザーに、マネージド ディスクのデータ オペレーター ロール、または次のアクセス許可を持つカスタム ロールが必要です。
- Microsoft.Compute/disks/download/action
- Microsoft.Compute/disks/upload/action
- Microsoft.Compute/snapshots/download/action
- Microsoft.Compute/snapshots/upload/action
ロールの割り当ての詳細な手順については、ポータル、PowerShell、または CLI に関する次の記事を参照してください。 カスタム ロールを作成または更新するには、ポータル、PowerShell、または CLI に関する次の記事を参照してください。
データ アクセス認証モードを有効にする
データ アクセス認証モードを有効にして、ディスクへのアクセスを制限します。 ディスクの作成時に有効にするか、既存のディスクの場合は [ディスクのエクスポート] ページの [設定] で有効にすることもできます。
SAS URL の生成
VHD ファイルをダウンロードするには、Shared Access Signature (SAS) URL を生成する必要があります。 URL が生成されると、その URL に有効期限が割り当てられます。
重要
2025 年 2 月 15 日に、ディスクとスナップショットの Shared Access Signature (SAS) のアクセス タイムは最大 60 日に制限されます。 有効期限が 60 日を超える SAS を生成しようとすると、エラーが発生します。 有効期限が 60 日を超える既存のディスクまたはスナップショット SAS は、作成日から 60 日後に動作を停止する可能性があり、認可中に 403 エラーが発生します。
マネージド ディスクまたはスナップショット SAS の有効期限が 60 日を超える場合は、アクセスを取り消し、60 日間 (5,184,000 秒) 以下のアクセスを要求する新しい SAS を生成します。 有効期限が短い SAS を使用して全体的なセキュリティを強化します。 サービスの中断を防ぐために、2025 年 2 月 15 日より前にこれらの変更を行います。 次のリンクを使用して、新しい SAS を検索、取り消し、要求できます。
- ディスクにアクティブな SAS があるかどうかを確認するには、REST API、 Azure CLI、または Azure PowerShell モジュールを使用して、DiskState プロパティを調べます。
- SAS を取り消すには、REST API、Azure CLI、または Azure PowerShell モジュールのいずれかを使用します。
- SAS を作成するには、REST API、Azure CLI、または Azure PowerShell モジュールのいずれかを使用し、アクセス期間を 5,184,000 秒以下に設定します。
- VM に対するページのメニューで、 [ディスク] を選択します。
- VM 用のオペレーティング システム ディスクを選択して、 [ディスクのエクスポート] を選択します。
- 必要に応じて、[URL の期限が切れるまでの秒数] の値を更新して、ダウンロードを完了するのに十分な時間を設けます。 既定値は 3600 秒 (1 時間) です。
- [URL の生成] を選択します。
VHD のダウンロード
Note
Microsoft Entra ID を使用してマネージド ディスクのダウンロードをセキュリティで保護している場合、VHD をダウンロードするユーザーには、適切な RBAC アクセス許可が必要です。
生成された URL の下にある [VHD ファイルのダウンロード] を選択します。
ブラウザーで [保存] を選択しないと、ダウンロードが開始されない場合があります。 VHD ファイルの既定の名前は abcd です。