オンプレミスでアクセスされ、AD DS によってセキュリティで保護される Azure Files

このアーキテクチャは、クラウド内のファイル共有を、Windows Server 上のファイルにもアクセスするオンプレミスのユーザーとアプリケーションに提供する方法を示しています。

アーキテクチャ

このアーキテクチャの Visio ファイルをダウンロードします。

ワークフロー

1. このソリューションでは、オンプレミスの AD DS とクラウドベースの Microsoft Entra ID が同期されます。 同期では、クラウドとオンプレミスの両方のリソースにアクセスするための共通の ID が提供されるので、ユーザーの生産性が向上します。

   Microsoft Entra Connect は、同期を実行するオンプレミスの Microsoft アプリケーションです。 Microsoft Entra Connect の詳細については、「Microsoft Entra Connect とは」と「Microsoft Entra Connect Sync: 同期について理解し、カスタマイズする」を参照してください。

2. Azure Virtual Network は、クラウド内に仮想ネットワークを提供します。 このソリューションには、少なくとも 2 つのサブネットがあります。1 つは Azure DNS 用、もう 1 つはファイル共有にアクセスするプライベート エンドポイント用です。

3. VPN または Azure ExpressRoute が、オンプレミスのネットワークとクラウドの仮想ネットワークの間のセキュリティで保護された接続を提供します。 VPN を使用する場合は、Azure VPN Gateway を使用してゲートウェイを作成します。 ExpressRoute を使用する場合は、ExpressRoute 仮想ネットワーク ゲートウェイを作成します。 詳細については、「VPN ゲートウェイとは」および「ExpressRoute の仮想ネットワーク ゲートウェイについて」を参照してください。

4. Azure Files は、クラウドにファイル共有を提供します。 これには Azure Storage アカウントが必要です。 ファイル共有の詳細については、「Azure Files とは」を参照してください。

5. プライベート エンドポイントは、ファイル共有へのアクセスを提供します。 プライベート エンドポイントは、Azure サービスに接続するサブネット内のネットワーク インターフェイス カード (NIC) のようなものです。 この例では、このサービスはファイル共有です。 プライベート エンドポイントの詳細については、「Azure Storage のプライベート エンドポイントを使用する」を参照してください。

6. オンプレミスの DNS サーバーは、IP アドレスを解決します。 ただし、Azure DNS が Azure ファイル共有の完全修飾ドメイン名 (FQDN) を解決します。 Azure DNS に対するすべての DNS クエリは、仮想ネットワークから発信されます。 この仮想ネットワーク内には、これらのクエリを Azure DNS にルーティングする DNS プロキシが存在します。 詳細については、「DNS フォワーダーを使用しているオンプレミスのワークロード」を参照してください。

   Windows または Linux サーバー上に DNS プロキシを指定することも、Azure Firewall を使用することもできます。 Azure Firewall オプションには、仮想マシンを管理する必要がないという利点があります。これについては、「Azure Firewall の DNS 設定」を参照してください。

7. オンプレミスのカスタム DNS は、条件付きフォワーダーを介して Azure DNS に DNS トラフィックを転送するように構成されています。 条件付き転送の詳細については、「DNS フォワーダーを使用しているオンプレミスのワークロード」も参照してください。

8. オンプレミスの AD DS は、ファイル共有へのアクセスを認証します。 これは、「パート 1: Azure ファイル共有に対する AD DS 認証を有効にする」で説明されている 4 ステップのプロセスです。

コンポーネント

• Azure Storage は、データ、アプリ、およびワークロード向けの、非常にスケーラブルで安全なクラウド サービスのセットです。 これには、Azure Files、Azure Table Storage、Azure Queue Storage が含まれます。
• Azure Files は、Azure Storage アカウント内にフル マネージドのファイル共有を提供します。 これらのファイルは、クラウドからでもオンプレミスからでもアクセスできます。 Windows、Linux、および macOS のデプロイで、Azure ファイル共有を同時にマウントできます。 ファイル アクセスには、業界標準のサーバー メッセージ ブロック (SMB) プロトコルが使用されます。
• Azure Virtual Network は、Azure 内のプライベート ネットワークの基本的な構成ブロックです。 これは、仮想マシンなどの Azure リソースに対して、相互の通信、インターネットとの通信、およびオンプレミスのネットワークとの通信をセキュリティで保護するのに必要な環境を提供します。
• Azure ExpressRoute は、オンプレミスのネットワークをプライベート接続を介して Microsoft クラウドに拡張します。
• Azure VPN Gateway は、リモート ブランチ オフィスに接続するのとほとんど同じ方法で、サイト間 VPN を介してオンプレミスのネットワークを Azure に接続します。 この接続はセキュリティで保護されており、業界標準プロトコルであるインターネット プロトコル セキュリティ (IPsec) とインターネット キー交換 (IKE) が使用されます。
• Azure Private Link を使用すると、仮想ネットワークから Azure PaaS (サービスとしてのプラットフォーム)、顧客所有、または Microsoft パートナーの各サービスへのプライベート接続が可能になります。 ネットワーク アーキテクチャが簡素化され、パブリック インターネットへのデータの公開をなくすことで Azure でのエンドポイント間の接続がセキュリティで保護されます。
• プライベート エンドポイントは、仮想ネットワークのプライベート IP アドレスを使用するネットワーク インターフェイスです。 Azure Storage アカウントのプライベート エンドポイントを使用すると、仮想ネットワーク上のクライアントがプライベート リンクを介してデータにアクセスできるようになります。
• Azure Firewall は、Azure 仮想ネットワーク リソースを保護する、クラウドベースのマネージド ネットワーク セキュリティ サービスです。 組み込みの高可用性とクラウドの無制限のスケーラビリティを備えた、完全にステートフルなサービスとしてのファイアウォールです。 Azure Firewall が DNS プロキシとして機能するように構成できます。 DNS プロキシは、クライアント仮想マシンから DNS サーバーへの DNS 要求の仲介役です。

シナリオの詳細

次の一般的な状況を考えてみましょう。 オンプレミスの Windows Server が、ユーザーとアプリケーションにファイルを提供します。 Windows Server Active Directory ドメイン サービス (AD DS) が、ファイルをセキュリティで保護します。さらに、オンプレミスの DNS サーバーが存在します。 すべては同じプライベート ネットワーク上にあります。

ここで、クラウドでファイルを共有することが必要になったとします。

この記事で説明するアーキテクチャでは、Azure を使用してこのニーズを満たす方法とこれを低コストで実現する方法、さらに、オンプレミスのネットワーク、AD DS、DNS を継続して使用する方法について説明します。

このアーキテクチャでは、Azure Files によってファイル共有が提供されます。 サイト間 VPN または Azure ExpressRoute が、オンプレミスのネットワークと Azure 仮想ネットワークの間のセキュリティで保護された接続を提供します。 ユーザーとアプリケーションは、この接続を使用してファイルにアクセスします。 Microsoft Entra ID と Azure DNS が、オンプレミスの AD DS および DNS と連携して、アクセスをセキュリティで保護します。

つまり、ここで説明したような状況では、オンプレミスのユーザーにクラウド ファイルを低コストで提供し、オンプレミスの AD DS と DNS を使用してセキュリティで保護されたファイル アクセスを継続して提供できます。

考えられるユース ケース

• ファイル サーバーはクラウドに移動しますが、ユーザーはオンプレミスに残る必要がある。
• クラウドに移行されたアプリケーションは、オンプレミスのファイルと、クラウドに移行されたファイルにアクセスする必要がある。
• ファイル ストレージをクラウドに移行することで、コストを削減する必要がある。

考慮事項

以降の考慮事項には、ワークロードの品質向上に使用できる一連の基本原則である Azure "Well-Architected Framework" の要素が組み込まれています。 詳細については、「Microsoft Azure Well-Architected Framework」を参照してください。

[信頼性]

信頼性により、顧客に確約したことをアプリケーションで確実に満たせるようにします。 詳細については、「信頼性の重要な要素の概要」を参照してください。

• Azure Storage は常に、データの複数のコピーを同じゾーンに保存するので、計画された停止や計画外の停止から保護されます。 他のゾーンや他のリージョンに追加のコピーを作成するためのオプションも用意されています。 詳細については、「Azure Storage の冗長性」を参照してください。
• Azure Firewall には高可用性が組み込まれています。 詳細については、「Azure Firewall Standard の機能」を参照してください。

セキュリティ

セキュリティは、重要なデータやシステムの意図的な攻撃や悪用に対する保証を提供します。 詳細については、「セキュリティの重要な要素の概要」を参照してください。

次の記事には、Azure コンポーネントのセキュリティ情報が含まれています。

• Azure Storage 用の Azure セキュリティ ベースライン
• Azure Private Link の Azure セキュリティ ベースライン
• 仮想ネットワーク用の Azure セキュリティ ベースライン
• Azure Firewall 用の Azure セキュリティ ベースライン

コストの最適化

コストの最適化とは、不要な費用を削減し、運用効率を向上させる方法を検討することです。 詳しくは、コスト最適化の柱の概要に関する記事をご覧ください。

Azure の製品および構成のコストを見積もるには、Azure 料金計算ツールをお使いください。

次の記事には、Azure コンポーネントの価格情報が含まれています。

• Azure Files の価格
• Azure Private Link の価格
• Virtual Network の価格
• Azure ファイアウォールの価格

パフォーマンス効率

パフォーマンス効率とは、ユーザーによって行われた要求に合わせて効率的な方法でワークロードをスケーリングできることです。 詳細については、「パフォーマンス効率の柱の概要」を参照してください。

• Azure Storage アカウントには、ファイル共有を含むすべての Azure Storage データ オブジェクトが含まれています。 ストレージ アカウントは、そのデータに対して、世界中のどこからでも HTTP または HTTPS 経由でアクセスできる一意の名前空間を提供します。 このアーキテクチャでは、ストレージ アカウントに Azure Files によって提供されるファイル共有が含まれています。 最高のパフォーマンスを実現するため、次のことをお勧めします。
  • ファイル共有を含むストレージ アカウントにデータベースや BLOB などを配置しない。
  • 非常にアクティブなファイル共有は、ストレージ アカウントごとに 1 つのみになるようにする。 それほどアクティブでないファイル共有は、同一のストレージ アカウントにグループ化できます。
  • HDD ではなく SSD ベースのストレージを使用する。 ファイル共有のスケーラビリティおよびパフォーマンスの詳細については、「Azure Files のスケーラビリティおよびパフォーマンスのターゲット」を参照してください。
  • 汎用 v1 ストレージ アカウントを選択しない。これには重要な機能が不足しています。 ストレージ アカウントの種類については、「ストレージ アカウントの概要」を参照してください。
  • サイズ、速度、その他の制限事項に注意する。 詳細については、「Azure サブスクリプションとサービスの制限、クォータ、制約」を参照してください。
• ストレージ以外のコンポーネントのパフォーマンスを向上するためにユーザーができることはそれほどありませんが、デプロイに際して「Azure サブスクリプションとサービスの制限、クォータ、制約」で説明されている制限、クォータ、制約に従うことでパフォーマンスを向上できます。
• Azure コンポーネントのスケーラビリティの詳細については、「Azure サブスクリプションとサービスの制限、クォータ、制約」を参照してください。

共同作成者

この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。

プリンシパル作成者:

• Rudnei Oliveira | シニア カスタマー エンジニア

次のステップ

• クイック スタート:Azure Portal を使用した仮想ネットワークの作成
• VPN ゲートウェイとは
• チュートリアル:Azure portal を使用して VPN ゲートウェイを作成、管理する
• Azure エンタープライズ クラウド ファイル共有
• Azure Virtual Network の概念とベスト プラクティス
• Azure Files のデプロイの計画
• Azure Storage のプライベート エンドポイントを使用する
• Azure プライベート エンドポイントの DNS 構成
• Azure Firewall の DNS 設定
• セルフマネージド Active Directory Domain Services、Microsoft Entra ID、マネージド Microsoft Entra Domain Services を比較する

関連リソース

• リモートおよびローカル ブランチ ワーカー用ディザスター リカバリーを使用したハイブリッド ファイル共有
• Azure エンタープライズ クラウド ファイル共有
• ハイブリッド環境での Azure ファイル共有の使用
• ハイブリッド ファイル サービス