SMB Azure ファイル共有を Linux でマウントする
Azure Files は、Microsoft の使いやすいクラウド ファイル システムです。 Azure ファイル共有は、SMB カーネル クライアントを使用して Linux ディストリビューションにマウントできます。
Linux で Azure ファイル共有をマウントするには、SMB 3.1.1 を使用することをお勧めします。 既定では、転送中の暗号化が Azure Files で必要になりますが、これがサポートされるのは SMB 3.0 以降となります。 Azure Files では SMB 2.1 (転送中の暗号化をサポートしていない) もサポートしていますが、セキュリティ上の理由から、別の Azure リージョンまたはオンプレミスから SMB 2.1 を使用して Azure ファイル共有をマウントすることはできません。 アプリケーションで SMB 2.1 が特に必要な場合を除き、SMB 3.1.1 を使用してください。
| Distribution | SMB 3.1.1 (推奨) | SMB 3.0 |
|---|---|---|
| Linux カーネル バージョン |
|
|
| Ubuntu | AES-128-GCM 暗号化: 18.04.5 LTS 以上 | AES-128-CCM 暗号化: 16.04.4 LTS 以上 |
| Red Hat Enterprise Linux (RHEL) |
|
7.5+ |
| Debian | 基本: 10 以上 | AES-128-CCM 暗号化: 10 以上 |
| SUSE Linux Enterprise Server | AES-128-GCM 暗号化: 15 SP2 以上 | AES-128-CCM 暗号化: 12 SP2 以上 |
お使いの Linux ディストリビューションが上記の表に記載されていない場合は、uname コマンドを使用して Linux カーネル バージョンを確認してください。
uname -r
Note
SMB 2.1 のサポートが追加されたのは、Linux カーネル バージョン 3.7 となります。 お使いの Linux カーネルのバージョンが 3.7 より後の場合、SMB 2.1 がサポートされています。
適用対象
| ファイル共有の種類 | SMB | NFS |
|---|---|---|
| Standard ファイル共有 (GPv2)、LRS/ZRS |  |
 |
| Standard ファイル共有 (GPv2)、GRS/GZRS | |
|
| Premium ファイル共有 (FileStorage)、LRS/ZRS | |
|
前提条件
cifs-utils パッケージがインストールされていることを確認します。
cifs-utils パッケージは、選択した Linux ディストリビューションのパッケージ マネージャーを使用してインストールできます。Ubuntu および Debian では、
aptパッケージ マネージャーを使用します。sudo apt update sudo apt install cifs-utilsRed Hat Enterprise Linux 8 以上では、
dnfパッケージ マネージャーを使用します。sudo dnf install cifs-utilsそれより前のバージョンの Red Hat Enterprise Linux では、
yumパッケージ マネージャーを使用します。sudo yum install cifs-utilsSUSE Linux Enterprise Server では、
zypperパッケージ マネージャーを使用します。sudo zypper install cifs-utils他のディストリビューションでは、適切なパッケージ マネージャーを使用するか、ソースからコンパイルします。
Azure コマンド ライン インターフェイス (CLI) の最新バージョン。 Azure CLI をインストールする方法の詳細については、Azure CLI のインストールに関するページを参照し、ご利用のオペレーティング システムを選択してください。 PowerShell 6 以降で Azure PowerShell モジュールを使用することは可能ですが、この記事の手順は Azure CLI 用に提供されています。
ポート 445 が開いていることを確認する: SMB は、TCP ポート 445 経由で通信します。ファイアウォールによってクライアント コンピューターの TCP ポート 445 がブロックされないことを確認してください。
<your-resource-group>と<your-storage-account>を置き換え、次のスクリプトを実行します。resourceGroupName="<your-resource-group>" storageAccountName="<your-storage-account>" # This command assumes you have logged in with az login httpEndpoint=$(az storage account show \ --resource-group $resourceGroupName \ --name $storageAccountName \ --query "primaryEndpoints.file" --output tsv | tr -d '"') smbPath=$(echo $httpEndpoint | cut -c7-${#httpEndpoint}) fileHost=$(echo $smbPath | tr -d "/") nc -zvw3 $fileHost 445接続に成功した場合、次のような出力が表示されます。
Connection to <your-storage-account> 445 port [tcp/microsoft-ds] succeeded!企業ネットワーク上でポート 445 を開くことができない場合、または ISP によってブロックされている場合は、VPN 接続または ExpressRoute を使用してポート 445 を回避することができます。 詳細については、直接の Azure ファイル共有アクセスのネットワークに関する考慮事項に関するページを参照してください。
Azure ファイル共有を mount を使用してオンデマンドでマウントする
Linux OS でファイル共有をマウントすると、リモートのファイル共有がローカル ファイル システム内のフォルダーとして表示されます。 ファイル共有は、システム上の任意の場所にマウントできます。 次の例では、/mount パス下にマウントします。 これは、$mntRoot 変数を変更することで任意のパスに変更できます。
<resource-group-name>、<storage-account-name>、<file-share-name> をお使いの環境に適した情報に置き換えます。
resourceGroupName="<resource-group-name>"
storageAccountName="<storage-account-name>"
fileShareName="<file-share-name>"
mntRoot="/mount"
mntPath="$mntRoot/$storageAccountName/$fileShareName"
sudo mkdir -p $mntPath
次に、mount コマンドを使用してファイル共有をマウントします。 次の例では、$smbPath コマンドがストレージ アカウントのファイル エンドポイントの完全修飾ドメイン名を使用して設定されています。また、$storageAccountKey には、ストレージ アカウント キーが設定されています。
Note
Linux カーネル バージョン 5.0 以降でネゴシエートされる既定のプロトコルは SMB 3.1.1 です。 5\.0 より前のバージョンの Linux カーネルを使用する場合は、mount のオプション リストに vers=3.1.1 を指定してください。
# This command assumes you have logged in with az login
httpEndpoint=$(az storage account show \
--resource-group $resourceGroupName \
--name $storageAccountName \
--query "primaryEndpoints.file" --output tsv | tr -d '"')
smbPath=$(echo $httpEndpoint | cut -c7-${#httpEndpoint})$fileShareName
storageAccountKey=$(az storage account keys list \
--resource-group $resourceGroupName \
--account-name $storageAccountName \
--query "[0].value" --output tsv | tr -d '"')
sudo mount -t cifs $smbPath $mntPath -o username=$storageAccountName,password=$storageAccountKey,serverino,nosharesock,actimeo=30
mount コマンドのマウント オプションには、uid/gid または dir_mode および file_mode を使用してアクセス許可を設定できます。 アクセス許可を設定する方法の詳細については、Wikipedia の「UNIX numeric notation」 (UNIX の数値表記) を参照してください。
必要に応じて、同じ Azure ファイル共有を複数のマウント ポイントにマウントすることもできます。 Azure ファイル共有の使用を完了したら、sudo umount $mntPath を使用して共有のマウントを解除してください。
ファイル共有を自動的にマウントする
Linux OS でファイル共有をマウントすると、リモートのファイル共有がローカル ファイル システム内のフォルダーとして表示されます。 ファイル共有は、システム上の任意の場所にマウントできます。 次の例では、/mount パス下にマウントします。 これは、$mntRoot 変数を変更することで任意のパスに変更できます。
mntRoot="/mount"
sudo mkdir -p $mntRoot
Azure ファイル共有を Linux にマウントするには、ファイル共有のユーザー名としてストレージ アカウント名を、また、パスワードとしてストレージ アカウント キーを使用します。 ストレージ アカウントの資格情報は時間が経つと変わる可能性があるため、ストレージ アカウントの資格情報は、マウントの構成とは別に保管しておく必要があります。
次の例は、資格情報を格納するファイルの作成方法を示しています。 <resource-group-name> と <storage-account-name> をお使いの環境に適した情報に置き換えることを忘れないでください。
resourceGroupName="<resource-group-name>"
storageAccountName="<storage-account-name>"
# Create a folder to store the credentials for this storage account and
# any other that you might set up.
credentialRoot="/etc/smbcredentials"
sudo mkdir -p "/etc/smbcredentials"
# Get the storage account key for the indicated storage account.
# You must be logged in with az login and your user identity must have
# permissions to list the storage account keys for this command to work.
storageAccountKey=$(az storage account keys list \
--resource-group $resourceGroupName \
--account-name $storageAccountName \
--query "[0].value" --output tsv | tr -d '"')
# Create the credential file for this individual storage account
smbCredentialFile="$credentialRoot/$storageAccountName.cred"
if [ ! -f $smbCredentialFile ]; then
echo "username=$storageAccountName" | sudo tee $smbCredentialFile > /dev/null
echo "password=$storageAccountKey" | sudo tee -a $smbCredentialFile > /dev/null
else
echo "The credential file $smbCredentialFile already exists, and was not modified."
fi
# Change permissions on the credential file so only root can read or modify the password file.
sudo chmod 600 $smbCredentialFile
ファイル共有を自動的にマウントするには、/etc/fstab ユーティリティによる静的マウントを使用する方法と autofs ユーティリティによる動的マウントを使用する方法とがあります。
/etc/fstab を使用した静的マウント
以前の環境を使用して、ストレージ アカウントやファイル共有のフォルダーを指定のマウント フォルダー下に作成します。 <file-share-name> は、Azure ファイル共有の適切な名前に置き換えてください。
fileShareName="<file-share-name>"
mntPath="$mntRoot/$storageAccountName/$fileShareName"
sudo mkdir -p $mntPath
最後に、Azure ファイル共有のレコードを /etc/fstab ファイルに作成します。 次のコマンドでは、Linux のファイルとフォルダーに既定のアクセス許可である 0755 が使用されています。これは、所有者 (ファイルまたはディレクトリの Linux 所有者に基づく) には読み取り、書き込み、および実行が、所有者グループのユーザーには読み取りおよび実行が、システム上の他のユーザーには読み取りおよび実行が許可されることを意味します。 別途、mount の uid と gid または dir_mode と file_mode で必要に応じてアクセス許可を設定することもできます。 アクセス許可を設定する方法の詳細については、Wikipedia の「UNIX numeric notation」 (UNIX の数値表記) を参照してください。
ヒント
.NET Core アプリケーションを実行する Docker コンテナーが Azure ファイル共有に書き込めるようにする場合は、CIFS マウント オプションに nobrl を含め、バイト範囲ロック要求をサーバーに送信しないようにします。
httpEndpoint=$(az storage account show \
--resource-group $resourceGroupName \
--name $storageAccountName \
--query "primaryEndpoints.file" --output tsv | tr -d '"')
smbPath=$(echo $httpEndpoint | cut -c7-${#httpEndpoint})$fileShareName
if [ -z "$(grep $smbPath\ $mntPath /etc/fstab)" ]; then
echo "$smbPath $mntPath cifs nofail,credentials=$smbCredentialFile,serverino,nosharesock,actimeo=30" | sudo tee -a /etc/fstab > /dev/null
else
echo "/etc/fstab was not modified to avoid conflicting entries as this Azure file share was already present. You may want to double check /etc/fstab to ensure the configuration is as desired."
fi
sudo mount -a
Note
Linux カーネル バージョン 5.0 以降でネゴシエートされる既定のプロトコルは SMB 3.1.1 です。 vers マウント オプションを使用して別のプロトコル バージョンを指定できます (プロトコルのバージョンは 3.1.1、3.0、2.1)。
autofs を使用した動的マウント
autofs ユーティリティを使用してファイル共有を動的にマウントするには、パッケージ マネージャーを使用して、任意の Linux ディストリビューションにユーティリティをインストールします。
Ubuntu と Debian ディストリビューションでは、apt パッケージ マネージャーを使用します。
sudo apt update
sudo apt install autofs
Red Hat Enterprise Linux 8 以上では、dnf パッケージ マネージャーを使用します。
sudo dnf install autofs
それより前のバージョンの Red Hat Enterprise Linux では、yum パッケージ マネージャーを使用します。
sudo yum install autofs
SUSE Linux Enterprise Server では、zypper パッケージ マネージャーを使用します。
sudo zypper install autofs
次に、autofs 構成ファイルを更新します。
fileShareName="<file-share-name>"
httpEndpoint=$(az storage account show \
--resource-group $resourceGroupName \
--name $storageAccountName \
--query "primaryEndpoints.file" --output tsv | tr -d '"')
smbPath=$(echo $httpEndpoint | cut -c7-$(expr length $httpEndpoint))$fileShareName
echo "$fileShareName -fstype=cifs,credentials=$smbCredentialFile :$smbPath" > /etc/auto.fileshares
echo "/fileshares /etc/auto.fileshares --timeout=60" > /etc/auto.master
最後の手順は、autofs サービスを再起動することです。
sudo systemctl restart autofs
ファイル共有スナップショットをマウントする
SMB Azure ファイル共有の特定のスナップショットをマウントする場合は、mount コマンドの一部として snapshot オプションを指定する必要があります。snapshot は、特定のスナップショットが作成された日時 (@GMT-2023.01.05-00.08.20 の形式) です。 snapshot オプションは、バージョン 4.19 以降の Linux カーネルでサポートされています。
ファイル共有スナップショットを作成した後、次の手順に従ってそれをマウントします。
Azure portal で、スナップショットをマウントするファイル共有が含まれているストレージ アカウントに移動します。
[データ ストレージ] > [ファイル共有] を選んで、ファイル共有を選びます。
[操作] > [スナップショット] を選び、マウントするスナップショットの名前を記録しておきます。 スナップショットの名前は、次のスクリーンショットのように GMT タイムスタンプになります。
タイムスタンプを、
mountコマンドで想定される形式に変換します (@GMT-year.month.day-hour.minutes.seconds)。 この例では、2023-01-05T00:08:20.0000000Z を @GMT-2023.01.05-00.08.20 に変換します。GMT 時刻を使って
mountコマンドを実行し、snapshotの値を指定します。<storage-account-name>、<file-share-name>、GMT タイムスタンプは、実際の値に置き換えてください。 .cred ファイルには、共有のマウントに使用する資格情報が含まれています (「ファイル共有を自動的にマウントする」を参照)。sudo mount -t cifs //<storage-account-name>.file.core.windows.net/<file-share-name> /mnt/<file-share-name>/snapshot1 -o credentials=/etc/smbcredentials/snapshottestlinux.cred,snapshot=@GMT-2023.01.05-00.08.20パス
/mnt/<file-share-name>/snapshot1でスナップショットを参照できる場合、マウントは成功しました。
マウントが失敗する場合は、「Linux での Azure Files に関する問題のトラブルシューティング (SMB)」をご覧ください。
次のステップ
Azure Files の詳細については、次のリンクをご覧ください。