Azure Files は、クラウド用の Microsoft ファイル ストレージ ソリューションです。 Azure Files には、クラウド、オンプレミス、またはその両方のクライアントにマウントできるサーバー メッセージ ブロック (SMB) とネットワーク ファイル システム (NFS) ファイル共有が用意されています。 また、Azure File Sync を使用して、ローカル Windows サーバー上の SMB ファイル共有をキャッシュし、使用頻度の低いファイルをクラウドに階層化することもできます。
この記事では、アーキテクトとして ストレージ オプション を確認し、ワークロードを実行するストレージ サービスとして Azure Files を選択していることを前提としています。 この記事のガイダンスでは、Azure Well-Architected Framework の柱の原則にマップされたアーキテクチャに関する推奨事項を示します。
重要
このガイドの使用方法
各セクションには、設計チェックリスト があり、テクノロジ スコープにローカライズされた設計戦略と共に、関心のあるアーキテクチャ領域が示されています。
また、これらの戦略の実装に役立つテクノロジ機能に関する 推奨事項 も含まれています。 推奨事項は、Azure Files とその依存関係で使用できるすべての構成の完全な一覧を表すわけではありません。 代わりに、設計パースペクティブにマップされた主要な推奨事項が一覧表示されます。 推奨事項を使用して概念実証を構築するか、既存の環境を最適化します。
信頼性
信頼性の柱の目的は、十分な回復性を構築 し、障害から迅速に回復する機能をして継続的な機能を提供することです。
信頼性設計の原則は、個々のコンポーネント、ワークロード、システム フロー、およびシステム全体に適用される高度な設計戦略を提供します。
設計チェックリスト
信頼性 の設計レビュー チェックリストに基づいて、設計戦略を開始します。
エラー モード分析の使用: 仮想ネットワーク、Azure Key Vault、Azure Content Delivery Network、Azure Front Door エンドポイントの可用性などの内部依存関係を考慮して、障害点を最小限に抑えます。 Azure Files にアクセスするために資格情報が必要で、資格情報が Key Vault に表示されない場合、エラーが発生する可能性があります。 または、不足しているコンテンツ配信ネットワークに基づくエンドポイントをワークロードが使用している場合に、エラーが発生する可能性があります。 このような場合は、代替エンドポイントに接続するようにワークロードを構成することが必要になる場合があります。 障害モード分析の一般的な情報については、「 障害モード分析を実行するための推奨事項」を参照してください。
信頼性と復旧のターゲットを定義する: Azure サービス レベル アグリーメント (SLA) を確認します。 ストレージ アカウントのサービス レベル目標 (SLO) を派生させます。 たとえば、選択した冗長性構成が SLO に影響する可能性があります。 リージョンの停止の影響、データ損失の可能性、および停止後にアクセスを復元するために必要な時間を考慮してください。 また、障害モード分析の一部として識別した内部依存関係の可用性も考慮してください。
データの冗長性を構成する: 持続性を最大にするため、可用性ゾーンまたはグローバル リージョン間でデータをコピーする構成を選択します。 可用性を最大限に高めるために、プライマリ リージョンの停止中にクライアントがセカンダリ リージョンからデータを読み取る構成を選択します。
アプリケーションの設計: プライマリ リージョンが使用できない場合にセカンダリ リージョンからデータを読み取るように、シームレスに移行するように アプリケーションを設計 します。 この設計上の考慮事項は、geo 冗長ストレージ (GRS) と geo ゾーン冗長ストレージ (GZRS) の構成にのみ適用されます。 障害を適切に処理するようにアプリケーションを設計し、顧客のダウンタイムを短縮します。
回復ターゲットを満たすのに役立つ機能を探索する: 破損したファイル、編集済み、または削除されたファイルを回復できるようにファイルを復元できるようにします。
復旧計画を作成する: データ保護機能、バックアップと復元の操作、またはフェールオーバーの手順を検討します。 潜在的なデータ損失とデータの不整合、フェールオーバーの時間とコストに備える。 詳細については、「ディザスター リカバリー戦略を設計するための推奨事項」を参照してください。
可用性の問題の可能性を監視する: Azure Service Health ダッシュボード をサブスクライブして、潜在的な可用性の問題を監視します。 Azure Monitor のストレージ メトリックと診断ログを使用して、アラートを調査します。
推奨事項
| 勧告 | メリット |
|---|---|
| 冗長性を確保するためにストレージ アカウントを構成します。 可用性と持続性を最大限に高める場合は、 ゾーン冗長ストレージ (ZRS)、 GRS、または GZRS を使用してアカウントを構成します。 制限付き Azure リージョンでは、 Standard ファイル共有と Premium ファイル共有の ZRS がサポートされます。 GRS と GZRS をサポートするのは、標準の SMB アカウントのみです。 Premium SMB 共有と NFS 共有では、GRS と GZRS はサポートされていません。 Azure Files では、読み取りアクセス geo 冗長ストレージ (RA-GRS) または読み取りアクセス geo ゾーン冗長ストレージ (RA-GZRS) はサポートされていません。 RA-GRS または RA-GZRS を使用するようにストレージ アカウントを構成すると、ファイル共有が構成され、GRS または GZRS として課金されます。 |
冗長性により、予期しない障害からデータが保護されます。 ZRS と GZRS の構成オプションは、さまざまな可用性ゾーン間でレプリケートされ、停止中にアプリケーションがデータを読み取り続けることができます。 詳細については、 停止シナリオ別の持続性と可用性 、および 持続性と可用性のパラメーターに関する説明を参照してください。 |
| フェールオーバーまたはフェールバックを開始する前に、 最後の同期時刻 プロパティの値を確認して 、データ損失の可能性を評価します。 この推奨事項は、GRS および GZRS 構成にのみ適用されます。 | このプロパティは、アカウントのフェールオーバーを開始した場合に失われる可能性があるデータの量を見積もるのに役立ちます。 最後の同期時刻より前に書き込まれたデータとメタデータはすべてセカンダリ リージョンで使用できますが、セカンダリ リージョンに書き込まれていないため、前回の同期後に書き込まれたデータとメタデータが失われる可能性があります。 |
| バックアップと復旧の戦略の一環として、 論理的な削除を有効に し、特定の時点の復元に スナップショットを使用 します。 Azure Backup を使用して SMB ファイル共有をバックアップできます。 Azure File Sync を使用して、オンプレミスの SMB ファイル共有を Azure ファイル共有にバックアップすることもできます。 Azure Backup では、悪意のあるアクターまたは不正な管理者によるランサムウェア攻撃やソース データ損失からデータを保護するために、Azure Files のコンテナー化されたバックアップを実行することもできます。コンテナー化されたバックアップを使用すると、Azure Backup は Recovery Services コンテナーにデータをコピーして格納します。 これにより、最大 99 年間保持できるデータのオフサイト コピーが作成されます。 Azure Backup では、バックアップ ポリシーで定義されているスケジュールと保持期間に従って、復旧ポイントが作成および管理されます。 詳細については、こちらを参照してください。 |
ソフト削除は、Azure ファイル共有を偶発的な削除から保護するために、ファイル共有レベルで行われます。 ポイントインタイム リストアでは、ファイル共有を以前の状態に復元できるため、誤った削除や破損から保護されます。 詳細については、「 データ保護の概要」を参照してください。 |
安全
セキュリティの柱の目的は、ワークロードに対して機密性、整合性、可用性を保証することです。
セキュリティ設計の原則は、ファイル ストレージ構成の技術的な設計にアプローチを適用することで、これらの目標を達成するための高度な設計戦略を提供します。
セキュリティの要件と推奨事項は、ワークロードが SMB プロトコルと NFS プロトコルのどちらを使用してファイル共有にアクセスするかによって異なります。 そのため、次のセクションでは、SMB ファイル共有と NFS ファイル共有に関する個別の設計チェックリストと推奨事項について説明します。
ベスト プラクティスとして、SMB ファイル共有と NFS ファイル共有は異なるセキュリティ要件があるため、別々のストレージ アカウントに保持する必要があります。 このアプローチを使用して、強力なセキュリティと高い柔軟性をワークロードに提供します。
SMB ファイル共有の設計チェックリスト
セキュリティの設計レビュー チェックリストに基づいて 、設計戦略を開始します。 セキュリティ体制を改善するための脆弱性と制御を特定します。 必要に応じて、より多くのアプローチを含むように戦略を拡張します。
Azure Storage のセキュリティ ベースラインを確認する: 開始するには、 Storage のセキュリティ ベースラインを確認します。
ネットワーク制御を使用してイングレス トラフィックとエグレス トラフィックを制限することを検討してください。ID ベースの認証を使用してファイル共有へのアクセスを許可する場合など、特定の条件下でストレージ アカウントをパブリック インターネットに公開することに慣れている可能性があります。 ただし、ネットワーク制御を使用して、ユーザーとアプリケーションに最低限必要なレベルのアクセス権を付与することをお勧めします。 詳細については、「 ストレージ アカウントのネットワーク セキュリティにアプローチする方法」を参照してください。
攻撃対象領域を減らす: 転送中の暗号化を使用し、セキュリティで保護されていない (HTTP) 接続経由のアクセスを防ぎ、攻撃対象領域を減らします。 トランスポート層セキュリティ (TLS) プロトコルの最新バージョンを使用して、クライアントにデータの送受信を要求します。
ストレージ アカウント キーの使用を最小限に抑える: ID ベースの認証 は、ストレージ アカウント キーの使用に比べて優れたセキュリティを提供します。 ただし、ストレージ アカウント キーを使用して、ファイル共有の完全な管理制御 (ファイルの所有権を取得する機能を含む) を取得する必要があります。 セキュリティ プリンシパルに、タスクを実行するために必要なアクセス許可のみを付与します。
機密情報の保護: ストレージ アカウント キーやパスワードなどの機密情報を保護します。 これらの形式の承認を使用することはお勧めしませんが、使用する場合は、ローテーション、期限切れ、および安全に保存する必要があります。
脅威を検出する: Microsoft Defender for Storage を有効にして、SMB または FileREST プロトコルを介して Azure ファイル共有にアクセスしたり悪用したりする潜在的に有害な試行を検出できます。 サブスクリプション管理者は、疑わしいアクティビティの詳細と、脅威の調査と修復方法に関する推奨事項を含む電子メール アラートを受け取ります。 Defender for Storage では、Azure ファイル共有のウイルス対策機能はサポートされていません。 Defender for Storage を使用する場合、トランザクションが多いファイル共有では大きなコストが発生するため、特定のストレージ アカウントに対して Defender for Storage をオプトアウトすることを検討してください。
SMB ファイル共有の推奨事項
| 勧告 | メリット |
|---|---|
| ストレージ アカウントに Azure Resource Manager ロックを適用します。 | ストレージ アカウントが誤って削除されたり、悪意を持って削除されたりするのを防ぐために、アカウントをロックすると、データが失われる可能性があります。 |
| TCP ポート 445 の送信を開くか、Azure 外部のクライアントがファイル共有にアクセスできるように VPN ゲートウェイまたは Azure ExpressRoute 接続を設定します。 | SMB 3.x はインターネットに安全なプロトコルですが、組織または ISP ポリシーを変更できない可能性があります。 代替オプションとして、VPN ゲートウェイまたは ExpressRoute 接続を使用できます。 |
| ポート 445 を開く場合は、 Windows および Linux クライアントで SMBv1 を無効にしてください。 Azure Files では SMB 1 はサポートされていませんが、クライアントでは引き続き無効にする必要があります。 | SMB 1 は、旧式で効率が悪く、またセキュリティに不安があるプロトコルです。 クライアントで無効にして、セキュリティ体制を向上させます。 |
| ストレージ アカウントへのパブリック ネットワーク アクセスを無効にすることを検討してください。 Azure の外部にある SMB クライアントとサービスがストレージ アカウントへのアクセスを必要とする場合にのみ、パブリック ネットワーク アクセスを有効にします。 パブリック ネットワーク アクセスを無効にする場合は、ストレージ アカウントのプライベート エンドポイントを作成 します。 プライベート エンドポイントの標準データ処理率が適用されます。 プライベート エンドポイントは、パブリック エンドポイントへの接続をブロックしません。 前述のように、パブリック ネットワーク アクセスを無効にする必要があります。 ファイル共有に静的 IP アドレスを必要とせず、プライベート エンドポイントのコストを回避したい場合は、代わりに パブリック エンドポイントのアクセス を特定の仮想ネットワークと IP アドレスに制限できます。 |
ネットワーク トラフィックは、パブリック インターネットではなく Microsoft バックボーン ネットワークを経由して送信されるため、パブリック インターネットからのリスクにさらされるリスクが排除されます。 |
| 特定の仮想ネットワークへのアクセスを制限するファイアウォール規則を有効にします。 ゼロ アクセスから始めてから、クライアントとサービスに必要な最小限のアクセスを体系的かつ段階的に提供します。 | 攻撃者の開口部を作成するリスクを最小限に抑えます。 |
| 可能であれば、AES-256 Kerberos チケット暗号化で ID ベースの認証 を使用して、SMB Azure ファイル共有へのアクセスを承認します。 | ID ベースの認証を使用して、攻撃者がストレージ アカウント キーを使用してファイル共有にアクセスする可能性を減らします。 |
| ストレージ アカウント キーを使用する場合は、 それらを Key Vault に格納し、定期的に再生成してください。 共有の SMB セキュリティ設定から NTLMv2 を削除することで、ファイル共有へのストレージ アカウント キーのアクセスを完全に禁止できます。 ただし、管理者は一部のタスクにアカウント キーを使用する必要があるため、通常は共有の SMB セキュリティ設定から NTLMv2 を削除しないでください。 |
Key Vault を使用して、アプリケーションに保存するのではなく、実行時にキーを取得します。 また、Key Vault を使用すると、アプリケーションを中断することなく、キーを簡単にローテーションできます。 アカウント キーを定期的にローテーションして、悪意のある攻撃にデータを公開するリスクを軽減します。 |
| ほとんどの場合、すべてのストレージ アカウントで [安全な転送が必要 ] オプションを有効にして、SMB ファイル共有の転送中の暗号化を有効にする必要があります。 非常に古いクライアントが共有にアクセスできるようにする必要がある場合は、このオプションを有効にしないでください。 安全な転送を無効にする場合は、ネットワーク制御を使用してトラフィックを制限してください。 |
この設定により、ストレージ アカウントに対して行われたすべての要求が、セキュリティで保護された接続 (HTTPS) 経由で行われます。 HTTP 経由で行われた要求はすべて失敗します。 |
| TLS 1.2 がクライアントがデータを送受信するための最小バージョンになるようにストレージ アカウントを構成します。 | 最新の暗号アルゴリズムと暗号スイートをサポートしていない TLS 1.0 および 1.1 よりも、TLS 1.2 の方が安全性が高く高速です。 |
| サポートされている最新の SMB プロトコル バージョン (現在は 3.1.1.) のみを使用し、SMB チャネル暗号化には AES-256-GCM のみを使用します。 Azure Files では、組織の要件に応じて、SMB プロトコルを切り替えたり、互換性を高めたり、セキュリティを強化したりするために使用できる設定が公開されています。 既定では、すべての SMB バージョンが許可されます。 ただし、SMB 2.1 は転送中のデータの暗号化をサポートしていないため、[ セキュリティで保護された転送が必要 ] を有効にした場合、SMB 2.1 は許可されません。 これらの設定を高レベルのセキュリティに制限すると、一部のクライアントはファイル共有に接続できない可能性があります。 |
Windows 10 でリリースされた SMB 3.1.1 には、重要なセキュリティとパフォーマンスの更新プログラムが含まれています。 AES-256-GCM は、より安全なチャネル暗号化を提供します。 |
NFS ファイル共有の設計チェックリスト
ストレージのセキュリティ ベースラインを確認する: 開始するには、 Storage のセキュリティ ベースラインを確認します。
組織のセキュリティ要件を理解する: NFS Azure ファイル共有では、NFSv4.1 プロトコルを使用する Linux クライアントのみがサポートされ、4.1 プロトコル仕様のほとんどの機能がサポートされます。 Kerberos 認証やアクセス制御リスト (ACL) など、一部のセキュリティ機能はサポートされていません。
ネットワーク レベルのセキュリティと制御を使用してイングレス トラフィックとエグレス トラフィックを制限する: NFS Azure ファイル共有では ID ベースの認証を使用できないため、ネットワーク レベルのセキュリティと制御を使用して、ユーザーとアプリケーションに最低限必要なレベルのアクセス権を付与する必要があります。 詳細については、「 ストレージ アカウントのネットワーク セキュリティにアプローチする方法」を参照してください。
NFS ファイル共有の推奨事項
| 勧告 | メリット |
|---|---|
| ストレージ アカウントに Resource Manager ロックを適用します。 | ストレージ アカウントが誤って削除されたり、悪意を持って削除されたりするのを防ぐために、アカウントをロックすると、データが失われる可能性があります。 |
| NFS 共有をマウントするクライアントでポート 2049 を開く必要があります。 | ポート 2049 を開いて、クライアントが NFS Azure ファイル共有と通信できるようにします。 |
| NFS Azure ファイル共有には、制限付きネットワーク経由でのみアクセスできます。 そのため、ストレージ アカウント のプライベート エンドポイントを作成 するか、選択した仮想ネットワークと IP アドレス へのパブリック エンドポイント アクセスを制限 する必要があります。 プライベート エンドポイントを作成することをお勧めします。 NFS 共有のネットワーク レベルのセキュリティを構成することをお勧めします。 転送中の暗号化を有効にすることもできます。 プライベート エンドポイントには、標準のデータ処理レートが適用されます。 ファイル共有に静的 IP アドレスを必要とせず、プライベート エンドポイントのコストを回避したい場合は、代わりにパブリック エンドポイントのアクセスを制限できます。 |
ネットワーク トラフィックは、パブリック インターネットではなく Microsoft バックボーン ネットワークを経由して送信されるため、パブリック インターネットからのリスクにさらされるリスクが排除されます。 |
| ストレージ アカウント レベルでストレージ アカウント キーへのアクセスを禁止することを検討してください。 NFS ファイル共有をマウントするために、このアクセス権は必要ありません。 ただし、ファイル共有の完全な管理制御 (ファイルの所有権を取得する機能を含む) には、ストレージ アカウント キーを使用する必要があることに注意してください。 | ストレージ アカウントのセキュリティを強化するために、ストレージ アカウント キーの使用を禁止します。 |
コストの最適化
コストの最適化では、支出パターンの検出 、重要な領域への投資の優先順位付け、ビジネス要件を満たしながら組織の予算を満たすために他の での最適化に重点を置いています。
コスト最適化の設計原則は、これらの目標を達成し、ファイル ストレージとその環境に関連する技術的な設計で必要に応じてトレードオフを行う高度な設計戦略を提供します。
設計チェックリスト
投資のコスト最適化 の 設計レビュー チェックリストに基づいて、設計戦略を開始します。 ワークロードがそれに割り当てられている予算に合うように設計を微調整します。 設計では、適切な Azure 機能を使用し、投資を監視し、時間の経過と同時に最適化する機会を見つける必要があります。
ワークロードで Premium ファイル共有 (Azure Premium SSD) のパフォーマンスが必要か、または Azure Standard HDD ストレージで十分かを決定します。必要なストレージの種類に基づいて、ストレージ アカウントの種類と課金モデルを決定します。 1 秒あたりの大量の入出力操作 (IOPS)、非常に高速なデータ転送速度、または非常に短い待機時間が必要な場合は、Premium Azure ファイル共有を選択する必要があります。 NFS Azure ファイル共有は、Premium レベルでのみ使用できます。 NFS ファイル共有と SMB ファイル共有は、Premium レベルで同じ価格です。
ファイル共有のストレージ アカウントを作成し、冗長性レベルを選択します。Standard (GPv2) アカウントまたは Premium (FileStorage) アカウントを選択します。 選択した冗長性レベルがコストに影響します。 冗長性が高いほど、コストが高くなります。 ローカル冗長ストレージ (LRS) は最も手頃な価格です。 GRS は、標準の SMB ファイル共有でのみ使用できます。 Standard ファイル共有では、ストレージ アカウント レベルのトランザクション情報のみが表示されるため、完全な課金の可視性を確保するために、各ストレージ アカウントに 1 つのファイル共有のみをデプロイすることをお勧めします。
請求書の計算方法の理解: Standard Azure ファイル共有は従量課金モデルを提供します。 Premium 共有では、 プロビジョニングされたモデルが使用されます 。このモデルでは、一定量の容量、IOPS、スループットを前もって指定して支払います。 従量課金制モデルでは、メーターは、アカウントに格納されているデータの量、容量、およびそのデータの使用状況に基づくトランザクションの数と種類を追跡します。 従量課金制モデルは、使用した分だけ支払うため、コスト効率が高くなります。 従量課金制モデルでは、パフォーマンス要件や需要の変動に基づいてストレージのオーバープロビジョニングやプロビジョニング解除を行う必要はありません。
ただし、エンドユーザーの消費によってコストが発生するため、予算作成プロセスの一環としてストレージを計画することは困難な場合があります。 プロビジョニングされたモデルでは、トランザクションは課金に影響しないため、コストを簡単に予測できます。 ただし、プロビジョニングされたストレージ容量は、使用するかどうかに関係なく支払います。 コストの計算方法の詳細な内訳については、「 Azure Files の課金について」を参照してください。
容量と操作のコストを見積もる: Azure 料金計算ツール を使用して、データ ストレージ、イングレス、エグレスに関連するコストをモデル化できます。 さまざまなリージョン、アカウントの種類、冗長性の構成に関連するコストを比較します。 詳細については、 Azure Files の価格に関するページを参照してください。
最もコスト効率の高いアクセス層を選択します。Standard SMB Azure ファイル共有には、 トランザクション最適化、 ホット、 クールの 3 つのアクセス層が用意されています。 3 つのレベルはすべて、同じ Standard Storage ハードウェアに格納されます。 これら 3 つのレベルの主な違いは、保存データのストレージ価格 (よりクールなレベルでは低い) と、よりクールな層の方が高いトランザクション価格です。 詳細については、「 Standard レベルの違い」を参照してください。
必要な付加価値サービスを決定します。Azure Files では、バックアップ、Azure File Sync、Defender for Storage などの 付加価値サービス との統合がサポートされます。 これらのソリューションには独自のライセンスと製品コストがありますが、多くの場合、ファイル ストレージの総保有コストの一部と見なされます。 Azure File Sync を使用する場合は、 他のコスト面 も考慮してください。
ガードレールの作成: サブスクリプションとリソース グループに基づいて 予算 を作成します。 ガバナンス ポリシーを使用して、リソースの種類、構成、場所を制限します。 さらに、ロールベースのアクセス制御 (RBAC) を使用して、オーバーペンドにつながる可能性のあるアクションをブロックします。
コストの監視: コストが予算内に収まるようにし、コストと予測を比較し、超過支出が発生する場所を確認します。 Azure portal の [コスト分析 ] ウィンドウを使用して、コストを監視できます。 コスト データをストレージ アカウントにエクスポートし、Excel または Power BI を使用してそのデータを分析することもできます。
使用状況の監視: 使用状況パターンを継続的に監視して、未使用または未使用のストレージ アカウントとファイル共有を検出します。 予期しない容量の増加を確認します。これは、多数のログ ファイルまたは論理的に削除されたファイルを収集していることを示している可能性があります。 ファイルを削除したり、よりコスト効率の高いアクセス層にファイルを移動したりするための戦略を策定します。
推奨事項
| 勧告 | メリット |
|---|---|
| Standard Azure ファイル共有に移行する場合は、最初の移行中に トランザクション最適化 レベルで開始することをお勧めします。 移行中のトランザクションの使用は、通常、通常のトランザクション使用量を示すわけではありません。 プロビジョニングされた課金モデルはトランザクションに対して課金されないため、この考慮事項は Premium ファイル共有には適用されません。 | Azure Files への移行は、トランザクションが多い一時的なワークロードです。 移行コストを削減するために、トランザクションの多いワークロードの価格を最適化します。 |
| ワークロードを移行した後、標準のファイル共有を使用する場合は、ファイル共有の最もコスト効率の高いアクセス層 ( ホット、 クール、または トランザクション最適化) を慎重に選択します。 定期的な使用で数日または数週間運用した後、 料金計算ツール にトランザクション数を挿入して、ワークロードに最も適したレベルを確認できます。 ほとんどのお客様は、共有を積極的に使用している場合でも 、クール を選択する必要があります。 ただし、各共有を調べて、ストレージ容量とトランザクションのバランスを比較して、階層を決定する必要があります。 トランザクション コストが請求書のかなりの割合を占める場合、 クール アクセス層の使用による節約によって、多くの場合、このコストが相殺され、全体的なコスト全体が最小限に抑えられます。 ワークロード パターンの変更を最適化するために必要な場合にのみ、アクセス層間で標準ファイル共有を移動することをお勧めします。 各移動ではトランザクションが発生します。 詳細については、「 Standard レベル間の切り替え」を参照してください。 |
コストを大幅に削減するために、Standard ファイル共有に適したアクセス層を選択します。 |
| Premium 共有を使用する場合は、ワークロードに十分な容量とパフォーマンスをプロビジョニングしますが、不要なコストが発生するほどではありません。 オーバープロビジョニングは 2 ~ 3 回行うことをお勧めします。 ストレージと入出力 (IO) のパフォーマンス特性に応じて、Premium ファイル共有を動的にスケールアップまたはスケールダウンできます。 | パフォーマンスを維持し、将来の成長とパフォーマンスの要件を考慮するために、Premium ファイル共有を妥当な量でオーバープロビジョニングします。 |
| Azure Files の予約 (予約インスタンスとも呼ばれます) を使用して、ストレージの使用を事前にコミットし、割引を受けます。 運用ワークロードまたは開発/テスト ワークロードの予約を一貫したフットプリントで使用します。 詳細については、「 ストレージ予約を使用したコストの最適化」を参照してください。 予約には、トランザクション、帯域幅、データ転送、メタデータ ストレージの料金は含まれません。 |
3 年間の予約では、ファイル ストレージの合計コストに対して最大 36% 割引を提供できます。 予約はパフォーマンスに影響しません。 |
| スナップショットの使用状況を監視します。 スナップショットには料金が発生しますが、各スナップショットの差分ストレージ使用量に基づいて課金されます。 各スナップショットの差異に対してのみ支払います。 詳細については、「スナップショット」を参照してください。 Azure File Sync では、通常の使用の一環として共有レベルとファイル レベルのスナップショットが取得されるため、Azure Files の合計請求額が増加する可能性があります。 |
差分スナップショットを使用すると、同じデータの格納に対して複数回課金されることはありません。 ただし、Azure Files の課金を減らすのに役立つスナップショットの使用状況は引き続き監視する必要があります。 |
| 論理的な削除機能の保持期間を設定します(特に、最初に使用を開始する場合)。 この機能が請求書に与える影響をより深く理解するには、短い保有期間から始めてみてください。 推奨される最小保持期間は 7 日です。 Standard と Premium の両方のファイル共有を論理的に削除すると、プロビジョニングされた容量ではなく、使用済み容量として課金されます。 また、Premium ファイル共有の場合、論理的な削除状態の間はスナップショット レートで課金されます。 Standard ファイル共有の場合、論理的な削除状態の間は通常のレートで課金されます。 |
論理的に削除されたファイルが蓄積されて容量コストが増加しないように、保持期間を設定します 構成された保持期間の後、完全に削除されたデータにはコストは発生しません。 |
オペレーショナル エクセレンス
オペレーショナル エクセレンスは主に、開発プラクティス、可観測性、リリース管理の手順に重点を置いています。
オペレーショナル エクセレンス設計原則、ワークロードの運用要件に対してこれらの目標を達成するための高度な設計戦略を提供します。
設計チェックリスト
ファイル ストレージ構成に関連する監視、テスト、デプロイのプロセスを定義するための オペレーショナル エクセレンスの設計レビュー チェックリスト に基づいて、設計戦略を開始します。
メンテナンスと緊急復旧計画を作成する: データ保護機能、バックアップと復元の操作、およびフェールオーバーの手順を検討します。 潜在的なデータ損失とデータの不整合、フェールオーバーの時間とコストに備える。
ストレージ アカウントの正常性を監視する: ストレージ分析情報 ダッシュボードを作成して、可用性、パフォーマンス、回復性のメトリックを監視します。 アラートを設定して、システム内の問題を特定して対処してから、顧客が問題に気付く前に対処します。 診断設定を使用して、リソース ログを Azure Monitor ログ ワークスペースにルーティングします。 その後、ログにクエリを実行して、アラートをより深く調査できます。
ファイル共有アクティビティを定期的に確認する: 共有アクティビティは時間の経過と同時に変化する可能性があります。 標準ファイル共有を低温アクセス層に移動するか、プレミアム共有の容量をプロビジョニングする、または取り消すことができます。 Standard ファイル共有を別のアクセス層に移動すると、トランザクション料金が発生します。 毎月の請求額を削減するために必要な場合にのみ、標準ファイル共有を移動します。
推奨事項
| 勧告 | メリット |
|---|---|
| コードとしてのインフラストラクチャ (IaC) を使用して、 Azure Resource Manager テンプレート (ARM テンプレート)、 Bicep、または Terraform でストレージ アカウントの詳細を定義します。 | 既存の DevOps プロセスを使用して新しいストレージ アカウントをデプロイし、 Azure Policy を 使用して構成を適用できます。 |
| Storage Insights を使用して、ストレージ アカウントの正常性とパフォーマンスを追跡します。 Storage Insights は、すべてのストレージ アカウントの障害、パフォーマンス、可用性、容量の統合ビューを提供します。 | 各アカウントの正常性と操作を追跡できます。 利害関係者がストレージ アカウントの正常性を追跡するために使用できるダッシュボードとレポートを簡単に作成できます。 |
| Monitor を使用して、可用性、待機時間、使用状況などの メトリックを分析し、アラートを 作成します。 | モニターは、ファイル共有の可用性、パフォーマンス、回復性のビューを提供します。 |
パフォーマンス効率
パフォーマンス効率とは、容量の管理により、負荷が増加してもユーザー エクスペリエンスを維持することです。 この戦略には、リソースのスケーリング、潜在的なボトルネックの特定と最適化、ピーク パフォーマンスの最適化が含まれます。
パフォーマンス効率設計の原則、予想される使用に対してこれらの容量目標を達成するための高度な設計戦略を提供します。
設計チェックリスト
パフォーマンス効率 の設計レビュー チェックリストに基づいて、設計戦略を開始します。 ファイル ストレージ構成の主要業績評価指標に基づくベースラインを定義します。
スケールの計画: ストレージ アカウント、Azure Files、Azure File Sync の スケーラビリティとパフォーマンスのターゲット について説明します。
予測可能なパフォーマンスを実現するためのアプリケーションと使用パターンを理解する: 待機時間の感度、IOPS とスループットの要件、ワークロードの期間と頻度、ワークロードの並列化を決定します。 サービスのパフォーマンスの上限を達成するのに役立つマルチスレッド アプリケーションには Azure Files を使用します。 要求のほとんどがメタデータ中心 (createfile、openfile、closefile、queryinfo、querydirectory など) である場合、要求は読み取りと書き込みの操作よりも待機時間が長くなります。 この問題が発生した場合は、同じストレージ アカウント内の複数のファイル共有にファイル共有を分離することを検討してください。
最適なストレージ アカウントの種類を選択します。ワークロードで大量の IOPS、非常に高速なデータ転送速度、または非常に短い待機時間が必要な場合は、Premium (FileStorage) ストレージ アカウントを選択する必要があります。 ほとんどの SMB ファイル共有ワークロードには、標準の汎用 v2 アカウントを使用できます。 2 つのストレージ アカウントの種類間の主なトレードオフは、コストとパフォーマンスです。
プロビジョニングされた共有サイズ (IOPS、エグレス、イングレスなど) と単一ファイルの制限によって、Premium 共有のパフォーマンスが決まります。 詳細については、「 Premium ファイル共有のプロビジョニングについて」を参照してください。 Premium ファイル共有では、Premium ファイル共有のベースライン IOPS 制限を一時的に超える必要がある場合は、 バースト クレジット も保険ポリシーとして提供されます。
待機時間を短縮するためにクライアントを接続するのと同じリージョンにストレージ アカウントを作成します。Azure Files サービスから離れているほど、待機時間が長くなり、パフォーマンススケールの制限を達成するのが難しくなります。 この考慮事項は、オンプレミス環境から Azure Files にアクセスする場合に特に当てはまります。 可能であれば、ストレージ アカウントとクライアントが同じ Azure リージョンに併置されていることを確認します。 ネットワーク待機時間を最小限に抑えるか、ExpressRoute 接続を使用してオンプレミス ネットワークをプライベート接続経由で Microsoft クラウドに拡張することで、オンプレミス クライアント用に最適化します。
パフォーマンス データの収集: 待機時間、可用性、使用状況のメトリックなど、ワークロード のパフォーマンス を 監視します。 ログを分析 して、タイムアウトや調整などの問題を診断します。 ファイル共有が調整されているか、調整されようとしているか、待機時間が長いかを通知するアラートを作成します。
ハイブリッド デプロイの最適化: Azure File Sync を使用する場合、同期のパフォーマンスは、Windows Server と基になるディスク構成、サーバーと Azure ストレージ間のネットワーク帯域幅、ファイル サイズ、データセットの合計サイズ、データセットのアクティビティなど、さまざまな要因によって異なります。 Azure File Sync に基づくソリューションのパフォーマンスを測定するには、1 秒あたりに処理するオブジェクト (ファイルやディレクトリなど) の数を決定します。
推奨事項
| 勧告 | メリット |
|---|---|
| Premium SMB ファイル共有の SMB マルチチャネル を有効にします。 SMB マルチチャネルを使用すると、SMB 3.1.1 クライアントは SMB Azure ファイル共有への複数のネットワーク接続を確立できます。 SMB マルチチャネルは、クライアント側 (クライアント) とサービス側 (Azure) の両方で機能が有効になっている場合にのみ機能します。 Windows クライアントでは、SMB マルチチャネルは既定で有効になっていますが、ストレージ アカウントで有効にする必要があります。 |
総保有コストを削減しながら、スループットと IOPS を向上させます。 負荷を分散するファイルの数が増えると、パフォーマンス上の利点が向上します。 |
| Linux クライアント上の NFS Azure ファイル共有で nconnect クライアント側マウント オプションを使用します。 Nconnect を使用すると、クライアントと NFSv4.1 用の Azure Files Premium サービスの間でより多くの TCP 接続を使用できます。 | 大規模なパフォーマンスを向上させ、NFS ファイル共有の総保有コストを削減します。 |
| ファイル共有またはストレージ アカウントが 調整されていないことを確認します。そのため、待機時間が長く、スループットが低く、IOPS が低くなる可能性があります。 要求は、IOPS、イングレス、またはエグレスの制限に達すると調整されます。 Standard ストレージ アカウントの場合、調整はアカウント レベルで行われます。 Premium ファイル共有の場合、通常、調整は共有レベルで行われます。 |
最適なクライアント エクスペリエンスを提供するために調整を避けます。 |
Azure ポリシー
Azure には、Azure Files に関連する広範な組み込みポリシー セットが用意されています。 上記の推奨事項の一部は、Azure ポリシーを使用して監査できます。 たとえば、次のことを確認できます。
- HTTPS などのセキュリティで保護された接続からの要求のみが受け入れられます。
- 共有キーの承認が無効になっています。
- ネットワーク ファイアウォール規則がアカウントに適用されます。
- Azure Files の診断設定は、リソース ログを Azure Monitor ログ ワークスペースにストリーミングするように設定されます。
- パブリック ネットワーク アクセスが無効になっています。
- Azure File Sync は、プライベート DNS ゾーンを使用するようにプライベート エンドポイントで構成されます。
包括的なガバナンスについては、コンピューティング レイヤーのセキュリティに影響を与える可能性があるストレージおよびその他のポリシー の Azure Policy 組み込み定義 を確認してください。
Azure Advisor の推奨事項
Azure Advisor は、Azure デプロイを最適化するためのベスト プラクティスに従うのに役立つ、パーソナライズされたクラウド コンサルタントです。 Azure Files の信頼性、セキュリティ、コスト効率、パフォーマンス、オペレーショナル エクセレンスの向上に役立つ推奨事項を次に示します。
次のステップ
詳細については、 Azure Files のドキュメントを参照してください。