Azure NetApp Files に対する Azure Well-Architected フレームワークの分析観点
Azure NetApp Files は、クラウドでファイル ワークロードを実行し、ファイルを格納するために使用できる、Azure ネイティブのエンタープライズ クラスのサービスです。 このフル マネージドのクラウドベースのサービスを使用して、次の操作を行います。
- サービス レベルとパフォーマンス レベルを選択します。
- データ保護を管理します。
- Azure NetApp Files アカウントを作成します。
- 容量プールを作成します。
- ボリュームを作成します。
- ハイ パフォーマンス、低待機時間、高可用性、スケーラビリティを備えたファイル共有を作成および管理します。
オンプレミスのエンタープライズ アプリケーションに使い慣れたプロトコルとツールを使用します。 Azure NetApp Files では、サーバー メッセージ ブロック (SMB) およびネットワーク ファイル システム (NFS)、およびデュアル プロトコル ボリュームがサポートされています。 ファイル共有、高パフォーマンス コンピューティング、ホーム ディレクトリ、データベースには Azure NetApp Files を使用できます。
この記事では、アーキテクトとして、ファイル ストレージ オプションを確認し、ワークロードのサービスとして Azure NetApp Files を選択したことを前提としています。 この記事のガイダンスでは、Well-Architected フレームワークの柱の原則にマップされるアーキテクチャに関する推奨事項を示します。
重要
このガイドを使用する方法
各セクションには、"設計チェックリスト" があり、アーキテクチャの関心領域と、テクノロジ スコープに限定した設計戦略が示されています。
これらの戦略の具体化に役立つテクノロジ機能に関する推奨事項も含まれています。 これらの推奨事項は、Azure NetApp Files とその依存関係で利用できるすべての構成の完全な一覧とはなっていません。 そうではなく、設計パースペクティブにマップされた主要な推奨事項が一覧表示されます。 推奨事項を使用して概念実証を構築するか、既存の環境を最適化してください。
主要な推奨事項を示す基本的なアーキテクチャ: Azure NetApp Files を使用した Moodle のデプロイ。
テクノロジの範囲
このレビューでは、次の Azure リソースについての相互に関連する決定に焦点をあてます。
- Azure NetApp Files
信頼性
信頼性の柱の目的は、障害から迅速に復旧するのに十分な回復性と機能を構築して、継続的な機能を提供することです。
信頼性の設計原則は、個々のコンポーネント、システム フロー、およびシステム全体に適用されるおおまかな設計戦略を提供します。
設計チェック リスト
信頼性の設計レビュー チェックリストに基づいて、設計戦略を開始します。 ワークロードのスケーラビリティとパフォーマンスを考慮しながら、ビジネス要件との関連性を判断します。 必要に応じて、より多くのアプローチを含むように戦略を拡張します。
事業目標と一致していて、複雑さやオーバーヘッドが必要以上にならないように、ワークロードを設計します。 実践的でバランスのとれたアプローチを使用して、ワークロードのニーズを反映した意思決定を行います。 Azure NetApp Files のデプロイの選択肢は、他のコンポーネントに影響する可能性があります。 たとえば、Azure NetApp Files デプロイのサブネット サイズによって、使用可能な IP アドレスの数が決まります。 また、ネットワーク機能の設定によって、使用可能なネットワークと機能が決まります。
ユーザー フローとシステム フローを特定します。 信頼性を効果的に計画し、セキュリティを最適化できるように、顧客のニーズとビジネス要件を理解します。 必要なネットワークとの間のアクセスを制限するには、アクセス許可を割り当てるときに最小特権の原則を使用します。 Azure NetApp Files データへのアクセスを承認するには、ネットワーク セキュリティ グループ (NSG)、Microsoft Entra ID ハイブリッド ID、Microsoft Entra Domain Services、Active Directory Domain Services (AD DS)、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) などの機能またはサービスを使用します。 Azure NetApp Files ボリュームへの既定のアクセスを制限するには、ファイル ロックなどの機能を使用します。
信頼性ターゲットと回復ターゲットを定義します。 回復ターゲットを視覚化し、ワークロードの信頼性目標と回復性の目標を達成するためのアクションを推進します。 信頼性と回復を向上させるには、これらのターゲットを定義し、Azure NetApp Files ソリューションの理解を深めます。 ターゲットは、スナップショットの最適化、可用性ゾーン間の高可用性、ゾーン間およびリージョン間のレプリケーション、サポートされているアプリケーションの SMB 継続的可用性の最適化に役立ちます。
冗長性を構築します。 ワークロードを可用性ゾーンとリージョンにまたがってデプロイして、ワークロードとサポート インフラストラクチャの冗長性を構築します。 この方法により、障害から迅速に復旧できます。 アクティブ/パッシブ デプロイでは、プライマリ リージョンでのみ運用環境の負荷を処理できますが、必要に応じて、デプロイはセカンダリ パッシブ リージョンにフェールオーバーされます。
推奨事項
| 推奨事項 | 特長 |
|---|---|
| 将来的に対応できるサイズ設定を使用して、委任されたサブネット サイズを適切に決定します。 | サブネットのサイズを適切に設定して、設計の長期的な回復性と、アプリケーションとワークロードのスケーラビリティを確保します。 |
| 委任されたサブネットで標準的なネットワーク機能を有効にして、回復性と追加の接続パターンを強化します。 | 標準ネットワーク機能を選択すると、IP 上限が上がり、委任されたサブネット上の追加の接続パターンや NSG、ユーザー定義ルートなどの標準の仮想ネットワーク機能を使用できます。 |
| 組み込みの Azure NetApp Files 機能を使用して冗長性を構築し、回復ターゲットの信頼性を確保します。 スナップショットを使用して、ビジネス クリティカルなデータを保護し、回復性を強化します。 Azure NetApp Files の可用性ゾーン ボリューム配置機能を使用して、同じゾーン内の Azure コンピューティングやその他のサービスと一致するように、特定の可用性ゾーンにボリュームをデプロイします。 ゾーン間またはリージョン間のレプリケーションを使用して、ローカルまたはリモートのディザスター リカバリーを設計します。 ゾーンまたはリージョンの障害からデータを保護するには、スナップショット テクノロジを使用して、特定の Azure 可用性ゾーンまたはリージョン間で Azure NetApp Files インスタンスをレプリケートできるようにします。 |
スナップショットは、パフォーマンスに影響を与えることなく、安定性、スケーラビリティ、高速回復性を追加します。 バックアップ、リージョン間レプリケーション、ゾーン間レプリケーションなど、他の冗長性ソリューションの基盤が提供されます。 Azure 可用性ゾーンは、従来の単一または複数のデータセンター インフラストラクチャよりも可用性が高く、フォールト トレラントで、スケーラブルです。 回復性があるソリューションを設計するには、可用性ゾーンをサポートする Azure サービスを使用します。 ゾーン間およびリージョン間のレプリケーションでは、データ転送が最小限に抑えられます。これにより、コストが削減され、変更されたブロックのみがリージョン間でレプリケートされるため、低い復元ポイント目標が作成されます。 |
| プラットフォーム、サービス、ソフトウェアのアップグレードなど、サービス メンテナンス イベント中にアプリケーションの回復性を確保します。 詳細については、「アプリケーションの中断に対処する」を参照してください。 | 一部のアプリケーションでは、最大 30 ~ 45 秒間の入力/出力の一時停止を処理するためにチューニングが必要になる場合があります。 アプリケーションのパフォーマンスと継続性を維持するには、ストレージ サービスのメンテナンス イベントを処理できるように、アプリケーションの回復性設定を理解します。 |
| SMB ワークロードまたはデュアル プロトコル ワークロードの場合は、メンテナンス イベント中に可用性を確保するために、SMB の継続的可用性を有効にします。 | SMB またはデュアル プロトコル ボリュームを作成する場合は、継続的可用性を使用して、メンテナンスに対する SMB 透過フェールオーバーによって、ボリュームにデータを格納するサーバー アプリケーションが中断されないようにします。 一部のワークロードでは、この機能はサポートされていません。 |
| 適切なパフォーマンス レベル、ボリューム サイズ、サービス品質 (QoS) 設定を使用して、適切なパフォーマンスを確保します。 QoS の自動設定があるボリュームの場合、ボリュームに割り当てられているクォータと選択したサービス レベルによってスループットの制限が決まります。 QoS の手動設定があるボリュームの場合は、スループット制限を個別に定義できます。 ワークロードのニーズを Azure NetApp Files オファリングと比較して理解します。 詳細については、「パフォーマンスに関する考慮事項」を参照してください。 |
不要な複雑さとオーバーヘッドを回避し、総保有コスト (TCO) の管理に役立つ適切なパフォーマンス レベルを選択します。 |
| ファイアウォールに対してアプリケーション フィルター処理を適切に構成します。 正しい構成を確実に使用するには、次のリソースを参照してください。 - ネットワーク接続ストレージ (NAS) プロトコルについて - ネットワーク計画のガイドライン - AD DS サイトの設計と計画のガイドラインについて |
ディレクトリの検索や項目の作成を試みたときに接続が切断されるなどの問題を防ぐために、アプリケーション フィルター処理を正しく構成します。 Windows Server Active Directory、LDAP、SMB のフィルター処理には、一般的にこれらの問題があります。 アプリケーション フィルター処理を使用して、シームレスな接続と効率的なネットワーク操作を確保します。 |
セキュリティ
セキュリティの柱の目的は、ワークロードに機密性、整合性、可用性の保証を提供することです。
セキュリティ設計原則は、ファイル ストレージ構成の技術設計へのアプローチを適用することで、これらの目標を達成するためのおおまかな設計戦略を提供します。
設計チェック リスト
セキュリティの設計レビュー チェックリストに基づいて、設計戦略を開始します。 セキュリティ態勢を向上させるための脆弱性と制御を特定します。 必要に応じて、より多くのアプローチを含むように戦略を拡張します。
イングレス フローとエグレス フローの両方で、ネットワーク トラフィックを分離、フィルター処理、制御する。 ネットワーク トラフィックを制御して、潜在的なセキュリティ イベントを軽減します。 NSG を使用して Azure リソース間のトラフィックをフィルター処理できます。 または、Azure NetApp Files の委任されたサブネットでユーザー定義ルートを使用して、トラフィックを制限します。
厳密で条件付きで監査可能な ID およびアクセス管理を実装します。 リソースへの厳密なアクセスは、最前線の防御策となります。 データ リソースを保護するには、カスタム ロールベースのアクセス制御 (RBAC) ロール、プロトコルベースのロック ツール、および組み込みのストレージ ポリシーを使用します。
コンプライアンス要件、業界標準、プラットフォームの推奨事項に合ったセキュリティ ベースラインを確立します。 ストレージ ポリシーとキー管理は、業界標準のツールを使用してセキュリティのベースラインを確立するのに役立ちます。 Azure NetApp Files では、NFS、SMB、デュアル プロトコル ボリュームに関する組み込みのセキュリティに関する推奨事項の多くもサポートされています。
最新の業界標準の方法を使用してデータを暗号化します。 データがセキュリティで保護されていることを確認します。 Azure NetApp Files には、保存時の二重暗号化など、データのセキュリティを確保するためのソリューションと機能が用意されています。 Windows Server Active Directory ユーザーの場合、Azure NetApp Files では Advanced Encryption Standard (AES) 暗号化がサポートされています。
セキュリティ戦略を策定します。 Azure NetApp Files では、NFS、SMB、デュアル プロトコル のボリュームがサポートされています。 デュアル プロトコル ボリュームを使用する場合は、それらのボリュームのセキュリティ ニーズを理解し、ワークロードのニーズに合ったセキュリティ スタイルを決定します。 SMB、NFSv4.1 Kerberos、または LDAP 参照用に Windows Server Active Directory 接続が必要な場合は、そのセキュリティ ベースラインをコンプライアンス要件、業界標準、プラットフォームの推奨事項に合わせる必要があります。 Azure NetApp Files では、標準の CryptoMod を使用して AES-256 暗号化キーを生成します。これは SMB サーバーに適用できます。 適切なセキュリティ戦略を開発するには、LDAP over TLS を有効にし、ドメイン コントローラーへの SMB 接続を暗号化し、SMB ボリュームの管理者特権ユーザーを割り当て、バックアップ ポリシーとセキュリティ プロトコルがあることを確認します。
適切なアクセスと所有権の構成を設定します。 ユーザー特権と制限付きロールを設定して、間違いや不適切なアクションを軽減します。 セキュリティを維持するには、適切な共有アクセス許可、所有権ロール、共有、ファイル、フォルダーの所有権モードを設定します。 最適なセキュリティを実現し、間違いを軽減するには、NFS、SMB、およびデュアル プロトコル共有のさまざまなアクセス管理ソリューションを特定して理解します。
推奨事項
| 推奨事項 | 特長 |
|---|---|
| アクセス管理を実装します。 Azure NetApp Files のカスタム RBAC の役割を使用して、操作のアクセスを制限します。 詳細については、「Azure カスタム ロール」を参照してください。 Azure NetApp Files リソース プロバイダーの操作の一覧を確認します。 Azure NetApp Files ボリュームへの既定のアクセスを制限します。 Azure サブスクリプション、リソース グループ、およびリソースをロックして、ユーザーによる誤った削除や変更から保護します。 |
ユーザーが誤って新しいボリュームを作成したり削除したりしないようにリソースをロックします。 また、ユーザーがスナップショットやバックアップを作成できないようにすることもできます。 |
| 適切なプロトコル固有のアクセス制御を設定します。 NFSv4.1 ボリュームまたはデュアル プロトコル ボリュームを作成する場合は、NFSv4.1 ボリュームでアクセス制御リスト (ACL) を有効にします。 マウント パスの変更のアクセス許可を制限します。 詳細については、「Unix のアクセス許可を構成し、NFS ボリュームとデュアル プロトコル ボリュームの所有権モードを変更する」を参照してください。 SMB またはデュアル プロトコル ボリュームの場合は、ACL と SMB を使用して、SMB 経由で共有へのマウントとアクセスを制御します。 詳細については、「Microsoft 管理コンソールを使用して共有レベル ACL を変更する」と「SMB 共有 ACL を管理する」を参照してください。 SMB 共有で新しいテクノロジ ファイル システム (NTFS) セキュリティ スタイルを使用します。 詳しくは、「アクセス制御の概要」をご覧ください。 |
ACL は、NFSv4.1 と SMB で詳細なファイル セキュリティを提供します。 NTFS では、NTFS ACL を使用できます。 ACL を使用して、必要なユーザーへのアクセスを制限します。 |
| NFS 共有の適切な共有アクセス許可、所有権、所有権モードを設定します。 NFS では、エクスポート ポリシーを使用して、IP アドレスを介してボリューム アクセス許可を制御します。 詳細については、次のリソースを参照してください。 - NAS 共有のアクセス許可について - NFS またはデュアル プロトコル ボリュームのエクスポート ポリシーを構成する - Unix のアクセス許可を構成して所有権モードを変更する 所有者と所有権モードでは、ボリュームの所有者と所有権を変更できるユーザーが決まります。 NFS 共有内のファイルとフォルダーに適切なファイル アクセス許可を設定します。 詳細については、「NAS ファイルのアクセス許可について」と「モード ビットについて」を参照してください。 |
共有アクセス許可では、NFS ボリュームをマウントできるユーザー、ボリュームのアクセス許可、およびボリューム所有者を変更できるユーザーが制限されます。 ファイルのアクセス許可は、ファイル システム内の特定のファイルとフォルダーへのアクセスを制御するもので、共有アクセス許可よりも詳細な設定が可能です。 |
| 組み込みまたはカスタムのストレージ ポリシーを使用して、セキュリティで保護されていないボリュームまたはスナップショットを制限します。 詳細については、「Azure Policy の定義」を参照してください。 | セキュリティで保護されていないボリュームを制限し、ポリシーを使用してスナップショットを作成し、アプリケーションの信頼性と整合性を維持します。 |
| Azure NetApp Files の委任されたサブネットで、Azure NetApp Files エンドポイントとの間のネットワーク トラフィックをフィルター処理するように、標準のネットワーク機能と NSG を構成します。 必要なトラフィックのみを許可するように、ルートを制限し、Azure NetApp Files の委任されたサブネットまたはネットワークにユーザー定義ルートをデプロイすることを検討してください。 |
NSG とユーザー定義ルートは、望ましくないトラフィックや悪意のある可能性のあるトラフィックが Azure NetApp Files にアクセスするのを防ぎます。 ユーザー定義ルートは、必要な場所にのみトラフィックを誘導し、不要なトラフィックをドロップするのに役立ちます。 |
| アカウント キーに効果的な戦略を採用します。 リスクを軽減するには、アカウント キーを定期的にローテーションします。 ボリュームの独自のキーを管理するには、カスタマー マネージド キーを使用します。 | アカウント キーをローテーションして、悪意のあるアクターからのアクセスを阻止します。 自己管理キーのセキュリティ要件または規制がある場合は、カスタマー マネージド キーを使用します。 |
| リソースの可視性を下げます。 スナップショット ポリシーを構成するか、スナップショットを作成する場合は、NFSv3 ボリュームと SMB ボリュームのスナップショット パスを非表示にします。 既定では、NFSv4.1 クライアントからはスナップショットのディレクトリ パスが非表示です。 NFSv4.1 ボリュームとデュアル プロトコル ボリュームの場合は、showmount 機能を無効にします。 SMB の場合は、アクセスベースの列挙および参照不可の SMB 共有を有効にします。 |
リソースの可視性を制限して、アクセスを制限します。 スナップショット パスを非表示にすると、NFSv3 クライアントと SMB クライアントからディレクトリ パスが非表示になり、保護レイヤーが追加されます。 そのディレクトリには引き続きアクセスすることができます。 NFS クライアントの showmount 機能を使用すると、ユーザーは NFS サーバー上のエクスポートされたファイル システムを表示できますが、この機能によってセキュリティ プローブで脆弱性のフラグが設定される可能性があります。 一部のアプリケーションで showmount 機能を有効にする必要があります。 SMB 展開では、アクセスベースの列挙によってデータに境界が作成され、共有への不要なアクセスが防止されます。 参照不可の SMB 共有を使用すると、Windows クライアントが SMB 共有を参照できなくなります。 net view \\server /all コマンドを実行しても、共有は Windows ファイル ブラウザーまたは共有の一覧に表示されません。 |
| デュアル プロトコル ボリュームがある場合は、実装するセキュリティ スタイルを決定します。 SMB と NFS では、ユーザー アクセスとグループ アクセスに異なるアクセス許可モデルが使用されます。 デュアル プロトコル ボリュームでは、UNIX または NTFS セキュリティ スタイルを使用するように Azure NetApp Files を構成します。 アクティブにできるセキュリティ スタイルは 1 つだけです。 | セキュリティの最適化に役立つデュアル プロトコル ワークロードのニーズを理解します。 |
| 機密データの保存時には二重暗号化を使用します。 既定では、Azure NetApp Files は保存データを暗号化します。 二重暗号化を構成するには、容量プールを作成するときに、暗号化の種類を double に設定します。 | 二重暗号化は、ハードウェア レベル (暗号化された SSD ドライブ) とボリューム レベルのソフトウェア レイヤーでデータを暗号化します。 |
| Windows Server Active Directory サーバーへの接続を確立する場合は、AES 暗号化を有効にします。 このオプションにより、Windows Server Active Directory 接続の管理者アカウントに対する AES 暗号化認証のサポートが有効になります。 詳細については、「Windows Server Active Directory 接続の作成と管理」を参照してください。 | AES 暗号化は、データの保護に役立つネイティブで業界標準のプラットフォーム暗号化方法です。 |
| Windows Server Active Directory サーバーへの接続を確立し、LDAP を使用する場合は、LDAP over TLS を有効にします。 LDAP を使用できる場合の制限など、詳細については、次のリソースを参照してください。 - LDAP 暗号化 - Windows Server Active Directory 接続の作成と管理 - AD DS LDAP over TLS を構成する |
LDAP over TLS を使用すれば、Azure NetApp Files ボリュームと Windows Server Active Directory LDAP サーバーの間の通信をセキュリティで保護できます。 |
| ドメイン コントローラーへの SMB 接続を暗号化します。 詳細については、「Windows Server Active Directory 接続の作成と管理」を参照してください。 | 暗号化されたドメイン コントローラー接続では、SMB3 プロトコルのみが使用されます。 |
| バックアップ ポリシー ユーザー、セキュリティ特権ユーザー、および管理者を決定して構成します。 Windows Server Active Directory サーバーへの接続を確立する場合は、バックアップ ポリシー ユーザー、セキュリティ特権ユーザー、および管理者を追加します。 詳細については、「Windows Server Active Directory 接続の作成と管理」を参照してください。 | このオプションによって、AD DS ドメイン ユーザーまたはグループに追加のセキュリティ特権が付与されます。 |
| NFSv4.1 ボリュームとデュアル プロトコル ボリュームに対して NFSv4.1 Kerberos を有効にします。 | 暗号化レベルに応じて、Kerberos は Kerberos チケット交換を介して初期認証、整合性チェック、およびプライバシーを提供します。 詳細については、「転送中のデータの暗号化について」を参照してください。 |
| 転送中の SMB3 データに対して SMB3 プロトコル暗号化を有効にします。 詳細については、次のリソースを参照してください。 - SMB 共有 - 転送中のデータの暗号化について - SMB 暗号化 |
SMB3 暗号化を使用しない SMB クライアントは、この設定が有効になっているボリュームにアクセスできません。 保存データは、この設定に関係なく暗号化されます。 |
コストの最適化
コストの最適化は、支出パターンを検出し、重要な領域への投資を優先し、その他への投資を最適化することに重点を置いて、ビジネス要件を満たしながら組織の予算に合わせます。
コスト最適化の設計原則は、Azure NetApp Files とその環境に関連する技術設計で、これらの目標を達成し、必要に応じてトレードオフを行うおおまかな設計戦略を提供します。
設計チェック リスト
コスト最適化の設計レビュー チェックリストに基づいて、投資の設計戦略を開始します。 ワークロードがワークロードに割り当てられている予算に合うように設計を微調整します。 設計では、適切な Azure 機能を使用し、投資を監視し、時間の経過に伴って最適化する機会を見つける必要があります。
コンポーネントのコストを最適化する。 ストレージ アカウントの詳細を決定し、それに応じて Azure NetApp Files の容量プールを設計して、コストを最適化して TCO を削減します。 パフォーマンスを向上させ、不要なコストを防ぐには、容量プールのサイズをニーズに合わせて適切に設定し、適切な QoS 設定とパフォーマンス レベルを使用して、より大きな容量プール内にあるボリュームを統合します。 Azure NetApp Files のクール アクセス機能を使用して、アクセス頻度の低いデータを低コストの Azure ストレージに階層化します。
環境コストを最適化します。 運用環境のワークロードには、適切なデータ保護とディザスター リカバリーが必要です。 Azure NetApp Files には、スペースが最適化された復元ポイントを提供するスナップショット、低コストの Azure ストレージ層のデータを効率的に保護するバックアップ、リージョン間およびゾーン間のレプリケーションなど、いくつかの組み込みオプションが用意されています。 デプロイのコストを最適化し、障害に備えるために、各オプションがワークロードにどのように適しているかを理解します。
価格を把握して計算します。 価格を把握できるように、ビジネス ニーズを理解します。 Azure NetApp Files には、価格を正確に見積もるのに役立つ Azure NetApp Files パフォーマンス計算ツールなど、いくつかのツールが用意されています。
スケーラビリティ コストを最適化します。 Azure NetApp Files を使用して、変化するビジネス ニーズを満たし、ワークロードの変化に対応します。 たとえば、パフォーマンスを向上させ、コストを削減するためにボリュームを移動できます。 ダイナミック ボリュームのサイズ設定を使用して、必要に応じてパフォーマンスと容量の要件を満たすように Azure NetApp Files ボリュームを効率的にスケーリングできます。
パートナー ソリューションを使用してコストを最適化します。 Azure NetApp Files は、Azure VMware Solution や Microsoft SQL Server などの製品と統合され、Oracle および SAP ワークロード用に最適化されています。 デプロイを最適化し、TCO を削減するための Azure NetApp Files の機能と利点について理解します。 たとえば、Azure NetApp Files データ ストアを使用して、追加の Azure VMware Solution ノードを使用せずに Azure VMware Solution のストレージ容量を増やすことができます。 TCO 予測ツールを使用して、Azure VMware Solution と Azure NetApp Files の推定コストを計算することもできます。
推奨事項
Azure NetApp Files アカウントを構成するときにコストを最適化するには、次の推奨事項を検討してください。
| 推奨 | 特長 |
|---|---|
| 適切なパフォーマンス レベル、ボリューム サイズ、QoS 設定を使用して、パフォーマンスを向上させ、不要なコストを回避します。 QoS の手動設定があるボリュームの場合は、スループット制限を個別に定義できます。 Azure NetApp Files のパフォーマンスを計画するには、パフォーマンスレベルと QoS 設定について理解します。 | ボリュームに割り当てられているクォータと選択したサービス レベルによって、QoS の自動設定があるボリュームのスループット制限が決まります。 パフォーマンスの維持に役立つ適切なパフォーマンスレベルと QoS 設定を使用していることを確認します。 |
| クール アクセスを使用して、アクセス頻度の低いデータを低コストの Azure ストレージに透過的に階層化します。 非アクティブなデータを構成し、Azure NetApp Files ストレージから Azure ストレージ アカウントにデータを移動します。 | クール アクセスでは、低コストのストレージ層が使用されるため、TCO が削減されます。 クール層への移行は、ユーザーとアプリケーションにとってシームレスです。 |
| 不要なオーバーヘッドや空き領域を導入することなく容量プールのサイズを適切に設定します。 容量プールの空き領域を維持する必要はありません。 ボリュームのサイズを増やすか、新しいボリュームを作成する必要がある場合にのみ、容量プールのサイズを増やします。 ボリュームを削除したり、ボリューム サイズを小さくしたりするときは、容量プールのサイズを減らします。 | 容量プールのサイズを適切に設定して、必要なストレージに対してのみ料金が発生するようにします。 |
| リソースを共有するために、数個の大容量プール内にできるだけ多くのボリュームを統合します。 手動 QoS を利用して、パフォーマンスと容量のサイズを適切に変更します。 Azure NetApp Files を使用して、異なるワークロードの複数のボリューム間で 1 つの容量プールを共有します。 カスタムのサイズとスループットで各ボリュームを構成できるように、容量プールを手動 QoS に設定します。 詳細については、「手動 QoS 容量プール内のボリュームのスループット制限の例」を参照してください。 | 同じ容量プール内で可能な限り多くのボリュームを結合して、リソースとコストを最適化します。 |
| ネイティブ スナップショットを使用して、領域最適化復元ポイントを作成します。 | Azure NetApp Files スナップショットを使用して、スペース効率とコスト効率に優れた復元ポイントを作成します。 |
| Azure NetApp Files バックアップを使用して、低コストの Azure ストレージ上のデータを効率的に保護します。 Azure NetApp Files では、長期的な復旧、アーカイブ、コンプライアンスのためのフル マネージド バックアップ ソリューションがサポートされています。 | バックアップは増分であり、TCO を削減するために完全に管理されます。 |
| コスト最適化ディザスター リカバリー ソリューションとして、リージョン間またはゾーン間のレプリケーションを活用します。 | Azure NetApp Files は、効率的なレプリケーション テクノロジを備えた、フル マネージドでコスト最適化されたディザスター リカバリー ソリューションを提供します。 インフラストラクチャを立ち上げる必要なく、ゾーン間またはリージョン間でデータをレプリケートできます。 |
| 必要な場合にのみオンデマンドのパフォーマンスと容量を提供するダイナミック ボリューム シェイプを実装します。 静的ボリューム シェイプとダイナミック ボリューム シェイプのコスト モデルの比較については、「コスト モデル」を参照してください。 Azure NetApp Files データ ストアを Azure VMware Solution と併用したときに TCO を削減できるかどうかを判断するには、Azure VMware Solution 用 Azure NetApp Files の TCO 予測ツールを使用します。 | ダイナミック ボリューム シェイプでは、変化するパフォーマンス要件をリアルタイムで満たすために、ボリュームのサイズ変更とサービス レベルの変更を中断せずに行うことができます。 必要な場合にのみパフォーマンスと容量に対して料金が発生するようにします。 |
| Azure VMware Solution をデプロイするときに Azure NetApp Files データ ストアを使用します。 | Azure VMware Solution を使用すると、Azure NetApp Files ボリュームをデータ ストアの容量に追加できます。これによって、容量が仮想記憶域ネットワーク (vSAN) によって提供される容量を超えて拡張されます。 Azure VMware Solution ノードを追加することなく、ストレージ容量を増やすことができます。 |
| Azure NetApp Files を使用して小規模な仮想マシン (VM) をデプロイし、SQL Server をデプロイするときに高いネットワーク スループット制限を利用します。 AZURE NetApp Files ボリュームを SMB 共有として使用して、SQL Server データベースをホストできます。 詳細については、「SQL Server の展開に Azure NetApp Files を使用する利点」を参照してください。 | 通常、Azure VM では、ディスク スループットと比較してネットワーク スループットの方が高くなります。 Azure NetApp Files では、小さなサイズの Azure VM を使用して、TCO を削減できます。 |
| Azure NetApp Files を使用して小規模な VM をデプロイし、SAP ワークロードをデプロイするときに高いネットワーク スループット制限を利用します。 この方法により、TCO が削減されます。 詳細については、「SAP on Azure NetApp Files のサイズ設定のベスト プラクティス」を参照してください。 | さまざまな SAP ワークロードで Azure NetApp Files ボリュームを使用します。 通常、Azure VM では、ディスク スループットと比較してネットワーク スループットの方が高くなります。 Azure NetApp Files では、小さなサイズの Azure VM を使用して、TCO を削減できます。 |
| Azure NetApp Files を使用して小規模な VM をデプロイし、Oracle データベース ワークロードをデプロイするときに高いネットワーク スループット制限を利用します。 この方法により、TCO が削減されます。 詳細については、「Azure で要求の厳しい Oracle ワークロードを実行する」を参照してください。 | さまざまな Oracle データベース ワークロードで Azure NetApp Files ボリュームを使用します。 通常、Azure VM では、ディスク スループットと比較してネットワーク スループットの方が高くなります。 Azure NetApp Files では、小さなサイズの Azure VM を使用して、TCO を削減できます。 |
| Siemens Teamcenter 製品ライフサイクル管理 (PLM) ソフトウェア デプロイするときに、Azure NetApp Files を使用します。 この方法により、TCO が削減されます。 | Azure NetApp Files を、Siemens Teamcenter PLM のストレージ ソリューションとしてデプロイします。 いくつかのコスト最適化機能を使用して、TCO を削減できます。 |
オペレーショナルエクセレンス
オペレーショナル エクセレンスは主に、開発プラクティス、監視、リリース管理の手順に重点を置いています。
オペレーショナル エクセレンスの設計原則は、ワークロードの運用要件についてこれらの目標を達成するためのおおまかな設計戦略を提供します。
設計チェック リスト
オペレーショナル エクセレンスの設計レビュー チェックリストに基づいて、ファイル ストレージ構成に関連する監視、テスト、展開のプロセスを定義する設計戦略を開始します。
ワークロードに適したアーキテクチャと設計を開発し、パフォーマンスとセキュリティを最適化します。 Azure NetApp Files を正常にデプロイするための LDAP、アプリケーションのフィルター処理、および Windows Server Active Directory コネクタについて理解します。 データを確実に保護するには、スナップショットなどの他の機能を理解してください。
確信を持ってデプロイする。 Azure NetApp Files のアーキテクチャを最適化するために役立つ制限事項について理解し、管理します。 Azure Resource Manager テンプレート (ARM テンプレート) などのソリューションは、デプロイの自動化に役立ちます。 また、既存のワークロードから複製したテスト環境を使用して、実際のデータとシナリオを使用するドライ ランを実行できます。 Azure NetApp Files 組み込みツールを使用して、デプロイの信頼性を高めます。
定期的な操作を監視して、パフォーマンスを最適化し、さまざまなワークロードをより深く理解できるようにします。 Azure NetApp Files には、パフォーマンスと容量の管理ツール、Azure ネイティブの監視機能、リージョンのクォータとリソース制限を管理するためのツールが用意されています。 運用環境を定期的にテストして、パフォーマンス目標を調整し、パフォーマンスを最適化します。 Azure NetApp Files でスナップショット ベースの複製やその他の機能を使用して、運用ワークロードと環境をシミュレートし、パフォーマンスを最適化します。
推奨事項
Azure NetApp Files アカウントを構成するときにオペレーショナル エクセレンスを最適化するには、次の推奨事項を検討してください。
| 推奨 | 特長 |
|---|---|
| Windows Server Active Directory コネクタとそのオプション、およびオプションの動作について理解します。 Azure NetApp Files ボリュームを使用するソリューション アーキテクチャには、適切な AD DS の設計と計画が必要です。 | SMB ボリューム、デュアル プロトコル ボリューム、NFSv4.1 Kerberos ボリュームなどの Azure NetApp Files 機能は、AD DS と統合されます。 AZURE NetApp Files エクスペリエンスの最適化に役立つ AD DS のデプロイについて理解します。 |
| LDAP について理解します。 LDAP には、さまざまなプラットフォームで使用してネットワーク オブジェクトを検索できる汎用のネットワーク ベースのディレクトリ サービスが用意されています。 | LDAP は堅牢かつスケーラブルで、セキュリティで保護されています。 LDAP を使用して、何百万ものユーザー オブジェクトとグループ オブジェクトを含めることができます。 Windows Server Active Directory では、複数のサーバーを使用して複数のサイト間でレプリケートし、パフォーマンスと回復性を向上させることができます。 Azure NetApp Files でサポートされている LDAP サーバーは、Windows Server Active Directory のみです。 AD DS と Microsoft Entra Domain Services の両方をサポートしています。 |
| ネイティブ監視機能を使用して、アプリケーション ボリューム、ファイル共有、データベースのパフォーマンスと正常性を監視します。 | 監視機能を使用して、ファイル システムの容量やパフォーマンスの問題などの重要なイベントのアラートと通知を設定します。 アラートを使用して、事前に是正措置を講じます。 |
| パフォーマンスを管理します。 Azure NetApp Files では、中断のないオンデマンドの容量のスケーリングとサービス レベルの変更が可能です。 | これらの機能を使用して、アプリケーション、ファイル共有、およびデータベースで調整が必要な場合に、すばやくスケールアップまたはスケールダウンできます。 アプリケーションのパフォーマンスと可用性を管理するには、これらの機能をボリュームのサイズ変更または QoS 手動設定と組み合わせます。 |
| 高度なスナップショットのデータ保護およびデータ管理機能を使用します。 これらの機能では、単一ファイルの復元、ボリュームの復元とクローン、リージョン間のレプリケーション、長期保有など、データ保護ソリューションの基盤が提供されます。 | Azure NetApp Files スナップショット テクノロジは、パフォーマンスに影響を与えることなく、安定性、スケーラビリティ、高速復旧性を提供します。 |
| インフラストラクチャのデプロイを自動化します。 ARM テンプレートを使用して、ファイル共有、ストレージ アカウント、VM、データベースなど、アプリケーションをサポートするリソースを定義してデプロイします。 また、Teraform を介したコードとしてのインフラストラクチャを使用して、クラウド インフラストラクチャを構成してデプロイすることも検討してください。 詳細については、「Terraform を使用した Azure NetApp Files のデプロイ」および「Terraform Azure Resource Manager と Azure NetApp Files アカウントの統合」を参照してください。 | Azure NetApp Files を使用して、アプリケーション インフラストラクチャ、ファイル共有、データベースのデプロイを自動化します。これによって、デプロイの効率が向上し、リフトアンドシフト アプローチがサポートされます。 |
| デプロイをテストします。 スナップショット復元による複製を使用して、テスト用の新しいボリュームをすばやく作成します。 | Azure NetApp Files は、アプリケーション コード、ファイル、データベースをデプロイするための信頼性と拡張性に優れたプラットフォームを提供します。 複製を使用して、アプリケーションが最新かつ安定していることを確認し、新しいリリースやアップグレードを簡単にテストできます。 |
| テスト環境。 Azure NetApp Files を使用して、テスト環境をすばやく作成および管理できます。 スナップショット復元を使用して、運用データを新しいボリュームに複製します。 | テスト アクティビティは運用環境とは分離されたままです。 ガードレールを追加するためのテストを行います。 たとえば、ディザスター リカバリー ソリューションの有効性を確保できます。 テスト環境を使用して、中断しない方法で新しいリリースまたはアップグレードをテストします。 テスト環境をゾーン間レプリケーションまたはリージョン間レプリケーションと組み合わせて、さらに最適化します。 通常はディザスター リカバリー専用にレプリケートするデータを再利用できます。 |
| リージョンのクォータとリソースの制限を管理します。 ワークロードの進化に合わせて、これらのレベルを定期的に確認します。 リージョンのクォータを増やすには、リージョンの容量クォータの引き上げを要求します。 リソース制限を引き上げるには、制限の引き上げ要求します。 | クォータはコストとパフォーマンスに影響します。 ワークロードに必要なリソースの量を計画します。 ワークロードが進化するにつれて、そのレベルを定期的に確認します。 これらの要件を理解して、ニーズの変化に応じてパフォーマンスと容量を維持します。 |
パフォーマンス効率
パフォーマンス効率とは、容量を管理することで、負荷が増加したときにも、ユーザー エクスペリエンスを維持することです。 この戦略には、リソースのスケーリング、潜在的なボトルネックの特定と最適化、ピーク パフォーマンスの最適化が含まれます。
パフォーマンス効率設計の原則は、予想される使用に対してこれらの容量目標を達成するためのおおまかな設計戦略を提供します。
設計チェック リスト
パフォーマンス効率の設計レビュー チェックリストに基づいて、設計戦略を開始します。 Azure NetApp Files の主要業績評価指標に基づくベースラインを定義します。
パフォーマンス目標を定義します。 ワークロードの需要を理解し、パフォーマンス目標に数値を割り当てます。 Azure NetApp Files には、スループットを 1 秒あたりの入出力操作 (IOPS) に変換する計算ツールや数式など、これらの要求を定量化するためのツールとリソースが用意されています。 また、Azure NetApp Files のサービス レベルとパフォーマンス レベルがデプロイに与える影響を理解し、ワークロードのニーズを満たす必要があります。
容量計画を実施します。 データセットの容量要件を理解し、パフォーマンスを計画して最適化できるようにします。 アプリケーションをデプロイする前に、ワークロードの性質を理解し、Azure NetApp Files のリソースの制限を把握します。 パフォーマンス要件を効果的に計画するために、Azure NetApp Files の機能が特定のニーズを処理できることを確認します。 パフォーマンスと容量のニーズを満たす構成の選択を行います。
適切なサービスを選択します。 Azure NetApp Files のデプロイのニーズを定義するときは、さまざまなパフォーマンス、容量、データ保護、ディザスター リカバリーの要件を理解します。 要件に基づいて、特定のスループットと一般的なパフォーマンスのニーズを満たすように Azure NetApp Files を調整します。 場合によっては、ストレージ コストを削減できます。
パフォーマンスを継続的に最適化します。 ボリュームのパフォーマンスを監視して、運用ワークロードの変化する需要を把握します。 これらの監視分析情報を使用して、パフォーマンスを最適化および調整します。
推奨事項
| 推奨事項 | 特長 |
|---|---|
| Azure NetApp Files ボリュームのパフォーマンスの上限となる Azure NetApp Files のサービス レベルを確認して理解します。 | ワークロードの変更にパフォーマンスが必要な場合は、ボリュームのサービス レベルを動的かつシームレスに変更して、コストを削減できます。 |
| Azure NetApp Files のリソース制限を把握します。 | Azure NetApp Files のリソース制限を把握して、ボリュームのオーバープロビジョニングや過剰な課金のリスクを軽減します。 |
| ワークロードの性質を理解します。 スループットを IOPS に変換して、パフォーマンスに関する分析情報を得ることができます。 詳細については、「パフォーマンス ベンチマークのテストに関する推奨事項」を参照してください。 Azure NetApp Files パフォーマンス計算ツールを使用して、ニーズが Azure NetApp Files とどのように一致するかを理解します。 |
ワークロードの IOPS、スループット、待機時間の要件を理解して、必要なサービス レベルとボリューム容量を決定します。 Azure NetApp Files パフォーマンス計算ツールを使用して適切な容量とサービス レベルを選択し、ボリュームのサイズを変更してパフォーマンスとコスト効率を最大化できるようにします。 |
| データセットの容量要件を理解し、適切な QoS の種類を決定します。 | ボリューム クォータと QoS 設定は、パフォーマンスとボリューム容量に影響します。 データセットが小さいがパフォーマンス要件が高い場合は、手動 QoS を使用してボリュームのパフォーマンスをオーバープロビジョニングできます。 |
| 通常のボリュームと大容量ボリュームの違いを理解します。 | ボリュームが大きいと、容量とパフォーマンスが向上しますが、付属する最小要件がワークロードに合わない可能性があります。 適切な状況下では、大容量ボリュームによって業務を効率化することができます。 |
| ワークロードの容量、スループット、および QoS ポリシーに合わせて容量プールを構成します。 | Azure NetApp Files ボリュームでは、既定で自動 QoS ポリシーが使用され、ボリューム容量に関連付けられます。 手動 QoS を使用して容量プールを構成し、ボリュームにハイ パフォーマンスを提供できます。 手動 QoS では、パフォーマンス レベルに容量プール サイズが使用されます。 容量プールのしくみを理解して、Azure NetApp Files を調整してビジネス ニーズに最適なパフォーマンスを提供できるようにします。 |
| Azure NetApp Files のパフォーマンスを最適化および調整します。 Azure NetApp Files のパフォーマンスに関する FAQ を確認します。 | ネットワークと VM の構成を通じてパフォーマンスを最適化します。 |
| データ保護とディザスター リカバリーのオプションを検討します。 | データ保護とディザスター リカバリーは、障害が発生した場合にワークロードのパフォーマンス ニーズに適切に対応できるセカンダリ サイトを提供するため、一貫したパフォーマンスを促進することができます。 |
| Azure NetApp Files ボリュームのパフォーマンスを監視します。 | Azure NetApp Files ボリュームのパフォーマンスを監視して、ワークロードのパフォーマンスに関する分析情報を取得します。 パフォーマンスを向上または低下させるために、サービス レベルまたは QoS ポリシーを調整する必要があるかどうかを判断します。 |
Azure のポリシー
Azure には、Azure NetApp Files に関連する広範な組み込みポリシー セットが用意されています。 前述の推奨事項の一部は、Azure ポリシーを使用して監査できます。 セキュリティに関連する次のポリシーを検討してください。
- Azure NetApp Files SMB ボリュームでは SMB3 暗号化を使用する
- Azure NetApp Files NFSv4.1 ボリュームでは Kerberos データ暗号化を使用する
- Azure NetApp Files NFSv4.1 ボリュームでは、Kerberos データ整合性またはデータ プライバシーを使用する
- Azure NetApp Files ボリュームではプロトコルの種類 NFSv3 を使用しない
Azure Advisor の推奨事項
Advisor は、ベスト プラクティスに従って Azure NetApp Files のデプロイを最適化できるようにする、個人用に設定されたクラウド コンサルタントです。 Azure NetApp Files の信頼性、セキュリティ、コスト効率、パフォーマンス、オペレーショナル エクセレンスの向上に役立つ推奨事項を次にいくつか示します。
次の Advisor によるコスト効率に関する推奨事項を検討してください。
- 予約容量を使用してオンデマンド コストを節約します。
次の Advisor による信頼性に関する推奨事項を検討してください。
- Azure NetApp Files リソースのディザスター リカバリー戦略を実装します。
- SMB ボリュームの継続的可用性を有効にします。
- Azure NetApp Files で使用するタイムアウト値については、SAP 構成を確認してください。