Azure File Syncを考える
331 Views
March 24, 25
スライド概要
Azure File Syncについて、その立ち位置と利用方法、設計方法の注意点について、解説を行いました。
関連スライド
各ページのテキスト
.NETラボ 2025 03月勉強会 小鮒 通成
自己紹介です 都内Sierに勤務し、Windows/MEID認証基盤のコンサ ル・設計・トラブルシュート・ブログ公開などをやっています。 Microsoft Q&Aで、ときどき回答しています。 商業誌でWindows記事の寄稿を行うことがあります。 MSMVP Directory Services→Enterprise Mobility →Securityを受賞しています(MVP受賞回数22回+α)。 秋葉原によく現れます。48型有機ELディスプレイを買った のみ使えていません…。
Azure Filesとは Windows File ServicesのフルマネージドPaaS SMB(Server Message Block) NFS(Network File System) 使用目的として オンプレミスのファイル サーバーの置換または補完 アプリケーションの "リフトアンドシフト" クラウド開発の簡略化(ログデータやInsight情報を取り出し やすくする) コンテナー化
Azure Filesの認証 IDベース認証 (Kerberos) オンプレミス Active Directory Domain Services Microsoft Entra Domain Services ハイブリッド ID 用の Microsoft Entra Kerberos Linux クライアントの SMB 経由の Active Directory 認証 共有キー認証 (NTLMv2) Azure ストレージ アカウント キー ホストベース認証 (UNIX) 公開ホストキー
Azure Filesの基本構成 共有アクセス許可 既定の共有レベルのアクセス許可 SMB共有の共同作成者 SMB共有の管理者特権の共同作成者 SMB共有の閲覧者 特定のユーザーまたはグループに対するアクセス許可 ポータルからファイル共有のIAMでロールを追加する NTFSアクセス許可 ドメインベースのACL設定が可能 管理時はストレージ共有キーでのアクセスを推奨
Microsoft Entra Kerberos ドメインコントローラーとの接続を要さないKerberos認証 Microsoft Entra Hybrid Join環境が必須 KDC Proxyによるインターネット経由での「サービスチケッ ト」の受け取り Entra ID認証時にクラウドTGTを取得 RealmマップによるKDC Proxyの構成とTGS要求 Entra IDによるTGS応答 Deep dive - Azure AD Kerberos の仕組み | Japan Azure Identity Support Blog (jpazureid.github.io)
Azure Files ADDSとは オンプレミスドメイン環境からファイルサーバーをクラウド に切り出すしくみ ドメインコントローラーへの接続が必須 オンプレミスまたはハイブリッド環境どちらでもOK Azure Filesをドメインに参加させることで、オンプレミス Kerberos認証が可能になる ドメイン参加はコンピューターアカウントまたはサービスログ オンアカウントのどちらかで行う
Azure File Syncとは オンプレミスのSMBファイルサーバーを介して、Azure Filesを利用するしくみ。ファイルサーバーはオンプレミス のキャッシュとして動作する。 ファイルサーバー容量の節約・整理 複数オンプレミス拠点でのデータ同期 ディザスターリカバリー バックアップとリストア SMB over QUICの利用 (パフォーマンスの担保) Azure File Sync の概要 | Microsoft Learn
ハイブリッドファイルサービス Azure Filesでファイルデータを一元管理する、ハイブリッ ドモデル。 オンプレミスでは Azure File Sync 経由でアクセス、 インターネットでは Azure Filesに直接 アクセス そのほかのモデル もあり(巻末参照)。 引用:ハイブリッド ファイル サービス - Azure Architecture Center | Microsoft Learn
クラウドの階層化 Azure File Syncで同期されたファイルについて、頻繁に 利用するものをファイルサーバーにキャッシュするしくみ。 頻繁にアクセスされるファイルはホット、そうでないものは クールとして認識され、クールは名前空間とファイルコンテ ンツに分割。 ファイルサーバーには、ホットのみを配置し、クールは名前 空間のみ(ディスクサイズ0バイト)を配置する。 既定では有効化されていない。 Azure File Sync のクラウドを使った階層化について | Microsoft Learn
マルチサイトアクセスと同期 Azure Filesに加えられた変更について、ファイルサー バーにライトバックするしくみ。 複数拠点で、一方のファイルサーバーに加えられた変更が、 Azure Filesを経由して、他方のファイルサーバーにも即時 反映(同期)される。 クラウドの階層化の「事前呼び戻し」機能を利用する。 事前呼び戻しを有効化した場合、階層化情報が更新され、 同期トラフィックが増大する可能性を考慮すること。 DFSRのクラウド化 Azure File Sync のクラウドを使った階層化について | Microsoft Learn
ディザスターリカバリー オンプレミスファイルサーバーが破損した際、リストアなし で機能を復旧するしくみ。 ファイルサーバーはキャッシュのため、破損時は破棄が可 能。 新規にファイルサーバーを構成し、エージェントのインストー ルとサービスへの登録のみで、キャッシュサーバーとして再 稼働可能。 名前空間データが最初に同期されるため、ファイルコンテ ンツデータの同期を待たず、すぐに利用可能。
バックアップとリストア オンプレミスファイルサーバーの「ファイルデータ」が破損 した際、データを復旧するしくみ。 データバックアップはAzure Files側で(Azure Backupを 使って)取られているため、ファイルサーバー側のデータの バックアップは不要。 データが破損した場合、Azure Files側でリストアすることで、 ファイルサーバーへは自動的に伝達・反映される。
SMB over QUIC SMBをUDPベースで利用するためのプロトコル。TCPと比 較してネットワーク転送が効率化される等のメリットがある。 Windows Server 2022 Azure Edition / Windows Server 2025のみサポート。クライアントはWindows 11のみ。 Azure Files自体はサポート しておらず、上記をキャッ シュとして配置することで、 間接的に利用が可能。 引用:Azure Files のネットワークに関する考慮事項 | Microsoft Learn
まとめ Azure File Syncのもっとも有効な利点は、現状のファイル サーバー利用感を変えずにクラウド移行する、が強調さ れていて、驚きました。パフォーマンスの利点は当然とい うことなのでしょうか。 とはいえ、ファイルの階層化機能等で、ファイルサーバー リソースの最適化が簡単に行えるので、費用対効果は高 い感じがしますね。 ファイルサーバーのUNCパスは、現状システムからあたら 変えられない実情も鑑み、もっと使われていいソリューショ ンかと思っています。
参考情報 Azure エンタープライズ クラウド ファイル共有 - Azure Architecture Center | Microsoft Learn リモートおよびローカル ブランチ ワーカー用ディザスター リカバリーを使用したハイブリッド ファイル共有 - Azure Example Scenarios | Microsoft Learn