Elastic SAN のデプロイを計画する

エラスティック記憶域ネットワーク (SAN) には、SAN 自体、ボリューム グループ、ボリュームという 3 つの主要な側面があります。 SAN をデプロイする場合は、SAN の構成中に、SAN 全体の冗長性や、SAN に必要なパフォーマンスのレベルおよびストレージの量などの選択を行います。 次に、大規模なボリュームの管理に使用されるボリューム グループを作成します。 ボリューム グループに適用される設定はいずれも、そのボリューム グループ内のボリュームによって継承されます。 最後に、SAN レベルで割り当てられたストレージ容量を個々のボリュームにパーティション分割します。

Elastic SAN をデプロイする前に、次の質問について検討します。

• どれくらいのストレージ容量が必要か。
• どのレベルのパフォーマンスが必要ですか。
• どの種類の冗長性が必要ですか。

これらの 3 つの質問に回答すると、目的のニーズを満たす SAN のデプロイを容易に成功させることができます。

ストレージ とパフォーマンス

パフォーマンスとストレージに関しては 2 つのレイヤーがあります。Elastic SAN の合計ストレージおよびパフォーマンスと、個々のボリュームのパフォーマンスおよびストレージです。

Elastic SAN

Elastic SAN のストレージを割り当てる方法には 2 つあります。基本容量または追加容量を割り当てることができます。 基本容量を TiB 単位で増やすと、SAN の IOPS とスループット (MB/秒) も向上しますが、追加容量を TiB 単位で増やす場合よりもコストがかかります。 追加容量を増やしても、SAN の IOPS とスループット (MB/秒) は増加しません。

Elastic SAN 用にストレージを割り当てる場合は、必要なストレージの量と必要なパフォーマンスのレベルを検討してください。 基本容量と追加容量の組み合わせを使用して、該当する要件を満たすことで、コストを最適化できます。 たとえば、必要なストレージは 100 TiB であるが、250,000 IOPS および 4,000 MB/秒だけでよい場合は、基本容量に 50 TiB を、追加容量に 50 TiB を割り当てることが可能です。

ボリューム

Elastic SAN に割り当てたストレージからボリュームを作成します。 ボリュームを作成する場合、それは Elastic SAN のストレージのセクションをパーティション分割するようなものだと考えてください。 個々のボリュームの最大パフォーマンスは、それぞれに割り当てられるストレージの量によって決まります。 個々のボリュームの IOPS およびスループットはかなり高くなりますが、すべてのボリュームの合計の IOPS およびスループットが、SAN の合計の IOPS およびスループットを超えることはできません。

使用するのは同じ例で、500,000 IOPS および 20,000 MB/秒の 100 TiB SAN です。 たとえば、この SAN には 100 個の 1 TiB ボリュームがあるとします。 これらのボリュームのうち 6 つが最大パフォーマンス (80,000 IOPS、1,280 MB/秒) で動作できる可能性があります。この場合は、SAN の制限を下回るからです。 ただし、7 つのボリュームがすべて同時に最大限に動作する必要がある場合、それは不可能です。 代わりに、SAN のパフォーマンスがそれらの間で均等に分配されます。

ネットワーク

Elastic SAN では、パブリック ネットワーク アクセスを Elastic SAN レベルで有効または無効にすることができます。 また、パブリック Storage サービス エンドポイント と、選択した仮想ネットワーク サブネットの プライベート エンドポイント 両方を介して SAN のボリューム グループへのアクセスを構成することもできます。 ボリューム グループに対してネットワーク アクセスが構成されると、その構成はグループに属するすべてのボリュームによって継承されます。 SAN レベルでパブリック アクセスを無効にすると、ボリューム グループの個々の構成に関係なく、その SAN 内のボリューム グループへのアクセスはプライベート エンドポイント経由でのみ可能になります。

ネットワーク アクセスまたは個々のボリューム グループを許可するには、 Azure Storage のサービス エンドポイント または仮想ネットワーク内の プライベート エンドポイント を有効にしてから、任意のサービス エンドポイントのボリューム グループに ネットワーク規則を設定 する必要があります。 ストレージ ファイアウォールはパブリック エンドポイント経由のアクセスのみを制御するため、プライベート エンドポイントからのトラフィックを許可するネットワーク規則は必要ありません。 これで、internet Small Computer Systems Interface (iSCSI) プロトコルを使用して、サブネット内の任意のAKS、Linux または Windows クライアントからボリュームをマウントできるようになります。

冗長性

Elastic SAN 内のデータを損失や破損から保護するため、すべての SAN では、各ファイルが書き込まれるときに、それぞれの複数のコピーを格納します。 ワークロードの要件に応じて、冗長性のレベルをさらに高めることができます。 現在、次のデータ冗長性オプションがサポートされています。

• ローカル冗長ストレージ (LRS): LRS を使用すると、すべての SAN が Azure ストレージ クラスター内に 3 回保存されます。 これにより、不良ディスク ドライブなどのハードウェア障害によるデータの損失を防ぐことができます。 ただし、データセンター内で火災や洪水などの災害が発生した場合、LRS を使用している Elastic SAN のすべてのレプリカが失われたり、回復不能になる可能性があります。
• ゾーン冗長ストレージ (ZRS): ZRS を使用すると、各 SAN の 3 つのコピーが、Azure の "可用性ゾーン" にある物理的に分離された 3 つの異なるストレージ クラスターに格納されます。 可用性ゾーンは、Azure リージョン内の一意の物理的な場所です。 それぞれのゾーンは、独立した電源、冷却手段、ネットワークを備えた 1 つまたは複数のデータ センターで構成されています。 ZRS を使用しているストレージへの書き込み要求は、同期的に行われます。 書き込み操作は、3 つの可用性ゾーンのすべてのレプリカにデータが書き込まれた場合にのみ、正常に返されます。

暗号化

Elastic SAN に格納されるデータはすべて、Azure Storage Service Encryption (SSE) を使用して保存時に暗号化されます。 Storage Service Encryption は Windows の BitLocker と同様に機能し、データはファイル システム レベルで暗号化されます。 SSE は、ご利用のデータを保護し、組織のセキュリティおよびコンプライアンス コミットメントを満たすのに役立ちます。 Elastic SAN に格納されるデータは、Microsoft マネージド キーで暗号化されます。 Microsoft マネージド キーを使用すると、Microsoft によってデータの暗号化および暗号化解除のためのキーが保持され、定期的にローテーションが行われます。

Azure Elastic SAN 内のデータは、利用可能な最強のブロック暗号の 1 つである 256 ビット AES 暗号化を使って透過的に暗号化および暗号化解除され、FIPS 140-2 に準拠しています。 暗号化はすべての Elastic SAN に対して有効になっていて、無効にすることはできません。 データは既定で保護されているので、SSE を活用するために、コードやアプリケーションを変更する必要はありません。 SSE について、追加のコストは発生しません。

SSE の基礎となる暗号化モジュールの詳細については、「暗号化 API: 次世代」を参照してください。

移行

現在、データを Azure Elastic SAN に移行するには、次の 2 つのオプションがあります。 どちらの方法でも、最初にエラスティック SAN をデプロイして構成した後、移行プロセスを通じてボリュームを作成する必要があります。

• Cirrus Data。これを使用すると、オンプレミス SAN などの外部の場所から移行できます。
• マネージド ディスク スナップショット (プレビュー)。これを使用すると、マネージド ディスクからエラスティック SAN ボリュームに移行できます。

iSCSI サポート

Elastic SAN では、internet Small Computer Systems Interface (iSCSI) プロトコルがサポートされています。 現在、次の iSCSI コマンドがサポートされています。

• TEST UNIT READY
• REQUEST SENSE
• INQUIRY
• REPORT LUNS
• MODE SENSE
• READ CAPACITY (10)
• READ CAPACITY (16)
• READ (6)
• READ (10)
• READ (16)
• WRITE (6)
• WRITE (10)
• WRITE (16)
• WRITE VERIFY (10)
• WRITE VERIFY (16)
• VERIFY (10)
• VERIFY (16)
• SYNCHRONIZE CACHE (10)
• SYNCHRONIZE CACHE (16)
• 予約
• RELEASE
• 永続的な予約 (IN)
• 永続的な予約 (OUT)

次の iSCSI 機能は、現在サポートされていません。

• CHAP 承認
• イニシエーターの登録
• iSCSI エラー回復レベル 1 および 2
• ESXi iSCSI フロー制御
• iSCSI ターゲットごとに複数の LUN

次のステップ

• Elastic SAN のネットワーク オプション
• Elastic SAN をデプロイする

いくつかのシナリオ例を含む、一般的な計画とデプロイを確認するための動画については、「Getting started with Azure Elastic SAN (Azure Elastic SAN の概要)」を参照してください。