NFS Azure ファイル共有
Azure Files には、Azure ファイル共有をマウントするための業界標準のファイル システム プロトコルとして、サーバー メッセージ ブロック (SMB) プロトコルと ネットワーク ファイル システム (NFS) プロトコルの 2 つが用意されており、ワークロードに最適なプロトコルを選択できます。 Azure ファイル共有では、SMB と NFS の両方のプロトコルを使用した個々の Azure ファイル共有へのアクセスはサポートされませんが、同じ FileStorage ストレージ アカウント内に SMB と NFS のファイル共有を作成することはできます。 Azure Files により、ストレージのニーズに合わせたスケールアップが可能で、数千ものクライアントによって同時にアクセスできる、エンタープライズ レベルのファイル共有が提供されます。
この記事では、NFS Azure ファイル共有について説明します。 SMB の Azure ファイル共有の詳細については、「Azure Files での SMB ファイル共有」を参照してください。
重要
NFS Azure ファイル共有は、Windows ではサポートされていません。 運用環境で NFS Azure ファイル共有を使用する前に、NFS Azure ファイル共有のトラブルシューティングに関する記事で既知の問題の一覧を参照してください。 NFS アクセス制御リスト (ACL) はサポートされていません。
一般的なシナリオ
NFS ファイル共有は、多くの場合、次のシナリオで使用されます。
- Linux または POSIX ファイル システム API (POSIX 準拠が不要な場合でも) を使用して記述された基幹業務アプリケーションなどの、Linux/UNIX ベースのアプリケーション用のバッキング ストレージ。
- POSIX 準拠のファイル共有、大文字と小文字の区別、または Unix 形式のアクセス許可 (UID/GID) を必要とするワークロード。
- 新しいアプリケーションとサービスの開発 (特に、そのアプリケーションまたはサービスにランダム I/O と階層ストレージの要件がある場合)。
特徴
- 完全に POSIX に準拠したファイル システム。
- ハード リンクのサポート。
- シンボリック リンクのサポート。
- 現在、NFS ファイル共有では、4.1 プロトコル仕様のほとんどの機能がサポートされています。 全種類の委任とコールバック、Kerberos 認証、ACL、転送中の暗号化などの一部の機能はサポートされていません。
注意
既存のシンボリック リンクからのハード リンクの作成は、現在サポートされていません。
セキュリティとネットワーク
Azure Files に格納されるすべてのデータは、Azure Storage Service Encryption (SSE) を使用して保存時に暗号化されます。 Storage Service Encryption は Windows の BitLocker と同様に機能し、データはファイル システム レベルで暗号化されます。 データは Azure ファイル共有のファイル システムで暗号化されるため、ディスクにエンコードされた場合、Azure ファイル共有を読み書きするために、基になるクライアント上のキーにアクセスできる必要はありません。 保存時の暗号化は、SMB と NFS の両方のプロトコルに適用されます。
転送中の暗号化については、Azure では MACSec を使用して Azure データセンター間で転送中のすべてのデータに対して暗号化レイヤーが提供されます。 これにより、Azure データ センター間でデータが転送されるときに暗号化が行われます。
SMB プロトコルを使用する Azure Files とは異なり、NFS プロトコルを使用するファイル共有には、ユーザーベースの認証は用意されていません。 NFS 共有の認証は、構成されているネットワーク セキュリティ規則に基づいています。 このため、NFS 共有に対してセキュリティで保護された接続のみが確立されるようにするには、ストレージ アカウントに対してプライベート エンドポイントまたはサービス エンドポイントのいずれかを設定する必要があります。
プライベート エンドポイント (プライベート リンクとも呼ばれます) は、仮想ネットワーク内のプライベートな静的 IP アドレスをストレージ アカウントに付与し、動的 IP アドレスの変更による接続の中断を防止します。 ストレージ アカウントへのトラフィックは、他のリージョンやオンプレミスの仮想ネットワークを含め、ピアリングされた仮想ネットワーク内にとどまります。 標準のデータ処理率が適用されます。
静的 IP アドレスが必要ない場合は、仮想ネットワーク内の Azure Files に対してサービス エンドポイントを有効にすることができます。 サービス エンドポイントはストレージ アカウントが特定のサブネットからのアクセスのみを許可するように構成します。 許可されるサブネットは、同じサブスクリプション内の仮想ネットワークに属していても、または異なる Microsoft Entra テナントに属するサブスクリプションなどの異なるサブスクリプション内のものであってもかまいません。 サービス エンドポイントの使用に追加料金はかかりません。 ただし、ゾーン障害などのまれなイベントによって、ストレージ アカウントの基になる IP アドレスが変更される可能性があることに注意してください。 データはファイル共有で引き続き使用できますが、クライアントに共有の再マウントが必要になります。
オンプレミスからも共有にアクセスする必要がある場合は、プライベート エンドポイントに加えて、VPN または ExpressRoute を設定する必要があります。 次のソースからのものでない要求は拒否されます。
利用可能なネットワーク オプションの詳細については、「Azure Files のネットワークに関する考慮事項」を参照してください。
Azure Storage 機能のサポート
次の表は、NFS 4.1 機能が有効になっているアカウントにおける Azure Storage 機能の現在のサポート レベルを示しています。
サポートは継続的に拡張されるため、この表に示されている項目の状態は時間の経過と共に変化する可能性があります。
| ストレージ機能 | NFS 共有でサポート |
|---|---|
| ファイル管理プレーン REST API | ✔️ |
| ファイル データ プレーン REST API | ⛔ |
| 保存時の暗号化 | ✔️ |
| 転送中の暗号化 | ⛔ |
| LRS または ZRS の冗長性の種類 | ✔️ |
| LRS から ZRS への変換 | ⛔ |
| Azure DNS ゾーン エンドポイント (プレビュー) | ✔️ |
| プライベート エンドポイント | ✔️ |
| サブディレクトリのマウント | ✔️ |
| 特定の Azure 仮想ネットワークへのネットワーク アクセスを許可 | ✔️ |
| 特定の IP アドレスへのネットワーク アクセスを許可 | ⛔ |
| Premium レベル | ✔️ |
| Standard レベル (ホット、クール、トランザクション最適化) | ⛔ |
| POSIX アクセス許可 | ✔️ |
| ルート スカッシュ | ✔️ |
| Windows および Linux クライアントから同じデータにアクセスする | ⛔ |
| ID ベースの認証 | ⛔ |
| Azure ファイル共有の論理的な削除 | ⛔ |
| Azure File Sync | ⛔ |
| Azure ファイル共有のバックアップ | ⛔ |
| Azure ファイル共有スナップショット | ✔️ |
| GRS または GZRS の冗長性の種類 | ⛔ |
| AzCopy | ⛔ |
| Azure Storage Explorer | ⛔ |
| 16 個を超えるグループをサポート | ⛔ |
リージョン別の提供状況
Azure NFS ファイル共有は、Premium ファイル ストレージをサポートするすべてのリージョンでサポートされます。
最新の一覧については、Azure のリージョン別の利用可能な製品ページの「Premium Files Storage」の項目を参照してください。
パフォーマンス
NFS Azure ファイル共有は、ソリッドステート ドライブ (SSD) にデータを格納する Premium ファイル共有でのみ提供されます。 NFS 共有の IOPS とスループットは、プロビジョニングされた容量に合わせてスケーリングされます。 IOPS、IO バースト、スループットの数式については、課金についての記事の「プロビジョニング モデル」セクションを参照してください。 IO の平均待機時間は、小さな IO サイズの 1 桁の短い方のミリ秒ですが、メタデータの平均待機時間は 1 桁の長い方のミリ秒です。 untar などのメタデータの負荷の高い操作や、WordPress などのワークロードでは、開く操作と閉じる操作の数が多いため、待機時間が長くなる可能性があります。
Note
nconnect Linux マウント オプションを使用すると、大規模な NFS Azure ファイル共有のパフォーマンスを向上させることができます。 詳細については、「NFS Azure ファイル共有のパフォーマンスを向上させる」を参照してください。
ワークロード
重要
運用環境で NFS Azure ファイル共有を使用する前に、NFS Azure ファイル共有のトラブルシューティングに関する記事で既知の問題の一覧を参照してください。
NFS は、SAP アプリケーション レイヤー、データベース バックアップ、データベース レプリケーション、メッセージング キュー、汎用ファイル サーバーのホーム ディレクトリ、アプリケーション ワークロードのコンテンツ リポジトリなどのワークロードで正常に動作することが検証されています。