Azure エンタープライズ クラウド ファイル共有

この参照アーキテクチャは、Azure Files、Azure File Sync、Azure プライベート DNS、Azure プライベート エンドポイントなどの Azure サービスを使用する、エンタープライズ レベルのクラウド ファイル共有ソリューションを示しています。 このソリューションでは、データの制御を維持しながら、ファイル サーバーとインフラストラクチャの管理を外部委託することでコストを削減できます。

アーキテクチャ

次の図は、クライアントが Azure ファイル共有にアクセスする方法を示しています。

• クラウドを使った階層化ファイル サーバーを介してローカルで。
• プライベート ネットワーク環境で ExpressRoute プライベート ピアリングまたは VPN トンネルを介してリモートで。

このアーキテクチャの Visio ファイルをダウンロードします。

ワークフロー

エンタープライズ レベルのクラウド ファイル共有ソリューションでは、次の方法を使用して、従来のファイル共有と同じユーザー エクスペリエンスを Azure ファイル共有で提供します。

• Azure File Sync を使用して、オンプレミスのファイル サーバーと Azure ファイル共有の間で、ファイルとフォルダーのアクセス制御リスト (ACL) を同期します。
• Azure File Sync エージェントのクラウドを使った階層化機能を使用して、頻繁にアクセスされるファイルをローカルにキャッシュします。
• Azure ファイル共有に対する AD DS 認証を強制します。
• ExpressRoute プライベート ピアリングまたは VPN トンネル経由で、プライベート リンクとプライベート エンドポイントを使用して、プライベート IP でファイル共有サービスとファイル同期サービスにアクセスします。

Azure Files と Azure File Sync に Azure プライベート エンドポイントを実装することにより、パブリック エンドポイント アクセスは無効になり、Azure 仮想ネットワークからの Azure Files と Azure File Sync へのアクセスが制限されます。

ExpressRoute プライベート ピアリング VPN サイト間トンネルにより、オンプレミス ネットワークが Azure 仮想ネットワークに拡張されます。 オンプレミスから Azure Files および Azure File Sync のプライベート エンドポイントへの、Azure File Sync およびサーバー メッセージ ブロック (SMB) トラフィックは、プライベート接続のみに制限されます。 移行中は、Azure Files では、SMB 3.0 以降を使用した接続のみが許可されます。 Azure File Sync エージェントから Azure ファイル共有またはストレージ同期サービスへの接続は、常に暗号化されます。 保存時は、Azure Files と同様に、Azure Storage では、データがクラウドに永続化されるときに自動的に暗号化されます。

ドメイン ネーム システム (DNS) リゾルバーは、ソリューションの重要なコンポーネントです。 各 Azure サービス (ここでは Azure Files と Azure File Sync) には、完全修飾ドメイン名 (FQDN) が割り当てられています。 これらのサービスの FQDN は、次の場合にパブリック IP アドレスに解決されます。

• クライアントが Azure Files 共有にアクセスするとき。
• オンプレミスのファイル サーバーにデプロイされた Azure File Sync エージェントが、Azure File Sync サービスにアクセスするとき。

プライベート エンドポイントを有効にすると、Azure 仮想ネットワークのプライベート IP アドレスが割り当てられます。 これらのアドレスにより、プライベート接続経由でこれらのサービスにアクセスできるようになります。また、同じ FQDN がプライベート IP アドレスに解決される必要があります。 これを実現するために、Azure Files と Azure File Sync では、正規名の DNS レコード (CNAME) が作成され、解決がプライベート ドメイン名にリダイレクトされます。

• Azure File Sync のパブリック ドメイン名 *.afs.azure.net は、CNAME リダイレクトによってプライベート ドメイン名 *.<region>.privatelink.afs.azure.net になります。
• Azure Files のパブリック ドメイン名 <name>.file.core.windows.net は、CNAME リダイレクトによってプライベート ドメイン名 <name>.privatelink.file.core.windows.net になります。

このアーキテクチャに示されているソリューションでは、次の方法を使用して、プライベート ドメイン名をプライベート IP アドレスに解決するために、オンプレミスの DNS 設定を正しく構成します。

• Azure File Sync と Azure Files のプライベート名の解決を提供するために、プライベート DNS ゾーン (コンポーネント 11 および 12) が Azure から作成されます。
• プライベート DNS ゾーンが Azure 仮想ネットワークにリンクされ、仮想ネットワークにデプロイされた DNS サーバーまたは Azure プライベート DNS リゾルバー (コンポーネント 8) でプライベート ドメイン名を解決できるようになります。
• プライベート DNS ゾーンで Azure Files と Azure File Sync に対して DNS A レコードが作成されます。 エンドポイントの構成手順については、「Azure Files ネットワーク エンドポイントの構成」および「Azure File Sync ネットワーク エンドポイントの構成」を参照してください。
• オンプレミスの DNS サーバー (コンポーネント 3) で、domain afs.azure.net と file.core.windows.net の DNS クエリを Azure 仮想ネットワーク内の DNS サーバー (コンポーネント 8) に転送するための条件付き転送が設定されます。
• オンプレミスの DNS サーバーから転送された DNS クエリを受信した後、Azure 仮想ネットワーク内の DNS サーバー (コンポーネント 8) は、Azure DNS 再帰リゾルバーを使用してプライベート ドメイン名を解決し、プライベート IP アドレスをクライアントに返します。

コンポーネント

アーキテクチャ図に示されているソリューションでは、次のコンポーネントを使用します。

• クライアント (コンポーネント 1 または 2) - 通常、クライアントは Windows、Linux、または Mac OSX デスクトップで、SMB プロトコルを介してファイル サーバーまたは Azure Files と対話できます。

• DC および DNS サーバー (コンポーネント 3) - ドメイン コントローラー (DC) は、認証要求に応答してコンピューター ネットワーク上のユーザーを検証するサーバーです。 DNS サーバーにより、コンピューター名を IP アドレスにマッピングする名前解決サービスがコンピューターとユーザーに提供されます。 DC および DNS サーバーは、1 台のサーバーにまとめることも、別々のサーバーに分けることもできます。

• ファイル サーバー (コンポーネント 4) - ファイル共有をホストし、ファイル共有サービスを提供するサーバーです。

• CE/VPN デバイス (コンポーネント 5) - カスタマー エッジ ルーター (CE) または VPN デバイスは、Azure 仮想ネットワークへの ExpressRoute 接続または VPN 接続を確立するために使用されます。

• Azure ExpressRoute または Azure VPN Gateway (コンポーネント 6) – Azure ExpressRoute は、接続プロバイダーによって支援されたプライベート接続を介して、オンプレミスのネットワークを Microsoft クラウドに拡張できるようにするサービスです。 Azure VPN Gateway は、特定の種類の仮想ネットワーク ゲートウェイであり、パブリック インターネットを介して Azure 仮想ネットワークとオンプレミスの場所の間で暗号化されたトラフィックを送信するために使用されます。 ExpressRoute または VPN Gateway によって、オンプレミス ネットワークへの ExpressRoute または VPN 接続が確立されます。

• Azure プライベート エンドポイント (コンポーネント 7) - Azure Private Link を使用するサービスに非公開に、かつ安全に接続するネットワーク インターフェイスです。 このソリューションでは、Azure File Sync プライベート エンドポイントが Azure File Sync (9) に接続し、Azure Files プライベート エンドポイントが Azure Files (10) に接続します。

• オンプレミスの DNS サーバーから転送された DNS クエリを受信した後、Azure 仮想ネットワーク インスタンス内の DNS サーバーまたは Azure プライベート DNS リゾルバー (コンポーネント 8) は、Azure DNS 再帰リゾルバーを使用してプライベート ドメイン名を解決し、プライベート IP アドレスをクライアントに返します。

• Azure File Sync とクラウドを使った階層化 (コンポーネント 9) - Azure File Sync を使用すると、オンプレミス ファイル サーバーの柔軟性、パフォーマンス、および互換性を維持しながら、組織のファイル共有を Azure で集中管理できます。 クラウドの階層化は Azure File Sync のオプション機能です。この機能では、頻繁にアクセスされるファイルがサーバー上にローカルにキャッシュされ、その他のファイルはポリシー設定に基づいて Azure Files に階層化されます。

• Azure Files (コンポーネント 10) - 業界標準のサーバー メッセージ ブロック (SMB) プロトコルを介してアクセスできるクラウド内のファイル共有を提供する、フル マネージド サービスです。 Azure Files では、SMB v3 プロトコルが実装されており、オンプレミス Active Directory Domain Services (AD DS) と Microsoft Entra Domain Services を介した認証がサポートされます。 Azure Files のファイル共有は、クラウドまたはオンプレミスの Windows、Linux、macOS のデプロイに同時にマウントできます。 さらに、高速アクセスするため、Azure File Sync を使用して、データが使用されている場所の近くの Windows サーバーに SMB Azure ファイル共有をキャッシュできます。

• Azure プライベート DNS (コンポーネント 11 および 12) -Azure によって提供される DNS サービスで、プライベート DNS はカスタム DNS ソリューションの追加を必要とせずに、仮想ネットワーク内のドメイン名を管理し、解決します。

• Azure Backup (コンポーネント 13) - Azure Backup は Azure のファイル共有バックアップ サービスであり、ファイル共有のスナップショットを使用してクラウドベースのバックアップ ソリューションを提供します。 考慮事項については、「データ損失とバックアップ」を参照してください。

シナリオの詳細

このソリューションでは、インターネットを経由せずに、オンプレミスと Azure 仮想ネットワークの間の仮想プライベート ネットワークを介して、ハイブリッド作業環境にある Azure ファイル共有にアクセスできます。 また、ID ベースの認証を使用してファイル アクセスを制御および制限することもできます。

考えられるユース ケース

クラウド ファイル共有ソリューションでは、次のような考えられるユース ケースがサポートされます。

• ファイル サーバーまたはファイル共有のリフト アンド シフト。 リフト アンド シフトによって、データを再構築または再フォーマットする必要がなくなります。 また、従来のアプリケーションをオンプレミスに保持しながら、クラウド ストレージを活用できます。
• 運用効率の向上によるクラウド イノベーションの促進。 ハードウェアと物理領域を維持するコストを削減し、データの破損やデータの損失を防ぎます。
• Azure ファイル共有へのプライベート アクセス。 データ流出を防止します。

トラフィック フロー

Azure File Sync と Azure Files を有効にしたら、ローカル キャッシュ モードまたはリモート モードの 2 つのモードで Azure ファイル共有にアクセスできます。 どちらのモードでも、クライアントは既存の AD DS 資格情報を使用して自身を認証します。

• ローカル キャッシュ モード - クライアントは、クラウドを使った階層化が有効になっているローカル ファイル サーバーを介して、ファイルとファイル共有にアクセスします。 ユーザーがローカル ファイル サーバーからファイルを開くと、ファイル データはファイル サーバーのローカル キャッシュから提供されるか、または Azure File Sync エージェントによって Azure Files からファイル データがシームレスに呼び戻されます。 このソリューションのアーキテクチャ図では、これはコンポーネント 1 と 4 の間で発生します。

• リモート モード - クライアントは、リモートの Azure ファイル共有から直接ファイルとファイル共有にアクセスします。 このソリューションのアーキテクチャ図では、このトラフィック フローはコンポーネント 2、5、6、7、および 10 を通過します。

Azure File Sync トラフィックは、信頼性の高い接続のために ExpressRoute 回線を使用して、コンポーネント 4、5、6、および 7 の間を行き来します。

プライベート ドメイン名の解決クエリは、次のシーケンスを使用して、コンポーネント 3、5、6、8、11、および 12 を通過します。

1. クライアントからオンプレミスの DNS サーバーに、Azure Files または Azure File Sync の DNS 名を解決するためのクエリが送信されます。
2. オンプレミスの DNS サーバーには、Azure Files と Azure File Sync の DNS 名の解決を Azure 仮想ネットワーク内の DNS サーバーに振り向ける条件付きフォワーダーがあります。
3. クエリは、Azure 仮想ネットワーク内の DNS サーバーまたは Azure プライベート DNS リゾルバーにリダイレクトされます。
4. 仮想ネットワークの DNS 構成に応じて、次のように実行されます。
   • カスタム DNS サーバーが構成されている場合は、Azure 仮想ネットワーク内の DNS サーバーから Azure 提供の DNS (168.63.129.16) 再帰リゾルバーに、名前クエリが送信されます。
   • Azure プライベート DNS リゾルバーが構成されていて、仮想ネットワークにリンクされているプライベート DNS ゾーンとクエリが一致する場合は、それらのゾーンが参照されます。
5. DNS サーバーまたは Azure プライベート DNS リゾルバーは、プライベート ドメイン名をそれぞれのプライベート DNS ゾーンに解決した後、プライベート IP を返します。 これは、Azure Files DNS ゾーンと Azure File Sync プライベート DNS ゾーンへの Azure 仮想ネットワークのリンクを使用して行われます。

考慮事項

以降の考慮事項には、ワークロードの品質向上に使用できる一連の基本原則である Azure "Well-Architected Framework" の要素が組み込まれています。 詳細については、「Microsoft Azure Well-Architected Framework」を参照してください。

このソリューションを実装するときには、次の点を考慮してください。

計画

• Azure File Sync の計画については、「Azure File Sync のデプロイの計画」を参照してください。
• Azure Files の計画については、「Azure Files のデプロイの計画」を参照してください。

ネットワーキング

• Azure File Sync のネットワークに関する考慮事項については、「Azure File Sync のネットワークに関する考慮事項」を参照してください。
• Azure Files のネットワークに関する考慮事項については、「Azure Files のネットワークに関する考慮事項」を参照してください。

DNS

プライベート エンドポイントの名前解決を管理するときに、Azure Files と Azure File Sync のプライベート ドメイン名は次の方法で解決されます。

Azure 側から:

• Azure で提供される名前解決を使用する場合は、Azure 仮想ネットワークが、プロビジョニング済みのプライベート DNS ゾーンにリンクされている必要があります。
• "独自の DNS サーバーの導入" を使用する場合は、独自の DNS サーバーがデプロイされている仮想ネットワークが、プロビジョニング済みのプライベート DNS ゾーンにリンクされている必要があります。

オンプレミス側からは、次のいずれかの方法で、プライベート ドメイン名がプライベート IP アドレスにマップされます。

• 図に示すように、Azure 仮想ネットワークにデプロイされている DNS サーバーまたは Azure プライベート DNS リゾルバーへの DNS 転送を介して。
• プライベート ドメイン <region>.privatelink.afs.azure.net と privatelink.file.core.windows.net のゾーンを設定するオンプレミスの DNS サーバーを介して。 このサーバーによって、Azure Files と Azure File Sync のプライベート エンドポイントの IP アドレスが DNS A レコードとしてそれぞれの DNS ゾーンに登録されます。 オンプレミスのクライアントで、プライベート ドメイン名がローカルのオンプレミス DNS サーバーから直接解決されます。

分散ファイル システム (DFS)

オンプレミスのファイル共有ソリューションに関しては、多くの管理者が従来のスタンドアロン ファイル サーバーではなく DFS を使用することを選択しています。 DFS を使用すると、管理者は、複数のサーバー上に存在する可能性があるファイル共有を統合して、それらがすべて同じ場所に存在するように見せることができます。これにより、ユーザーがネットワーク上の単一のポイントからアクセスできるようになります。 クラウド ファイル共有ソリューションへの移行中に、従来の DFS-R のデプロイを Azure File Sync のデプロイに置き換えることができます。 詳しくは、「DFS レプリケーション (DFS-R) のデプロイを Azure File Sync に移行する」をご覧ください。

データ損失とバックアップ

データ損失は、あらゆる規模の企業にとって重大な問題です。 Azure ファイル共有のバックアップでは、ファイル共有スナップショットを使用したクラウド ベースのバックアップ ソリューションを提供して、クラウド内のデータを保護し、オンプレミスのバックアップ ソリューションに関連する追加のメンテナンス オーバーヘッドをなくします。 Azure ファイル共有のバックアップの主な利点には次のようなものがあります。

• インフラストラクチャが不要
• リテンション期間のカスタマイズ
• 組み込みの管理機能
• 即時の復元
• アラートとレポート
• ファイル共有の誤削除に対する保護

詳細については、「Azure ファイル共有のバックアップについて」を参照してください。

Azure Files でのハイブリッド ID のサポート

この記事では、Azure Files で認証するための Active Directory について説明しますが、ハイブリッド ユーザー ID の認証には Microsoft Entra ID を使用できます。 Azure Files では、次の方法で Kerberos 認証プロトコルを使用することで、サーバー メッセージ ブロック (SMB) 経由の ID ベース認証がサポートされています。

• オンプレミス Active Directory Domain Services (AD DS)
• Microsoft Entra Domain Services
• Microsoft Entra Kerberos (ハイブリッド ユーザー ID のみ)
• Linux クライアントの AD 認証

詳細については、「Azure Files でハイブリッド ID に対して Microsoft Entra Kerberos 認証を有効にする」を参照してください。

セキュリティ

セキュリティは、重要なデータやシステムの意図的な攻撃や悪用に対する保証を提供します。 詳細については、「セキュリティの重要な要素の概要」を参照してください。

Azure DDoS Protection では、アプリケーションの設計に関するベスト プラクティスと組み合わせることにより、DDoS 攻撃からの保護を向上させるための強化された DDoS 軽減機能が提供されます。 すべての境界仮想ネットワークで Azure DDOS Protection を有効にする必要があります。

セキュリティ監査は、企業のセキュリティを維持するために必要な要件です。 業界標準では、企業はデータのセキュリティとプライバシーに関する一連の厳格なルールに従う必要があります。

ファイル アクセスの監査

ファイル アクセスの監査は、ローカルおよびリモートで有効にすることができます。

• ローカルでは、ダイナミック アクセス制御を使用します。 詳細については、「ファイル アクセスの監査の計画」を参照してください。
• リモートでは、Azure Files の Azure Monitor の Azure Storage ログを使用します。 Azure Storage ログには、StorageRead、StorageWrite、StorageDelete、および トランザクション ログが含まれます。 Azure ファイル アクセスは、ストレージ アカウント、Log Analytics ワークスペースにログ記録するか、またはイベント ハブに個別にストリーミングすることができます。 詳しくは、「Azure ファイルを監視する」をご覧ください。

共同作成者

この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。

プリンシパル作成者:

• Yingting Huang | シニア クラウド ソリューション アーキテクト

パブリックでない LinkedIn プロファイルを表示するには、LinkedIn にサインインします。

次のステップ

• Azure Files のデプロイの計画
• Azure Files のデプロイ方法
• Azure Files のネットワークに関する考慮事項
• Azure Files ネットワーク エンドポイントの構成
• Azure Files の監視
• ファイル アクセスの監査の計画
• Azure ファイル共有のバックアップ
• 概要 - SMB を使用した Azure ファイル共有へのオンプレミスの Active Directory Domain Services 認証
• Azure File Sync のデプロイ
• Azure File Sync ネットワーク エンドポイントの構成
• クラウドの階層化の概要
• Azure Portal でサイト間接続を作成する
• ExpressRoute 回線とピアリング
• ExpressRoute 回線のピアリングの作成と変更
• Azure ファイル共有のバックアップについて
• Azure DNS Private Resolver とは
• Azure Files 上でハイブリッド ID に対して Microsoft Entra Kerberos 認証を有効化する

関連リソース

• Azure エンタープライズ クラウド ファイル共有
• オンプレミスでアクセスされ、AD DS によってセキュリティで保護される Azure ファイル
• ハイブリッド ファイル サービス
• ハイブリッド環境で Azure ファイル共有を使用する
• リモートおよびローカル ブランチ ワーカー用ディザスター リカバリーを使用したハイブリッド ファイル共有