Azure マネージド ディスクの概要
適用対象: ✔️ Linux VM ✔️ Windows VM ✔️ フレキシブル スケール セット ✔️ 均一スケール セット
Azure マネージド ディスクは、Azure によって管理されて Azure Virtual Machines で使用されるブロックレベルの記憶域ボリュームです。 マネージド ディスクは、オンプレミス サーバーの物理ディスクと似ていますが、仮想化されています。 マネージド ディスクを使用した場合、ユーザーは、サイズと種類を指定してディスクをプロビジョニングするだけで済みます。 ディスクのプロビジョニング後、残りの作業は Azure によって行われます。
使用できるディスクの種類は、Ultra ディスク、Premium ソリッド ステート ドライブ (SSD)、Standard SSD、Standard ハード ディスク ドライブ (HDD) です。 各ディスクの種類については、「IaaS VM 用のディスクの種類の選択」を参照してください。
または、VM のストレージとして Azure Elastic SAN を使用することもできます。 Elastic SAN を使用すると、すべてのワークロードのストレージを 1 つのストレージ バックエンドに統合でき、かなりの量の大規模な IO 集中型ワークロードと最上位層のデータベースがある場合は、よりコスト効率が高くなることがあります。 詳細については、「Azure Elastic SAN とは」を参照してください
マネージド ディスクの利点
マネージド ディスクを使用することによって得られる利点をいくつか紹介します。
優れた持続性と可用性
マネージド ディスクは、99.999% の可用性で設計されています。 マネージド ディスクは、データの 3 つのレプリカを提供し、高い持続性を可能にすることで、これを実現しています。 1 つのレプリカに問題が発生しても (またはそれが 2 つのレプリカであっても)、残りのレプリカでデータを維持し、高い耐障害性を確保します。 このアーキテクチャにより、Azure はサービスとしてのインフラストラクチャ (IaaS) ディスクのエンタープライズ レベルの持続性を、業界トップレベルの年間故障率 0% で一貫して提供できます。 ローカル冗長ストレージ (LRS) ディスクは 1 年間 に 99.999999999% (イレブン ナイン) 以上の持続性を提供し、ゾーン冗長ストレージ (ZRS) ディスクは 1 年間に 99.9999999999% (トウェルブ ナイン) 以上の持続性を提供します。
シンプルでスケーラブルな VM のデプロイ
マネージド ディスクでは、サブスクリプション内の特定の種類の VM ディスクをリージョンあたり最大 50,000 個まで作成できるので、1 つのサブスクリプションで数千台の VM を作成できます。 また、この機能により、Marketplace のイメージまたは Azure Compute Gallery のイメージを使って仮想マシン スケール セット内に最大 1,000 台の VM を作成できるため、仮想マシン スケール セットのスケーラビリティがさらに向上します。
可用性セットとの統合
マネージド ディスクは可用性セットと統合されており、可用性セット内の VM のディスクが単一障害点にならないように相互に十分に分離されます。 ディスクはさまざまなストレージ スケール ユニット (スタンプ) に自動的に配置されます。 ハードウェアやソフトウェアの障害によってスタンプが機能しなくなった場合、そのスタンプ上のディスクを使用する VM インスタンスだけが機能しなくなります。 たとえば、5 台の VM 上で実行されているアプリケーションがあり、これらの VM が可用性セットに含まれているとします。 各 VM のディスクはすべて同じスタンプに格納されるわけではないため、1 つのスタンプがダウンしても、アプリケーションの他のインスタンスは引き続き実行されます。
Availability Zones との統合
マネージド ディスクでは Availability Zones がサポートされています。これは高可用性を備えたサービスであり、アプリケーションをデータセンターの障害から保護します。 Availability Zones は、Azure リージョン内の一意の物理的な場所です。 それぞれのゾーンは、独立した電源、冷却手段、ネットワークを備えた 1 つまたは複数のデータセンターで構成されています。 回復性を確保するため、有効になっているリージョンにはいずれも最低 3 つのゾーンが別個に存在しています。 Availability Zones では、Azure によって業界最高の 99.99% VM アップタイム SLA が実現されます。
Azure Backup のサポート
リージョン全体のディザスターから保護するために、Azure Backup を使用し、時間ベースのバックアップとバックアップ保存ポリシーを指定してバックアップ ジョブを作成できます。 こうすることで、VM またはマネージド ディスクの復元を任意で実行できます。 現在、Azure Backup では、最大 32 テビバイト (TiB) のディスク サイズがサポートされています。 Azure VM バックアップ サポートについて詳しく確認してください。
Azure ディスク バックアップ
Azure Backup は、マネージド ディスク内のデータを保護する、ネイティブでクラウドベースのバックアップ ソリューションとして Azure Disk Backup を提供します。 これはわずかな手順でマネージド ディスクの保護を構成できる、シンプルで安全なコスト効率の高いソリューションです。 Azure ディスク バックアップは、スナップショットの定期的な作成を自動化し、バックアップ ポリシーを使用して構成された期間にわたってそのスナップショットを保持することで、マネージド ディスクのスナップショット ライフサイクル管理を提供する、ターンキー ソリューションを提供します。 Azure ディスク バックアップの詳細については、「Azure ディスク バックアップの概要」を参照してください。
詳細なアクセス制御
Azure のロールベースのアクセス制御 (Azure RBAC) を使用して、マネージド ディスクに対する特定のアクセス許可を 1 人以上のユーザーに割り当てることができます。 マネージド ディスク では、ディスクの読み取り、書き込み (作成/更新)、削除、Shared Access Signature (SAS) URI の取得など、さまざまな操作を公開しています。 ユーザーが仕事をする上で必要な操作へのアクセス権だけを付与することができます。 たとえば、ユーザーがマネージド ディスクをストレージ アカウントにコピーすることが望ましくない場合は、そのマネージド ディスクに対するエクスポート アクションへのアクセス権を付与しないようにします。 同様に、ユーザーが SAS URI を使用してマネージド ディスクをコピーできないようにする場合は、そのマネージド ディスクに対する該当のアクセス許可を付与しないことを選択できます。
お使いの VHD をアップロードする
直接アップロードを使用して、お使いの VHD を Azure マネージド ディスクに簡単に転送できます。 以前は、ストレージ アカウントへのデータのステージングを含む複雑なプロセスを実行する必要がありました。 現在、手順は少なくなっています。 オンプレミスの VM の Azure へのアップロードや大規模なマネージド ディスクへのアップロードはもっと簡単になり、バックアップと復元のプロセスが簡素化されています。 また、VM へのアタッチなしで、マネージド ディスクに直接データをアップロードできることでコストが削減されます。 直接アップロードを使用して、最大 32 TiB の VHD をアップロードできます。
VHD を Azure に転送する方法については、CLI または PowerShell の記事を参照してください。
セキュリティ
Private Link
マネージド ディスクの Private Link サポートは、ネットワークの内部でマネージド ディスクをインポートまたはエクスポートするために使用できます。 Private Linkを使用すると、接続されていないマネージド ディスクおよびスナップショットに対して期限付きの Shared Access Signature (SAS) URI を生成できます。これを使用して、リージョン拡張、ディザスター リカバリー、およびフォレンジック分析のために他のリージョンにデータをエクスポートできます。 SAS URI は、オンプレミスから空のディスクに VHD を直接アップロードするために使用することもできます。 また、Private Linkを使用して、マネージド ディスクのエクスポートとインポートが対象の Azure 仮想ネットワーク内でのみ発生するように制限できます。 Private Linkを使用すると、セキュリティで保護された Microsoft バックボーン ネットワーク内でのみデータが移動することが保証されます。
マネージド ディスクをインポートまたはエクスポートするためにPrivate Linkを有効にする方法については、CLI またはポータルに関するページを参照してください。
暗号化
マネージド ディスクには、2 種類の暗号化が用意されています。 1 つ目は、ストレージ サービスによって実行されるサーバー側暗号化 (SSE) です。 2 つ目は、OS と VM 用データ ディスクで有効にできる Azure Disk Encryption (ADE) です。
サーバー側暗号化
サーバー側暗号化では、保存時の暗号化が提供され、組織のセキュリティおよびコンプライアンス要件を満たすようにデータが保護されます。 サーバー側暗号化は、マネージド ディスクを使用できるすべてのリージョンのすべてのマネージド ディスク、スナップショット、イメージに対して既定で有効になっています (これに対し、一時ディスクは、ホストで暗号化を有効にしない限り、サーバー側暗号化による暗号化はされません。ディスク ロール:一時ディスクに関するセクションを参照してください)。
キーの管理を Azure に任せることができます (プラットフォーム マネージド キー)。自分でキーを管理することもできます (カスタマー マネージド キー)。 詳細については、「Azure Disk Storage のサーバー側暗号化」を参照してください。
Azure Disk Encryption
Azure Disk Encryption を使用すると、IaaS 仮想マシンで使用される OS とデータ ディスクを暗号化できます。 この暗号化にはマネージド ディスクが含まれます。 Windows の場合、ドライブの暗号化には、業界標準の BitLocker 暗号化テクノロジが使用されます。 Linux の場合、ディスクの暗号化には DM-Crypt テクノロジが使用されます。 暗号化プロセスは Azure Key Vault と統合されているので、ディスクの暗号化キーを制御および管理できます。 詳細については、「Linux VM に対する Azure Disk Encryption」または「Windows VM 用の Azure Disk Encryption」をご覧ください。
ディスク ロール
Azure には、OS ディスク、データ ディスク、一時ディスクという 3 つのメイン ディスク ロールがあります。 これらのロールは、ご利用の仮想マシンに接続されているディスクにマップされます。
OS ディスク
どの仮想マシンにも 1 つのオペレーティング システム ディスクが取り付けられています。 その OS ディスクには、VM の作成時に選択された OS がプリインストールされています。 このディスクにはブートボリュームが含まれています。 一般に、OS 情報は OS ディスクにのみ保存し、すべてのアプリケーションとデータはデータ ディスクに保存する必要があります。 ただし、コストが懸念される場合は、データ ディスクを作成する代わりに OS ディスクを使用できます。
このディスクの最大容量は 4,095 GiB です。 ただし、多くのオペレーティング システムは既定でマスター ブート レコード (MBR) でパーティション分割されます。 MBR では、使用可能なサイズが 2 TiB に制限されています。 2 TiB 以上必要な場合は、データディスクを作成して接続し、データストレージ用に使用します。 OS ディスクにデータを保存する必要があり、追加の領域が必要な場合は、GUID Partition Table (GPT)に変換します。 Windows デプロイでの MBR と GPT の違いについては、「Windows と GPT のよくあるご質問」を参照してください。
データ ディスク
データ ディスクは仮想マシンに取り付けられるマネージド ディスクであり、ユーザーが保存しておく必要があるアプリケーションなどのデータを格納するためのものです。 データ ディスクは SCSI ドライブとして登録され、ユーザーが選択した文字のラベルが付けられます。 仮想マシンのサイズにより、そこに取り付けできるデータ ディスクの数と、ディスクをホストするために使用できるストレージの種類が決まります。
一般に、OS ディスクに保存するのではなく、データ ディスクを使用してアプリケーションとデータを保存する必要があります。 データ ディスクを使用してアプリケーションとデータを保存すると、OS ディスクを使用する場合よりも次の利点があります。
- バックアップおよびディザスター リカバリーの向上
- 柔軟性とスケーラビリティの向上
- パフォーマンスの分離
- メンテナンスの簡素化
- セキュリティとアクセス制御の強化
これらの利点の詳細については、OS ディスクではなく、データ ディスクを使用してアプリケーションとデータを保存する必要がある理由に関する記事を参照してください。
一時ディスク
ほとんどの VM には、マネージド ディスクではない一時ディスクが含まれています。 一時ディスクはアプリケーションやプロセスのために短期間のストレージを提供するものであり、ページ ファイル、スワップ ファイル、SQL Server tempdb などのデータ保存のみを意図しています。 一時ディスクのデータは、メンテナンス イベント中、VM の再デプロイ時、または VM の停止時に失われる可能性があります。 VM を正常に標準再起動している間、一時ディスク上のディスクは残ります。 一時ディスクのない VM に関する詳細については、「ローカル一時ディスクを持たない Azure VM のサイズ」を参照してください。
Azure Linux VM の一時ディスクは通常 /dev/sdb です。Windows VM の一時ディスクは既定で D: です。 一時ディスクは、(サーバー側暗号化の場合) ホストで暗号化を有効にするか、(Azure Disk Encryption の場合) VolumeType パラメーターを Windows で All に設定または Linux で EncryptFormatAll に設定しない限り、暗号化されません。
マネージド ディスクのスナップショット
マネージド ディスクのスナップショットは、マネージド ディスクの読み取り専用のクラッシュ整合性の完全なコピーであり、既定で Standard マネージド ディスクとして格納されます。 スナップショットを使用すると、任意の時点のマネージド ディスクのバックアップを作成できます。 これらのスナップショットはソース ディスクとは独立して存在し、新しいマネージド ディスクの作成に使用できます。
スナップショットは、使用されるサイズに基づいて請求されます。 たとえば、64 GiB のプロビジョニング済み容量でマネージド ディスクのスナップショットを作成し、実際に使用されたデータ サイズが 10 GiB である場合、スナップショットは使用されたデータ サイズである 10 GiB 分のみ課金されます。 スナップショットの使用サイズは、Azure 利用状況レポートで確認できます。 たとえば、スナップショットの使用データ サイズが 10 GiB の場合、毎日の利用状況レポートには、使用量として 10 GiB/(31 日) = 0.3226 が表示されます。
マネージド ディスクのスナップショットを作成する方法の詳細については、マネージド ディスクのスナップショットを作成する方法に関する記事を参照してください。
イメージ
マネージド ディスクでは、マネージド カスタム イメージの作成もサポートしています。 イメージは、ストレージ アカウント内のカスタム VHD から作成することも、一般化された (sysprep 済み) VM から直接作成することもできます。 このプロセスでは単一イメージもキャプチャされます。 このイメージには、OS ディスクとデータ ディスクの両方など、VM に関連付けられているすべてのマネージド ディスクが含まれます。 このマネージド カスタム イメージにより、ストレージ アカウントのコピーや管理を必要とせずに、カスタム イメージを使用して数百台の VM を作成できます。
イメージの作成方法については、次の記事をご覧ください。
イメージとスナップショット
イメージとスナップショットの違いを理解しておくことが重要です。 マネージド ディスクでは、割り当てが解除された、汎用化された VM のイメージを取得できます。 このイメージには、VM に接続されているすべてのディスクが含まれます。 このイメージを使用して VM を作成できます。作成された VM にはすべてのディスクが含まれます。
スナップショットは、スナップショットの作成時点のディスクのコピーです。 1 つのディスクにのみ適用されます。 VM が使用しているディスク (OS ディスク) が 1 つの場合、スナップショットまたはイメージを作成し、そのスナップショットまたはイメージから VM を作成できます。
スナップショットは、含まれているディスク以外のディスクを認識していません。 このため、ストライピングなど、複数のディスクの調整が必要なシナリオで使用するには問題があります。 スナップショットには相互に調整する機能が必要ですが、これは現在サポートされていません。
ディスクの割り当てとパフォーマンス
次の図は、ディスクの帯域幅と IOPS のリアルタイムの割り当て、および IO が取ることのできる 3 つの異なるパスを示しています。
最初の IO パスは、キャッシュされていないマネージド ディスクのパスです。 このパスは、マネージド ディスクを使用し、ホスト キャッシュを none に設定している場合に使用されます。 このパスを使用する IO は、ディスク レベルのプロビジョニングに基づいて実行された後、IOP とスループットについては VM ネットワーク レベルのプロビジョニングに基づいて実行されます。
2 番目の IO パスは、キャッシュされたマネージド ディスクのパスです。 キャッシュされたマネージド ディスク IO では、VM に近い SSD が使用されます。これには独自の IOP とスループットがプロビジョニングさており、図では SSD レベルのプロビジョニングと表示されています。 キャッシュされたマネージド ディスクが読み取りを開始すると、要求は最初にデータがサーバー SSD 内にあるかどうかの確認を実行します。 データが存在しない場合、これはキャッシュ ミスとなり、IO は SSD レベルのプロビジョニング、ディスク レベルのプロビジョニング、および IOP とスループットの VM ネットワーク レベルのプロビジョニングに基づいて実行されます。 サーバー SSD 上に存在するキャッシュされた IO に対してサーバー SSD が読み取りを開始した場合、これはキャッシュ ヒットとなり、IO はその後 SSD レベルのプロビジョニングに基づいて実行されます。 キャッシュされたマネージド ディスクによって開始される書き込みは、常にキャッシュ ミスのパスをたどり、SSD レベル、ディスク レベル、および VM ネットワーク レベルのプロビジョニングを経由する必要があります。
最後に、3 番目のパスはローカルまたは一時ディスク用です。 これは、ローカルまたは一時ディスクをサポートする VM でのみ使用できます。 このパスを使用する IO は、IOP とスループットの SSD レベルのプロビジョニングに基づいて実行されます。
これらの制限の例として、Standard_D2s_v3 の VM では、SSD とネットワーク レベルの制限により、キャッシュの設定が有効か無効かにかかわらず、P30 のディスクの 5,000 IOPS を達成することはできません。
Azure では、ディスク トラフィックに優先順位が付けられたネットワーク チャネルを使用します。これにより、他の低優先度のネットワーク トラフィックより優先されます。 これは、ネットワークの競合が発生した場合に、ディスクで予想されるパフォーマンスを保持するのに役立ちます。 同様に、Azure Storage では、自動負荷分散により、リソースの競合やその他の問題がバックグラウンドで処理されます。 Azure Storage では、ディスクを作成するときに必要なリソースを割り当て、トラフィック レベルを処理するためにリソースのプロアクティブおよびリアクティブな分散を適用します。 これにより、ディスクで確実に予想される IOPS とスループット ターゲットを維持できるようになります。 必要に応じて、VM レベルとディスク レベルのメトリックを使用して、パフォーマンスと設定のアラートを追跡できます。
目的のパフォーマンスを実現できるように、VM とディスクの構成を最適化するため、高パフォーマンス用の設計に関する記事を参照してください。
次のステップ
マネージド ディスクについて詳しく解説した次のビデオをご覧ください (「マネージド ディスクを使用した Azure VM の回復性向上」)。
ディスクの種類に関する記事で、Azure が提供する個々のディスクの種類と、ニーズに適した種類について学習し、パフォーマンス ターゲットについて学習します。