Azure ファイル共有を管理する
Azure Files には、Azure ファイル共有のマウント用に、サーバー メッセージ ブロック (SMB) プロトコルとネットワーク ファイル システム (NFS) プロトコル (プレビュー) の 2 つの業界標準ファイル システム プロトコルが用意されています。 Azure ファイル共有では、同じファイル共有での SMB と NFS の両方のプロトコルをサポートしていません。ただし、同じストレージ アカウントに SMB と NFS の Azure ファイル共有を作成することはできます。
Azure ファイル共有の種類
Azure Files は、Premium と Standard という 2 つのストレージ層をサポートしています。 Standard ファイル共有は汎用 (GPv2) ストレージ アカウントで作成され、Premium ファイル共有は FileStorage ストレージ アカウントで作成されます。 2 つのストレージ層には、次の表で説明する属性があります。
| ストレージ層 | 説明 |
|---|---|
| Premium | Premium ファイル共有は、ソリッドステート ドライブ (SSD) にデータを保存し、FileStorage ストレージ アカウントの種類でのみ使用できます。 一貫性のあるハイ パフォーマンスと低待ち時間を実現できます。また、LRS 冗長で使用可能であり、一部のリージョンでは ZRS も使用できます。 すべての Azure リージョンで利用できるわけではありません。 |
| Standard | Standard ファイル共有は、ハード ディスク ドライブ (HDD) にデータを保存し、汎用バージョン 2 (GPv2) ストレージ アカウントの種類でデプロイします。 汎用ファイル共有や開発およびテスト環境などのワークロード向けのパフォーマンスを提供します。 Standard ファイル共有は、すべての Azure リージョンで LRS、ZRS、GRS、GZRS に対して使用できます。 |
認証の種類
Azure Files がサポートする認証方法は主に 3 つあります。
| 認証方法 | 説明 |
|---|---|
| SMB を使用した ID ベースの認証 | Azure ファイル共有にアクセスするときに、オンプレミスのファイル共有へのアクセスと同じシームレスなシングル サインオン (SSO) エクスペリエンスを提供します。 |
| アクセス キー | アクセス キーは、古く柔軟性が低いオプションです。 Azure Storage アカウントには、Azure Files を含むストレージ アカウントへの要求を行うときに使用できる 2 つのアクセス キーがあります。 アクセス キーは静的であり、Azure Files へのフル コントロール アクセスを提供します。 アクセス キーは、すべてのアクセス制御制限をバイパスするため、セキュリティで保護する必要があり、ユーザーと共有することはできません。 推奨されるセキュリティのベスト プラクティスは、ストレージ アカウント キーは共有せず、可能な限り ID ベースの認証を利用することです。 |
| Shared Access Signature (SAS) トークン | SAS は、ストレージ アクセス キーに基づいて動的に生成される Uniform Resource Identifier (URI) です。 SAS は、Azure ストレージ アカウントへの制限付きアクセス権を提供します。 制限には、許可されるアクセス許可、開始時刻と有効期限、要求の送信元として許可される IP アドレス、許可されるプロトコルなどがあります。 Azure Files では、SAS トークンはコードからの REST API アクセスを提供するためにのみ使用されます。 |
SMB Azure ファイル共有の作成
SMB Azure ファイル共有を作成および構成するときに注意する必要がある重要な設定が 2 つあります。
ポート 445 を開く。 SMB は TCP ポート 445 経由で通信します。 ポート 445 が開いていることを確認します。 また、ファイアウォールでクライアント コンピューターからの TCP ポート 445 がブロックされていないことを確認します。 ポート 445 のブロックを解除できない場合は、オンプレミスから Azure ネットワークへの VPN または ExpressRoute 接続と、プライベート エンドポイントを使用して内部ネットワーク上で公開された Azure Files が必要です。
安全な転送を有効にする。
Secure transfer required設定により、ストレージ アカウントへの要求をセキュリティで保護された接続からのもののみに制限することで、ストレージ アカウントのセキュリティが強化されます。 REST API を使用してストレージ アカウントにアクセスするシナリオを検討してください。 接続を試行し、安全な転送が必須の項目が有効になっている場合は、HTTPS を使用して接続する必要があります。 HTTP を使用してアカウントに接続しようとして、安全な転送が必須が有効になっている場合、接続は拒否されます。
SMB Azure ファイル共有を Windows にマウントする
Azure ファイル共有は、Windows および Windows Server でシームレスに使用できます。 Azure portal の Windows または Windows Server で Azure ファイル共有に接続できます。 共有をマウントするドライブを指定し、認証方法を選びます。 Azure portal には、ファイル共有を操作する準備ができたときに実行する PowerShell コマンドが用意されています。 このビデオでは、SMB ファイル共有を Windows にマウントする方法について説明します。
SMB Azure ファイル共有を Linux でマウントする
Linux マシンから Azure ファイル共有に接続することもできます。 仮想マシンのページで [接続] を選択します。 SMB Azure ファイル共有は、CIFS カーネル クライアントを使うことで Linux ディストリビューションにマウントできます。 ファイルのマウントは、mount コマンドを使用してオンデマンドで、または /etc/fstab にエントリを作成することによって起動時に (永続的) 実行できます。