Azure Files への接続を構成する
Contoso のユーザーは、SMB プロトコルを使用して Azure Files に接続すると考えられますが、NFS もサポートされています。 SMB は、TCP ポート 445 を使用して接続を確立します。 多くの企業およびインターネット サービス プロバイダーは、このポートをブロックしています。これは、ユーザーが Azure Files にアクセスできないよくある原因です。 ポート 445 のブロックを解除する選択ができない場合でも Azure Files にアクセスするには、まず、ポイント対サイト (P2S) 仮想プライベート ネットワーク (VPN)、サイト間 (S2S) VPN、または Azure への Azure ExpressRoute 接続を確立します。 または、Azure File Sync を使用して、ユーザーがいつでもアクセスできるオンプレミスのファイル サーバーに Azure ファイル共有を同期させることもできます。
Azure Storage ファイアウォールと仮想ネットワーク
Azure Files を含む Azure Storage には階層型セキュリティ モデルが用意されています。 このモデルでは、要求の送信元のネットワークの種類とサブネットに基づいて、ストレージ アカウントへのアクセス レベルのセキュリティ確保と制御を提供できます。 既定では、ストレージ アカウントのファイアウォールは、すべてのネットワークからのアクセスを許可しますが、指定された IP アドレス、IP 範囲、または Azure 仮想ネットワーク内のサブネットの一覧からのみアクセスを許可するように構成を変更できます。 ファイアウォール構成では、信頼された Azure Platform サービスを選択して、ストレージ アカウントに安全にアクセスすることもできます。
Azure Files を含むストレージ アカウントでは、既定のパブリック エンドポイントに加え、1 つ以上のプライベート エンドポイントを設けるオプションも提供されます。 "プライベート エンドポイント" とは、Azure 仮想ネットワーク内でのみアクセス可能なエンドポイントです。 ストレージ アカウントのプライベート エンドポイントを作成すると、そのストレージ アカウントは仮想ネットワークのアドレス空間内からプライベート IP アドレスを取得します。これは、オンプレミスのファイル サーバーまたは NAS デバイスが、オンプレミス ネットワークの専用アドレス空間から IP アドレスを受け取る方法と似ています。 これにより、仮想ネットワークとストレージ アカウントの間のすべてのトラフィックがプライベート リンクで保護されます。
ヒント
また、ストレージ アカウントのファイアウォールを使用して、プライベート エンドポイントを使用するときに、パブリック エンドポイント経由のすべてのアクセスをブロックすることもできます。
Azure ファイル共有への接続
Windows OS で Azure ファイル共有を使用するには、この共有をマウントするか (ドライブ文字かマウント ポイントのパスを割り当ててマウントする)、汎用名前付け規則 (UNC) パス経由でアクセスする必要があります。 UNC パスには、Azure Storage アカウント名、file.core.windows.net ドメイン サフィックス、および共有名が含まれます。 たとえば、Azure Storage アカウントの名前が storage1 であり、共有名が share1 である場合、UNC パスは \\storage1.file.core.windows.net\share1 になります。
ストレージ アカウントに対して ID ベースの認証が有効になっていて、ドメインに参加している Windows デバイスから Azure ファイル共有に接続している場合は、資格情報を手動で指定する必要はありません。 それ以外の場合は、資格情報を提供する必要があります。 (AZURE\*<storage account name>*) をユーザー名として使用し、ストレージ アクセス キーをパスワードとして使用できます。 Azure portal に用意されているスクリプトを使用して Azure ファイル共有に接続する場合は、同じ資格情報が使用されます。
注意事項
ストレージ アクセス キーにより、Azure ファイル共有に無制限にアクセスできることに注意してください。 可能な限り、代わりに ID ベースの認証を使用する必要があります。
![Azure portal が Azure ファイル共有に接続するために提供するスクリプトで、[接続] が選択されているスクリーンショット。](../../wwl-azure/implement-hybrid-file-server-infrastructure/media/m11-connect-to-azure-file-share-005.png)
Azure ファイル共有スナップショット
Windows Server では、ボリュームのシャドウ コピーを作成できます。これにより、その時点でのボリュームの状態がキャプチャされます。 後でエクスプローラーの以前のバージョン機能を使用して、ネットワーク経由でシャドウ コピーにアクセスできます。 同様の機能は、Azure ファイル共有のスナップショットでも使用できます。 共有スナップショットは、特定の時点の Azure ファイル共有データの読み取り専用のコピーです。
ファイル共有レベルで共有スナップショットを作成します。 その後、Azure portal またはエクスプローラーから個々のファイルを復元して、共有全体を復元することもできます。 共有ごとに最大 200 件のスナップショットを作成できるため、さまざまな特定時点のバージョンにファイルを復元することが可能です。 共有を削除すると、そのすべてのスナップショットも削除されます。
共有スナップショットは増分です。 最新の共有のスナップショットの後に変更されたデータだけが保存されます。 これにより、共有スナップショットの作成に必要な時間を最小限に抑え、ストレージとストレージ コストを節約できます。
![スナップショットが 3 つある [ファイル共有のスナップショット] のスクリーンショット。Azure ファイル共有の [以前のバージョン] タブには、同じ 3 つのスナップショットが表示されています。](../../wwl-azure/implement-hybrid-file-server-infrastructure/media/m11-azure-file-share-snapshots-006.png)
スナップショットは、次のような場合に使用します。
- 誤った削除や意図しない変更から保護する場合。 共有スナップショットには、共有のファイルの特定の時点のコピーが含まれます。 共有ファイルが意図せずに変更された場合は、共有スナップショットを使用して、ファイルの以前のバージョンを確認および復元できます。
- 一般的なバックアップ目的。 ファイル共有を作成したら、定期的に共有スナップショットを作成できます。 これにより、将来の監査要件やディザスター リカバリーに使用できる以前のバージョンのデータを維持できます。