Category: 実践編
2021.04.21
目次
はじめに
オンプレの社内環境にてファイルサーバを利用しており、Active Directory を使ってファイルアクセス権限をコントロールされている方は多いと思います。今回はそれをマネージドファイル共有サービス Azure Files に置き換える構成を紹介します。この構成は、Hybrid ID 環境を構築してみる にて紹介した Hybrid ID 環境の応用形であり、”Azure Files” との連携です。
Hybrid ID 環境 + Azure Files のメリット
この構成にすると、以下のようなメリットが得られます。
- オンプレ AD DS と Azure AD を組み合わせることで、従来のオンプレファイルサーバと同じ使用感で利用ができる
- フルマネージドのサービスのため、セキュリティアップデートのような運用コストがなく、利用する容量の制限もないのでキャパシティプランニングも不要
- データが自動でレプリケーションされるため、損失リスクが極めて少ない
- Azure Backup と連携することで、商用ツールを利用することなくバックアップの取得が可能
ファイルサーバに置かれるファイルは重要な物が多いので、可用性と耐久性が非常に高いマネージドサービスとの相性は非常に良いです。あえてデメリットを上げるとしたらアクセスがインターネット経由になることのレイテンシです。大容量のファイルを頻繁に読み書きするような業務内容の場合は、専用線 ExpressRoute の利用も検討してください。
システム構成
Azure Files は VNET 上に存在しないサービスのため、VPN 経由でアクセスする際には プライベートエンドポイント と呼ばれるインターフェイスを用意する必要があります。オンプレ環境の DNS サーバにはプライベートエンドポイントの DNS レコードを登録し、ユーザがプライベートエンドポイントにアクセスすることで Azure Files を利用します。
Azure Files を構築する
実際に構築してみて、本当にファイルサーバとして使えるのか検証してみます。なお、本コラムでは認証部分に焦点をあてたいため、ネットワークについてはインターネット経由でのアクセスとします。全体の流れとしては、以下の通りです。Azure Files をオンプレファイルサーバーのように使うには、以下の設定を行います。
- ストレージアカウントを作成し、ストレージアカウントに Azure Files (ファイル共有) を作成する。
- Hybrid ID 環境を用意する。
- Azure PowerShell を使って、ストレージアカウントをオンプレ AD DS に登録する。
- Azure AD ユーザに Azure ロールを割り当て、Azure Files へのアクセス権限を与える。
- 管理者レベルの Azure ロールを持つユーザにて、Windows ACL の設定を行う。
1 ~ 4 までの具体的な手順は、ストレージアカウントサービスの紹介コラム Azure ストレージが提供する4つのサービスを紹介 (Azure Files) で解説していますので、そちらを御覧ください。
次の章では 5、つまり、ファイルサーバとして実際に利用するための Windows ACL 設定の方法を説明します。
ファイルのアクセス権限を設定する
Azure AD ユーザには、Azure ロールにてファイル共有へのアクセス制御が行われています。一方で、オンプレ AD DS ユーザには、オンプレファイルサーバと同様に Windows ACL の設定を行うことでファイルレベルのアクセス制御を行えます。Azure AD ユーザとオンプレ AD DS ユーザは同一ですから、2種類のアクセス制御が存在するわけですが、以下の方針で運用することをオススメします。Azure ロールで大まかな制御をし、Windows ACL でファイルレベルの細かな制御をするイメージです。
- 管理者には Windows ACL を調整する Azure ロールを、一般ユーザには Azure Files にアクセスする Azure ロールを与える。
- 管理者ユーザにて、適当なサーバに Azure Files をマウントし、Windows ACL の調整を行う。
今回は “rworks-admin” が管理者、”testuser01″ が一般ユーザとして、テストしてみましょう。対象のストレージアカウントを開き、[アクセス制御 (IAM)] から Azure ロールを割り当てます。
次に、管理者ユーザにて Windows ACL の設定を行います。管理者ユーザは、AD 認証ではなく、ストレージキーを使って Azure Files をマウントします。Azure Files の画面を開き、[接続] をクリックすると接続コマンドが表示されるので、コピーして適当なサーバ上で実行してください。
通常の Windows ファイルサーバと同じように Windows ACL の設定をします。”admin” というフォルダを作って、一般ユーザは閲覧できないようにしてしまいましょう。
一般ユーザでのアクセス確認をしてみます。一般ユーザはアクセスキーではなく、AD DS 認証でアクセスします。通常の Windows ファイルサーバにアクセスするときと同様、ファイルエクスプローラーに “\\{ストレージアカウント名}/{ファイル共有名}” 形式で入力します。
“admin” フォルダにアクセスできないことを確認できました。
Azure Backup を使ってバックアップ・リストアを行う
最後に、実際の運用シーンでよく行われるであろうファイル単位のバックアップ、リストアについて簡単に紹介します。Azure では Azure Backup というサービスによって様々なサービスのバックアップを一元管理することができ、Azure Files もその対象となっています。ポータル上からバックアップポリシーを作成することで、簡単に定期バックアップが実行できます。
詳しい手順は省きますが、Recovery Service コンテナ の画面から Azure Backup の設定を行うと、以下のように表示されます。最短で日次バックアップ、さらに任意のタイミングで手動バックアップが可能です。
リストアするのに特別なツールなどは必要ありません。共有フォルダ上でリストアしたいフォルダ・ファイルを右クリックし、[プロパティ] を開いてください。以下のように、過去のバージョンが一覧表示されます。[Open] をクリックすればリストア前にファイル一覧を確認できます。[Restore] をクリックすると過去のバージョンに置き換わります。
まとめ
Hybrid ID 環境の応用例として、Azure Files との連携を紹介しました。実は、Azure Files が AD DS 認証に対応したのは 2020 年 6 月と比較的最近です。このアップデートにより、今後ますますオンプレファイルサーバの置き換えとして Azure Files が浸透していくものと思われます。
Azure設計・構築を任せたい
資料ダウンロード
課題解決に役立つ詳しいサービス資料はこちら
-
-
Azure導入支援・構築・運用サービス総合カタログ
Microsoft Azure サービスの導入検討・PoC、設計、構築、運用までを一貫してご支援いたします。
Azure導入・運用時のよくあるお悩み、お悩みを解決するためのアールワークスのご支援内容・方法、ご支援例などをご確認いただけます。
-
Tag: Azure Files ハイブリッドID
よく読まれる記事
- 1 Azure Bastionとは?踏み台による仮想マシンへのセキュアな接続方法について解説2022.05.12
- 2 Microsoft Purviewとは?概要や主な機能、導入するメリットを解説2023.09.11
- 3 VDIに必要なWindows VDAライセンスとは?費用感、ライセンスの考え方について解説します!2022.08.10
- 4 Azureネットワークセキュリティグループ(NSG)とは?特徴や設定時の注意点を解説2021.04.28
- 5 Microsoft Entra IDとは? オンプレAD、Azure ADとの違いや機能、エディション、移行方法をわかりやすく解説2024.04.05
Category
Contactお問い合わせ
お見積もり・ご相談など、お気軽にお問い合わせください。