Azure Managed Service Column ＜Azure運用コラム＞Hybrid ID 環境 + Azure Files を構築してみる

はじめに

オンプレの社内環境にてファイルサーバを利用しており、Active Directory を使ってファイルアクセス権限をコントロールされている方は多いと思います。今回はそれをマネージドファイル共有サービス Azure Files に置き換える構成を紹介します。この構成は、Hybrid ID 環境を構築してみる にて紹介した Hybrid ID 環境の応用形であり、”Azure Files” との連携です。

Hybrid ID 環境 + Azure Files のメリット

この構成にすると、以下のようなメリットが得られます。

• オンプレ AD DS と Azure AD を組み合わせることで、従来のオンプレファイルサーバと同じ使用感で利用ができる
• フルマネージドのサービスのため、セキュリティアップデートのような運用コストがなく、利用する容量の制限もないのでキャパシティプランニングも不要
• データが自動でレプリケーションされるため、損失リスクが極めて少ない
• Azure Backup と連携することで、商用ツールを利用することなくバックアップの取得が可能

ファイルサーバに置かれるファイルは重要な物が多いので、可用性と耐久性が非常に高いマネージドサービスとの相性は非常に良いです。あえてデメリットを上げるとしたらアクセスがインターネット経由になることのレイテンシです。大容量のファイルを頻繁に読み書きするような業務内容の場合は、専用線 ExpressRoute の利用も検討してください。

システム構成

Azure Files は VNET 上に存在しないサービスのため、VPN 経由でアクセスする際には プライベートエンドポイント と呼ばれるインターフェイスを用意する必要があります。オンプレ環境の DNS サーバにはプライベートエンドポイントの DNS レコードを登録し、ユーザがプライベートエンドポイントにアクセスすることで Azure Files を利用します。

Azure Files を構築する

実際に構築してみて、本当にファイルサーバとして使えるのか検証してみます。なお、本コラムでは認証部分に焦点をあてたいため、ネットワークについてはインターネット経由でのアクセスとします。全体の流れとしては、以下の通りです。Azure Files をオンプレファイルサーバーのように使うには、以下の設定を行います。

1. ストレージアカウントを作成し、ストレージアカウントに Azure Files (ファイル共有) を作成する。
2. Hybrid ID 環境を用意する。
3. Azure PowerShell を使って、ストレージアカウントをオンプレ AD DS に登録する。
4. Azure AD ユーザに Azure ロールを割り当て、Azure Files へのアクセス権限を与える。
5. 管理者レベルの Azure ロールを持つユーザにて、Windows ACL の設定を行う。

1 ~ 4 までの具体的な手順は、ストレージアカウントサービスの紹介コラム Azure ストレージが提供する4つのサービスを紹介 (Azure Files) で解説していますので、そちらを御覧ください。

次の章では 5、つまり、ファイルサーバとして実際に利用するための Windows ACL 設定の方法を説明します。

ファイルのアクセス権限を設定する

Azure AD ユーザには、Azure ロールにてファイル共有へのアクセス制御が行われています。一方で、オンプレ AD DS ユーザには、オンプレファイルサーバと同様に Windows ACL の設定を行うことでファイルレベルのアクセス制御を行えます。Azure AD ユーザとオンプレ AD DS ユーザは同一ですから、2種類のアクセス制御が存在するわけですが、以下の方針で運用することをオススメします。Azure ロールで大まかな制御をし、Windows ACL でファイルレベルの細かな制御をするイメージです。

1. 管理者には Windows ACL を調整する Azure ロールを、一般ユーザには Azure Files にアクセスする Azure ロールを与える。
2. 管理者ユーザにて、適当なサーバに Azure Files をマウントし、Windows ACL の調整を行う。

今回は “rworks-admin” が管理者、”testuser01″ が一般ユーザとして、テストしてみましょう。対象のストレージアカウントを開き、[アクセス制御 (IAM)] から Azure ロールを割り当てます。

次に、管理者ユーザにて Windows ACL の設定を行います。管理者ユーザは、AD 認証ではなく、ストレージキーを使って Azure Files をマウントします。Azure Files の画面を開き、[接続] をクリックすると接続コマンドが表示されるので、コピーして適当なサーバ上で実行してください。

通常の Windows ファイルサーバと同じように Windows ACL の設定をします。”admin” というフォルダを作って、一般ユーザは閲覧できないようにしてしまいましょう。

一般ユーザでのアクセス確認をしてみます。一般ユーザはアクセスキーではなく、AD DS 認証でアクセスします。通常の Windows ファイルサーバにアクセスするときと同様、ファイルエクスプローラーに “\\{ストレージアカウント名}/{ファイル共有名}” 形式で入力します。

“admin” フォルダにアクセスできないことを確認できました。

Azure Backup を使ってバックアップ・リストアを行う

最後に、実際の運用シーンでよく行われるであろうファイル単位のバックアップ、リストアについて簡単に紹介します。Azure では Azure Backup というサービスによって様々なサービスのバックアップを一元管理することができ、Azure Files もその対象となっています。ポータル上からバックアップポリシーを作成することで、簡単に定期バックアップが実行できます。

詳しい手順は省きますが、Recovery Service コンテナ の画面から Azure Backup の設定を行うと、以下のように表示されます。最短で日次バックアップ、さらに任意のタイミングで手動バックアップが可能です。

リストアするのに特別なツールなどは必要ありません。共有フォルダ上でリストアしたいフォルダ・ファイルを右クリックし、[プロパティ] を開いてください。以下のように、過去のバージョンが一覧表示されます。[Open] をクリックすればリストア前にファイル一覧を確認できます。[Restore] をクリックすると過去のバージョンに置き換わります。

まとめ

Hybrid ID 環境の応用例として、Azure Files との連携を紹介しました。実は、Azure Files が AD DS 認証に対応したのは 2020 年 6 月と比較的最近です。このアップデートにより、今後ますますオンプレファイルサーバの置き換えとして Azure Files が浸透していくものと思われます。

Tag： Azure Files ハイブリッドID

• 

  条件付きアクセスでゼロトラストセキュリティを実現する

• 

  Hybrid ID 環境でシームレスシングルサインオンを実現する