マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

Azureのストレージ

種類

BLOB

エクサバイト単位の高いスケーラビリティを持つ
非構造化データ用オブジェクト ストレージ

テーブル

大規模な半構造化データセットを使用できる NoSQL KVS(キー/値ストア)

キュー

大容量のクラウド サービス向けの永続キュー

ファイル

SMBプロトコルを介してアクセスできる、管理されたファイル共有

参考

ストレージ・アカウント

概要

  • Azure Storage データ オブジェクトの格納およびアクセスのための一意の名前空間を提供
  • 以下のオプションタイプを組合せて選択できる。

オプション

BLOB ストレージ・アカウント

ブロック BLOB と追加 BLOB の格納に特化したストレージ・アカウント

汎用ストレージ・アカウント

  • GPv2アカウント(汎用v2)
    GPv1に加え、クールストレージ、アーカイブストレージといったストレージ層を選択できる。

タイプ

Standard / Premium

  • Standard
    • あらゆるタイプのデータに使用できる。
    • 磁気媒体(HDD)を使ってデータが保存される。
    • ストレージのパフォーマンス変動の影響を受けにくい。
    • 開発/テスト、アクセク頻度の少ないワークロード
  • Premium
    • BLOB 向けのハイパフォーマンスのストレージ。
    • ディスク・ストレージ=VHD ファイル(ページBLOB)のみサポート
    • SSD を使ってデータが保存される。
    • Aシリーズでは選択不可能。
    • ローカル冗長レプリケーション(LRS)のみサポート

ディスクの場合

その他のトピック

データ冗長オプション

各オプション環境下で、3多重化される。

LRS(ローカル冗長ストレージ)

  • 可用性セット(AS)、ラック分散
  • 1つのデータセンター上で3多重化される。

ZRS(ゾーン冗長ストレージ)

  • 可用性ゾーン(AZ)、DC分散
  • 複数のデータセンター上で3多重化される。

GRS(Geo冗長ストレージ)

  • ペアリージョン、地理分散
  • 3多重化され、複数のリージョン間でレプリケーション。

GZRS(Geoゾーン冗長ストレージ)

  • 可用性ゾーン(AZ)、DC分散
    +ペアリージョン、地理分散
  • 複数のデータセンター上で3多重化され、
  • 複数のリージョン間でレプリケーション。

RA-GRS(読み取りアクセスの Geo冗長ストレージ)

GRSで、複数のリージョンで同時にreadできるようにして速度あげる。

ツール

Storage Explorer

GUI ベースのストレージデータ管理ツール

azcopy

コマンドラインベースのファイルコピーツール

認証・認可

RBAC

  • ログで追跡が出来るので本番用。
  • Azure Active Directoryでの認証が必要。
  • アプリケーションの場合は、Azure Managed IDを使用する。
  • その際、権限を絞り、意図しない権限付与に注意。
    • ストレージ・キー列挙のアクセス許可を持つ
      ロールが問題になるので、スコープの設定に注意する。
      • Storage Account Contributor
      • Storage Account Key Operator Service Role
      • DevTests? Labs User
      • Log Analytics Contributor
      • Virtual Machine Contributor

SASトークン

  • ログで追跡が出来ないので開発用。
  • One Driveの共有(URL)のような機能。
  • 特定のBlogやTableの決められた範囲へ期限内のアクセス許可を与える。
  • アクセス・ポリシー機能を併用しないと、Revokeできない。

ストレージ・キー

  • ログで追跡が出来ないので開発用。
  • 開発では便利だが、本番ではキーの管理が面倒。

セキュア化とロックダウン

作業内容の安全性の確認

  • 入力制御(インバウンド)
  • 経路解放
    以下の使い分け併用が可能。
  • IPアドレス制限
    ・ファイアウォール規則で送信元のIPアドレスを絞れる。
    ・ただし、多く場合、入力元のFirewallなどの併用が必要。
    ・Firewallを使用すると、監視には有効だが高額になる。
    ・入力元がAzureサービスの場合、
     ・例えばAzure Firewallでは、送信元IPアドレスの問題が発生する。
     ・この場合、Azure Service Endpointを使用する必要がある。
  • Azure Service Endpoint
    ・監視機能がない。
    ・通信の課金がない。
    ・入力元の仮想ネットワークを許可する。
  • Azure Private Link / Endpoint
    ・監視機能がない。
    ・通信に課金がある(大量データは注意)。
    ・入力元の制限ではなく、入力元へ引き込む。
  • 攻撃の検知
    • 診断設定からアクセス・ログの取得
    • ATP(Advanced Threat Protection)の利用
  • ハードニング(サーバ)
  • 機能無効化
  • パブリック・アクセス機能
    認証・認可が不要のアクセスが可能になる
    ・Blobコンテナ単位で設定が可能
    ・経路解放の設定と併用可能。
  • その他の機能
    ・静的 Web サイト機能 (既定値:無効)
    CORS(既定値:無効)
    ・CDN(既定値:無効)
    SASトークン(権限で制御)
    ・Search(既定値:設定なし)
    ・安全な転送が必要(既定値 : HTTPS を強制しない)
    例外的に、既定値から変更した方がセキュア
  • 高額請求抑止
    Premium ストレージの利用抑止
  • アンチマルウェア
    3rd party ソリューション
  • 透過的暗号化
    • 既定で SSE (Storage Service Encryption)が有効
    • 独自キーの持ち込みも可能だが、通常は不要
  • 出力制御(アウトバウンド)
    なし。

変更・保守、作業の一覧化

  • ストレージの主なメンテナンス作業と、必要な権限付与
    • Reader ロールは常時割り当てで OK。
    • Storage XX Data Contributor ロールは積極的に使う。
サービス作業者認証ツール作業経路
リスク
情報
リスク
コスト
リスク
権限付与
(組み込みロール)
Storageインフラ
運用担当者
AADユーザ
アカウント
Azureポータルファイアウォールの設定を変更する× 侵入経路Storage Account Contributor
ジオ・フェイルオーバを行う
ストレージ・キーを再生成する× キー流出Storage Account Key Operator Service Role
アクセスログを確認するStorage Blob Data Reader
ATP からの通知を確認する(メールなどで通知されるため不要)
アプリ開発者AADユーザ
アカウント
Storage Explorer, azcopyBlob コンテナを追加する(初期設定)× 情報漏洩Storage Blob Data Contributor
Blob ファイルを追加 / 変更 / 削除する
アプリケーションAzure Managed IDBlob データを読み書きする× 情報漏洩Storage Blob Data Contributor
Queue データを読み書きするStorage Queue Data Contrtibutor

ディスク

概要

  • 管理ディスク(非ストレージ)と非管理ディスク(BLOBストレージ)がある。
  • 必要なストレージの種類 (SSD or HDD) とディスクのサイズを指定できる。

ストレージ層

GPv1は、ストレージ層を選択する機能がなく、すべてがホットストレージ層扱いになる。

#説明
1ホットストレージ層頻繁にアクセスされるような普通のデータ向け
2クールストレージ層30日以上更新されないデータ向け
3アーカイブストレージ層180日以上更新されないデータ向け(Blob単体にのみ適用)。

参考

Microsoft Docs


Tags: :インフラストラクチャ, :クラウド, :Azure


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2021-05-08 (土) 12:04:13 (3d)