マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

Azureのストレージ

ストレージの種類

Blob

  • エクサバイト単位の高いスケーラビリティを持つ
    非構造化データ用オブジェクト ストレージ
  • ブロック Blob と追加 Blob、ページ Blob の3種類がある。
  • エンドポイント:https://<storage-account>.blob.core.windows.net

Table

  • 大規模な半構造化データセットを使用できる NoSQL KVS(キー/値ストア)
  • エンドポイント:https://<storage-account>.table.core.windows.net

Queue

  • 大容量のクラウド サービス向けの永続Queue
  • エンドポイント:https://<storage-account>.queue.core.windows.net

File

  • SMBプロトコルを介してアクセスできる、管理されたファイル共有
  • エンドポイント:https://<storage-account>.file.core.windows.net

Disk

Azure Data Lake

  • Blobをベースに構築された、ビッグ データ分析専用の一連の機能
  • エンドポイント:https://<storage-account>.dfs.core.windows.net

ストレージ・アカウント

概要

  • Azure Storage データ オブジェクトの
    格納およびアクセスのための一意の名前空間を提供

オプション

汎用ストレージ・アカウント

  • GPv1アカウント(汎用v1)
    • アクセス層を選択する機能がなく、
      すべてがホット・ストレージ層扱いになる。
    • 冗長オプション:LRSZRSGRS
  • GPv2アカウント(汎用v2)
    • GPv1にホット/クール/アーカイブのアクセス層とストレージ・イベントなどを追加
    • 冗長オプション:LRSZRSGRSGZRSRA-GRSRA-GZRS
  • アクセス層
    #説明
    1ホット・アクセス層頻繁にアクセスされるような普通のデータ向け
    2クール・アクセス層30日以上更新されないデータ向け
    3アーカイブ・アクセス層180日以上更新されないデータ向け(Blob単体にのみ適用)。

BlockStorage? アカウント

  • 従来の BLOB 専用ストレージ アカウント。
  • サービス:Blob(ブロック BLOB と追加 BLOB のみ)
  • 冗長オプション:LRSZRSGRS

BlockBlobStorage? アカウント

  • Premium パフォーマンス特性を持つストレージ・アカウント。
  • サービス:Blob(ブロック BLOB と追加 BLOB のみ)
  • 冗長オプション:LRSZRS

FileStorage? アカウント

  • Premium パフォーマンス特性を持つストレージ・アカウント。
  • サービス:File
  • 冗長オプション:LRSZRS

タイプ

Standard / Premium

  • Standard
    • 磁気媒体(HDD)を使ってデータが保存される。
    • あらゆるタイプのデータに使用できる。
      • ストレージのパフォーマンス変動の影響を受けにくい。
      • 開発/テスト、アクセク頻度の少ないワークロード
  • Premium
    • ハイパフォーマンスのストレージ。
    • SSD を使ってデータが保存される。

ディスクの場合

推奨の組合せ

Standard GPv2

Premium ブロック BLOB

  • サービス:ブロック Blob のみ
  • 冗長オプション:LRSZRS

Premium ファイル共有

  • サービス:Fileのみ
  • 冗長オプション:LRSZRS

Premium ページ BLOB

  • サービス:ページ Blob のみ
  • 冗長オプション:LRS

その他のトピック

データ冗長オプション

各オプション環境下で、3多重化される。

LRS(ローカル冗長ストレージ)

  • 可用性セット(AS)、ラック分散
  • 1つのデータセンター上で3多重化される。

ZRS(ゾーン冗長ストレージ)

  • 可用性ゾーン(AZ)、DC分散
  • 複数のデータセンター上で3多重化される。

GRS(Geo冗長ストレージ)

  • ペアリージョン、地理分散
  • プライマリリージョンでローカル3多重化され、
  • セカンダリリージョンにレプリケーション。

GZRS(Geoゾーン冗長ストレージ)

  • ZRSGRS
  • プライマリリージョンで複数のデータセンター上で3多重化され、
  • セカンダリリージョンにレプリケーション。

RA-GRS(読み取りアクセスの Geo冗長ストレージ)

GRSで、複数のリージョンで同時にreadできるようにして速度あげる。

RA-GZRS

GZRSで、複数のリージョンで同時にreadできるようにして速度あげる。

ツール

Storage Explorer

GUI ベースのストレージデータ管理ツール

azcopy

コマンドラインベースのファイルコピーツール

認証・認可

RBAC

  • ログで追跡が出来るので本番用。
  • Azure Active Directoryでの認証が必要。
  • アプリケーションの場合は、Azure Managed IDを使用する。
  • その際、権限を絞り、意図しない権限付与に注意。
    • ストレージ・キー列挙のアクセス許可を持つ
      ロールが問題になるので、スコープの設定に注意する。
      • Storage Account Contributor
      • Storage Account Key Operator Service Role
      • DevTests? Labs User
      • Log Analytics Contributor
      • Virtual Machine Contributor

SASトークン

  • ログで追跡が出来ないので開発用。
  • One Driveの共有(URL)のような機能。
  • 特定のBlogやTableの決められた範囲へ期限内のアクセス許可を与える。
  • アクセス・ポリシー機能を併用しないと、Revokeできない。

ストレージ・キー

  • ログで追跡が出来ないので開発用。
  • ストレージ アカウントの共有キーとも言う。
  • ポータル上は「アクセス キー」と表示される。
  • 開発では便利だが、本番ではキーの管理が面倒。

セキュア化とロックダウン

作業内容の安全性の確認

  • 入力制御(インバウンド)
  • 経路解放
    以下の使い分け併用が可能。
  • IPアドレス制限
    ・ファイアウォール規則で送信元のIPアドレスを絞れる。
    ・ただし、多く場合、入力元のFirewallなどの併用が必要。
    ・Firewallを使用すると、監視には有効だが高額になる。
    ・入力元がAzureサービスの場合、
     ・例えばAzure Firewallでは、送信元IPアドレスの問題が発生する。
     ・この場合、Azure Service Endpointを使用する必要がある。
  • Azure Service Endpoint
    ・監視機能がない。
    ・通信の課金がない。
    ・入力元の仮想ネットワークを許可する。
  • Azure Private Link / Endpoint
    ・監視機能がない。
    ・通信に課金がある(大量データは注意)。
    ・入力元の制限ではなく、入力元へ引き込む。
  • 攻撃の検知
    • 診断設定からアクセス・ログの取得
    • ATP(Advanced Threat Protection)の利用
  • ハードニング(サーバ)
  • 機能無効化
  • パブリック・アクセス機能
    認証・認可が不要のアクセスが可能になる
    ・Blobコンテナ単位で設定が可能
    ・経路解放の設定と併用可能。
  • その他の機能
    ・静的 Web サイト機能 (既定値:無効)
    CORS(既定値:無効)
    ・CDN(既定値:無効)
    SASトークン(権限で制御)
    ・Search(既定値:設定なし)
    ・安全な転送が必要(既定値 : HTTPS を強制しない)
    例外的に、既定値から変更した方がセキュア
  • 高額請求抑止
    Premium ストレージの利用抑止
  • アンチマルウェア
    3rd party ソリューション
  • 透過的暗号化
    • 既定で SSE (Storage Service Encryption)が有効
    • 独自キーの持ち込みも可能だが、通常は不要
  • 出力制御(アウトバウンド)
    なし。

変更・保守、作業の一覧化

  • ストレージの主なメンテナンス作業と、必要な権限付与
    • Reader ロールは常時割り当てで OK。
    • Storage XX Data Contributor ロールは積極的に使う。
サービス作業者認証ツール作業経路
リスク		情報
リスク		コスト
リスク		権限付与
(組み込みロール)
Storageインフラ
運用担当者		AzADユーザ
アカウント		Azureポータルファイアウォールの設定を変更する× 侵入経路Storage Account Contributor
ジオ・フェイルオーバを行う
ストレージ・キーを再生成する× キー流出Storage Account Key Operator Service Role
アクセスログを確認するStorage Blob Data Reader
ATP からの通知を確認する(メールなどで通知されるため不要)
アプリ開発者AzADユーザ
アカウント		Storage Explorer, azcopyBlob コンテナを追加する(初期設定)× 情報漏洩Storage Blob Data Contributor
Blob ファイルを追加 / 変更 / 削除する
アプリケーションAzure Managed IDBlob データを読み書きする× 情報漏洩Storage Blob Data Contributor
Queue データを読み書きするStorage Queue Data Contrtibutor

IaC化

Azure PowerShell

下記を参照。

Azure CLI

  • ストレージ アカウント 
    >az storage account create ^
   --name <storageAccountsName> ^
   --resource-group <既存のresourceGroupName> ^
   --location <location> ^
   --sku Standard_LRS
  • ストレージ コンテナ
  • ロールの割り当て
    ストレージ BLOB データ共同作成者ロールを自分に割り当て 
    >az ad signed-in-user show --query objectId -o tsv | az role assignment create ^
 --role "Storage Blob Data Contributor" ^
 --assignee @- ^
 --scope "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.Storage/storageAccounts/<storageAccountsName>"
    ※ 標準入力を指定するには「@-」とする。
  • コンテナの作成
    auth-modeは、作成操作を何をもって承認するか?的な意味。 
    >az storage container create ^
--account-name <storageAccountsName> ^
--name <containerName> ^
--auth-mode login
  • IPアドレス制限
  • ルールの追加 
    >az storage account network-rule add ^
--resource-group <resourceGroupName> ^
--account-name <storageAccountsName> ^
--ip-address xxx.xxx.xxx.xxx
  • ルールの確認
  • CLI 
    az storage account network-rule list ^
--account-name <storageAccountsName>
  • ポータル
    ストレージ・アカウント → ネットワーク
    → 選択されたネットワーク → ファイアウォール欄
  • 動作確認
    Azure Storage ExplorerなどでIPアドレス制限を確認する。

※ データ・パープライン系は「West US 2」辺りが良いかも。

参考

  • Microsoft Docs
  • Azure Storage

参考

microsoft.com

Microsoft Azure

Microsoft Docs

Tags: :インフラストラクチャ, :クラウド, :ビッグデータ, :Azure
トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2021-08-31 (火) 11:58:37 (138d)