「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
Azureのストレージ
種類 †
BLOB †
エクサバイト単位の高いスケーラビリティを持つ
非構造化データ用オブジェクト ストレージ
テーブル †
大規模な半構造化データセットを使用できる NoSQL KVS(キー/値ストア)
キュー †
大容量のクラウド サービス向けの永続キュー
ファイル †
SMBプロトコルを介してアクセスできる、管理されたファイル共有
その他 †
以下は厳密に言うと種類ではないが。
- 概要
- 管理ディスク(非ストレージ)と非管理ディスク(BLOBストレージ)がある。
- 必要なストレージの種類 (SSD or HDD) とディスクのサイズを指定できる。
ストレージ層 †
GPv1は、ストレージ層を選択する機能がなく、すべてがホットストレージ層扱いになる。
| # | 層 | 説明 |
| 1 | ホットストレージ層 | 頻繁にアクセスされるような普通のデータ向け |
| 2 | クールストレージ層 | 30日以上更新されないデータ向け |
| 3 | アーカイブストレージ層 | 180日以上更新されないデータ向け(Blob単体にのみ適用)。 |
ストレージ・アカウント †
概要 †
- Azure Storage データ オブジェクトの格納およびアクセスのための一意の名前空間を提供
- 以下のオプションとタイプを組合せて選択できる。
オプション †
BLOB ストレージ・アカウント †
ブロック BLOB と追加 BLOB の格納に特化したストレージ・アカウント
汎用ストレージ・アカウント †
- GPv2アカウント(汎用v2)
GPv1に加え、クールストレージ、アーカイブストレージといったストレージ層を選択できる。
タイプ †
Standard / Premium †
- Standard
- あらゆるタイプのデータに使用できる。
- 磁気媒体(HDD)を使ってデータが保存される。
- ストレージのパフォーマンス変動の影響を受けにくい。
- 開発/テスト、アクセク頻度の少ないワークロード
- Premium
- BLOB 向けのハイパフォーマンスのストレージ。
- ディスク・ストレージ=VHD ファイル(ページBLOB)のみサポート
- SSD を使ってデータが保存される。
- Aシリーズでは選択不可能。
- ローカル冗長レプリケーション(LRS)のみサポート
その他のトピック †
各オプション環境下で、3多重化される。
LRS(ローカル冗長ストレージ) †
- 可用性セット(AS)、ラック分散
- 1つのデータセンター上で3多重化される。
ZRS(ゾーン冗長ストレージ) †
- 可用性ゾーン(AZ)、DC分散
- 複数のデータセンター上で3多重化される。
GRS(Geo冗長ストレージ) †
- ペアリージョン、地理分散
- 3多重化され、複数のリージョン間でレプリケーション。
GZRS(Geoゾーン冗長ストレージ) †
- 可用性ゾーン(AZ)、DC分散
+ペアリージョン、地理分散
- 複数のデータセンター上で3多重化され、
- 複数のリージョン間でレプリケーション。
RA-GRS(読み取りアクセスの Geo冗長ストレージ) †
GRSで、複数のリージョンで同時にreadできるようにして速度あげる。
ツール †
Storage Explorer †
GUI ベースのストレージデータ管理ツール
azcopy †
コマンドラインベースのファイルコピーツール
認証・認可 †
- ログで追跡が出来るので本番用。
- Azure Active Directoryでの認証が必要。
- アプリケーションの場合は、Azure Managed IDを使用する。
- その際、権限を絞り、意図しない権限付与に注意。
- ストレージ・キー列挙のアクセス許可を持つ
ロールが問題になるので、スコープの設定に注意する。
- Storage Account Contributor
- Storage Account Key Operator Service Role
- DevTests? Labs User
- Log Analytics Contributor
- Virtual Machine Contributor
- その他
- Storage Blob Data Owner(SASトークン発行可能)
SASトークン †
- ログで追跡が出来ないので開発用。
- One Driveの共有(URL)のような機能。
- 特定のBlogやTableの決められた範囲へ期限内のアクセス許可を与える。
- アクセス・ポリシー機能を併用しないと、Revokeできない。
ストレージ・キー †
- ログで追跡が出来ないので開発用。
- 開発では便利だが、本番ではキーの管理が面倒。
セキュア化とロックダウン †
作業内容の安全性の確認 †
- 攻撃の検知
- 診断設定からアクセス・ログの取得
- ATP(Advanced Threat Protection)の利用
- パブリック・アクセス機能
・認証・認可が不要のアクセスが可能になる
・Blobコンテナ単位で設定が可能
・経路解放の設定と併用可能。
- その他の機能
・静的 Web サイト機能 (既定値:無効)
・CORS(既定値:無効)
・CDN(既定値:無効)
・SASトークン(権限で制御)
・Search(既定値:設定なし)
・安全な転送が必要(既定値 : HTTPS を強制しない)
例外的に、既定値から変更した方がセキュア
- 高額請求抑止
Premium ストレージの利用抑止
- アンチマルウェア
3rd party ソリューション
- 透過的暗号化
- 既定で SSE (Storage Service Encryption)が有効
- 独自キーの持ち込みも可能だが、通常は不要
変更・保守、作業の一覧化 †
- ストレージの主なメンテナンス作業と、必要な権限付与
- Reader ロールは常時割り当てで OK。
- Storage XX Data Contributor ロールは積極的に使う。
| サービス | 作業者 | 認証 | ツール | 作業 | 経路
リスク | 情報
リスク | コスト
リスク | 権限付与
(組み込みロール) |
| Storage | インフラ
運用担当者 | AADユーザ
アカウント | Azureポータル | ファイアウォールの設定を変更する | × 侵入経路 | | | Storage Account Contributor |
| ジオ・フェイルオーバを行う | | | |
| ストレージ・キーを再生成する | | × キー流出 | | Storage Account Key Operator Service Role |
| アクセスログを確認する | | | | Storage Blob Data Reader |
| ATP からの通知を確認する | | | | (メールなどで通知されるため不要) |
| アプリ開発者 | AADユーザ
アカウント | Storage Explorer, azcopy | Blob コンテナを追加する(初期設定) | | × 情報漏洩 | | Storage Blob Data Contributor |
| Blob ファイルを追加 / 変更 / 削除する | | |
| アプリケーション | Azure Managed ID | - | Blob データを読み書きする | | × 情報漏洩 | | Storage Blob Data Contributor |
| Queue データを読み書きする | | | Storage Queue Data Contrtibutor |
参考 †
Microsoft Docs †
Tags: :インフラストラクチャ, :クラウド, :Azure
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
