LoginSignup
2
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@chelsce(Chelsce Zhang)

Azure NetApp FilesのCMK on CRR検証

Last updated at Posted at 2023-07-22

今回はAzure NetApp Filesの二つ機能を同時に使用した検証です。
機能1:Cross Region Replication(CRR)クロスリージョン間のレプリケーション
機能2:Customer Managed Key(CMK)いわゆるBYOKユーザー独自のキー

検証環境のイメージ図:
image.png

構築環境でメインに利用されているAzureのサービス:
・Virtual Network
・Azure NetApp Files
・Azure Key Vault
一部Azure上の基本的なものは本記事に割愛させて頂きます。

早速ですが、構築に着手しましょう!
段取り:
1、東日本で仮想ネットワークと二つのサブネットを作成、ANFへ専用サブネットの委任
2、ANFアカウントの作成、今回は利用用途はファイルサーバー利用の想定シナリオで(SMBプロトコルでボリュームの作成予定ーーー>その為ANFアカウントからAD(ADDS)参加が必要、この部分は別の記事で紹介あり、本記事で割愛致します)
3、Azure Key VaultでKeyとシークレットを作成、ネットワークのプライベートエンドポイントを作成
4、User-assignedロール持つユーザーの作成(権限付与)
5、ANFアカウントでCMKを設定
※CMK機能は事前登録(申請)が必要のため、1週間前後申請が降ります
6、SMBプロトコルのボリュームを作成、作成項目内にCMK機能を選択する

ここから西日本でもステップ5まで同じ構築を行います。
7、西日本ANFアカウントでレプリケーション為のSMBプロトコルのボリュームを作成
8、東日本のソース側ボリュームでレプリケーションの承認

具体的な環境構築及び参照のスクリーンショット:
1、キーコンテナのプライベートエンドポイントはANFと同じ仮想ネットワーク内の異なるサブネットに配置する為、事前計画して、サブネットの作成が必要です。
cmksubnetはキーコンテナのプライベートエンドポイントを配置する予定です
image.png
2、ADDS参加済のANFアカウントです
image.png
3、キーコンテナにおいて下記事項が要注意です:
①「Soft-delete」、「Purge protection」を有効にする
②キーコンテナでシークレットが90日の有効期限があり、自動更新されない為、モニター機能のアラートと合わせて更新管理を推奨する
image.png
③プライベートエンドポイントの設定はANFボリューム委任されたサブネットとは同一仮想ネットワーク内の別のサブネットでの設定
image.png

4、User-assignedロール持つユーザーの作成:
このユーザーには3つアクセス許可が必須、
Microsoft.KeyVault/vaults/keys/read
Microsoft.KeyVault/vaults/keys/encrypt/action
Microsoft.KeyVault/vaults/keys/decrypt/action
基本的に「Least Privilege」最小特権での付与をお願い致します
image.png
(私の環境ではKey Vault Administratorを付与しました)
image.png

5、ANFアカウントでCMK機能の設定:
設定時の画面(本記事書くタイミングで東日本ANFアカウントが既に設定を完了しまちゃったので、西日本アカウントの画面をお借りしてます、大目に見てくださいませ)
image.png
設定後の画面
image.png

6、SMBプロトコルのボリュームを作成:「暗号化キーのソース」には「カスタマーマネージドキー」を選択
image.png

今回のDRデザイン:
東日本:ソース側
西日本:宛先側

西日本で上記と1から5まで同じ手順で行います。
7、西日本のDR転送先(宛先側)になる為、SMBプロトコルのボリュームは[データのレプリケーション追加」からの作成
image.png

注意点:
①「基本」のタブ同じく「暗号化キーのソース」で「カスタマーマネージドキー」を選択
②「レプリケーション」タブではソース側のボリュームID情報が必要

image.png
ソース側のボリュームID情報の確認方法:
東日本ANFアカウントのボリューム⇒設定の「プロパティ」⇒リソースIDのクリップボードを活用してコピー
image.png

8、東日本ソース側のボリュームでレプリケーションの承認を行う
①下記の画面のようにメニューバーの「レプリケーション」⇒「承認」をクリックする
image.png

②承認で求められているボリュームIDは対向側のもの(Destination volume id)ですから、つまり西日本リージョンで作成したボリュームになります、ボリュームのリソースID確認方法は先と同じです。
image.png

上記全部実行してから、東日本リージョンと西日本リージョンのボリュームのそれぞれのメニューバーから「レプリケーション」をクリックし、画面を更新頂くとレプリケーションの関連情報は確認出来ます。
私の検証環境のDR宛先側:西日本リージョンのボリュームはこんな感じです:
image.png

DRソース側:東日本リージョンのボリュームは今回感じです:
image.png

後書き:
わざとAzure上の画面を「日本語」と「英語」表示し、スクリーンショットを混じって載せました
楽しんでいただけましたでしょうか?

2
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?