はじめに
Azure Data Lake Storage Gen 2(以下、ADLS) と OneLake は互換性がありますが、どういった差異があるのかリンク集的に
確認してみました。
それぞれのサービス概要
-
OneLake
-
OneLake は、組織全体で 1 つに統合された論理データ レイクです。 データ レイクは、さまざまなソースからの大量のデータを処理します。 OneDrive と同様、OneLake はすべての Microsoft Fabric テナントに付属し、すべての分析データの単一の場所になるように設計されています。
- https://learn.microsoft.com/ja-jp/fabric/onelake/onelake-overview
-
-
ADLS Gen2
-
Azure Data Lake Storage は、Azure Blob Storage を基にして構築された、ビッグ データ分析専用の一連の機能です
Azure Data Lake Storage は、Azure Data Lake Storage Gen1 と Azure Blob Storage の機能を集約したものです。 たとえば、Data Lake Storage では、ファイル システムのセマンティクス、ファイル レベルのセキュリティ、スケーリングが提供されます。 これらの機能は BLOB ストレージに基づいて構築されているため、高可用性およびディザスター リカバリー機能を備えた低コストの階層型ストレージも利用できます。 - https://learn.microsoft.com/ja-jp/azure/storage/blobs/data-lake-storage-introduction
-
基本機能による比較
保存可能なデータ
-
OneLake : 構造化データと非構造化データの両方をサポートします。
- 構造化データは Delta Parquet が採用されています。
- https://learn.microsoft.com/ja-jp/fabric/onelake/onelake-overview#open-at-every-level
- ADLS Gen2 : 同様に、構造化データと非構造化データをサポートします。
データ容量
- OneLake : 記載なし(Blobあたりのサイズは ADLS Gen 2 と同様と考えるのが妥当
-
ADLS Gen2 :
- ストレージアカウントあたり 既定で5PiB (※引き上げ可能。また、複数のストレージアカウントを作成することで実質無制限
- Blob あたり 50,000 x 4,000 MiB (約 190.7 TiB)
接続エンドポイント
- OneLake : https: //onelake.dfs.fabric.microsoft.com/ワークスペースコンテナ名(GUID)/...
- ADLS Gen2 : https: //アカウント名.dfs.core.windows.net/コンテナ名/…
セキュリティ、コンプライアンス観点による比較
冗長性
- OneLake : 基本はZRS。BCDRを有効化した場合にのみRA-GZRS化
- ADLS Gen2 : 様々な冗長化形式をサポート
データ復旧
- OneLake : 7日間の論理的な削除が既定で有効
- ADLS Gen2 : 1 日から 365 日の間で論理削除を設定可能
認証方式
-
OneLake :Entra ID 認証が大原則
- EntraID(既定)
- OneLake SAS(テナント設定が必要。最大1時間の有効期間)
-
ADLS Gen2 : 様々な方式が可能
- アカウントキー
- SASトークン
- Entra ID
認可
-
OneLake : 読み取りは詳細に可能。書き込みはワークスペース単位
- 書き込み権限:ワークスペースロールに準拠
- https://learn.microsoft.com/ja-jp/fabric/onelake/security/get-started-security
- ※ウェアハウスのデータはウェアハウスのアクセス制御により詳細に制御可能。
- 読み取り権限:OneLake データアクセスロール(Preview)によりフォルダレベルで制御可能
- 書き込み権限:ワークスペースロールに準拠
- ADLS Gen2 : ACL、RBAC、ABACによる詳細なアクセス制御
監査ログ
- OneLake : 既定で Purview 監査ログ上に記録(ただし、対象ファイル名などの詳細情報は現状で未提供の模様
- ADLS Gen2 : AzureMonitor の設定を有効化することで記録
Defender 対応
-
OneLake :記載なし
- Power BI データに関しては Defender for Cloud apps に記載あり
-
ADLS Gen2 : Defender for Storage を構成してマルウェア検出などが可能
- https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/defender-for-storage-introduction
ネットワークセキュリティ
-
OneLake :
- 受信アクセス:
- プライベートエンドポイントに対応
- IPファイアウォール設定は現時点でなしだが予定あり
- 送信アクセス: 記載なし
- 受信アクセス:
-
ADLS Gen2 :
- 受信アクセス
- https://learn.microsoft.com/ja-jp/azure/storage/common/storage-network-security?toc=%2Fazure%2Fstorage%2Fblobs%2Ftoc.json&bc=%2Fazure%2Fstorage%2Fblobs%2Fbreadcrumb%2Ftoc.json&tabs=azure-portal
- Vnet サービスエンドポイント
- プライベートエンドポイント
- IPファイアウォール
- 信頼されたリソースアクセス
- 送信アクセス
- 受信アクセス
※双方、Entra ID で認証をする際には条件付きアクセスによるネットワークアクセス制御が可能
暗号化
-
OneLake :
- https://learn.microsoft.com/ja-jp/fabric/onelake/security/fabric-onelake-security#encryption-and-networking
- 保存時
- 既定でMicrosoft 管理キーにより暗号化
- 転送時
- 常に TLS 暗号化
-
ADLS Gen2 :
- https://learn.microsoft.com/ja-jp/azure/storage/common/storage-service-encryption?toc=%2Fazure%2Fstorage%2Fblobs%2Ftoc.json&bc=%2Fazure%2Fstorage%2Fblobs%2Fbreadcrumb%2Ftoc.json
- 保存時
- 既定でMicrosoft 管理キーにより暗号化
- カスタママネージドキー対応可能
- インフラレベルの暗号化を追加した二重暗号化も構成可能
- 転送時
データの保管リージョン
- OneLake : Fabric容量を作成したリージョンに依存
- ADLS Gen2 : ストレージアカウントを作成したリージョンに依存
不変ストレージ
- OneLake : 構成不可
- ADLS Gen2 : 構成可能
コスト観点の比較
コスト計算方法
-
OneLake :
- 保管コスト:Fabric 容量のコストとは別に発生(スタンダード領域の場合、ZRS程度に相当
- トランザクションコスト:Fabric 容量の CUを消費することで課金。
-
ADLS Gen2 :
- https://azure.microsoft.com/ja-jp/pricing/details/storage/data-lake/?msockid=26e65972aa38684b2b8a4d9aab1a694e
- 保管コスト:アクセス層により変動
- トランザクションコスト:アクセス層により変動
アクセス層およびライフサイクル管理
-
OneLake :
- アクセス層なし
- ライフサイクル管理機能なし
-
ADLS Gen2 :
- アクセス層:ホット、クール、コールド、アーカイブ
- ライフサイクル管理機能を構成して、アクセス層の遷移設定と削除の自動化を構成可能