概要
この記事では、オンプレミス及びクラウド上のサーバーのファイルデータを、
Azureファイル共有と同期する**"Azure File Sync"を主軸として記載しています。
(Azureファイル共有はAzureのストレージサービスです。)
Azure File Syncは"オンプレミス上のデータをクラウド上に移行したい"、
"クラウドに同期して冗長化したい"、など昨今ニーズが増えているサービスです。
しかし、データ同期をインターネット経由で行うことはセキュリティ面に懸念がある…**
という方もいるのではないでしょうか。
そこで、プライベートエンドポイントを活用してセキュアに同期ができる
検証環境の構築手順をご案内します。
プライベートエンドポイントとは、グローバルネットワークを経由することなく
プライベートネットワークでAzureリソースとの通信を可能にするサービスです。
Azure File Sync以外にもAzure SQL DatabaseやAzure Backupなど数多くのAzureリソースで設定できます。
今回はAzure仮想ネットワーク上のファイルサーバーを、
プライベートエンドポイント経由でファイル共有と同期させたいと思います。
検証環境で作成するリソースは下記となります。
・Azure 仮想ネットワーク(サブネット含む)
・Azure 仮想マシン(ファイルサーバー)
・NSG(ネットワークセキュリティグループ)
・ストレージアカウント(ファイル共有)
・Azure File Sync(=ストレージ同期サービス)
・プライベートエンドポイント(ファイル共有用)
・プライベートエンドポイント(Azure File Sync用)
※NSGはセキュリティ上作成していますが、本設定に必須のサービスではありません。
手順
下記順番で設定手順を紹介します。
1)ストレージアカウント作成
2)ファイル共有作成
3)Azure File Sync作成
4)同期グループ作成
5)プライベートエンドポイント作成
6)ネットワーク設定(ストレージアカウント)
7)ネットワーク設定(Azure File Sync)
8)エージェントのインストール
9)同期設定
※仮想ネットワーク、サブネット、各仮想マシン、NSGの作成手順は割愛します。
1)ストレージアカウント作成
Azureポータル(https://portal.azure.com) へサインインし、
ストレージアカウントの画面へ遷移します。
ストレージアカウント画面で、「+作成」をクリックします。
ストレージアカウント作成の「基本」画面で、設定値を入力します。入力後、
「次へ:詳細設定」をクリックします。
※ストレージアカウント名は、Azure全体で一意の名前である必要があります。
※パフォーマンスはStandardを選択しています。
Standardの場合はストレージアカウントに格納されるデータ容量分の課金となりますが、
Premiumを選択すると専有ストレージとして領域が確保されるため、
格納されたデータ容量とは関係なく確保される容量分の課金が固定で発生します。
「詳細設定」画面では、今回は規定値のままで問題ありませんが、
「大きいファイルの共有を有効にする」という設定にチェックを入れると
Azure Filesに格納できる容量が通常5TiBを100TiBに変更することができます。
「ネットワーク」画面では、ストレージアカウントへ接続を許可するネットワーク範囲を設定できます。
今回はプライベートエンドポイントによる接続に設定しますが、構築後に設定するためここでは既定値のままとします。
「データ保護」画面では、ストレージアカウント上のデータに関するリストアやバージョン管理の設定を行うことができます。
今回は必要ないため、既定値のままとします。「確認および作成」をクリックします。
検証(設定した値でストレージアカウントをデプロイできるかの確認)完了後、「作成」をクリックします。
デプロイ完了後、「リソースに移動」をクリックします。
2)ファイル共有作成
作成したストレージアカウントの設定画面で、メニュー一覧から「ファイル共有」を選択します。
ファイル共有の設定画面で、「+ファイル共有」をクリックします。
ファイル共有の作成画面が表示されるので、任意の名前を設定します。
レベルは既定値のままで問題ありません。設定後、「作成」をクリックします。
※ファイル共有名は、小文字の英字、数字、ハイフンの組み合わせで作成する必要があります。
※レベルは用途に応じて**「ホット」「クール」**を選択できます。
作成したファイル共有が表示されれば作成完了です。
3)Azure File Sync作成
Azure File Syncは、Marketplaceから作成する必要があります。
そのため、Azureポータルのホーム画面でMarketplaceを検索・選択します。
Marketplaceの画面で、検索バーに「Azure File Sync」と入力して検索します。
「Azure File Sync」が表示されたら、クリックします。
「Azure File Sync」の画面で、「作成」をクリックします。
Azure File Sync作成の「基本」画面で、設定値を入力し「次へ:ネットワーク」を選択します。
「ネットワーク」画面では、許可するアクセス元の設定ができます。
**”プライベートエンドポイントのみ”**を選択すると、この画面でプライベートエンドポイントを作成することができます。
今回はファイル共有のプライベートエンドポイントも作成するためここでは作成しません。
「確認および作成」をクリックします。
設定内容を確認し、「作成」をクリックします。
デプロイ完了後、「リソースに移動」をクリックします。
4)同期グループ作成
作成したAzure File Syncの設定画面で、「+同期グループ」をクリックします。
同期グループの作成画面で、任意の同期グループ名を入力します。
その後、「ストレージアカウントの選択」をクリックします。
ストレージアカウントの選択画面で、手順1)で作成したストレージアカウントを選択します。
同期グループの作成画面へ戻り、選択したストレージアカウントで作成したファイル共有をプルダウンから選択します。
ファイル共有を選択後、「作成」をクリックします。
同期グループの作成およびクラウドエンドポイント(ファイル共有)の設定が完了した旨の通知が表示されます。
※クラウドエンドポイントの作成で権限エラーが表示された場合、
ユーザーに対象となるストレージアカウントの所有者権限がないことが原因と考えられます。
対象のストレージアカウントの所有者権限を付与してください。
作成した同期グループを開くと、クラウドエンドポイントに選択したファイル共有が設定されていることが確認できます。
サーバーエンドポイントは同期するファイルサーバーを設定する箇所です。設定方法は後続手順で紹介します。
5)プライベートエンドポイント作成
いよいよ、プライベートエンドポイントを設定します。
Azureポータルのホーム画面でプライベートエンドポイントを検索・選択します。
Private Link センターのプライベートエンドポイント画面が表示されます。
「+追加」をクリックします。
プライベートエンドポイント作成の「Basics」画面で、設定値を入力します。
※この手順ではファイル共有用のプライベートエンドポイントを作成するため、
「pe-azurefiles」という名前にしています。
設定後、「Next:リソース」をクリックします。
「リソース」画面で、各設定値を選択します。選択後、「Next:構成」を選択します。
リソースの種類:Microsoft.Storage/storageAccounts
リソース:作成したストレージアカウント
対象サブリソース:file
「構成」画面では、対象の仮想ネットワーク、サブネットを選択します。
「プライベートDNSゾーンと統合する」は、「はい」を選択します。
※既存でDNSサーバーを使用する場合は、「いいえ」を選択します。(追加でDNSレコード設定が必要となります。)
選択後、「Next:Tags」をクリックし、そのまま「Review + Create」画面へ移動します。
「Create」をクリックします。
デプロイ完了後、「リソースに移動」をクリックします。
これでファイル共有用のプライベートエンドポイントの作成完了です。
同じ手順で、Azure File Sync用のプライベートエンドポイントを作成します。
対象リソースがAzure File Syncの場合、リソース画面の設定は下記となります。
リソースの種類:Microsoft.StorageSync/storageSyncServices
リソース:作成したAzure File Sync
対象サブリソース:Afs
「Create」をクリックします。
6)ネットワーク設定(ストレージアカウント)
ストレージアカウント(ファイル共有)へ接続するネットワーク設定を行います。
作成したストレージアカウントの設定画面で、メニュー一覧から「ネットワーク」を選択します。
ネットワーク画面の「ファイアウォールと仮想ネットワーク」タブで、
「許可するアクセス元」の設定を”すべてのネットワーク"から"選択されたネットワーク"へ変更します。
"選択されたネットワーク"へ変更すると、設定項目が追加で表示されます。
アクセスを許可する仮想ネットワークを選択するため、「+既存の仮想ネットワークを追加する」を選択します。
許可する仮想ネットワークの追加画面で、ファイルサーバー及びプライベートエンドポイントが構築されている
仮想ネットワークとサブネットを選択します。選択後、「有効化」をクリックします。
選択したサブネットに対する「サービスエンドポイントの状態」が有効となったら、「追加」をクリックします。
仮想ネットワークの追加後、「ファイアウォール」の設定項目の"クライアントIPアドレスの追加"にチェックを入れます。
ここでのクライアントIPアドレスは、操作している端末のグローバルIPアドレスを指します。
この設定を行わないと、操作している端末からファイル共有へのアクセスができなくなってしまいます。
(格納データへアクセスできない)
設定後、「保存」をクリックします。
「プライベートエンドポイント接続」タブを選択し、
作成したプライベートエンドポイントが設定されていることを確認しましょう。
7)ネットワーク設定(Azure File Sync)
Azure File Syncへの通信をプライベートエンドポイント経由に設定します。
作成したAzure File Syncの設定画面で、メニュー一覧から「ネットワーク」を選択します。
ネットワーク画面で、「許可するアクセス元」の設定を"すべてのネットワーク"から
**"プライベートエンドポイントのみ"**に変更します。変更後、「保存」をクリックします。
設定変更が正常に完了した旨のメッセージが表示されれば完了です。
8)エージェントのインストール
ファイルサーバーを同期するには、ファイルサーバーにAzure File Syncエージェントをインストールします。
※この手順はファイルサーバーに接続して実施しています。
まずはAzure File Syncのエージェントのインストーラーをダウンロードするために、
下記URLへアクセスし「Download」をクリックします。
https://www.microsoft.com/en-us/download/details.aspx?id=57159
インストーラーはファイルサーバーのOSに合わせてインストールする必要があります。
今回のファイルサーバーのOSはWindows Server 2019のため、”StorageSyncAgent_WS2019.msi"に
チェックを入れ「Next」をクリックします。
インストーラーをダウンロードフォルダに保存します。
ダウンロードしたインストーラーをダブルクリックで実行します。
エージェントのセットアップウィザードが立ち上がるので、「Next」をクリックして進めていきます。
※今回は全て既定値のまま設定します。
設定完了後、「Install」をクリックします。
インストール完了後、「Finish」をクリックします。
自動的にエージェントのアップデートに関する画面が表示されるので、「OK」をクリックします。
接続するAzure File Syncを選択するため、Azure環境へサインインを行います。
"I am Signing in as Cloud Solution Provider"をクリックすると、
テナントIDを入力する欄が表示されるので、Azure AD画面でテナントIDを確認し「Sign in」をクリックします。
認証画面が表示されるので、Azureアカウントのユーザー名とパスワードを入力しサインインします。
同期を行うAzure File Syncの選択画面が表示されるので、
下記3つの情報をプルダウンに表示される選択肢から選択します。
サブスクリプション:本環境(ストレージアカウント、Azure File Syncを作成した環境)のサブスクリプション
リソースグループ:Azure File Syncを作成したリソースグループ
Azure File Sync:対象のAzure File Sync
「Register」をクリックします。
正常に構成できた場合、下図のような表示になります。(緑色のチェックマークが2つ表示されます)
"Passed.You are all set."の末尾の「Report」をクリックすると、
Azure File Syncとのネットワーク接続確認の詳細が表示されます。
赤枠で囲んでいる箇所が、Azure File Syncへ接続するうえで必要となる接続先との通信結果です。
各通信がプライベートIPアドレス宛に通信していることが確認できます。
このプライベートIPアドレスはAzure File Sync用に設定したプライベートエンドポイントに紐づいているIPアドレスになります。
各プライベートエンドポイントに紐づくIPアドレスの確認は、
対象のプライベートエンドポイント設定画面にある「DNSの構成」で確認できます。
Azure File Syncとのネットワーク接続確認は、PowerShellでも実施できます。
下記コマンドを実行してください。
Import-Module 'C:\Program Files\Azure\StorageSyncAgent\StorageSync.Management.ServerCmdlets.dll' Test-StorageSyncNetworkConnectivity
※同期設定がすべて完了した後にネットワーク接続確認を行うと、
エージェントインストール直後から表示項目が増えて表示されます。
ストレージアカウントとの通信を含めすべてのネットワーク接続を確認する際は、
以降の「9)同期設定」手順完了後にコマンドで確認してください。
ファイルサーバーがAzure File Syncに接続できているかはAzureポータル上でも確認できます。
Azure File Syncの設定画面でメニュー一覧の「登録済みサーバー」を選択すると、
エージェントのインストールを完了したファイルサーバーが表示されます。
9)同期設定
いよいよ最後の設定です。登録したファイルサーバーとファイル共有の同期設定を行います。
Azure File Syncの設定画面で、作成した同期グループを選択します。
同期グループの設定画面で、上部にある「サーバーエンドポイントの追加」を選択します。
サーバーエンドポイントの追加画面が表示されます。ここで、登録済みサーバーと同期するフォルダパスを指定します。
指定後、「作成」を選択します。
※システムドライブは仕様上同期できません。
※今回クラウド階層化の設定は割愛しますが、Azure File Syncを使う上で非常に重要な機能です。
また別の記事で紹介できればと思います。
「作成」をクリックした後、サーバーエンドポイントの項目に
選択したファイルサーバーのレコードが追加されたことを確認します。
"プロビジョニング中"となっている箇所が緑色のチェックマークになれば設定完了です。
同期設定完了後、ファイルサーバー上のデータがAzureファイル共有へ同期されるか確認しましょう。
