ファイルサーバーを Azure IaaS に移行する

日本マイクロソフト株式会社

エバンジェリスト

安納 順一

2014/04/14 第一版

http://technet.microsoft.com/ja-jp/windowsserver/jj649374

1. ファイルサーバー on IaaS 構築のポイント

• 仮想マシンの可用性

• ストレージの可用性

• アクセシビリティ

2. IaaS で失敗しないためのファイルサーバーの機能

• 運用性

• 性能

• 課金

• セキュリティ

ファイルサーバー on IaaS 構築のポイント

Net Use H: ¥¥ServerName¥ShareName /Persistent:Yes

IaaS のメリット

• スピーディな展開

• ストレージ拡張の容易性

• オンプレミスと同様のセキュリティ

• オンプレミスと同様のアクセシビリティ

留意点

• 可用性（仮想マシン、データディスク）

• ファイルアクセスのスピード（500 IOPS/Data Disk）

• ストレージの容量拡張

• アクセシビリティ

• 料金

• セキュリティ

Cloud Service

Public VIP = xxx.xxx.xxx.xxx

FQDN = <hostname>.cloudapp.net

VM VM

Private DIP = yyy.yyy.yyy.yyy

FQDN = <computername>.domain.com

Load Balancer

Azure 仮想ネットワーク

VPN GW

ファイルサーバー 本体

（仮想マシン）

データディスク

（ストレージ）

データセンター内

3か所に複製

課題

• 仮想マシンのダウン、メンテナンス → 仮想マシン

• データセンター全体に及ぶ障害 → 仮想マシン破損、データ破損

弱点

¥¥Serve

r1¥Share

Server1

既存の VHD をアップロード

既に使用中の VHD は記憶域プール化に組み込めないことに注意

新規の空 VHD

仮想マシンを途中でサイズ変更した場合、しばらくたたないと追加できない。

ファイルサーバー 本体

（仮想マシン）

データディスク

（ストレージ）

可用性セット

複数仮想マシンからの共有ディスクは作成できない

？

1台のサーバーダウン時、ユーザーが接続先を切り替える必要がある

¥¥Serve

r1¥Share Server1

Server2

¥¥Serve

r2¥Share

ファイルサーバー 本体

（仮想マシン）

データディスク

（ストレージ）

可用性セット

複製

¥¥D

om

ain

Nam

e¥d

fsns¥

dFS

Share

Server1

Server2

AD DS & DNS

• IP アドレス

DHCP のまま利用（IaaS 上では静的IPアドレスは使用できない）

一度リースされたアドレスは VM が廃棄されない限り永続される

• DNS

AD DS と同時に DNS もインストール

Virtual Network に当該 DNS を設定する

Windows Azure の内部 DNS は使用できない

• DISK

C: OS

D: テンポラリ

E:～

• 通信課金について

課金対象は Azure → オンプレミス 方向のみ

RODC（Read-Only Domain Controller）→ DC への通信は発生しない

自身で追加し、

キャッシュをオフ

既定のディスク

Active Directoryのデータベース用ディスクとして使用

1. 2台のサーバーを Active Directory ドメインに参加

2. 2台のサーバーに DFS をインストール

• DFS Namespace

• DFS Replication

3. 2台のサーバーに同じフォルダを作成し、共有設定をする

• （例）F:¥DFSSHARE（共有名 DFSShare）

4. 1台目でドメインベースの DFS ネームスペース を作成

• （例）dfsns

5. 2台目を DFS Namespace に追加

6. ネームスペース配下にフォルダーを作成し、2つのサーバーの共有フォルダを統合

記憶域プール

• データの増加に伴う動的な容量拡張• 5 種類の構成が可能

ストライプ 2 Wayミラー 3 Wayミラー パリティ デュアルパリティ（R2）

• ホットスペアによる自動修復• 複数ディスクセットによるアクセス負荷分散

記憶域スペースの構造

冗長構成冗長性の種類 説明

シンプル

データが複数の物理ディスクにまたがってストライプ化されます。こ

れにより、容量が最大限に利用され、スループットが向上します。

少なくとも1台の物理ディスクが必要。

ミラー

データが 2 つまたは 3 つの物理ディスクに複製されます。これにより、

信頼性が高まり、容量は 50 ～ 66% 減少します。

3Wayの場合少なくとも5つの物理ディスクが必要。

パリティ

データおよびパリティ情報が複数の物理ディスクにまたがってストラ

イプ化されます。これにより、信頼性が高まり、容量は 13 ～ 33% 減

少します。少なくとも3台の物理ディスクが必要。

デュアルパリティ

（2012R2）

2種類のパリティ情報を保存することで、2つの物理ディスクに障害が発生した

場合にも、パリティ情報と残りのストライプ情報から失われたストライプ情報

を復元することでデータを保護する。パリティ情報の演算はパフォーマンスの

向上を目的として、ストライプ情報を２つのグループに分けて演算するため、1

ストライプ列あたり、グループ毎に演算したパリティ情報（２つ）と全体で演

算したパリティ情報（1つ）の2種類、合計３つのパリティ情報が書き込まれる。

記憶域プールには最低7台の物理ディスクが必要。

100 GB

物理 物理 物理 物理

100 GB 100 GB 100 GB

20 20 20 20Simple 140 GB

20 202 Mirror 20 GB

Parity 120 GB

物理 物理 物理

100 GB 100 GB 100 GB

20 20 20

20 20 20 20 20 20 20

3 Mirror 20 GB 20 20 20 20 20

Dual Parity 80 GB 20 20 20 20 20 20 20

ス

Data

• ローカル冗長（LRS）

• 拠点内に 3 つの複製

• ジオ冗長（規定値）（GRS）

• 同一リージョン内の2 つの拠点間で複製し、データセンター内でも3複製

• アクセスできるのは1拠点

• 読み取りアクセス ジオ冗長（RA-GRS）

• 同一リージョンの2つの拠点間で複製し、拠点内でも3複製（6多重）

• 1つの拠点ではR/W、もう1つは R（読み取り負荷分散）

3Copies/東京

3Copies/東京

複製

3Copies/大阪

3Copies/東京

複製

数百

キロ

以上

Japan Region Japan Region

LRS GRS RA-GRS

3Copies/大阪

RWRW RW

R

• 同一リージョン内または異なるリージョンに全部で3つの複製を作成する

• GRS（ジオ冗長）より安価に提供

3Copies/大阪

3Copies/東京

複製

RW

数百

キロ

以上

Tools Online Backup

(Application サービスの継続性）

Backup

destination

Backup System

State

Backup

File/Folder

Windows Sever

Backup

Yes Inside OS Yes Yes

Windows Azure

Backup

Yes Blob Store No Yes

Blob コピー No Blob Store VHD 全体

※ただし記憶域プールを使用する

場合には使えない

• オンプレミスから

• Site-to-Site 仮想ネットワーク

VPN

Site to SiteVPN

VPNGateway

• インターネット上から

• Point-to-Site 仮想ネットワーク

Point to SiteVPN Gateway

VPN VPN VPN

最大250台

SMBSMB

社内データセンター

VPN

Site to SiteVPN

ブランチ

キャッシュ

VPNGateway

• 一度利用されたデータはオンプレミスにキャッシュされる

• 共有データが多い場合に有用

• レイテンシ

• 課金

社内データセンター

VPN

Site to SiteVPN

VPNGateway

VPNGateway

ブランチ

キャッシュ東京 大阪Point to Site

VPN Gateway

VPN VPN VPN

最大250台

SMB

VPN

Site to SiteVPN

VPNGateway

https

VIPを使用してアクセス

• 仮想マシン料金

• 後述

• ストレージ利用量

• 後述

• ストレージトランザクション

• ¥0.51 / 100,000 トランザクション

• データ転送（Outbound）

• 後述

• VPN 料金

• 接続時間あたり ¥5.10 (約 ¥3,795/月)

料金試算ツール

http://azure.microsoft.com/ja-jp/pricing/calculator/?scenario=full

コンピューティングインスタンス名

仮想コア

RAM 基本インスタンス 標準インスタンス 接続可能なディスク(時間あたりの料金) (時間あたりの料金)

XS (A0) 共有 768 MB ¥1.84(約 ¥1,366/月) ¥2.71(約 ¥2,012/月) 1

S (A1) 1 1.75 GB ¥9.69(約 ¥7,210/月) ¥10.82(約 ¥8,045/月) 2

M (A2) 2 3.5 GB ¥19.38(約 ¥14,419/月) ¥21.63(約 ¥16,089/月) 4

L (A3) 4 7 GB ¥38.76(約 ¥28,838/月) ¥43.25(約 ¥32,177/月) 8

XL (A4) 8 14 GB ¥77.52(約 ¥57,675/月) ¥86.50(約 ¥64,354/月) 16

A5 214 GB ー ¥47.94(約 ¥35,668/月) 4

A6 428 GB ー ¥95.88(約 ¥71,335/月) 8

A7 856 GB ー 191.76(約 ¥142,670/月) 16

SMBアクセスのみの場合 WorkFolderを使用する場合

基本インスタンスではロードバランス、オートスケール機能が使用できない

月を通した1日当たりの平均使用量に対して課金される

ストレージ容量 LRS GRS RA-GRS (5 月 1 日まで) RA-GRS (5 月 2 日から)

最初の 1 TB 1/月 ¥5.10 (GB あたり) ¥9.69 (GB あたり) ¥10.71 (GB あたり) ¥12.24 (GB あたり)

1 ～ 50 TB/月 ¥5.10 (GB あたり) ¥8.16 (GB あたり) ¥9.18 (GB あたり) ¥10.20 (GB あたり)

50 ～ 500 TB/月 ¥5.10 (GB あたり) ¥7.14 (GB あたり) ¥8.16 (GB あたり) ¥9.18 (GB あたり)

500 ～ 1000 TB/月 ¥5.10 (GB あたり) ¥6.63 (GB あたり) ¥7.65 (GB あたり) ¥8.16 (GB あたり)

1000 ～ 5000 TB/月 ¥4.59 (GB あたり) ¥6.12 (GB あたり) ¥7.14 (GB あたり) ¥7.65 (GB あたり)

5000 TB 超/月 お問い合わせ お問い合わせ お問い合わせ お問い合わせ

データセンターから「出て行く」データ量（月間）

送信データ転送 ゾーン 1* ゾーン 2*

最初の 5 GB/月 無料 無料

5 GB ～ 10 TB /月 ¥12.24 (GB あたり) ¥19.38 (GB あたり)

次の 40 TB/月 ¥9.18 (GB あたり) ¥15.30 (GB あたり)

次の 100 TB/月 ¥7.14 (GB あたり) ¥13.26 (GB あたり)

次の 350 TB/月 ¥5.10 (GB あたり) ¥12.24 (GB あたり)

500 TB 超/月 お問い合わせ お問い合わせ

•ゾーン 1: 米国西部、米国東部、米国中北部、米国中南部、西ヨーロッパ、北ヨーロッパ•ゾーン 2: アジア太平洋東部、アジア太平洋南東部、東日本、西日本

IaaS で失敗しないためのファイルサーバー機能

• 記憶域プール

• ファイルサーバーリソースマネージャー（FSRM）

• スクリーニング

• ファイル分類（FCI）

• クオーター

• ファイル管理タスク

• ディスククオーター

• 重複除去

• オフライン ファイル

• フォルダーリダイレクション

• 常時オフラインモード

• プライマリ コンピューターの設定

• ブランチキャッシュ

• Work Folder

• AD FS と Web Application Proxy

• RMS

柔軟な運用性

課金

性能

セキュリティ

• ファイル サーバー リソース マネージャ（FSRM）• 自動分類、スクリーニング

• Rights Management Service（RMS）• 暗号化、アクセス権限設定

• ダイナミック アクセス 制御（DAC）

File Server重要データ保管庫

重要

Data

FSRM

個人情報

重要

Data

参照期限

印刷禁止

コピペ禁止

保存禁止

暗号化

RMS

重要

Data

読み取り

暗号化

分類

機密

Data

スクリーニング

動画

Data

FSRM Protocol スクリーニング

分類属性の定義

ファイル管理タスク

ディレクトリ クオータ

記憶域レポート

Global Resource Property

拡張機能の登録

ファイル サーバーに保存されたデータを管理および分類できるようにするための機能セット

• ファイル分類インフラストラクチャ（FCI）

• ファイル管理タスク

• フォルダ単位のクォータの管理

• ファイル スクリーンの管理

• 記憶域レポート

• 使用可能容量の制限

• ハード制限（制限を超えることを許可しない）

• ソフト制限（制限を超えても利用可能、監視目的）

• 閾値（%）を超えた場合の対処

• 電子メールで通知（ユーザー、管理者）

• イベントログ（Application）に書き込み

• コマンドの実行

• レポートの生成とメール送信

クオーターの種類 使用する機能 備考

ユーザー単位 ディスククオーター 個人のファイル容量の制限

フォルダ単位 FSRM によるクオーター プロジェクトファイル容量の制限

ユーザー単位のクオーター

• ハード制限

• ソフト制限

閾値（%）を超えた場合の対処

• イベントログ（Application）に書き込み

イベント発生をメール通知するにはタスクスケジューラーと連携させる

• 指定した種類のファイルを監視する

• アクティブスクリーン（監視し、保存させない）

• パッシブスクリーン（監視のみ行う）

• 拡張子による監視

• オーディオとビデオのファイルのブロック

• 実行形式のファイルのブロック

• イメージ ファイルのブロック

• 電子メール ファイルのブロック

• 実行形式とシステムのファイルの監視

• その他、カスタムフィルター

• 監視イベント

• 電子メール送信

• イベントログ（Applicationログ Event 8215）

• コマンド実行

• レポート生成

さまざまな条件のファイルにプロパティを付加することができる

「ファイル管理タスク」と併用することで分類を自動化することができる

• 分類プロパティ

• 分類のためにファイルに付加する属性

• はい/いいえ

• 日付/時刻

• 数値

• 複数の選択肢リスト

• 順序指定された一覧

• 単一の選択値

• 文字列

• 複数の文字列

• 分類規則

• 分類プロパティを付加するための条件

「こんなプロパティがあったら分類しやすいな♡」と思われるプロパティを定義する

• ローカル属性• FSRM管理コンソール、または Windows PowerShell で管理

• グローバル属性• Active Directory のオブジェクトとして定義し、GPO を使用して Schema に反映

Update-FsrmClassificationPropertyDefinition コマンドレットで属性としてコミット

Fsrm protocol

• AD DS 側で属性リストを集中管理し、グループポリシーとして配布可能※FSRM 側は Windows Server 2012 または Windows 8

ファイルサーバー＋ ファイルサーバーリソースマネージャー（Windows Server 2012 or Windows 8）

AD DSFsrm protocol

分類したファイルに対する「アクション」と実行スケジュールを定義する

ユーザーがファイル共有にアクセスして”アクセス拒否”が発生した際に、速やかな問題解決を図るために以下の対応が可能。

• メッセージの送信 to システム管理者 to 共有フォルダーの所有者

• アクセス権取得の要求

グループポリシーおよびファイルサーバーリソースマネジャーで設定

チャンクストア

重複除去のアーキテクチャ

File

1

Metadata

ファイル名属性…

Data

A B C M N File

2

Metadata Data

A B C X Y

Deduplicate Filter

File

1

Metadata

A B C M N

File

2

MetadataX Y

重複除去のためのフィルターにより、ファイルはチャンクと呼ばれる単位（32～128kb）に分割され、SystemVolume Information Store 内のチャンクストアに圧縮されて格納される。異なるファイルの同一チャンクは除去されるため、容量を大幅に削減することができる。

リパースポイント

リパースポイント

ファイル名属性…

ファイル名属性…

ファイル名属性…

スパース

スパース

チャンク ストリーム

マッピング情報

チャンク ストリーム

マッピング情報

-- -- ・・・・・・・

容量の節約率

0% 20% 40% 60% 80% 100%

User Home Folder (MyDocs)

General File Share

Software Deployment Share

VHD Library

Savings %

Source: Sample File Server Production data (12 Servers, 7TB)

重複除去のパフォーマンスへの影響

• 最適化処理の性能: 最大 20-35MB/s（R2では 50MB/s） 1コアあたり 100GB/h（マルチコアを同時利用可能）

VHD copy (0.7-1.5x) VHD update (1.3x)No impact

• Read/Write Access:

重複除去の留意点

• クラスター共有ボリューム（CSV）（R2で制限解除）

未サポート

頻繁に変更が加えられるファイルは、最適化プロセスのキャンセルが頻繁に発生するため Deduplication に向いていない。

その他

向いてない• Hyper-V ホスト• VDI VHD（R2で制限解除）• WSUS• 動作中の SQL Server や Exchange Server• 1TBを超える（超えそうな）ファイル

向いてる• ユーザー用のファイルサーバー• 仮想マシンライブラリ• ソフトウェア展開用の共有• SQL Server や Exchange Server

のバックアップ用ボリューム

インストールしないと使えないので注意！

重複除去は「ボリューム」に対して行う

• GUI • コマンド Enable-DedupVolume

Expand-DedupFile

Get-DedupJob

Get-DedupMetadata

Get-DedupSchedule

Get-DedupStatus

Get-DedupVolume

Measure-DedupFileMetadata

New-DedupSchedule

Remove-DedupSchedule

Set-DedupSchedule

Set-DedupVolume

Start-DedupJob

Stop-DedupJob

Update-DedupStatus

• ファイルをオフライン化（キャッシュ）することで、IaaS 上のファイルサーバーからデータダウンロードの発生頻度を低減させる。

File Server

Start

オフ ンキャッシュ

ダウンロード通信を削減する

アップロードは気にしないユーザーはここを編集

機能 効果的な対象データ 対象デバス 設定方法

常時オフラインモード 個人データ、共有データ ドメイン参加 PC GPO

ブランチキャッシュ 共有データ ドメイン参加 PC GPO

Work Folders 個人データ ドメイン参加 PC

ドメイン非参加PCGPO個人

• Windows クライアント ：既定では有効

• Windows Server ：既定では無効

Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2

[コンピューターの構成] - [管理テンプレート] - [ネットワーク] - [ オフラインファイル]

固定値

未構成の場合、規定値は 120 分

分散キャッシュモード

Start Start

StartStart

File Server

最初のひとりがキャッシュ

ホストキャッシュモード

キャッシュ用ホスト上に

キャッシュ

Start Start

StartStart

File Server

多くのユーザーが共有するデータに有効

バージョンチェック等の通信は発生するが、ユーザー単位のファイル転送に比べれば軽微

詳細は別紙

「ファイルサーバーをクラウドに！File Server on Microsoft Azure 導入ガイド初級編」を参照してください。

Start File Server

• ドメイン外の個人デバイス

• 社外からの利用

• ファイル同期型、オフラインファイル対応、自動書き戻し

• 対応デバイス

• Windows 8.1 / Windows RT 8.1

• Windows 7（現在ベータ版、ドメイン参加PCのみ）

• iOS（予定、デバイス側の対応に依存）

https

データの種類

個人デバイス

データの場所個人データ

個人の業務

データ

チームの業務

データ

OneDrive Public cloud

OneDrive Pro SharePoint / Office 365

Work Folders 社内の File server

AD DS

Start

File Server

https://workfolders.contoso.com/

• ファイルサーバーを HTTPS で公開• ローカル デバイスに「自分のデータのみ」を同期• MDM システムとの連携で企業データのみをリモート ワイプ可能（留意点）インストールすると80/443を占有する

http

s

User01

User02

User03

HOME

これを公開

User01

同期

自分のIdと同一名のフォルダだけが同期される

Wo

rkFo

lder

%userprfile%¥work folder

http://support.microsoft.com/kb/2883200

Web

Ap

plica

tion

Pro

xy

AD DS

Start

File Server

https://workfolders.contoso.com/

http

s

User01

User02

User03

HOME

User01

Wo

rkFo

lder

AD FS

事前認証

• Web Application Proxy を経由し、AD FS で認証/認可が可能

• Workplace Joinと併用することで、デバイス認証も可能

http://technet.microsoft.com/ja-jp/windowsserver/jj649374