適用対象: ✔️ NFS ファイル共有
Azure Filesには、Azureファイル共有をマウントするための 2 つの業界標準のファイル システム プロトコル (Server Message Block (SMB) プロトコルと Network File System (NFS) プロトコルが用意されており、ワークロードに最適なプロトコルを選択できます。 ファイル共有Azure、SMB プロトコルと NFS プロトコルの両方を使用した個々のAzure ファイル共有へのアクセスはサポートされていませんが、同じ FileStorage ストレージ アカウント内に SMB ファイル共有と NFS ファイル共有を作成することはできます。 Azure Filesは、ストレージのニーズに合わせてスケールアップでき、数千のクライアントが同時にアクセスできるエンタープライズ レベルのファイル共有を提供します。
この記事では、NFS Azure ファイル共有について説明します。 SMB Azure ファイル共有の詳細については、「Azure Files の
重要
NFS Azure ファイル共有は、Windowsではサポートされていません。 運用環境で NFS Azure ファイル共有を使用する前に、既知の問題の一覧については、 NFS Azure ファイル共有を参照してください。 NFS アクセス制御リスト (ACL) はサポートされていません。
一般的なシナリオ
NFS ファイル共有は、多くの場合、次のシナリオで使用されます。
- Linux または POSIX ファイル システム API (POSIX 準拠が不要な場合でも) を使用して記述された基幹業務アプリケーションなどの、Linux/UNIX ベースのアプリケーション用のバッキング ストレージ。
- POSIX 準拠のファイル共有、大文字と小文字の区別、または Unix 形式のアクセス許可 (UID/GID) を必要とするワークロード。
- 新しいアプリケーションとサービスの開発 (特に、そのアプリケーションまたはサービスにランダム I/O と階層ストレージの要件がある場合)。
特徴
- POSIX に準拠した完全なファイル システム
- ハード リンクのサポート
- シンボリック リンクのサポート
- NFS Azure ファイル共有は現在、4.1 プロトコル仕様のほとんどの機能をサポートしています。 すべての種類の委任やコールバック、Kerberos 認証、ACL などの一部の機能はサポートされていません。
Note
既存のシンボリック リンクからのハード リンクの作成は、現在サポートされていません。
セキュリティとネットワーク
Azure Filesに格納されているすべてのデータは、Azure ストレージ サービス暗号化 (SSE) を使用して保存時に暗号化されます。 ストレージ サービスの暗号化は、Windows上の BitLocker と同様に機能します。データはファイル システム レベルの下で暗号化されます。 データはAzure ファイル共有のファイル システムの下で暗号化されるため、ディスクにエンコードされるため、Azure ファイル共有に対する読み取りまたは書き込みを行うために、クライアントの基になるキーにアクセスする必要はありません。 保存時の暗号化は、SMB と NFS の両方のプロトコルに適用されます。
転送中の暗号化では、NFSv4.1 ボリュームAzure Files、サーバーとクライアント間のセキュリティで保護された TLS 接続を有効にして、転送中のデータをインターセプトから保護することで、ネットワーク セキュリティを強化します。 Azure Filesでは、NFS アクセスに暗号化が必要かどうかを個別に制御するために、専用の Require Encryption in Transit for NFS 設定が提供されます。 Azure ポータルを使用して作成された新しいストレージ アカウントの場合、この設定は既定で有効になっています。 Azure PowerShell、Azure CLI、または FileREST API を使用して作成されたストレージ アカウントは、下位互換性を確保するために、この値を [選択されていません に設定します。 既存のストレージ アカウントの場合、プロトコルごとの設定を明示的に構成するまで、 セキュリティで保護された転送が必要な 設定は引き続き NFS 暗号化動作を管理します。
Azureは、MACSec を使用して、Azure データセンター間で転送されるすべてのデータに対して暗号化レイヤーを提供します。 これにより、Azureデータ センター間でデータが転送されるときに暗号化が存在します。
SMB プロトコルを使用するAzure Filesとは異なり、NFS プロトコルを使用するファイル共有では、ユーザー ベースの認証は提供されません。 NFS 共有の認証は、構成されているネットワーク セキュリティ規則に基づいています。 このため、NFS 共有に対してセキュリティで保護された接続のみが確立されるようにするには、ストレージ アカウントに対してプライベート エンドポイントまたはサービス エンドポイントのいずれかを設定する必要があります。
プライベート エンドポイント (プライベート リンクとも呼ばれます) は、仮想ネットワーク内のプライベートな静的 IP アドレスをストレージ アカウントに提供し、動的 IP アドレスの変化による接続の中断を防ぎます。 ストレージ アカウントへのトラフィックは、ピアリングされた仮想ネットワーク (他のリージョン内やオンプレミスのものを含みます) から外に出ることはありません。 標準のデータ処理料金が適用されます。
静的 IP アドレスが不要な場合は、仮想ネットワーク内のAzure Filesに対して サービス エンドポイントを有効にすることができます。 サービス エンドポイントは、特定のサブネットからのアクセスのみを許可するようにストレージ アカウントを構成します。 許可されるサブネットは、同じサブスクリプション内の仮想ネットワークまたは別のサブスクリプション (別のMicrosoft Entra テナントに属するものも含む) に属することができます。 サービス エンドポイントの使用に追加料金はかかりません。 ただし、ゾーンの停止などのまれなイベントによって、ストレージ アカウントの基になる IP アドレスが変更される可能性があることに注意してください。 データはファイル共有で引き続き使用できますが、クライアントに共有の再マウントが必要になります。
オンプレミスからも共有にアクセスする必要がある場合は、プライベート エンドポイントに加えて、VPN または ExpressRoute を設定する必要があります。 次のソースから送信されていない要求は拒否されます。
使用可能なネットワーク オプションの詳細については、「Azure Files ネットワークに関する考慮事項を参照してください。
Azure Storage機能のサポート
次の表に、NFS Azure ファイル共有の現在の機能サポートレベルを示します。
サポートは継続的に拡張されるため、この表に示されている項目の状態は時間の経過と共に変化する可能性があります。
| ストレージ機能 | NFS 共有でサポート |
|---|---|
| ファイル管理プレーン REST API | ✔️ |
| ファイル データ プレーン REST API | ✔️ |
| 保存時の暗号化 | ✔️ |
| 転送中の暗号化 | ✔️ |
| LRS または ZRS の冗長性の種類 | ✔️ |
| LRS から ZRS への変換 (プライベート エンドポイントのみ) | ✔️ |
| Azure DNS ゾーン エンドポイント (プレビュー) | ✔️ |
| プライベート エンドポイント | ✔️ |
| サブディレクトリのマウント | ✔️ |
| 特定のAzure仮想ネットワークへのネットワーク アクセスを許可する | ✔️ |
| 特定の IP アドレスへのネットワーク アクセスを許可 | ⛔ |
| SSD メディア層 | ✔️ |
| HDD メディア層 | ⛔ |
| POSIX アクセス許可 | ✔️ |
| ルート スカッシュ | ✔️ |
| Windowsと Linux クライアントから同じデータにアクセスする | ⛔ |
| ID ベースの認証 | ⛔ |
| Azure ファイル共有のソフト削除 | ✔️ |
| Azure File Sync | ⛔ |
| Azure ファイル共有のバックアップ | ⛔ |
| Azure ファイル共有スナップショット | ✔️ |
| GRS または GZRS の冗長性の種類 | ⛔ |
| AzCopy | ✔️ |
| Azure Storage Explorer | ✔️ |
| Azure ポータルの Azure Storage ブラウザー | ⛔ |
| 16 個を超えるグループをサポート | ⛔ |
リージョン別の提供状況
NFS Azure ファイル共有は、SSD ファイル共有をサポートするすべてのリージョンでサポートされます。 リージョン別Azure製品を参照してください。
パフォーマンス
NFS Azure ファイル共有は、ソリッド ステート ドライブ (SSD) にデータを格納する SSD ファイル共有でのみ提供されます。 プロビジョニングされた v2 モデルでは、プロビジョニングされた容量、IOPS、スループットを個別にカスタマイズできます。 詳細については、 プロビジョニングされた v2 モデル を参照してください。 プロビジョニングされた v1 モデルでは、NFS 共有の IOPS とスループットは、プロビジョニングされた容量に応じてスケーリングされます。 IOPS、IO バースト、スループットの数式については、 プロビジョニングされた v1 モデル を参照してください。 IO の平均待機時間は、小さな IO サイズの 1 桁の短い方のミリ秒ですが、メタデータの平均待機時間は 1 桁の長い方のミリ秒です。 untar などのメタデータの負荷の高い操作や、WordPress などのワークロードでは、開く操作と閉じる操作の数が多いため、待機時間が長くなる可能性があります。
Note
nconnect Linux マウント オプションを使用すると、NFS Azure ファイル共有のパフォーマンスを大規模に向上させることができます。 詳細については、「Improve NFS Azure ファイル共有のパフォーマンスを参照してください。
ワークロード
重要
運用環境で NFS Azure ファイル共有を使用する前に、既知の問題の一覧については、 NFS Azure ファイル共有を参照してください。
NFS は、SAP アプリケーション レイヤー、データベース バックアップ、データベース レプリケーション、メッセージング キュー、汎用ファイル サーバーのホーム ディレクトリ、アプリケーション ワークロードのコンテンツ リポジトリなどのワークロードで正常に動作することが検証されています。