More Related Content
Similar to S04 企業内システムと Microsoft Azure の VPN 接続、ファイルサーバー連携
Similar to S04 企業内システムと Microsoft Azure の VPN 接続、ファイルサーバー連携 (20)
More from Microsoft Azure Japan
More from Microsoft Azure Japan (20)
S04 企業内システムと Microsoft Azure の VPN 接続、ファイルサーバー連携
- 3. 目次
• Azure 上のファイルサーバー実装
• Azure 上のファイルサーバーのパフォーマンスの向上
• Azure 上のファイルサーバーの安全性の向上
• Azure 上のファイルサーバーのバックアップ
• まとめ
• 用語説明
• 参考文献
3
- 5. Azure 上のファイルサーバー構成~メリット
• AD とセキュアに連携することによって社内と変わらないセキュアなファイルサーバーが手に入る。
• Windows Server の管理方法がそのまま使える。
• 従来のアクセス権がそのまま利用可能。
• ディスクを柔軟に足すことができる。
• データの堅牢性。(ストレージの3重化保存)
• DR 対策。(リージョン、サブリージョン間でレプリケーション)
5
VPN
Gateway
仮想ネットワーク
仮想マシン
(ファイルサーバー)
VPN
- 7. Site-to-Site の特徴※1
• Site-to-Site VPN (サイト間 VPN) : Azure に構成した仮想ネットワークと社内ネットワークを結ぶため
の VPN 接続。社内ネットワーク側では固定 IP アドレスを持つ VPN 機器 (ハードウエア) で接続する必要
がある。
• Site-to-Site VPN の接続元として、ソフトウエアの VPN 機能を利用して、Azure に VPN 接続できる。
※Windows Server 2012 RRAS (Routing and Remote Access Services : ルーティングとリモート アク
セス サービス) を利用して Azure に接続可能。
7
仮想ネットワーク
仮想マシン
(ファイルサーバー)
VPN
Gateway
ハードウェアVPN
またはWindows RRAS
- 8. Point-to-Site の特徴※1
• Point-to-Site VPN (ポイント対サイト VPN) : 1 台のオンプレミスのコンピュータと Azure
仮想ネットワークを接続するための VPN 接続。
※ SSTP を使用した個別デバイスからの接続が可能。
8
仮想ネットワーク
仮想マシン
(ファイルサーバー)
VPN
Gateway
ハードウェアVPN
またはWindows RRAS
- 9. Site-to-Site VPN の前提条件
① AD DS
社内ネットワーク側に Active Directory ドメインサービスを用意すること。
② VPN
Azure 仮想ネットワークとの接続のため、社内ネットワーク上に VPN 機器を用意し、サイト間接続を確立
させること。
③ VPN Gateway
Azure 仮想ネットワークを作成した後、サイト間 VPN を構成するために、仮想ネットワーク ゲートウェイ
を作成すること。
④ 仮想マシン (ファイルサーバー)
Azure 上にファイルサーバー仮想マシンを用意すること。
9
VPN
Gateway
仮想ネットワーク
仮想マシン
(ファイルサーバー)
VPN
- 11. 社内ネットワークの構成①
• オンプレミス側に Active Directory ドメイン コントローラー サー
ビスを構成する。
• 社内ネットワーク上に VPN 機器を用意し、Azure 仮想ネットワーク
と接続する。
11
VPN
Gateway
仮想ネットワーク
仮想マシン
(ファイルサーバー)
VPN
- 12. 社内ネットワークの構成例②
• Azure と接続するための VPN 機器の設定を行う。
※一般的な VPN 機器の必須要件の詳細は以下の URL 参照。
http://msdn.microsoft.com/library/azure/jj156075.aspx
※VPN 接続検証済み ルーター一覧は以下の URL 参照。
http://msdn.microsoft.com/ja-jp/windowsazure/dn132612.aspx
12
Internet
- 13. Azure 仮想ネットワークとは
• 社内ネットと Azure 仮想ネットを VPN で安全に繋ぐサービス。
• PC / サーバーと Azure 仮想ネットを VPN で安全に繋ぐサービス。
• Azure 仮想ネットワークを使用すると、Azure 内で仮想プライベート ネットワーク
(VPN) を作成し、内部設置型の IT インフラ ストラクチャと安全に接続することができ
る。
13
仮想ネットワーク
Site-to-Site VPN
オンプレミス
VPN
- 14. Azure 内仮想ネットワークの構成①
• Azure 仮想ネットワーク機能を使い、以下の指定を行う。
・Azure 仮想ネットワークの名前の指定
・アドレス空間とサブネットの指定
・DNS サーバー および VPN 接続の指定
14
VPN
Gateway
仮想ネットワーク
仮想マシン
(ファイルサーバー)
VPN
- 15. Azure 内仮想ネットワークの構成例②
• アドレス空間は、Azure 側で使用する領域を指定する。
• Azure 仮想ネットワーク名は任意。
• DNS サーバー名は省略可能。(Azure が名前解決)
15
仮想ネットワーク
の詳細
仮想ネットワーク名 tokyo-nw
場所 日本(東)
アドレス空間と
サブネット
アドレス空間 10.1.0.0/16
サブネット
tokyo-subnet1
10.1.1.0/24
DNSサーバー
およびVPN接続
DNSサーバー
AD01
10.1.1.4
ポイント対サイト接続 なし
サイト間VPNの構成 チェック
ローカルネットワーク 新しいローカルネッ
トワークを指定する
仮想マシン(ファイルサーバー)
- 16. Site-to-Site VPN ①
16
• 社内ネットと Azure 仮想ネットを VPN で安全に繋ぐサービス。
• オンプレミスに VPN 機器を設置して、Azure のサブネットと社内
ネットワークを VPN 接続
VPN
Gateway
仮想ネットワーク
仮想マシン
(ファイルサーバー)
VPN
- 17. Site-to-Site VPN 設定例②
• Azure 側のアドレス空間の設定:ゲートウェイサブネットを追加する。
ゲートウェイの [開始 IP]、[CIDR (アドレス数)] の指定
• サイト間接続:Azure に接続するローカルネットワークを定義する。
ローカルネットワークの名前、VPN デバイスのIPアドレス、アドレス空間の指定
サブネット名 アドレス範囲
tokyo-subnet1 10.1.1.4
名前 local-nw
VPNデバイスの
IPアドレス
固定グローバルアドレス
アドレス空間 192.168.1.0/24
17
- 18. Point-to-Site VPN①
• PC からのリモートアクセスのため、ポイント対ポイント VPN の構成。
・仮想ネットワークと動的ルーティング ゲートウェイの作成
・証明書の作成/アップロード/インストール
・VPN クライアント構成
仮想ネットワーク
仮想マシン
(ファイルサーバー)
VPN
Gateway
18
VPN
- 19. Point-to-Site VPN 設定例②
19
• ポイント対サイト接続:仮想ネットワークの外部の VPN クライアン
トに接続する場合。
・開始 IP、 CIDR (アドレス数) の指定
アドレス空間 アドレス空間 10.0.0.0/24
CIDR(アドレス数) /24(254)
DNSサーバー
およびVPN接続
DNSサーバー
AD01
10.1.1.4
ポイント対サイト接続 チェック
ローカルネットワーク local-nw
- 24. セキュリティ [共有フォルダー / NTFS アクセス権] 設定①
・仮想マシンを Active Directory に参加させる。
・Active Directory サーバーでユーザー、セキュリティグループを作成。
・Azure 上のファイルサーバーで共有フォルダー、NTFS アクセス権を設定。
24
VPN
Gateway
仮想ネットワーク
仮想マシン
(ファイルサーバー)
VPN
- 25. セキュリティ [共有フォルダー / NTFS アクセス権] 設定例②
・セキュリティグループやユーザーに対してアクセス権を付与する。
・共有アクセス権と NTFS アクセス権が競合した場合はより厳しい制限が適用される。
25
- 30. DAC と FCI
• ダイナミックアクセス制御 (DAC) 機能を利用してよりきめ細かなアクセス許可
を実現 (※詳細は本資料 31 ページを参照)
• File Classification Infrastructure (FCI) 機能を利用してコンテンツを自動分類
30
仮想ネットワーク
仮想マシン
(ファイルサーバー)
VPN
Gateway
VPN
・自動的にファイルを分類 ( FCI )
例)1 年以上アクセスがないファイル
はオンプレミス上のファイルサーバー
に移動させる。
- 32. File Classification Infrastructure (FCI) とは
• Windows Server 2008 R2 で追加された分類管理機能
・ファイル プロパティの定義
・プロパティに基づく自動分類
・タスクの自動処理
32
■FCI による、ファイルサーバー上に格納されている利
用頻度の低いファイルの自動処理例
1 年以上アクセスされていない①ファイルについて、
特定のフォルダ②に移動。
処理対象となるファイルのオーナーには処理を実行する
30 日前にメールによるアラームを送信③
- 33. DAC と FCI を実現するための前提条件※1
① ファイルサーバー (仮想マシン) : Windows Server 2012 以降、既存のフォル
ダーやファイルにアクセス制御 (ACL) を加え、ダイナミックアクセスコント
ロール機能を使えば、ファイルへのアクセスを動的に制御することが可能。
②ファイルサーバー : 社内ネットワーク側にファイルサーバーを用意。
仮想ネットワーク
仮想マシン
(ファイルサーバー)
VPN
Gateway
33
VPN
- 35. Azure 上のファイルサーバーのバックアップ
• Windows 仮想マシンの システム ディスクのバックアップと復元の
方法
ツール
オンライン
バックアップ
バックアップ先
システム状態の
バックアップ
ファイル/フォルダー
のバックアップ
Windows Server
Backup
○ OS内 ○ ○
Azure Backup ○ BLOB × ○
Copy Blob※1 × BLOB VHD 全体 VHD 全体
詳細については、別途スライド「Azure バックアップを利用したオンプレミス Windows Server のバックアップ」を参照すること。
※1 Microsoft Azure の Copy Blob API および Storage Client Library API (Copy Blob)
35
- 36. まとめ
• セキュアなファイルサーバーを Azure 上に構築するには Site-to-
Site VPN、Point-to-Site VPN と Active Directory を組み合わせる
• 遠地からファイルサーバーへの高速アクセスのためにブランチキャッ
シュ機能を利用する
• ファイルサーバーの安全性を高めるために、より細かいアクセス制御
が可能な DAC 機能や FCI を使用して自動的にデータの分類を行う
36
- 37. 用語説明
• AD DS
Active Directory ドメイン サービス (AD DS) は、ディレクトリ データを格納
し、ユーザーのログオン プロセス、認証、およびディレクトリ検索など、ユー
ザーとドメイン間の通信を管理。
• VPN
仮想プライベート ネットワーク (VPN) は、プライベート ネットワーク、または
インターネットなどのパブリック ネットワーク上で確立されるポイント ツー ポ
イント接続。
• VPN Gateway
VPN Gateway は Azure 仮想ネットワークのサブネットに作成され、オンプレ
ミスのネットワークとの VPN 接続を担う
37