s04 企業内システムと microsoft azure の vpn 接続、ファイルサーバー連携
TRANSCRIPT
1
更新履歴
• 以下の日付でドキュメントを更新、確認しています。
2
バージョン
1.00 2014/6/30 ・初版リリース
1.10 2014/9/30 ・2014年9月現在の情報に更新
1.20 2015/1/31 ・2015年1月現在の情報に更新
目次
• Azure 上のファイルサーバー実装
• Azure 上のファイルサーバーのパフォーマンスの向上
• Azure 上のファイルサーバーの安全性の向上
• Azure 上のファイルサーバーのバックアップ
• まとめ
• 用語説明
• 参考文献
3
4
Azure 上のファイルサーバー構成~メリット
• AD とセキュアに連携することによって社内と変わらないセキュアなファイルサーバーが手に入る。
• Windows Server の管理方法がそのまま使える。
• 従来のアクセス権がそのまま利用可能。
• ディスクを柔軟に足すことができる。
• データの堅牢性。(ストレージの3重化保存)
• DR 対策。(リージョン、サブリージョン間でレプリケーション)
5
VPN Gateway
仮想ネットワーク仮想マシン
(ファイルサーバー)VPN
ファイルサーバーへの社内外からのアクセス
仮想ネットワーク仮想マシン
(ファイルサーバー)
VPN Gateway
6
• 社内ユーザーは Site-to-Site VPN を通してファイルサーバーへ接続
• 社外ユーザーは Point-to-Site VPN を通してファイルサーバーへ接続
VPN
Site-to-Site の特徴※1
• Site-to-Site VPN (サイト間 VPN) : Azure に構成した仮想ネットワークと社内ネットワークを結ぶため
の VPN 接続。社内ネットワーク側では固定 IP アドレスを持つ VPN 機器 (ハードウエア) で接続する必要
がある。
• Site-to-Site VPN の接続元として、ソフトウエアの VPN 機能を利用して、Azure に VPN 接続できる。
※Windows Server 2012 RRAS (Routing and Remote Access Services : ルーティングとリモート アク
セス サービス) を利用して Azure に接続可能。
7
仮想ネットワーク仮想マシン
(ファイルサーバー)
VPN Gateway
ハードウェアVPN
またはWindows RRAS
Point-to-Site の特徴※1
• Point-to-Site VPN (ポイント対サイト VPN) : 1 台のオンプレミスのコンピュータと Azure
仮想ネットワークを接続するための VPN 接続。
※ SSTP を使用した個別デバイスからの接続が可能。
8
仮想ネットワーク仮想マシン
(ファイルサーバー)
VPN Gateway
ハードウェアVPN
またはWindows RRAS
Site-to-Site VPN の前提条件① AD DS
社内ネットワーク側に Active Directory ドメインサービスを用意すること。
② VPN
Azure 仮想ネットワークとの接続のため、社内ネットワーク上に VPN 機器を用意し、サイト間接続を確立させること。
③ VPN Gateway
Azure 仮想ネットワークを作成した後、サイト間 VPN を構成するために、仮想ネットワーク ゲートウェイを作成すること。
④ 仮想マシン (ファイルサーバー)
Azure 上にファイルサーバー仮想マシンを用意すること。
9
VPN Gateway
仮想ネットワーク仮想マシン
(ファイルサーバー)VPN
Point-to-Site VPN の前提条件
10
①社外ユーザーの接続側で用意するもの
社外ユーザーが Azure 上のファイルサーバーを利用するため、Windows 7 以降のクライアント端末を用意すること。
② Point-to-Site の接続側で用意するもの
Point-to-Site VPN : Azure に構成した仮想ネットワークと社内ネットワークを VPN 接続すること。
仮想ネットワーク仮想マシン
(ファイルサーバー)
VPN Gateway
社内ネットワークの構成①
• オンプレミス側に Active Directory ドメイン コントローラー サービスを構成する。
• 社内ネットワーク上に VPN 機器を用意し、Azure 仮想ネットワークと接続する。
11
VPN Gateway
仮想ネットワーク仮想マシン
(ファイルサーバー)VPN
社内ネットワークの構成例②• Azure と接続するための VPN 機器の設定を行う。
※一般的な VPN 機器の必須要件の詳細は以下の URL 参照。http://msdn.microsoft.com/library/azure/jj156075.aspx
※VPN 接続検証済み ルーター一覧は以下の URL 参照。http://msdn.microsoft.com/ja-jp/windowsazure/dn132612.aspx
12
Internet
Azure 仮想ネットワークとは
• 社内ネットと Azure 仮想ネットを VPN で安全に繋ぐサービス。
• PC / サーバーと Azure 仮想ネットを VPN で安全に繋ぐサービス。
• Azure 仮想ネットワークを使用すると、Azure 内で仮想プライベート ネットワーク(VPN) を作成し、内部設置型の IT インフラ ストラクチャと安全に接続することができる。
13
仮想ネットワーク
Site-to-Site VPN
オンプレミス
VPN
Azure 内仮想ネットワークの構成①
• Azure 仮想ネットワーク機能を使い、以下の指定を行う。
・Azure 仮想ネットワークの名前の指定
・アドレス空間とサブネットの指定
・DNS サーバー および VPN 接続の指定
14
VPN Gateway
仮想ネットワーク仮想マシン
(ファイルサーバー)VPN
Azure 内仮想ネットワークの構成例②
• アドレス空間は、Azure 側で使用する領域を指定する。
• Azure 仮想ネットワーク名は任意。
• DNS サーバー名は省略可能。(Azure が名前解決)
15
仮想ネットワークの詳細
仮想ネットワーク名 tokyo-nw
場所 日本(東)
アドレス空間とサブネット
アドレス空間 10.1.0.0/16
サブネットtokyo-subnet1
10.1.1.0/24
DNSサーバーおよびVPN接続
DNSサーバーAD01
10.1.1.4
ポイント対サイト接続 なし
サイト間VPNの構成 チェック
ローカルネットワーク 新しいローカルネットワークを指定する
仮想マシン(ファイルサーバー)
Site-to-Site VPN ①
16
• 社内ネットと Azure 仮想ネットを VPN で安全に繋ぐサービス。
• オンプレミスに VPN 機器を設置して、Azure のサブネットと社内ネットワークを VPN 接続
VPN Gateway
仮想ネットワーク仮想マシン
(ファイルサーバー)VPN
Site-to-Site VPN 設定例②• Azure 側のアドレス空間の設定:ゲートウェイサブネットを追加する。
ゲートウェイの [開始 IP]、[CIDR (アドレス数)] の指定
• サイト間接続:Azure に接続するローカルネットワークを定義する。
ローカルネットワークの名前、VPN デバイスのIPアドレス、アドレス空間の指定
サブネット名 アドレス範囲
tokyo-subnet1 10.1.1.4
名前 local-nw
VPNデバイスのIPアドレス
固定グローバルアドレス
アドレス空間 192.168.1.0/24
17
Point-to-Site VPN①• PC からのリモートアクセスのため、ポイント対ポイント VPN の構成。
・仮想ネットワークと動的ルーティング ゲートウェイの作成
・証明書の作成/アップロード/インストール
・VPN クライアント構成
仮想ネットワーク仮想マシン
(ファイルサーバー)
VPN Gateway
18
VPN
Point-to-Site VPN 設定例②
19
• ポイント対サイト接続:仮想ネットワークの外部の VPN クライアントに接続する場合。
・開始 IP、 CIDR (アドレス数) の指定
アドレス空間 アドレス空間 10.0.0.0/24
CIDR(アドレス数) /24(254)
DNSサーバーおよびVPN接続
DNSサーバーAD01
10.1.1.4
ポイント対サイト接続 チェック
ローカルネットワーク local-nw
クライアント端末①• ファイルサーバーへ接続クライアント OS 要件:
・Windows 7 以降
・クライアント証明書 (VPN ゲートウェイの証明書をインストール)
・SSTP 接続が行えること
20
仮想ネットワーク仮想マシン
(ファイルサーバー)
VPN Gateway
VPN
クライアント端末 設定例②• VPNクライアント設定:
・クライアント証明書のインストール
・クライアント VPN パッケージのダウンロード
• Azure 接続確認:
・ Azure管理ポータル上「クライアント」に接続数 “1” の表示
21
仮想マシン (ファイルサーバー) の構成①
・Azure 上に仮想マシンを作成する。
※Azure の仮想マシンは、あとから柔軟に追加可能である。
22
VPN Gateway
仮想ネットワーク仮想マシン
(ファイルサーバー)VPN
仮想マシン (ファイルサーバー) の構成例②
File Server VM
23
・注意点:D ドライブは Temporary Storage のため、ファイルサーバーのデータは追加ディスクに保存する。
セキュリティ [共有フォルダー / NTFS アクセス権] 設定①
・仮想マシンを Active Directory に参加させる。
・Active Directory サーバーでユーザー、セキュリティグループを作成。
・Azure 上のファイルサーバーで共有フォルダー、NTFS アクセス権を設定。
24
VPN Gateway
仮想ネットワーク仮想マシン
(ファイルサーバー)VPN
セキュリティ [共有フォルダー / NTFS アクセス権] 設定例②
・セキュリティグループやユーザーに対してアクセス権を付与する。
・共有アクセス権と NTFS アクセス権が競合した場合はより厳しい制限が適用される。
25
26
ブランチキャッシュによる遠隔地からアクセス
• ブランチキャッシュ機能 (Windows Server 2008 以降) を利用して
遠隔地からのファイルサーバーへのアクセスを高速化
27
仮想ネットワーク仮想マシン
(ファイルサーバー)
VPN Gateway
仮想マシン
(ファイルサーバー)
(ブランチキャッシュ機能オン)
VPN Gateway ブランチ
キャッシュ
VPN
ブランチキャッシュ機能とは
• アクセスしたファイルを拠点内のクライアントやサーバーにキャッシュ
• 動作モードは下記の 2 つから選択
-分散キャッシュ モード
-ホスト型キャッシュ モード (以下の図例参照)
28
一度アクセスしたファイルのキャッシュを拠点内で共有
クライアント接続の場合Windows 7 Enterprise 以上
29
DAC と FCI• ダイナミックアクセス制御 (DAC) 機能を利用してよりきめ細かなアクセス許可
を実現 (※詳細は本資料 31 ページを参照)
• File Classification Infrastructure (FCI) 機能を利用してコンテンツを自動分類
30
仮想ネットワーク仮想マシン
(ファイルサーバー)
VPN Gateway
VPN
・自動的にファイルを分類 ( FCI )
例)1 年以上アクセスがないファイルはオンプレミス上のファイルサーバーに移動させる。
ダイナミックアクセス制御 (DAC) とは
ダイナミックアクセス制御とは、ファイルへのアクセスをユーザー
やコンピューターの属性に応じて、動的にアクセス許可などを制御
する機能
31
■ダイナミック アクセス制御により、ユーザーの部署名や地名などによってファイルサーバーへのアクセスを制御することが可能
①クレームタイプ(要求の種類)の作成②リソースプロパティの作成、グローバルリソースプロ
パティリストにリソースプロパティを登録③集約型のアクセス規則、集約型のアクセスポリシーの
作成④集約型アクセスポリシーをグループポリシーを使用し
て展開⑤ファイルサーバーリソースにて集約型ポリシーの適用
とアクセス権の確認
File Classification Infrastructure (FCI) とは• Windows Server 2008 R2 で追加された分類管理機能
・ファイル プロパティの定義
・プロパティに基づく自動分類
・タスクの自動処理
32
■FCI による、ファイルサーバー上に格納されている利用頻度の低いファイルの自動処理例
1 年以上アクセスされていない①ファイルについて、特定のフォルダ②に移動。処理対象となるファイルのオーナーには処理を実行する30 日前にメールによるアラームを送信③
DAC と FCI を実現するための前提条件※1
① ファイルサーバー (仮想マシン) : Windows Server 2012 以降、既存のフォルダーやファイルにアクセス制御 (ACL) を加え、ダイナミックアクセスコントロール機能を使えば、ファイルへのアクセスを動的に制御することが可能。
②ファイルサーバー : 社内ネットワーク側にファイルサーバーを用意。
仮想ネットワーク仮想マシン
(ファイルサーバー)
VPN Gateway
33
VPN
34
Azure 上のファイルサーバーのバックアップ
• Windows 仮想マシンの システム ディスクのバックアップと復元の
方法
ツールオンラインバックアップ
バックアップ先システム状態のバックアップ
ファイル/フォルダーのバックアップ
Windows ServerBackup
○ OS内 ○ ○
Azure Backup ○ BLOB × ○
Copy Blob※1 × BLOB VHD 全体 VHD 全体
詳細については、別途スライド「Azure バックアップを利用したオンプレミス Windows Server のバックアップ」を参照すること。
※1 Microsoft Azure の Copy Blob API および Storage Client Library API (Copy Blob)
35
まとめ
• セキュアなファイルサーバーを Azure 上に構築するには Site-to-
Site VPN、Point-to-Site VPN と Active Directory を組み合わせる
• 遠地からファイルサーバーへの高速アクセスのためにブランチキャッ
シュ機能を利用する
• ファイルサーバーの安全性を高めるために、より細かいアクセス制御
が可能な DAC 機能や FCI を使用して自動的にデータの分類を行う
36
用語説明• AD DS
Active Directory ドメイン サービス (AD DS) は、ディレクトリ データを格納し、ユーザーのログオン プロセス、認証、およびディレクトリ検索など、ユーザーとドメイン間の通信を管理。
• VPN
仮想プライベート ネットワーク (VPN) は、プライベート ネットワーク、またはインターネットなどのパブリック ネットワーク上で確立されるポイント ツー ポイント接続。
• VPN Gateway
VPN Gateway は Azure 仮想ネットワークのサブネットに作成され、オンプレミスのネットワークとの VPN 接続を担う
37
参考文献・ダイナミックアクセス制御 (DAC) とは
http://technet.microsoft.com/ja-jp/library/hh831717.aspx
・File Classification Infrastructure (FCI) とは
http://blogs.technet.com/b/windowsserverjp/archive/2009/06/12/3253785.aspx
・Windows サーバーバックアップ
http://blogs.msdn.com/b/windowsazurej/archive/2013/08/05/azure-blog-how-to-backup-
and-restore-a-windows-system-disk-in-a-windows-azure-virtual-machine.aspx
・スライド「Azure バックアップを利用したオンプレミス Windows Server のバックアップ」
38
39