SlideShare a Scribd company logo

S04 企業内システムと Microsoft Azure の VPN 接続、ファイルサーバー連携

Microsoft Azure Japan, profile picture
Microsoft Azure Japan
1 of 39
Downloaded 280 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
1
更新履歴 • 以下の日付でドキュメントを更新、確認しています。 2 バージョン 1.00 2014/6/30 ・初版リリース 1.10 2014/9/30 ・2014年9月現在の情報に更新 1.20 2015/1/31 ・2015年1月現在の情報に更新
目次 • Azure 上のファイルサーバー実装 • Azure 上のファイルサーバーのパフォーマンスの向上 • Azure 上のファイルサーバーの安全性の向上 • Azure 上のファイルサーバーのバックアップ • まとめ • 用語説明 • 参考文献 3
4
Azure 上のファイルサーバー構成~メリット • AD とセキュアに連携することによって社内と変わらないセキュアなファイルサーバーが手に入る。 • Windows Server の管理方法がそのまま使える。 • 従来のアクセス権がそのまま利用可能。 • ディスクを柔軟に足すことができる。 • データの堅牢性。(ストレージの3重化保存) • DR 対策。(リージョン、サブリージョン間でレプリケーション) 5 VPN Gateway 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN
ファイルサーバーへの社内外からのアクセス 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN Gateway 6 • 社内ユーザーは Site-to-Site VPN を通してファイルサーバーへ接続 • 社外ユーザーは Point-to-Site VPN を通してファイルサーバーへ接続 VPN
Site-to-Site の特徴※1 • Site-to-Site VPN (サイト間 VPN) : Azure に構成した仮想ネットワークと社内ネットワークを結ぶため の VPN 接続。社内ネットワーク側では固定 IP アドレスを持つ VPN 機器 (ハードウエア) で接続する必要 がある。 • Site-to-Site VPN の接続元として、ソフトウエアの VPN 機能を利用して、Azure に VPN 接続できる。 ※Windows Server 2012 RRAS (Routing and Remote Access Services : ルーティングとリモート アク セス サービス) を利用して Azure に接続可能。 7 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN Gateway ハードウェアVPN またはWindows RRAS
Point-to-Site の特徴※1 • Point-to-Site VPN (ポイント対サイト VPN) : 1 台のオンプレミスのコンピュータと Azure 仮想ネットワークを接続するための VPN 接続。 ※ SSTP を使用した個別デバイスからの接続が可能。 8 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN Gateway ハードウェアVPN またはWindows RRAS
Site-to-Site VPN の前提条件 ① AD DS 社内ネットワーク側に Active Directory ドメインサービスを用意すること。 ② VPN Azure 仮想ネットワークとの接続のため、社内ネットワーク上に VPN 機器を用意し、サイト間接続を確立 させること。 ③ VPN Gateway Azure 仮想ネットワークを作成した後、サイト間 VPN を構成するために、仮想ネットワーク ゲートウェイ を作成すること。 ④ 仮想マシン (ファイルサーバー) Azure 上にファイルサーバー仮想マシンを用意すること。 9 VPN Gateway 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN
Point-to-Site VPN の前提条件 10 ①社外ユーザーの接続側で用意するもの 社外ユーザーが Azure 上のファイルサーバーを利用するため、Windows 7 以降のクライアント端末を用意すること。 ② Point-to-Site の接続側で用意するもの Point-to-Site VPN : Azure に構成した仮想ネットワークと社内ネット ワークを VPN 接続すること。 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN Gateway
社内ネットワークの構成① • オンプレミス側に Active Directory ドメイン コントローラー サー ビスを構成する。 • 社内ネットワーク上に VPN 機器を用意し、Azure 仮想ネットワーク と接続する。 11 VPN Gateway 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN
社内ネットワークの構成例② • Azure と接続するための VPN 機器の設定を行う。 ※一般的な VPN 機器の必須要件の詳細は以下の URL 参照。 http://msdn.microsoft.com/library/azure/jj156075.aspx ※VPN 接続検証済み ルーター一覧は以下の URL 参照。 http://msdn.microsoft.com/ja-jp/windowsazure/dn132612.aspx 12 Internet
Azure 仮想ネットワークとは • 社内ネットと Azure 仮想ネットを VPN で安全に繋ぐサービス。 • PC / サーバーと Azure 仮想ネットを VPN で安全に繋ぐサービス。 • Azure 仮想ネットワークを使用すると、Azure 内で仮想プライベート ネットワーク (VPN) を作成し、内部設置型の IT インフラ ストラクチャと安全に接続することができ る。 13 仮想ネットワーク Site-to-Site VPN オンプレミス VPN
Azure 内仮想ネットワークの構成① • Azure 仮想ネットワーク機能を使い、以下の指定を行う。 ・Azure 仮想ネットワークの名前の指定 ・アドレス空間とサブネットの指定 ・DNS サーバー および VPN 接続の指定 14 VPN Gateway 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN
Azure 内仮想ネットワークの構成例② • アドレス空間は、Azure 側で使用する領域を指定する。 • Azure 仮想ネットワーク名は任意。 • DNS サーバー名は省略可能。(Azure が名前解決) 15 仮想ネットワーク の詳細 仮想ネットワーク名 tokyo-nw 場所 日本(東) アドレス空間と サブネット アドレス空間 10.1.0.0/16 サブネット tokyo-subnet1 10.1.1.0/24 DNSサーバー およびVPN接続 DNSサーバー AD01 10.1.1.4 ポイント対サイト接続 なし サイト間VPNの構成 チェック ローカルネットワーク 新しいローカルネッ トワークを指定する 仮想マシン(ファイルサーバー)
Site-to-Site VPN ① 16 • 社内ネットと Azure 仮想ネットを VPN で安全に繋ぐサービス。 • オンプレミスに VPN 機器を設置して、Azure のサブネットと社内 ネットワークを VPN 接続 VPN Gateway 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN
Site-to-Site VPN 設定例② • Azure 側のアドレス空間の設定:ゲートウェイサブネットを追加する。 ゲートウェイの [開始 IP]、[CIDR (アドレス数)] の指定 • サイト間接続:Azure に接続するローカルネットワークを定義する。 ローカルネットワークの名前、VPN デバイスのIPアドレス、アドレス空間の指定 サブネット名 アドレス範囲 tokyo-subnet1 10.1.1.4 名前 local-nw VPNデバイスの IPアドレス 固定グローバルアドレス アドレス空間 192.168.1.0/24 17
Point-to-Site VPN① • PC からのリモートアクセスのため、ポイント対ポイント VPN の構成。 ・仮想ネットワークと動的ルーティング ゲートウェイの作成 ・証明書の作成/アップロード/インストール ・VPN クライアント構成 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN Gateway 18 VPN
Point-to-Site VPN 設定例② 19 • ポイント対サイト接続:仮想ネットワークの外部の VPN クライアン トに接続する場合。 ・開始 IP、 CIDR (アドレス数) の指定 アドレス空間 アドレス空間 10.0.0.0/24 CIDR(アドレス数) /24(254) DNSサーバー およびVPN接続 DNSサーバー AD01 10.1.1.4 ポイント対サイト接続 チェック ローカルネットワーク local-nw
クライアント端末① • ファイルサーバーへ接続クライアント OS 要件: ・Windows 7 以降 ・クライアント証明書 (VPN ゲートウェイの証明書をインストール) ・SSTP 接続が行えること 20 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN Gateway VPN
クライアント端末 設定例② • VPNクライアント設定: ・クライアント証明書のインストール ・クライアント VPN パッケージのダウンロード • Azure 接続確認: ・ Azure管理ポータル上「クライアント」に接続数 “1” の表示 21
仮想マシン (ファイルサーバー) の構成① ・Azure 上に仮想マシンを作成する。 ※Azure の仮想マシンは、あとから柔軟に追加可能である。 22 VPN Gateway 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN
仮想マシン (ファイルサーバー) の構成例② File Server VM 23 ・注意点:D ドライブは Temporary Storage のため、ファイルサー バーのデータは追加ディスクに保存する。
セキュリティ [共有フォルダー / NTFS アクセス権] 設定① ・仮想マシンを Active Directory に参加させる。 ・Active Directory サーバーでユーザー、セキュリティグループを作成。 ・Azure 上のファイルサーバーで共有フォルダー、NTFS アクセス権を設定。 24 VPN Gateway 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN
セキュリティ [共有フォルダー / NTFS アクセス権] 設定例② ・セキュリティグループやユーザーに対してアクセス権を付与する。 ・共有アクセス権と NTFS アクセス権が競合した場合はより厳しい制限が適用される。 25
26
ブランチキャッシュによる遠隔地からアクセス • ブランチキャッシュ機能 (Windows Server 2008 以降) を利用して 遠隔地からのファイルサーバーへのアクセスを高速化 27 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN Gateway 仮想マシン (ファイルサーバー) (ブランチキャッシュ機能 オン) VPN Gateway ブランチ キャッシュ VPN
ブランチキャッシュ機能とは • アクセスしたファイルを拠点内のクライアントやサーバーにキャッシュ • 動作モードは下記の 2 つから選択 -分散キャッシュ モード -ホスト型キャッシュ モード (以下の図例参照) 28 一度アクセスしたファイルの キャッシュを拠点内で共有 クライアント接続の場合 Windows 7 Enterprise 以上
29
DAC と FCI • ダイナミックアクセス制御 (DAC) 機能を利用してよりきめ細かなアクセス許可 を実現 (※詳細は本資料 31 ページを参照) • File Classification Infrastructure (FCI) 機能を利用してコンテンツを自動分類 30 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN Gateway VPN ・自動的にファイルを分類 ( FCI ) 例)1 年以上アクセスがないファイル はオンプレミス上のファイルサーバー に移動させる。
ダイナミックアクセス制御 (DAC) とは ダイナミックアクセス制御とは、ファイルへのアクセスをユーザー やコンピューターの属性に応じて、動的にアクセス許可などを制御 する機能 31 ■ダイナミック アクセス制御により、ユーザーの部署名 や地名などによってファイルサーバーへのアクセスを制 御することが可能 ①クレームタイプ(要求の種類)の作成 ②リソースプロパティの作成、グローバルリソースプロ パティリストにリソースプロパティを登録 ③集約型のアクセス規則、集約型のアクセスポリシーの 作成 ④集約型アクセスポリシーをグループポリシーを使用し て展開 ⑤ファイルサーバーリソースにて集約型ポリシーの適用 とアクセス権の確認
File Classification Infrastructure (FCI) とは • Windows Server 2008 R2 で追加された分類管理機能 ・ファイル プロパティの定義 ・プロパティに基づく自動分類 ・タスクの自動処理 32 ■FCI による、ファイルサーバー上に格納されている利 用頻度の低いファイルの自動処理例 1 年以上アクセスされていない①ファイルについて、 特定のフォルダ②に移動。 処理対象となるファイルのオーナーには処理を実行する 30 日前にメールによるアラームを送信③
DAC と FCI を実現するための前提条件※1 ① ファイルサーバー (仮想マシン) : Windows Server 2012 以降、既存のフォル ダーやファイルにアクセス制御 (ACL) を加え、ダイナミックアクセスコント ロール機能を使えば、ファイルへのアクセスを動的に制御することが可能。 ②ファイルサーバー : 社内ネットワーク側にファイルサーバーを用意。 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN Gateway 33 VPN
34
Azure 上のファイルサーバーのバックアップ • Windows 仮想マシンの システム ディスクのバックアップと復元の 方法 ツール オンライン バックアップ バックアップ先 システム状態の バックアップ ファイル/フォルダー のバックアップ Windows Server Backup ○ OS内 ○ ○ Azure Backup ○ BLOB × ○ Copy Blob※1 × BLOB VHD 全体 VHD 全体 詳細については、別途スライド「Azure バックアップを利用したオンプレミス Windows Server のバックアップ」を参照すること。 ※1 Microsoft Azure の Copy Blob API および Storage Client Library API (Copy Blob) 35
まとめ • セキュアなファイルサーバーを Azure 上に構築するには Site-to- Site VPN、Point-to-Site VPN と Active Directory を組み合わせる • 遠地からファイルサーバーへの高速アクセスのためにブランチキャッ シュ機能を利用する • ファイルサーバーの安全性を高めるために、より細かいアクセス制御 が可能な DAC 機能や FCI を使用して自動的にデータの分類を行う 36
用語説明 • AD DS Active Directory ドメイン サービス (AD DS) は、ディレクトリ データを格納 し、ユーザーのログオン プロセス、認証、およびディレクトリ検索など、ユー ザーとドメイン間の通信を管理。 • VPN 仮想プライベート ネットワーク (VPN) は、プライベート ネットワーク、または インターネットなどのパブリック ネットワーク上で確立されるポイント ツー ポ イント接続。 • VPN Gateway VPN Gateway は Azure 仮想ネットワークのサブネットに作成され、オンプレ ミスのネットワークとの VPN 接続を担う 37
参考文献 ・ダイナミックアクセス制御 (DAC) とは http://technet.microsoft.com/ja-jp/library/hh831717.aspx ・File Classification Infrastructure (FCI) とは http://blogs.technet.com/b/windowsserverjp/archive/2009/06/12/3253785.aspx ・Windows サーバーバックアップ http://blogs.msdn.com/b/windowsazurej/archive/2013/08/05/azure-blog-how-to-backup- and-restore-a-windows-system-disk-in-a-windows-azure-virtual-machine.aspx ・スライド「Azure バックアップを利用したオンプレミス Windows Server のバックアップ」 38
39

More Related Content

PPTX
Overview of Enterprise-scale landing zones using Cloud Adoption Framework Rea...
MarceloMiranda38200
 
PDF
Azure AD DSドメインに仮想マシンを参加させる (トレノケ雲の会 mod1)
Trainocate Japan, Ltd.
 
PDF
Azure DNS Private Resolver - Azure Example Scenarios _ Microsoft Learn.pdf
Kenneth Nnadikwe
 
PDF
Microsoft threat protection + wdatp+ aatp overview
Allessandra Negri
 
PPTX
Azure rev002
Rich Helton
 
PDF
AZ 900 135 New Questions.pdf
DiegoArguello20
 
PDF
Testing APIs in the Cloud
SmartBear
 
PDF
Azure Hybid
Thomas Treml
 
Overview of Enterprise-scale landing zones using Cloud Adoption Framework Rea...
MarceloMiranda38200
 
Azure AD DSドメインに仮想マシンを参加させる (トレノケ雲の会 mod1)
Trainocate Japan, Ltd.
 
Azure DNS Private Resolver - Azure Example Scenarios _ Microsoft Learn.pdf
Kenneth Nnadikwe
 
Microsoft threat protection + wdatp+ aatp overview
Allessandra Negri
 
Azure rev002
Rich Helton
 
AZ 900 135 New Questions.pdf
DiegoArguello20
 
Testing APIs in the Cloud
SmartBear
 
Azure Hybid
Thomas Treml
 

What's hot (20)

PDF
IT エンジニアのための 流し読み Windows 10 - Windows Hello for Business
TAKUYA OHTA
 
PPTX
Microsoft Azure Networking Basics
Sai Kishore Naidu
 
PDF
Aprendendo Na Prática: Aplicativos Web Com Asp.Net MVC em C# e Entity Framewo...
Daniel Makiyama
 
PPTX
Flutter
Toma Velev
 
PPTX
Azure governance
Udaiappa Ramachandran
 
PPTX
Vmware training presentation
Amit Kapadia
 
PDF
[Cloud OnAir] Google Cloud へのマイグレーション ツールの紹介 2020年11月26日 放送
Google Cloud Platform - Japan
 
PDF
Spring Boot Tutorial | Microservices Spring Boot | Microservices Architecture...
Edureka!
 
PDF
Introducing BDD and TDD with Cucumber
Knoldus Inc.
 
PPTX
Azure
Kiran Bavariya
 
PDF
Azure is for Everyone
responsiveX
 
PPTX
Best Practices with Azure & Kubernetes
Microsoft Tech Community
 
PDF
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
Shinichiro Kosugi
 
PPTX
Selenium Tutorial For Beginners | What Is Selenium? | Selenium Automation Tes...
Edureka!
 
PDF
Principles Of Chaos Engineering - Chaos Engineering Hamburg
Nils Meder
 
PDF
20180724 AWS Black Belt Online Seminar Amazon Elastic Container Service for K...
Amazon Web Services Japan
 
PDF
42Crunch Security Audit for WSO2 API Manager 3.1
WSO2
 
PPTX
OpenID Connect: An Overview
Pat Patterson
 
PPTX
Azure Hub spoke v1.0
Sayed Ashraf Kazi
 
PDF
REST & API Management with the WSO2 ESB
WSO2
 
IT エンジニアのための 流し読み Windows 10 - Windows Hello for Business
TAKUYA OHTA
 
Microsoft Azure Networking Basics
Sai Kishore Naidu
 
Aprendendo Na Prática: Aplicativos Web Com Asp.Net MVC em C# e Entity Framewo...
Daniel Makiyama
 
Flutter
Toma Velev
 
Azure governance
Udaiappa Ramachandran
 
Vmware training presentation
Amit Kapadia
 
[Cloud OnAir] Google Cloud へのマイグレーション ツールの紹介 2020年11月26日 放送
Google Cloud Platform - Japan
 
Spring Boot Tutorial | Microservices Spring Boot | Microservices Architecture...
Edureka!
 
Introducing BDD and TDD with Cucumber
Knoldus Inc.
 
Azure
Kiran Bavariya
 
Azure is for Everyone
responsiveX
 
Best Practices with Azure & Kubernetes
Microsoft Tech Community
 
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
Shinichiro Kosugi
 
Selenium Tutorial For Beginners | What Is Selenium? | Selenium Automation Tes...
Edureka!
 
Principles Of Chaos Engineering - Chaos Engineering Hamburg
Nils Meder
 
20180724 AWS Black Belt Online Seminar Amazon Elastic Container Service for K...
Amazon Web Services Japan
 
42Crunch Security Audit for WSO2 API Manager 3.1
WSO2
 
OpenID Connect: An Overview
Pat Patterson
 
Azure Hub spoke v1.0
Sayed Ashraf Kazi
 
REST & API Management with the WSO2 ESB
WSO2
 
Ad

Viewers also liked (6)

PDF
Microsoft Azure 概要 (sakura.io ハンズオン編)
Naoki Sato
 
PPTX
Microsoft Azure build & ignight update summary
Hirano Kazunori
 
PDF
[de:code 2017] ダウンタイムを最小に! 〜 Azure における障害/災害に耐えうるアーキテクチャ設計のポイント 〜
Naoki (Neo) SATO
 
PPTX
Cloud Native Application on DEIS by using 12 factor
Yoshio Terada
 
PDF
[AC08] 新世代のアーキテクチャに移行せよ。富士フイルムの事例に学ぶ、クラウドネイティブソリューションのビジョンと設計
de:code 2017
 
PDF
Azure Virtual Machines設計の勘所 | Microsoft Tech Summit 2017
Kuniteru Asami
 
Microsoft Azure 概要 (sakura.io ハンズオン編)
Naoki Sato
 
Microsoft Azure build & ignight update summary
Hirano Kazunori
 
[de:code 2017] ダウンタイムを最小に! 〜 Azure における障害/災害に耐えうるアーキテクチャ設計のポイント 〜
Naoki (Neo) SATO
 
Cloud Native Application on DEIS by using 12 factor
Yoshio Terada
 
[AC08] 新世代のアーキテクチャに移行せよ。富士フイルムの事例に学ぶ、クラウドネイティブソリューションのビジョンと設計
de:code 2017
 
Azure Virtual Machines設計の勘所 | Microsoft Tech Summit 2017
Kuniteru Asami
 
Ad

Similar to S04 企業内システムと Microsoft Azure の VPN 接続、ファイルサーバー連携 (20)

PDF
S03 企業内システムと Microsoft Azure の VPN 接続
Microsoft Azure Japan
 
PDF
Windows Azure 上でのVPN 接続方法
Masaki Takeda
 
PPTX
20141110 tf azure_iaas
Osamu Takazoe
 
PDF
Windows2003サポート終了対策
Junji Yamamoto
 
PPTX
Microsoft azure
ssuser184f93
 
PDF
あらためて Azure virtual network
Kuniteru Asami
 
PDF
OSC 2012 Fukuoka
Masaki Takeda
 
PPTX
Build 2014 Azure インフラエンジニア向けアップデート
kekekekenta
 
PDF
Azure仮想マシンと仮想ネットワークの基本 2016 ComCamp Fukuoka
wintechq
 
PDF
INF-005_ハイブリッド クラウド環境でのネットワークとセキュリティ ~Azure とのプライベート接続~
decode2016
 
PPTX
LagopusとAzureとIPsecとDPDK
ShuheiUda
 
PPTX
Azure仮想マシンと仮想ネットワーク
Kuninobu SaSaki
 
PPTX
20181027 ws meetup2_hybrid
Osamu Takazoe
 
PDF
Azure IaaS 解説
wintechq
 
PPTX
Azure 仮想マシンとRemoteAppの超概要
Daiyu Hatakeyama
 
PDF
[Azure Deep Dive] Azure ネットワーキングを理解しよう!
Naoki (Neo) SATO
 
PDF
20121103 wc osaka_handson
Masaki Takeda
 
PDF
WordBench Nagoya 12月勉強会
Masaki Takeda
 
PDF
20111109 07 aws-meister-vpc-public
Amazon Web Services Japan
 
PDF
VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-
SORACOM, INC
 
S03 企業内システムと Microsoft Azure の VPN 接続
Microsoft Azure Japan
 
Windows Azure 上でのVPN 接続方法
Masaki Takeda
 
20141110 tf azure_iaas
Osamu Takazoe
 
Windows2003サポート終了対策
Junji Yamamoto
 
Microsoft azure
ssuser184f93
 
あらためて Azure virtual network
Kuniteru Asami
 
OSC 2012 Fukuoka
Masaki Takeda
 
Build 2014 Azure インフラエンジニア向けアップデート
kekekekenta
 
Azure仮想マシンと仮想ネットワークの基本 2016 ComCamp Fukuoka
wintechq
 
INF-005_ハイブリッド クラウド環境でのネットワークとセキュリティ ~Azure とのプライベート接続~
decode2016
 
LagopusとAzureとIPsecとDPDK
ShuheiUda
 
Azure仮想マシンと仮想ネットワーク
Kuninobu SaSaki
 
20181027 ws meetup2_hybrid
Osamu Takazoe
 
Azure IaaS 解説
wintechq
 
Azure 仮想マシンとRemoteAppの超概要
Daiyu Hatakeyama
 
[Azure Deep Dive] Azure ネットワーキングを理解しよう!
Naoki (Neo) SATO
 
20121103 wc osaka_handson
Masaki Takeda
 
WordBench Nagoya 12月勉強会
Masaki Takeda
 
20111109 07 aws-meister-vpc-public
Amazon Web Services Japan
 
VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-
SORACOM, INC
 

More from Microsoft Azure Japan (20)

PDF
Awl introduction and camera ra 121219
Microsoft Azure Japan
 
PDF
Microsoft smart store strategy
Microsoft Azure Japan
 
PDF
Smart Store Map
Microsoft Azure Japan
 
PDF
Smart Camera: Azure IoT + Container
Microsoft Azure Japan
 
PDF
Ms retail update ra 20191030
Microsoft Azure Japan
 
PDF
Smart store servlerless-20191030-40min
Microsoft Azure Japan
 
PDF
Smart Store サーバーレスアーキテクチャ編
Microsoft Azure Japan
 
PDF
Smart storeを実現するAzureサービス IoT編
Microsoft Azure Japan
 
PDF
Azure IoT/AI最前線
Microsoft Azure Japan
 
PPTX
Ceonnect(): 2018 Japan AKS (Yoshio Terada)
Microsoft Azure Japan
 
PPTX
Connect(); 2018 Japan IoT <Hiroshi Ota>
Microsoft Azure Japan
 
PDF
App Service の DevOps と Visual Studio Team Services 最新アップデート
Microsoft Azure Japan
 
PDF
進化する Web ~ Progressive Web Apps の実装と応用 ~
Microsoft Azure Japan
 
PDF
音声 Chat で見込み客を獲得!Bot を活用した業務効率化
Microsoft Azure Japan
 
PDF
スケーラブルで手間なく動かせる!もうすぐ 一般提供開始 Azure Database for MySQL / PostgreSQL
Microsoft Azure Japan
 
PDF
App center an overview
Microsoft Azure Japan
 
PDF
Intelligent Mobile App と Cloud Native、これからの時代のアプリケーション開発ビジョン
Microsoft Azure Japan
 
PDF
高速開発でビジネスニーズをいち早く具現化する DevOps ソリューション
Microsoft Azure Japan
 
PDF
おもてなしサービスで売上伸長! 画像認識を活用した先端マーケティング 〜カメラとAIの素敵なカンケイ〜
Microsoft Azure Japan
 
PDF
AIを使いこなせ! ~AI最新技術とMicrosft AI Platform~
Microsoft Azure Japan
 
Awl introduction and camera ra 121219
Microsoft Azure Japan
 
Microsoft smart store strategy
Microsoft Azure Japan
 
Smart Store Map
Microsoft Azure Japan
 
Smart Camera: Azure IoT + Container
Microsoft Azure Japan
 
Ms retail update ra 20191030
Microsoft Azure Japan
 
Smart store servlerless-20191030-40min
Microsoft Azure Japan
 
Smart Store サーバーレスアーキテクチャ編
Microsoft Azure Japan
 
Smart storeを実現するAzureサービス IoT編
Microsoft Azure Japan
 
Azure IoT/AI最前線
Microsoft Azure Japan
 
Ceonnect(): 2018 Japan AKS (Yoshio Terada)
Microsoft Azure Japan
 
Connect(); 2018 Japan IoT <Hiroshi Ota>
Microsoft Azure Japan
 
App Service の DevOps と Visual Studio Team Services 最新アップデート
Microsoft Azure Japan
 
進化する Web ~ Progressive Web Apps の実装と応用 ~
Microsoft Azure Japan
 
音声 Chat で見込み客を獲得!Bot を活用した業務効率化
Microsoft Azure Japan
 
スケーラブルで手間なく動かせる!もうすぐ 一般提供開始 Azure Database for MySQL / PostgreSQL
Microsoft Azure Japan
 
App center an overview
Microsoft Azure Japan
 
Intelligent Mobile App と Cloud Native、これからの時代のアプリケーション開発ビジョン
Microsoft Azure Japan
 
高速開発でビジネスニーズをいち早く具現化する DevOps ソリューション
Microsoft Azure Japan
 
おもてなしサービスで売上伸長! 画像認識を活用した先端マーケティング 〜カメラとAIの素敵なカンケイ〜
Microsoft Azure Japan
 
AIを使いこなせ! ~AI最新技術とMicrosft AI Platform~
Microsoft Azure Japan
 

S04 企業内システムと Microsoft Azure の VPN 接続、ファイルサーバー連携

  • 1. 1
  • 2. 更新履歴 • 以下の日付でドキュメントを更新、確認しています。 2 バージョン 1.00 2014/6/30 ・初版リリース 1.10 2014/9/30 ・2014年9月現在の情報に更新 1.20 2015/1/31 ・2015年1月現在の情報に更新
  • 3. 目次 • Azure 上のファイルサーバー実装 • Azure 上のファイルサーバーのパフォーマンスの向上 • Azure 上のファイルサーバーの安全性の向上 • Azure 上のファイルサーバーのバックアップ • まとめ • 用語説明 • 参考文献 3
  • 4. 4
  • 5. Azure 上のファイルサーバー構成~メリット • AD とセキュアに連携することによって社内と変わらないセキュアなファイルサーバーが手に入る。 • Windows Server の管理方法がそのまま使える。 • 従来のアクセス権がそのまま利用可能。 • ディスクを柔軟に足すことができる。 • データの堅牢性。(ストレージの3重化保存) • DR 対策。(リージョン、サブリージョン間でレプリケーション) 5 VPN Gateway 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN
  • 6. ファイルサーバーへの社内外からのアクセス 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN Gateway 6 • 社内ユーザーは Site-to-Site VPN を通してファイルサーバーへ接続 • 社外ユーザーは Point-to-Site VPN を通してファイルサーバーへ接続 VPN
  • 7. Site-to-Site の特徴※1 • Site-to-Site VPN (サイト間 VPN) : Azure に構成した仮想ネットワークと社内ネットワークを結ぶため の VPN 接続。社内ネットワーク側では固定 IP アドレスを持つ VPN 機器 (ハードウエア) で接続する必要 がある。 • Site-to-Site VPN の接続元として、ソフトウエアの VPN 機能を利用して、Azure に VPN 接続できる。 ※Windows Server 2012 RRAS (Routing and Remote Access Services : ルーティングとリモート アク セス サービス) を利用して Azure に接続可能。 7 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN Gateway ハードウェアVPN またはWindows RRAS
  • 8. Point-to-Site の特徴※1 • Point-to-Site VPN (ポイント対サイト VPN) : 1 台のオンプレミスのコンピュータと Azure 仮想ネットワークを接続するための VPN 接続。 ※ SSTP を使用した個別デバイスからの接続が可能。 8 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN Gateway ハードウェアVPN またはWindows RRAS
  • 9. Site-to-Site VPN の前提条件 ① AD DS 社内ネットワーク側に Active Directory ドメインサービスを用意すること。 ② VPN Azure 仮想ネットワークとの接続のため、社内ネットワーク上に VPN 機器を用意し、サイト間接続を確立 させること。 ③ VPN Gateway Azure 仮想ネットワークを作成した後、サイト間 VPN を構成するために、仮想ネットワーク ゲートウェイ を作成すること。 ④ 仮想マシン (ファイルサーバー) Azure 上にファイルサーバー仮想マシンを用意すること。 9 VPN Gateway 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN
  • 10. Point-to-Site VPN の前提条件 10 ①社外ユーザーの接続側で用意するもの 社外ユーザーが Azure 上のファイルサーバーを利用するため、Windows 7 以降のクライアント端末を用意すること。 ② Point-to-Site の接続側で用意するもの Point-to-Site VPN : Azure に構成した仮想ネットワークと社内ネット ワークを VPN 接続すること。 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN Gateway
  • 11. 社内ネットワークの構成① • オンプレミス側に Active Directory ドメイン コントローラー サー ビスを構成する。 • 社内ネットワーク上に VPN 機器を用意し、Azure 仮想ネットワーク と接続する。 11 VPN Gateway 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN
  • 12. 社内ネットワークの構成例② • Azure と接続するための VPN 機器の設定を行う。 ※一般的な VPN 機器の必須要件の詳細は以下の URL 参照。 http://msdn.microsoft.com/library/azure/jj156075.aspx ※VPN 接続検証済み ルーター一覧は以下の URL 参照。 http://msdn.microsoft.com/ja-jp/windowsazure/dn132612.aspx 12 Internet
  • 13. Azure 仮想ネットワークとは • 社内ネットと Azure 仮想ネットを VPN で安全に繋ぐサービス。 • PC / サーバーと Azure 仮想ネットを VPN で安全に繋ぐサービス。 • Azure 仮想ネットワークを使用すると、Azure 内で仮想プライベート ネットワーク (VPN) を作成し、内部設置型の IT インフラ ストラクチャと安全に接続することができ る。 13 仮想ネットワーク Site-to-Site VPN オンプレミス VPN
  • 14. Azure 内仮想ネットワークの構成① • Azure 仮想ネットワーク機能を使い、以下の指定を行う。 ・Azure 仮想ネットワークの名前の指定 ・アドレス空間とサブネットの指定 ・DNS サーバー および VPN 接続の指定 14 VPN Gateway 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN
  • 15. Azure 内仮想ネットワークの構成例② • アドレス空間は、Azure 側で使用する領域を指定する。 • Azure 仮想ネットワーク名は任意。 • DNS サーバー名は省略可能。(Azure が名前解決) 15 仮想ネットワーク の詳細 仮想ネットワーク名 tokyo-nw 場所 日本(東) アドレス空間と サブネット アドレス空間 10.1.0.0/16 サブネット tokyo-subnet1 10.1.1.0/24 DNSサーバー およびVPN接続 DNSサーバー AD01 10.1.1.4 ポイント対サイト接続 なし サイト間VPNの構成 チェック ローカルネットワーク 新しいローカルネッ トワークを指定する 仮想マシン(ファイルサーバー)
  • 16. Site-to-Site VPN ① 16 • 社内ネットと Azure 仮想ネットを VPN で安全に繋ぐサービス。 • オンプレミスに VPN 機器を設置して、Azure のサブネットと社内 ネットワークを VPN 接続 VPN Gateway 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN
  • 17. Site-to-Site VPN 設定例② • Azure 側のアドレス空間の設定:ゲートウェイサブネットを追加する。 ゲートウェイの [開始 IP]、[CIDR (アドレス数)] の指定 • サイト間接続:Azure に接続するローカルネットワークを定義する。 ローカルネットワークの名前、VPN デバイスのIPアドレス、アドレス空間の指定 サブネット名 アドレス範囲 tokyo-subnet1 10.1.1.4 名前 local-nw VPNデバイスの IPアドレス 固定グローバルアドレス アドレス空間 192.168.1.0/24 17
  • 18. Point-to-Site VPN① • PC からのリモートアクセスのため、ポイント対ポイント VPN の構成。 ・仮想ネットワークと動的ルーティング ゲートウェイの作成 ・証明書の作成/アップロード/インストール ・VPN クライアント構成 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN Gateway 18 VPN
  • 19. Point-to-Site VPN 設定例② 19 • ポイント対サイト接続:仮想ネットワークの外部の VPN クライアン トに接続する場合。 ・開始 IP、 CIDR (アドレス数) の指定 アドレス空間 アドレス空間 10.0.0.0/24 CIDR(アドレス数) /24(254) DNSサーバー およびVPN接続 DNSサーバー AD01 10.1.1.4 ポイント対サイト接続 チェック ローカルネットワーク local-nw
  • 20. クライアント端末① • ファイルサーバーへ接続クライアント OS 要件: ・Windows 7 以降 ・クライアント証明書 (VPN ゲートウェイの証明書をインストール) ・SSTP 接続が行えること 20 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN Gateway VPN
  • 21. クライアント端末 設定例② • VPNクライアント設定: ・クライアント証明書のインストール ・クライアント VPN パッケージのダウンロード • Azure 接続確認: ・ Azure管理ポータル上「クライアント」に接続数 “1” の表示 21
  • 22. 仮想マシン (ファイルサーバー) の構成① ・Azure 上に仮想マシンを作成する。 ※Azure の仮想マシンは、あとから柔軟に追加可能である。 22 VPN Gateway 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN
  • 23. 仮想マシン (ファイルサーバー) の構成例② File Server VM 23 ・注意点:D ドライブは Temporary Storage のため、ファイルサー バーのデータは追加ディスクに保存する。
  • 24. セキュリティ [共有フォルダー / NTFS アクセス権] 設定① ・仮想マシンを Active Directory に参加させる。 ・Active Directory サーバーでユーザー、セキュリティグループを作成。 ・Azure 上のファイルサーバーで共有フォルダー、NTFS アクセス権を設定。 24 VPN Gateway 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN
  • 25. セキュリティ [共有フォルダー / NTFS アクセス権] 設定例② ・セキュリティグループやユーザーに対してアクセス権を付与する。 ・共有アクセス権と NTFS アクセス権が競合した場合はより厳しい制限が適用される。 25
  • 26. 26
  • 27. ブランチキャッシュによる遠隔地からアクセス • ブランチキャッシュ機能 (Windows Server 2008 以降) を利用して 遠隔地からのファイルサーバーへのアクセスを高速化 27 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN Gateway 仮想マシン (ファイルサーバー) (ブランチキャッシュ機能 オン) VPN Gateway ブランチ キャッシュ VPN
  • 28. ブランチキャッシュ機能とは • アクセスしたファイルを拠点内のクライアントやサーバーにキャッシュ • 動作モードは下記の 2 つから選択 -分散キャッシュ モード -ホスト型キャッシュ モード (以下の図例参照) 28 一度アクセスしたファイルの キャッシュを拠点内で共有 クライアント接続の場合 Windows 7 Enterprise 以上
  • 29. 29
  • 30. DAC と FCI • ダイナミックアクセス制御 (DAC) 機能を利用してよりきめ細かなアクセス許可 を実現 (※詳細は本資料 31 ページを参照) • File Classification Infrastructure (FCI) 機能を利用してコンテンツを自動分類 30 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN Gateway VPN ・自動的にファイルを分類 ( FCI ) 例)1 年以上アクセスがないファイル はオンプレミス上のファイルサーバー に移動させる。
  • 31. ダイナミックアクセス制御 (DAC) とは ダイナミックアクセス制御とは、ファイルへのアクセスをユーザー やコンピューターの属性に応じて、動的にアクセス許可などを制御 する機能 31 ■ダイナミック アクセス制御により、ユーザーの部署名 や地名などによってファイルサーバーへのアクセスを制 御することが可能 ①クレームタイプ(要求の種類)の作成 ②リソースプロパティの作成、グローバルリソースプロ パティリストにリソースプロパティを登録 ③集約型のアクセス規則、集約型のアクセスポリシーの 作成 ④集約型アクセスポリシーをグループポリシーを使用し て展開 ⑤ファイルサーバーリソースにて集約型ポリシーの適用 とアクセス権の確認
  • 32. File Classification Infrastructure (FCI) とは • Windows Server 2008 R2 で追加された分類管理機能 ・ファイル プロパティの定義 ・プロパティに基づく自動分類 ・タスクの自動処理 32 ■FCI による、ファイルサーバー上に格納されている利 用頻度の低いファイルの自動処理例 1 年以上アクセスされていない①ファイルについて、 特定のフォルダ②に移動。 処理対象となるファイルのオーナーには処理を実行する 30 日前にメールによるアラームを送信③
  • 33. DAC と FCI を実現するための前提条件※1 ① ファイルサーバー (仮想マシン) : Windows Server 2012 以降、既存のフォル ダーやファイルにアクセス制御 (ACL) を加え、ダイナミックアクセスコント ロール機能を使えば、ファイルへのアクセスを動的に制御することが可能。 ②ファイルサーバー : 社内ネットワーク側にファイルサーバーを用意。 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN Gateway 33 VPN
  • 34. 34
  • 35. Azure 上のファイルサーバーのバックアップ • Windows 仮想マシンの システム ディスクのバックアップと復元の 方法 ツール オンライン バックアップ バックアップ先 システム状態の バックアップ ファイル/フォルダー のバックアップ Windows Server Backup ○ OS内 ○ ○ Azure Backup ○ BLOB × ○ Copy Blob※1 × BLOB VHD 全体 VHD 全体 詳細については、別途スライド「Azure バックアップを利用したオンプレミス Windows Server のバックアップ」を参照すること。 ※1 Microsoft Azure の Copy Blob API および Storage Client Library API (Copy Blob) 35
  • 36. まとめ • セキュアなファイルサーバーを Azure 上に構築するには Site-to- Site VPN、Point-to-Site VPN と Active Directory を組み合わせる • 遠地からファイルサーバーへの高速アクセスのためにブランチキャッ シュ機能を利用する • ファイルサーバーの安全性を高めるために、より細かいアクセス制御 が可能な DAC 機能や FCI を使用して自動的にデータの分類を行う 36
  • 37. 用語説明 • AD DS Active Directory ドメイン サービス (AD DS) は、ディレクトリ データを格納 し、ユーザーのログオン プロセス、認証、およびディレクトリ検索など、ユー ザーとドメイン間の通信を管理。 • VPN 仮想プライベート ネットワーク (VPN) は、プライベート ネットワーク、または インターネットなどのパブリック ネットワーク上で確立されるポイント ツー ポ イント接続。 • VPN Gateway VPN Gateway は Azure 仮想ネットワークのサブネットに作成され、オンプレ ミスのネットワークとの VPN 接続を担う 37
  • 38. 参考文献 ・ダイナミックアクセス制御 (DAC) とは http://technet.microsoft.com/ja-jp/library/hh831717.aspx ・File Classification Infrastructure (FCI) とは http://blogs.technet.com/b/windowsserverjp/archive/2009/06/12/3253785.aspx ・Windows サーバーバックアップ http://blogs.msdn.com/b/windowsazurej/archive/2013/08/05/azure-blog-how-to-backup- and-restore-a-windows-system-disk-in-a-windows-azure-virtual-machine.aspx ・スライド「Azure バックアップを利用したオンプレミス Windows Server のバックアップ」 38
  • 39. 39