Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

S04 企業内システムと Microsoft Azure の VPN 接続、ファイルサーバー連携

8,974 views

Published on

Published in: Technology

S04 企業内システムと Microsoft Azure の VPN 接続、ファイルサーバー連携

  1. 1. 1
  2. 2. 更新履歴 • 以下の日付でドキュメントを更新、確認しています。 2 バージョン 1.00 2014/6/30 ・初版リリース 1.10 2014/9/30 ・2014年9月現在の情報に更新 1.20 2015/1/31 ・2015年1月現在の情報に更新
  3. 3. 目次 • Azure 上のファイルサーバー実装 • Azure 上のファイルサーバーのパフォーマンスの向上 • Azure 上のファイルサーバーの安全性の向上 • Azure 上のファイルサーバーのバックアップ • まとめ • 用語説明 • 参考文献 3
  4. 4. 4
  5. 5. Azure 上のファイルサーバー構成~メリット • AD とセキュアに連携することによって社内と変わらないセキュアなファイルサーバーが手に入る。 • Windows Server の管理方法がそのまま使える。 • 従来のアクセス権がそのまま利用可能。 • ディスクを柔軟に足すことができる。 • データの堅牢性。(ストレージの3重化保存) • DR 対策。(リージョン、サブリージョン間でレプリケーション) 5 VPN Gateway 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN
  6. 6. ファイルサーバーへの社内外からのアクセス 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN Gateway 6 • 社内ユーザーは Site-to-Site VPN を通してファイルサーバーへ接続 • 社外ユーザーは Point-to-Site VPN を通してファイルサーバーへ接続 VPN
  7. 7. Site-to-Site の特徴※1 • Site-to-Site VPN (サイト間 VPN) : Azure に構成した仮想ネットワークと社内ネットワークを結ぶため の VPN 接続。社内ネットワーク側では固定 IP アドレスを持つ VPN 機器 (ハードウエア) で接続する必要 がある。 • Site-to-Site VPN の接続元として、ソフトウエアの VPN 機能を利用して、Azure に VPN 接続できる。 ※Windows Server 2012 RRAS (Routing and Remote Access Services : ルーティングとリモート アク セス サービス) を利用して Azure に接続可能。 7 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN Gateway ハードウェアVPN またはWindows RRAS
  8. 8. Point-to-Site の特徴※1 • Point-to-Site VPN (ポイント対サイト VPN) : 1 台のオンプレミスのコンピュータと Azure 仮想ネットワークを接続するための VPN 接続。 ※ SSTP を使用した個別デバイスからの接続が可能。 8 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN Gateway ハードウェアVPN またはWindows RRAS
  9. 9. Site-to-Site VPN の前提条件 ① AD DS 社内ネットワーク側に Active Directory ドメインサービスを用意すること。 ② VPN Azure 仮想ネットワークとの接続のため、社内ネットワーク上に VPN 機器を用意し、サイト間接続を確立 させること。 ③ VPN Gateway Azure 仮想ネットワークを作成した後、サイト間 VPN を構成するために、仮想ネットワーク ゲートウェイ を作成すること。 ④ 仮想マシン (ファイルサーバー) Azure 上にファイルサーバー仮想マシンを用意すること。 9 VPN Gateway 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN
  10. 10. Point-to-Site VPN の前提条件 10 ①社外ユーザーの接続側で用意するもの 社外ユーザーが Azure 上のファイルサーバーを利用するため、Windows 7 以降のクライアント端末を用意すること。 ② Point-to-Site の接続側で用意するもの Point-to-Site VPN : Azure に構成した仮想ネットワークと社内ネット ワークを VPN 接続すること。 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN Gateway
  11. 11. 社内ネットワークの構成① • オンプレミス側に Active Directory ドメイン コントローラー サー ビスを構成する。 • 社内ネットワーク上に VPN 機器を用意し、Azure 仮想ネットワーク と接続する。 11 VPN Gateway 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN
  12. 12. 社内ネットワークの構成例② • Azure と接続するための VPN 機器の設定を行う。 ※一般的な VPN 機器の必須要件の詳細は以下の URL 参照。 http://msdn.microsoft.com/library/azure/jj156075.aspx ※VPN 接続検証済み ルーター一覧は以下の URL 参照。 http://msdn.microsoft.com/ja-jp/windowsazure/dn132612.aspx 12 Internet
  13. 13. Azure 仮想ネットワークとは • 社内ネットと Azure 仮想ネットを VPN で安全に繋ぐサービス。 • PC / サーバーと Azure 仮想ネットを VPN で安全に繋ぐサービス。 • Azure 仮想ネットワークを使用すると、Azure 内で仮想プライベート ネットワーク (VPN) を作成し、内部設置型の IT インフラ ストラクチャと安全に接続することができ る。 13 仮想ネットワーク Site-to-Site VPN オンプレミス VPN
  14. 14. Azure 内仮想ネットワークの構成① • Azure 仮想ネットワーク機能を使い、以下の指定を行う。 ・Azure 仮想ネットワークの名前の指定 ・アドレス空間とサブネットの指定 ・DNS サーバー および VPN 接続の指定 14 VPN Gateway 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN
  15. 15. Azure 内仮想ネットワークの構成例② • アドレス空間は、Azure 側で使用する領域を指定する。 • Azure 仮想ネットワーク名は任意。 • DNS サーバー名は省略可能。(Azure が名前解決) 15 仮想ネットワーク の詳細 仮想ネットワーク名 tokyo-nw 場所 日本(東) アドレス空間と サブネット アドレス空間 10.1.0.0/16 サブネット tokyo-subnet1 10.1.1.0/24 DNSサーバー およびVPN接続 DNSサーバー AD01 10.1.1.4 ポイント対サイト接続 なし サイト間VPNの構成 チェック ローカルネットワーク 新しいローカルネッ トワークを指定する 仮想マシン(ファイルサーバー)
  16. 16. Site-to-Site VPN ① 16 • 社内ネットと Azure 仮想ネットを VPN で安全に繋ぐサービス。 • オンプレミスに VPN 機器を設置して、Azure のサブネットと社内 ネットワークを VPN 接続 VPN Gateway 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN
  17. 17. Site-to-Site VPN 設定例② • Azure 側のアドレス空間の設定:ゲートウェイサブネットを追加する。 ゲートウェイの [開始 IP]、[CIDR (アドレス数)] の指定 • サイト間接続:Azure に接続するローカルネットワークを定義する。 ローカルネットワークの名前、VPN デバイスのIPアドレス、アドレス空間の指定 サブネット名 アドレス範囲 tokyo-subnet1 10.1.1.4 名前 local-nw VPNデバイスの IPアドレス 固定グローバルアドレス アドレス空間 192.168.1.0/24 17
  18. 18. Point-to-Site VPN① • PC からのリモートアクセスのため、ポイント対ポイント VPN の構成。 ・仮想ネットワークと動的ルーティング ゲートウェイの作成 ・証明書の作成/アップロード/インストール ・VPN クライアント構成 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN Gateway 18 VPN
  19. 19. Point-to-Site VPN 設定例② 19 • ポイント対サイト接続:仮想ネットワークの外部の VPN クライアン トに接続する場合。 ・開始 IP、 CIDR (アドレス数) の指定 アドレス空間 アドレス空間 10.0.0.0/24 CIDR(アドレス数) /24(254) DNSサーバー およびVPN接続 DNSサーバー AD01 10.1.1.4 ポイント対サイト接続 チェック ローカルネットワーク local-nw
  20. 20. クライアント端末① • ファイルサーバーへ接続クライアント OS 要件: ・Windows 7 以降 ・クライアント証明書 (VPN ゲートウェイの証明書をインストール) ・SSTP 接続が行えること 20 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN Gateway VPN
  21. 21. クライアント端末 設定例② • VPNクライアント設定: ・クライアント証明書のインストール ・クライアント VPN パッケージのダウンロード • Azure 接続確認: ・ Azure管理ポータル上「クライアント」に接続数 “1” の表示 21
  22. 22. 仮想マシン (ファイルサーバー) の構成① ・Azure 上に仮想マシンを作成する。 ※Azure の仮想マシンは、あとから柔軟に追加可能である。 22 VPN Gateway 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN
  23. 23. 仮想マシン (ファイルサーバー) の構成例② File Server VM 23 ・注意点:D ドライブは Temporary Storage のため、ファイルサー バーのデータは追加ディスクに保存する。
  24. 24. セキュリティ [共有フォルダー / NTFS アクセス権] 設定① ・仮想マシンを Active Directory に参加させる。 ・Active Directory サーバーでユーザー、セキュリティグループを作成。 ・Azure 上のファイルサーバーで共有フォルダー、NTFS アクセス権を設定。 24 VPN Gateway 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN
  25. 25. セキュリティ [共有フォルダー / NTFS アクセス権] 設定例② ・セキュリティグループやユーザーに対してアクセス権を付与する。 ・共有アクセス権と NTFS アクセス権が競合した場合はより厳しい制限が適用される。 25
  26. 26. 26
  27. 27. ブランチキャッシュによる遠隔地からアクセス • ブランチキャッシュ機能 (Windows Server 2008 以降) を利用して 遠隔地からのファイルサーバーへのアクセスを高速化 27 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN Gateway 仮想マシン (ファイルサーバー) (ブランチキャッシュ機能 オン) VPN Gateway ブランチ キャッシュ VPN
  28. 28. ブランチキャッシュ機能とは • アクセスしたファイルを拠点内のクライアントやサーバーにキャッシュ • 動作モードは下記の 2 つから選択 -分散キャッシュ モード -ホスト型キャッシュ モード (以下の図例参照) 28 一度アクセスしたファイルの キャッシュを拠点内で共有 クライアント接続の場合 Windows 7 Enterprise 以上
  29. 29. 29
  30. 30. DAC と FCI • ダイナミックアクセス制御 (DAC) 機能を利用してよりきめ細かなアクセス許可 を実現 (※詳細は本資料 31 ページを参照) • File Classification Infrastructure (FCI) 機能を利用してコンテンツを自動分類 30 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN Gateway VPN ・自動的にファイルを分類 ( FCI ) 例)1 年以上アクセスがないファイル はオンプレミス上のファイルサーバー に移動させる。
  31. 31. ダイナミックアクセス制御 (DAC) とは ダイナミックアクセス制御とは、ファイルへのアクセスをユーザー やコンピューターの属性に応じて、動的にアクセス許可などを制御 する機能 31 ■ダイナミック アクセス制御により、ユーザーの部署名 や地名などによってファイルサーバーへのアクセスを制 御することが可能 ①クレームタイプ(要求の種類)の作成 ②リソースプロパティの作成、グローバルリソースプロ パティリストにリソースプロパティを登録 ③集約型のアクセス規則、集約型のアクセスポリシーの 作成 ④集約型アクセスポリシーをグループポリシーを使用し て展開 ⑤ファイルサーバーリソースにて集約型ポリシーの適用 とアクセス権の確認
  32. 32. File Classification Infrastructure (FCI) とは • Windows Server 2008 R2 で追加された分類管理機能 ・ファイル プロパティの定義 ・プロパティに基づく自動分類 ・タスクの自動処理 32 ■FCI による、ファイルサーバー上に格納されている利 用頻度の低いファイルの自動処理例 1 年以上アクセスされていない①ファイルについて、 特定のフォルダ②に移動。 処理対象となるファイルのオーナーには処理を実行する 30 日前にメールによるアラームを送信③
  33. 33. DAC と FCI を実現するための前提条件※1 ① ファイルサーバー (仮想マシン) : Windows Server 2012 以降、既存のフォル ダーやファイルにアクセス制御 (ACL) を加え、ダイナミックアクセスコント ロール機能を使えば、ファイルへのアクセスを動的に制御することが可能。 ②ファイルサーバー : 社内ネットワーク側にファイルサーバーを用意。 仮想ネットワーク 仮想マシン (ファイルサーバー) VPN Gateway 33 VPN
  34. 34. 34
  35. 35. Azure 上のファイルサーバーのバックアップ • Windows 仮想マシンの システム ディスクのバックアップと復元の 方法 ツール オンライン バックアップ バックアップ先 システム状態の バックアップ ファイル/フォルダー のバックアップ Windows Server Backup ○ OS内 ○ ○ Azure Backup ○ BLOB × ○ Copy Blob※1 × BLOB VHD 全体 VHD 全体 詳細については、別途スライド「Azure バックアップを利用したオンプレミス Windows Server のバックアップ」を参照すること。 ※1 Microsoft Azure の Copy Blob API および Storage Client Library API (Copy Blob) 35
  36. 36. まとめ • セキュアなファイルサーバーを Azure 上に構築するには Site-to- Site VPN、Point-to-Site VPN と Active Directory を組み合わせる • 遠地からファイルサーバーへの高速アクセスのためにブランチキャッ シュ機能を利用する • ファイルサーバーの安全性を高めるために、より細かいアクセス制御 が可能な DAC 機能や FCI を使用して自動的にデータの分類を行う 36
  37. 37. 用語説明 • AD DS Active Directory ドメイン サービス (AD DS) は、ディレクトリ データを格納 し、ユーザーのログオン プロセス、認証、およびディレクトリ検索など、ユー ザーとドメイン間の通信を管理。 • VPN 仮想プライベート ネットワーク (VPN) は、プライベート ネットワーク、または インターネットなどのパブリック ネットワーク上で確立されるポイント ツー ポ イント接続。 • VPN Gateway VPN Gateway は Azure 仮想ネットワークのサブネットに作成され、オンプレ ミスのネットワークとの VPN 接続を担う 37
  38. 38. 参考文献 ・ダイナミックアクセス制御 (DAC) とは http://technet.microsoft.com/ja-jp/library/hh831717.aspx ・File Classification Infrastructure (FCI) とは http://blogs.technet.com/b/windowsserverjp/archive/2009/06/12/3253785.aspx ・Windows サーバーバックアップ http://blogs.msdn.com/b/windowsazurej/archive/2013/08/05/azure-blog-how-to-backup- and-restore-a-windows-system-disk-in-a-windows-azure-virtual-machine.aspx ・スライド「Azure バックアップを利用したオンプレミス Windows Server のバックアップ」 38
  39. 39. 39

×