ラボ 7 - Azure Storageを管理する

ラボ概要

このラボでは、Azure BLOB と Azure ファイル用のストレージ アカウントを作成する方法について学習します。 BLOB コンテナーを構成してセキュリティで保護する方法について学習します。 ストレージ ブラウザーを使って、Azure ファイル共有を構成してセキュリティで保護する方法についても学習します。

このラボでは Azure サブスクリプションが必要です。 お使いのサブスクリプションの種類により、このラボの機能が使用できるかどうかに影響する可能性があります。 リージョンを変更できますが、手順は米国東部を使って作成されています。

推定時間:50 分

ラボのシナリオ

組織は現在、オンプレミスのデータ ストアにデータを格納しています。 これらのファイルのほとんどは頻繁にはアクセスされません。 アクセス頻度の低いファイルを低価格のストレージ層に配置することで、ストレージのコストを最小限に抑えることが考えられます。 ネットワーク アクセス、認証、認可、レプリケーションなど、Azure Storage が提供するさまざまな保護メカニズムについても検討する予定です。 最後に、Azure Files サービスがオンプレミスのファイル共有をホストするのにどの程度適しているかを判断する必要があります。

対話型ラボ シミュレーション

このトピックで役に立つ対話型ラボ シミュレーションがあります。 シミュレーションを使うと、同様のシナリオを自分のペースでクリックして進めることができます。 対話型シミュレーションとこのラボには違いがありますが、主要な概念の多くは同じです。 Azure サブスクリプションは必要ありません。

  • BLOB ストレージを作成します。 ストレージ アカウントを作成し、BLOB ストレージを管理し、ストレージ アクティビティを監視します。

  • Azure Storage を管理します。 ストレージ アカウントを作成し、構成を確認します。 BLOB ストレージ コンテナーを管理します。 ストレージ ネットワークを構成します。

アーキテクチャの図

タスクの図。

職務スキル

  • タスク 1:ストレージ アカウントを作成して構成する。
  • タスク 2:セキュリティで保護された BLOB ストレージを作成して構成する。
  • タスク 3:Azure File ストレージを作成して構成する。

タスク 1:ストレージ アカウントを作成して構成する。

このタスクでは、ストレージ アカウントを作成して構成します。 ストレージ アカウントは geo 冗長ストレージを使用し、パブリック アクセスはありません。

  1. Azure portal - https://portal.azure.com にサインインします。

  2. Storage accounts を検索して選択し、[+ 作成] をクリックします。

  3. [Create a storage account](ストレージ アカウントの作成) ブレードの [Basics] タブで、次の設定を指定します (それ以外は既定値のままにします)。

    設定
    サブスクリプション “Azure サブスクリプションの名前”
    リソース グループ az104-rg7 (新しく作成します)
    ストレージ アカウント名 文字と数字で構成される、長さが 3 から 24 のグローバルに一意の名前
    リージョン (米国) 米国東部
    パフォーマンス Standard (Premium オプションがあります)
    冗長性 geo 冗長ストレージ (その他のオプションがあります)
    Make read access to data in the event of regional availability(リージョンが利用できない場合に、データへの読み取りアクセスを利用可能にする) チェックボックスをオンにします。

ご存知でしたか? ほとんどのアプリケーションには Standard パフォーマンス レベルを使用する必要があります。 Premium パフォーマンス レベルは、エンタープライズ アプリケーションまたはハイ パフォーマンス アプリケーションに使用してください。

  1. [詳細設定] タブで、情報アイコンを使用して、選択肢の詳細を確認します。 既定値のままにします。

  2. [ネットワーク] タブで、使用可能なオプションを確認し、[パブリック アクセスを無効にしてプライベート アクセスを使用する] を選びます。

  3. [データ保護] タブを確認します。7 日間が既定の論理的な削除アイテム保持ポリシーです。 BLOB のバージョン管理を有効にできます。 既定値を受け入れます。

  4. [暗号化] タブを確認します。追加のセキュリティ オプションがあります。 既定値を受け入れます。

  5. [レビュー] を選び、検証プロセスが完了するのを待ってから、[作成] をクリックします。

  6. ストレージ アカウントがデプロイされたら、[リソースに移動] を選びます。

  7. [概要] ブレードと、変更できる追加の構成があります。 これらはストレージ アカウントのグローバル設定です。 ストレージ アカウントは、BLOB コンテナー、ファイル共有、キュー、テーブルに使用できます。

  8. [セキュリティとネットワーク] セクションで、[ネットワーク] を選びます。 パブリック ネットワーク アクセスが無効になっています。

    • [パブリック アクセス レベル][選択した仮想ネットワークと IP アドレスから有効] に変更します。
    • [ファイアウォール] セクションで、[クライアント IP アドレスの追加] ボックスをオンにします。
    • 変更を必ず保存してください。

  9. [データ管理] セクションで、[Redundancy](冗長性) ブレードを表示します。 プライマリ データ センターとセカンダリ データ センターの場所に関する情報があります。

  10. [データ管理] セクションで、[ライフサイクル管理] を選び、[規則の追加] を選びます。

    • 規則に Movetocool という 名前を付けます。 規則の範囲を制限するオプションを確認します。

    • [基本 BLOB] タブで、基本 BLOB が最後に変更された時期が 30 days前よりも古い “場合は”、クール ストレージに移動します** 他の選択肢に注意してください。

    • 他の条件も構成できます。 詳細の確認が完了したら、[追加] を選びます。

    クールに移動する規則条件のスクリーンショット。

タスク 2:セキュリティで保護された BLOB ストレージを作成して構成する

このタスクでは、BLOB コンテナーを作成し、画像をアップロードします。 BLOB コンテナーは、非構造化データを格納するディレクトリに似た構造です。

BLOB コンテナーと時間ベースのアイテム保持ポリシーを作成する

  1. 引き続き Azure portal でストレージ アカウントを操作します。

  2. [データ ストレージ] セクションで、[コンテナー] をクリックします。

  3. [+ コンテナー] をクリックし、次の設定のコンテナーを作成します。

    設定
    名前 data
    パブリック アクセス レベル [アクセス レベル] が [非公開] に設定されていることを確認します

    コンテナーの作成のスクリーンショット。

  4. コンテナーで、右端にある省略記号 (…) までスクロールし、[アクセス ポリシー] を選びます。

  5. [不変 BLOB ストレージ] セクションで、[ポリシーの追加] を選びます。

    設定 Value
    ポリシーの種類 時間ベースのアイテム保持
    保持期間の設定 180

  6. [保存] を選択します。

BLOB のアップロードを管理する

  1. [コンテナー] ページに戻り、[データ] コンテナーを選び、[アップロード] をクリックします。

  2. [BLOB のアップロード] ブレードで [詳細設定] セクションを展開します。

    :アップロードするファイルを見つけます。 これは任意の種類のファイルでかまいませんが、小さなファイルが最適です。 サンプル ファイルは AllFiles ディレクトリからダウンロードできます。

    設定 Value
    ファイルの参照 アップロードするために選択したファイルを追加します
    [Advanced] (詳細設定) を選択します  
    BLOB の種類 ブロック BLOB
    ブロック サイズ 4 MiB
    アクセス層 ホット (その他のオプションもあります)
    フォルダーへのアップロード securitytest
    暗号化スコープ 既定のコンテナー スコープを使用する

  3. アップロードをクリックします。

  4. 新しいフォルダーがあることと、ファイルがアップロードされたことを確認します。

  5. アップロード ファイルを選び、[ダウンロード][削除][層の変更][リースの取得] などのオプションを確認します。

  6. ファイルの [URL] をコピーし、新しい Inprivate ブラウズ ウィンドウに貼り付けます。

  7. ResourceNotFound または PublicAccessNotPermitted という XML 形式のメッセージが表示されます。

    : これは正常な動作であり、作成したコンテナーのパブリック アクセス レベルが [非公開 (匿名アクセスなし)] に設定されているためです。

BLOB ストレージへの制限付きアクセスを構成する

  1. アップロードしたファイルを、次に [SAS の生成] タブを選びます。右端の省略記号 (…) を使用することもできます。 次の設定を指定します (それ以外は既定値のままにしておきます)。

    設定
    署名キー Key 1
    アクセス許可 読み取り (他の選択肢もあります)
    開始日 昨日の日付
    開始時刻 現在時刻
    有効期限日 明日の日付
    有効期限 現在時刻
    許可された IP アドレス 空白のままにする

  2. [SAS トークンおよび URL を生成] をクリックします。

  3. BLOB SAS URL エントリをクリップボードにコピーします。

  4. 別の InPrivate ブラウザー ウィンドウを開き、前の手順でコピーした BLOB SAS URL にアクセスします。

    :ファイルの内容を表示できるはずです。

タスク 3:Azure Files ストレージを作成して構成する

このタスクでは、Azure Files 共有を作成して構成します。 ストレージ ブラウザーを使用してファイル共有を管理します。

ファイル共有を作成してファイルをアップロードする

  1. Azure portal でストレージ アカウントに戻り、[データ ストレージ] セクションで、[ファイル共有] をクリックします。

  2. [+ ファイル共有] をクリックし、[Basics] タブでファイル共有に share1 という名前を付けます。

  3. [アクセス層] オプションを確認します。 既定の [TransactionOptimized] のままにします。

  4. [バックアップ] タブに移動し、[バックアップを有効にする] がオンになっていないことを確認します。 ラボの構成を簡素化するために、バックアップを無効にしています。

  5. [確認と作成] をクリックし、[作成] をクリックします。 ファイル共有がデプロイされるまで待ちます。

    ファイル共有の作成ページのスクリーンショット。

ストレージ ブラウザーの詳細を確認し、ファイルをアップロードする

  1. ストレージ アカウントに戻り、[ストレージ ブラウザー] を選びます。 Azure ストレージ ブラウザーは、アカウントのすべてのストレージ サービスをすばやく表示できるポータル ツールです。

  2. [ファイル共有] を選び、share1 ディレクトリが存在することを確認します。

  3. share1 ディレクトリを選択すると、[+ ディレクトリの追加] を使用できることがわかります。 これを使用すると、フォルダー構造を作成できます。

  4. [アップロード] を選択します。 任意のファイルを参照し、[アップロード] をクリックします。

    :ファイル共有を表示し、ストレージ ブラウザーでそれらの共有を管理できます。 現在、既知の制約はありません。

ストレージ アカウントへのネットワーク アクセスを制限する

  1. ポータルで、[仮想ネットワーク] を検索して選択します。

  2. [+ 作成] を選択します。 リソース グループを選択します。 仮想ネットワークに vnet1 という名前を付けます。

  3. 他のパラメーターの既定値を使用して、[確認および作成] を選択し、[作成] を選択します。

  4. 仮想ネットワークのデプロイを待ってから、[リソースに移動] を選びます。

  5. [設定] セクションで [サービス エンドポイント] ブレードを選択します。
    • [追加] を選択します。
    • [サービス] ドロップダウンで [Microsoft.Storage] を選択します。
    • [サブネット] ドロップダウンで [既定] サブネットにチェックを入れます。
    • [追加] をクリックして変更を保存します。

  6. ストレージ アカウントに戻ります。

  7. [セキュリティとネットワーク] セクションで、[ネットワーク] ブレードを選択します。

  8. [既存の仮想ネットワークを追加する] を選択し、vnet1既定のサブネットを選び、[追加] を選びます。

  9. [ファイアウォール] セクションで、マシンの IP アドレスを削除します。 許可されるトラフィックは、仮想ネットワークからの着信のみになるはずです。

  10. 変更を必ず保存してください。

    注: ストレージ アカウントにアクセスするのは、先ほど作成した仮想ネットワークからのみになるはずです。

  11. [ストレージ ブラウザー] を選択し、ページを更新します。 ファイル共有または BLOB コンテンツにアクセスします。

    注: “この操作を行う権限がありません” というメッセージを受信するはずです。** 仮想ネットワークから接続していません。 これが有効になるには数分かかる場合があります。

未承認のアクセスのスクリーンショット。

リソースのクリーンアップ

自分のサブスクリプションで作業している場合は、お手数ですが、ラボ リソースを削除してください。 これにより、リソースが確実に解放されるため、コストが最小限に抑えられます。 ラボ リソースを削除する最も簡単な方法は、ラボ リソース グループを削除することです。

  • Azure portal で、リソース グループを選び、[リソース グループの削除][リソース グループ名を入力してください] の順に選び、[削除] をクリックします。
  • Azure PowerShell を使用する場合は、「Remove-AzResourceGroup -Name resourceGroupName」と入力します。
  • CLI を使用する場合は、「az group delete --name resourceGroupName」と入力します。

Copilot を使用して学習を拡張する

Copilot は、Azure スクリプト ツールの使用方法を学習するのに役立ちます。 Copilot は、ラボでは対象外の、またはさらに詳しい情報が必要な領域でも役立ちます。 Edge ブラウザーを開き、Copilot (右上) を選択するか、copilot.microsoft.com に移動します。 次のプロンプトを試すには数分かかります。

  • BLOB コンテナーを使用してストレージ アカウントを作成する Azure PowerShell スクリプトを提供します。
  • Azure ストレージ アカウントが安全であることを確認するために使用できるチェックリストを提供します。
  • Azure ストレージの冗長モデルを比較するテーブルを作成します。

自習トレーニングでさらに学習する

要点

以上でラボは完了です。 このラボの要点は次のとおりです。

  • Azure ストレージ アカウントには、すべての Azure Storage データ オブジェクト (BLOB、ファイル、キュー、テーブル) が含まれます。 ストレージ アカウントでは、世界中のどこからでも HTTP または HTTPS 経由でアクセスできる Azure Storage データ用の一意の名前空間が提供されます。
  • Azure Storage には、ローカル冗長ストレージ (LRS)、ゾーン冗長ストレージ (ZRS)、geo 冗長ストレージ (GRS) などのいくつかの冗長性モデルが用意されています。
  • Azure Blob ストレージを使用すると、Microsoft のデータ ストレージ プラットフォームに大量の非構造化データを格納できます。 BLOB とは Binary Large Object の略であり、画像やマルチメディア ファイルなどのオブジェクトが含まれます。
  • Azure File ストレージは、構造化データ用の共有ストレージを提供します。 データはフォルダーに整理できます。
  • 不変ストレージは、データを Write Once Read Many (WORM) 状態で格納する機能を提供します。 不変ストレージ ポリシーは、時間ベースまたは訴訟ホールドにできます。