🌟

[Azure] ストレージアカウントについて

2023/02/15に公開

静的コンテンツをBlobに格納する際の接続について

静的コンテンツをホストするBlobだけ、サービスエンドポイント利用になっていたので、なぜかなと思い調べた。

サービスエンドポイントを使う場合は、パブリックな経路は残るが、プライベートエンドポイントはパブリックなエンドポイントは削除することができる。そのため、内部からの接続も制限しつつ、外部公開することを考えると、サービスエンドポイントのほうが、金額的にも妥当。(プライベートエンドポイントを使うメリットが享受しにくくなる)

【Azure】(2022年版)サービスエンドポイントとプライベートエンドポイントの違い

【AZ-900】パブリックエンドポイントとプライベートエンドポイントの違いとは?PaaSに接続するためのエンドポイントを理解しよう!

ストレージアカウントのPremiumとStandardの違い

Standard:HDDベース。汎用的に使われる。コストはPremiumよりも安価。
Premium:SSDベース。高いIOPSやスループットが必要な時。ただしコストは高い。

ストレージアカウントの冗長化方式について

GRSとGZRSの違い:GZRSでは、プライマリリージョンでもZRSと同じような冗長化が実施される。

GRSとRA-GRSの違い:後者は読み取りアクセス専用?とか思ったり。
セカンダリリージョンへのアクセス方法の違いのようである。
GRSの場合、プライマリリージョンがダウンして、セカンダリリージョンにフェイルオーバーしている間はデータへの読み書きができない。
一方で、RA-GRSの場合は、フェールオーバー中も読み取りは実行が可能である。
フェールオーバー後には、GRSもRA-GRSもセカンダリリージョンで読み書きが可能になる。

以下のページが参考になる。
https://jpaztech.github.io/blog/storage/introduction-of-azure-storage-redundancy/

アクセス層についての違い

クール層:データのアクセス頻度は少ないが、すぐにアクセスできるようにはしておきたいとき。
アーカイブ層:データへのアクセス頻度は極めて少ないが、180日以上は保存しておくことが決まっている場合。また、リハイドレードが必要なので、そのリードタイムも懸念がない場合。

不変Blobストレージ

時間ベースのポリシーと、訴訟ベースのポリシーがあるらしい。時間ベースの場合、指定時間が過ぎると削除も上書きもできるのかな…とパッとイメージしたが、上書きはできないらしい。なるほど、本当にデータの改ざんが許されていないファイルに用いられるのだな。

Azure File Sync

Azure Filesはフルマネージド型のクラウドサービスなのに対して、File Syncの場合は、オンプレのファイルサーバとAzure Filesとの同期グループを作成し、ファイルサーバへの変更がFilesにも反映される、オンプレ環境も含めたファイル共有を実現するサービスになる。
以下も参考になる。Azure Filesをマウントして、そこを共有ファイルとして利用するのか、オンプレの複数サーバをFile Syncも使って同期するかといった使い分けだろう。
https://cloudsteady.jp/post/17079/

SSEとCSE

(ここだけAWS) CSEの場合は、クライアント側での暗号化のため、クライアント側で暗号化ロジックを記載する必要がある。

Azure Disk Encryption vs サーバーサイド暗号化

(ここはちゃんとMS)公式によると、SSEのほうが推奨している雰囲気。OSやイメージタイプを選ばなくて良いらしいとのこと。ADEの場合は、ホストOSの機能を使うことになるので、多少の縛りが存在してしまうのだろうと推測。
https://learn.microsoft.com/en-us/azure/virtual-machines/disk-encryption#server-side-encryption-versus-azure-disk-encryption

Blobのアクセスポリシーの設定

実際にコンテナを作った後に実施する。
不変ストレージと訴訟ストレージがある。どちらも、変更や削除を禁止するポリシーだが、前者は時間期限付きで、後者はポリシー自体がクリアになるまで永遠に続くものである。なお訴訟ホールドについては、ポリシーがクリアになった後に、オブジェクトの削除はできるが上書きはできない。

ストレージアカウントのSASとは

ストレージアカウントへの一時的な制限付きアクセスを提供する機能である。
画像の通り、操作やその対象を選択して、接続文字列を発行することで利用できる。
アプリなどに接続文字列を渡すことで、セキュアに一時的な操作が可能になる。

Blobの種類

ブロックBlob:テキストやバイナルファイルの格納と、大きいファイルの効率的なアップロードに適している。
追加Blob:追加操作用に最適化されている。ログ記録に最適
ページBlob:頻繁なランダムな読み取りに適している。OSディスクやデータディスクに使われる。

Discussion