FSx for Windows File Server のベストプラクティス - Amazon FSx for Windows File Server
一般的なベストプラクティスセキュリティのベストプラクティスActive Directoryファイルシステムの設定と適切なサイズ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

FSx for Windows File Server のベストプラクティス

Amazon FSx for Windows File Server を使用する場合は次のベストプラクティスに従うことをお勧めします。

一般的なベストプラクティス

モニタリングプランの作成

ファイルシステムのメトリックを使用して、ストレージとパフォーマンスの使用状況をモニタリングし、使用パターンを把握し、使用量がファイルシステムのストレージまたはパフォーマンスの制限に近づくときに通知をトリガーできます。Amazon FSx ファイルシステムとアプリケーション環境の他の部分と一緒に監視することで、パフォーマンスに影響する可能性のある問題をすばやくデバッグできます。

ファイルシステムに十分なリソースがあることの確認

リソースが不足していると、I/O リクエストの待ち時間が長くなり、ファイルシステムが完全または部分的に利用できなくなったように見える場合があります。パフォーマンスの監視とパフォーマンスの警告と推奨事項へのアクセスについて詳しくは、「パフォーマンスの警告と推奨事項」を参照してください。

セキュリティのベストプラクティス

ファイルシステムのセキュリティとアクセス制御を管理するには、次のベストプラクティスに従うことをお勧めします。Amazon FSx を設定してセキュリティおよびコンプライアンスの目標を満たすための詳細については、「Amazon FSx のセキュリティ」を参照してください。

ネットワークセキュリティ

ファイルシステムに関連付けられている ENI を変更または削除しないでください

Amazon FSx ファイルシステムは、ファイルシステムに関連付ける仮想プライベートクラウド (VPC) 内に存在する Elastic Network Interface (ENI) を通してアクセスされます。このネットワークインターフェイスを変更または削除すると、VPC とファイルシステムとの間の接続が完全に失われる可能性があります。

セキュリティグループとネットワーク ACL の使用

セキュリティグループとネットワークアクセスコントロールリスト (ACL) を使用して、ファイルシステムへのアクセスを制限できます。VPC セキュリティグループについては、デフォルトのセキュリティグループがコンソールでファイルシステムにすでに追加されています。ファイルシステムを作成するサブネットのセキュリティグループとネットワーク ACL が、ポート上のトラフィックを許可していることを確認してください。

Active Directory

Amazon FSx ファイルシステムを作成すると、 Microsoft Active Directory ドメインに参加して、ユーザー認証、共有レベル、ファイルレベル、およびフォルダレベルのアクセスコントロール認可の提供が可能になります。ユーザーは既存の Active Directory アカウントを使用してファイル共有に接続し、その中のファイルやフォルダーにアクセスできます。さらに、既存のセキュリティ ACL の設定を修正することなく、Amazon FSx に移行できます。Amazon FSx では、Active Directory オプションとして、AWS マネージド型 Microsoft AD またはセルフマネージド型 Microsoft Active Directory の 2 つが用意されています。

AWS 管理下にある Microsoft アクティブディレクトリ を使用している場合は、アクティブディレクトリセキュリティグループのデフォルト設定のままにしておくことをお勧めします。これらの設定を変更する場合は、ネットワーク要件を満たすネットワーク構成を維持することを確認します。詳細については、「ネットワークの前提条件」を参照してください。

セルフマネージド型 Microsoft Active Directory を使用している場合は、ファイルシステムを構成するための追加オプションがあります。セルフマネージド型 Microsoft AD で Amazon FSx を使用する場合の初期設定には、次のベストプラクティスをお勧めします:

  • サブネットを単一の Active Directory サイトに割り当てる: Active Directory 環境に多数のドメインコントローラーがある場合は、Active Directory サイトとサービスを使用して、Amazon FSx ファイルシステムが使用するサブネットを、可用性と信頼性が最も高い単一の Active Directory サイトに割り当てます。VPC セキュリティグループ、VPC ネットワーク ACL、DC の Windows ファイアウォールルール、および Active Directory インフラストラクチャにあるその他のネットワークルーティングコントロールで、必要なポートで Amazon FSx からの通信が許可されていることを確認してください。割り当てられたアクティブディレクトリサイトを使用できない場合、これによって Windows を他の DC に戻すことができます。詳細については、「Amazon VPC を使用したファイルシステムアクセスコントロール」を参照してください。

  • 別の組織単位 (OU) を使用する: Amazon FSx ファイルシステムには、他の組織単位とは別の OU を使用します。

  • 必要最小限の権限を持つサービスアカウントを設定する: Amazon FSx に提供するサービスアカウントを、必要最低限の権限で設定または委任します。詳細については、「セルフマネージド Microsoft Active Directory を使用する」を参照してください。

  • Active Directory 設定を継続的に検証する: Amazon FSx ファイルシステムを作成する前に、AD 設定に対して Amazon FSx Active Directory 検証ツール を実行して、設定が Amazon FSx で使用できることを確認し、ツールで表示される可能性のある警告やエラーを発見します。

  • を使用した Active Directory 認証情報の保存 AWS Secrets Manager: を使用して AWS Secrets Manager 、Microsoft Active Directory ドメイン参加サービスアカウントの認証情報を安全に保存および管理できます。この方法により、機密性の高い認証情報をアプリケーションコードまたは構成ファイルにプレーンテキストで保存する必要がなくなり、セキュリティ体制が強化されます。詳細については、「を使用した Active Directory 認証情報の保存 AWS Secrets Manager」を参照してください。

Active Directoryの設定不備による可用性の低下を回避する

Amazon FSx をセルフマネージド型 Microsoft AD で使用する場合、ファイルシステムの作成中だけでなく、継続的な運用と可用性のためにも有効な アクティブディレクトリ設定をすることが重要です。障害回復イベント、定期メンテナンスイベント、およびスループットキャパシティ更新アクション中に、Amazon FSx はファイルサーバーリソースを Active Directory に再結合します。イベント中に Active Directory 構成が有効でない場合、ファイルシステムのステータスが Misconfigured に変わり、使用できなくなる可能性があります。ここでは、可用性を損なわないための方法を紹介します。

  • Amazon FSx で Active Directory 設定を最新の状態に保つ: サービスアカウントのパスワードのリセットなどの変更を行う場合は、このサービスアカウントを使用するすべてのファイルシステムの設定を必ず更新していることを確認してください。

  • Active Directory の設定ミスを監視する: 設定ミスのステータス通知を自分で設定して、必要に応じてファイルシステムの Active Directory 設定をリセットできるようにします。Lambda ベースのソリューションを使用してこれを実現する例については、Amazon EventBridge を使用した Amazon FSx ファイルシステムの正常性監視および AWS Lambdaを参照してください。

  • Active Directory 構成の定期的な検証:Active Directory の設定誤りを積極的に検出したい場合は、継続的に Active Directory 検証ツールを実行することを推奨します。検証ツールの実行中に警告やエラーが表示される場合は、ファイルシステムが誤って設定されるリスクがあることを意味します。

  • FSx によって作成されたコンピューターオブジェクトを移動または変更しないでください: Amazon FSx は、提供したサービスアカウントと権限を使用して、Active Directory 内のコンピューターオブジェクトを作成および管理します。これらのコンピューターオブジェクトを移動または変更すると、ファイルシステムが誤って設定される可能性があります。

Windows ACL

Amazon FSx では、きめ細かい共有レベル、ファイルレベル、およびフォルダレベルのアクセスコントロールでスタンダードの Windows アクセスコントロールリスト (ACL) を使用します。Amazon FSx ファイルシステムは、ファイルシステムデータにアクセスするユーザーの認証情報を自動的に検証して、これらの Windows ACL を適用します。

  • SYSTEM ユーザーの NTFS ACL アクセス許可を変更しない: Amazon FSx では、SYSTEM ユーザーがファイルシステム内のすべてのフォルダーに対するフルコントロールの NTFS ACL アクセス許可を持っている必要があります。SYSTEM ユーザーの NTFS ACL アクセス許可を変更すると、ファイルシステムにアクセスできなくなり、今後のファイルシステムバックアップが使用できなくなる可能性があります。

ファイルシステムの設定と適切なサイズ

デプロイタイプの選択

Amazon FSx には、シングル AZ とマルチ AZ の 2 つのデプロイ オプションがあります。共有 Windows ファイルデータの高可用性を必要とするほとんどのプロダクションワークロードでは、マルチ AZ ファイルシステムの使用をお勧めします。詳細については、「可用性および耐久性: シングル AZ およびマルチ AZ のファイルシステム」を参照してください。

スループットキャパシティの選択

ワークロードの予想トラフィックだけでなく、ファイルシステムで有効にする機能をサポートするために必要な追加のパフォーマンスリソースも満たせるように、十分なスループットキャパシティでファイルシステムを構成します。例えば、データ重複排除を実行している場合、選択するスループットキャパシティは、使用しているストレージに基づいて重複排除を実行するのに十分なメモリを提供する必要があります。シャドウコピーを使用している場合は、Windows Server がシャドウコピーを削除しないように、スループットキャパシティをワークロードによって駆動されると予想される値の 3 倍以上の値に増やしてください。詳細については、「スループットキャパシティがパフォーマンスに与える影響」を参照してください。

ストレージキャパシティとスループットキャパシティの向上

空きストレージが不足している場合や、ストレージ要件が現在のストレージ制限よりも大きくなることが予想される場合は、ファイルシステムのストレージキャパシティを増やします。ファイルシステム上で常に 20% 以上の空きストレージ容量を維持することをお勧めします。また、ストレージ容量を増やす前にスループット容量を少なくとも 20% 増やして、ストレージの増加中のパフォーマンスへの影響を相殺することをお勧めします。FreeStorageCapacity CloudWatch メトリクスを使用して、利用可能な空きストレージの量をモニタリングし、その傾向を把握することができます。詳細については、「ストレージ容量の管理」を参照してください。

また、ワークロードが現在のパフォーマンス制限によって制約されている場合は、ファイルシステムのスループットキャパシティも増やす必要があります。FSx コンソールの [Monitoring and performance] (監視とパフォーマンス) ページを使用して、ワークロードの要求がパフォーマンスの制限に近づいたか、またはそれを超えたかを確認して、ファイルシステムがワークロードに対して十分にプロビジョニングされていないかどうかを判断できます。

ストレージのスケーリング時間を最小限に抑え、書き込みパフォーマンスの低下を防ぐには、ストレージキャパシティを増やす前にファイルシステムのスループットキャパシティを増やし、ストレージキャパシティの増加が完了した後にスループットキャパシティを縮小することをお勧めします。ほとんどのワークロードでは、ストレージのスケーリング中にパフォーマンスへの影響が最小限に抑えられます。ただし、HDD ストレージタイプを持つファイルシステムや、多数のエンドユーザー、高レベルの I/O、または多数の小さなファイルを持つデータセットを含むワークロードでは、一時的にパフォーマンスが低下する可能性があります。詳細については、「ストレージ容量の拡張とファイルシステムのパフォーマンス」を参照してください。

アイドル期間中のスループットキャパシティの変更

スループットキャパシティを更新すると、シングル AZ ファイルシステムでは数分間可用性が中断され、マルチ AZ ファイルシステムではフェイルオーバーおよびフェイルバックが発生します。マルチ AZ ファイルシステムでは、フェイルオーバーおよびフェイルバック中にトラフィックが継続している場合、このときに実行したすべてのデータ変更をファイルサーバー間で同期する必要があります。書き込みが多いワークロードや IOPS が多いワークロードでは、データ同期プロセスに数時間かかることがあります。この間、ファイルシステムは引き続き利用可能になりますが、データ同期の期間を短縮するため、ファイルシステムの負荷が最小であるアイドル期間中に保守ウィンドウをスケジューリングし、スループットキャパシティの更新を実行することをお勧めします。詳細についてはスループット容量の管理を参照してください。