OCI技術資料 : ファイル・ストレージ 概要

Transcript

1. ファイル・ストレージ概要 File Storage Service 100 Oracle Cloud Infrastructure 技術資料 2023年4月

2. 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とする ものであり、いかなる契約にも組み込むことはできません。 以下の事項は、マテリアルやコード、機能を提供することをコミットメント（確約）するものではないため、購買決定を行う 際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリースおよび時期については、弊社の裁量により決定されます。 OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。 文中の社名、商品名等は各社の商標または登録商標である場合があります。 Safe

   harbor statement Copyright © 2022 Oracle and/or its affiliates. 2

3. OCI ストレージサービス Copyright © 2022 Oracle and/or its affiliates. 3

   ローカル NVMe ブロック ボリューム ファイル ストレージ オブジェクト ストレージ アーカイブ ストレージ タイプ NVMe SSDベースの 一時ストレージ NVMe SSD ベースの ブロックストレージ NFSv3 互換 ファイルシステム 耐久性の高い オブジェクトストレージ 長期アーカイブと バックアップ 耐久性 耐久性はないが、 再起動後もデータは存続 耐久性あり (1AD内に複数のコピー) 耐久性あり (1AD内に複数のコピー) 高耐久性 (AD間で複数のコピー) 高耐久性 (AD間で複数のコピー) 容量 テラバイト以上 ペタバイト以上 エクサバイト以上 無制限 無制限 ユニットサイ ズ BM ： 51.2 TB VM ： 6.4～25.6 TB 50 GB ～ 32 TB/Vol 32vol/インスタンス 最大8エクサバイト 10 TB/オブジェクト 10 TB/オブジェクト ユース ケース ビッグデータ、OLTP、高パフ ォーマンスのワークロード SAN のような機能を必要と するアプリ (Oracle DB、エン タープライズアプリケーション) 共有ファイルシステムを必要 とするアプリ (EBS、HPC) ログ、画像、動画 など非構造化データ 長期的なアーカイブとバックア ップ(Oracle DB バックアップ)

4. エンタープライズレベルの共有ファイル用ストレージ フルマネージドで、簡単にデプロイ可能なNFS v3共有ファイルストレージ • 数キロバイトから8エクサバイトまで • 使った分だけ課金 (¥42 /GB/month) 機能

   • NFS v3、 POSIX準拠、Network Lock Management (NLM) • スナップショット機能 • 1ファイルシステムあたり最大10,000個のスナップショット • デフォルトで暗号化 • 新規作成されたファイルシステム上ではAES 256で暗号化 • 管理コンソール、API/CLI、Terraform • テナンシごとに1AD内で最大100ファイルシステムと 2マウントポイント（Pay-as-You-Goの場合）/ 6マウントポイント（前払い：Monthly Flex/Annual Flexの場合） ストレージ: ファイル・ストレージ Copyright © 2022 Oracle and/or its affiliates. 4 ・・・ インスタンス NFSマウント ファイル・ストレージ

5. ファイル・ストレージ・サービス – ユースケース Copyright © 2022 Oracle and/or its affiliates.

   5 汎用 ファイルシステム ビッグデータ・ 分析 HPC スケールアウト構成の アプリケーション Oracleアプリケーションの Lift & Shift 検証開発用 データベース マイクロサービス コンテナ EBS

6. マウント・ターゲット • 特定のサブネットに配置された NFSエンドポイント、可用性ドメイン内に作成 される • マウント・ターゲットは、mount コマンド実行時 に指定するIP アドレスとDNS名

   (例:10.0.0.6) • サブネット内に3つのプライベート IPアドレスが 必要 (/30のサブネットは使用不可) • 2つのIPアドレスがマウント・ターゲットの作成時 に使用され、3つ目のIPはHAのために使用さ れる マウント・ターゲット Copyright © 2022 Oracle and/or its affiliates. 6 OCI リージョン 可用性ドメイン2 可用性ドメイン1 10.0.0.0/24 10.0.1.0/24 NFSクライアント NFSクライアント VCN (10.0.0.0/16) 10.0.2.0/24

7. マウント・ターゲット • マウント・ターゲットで使用されるプライベートIPア ドレスはユーザーには表示されないため、NFSク ライアントとマウント・ターゲットを同じサブネットに 置くとIPのコンフリクトが発生 • FSSマウント・ターゲットは独立したサブネットに 配置することを推奨 マウント・ターゲット(続き)

   Copyright © 2022 Oracle and/or its affiliates. 7 OCI リージョン 可用性ドメイン2 可用性ドメイン1 10.0.0.0/24 10.0.1.0/24 NFSクライアント NFSクライアント VCN (10.0.0.0/16) 10.0.2.0/24

8. ファイル・システム • FSS にファイルを格納するためのリソース • ファイル・システムにアクセスするには、新規 (または既存の) マウント・ターゲットを割り当て • マウント・ターゲットあたり100個のファイル・シ

   ステムを割り当て可能 • 可用性ドメイン内リソース • OCI VM/BM インスタンスからアクセス可能 • FastConnect/VPN を介してオンプレミスか らのアクセスも可能 ファイル・システム Copyright © 2022 Oracle and/or its affiliates. 8 OCI リージョン 可用性ドメイン2 可用性ドメイン1 10.0.0.0/24 10.0.1.0/24 NFS クライアント NFS クライアント VCN (10.0.0.0/16) 10.0.2.0/24

9. エクスポート・パス • ファイル・システム作成時に、マウント・ターゲットと関連付けるために指定する一意のパス 同じマウント・ターゲットに関連付けられた2つのファイル・システムが重複するエクスポート・パスを持つことはでき ない • 例） /example と /example/path

   のようなパスはNG エクスポート・パスは、マウント・ターゲットの IP アドレスとともに、ファイル・システムをインスタンスにマウントするた めに使用される FSS エクスポート・パス Copyright © 2022 Oracle and/or its affiliates. 9 マウント・ターゲット (NFS エンドポイント) : 10.0.0.6 エクスポート・パス 1 : /example1/path エクスポート・パス 2 : /example2/path エクスポート・パスの例 $ sudo mount 10.0.0.6:/example1/path /mnt/mountpointA $ sudo mount 10.0.0.6:/example2/path /mnt/mountpointB /mnt/mountpointA と /mnt/mountpointB は外部ファイル・システムがマウントされているNFS クライア ントインスタンス上のディレクトリへのパス マウントコマンド実行例

10. • コンソールからインスタンスを起動 • FSSボリュームのマウントにはNFSv3を利用 • nfs-utils (Oracle Linux and CentOS)

    もしくはnfs- common (Ubuntu) をLinux上にインストール • ディレクトリを作成 • FSSのコンソールでマウントターゲットをクリック • Nfsコマンドを使って、プライベートIPアドレスでボリュー ムをマウント ファイル・システムのマウント Copyright © 2022 Oracle and/or its affiliates. 10 opc@node01:~$ sudo mkdir -p /<user’s target directory> opc@node01:~$ sudo mount <IPaddress>:<path-name> /<user’s target directory> opc@node01:~$ sudo yum install nfs-utils opc@node01:~$ sudo mkdir -p /mnt/nfs opc@node01:~$ sudo mount 10.0.0.3:/fss-shared /mnt/nfs 注）ファイルストレージサービスの性能を引き出すためにはマウントオプションを指定しないことを推奨。オプション指定しないことで、クライアントからサーバーに 対してread / write操作に最適なウィンドウサイズをネゴシエーションする。

11. Copyright © 2022 Oracle and/or its affiliates. 11 ファイル・ストレージ・サービス デモ

    File Storage Service Demo

12. Copyright © 2022 Oracle and/or its affiliates. 12 ファイル・ストレージ・サービス セキュリティ

    File Storage Service Security

13. セキュリティ層 使用する機能 制御内容例 IAM サービス OCI ユーザー, ポリシー インスタンス (NFS

    クライアント) と FSS VCNの作成。 ファイル・システムとマウント・ターゲットの作成、一覧表示、およ び関連付け。 セキュリティ・リスト CIDR ブロック マウント・ターゲットへの NFS クライアント・インスタンスの接続 エクスポート・オプション エクスポート・オプション、 CIDR ブロック セキュリティ・リスト・レイヤと NFS v.3 Unix セキュリティ・レイヤを 経由するソース IP CIDR ブロックに基づいて、ファイル・システム 単位でのアクセス制御 NFS v3 Unix セキュリティ Unix ユーザー ファイル・システムのマウント1、書き込みファイルの読み取り、ファ イルアクセスセキュリティ セキュリティ Copyright © 2022 Oracle and/or its affiliates. 13 FSS を使用する際に考慮する必要がある、4つの異なるセキュリティ層 1ファイル・システムをマウントする場合は、nolock、rsize、wsize などのマウントオプションを使用しないでください。 これらのオプションを使用すると、パフォーマンスとファイルロックの問題が発生する場合があります。

14. セキュリティ・リストを仮想ファイアウォールとして使用して、NFS クライアントが (同じサブネットにあっても) FSS マウント・ター ゲットをマウントしないようにすることができます。 FSSで利用されるプロコルとポート • ステートフル、受信TCP ポート111、2048–2050

    • ステートフル、受信UDP ポート111および2048 これらのポートを開くと、Solaris、Linux、および Windows NFSクラ イアント からのトラフィックが有効になります。 セキュリティ・リスト Copyright © 2022 Oracle and/or its affiliates. 14 OCI リージョン 可用性ドメイン-2 可用性ドメイン-1 10.0.0.0/24 10.0.1.0/24 NFS クライアント NFS クライアント VCN、10.0.0.0/16 10.0.2.0/24 タイプ 送信元CIDR プロトコル 送信元 ポート 宛先ポート 受信 10.0.0.0/241 TCP すべて 2048-2050 受信 10.0.0.0/24 TCP すべて 111 受信 10.0.0.0/24 UDP すべて 2048 受信 10.0.0.0/24 UDP すべて 111 1ファイル・システムにアクセスするために VCN 内のすべてのサブネット (例：10.0.1.0/24) に対して、宛先 CIDR を 10.0.0.0/16 に変更します。すべ てのルールはステートフルとなります。

15. セキュリティ・リストは「all or nothing」アプローチ - クライアントはマウント・ターゲットにアクセス「できる」か「できない」のどち らか。 NFS共有環境ではエクスポートオプションを使用することで、クライアントのファイル・システムへの接続、ファイルの読み込み、 書き込みなどアクセスを制御することができる • エクスポート・オプションの情報：ファイルシステムOCID、エクスポート・パス、クライアントアクセスオプション

    ファイル・システムと関連するマウント・ターゲットの作成直後は、ファイル・システムのNFSエクスポートオプションは、すべての NFSクライアントに対してフルアクセスを許可するように設定されています。 • デフォルトのエクスポート・オプションの内容 エクスポート・オプション Copyright © 2022 Oracle and/or its affiliates. 15 Source: 0.0.0.0/0 (All) Require Privileged Source Port: False Access: Read_Write Identity Squash: None

16. • ユースケース • 10.0.0.0/24 に割り当てられたクライアント X は、ファイル・システム A に対する読 み取り/書き込み権限が必要だが、ファイル・システム

    B に対しては必要ない。 • 10.0.1.0/24 に割り当てられたクライアント Y は、ファイル・システム B への読み取 り権限が必要だが、ファイル・システム Aにはアクセスしない。 • ファイル・システム A と B の両方が単一のマウント・ターゲットに関連付けられている。 • Console/CLI/API でクライアント・エクスポート・オプションを設定 エクスポート・オプション Copyright © 2022 Oracle and/or its affiliates. 16 クライアント X VCN、10.0.0.0/16 10.0.0.0/24 マウント・ターゲットのサブネット ファイル システム A ファイル システム B クライアント Y 10.0.1.0/24 10.0.2.0/24 ファイルシステムAのエクスポート・オプションの設定例

17. ファイルストレージにアクセスするユーザーに対して、読み書き 権限を与えないようにする機能 システム権限のないユーザーである「nobody」用の UID/GID 65534を与えることで権限を下げる（squash） Squashの対象は以下の3通り • なし • rootユーザー

    • すべてのユーザ エクスポート・オプション：squash機能 Copyright © 2022 Oracle and/or its affiliates. 17 VCN、10.0.0.0/16 10.0.0.0/24 ファイル システム X 10.0.2.0/24 読み取り/書き込み /mnt/none /mnt/root 設定するエク スポートパス Squash対 象ユーザー 読み 書き込み 実行 /mnt/none なし ◦ ◦ ◦ /mnt/root ルート × × ◦ Root user 2つのエクスポートパスに対してrootユーザーでアクセス

18. • 転送中暗号化 (In-transit Encryption) を使用すると、 TLS v.1.2 (Transport Layer Security)

    暗号化を使用して、 インスタンスとマウントされたファイル・システム間でデータの保護が可能 • 転送中暗号化を有効化するには、インスタンスへ oci-fss-utils パッケージ をインストールする ※サポート対象: ⁃ Oracle Enterprise Linux 7またはCentOS7バージョン ⁃ Oracle Enterprise Linux 8またはCentOS8バージョン • バージョン20-1以降の oci-fss-utils を利用している場合、マウント時に “-o fips” オプションを付けることにより、Federal Information Processing Standards (FIPS) 準拠の FIPS-approveモードが 使用可能 ファイル・ストレージの転送中暗号化の使用 Copyright © 2022 Oracle and/or its affiliates. 18 TLS トンネル (１) oci-fss-utilsのインストール (２) oci-fss-utils を利用しマウント sudo mount -t oci-fss 10.x.x.x:/export-path /mnt/fss ファイル ストレージ サービス インスタンス インスタンス NFSマウント 転送中暗号化 (In-transit Encryption) sudo mount -t oci-fss -o fips 10.x.x.x:/fs-export-path /mnt/yourmountpoint https://docs.oracle.com/en-us/iaas/Content/File/Tasks/intransitencryption.htm

19. Copyright © 2022 Oracle and/or its affiliates. 19 ファイル・ストレージ・サービス スナップショット

    File Storage Service Snapshots

20. 読み取り専用でスペース効率の高い、ファイルシステムのポイント・イン・タイム・スナップショットを提供 スナップショットを実行すると、ファイル・システムのルートフォルダの下に、.snapshotという名前の隠しディレクトリが作成される。 ファイル・システムごとに最大10,000のスナップショット スナップショット内のファイルから復旧するか、cp または rsync コマンドを使用して、スナップショット全体をリストア可能 ターゲット・ファイル・システム内で、何も変更されていない状態でスナップショットを取得した場合は、追加のストレージ容量は消費されな い。 ファイル・ストレージ・サービスのスナップショット

    Copyright © 2022 Oracle and/or its affiliates. 20 cp –r .snapshot/snapshot_name/*destination_directory_name

21. Copyright © 2022 Oracle and/or its affiliates. 21 ファイル・ストレージ・サービス クローン

    File Storage Service Clones

22. Copyright © 2022 Oracle and/or its affiliates. 22 既存のスナップショットに基づいて即座に新規ファイルシステムが作成される。 •

    親ファイルシステムと同じAD内でのみ作成可能 • クローン作成後に行われたクローンへのデータ変更は親ファイル・システムに含まれず、同様に親ファイルシステムへのデータ変更はク ローンに反映されずにそれぞれ独立している。 • クローン作成後すぐにクローンにREAD、WRITE操作ができる。 – ただしハイドレーション(ソースからクローンにメタデータをコピーする非同期プロセス)中は共有データにアクセスするとパフォーマンスに影響がある。 • クローン・ツリーのルートを削除する場合はそのすべての子孫クローンをあらかじめ削除 • クローン数の制限は、通常のファイル・システムと同じ • 同時にハイドレーションできるクローン・ツリー内の最大クローン数と深さ – 最大クローン数 : 10個 – 最大深度 : 5 可用性ドメイン クローン クローン クローン ルート クローン クローン ファイル・ストレージ・サービスのクローン

23. Copyright © 2022 Oracle and/or its affiliates. 23 ファイル・ストレージ・サービス レプリケーション

    File Storage Service Replication

24. • ファイル・システムを別の可用性ドメインやリージョン間でレプリケーションすることが可能になった • コストはソースとターゲットファイルシステムの容量の合計 • ソース・ファイルシステムに存在するスナップショットはすべてターゲット・ファイル・システムにレプリケートされる • 初期同期には数時間かかる可能性がある • 初期同期以降は差分データだけがレプリケーションされていく

    • レプリケーション間隔を選択できる(最低60分～) • レプリケーション見積り機能を使用することで、レプリケーションがサポートされているかどうか、またコピーにかかる時間の 見積もりが可能 • ターゲット・リージョンは事前定義済みのリージョンからのみ選択 • 東京 → 大阪、シンガポール • 大阪 → 東京 ファイル・ストレージ・サービスのレプリケーション Copyright © 2023, Oracle and/or its affiliates | Confidential: Internal 24 東京 大阪 VCN VCN File Storage File Storage

25. • OCIファイルストレージサービスは、エラスティックで耐久性があり、分散配置されたエンタープライズ用途向 けのNFSサービスをオラクル管理のサービスとして提供 • NFS v3、スナップショットをサポート、標準で保存データの暗号化 • 高拡張性 (エクサバイト) と高性能

    • 独自の認証エンティティと方法により、4つのセキュリティ層でデータを保護 まとめ Copyright © 2022 Oracle and/or its affiliates. 25

26. 日本語マニュアル –ファイル・ストレージの概要 • https://docs.oracle.com/ja-jp/iaas/Content/File/Concepts/filestorageoverview.htm チュートリアル –ファイルストレージサービス(FSS)で共有ネットワークボリュームを利用する • https://oracle-japan.github.io/ocitutorials/beginners/using-file-storage/ ファイル・ストレージ 関連の技術情報

    Copyright © 2022 Oracle and/or its affiliates. 26

27. Oracle Cloud Infrastructure マニュアル (日本語 / 英語) • https://docs.cloud.oracle.com/iaas/api/ -

    APIリファレンス • https://docs.cloud.oracle.com/ja-jp/iaas/Content/General/Reference/aqswhitepapers.htm - テクニカ ル・ホワイト・ペーパー • https://docs.cloud.oracle.com/iaas/releasenotes/ - リリースノート • https://docs.cloud.oracle.com/ja-jp/iaas/Content/knownissues.htm - 既知の問題(Known Issues) • https://docs.cloud.oracle.com/ja-jp/iaas/Content/General/Reference/graphicsfordiagrams.htm - OCIアイコン・ダイアグラム集(PPT、SVG、Visio用) ※ 日本語版は翻訳のタイムラグのため情報が古い場合があります。最新情報は英語版をご確認ください Oracle Cloud Infrastructure マニュアル・ドキュメント Copyright © 2022 Oracle and/or its affiliates. 27

28. Oracle Cloud Infrastructure 活用資料集 • https://oracle-japan.github.io/ocidocs/ チュートリアル - Oracle Cloud

    Infrastructureを使ってみよう • https://oracle-japan.github.io/ocitutorials/ Oracle Cloud ウェビナーシリーズ • https://www.oracle.com/goto/ocws-jp Oracle 主催 セミナー、ハンズオン・ワークショップ • https://www.oracle.com/search/events/_/N-2bu/ Oracle Cloud Infrastructure – General Forum (英語) • https://cloudcustomerconnect.oracle.com/resources/9c8fa8f96f/summary Oracle Cloud Infrastructure トレーニング・技術フォーラム Copyright © 2022 Oracle and/or its affiliates. 28

29. Thank you 29 Copyright © 2022 Oracle and/or its affiliates.

30. None