Oracle Cloud Infrastructureドキュメント

ファイル・ストレージの概要

Oracle Cloud Infrastructure File Storage Serviceでは、永続的でスケーラブルな分散型のエンタープライズ規模のネットワーク・ファイル・システムを提供します。仮想クラウド・ネットワーク(VCN)のベア・メタル、仮想マシンまたはコンテナ・インスタンスからファイル・ストレージ・サービスのファイル・システムに接続できます。また、VCNピアリング、Oracle Cloud Infrastructure FastConnectおよびインターネット・プロトコル・セキュリティ(IPSec)の仮想プライベート・ネットワーク(VPN)を使用して、VCNの外部からファイル・システムにアクセスすることもできます。

多数のインスタンスが存在する大規模なコンピュート・クラスタでは、高パフォーマンスの共有ストレージ用にファイル・ストレージ・サービスを使用できます。ストレージ・プロビジョニングは、事前プロビジョニングがなくても1バイトから数EBに使用量がスケーリングされるため、完全に管理され、自動化されます。

ファイル・ストレージ・サービスでは、ネットワーク・ファイル・システム・バージョン3.0 (NFSv3)プロトコルをサポートしています。このサービスでは、ファイル・ロック機能用にNetwork Lock Manager (NLM)プロトコルをサポートしています。

Oracle Cloud Infrastructure File Storageでは、異なるフォルト・ドメインにある5方向のレプリケートされたストレージを使用して、回復可能なデータ保護の冗長性を提供します。データは、消去エンコーディングで保護されます。

ファイル・ストレージ・サービスでは、データ消去の方法として「最終的な上書き」を使用します。ファイルは一意の暗号化キーを使用してファイル・システムに作成されます。単一のファイルを削除すると、関連付けられている暗号化キーが消去され、ファイルにアクセスできなくなります。ファイル・システム全体を削除すると、ファイル・システムがアクセス不能としてマークされます。サービスでは、削除されたファイルとファイル・システムを内部的に走査し、すべての使用されている領域を解放して、すべての残存ファイルを消去します。

アプリケーションまたはワークロードにビッグ・データとアナリティクス、メディア処理またはコンテンツ管理が含まれていて、Portable Operating System Interface (POSIX)準拠のファイル・システム・アクセス・セマンティクスおよび同時アクセス可能なストレージが必要な場合は、ファイル・ストレージ・サービスを使用します。ファイル・ストレージ・サービスは、次のような広範なユース・ケースでエンタープライズ・ファイル・システムを必要とするアプリケーションとユーザーのニーズを満たすように設計されています:

  • 汎用ファイル・ストレージ: ファイル・システムの無制限のプールにアクセスして、構造化データおよび非構造化データの増加を管理します。
  • ビッグ・データおよびアナリティクス: 分析ワークロードを実行し、共有ファイル・システムを使用して永続データを格納します。
  • エンタープライズ・アプリケーションのリフトおよびシフト: Oracle E-Business SuiteやPeopleSoftなど、NFSストレージを必要とする既存のOracle Applicationsを移行します。
  • データベースとトランザクション・アプリケーション: Oracle、MySQLまたは他のデータベースとテスト・ワークロードおよび開発ワークロードを実行します。
  • バックアップ、ビジネス継続性およびディザスタ・リカバリ: バックアップおよびディザスタ・リカバリの目的で、オンプレミスからクラウドの関連するファイル・システムのセカンダリ・コピーをホストします。
  • MicroServicesおよびDocker: コンテナにステートフル永続性を提供します。コンテナベースの環境の拡張に合せて簡単にスケーリングできます。
ノート

ファイル・ストレージは、64ビット・アプリケーションで使用するように設計されています。詳細は、32ビット・アプリケーションがファイル・システムへの読取りまたは書込みを停止を参照してください。
ヒント

サービスおよびその機能の概要ビデオを視聴してください。

ファイル・ストレージの概念

ファイル・ストレージ・サービスを使用するには、Oracle Cloud Infrastructure Networkingに関する概念を含む次の概念について理解する必要があります:

マウント・ターゲット
選択したサブネットに存在し、高可用性のNFSエンドポイントです。マウント・ターゲットは、IPv4アドレスを使用してファイル・システムと通信します。マウント・ターゲットはIPアドレスまたはDNS名を提供し、これは、NFSクライアントをファイル・システムに接続するときにマウント・コマンドで使用されます。ファイル・システムは、マウント・ターゲットを介してエクスポートされます(使用可能になります)。コンソールを使用して最初のファイル・システムを作成すると、ワークフローによってマウント・ターゲットおよびそのエクスポートも作成されます。
同じマウント・ターゲットを再利用して、ネットワークで使用可能なファイル・システムを必要な数だけ作成できます。複数のファイル・システムに同じマウント・ターゲットを再利用するには、各ファイル・システムに対するエクスポートをマウント・ターゲット内に作成します。

マウント・ターゲットの制限:

  • 各マウント・ターゲットは、最大100,000のNFSクライアント接続を受け入れることができます。
  • 転送中暗号化を使用する場合、各マウント・ターゲットは最大64のNFS/SSLクライアント接続を受け入れることができます。詳細は、転送中TLS暗号化の使用を参照してください。
  • デフォルトでは、各可用性ドメインでアカウントごとに2つのマウント・ターゲットを作成できます。適用可能な制限の一覧と制限の引上げをリクエストする手順は、サービス制限を参照してください。
このリソースの作業の詳細は、マウント・ターゲットの管理を参照してください。
エクスポート
NFSクライアントがマウント・ターゲットに接続するときにファイル・システムにアクセスする方法は、エクスポートによって制御されます。ファイル・システムは、マウント・ターゲットを介してエクスポートされます(使用可能になります)。各マウント・ターゲットには、1つ以上のエクスポートを含むエクスポート・セットが保持されます。インスタンスがファイル・システムをマウントするために、ファイル・システムには1つのマウント・ターゲットに1つ以上のエクスポートが必要です。エクスポートで使用される情報には、ファイル・システムOCID、マウント・ターゲットOCID、エクスポート・セットOCID、エクスポート・パスおよびクライアント・エクスポート・オプションがあります。新しいファイル・システムを作成すると、ワークフローによってマウント・ターゲットおよびそのエクスポートも作成されます。その後は、
  • マウント・ターゲットには、様々なファイル・システムのエクスポートを必要な数だけ作成できます。
  • 1つのファイル・システムのマウント・ターゲットに、必要な数のエクスポートを作成できます。
  • マウント・ターゲット内のエクスポートは、必要な回数だけ削除および再作成できます。
  • エクスポート・オプションを追加して、ファイル・システムへのアクセスを制御できます。
詳細は、マウント・ターゲットの管理およびNFSエクスポートおよびエクスポート・オプションの作業を参照してください。
エクスポート・セット
1つ以上のエクスポートの集合です。NFSv3プロトコルを使用してマウント・ターゲットでエクスポートされるファイル・システムと、NFSマウント・プロトコルを使用してそれらのファイル・システムがどのように検出されるかを制御します。各マウント・ターゲットにはエクスポート・セットがあります。マウント・ターゲットに関連付けられた各ファイル・システムでは、エクスポート・セットに少なくとも1つのエクスポートがあります。
エクスポート・パス
エクスポートの作成時に指定されるパスです。これはマウント・ターゲット内のファイル・システムを一意に識別するもので、これによって1つのマウント・ターゲットに多数のファイル・システムを関連付けることができます。このパスは、ファイル・システム内のパス、またはクライアントのマウント・ポイント・パスとは無関係です。
ファイル・ストレージ・サービスでは、ファイル・システムのOracle Cloud Identifier (OCID)とパスをペアにするエクスポートを追加します。
詳細は、ファイル・システム内のパスを参照してください。
エクスポート・オプション
NFSエクスポート・オプションとは、NFSクライアントがマウント・ターゲットに接続するときに付与されるアクセス権のレベルを指定する、エクスポート内の一連のパラメータです。エクスポート内のNFSエクスポート・オプション・エントリでは、単一のIPアドレスまたはCIDRブロック範囲に対するアクセス権を定義します。エクスポートごとに最大100のオプションを設定できます。詳細は、NFSエクスポートおよびエクスポート・オプションの作業を参照してください。
仮想クラウド・ネットワーク(VCN)
Oracleデータ・センターに設定するプライベート・ネットワークです。ファイアウォール・ルールおよび特定の通信ゲートウェイ・タイプがあり、使用を選択できます。VCNは、選択した単一の連続したIPv4 CIDRブロックを対象としています。VCNの詳細は、Oracle Cloud Infrastructure NetworkingドキュメントのVCNとサブネットを参照してください。
ファイル・システムへのトラフィックはインターネットを経由しませんが、インターネットでAPIまたはSDKを使用してファイル・ストレージ・リソースを管理できます。サービス・ゲートウェイを設定し、リソースを管理するためのファイル・ストレージAPIへのVCNプライベート・アクセス権を付与することを選択できます。サービス・ゲートウェイを作成する場合は、「Oracle Services Networkのすべての<region>サービス」というサービス・ラベル(ファイル・ストレージ・サービスを含む)を有効にします。サービス・ゲートウェイを介したファイル・ストレージAPIアクセスを必要とするサブネットのルート表は、必ず更新してください。
詳細情報および詳細な手順は、コンソールでのサービス・ゲートウェイの設定を参照してください
サブネット
VCNで定義する下位区分(例: 10.0.0.0/24および10.0.1.0/24)です。サブネットには、インスタンスにアタッチする仮想ネットワーク・インタフェース・カード(VNIC)が含まれます。サブネットは、リージョンにまたがることも、単一の可用性ドメインに存在することもできます。サブネットは、VCNの他のサブネットと重複しない連続したIPアドレスの範囲で構成されます。サブネットごとに、適用するルーティング・ルールおよびセキュリティ・リストを指定します。サブネットの詳細は、Oracle Cloud Infrastructure NetworkingドキュメントのVCNとサブネットに関する項を参照してください。
セキュリティ・ルール
VCNの仮想ファイアウォール・ルール。VCNにはデフォルトのセキュリティ・リストが付属していますが、さらに追加することもできます。これらのセキュリティ・リストでは、インスタンスへの送受信が許可されるトラフィックのタイプを指定するイングレスおよびエグレス・ルールを提供します。特定のルールがステートフルかどうかを選択できます。クライアントがファイル・システムのマウント・ターゲットに接続できるように、セキュリティ・リスト・ルールを設定する必要があります。
ネットワーク・セキュリティ・グループ(NSG)セキュリティ・ルールを適用する別の方法として、それらをネットワーク・セキュリティ・グループ(NSG)に設定してから、マウント・ターゲットをNSGに追加する方法もあります。サブネット内のすべてのVNICに適用されるセキュリティ・リスト・ルールと異なり、NSGは、NSGに追加するリソースVNICにのみ適用されます。
これらの機能がネットワークでどのように相互作用するかの詳細、例およびシナリオは、セキュリティ・ルールセキュリティ・リストおよびネットワーク・セキュリティ・グループを参照してください。ネットワーキングの概要には、ネットワーキングに関する一般的な情報が記載されています。詳細は、ファイル・ストレージに対するVCNセキュリティ・ルールの構成を参照してください。
スナップショット
スナップショットは、ファイル・システムの一貫性のあるポイントインタイム・ビューを提供し、必要な数のスナップショットを作成できます。スナップショットで使用されるストレージ容量を含む、データおよびメタデータで使用されるストレージのみが消費されます。各スナップショットは、前のスナップショットから変更されたデータのみを反映します。詳細は、スナップショットの管理を参照してください。

暗号化

ファイル・ストレージ・サービスは、保存中のすべてのファイル・システムとスナップショット・データを暗号化します。デフォルトでは、すべてのファイル・システムは、Oracle管理の暗号化キーを使用して暗号化されます。ボールト・サービスを使用して所有および管理するキーによって、すべてのファイル・システムを暗号化することもできます。
ノート

現在、ファイル・システムの暗号化では、対称Advanced Encryption Standard (AES)キーのみがサポートされています。
詳細は、「概要」を参照してください。

新規ファイル・システムに独自のキーを使用する方法の詳細は、ファイル・システムの作成を参照してください。既存のファイル・システムのキーの割当てまたは変更方法は、ファイル・システムの暗号化を参照してください。

データ転送

FastConnectでは、データ転送を高速化する機能を提供しています。FastConnectファイル・ストレージ・サービスの統合を利用すると、特に初期データ移行、大規模ファイルへのワークフロー・データ転送、および2つのリージョン間のディザスタ・リカバリ・シナリオを実行できます。

詳細は、ファイル・ストレージとの間のデータの転送を参照してください。

ファイル・ストレージ領域割当て

ファイル・ストレージ・サービスでは、可変サイズのブロックで領域を割り当てます。これにより、顧客の合計コストを最小限に抑え、最新のワークロードのパフォーマンスを最適化するように微調整します。使用される最小ブロック・サイズは8192バイトです。たとえば、1バイトのファイルを作成する場合は、8192バイトを割り当てます。大きなファイルを格納するには、より大きなブロックを使用します。ファイル・システムおよびスナップショットの使用量についてさらに学習するには、ファイル・システムの使用量および測定を参照してください。

ファイル・ストレージ権限の仕組み

ファイル・ストレージ・サービス・リソースには、ファイル・システム、マウント・ターゲットおよびエクスポート・セットが含まれます。認証および権限チェックのAUTH_SYSスタイルは、リモートNFSクライアント・リクエストでサポートされています。Oracle Cloud Infrastructure Identity and Access Management (IAM)のポリシー言語を使用して、Oracle Cloud Infrastructureリソースへのアクセスを定義します。エクスポート・セットおよびファイル・システムのエクスポートとスナップショットの補助リソースをそれぞれ考慮できます。そのため、ユーザーには独自の権限は必要ありません。関連リソースには、Oracle Cloud Infrastructure ComputeインスタンスおよびOracle Cloud Infrastructure Networking仮想クラウド・ネットワーク(VCN)があります。

Oracle Cloud Infrastructureユーザーがリソースを作成、削除および管理するには、リソース権限が必要です。適切なIAM権限がないと、マウント・ターゲットを介してファイル・システムをエクスポートできません。ファイル・システムがエクスポートされるまで、コンピュート・インスタンスはこれをマウントできません。IAMポリシーの作成の詳細は、ユーザーによるファイル・システムの作成、管理および削除を参照してください。

サブネット上のファイル・システムのエクスポートに成功した場合は、ネットワーキング・セキュリティ・リストを使用して、サブネットとマウント・ターゲット間のトラフィックを制御します。セキュリティ・リストは仮想ファイアウォールとして機能し、イングレス・ルールおよびエグレス・ルールで構成されたIPアドレスとポート範囲に対して、指定したネットワーク・トラフィックのみを許可します。サブネットに対して作成したセキュリティ・リストを使用すると、ホストがパケットを送受信し、ファイル・システムをマウントできます。個々のインスタンスにファイアウォールがあり、FastConnectを使用しているか、仮想プライベート・ネットワーク(VPN)を使用している場合、これらの設定もネットワーキング・レイヤーのセキュリティに影響を与える可能性があります。ファイル・ストレージ・サービスのセキュリティ・リストを作成する方法の詳細は、ファイル・システムの作成を参照してください。様々なタイプのセキュリティがファイル・システムでどのように連携しているかの詳細は、ファイル・ストレージのセキュリティについてを参照してください。

リージョンと可用性ドメイン

ファイル・ストレージ・サービスは、すべてのリージョンで使用できます。サポートされているリージョンのリストは、リージョンと可用性ドメインを参照してください。

ファイル・システムおよびマウント・ターゲットを作成する際、ターゲットを作成する可用性ドメインを指定します。その後、すべてのファイル・システム・データは、ファイル・システムが存在する可用性ドメイン内に完全に格納されます。可用性ドメイン内では、ファイル・ストレージ・サービスは、同期レプリケーションと高可用性フェイルオーバーを使用してデータを安全かつ利用できる状態に保ちます。

ファイル・システムを別の可用性ドメインまたはリージョンに移動することはできません。ただし、データのスナップショットを作成し、rsyncなどのツールを使用してデータを別の可用性ドメインまたはリージョンにコピーできます。データ保護操作のパフォーマンスを最大化するために、ファイル・ストレージのパラレル・ツール・スイートを使用できます。パラレル・ファイル・ツール・スイートは、tarrmおよびcpのパラレル・バージョンを提供します。スナップショットを使用したデータの保護の詳細は、スナップショットの管理を参照してください。

リージョン内の任意の可用性ドメインからマウント・ターゲットにアクセスすることは可能ですが、最適なパフォーマンスを得るためには、ファイル・ストレージ・リソースにアクセスするコンピュート・インスタンスと同じ可用性ドメインにファイル・ストレージ・リソースを配置します。

サブネットは、AD固有またはリージョナルです。どちらのタイプのサブネットにもファイル・ストレージ・リソースを作成できます。リージョナル・サブネットにより、コンピュート・インスタンスは、ADに関係なく、追加のルーティング構成を使用しないでサブネット内の任意のマウント・ターゲットに接続できます。ただし、レイテンシを最小化するには、AD固有のサブネットの場合と同様に、マウント・ターゲットをコンピュート・インスタンスと同じADに配置します。詳細は、VCNとサブネットの概要を参照してください。

イベントを使用した自動化の作成

イベント・タイプ、ルールおよびアクションを使用して、Oracle Cloud Infrastructureリソースに対する状態変更に基づいて自動化を作成できます。詳細は、イベントの概要を参照してください。

次のファイル・ストレージ・リソースがイベントを生成します:

  • ファイル・システム
  • スナップショット
  • マウント・ターゲット
  • エクスポート
  • エクスポート・セット

リソース識別子

ほとんどのタイプのOracle Cloud Infrastructureリソースには、Oracle Cloud ID (OCID)と呼ばれるOracleによって割り当てられた一意の識別子があります。OCIDのフォーマットおよびリソースを識別するその他の方法の詳細は、リソース識別子を参照してください。

Oracle Cloud Infrastructureへのアクセス方法

Oracle Cloud Infrastructure (OCI)にアクセスするには、コンソール(ブラウザベースのインタフェース)、REST APIまたはOCI CLIを使用します。 コンソール、APIおよびCLIの使用手順は、このドキュメント全体のトピックに含まれています。使用可能なSDKのリストは、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

コンソールにアクセスするには、サポートされているブラウザを使用する必要があります。コンソールのサインイン・ページに移動するには、このページ上部のナビゲーション・メニューを開き、「インフラストラクチャ・コンソール」をクリックします。クラウド・テナント、ユーザー名およびパスワードの入力を求められます。

認証と認可

Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)の認証および認可のためにIAMと統合されています。

組織の管理者は、どのユーザーがどのサービスとリソースにアクセスできるか、およびアクセスのタイプを制御する、グループコンパートメントおよびポリシーを設定する必要があります。たとえば、ポリシーは、新規ユーザーの作成、クラウド・ネットワークの作成と管理、インスタンスの起動、バケットの作成、オブジェクトのダウンロードなどを実行できるユーザーを制御します。詳細は、ポリシーの開始を参照してください。異なる各サービスに対するポリシーの記述の詳細は、ポリシー・リファレンスを参照してください。

会社が所有するOracle Cloud Infrastructureリソースを使用する必要がある通常のユーザー(管理者ではない)の場合は、ユーザーIDを設定するよう管理者に連絡してください。管理者は、使用する必要があるコンパートメントを確認できます。

ファイル・ストレージ・コンポーネントの制限

適用可能な制限の一覧と制限の引上げをリクエストする手順は、サービス制限を参照してください。

ファイル・システムまたはマウント・ターゲットにコンパートメント固有の制限を設定するために、管理者は、コンパートメント割当てを使用できます。

その他のドキュメント・リソース

次のOracle Cloud Infrastructure File Storageサービス・ソリューションのプレイブックおよびホワイトペーパーが提供されています: