Azure NetApp Files

The presented resiliency recommendations in this guidance include Azure NetApp Files and associated resources and settings.

Summary of Recommendations

Recommendations Details

ANF-1 - 予想されるパフォーマンスレベルに対して正しいサービスレベルとボリュームクォータサイズを使用します

Category: System Efficiency

Impact: Medium

Guidance

サービス レベルは、容量プールの属性です。サービス レベルは、ボリュームに割り当てられているクォータに基づいて、容量プール内のボリュームに対して許容される最大スループットによって定義され、区別されます。スループットは、読み取り速度と書き込み速度の組み合わせです。Azure NetApp Files では、次の 3 つのサービス レベルがサポートされています。

• 標準 (1TiB あたり 16 MiB/秒) スループット
• Premium (1TiB あたり 64 MiB/秒) スループット
• Ultra (1TiB あたり 128 MiB/秒) スループット

Resources

• Service levels for Azure NetApp Files | Microsoft Learn

Resource Graph Query

// cannot-be-validated-with-arg

ANF-2 - Azure NetApp Files での運用環境に Standard ネットワーク機能を使用します

Category: Networking

Impact: High

Guidance

標準ネットワーク機能を使用すると、より高い IP 制限と、委任されたサブネット上のネットワーク セキュリティ グループとユーザー定義ルート、追加の接続パターンなどの標準 VNet 機能が可能になります。

Resources

• Guidelines for Azure NetApp Files network planning | Microsoft Learn

Resource Graph Query

// This Resource Graph query will return all Azure NetApp Files volumes without standard network features.
resources
| where type =~ "microsoft.netapp/netappaccounts/capacitypools/volumes"
| where properties.networkFeatures != "Standard"
| project recommendationId = "ANF-2", name, id, tags

ANF-3 - Azure NetApp Files で高可用性を実現するために可用性ゾーンを使用します

Category: Availability

Impact: High

Guidance

Azure 可用性ゾーンは、ローカルの障害に耐えられる、サポートする各 Azure リージョン内の物理的に分離された場所です。障害は、ソフトウェアやハードウェアの障害から、地震、洪水、火災などのイベントまで多岐にわたります。障害に対する耐性は、Azure サービスの冗長性と論理的な分離によって実現されます。回復性を確保するために、すべての可用性ゾーン対応リージョンに少なくとも 3 つの個別の可用性ゾーンが存在します。

Resources

• Use availability zones for high availability in Azure NetApp Files | Microsoft Learn

Resource Graph Query

// Azure Resource Graph Query
// This Resource Graph query will return all Azure NetApp Files volumes without an availability zone defined.
Resources
| where type =~ "Microsoft.NetApp/netAppAccounts/capacityPools/volumes"
| where array_length(zones) == 0 or isnull(zones)
| project recommendationId = "anf-3", name, id, tags

ANF-4 - Azure NetApp Files でのデータ保護にスナップショットを使用します

Category: Availability

Impact: High

Guidance

Azure NetApp Files スナップショット テクノロジは、パフォーマンスに影響を与えることなく、安定性、スケーラビリティ、迅速な復旧性を提供します。スナップショット ポリシーを使用して、Azure NetApp Files データのスナップショットを自動的に作成します。

Resources

• How Azure NetApp Files snapshots work | Microsoft Learn

Resource Graph Query

// This Resource Graph query will return all Azure NetApp Files volumes without a snapshot policy defined.
resources
| where type == "microsoft.netapp/netappaccounts/capacitypools/volumes"
| where properties.dataProtection.snapshot.snapshotPolicyId == ""
| project recommendationId = "ANF-4", name, id, tags

ANF-5 - Azure NetApp Files でデータ保護のためのバックアップを有効にします

Category: Availability

Impact: High

Guidance

Azure NetApp Files は、長期的な復旧、アーカイブ、コンプライアンスのためのフル マネージド バックアップ ソリューションをサポートしています。バックアップは、バックアップと同じリージョン内の新しいボリュームに復元できます。Azure NetApp Files によって作成されたバックアップは、短期的な復旧や複製に使用できるボリューム スナップショットとは無関係に、Azure Storage に格納されます。バックアップ ポリシーを使用して、Azure NetApp Files データのバックアップを自動的に作成します。

Resources

• Understand Azure NetApp Files backup | Microsoft Learn

Resource Graph Query

// This Resource Graph query will return all Azure NetApp Files volumes without a backup policy defined.
resources
| where type == "microsoft.netapp/netappaccounts/capacitypools/volumes"
| where properties.dataProtection.backup.backupPolicyId == ""
| project recommendationId = "ANF-5", name, id, tags

ANF-6 - Azure NetApp Files ボリュームのリージョン間レプリケーションを有効にします

Category: Disaster Recovery

Impact: High

Guidance

Azure NetApp Files レプリケーション機能は、リージョン間ボリューム レプリケーションによるデータ保護を提供します。あるリージョンの Azure NetApp Files ボリューム (ソース) から、別のリージョンの別の Azure NetApp Files ボリューム (宛先) にデータを非同期的にレプリケートできます。この機能により、リージョン全体の停止や災害が発生した場合に、重要なアプリケーションをフェールオーバーできます。

注: ボリュームは、クロスゾーンレプリケーション (CZR) またはクロスリージョンレプリケーション (CRR) を介してレプリケートできますが、両方を同時にレプリケートすることはできません。

Resources

• Cross-region replication of Azure NetApp Files volumes | Microsoft Learn

Resource Graph Query

// This Resource Graph query will return all Azure NetApp Files volumes without cross-region replication.
resources
| where type == "microsoft.netapp/netappaccounts/capacitypools/volumes"
| extend remoteVolumeRegion = properties.dataProtection.replication.remoteVolumeRegion
| extend volumeType = properties.volumeType
| extend replicationType = iff((remoteVolumeRegion == location), "CZR", iff((remoteVolumeRegion == ""),"n/a","CRR"))
| where replicationType != "CRR" and volumeType != "DataProtection"
| project recommendationId = "ANF-6", name, id, tags

ANF-7 - Azure NetApp Files ボリュームのゾーン間レプリケーションを有効にします

Category: Availability

Impact: High

Guidance

クロスゾーンレプリケーション (CZR) 機能は、異なる可用性ゾーン内のボリューム間のデータ保護を提供します。ある可用性ゾーンの Azure NetApp Files ボリューム (ソース) から、別の可用性の別の Azure NetApp Files ボリューム (宛先) にデータを非同期的にレプリケートできます。この機能により、ゾーン全体の停止や災害が発生した場合に、重要なアプリケーションをフェイルオーバーできます。

注: ボリュームは、クロスゾーンレプリケーション (CZR) またはクロスリージョンレプリケーション (CRR) を介してレプリケートできますが、両方を同時にレプリケートすることはできません。

Resources

• Cross-zone replication of Azure NetApp Files volumes | Microsoft Learn

Resource Graph Query

// This Resource Graph query will return all Azure NetApp Files volumes without cross-zone replication.
resources
| where type == "microsoft.netapp/netappaccounts/capacitypools/volumes"
| extend remoteVolumeRegion = properties.dataProtection.replication.remoteVolumeRegion
| extend volumeType = properties.volumeType
| extend replicationType = iff((remoteVolumeRegion == location), "CZR", iff((remoteVolumeRegion == ""),"n/a","CRR"))
| where replicationType != "CZR" and volumeType != "DataProtection"
| project recommendationId = "ANF-7", name, id, tags

ANF-8 - Azure NetApp Files メトリックを監視して、使用パターンとパフォーマンスの理解を深めます

Category: Monitoring

Impact: Medium

Guidance

Azure NetApp Files では、割り当てられたストレージ、実際のストレージ使用量、ボリューム IOPS、待機時間に関するメトリックが提供されます。これらの指標を使用すると、ネットアップアカウントの使用パターンとボリュームパフォーマンスをより深く理解できます。

Resources

• Ways to monitor Azure NetApp Files | Microsoft Learn

Resource Graph Query

// cannot-be-validated-with-arg

ANF-9 - Azure Policy を使用して組織の標準を適用し、Azure NetApp Files でコンプライアンスを大規模に評価します

Category: Governance

Impact: Medium

Guidance

Azure NetApp Files では、Azure Policy がサポートされています。Azure NetApp Files を Azure Policy と統合するには、組み込みのポリシー定義を使用するか、カスタム ポリシー定義を作成します。

Resources

• Azure Policy definitions for Azure NetApp Files | Microsoft Learn
• Creating custom policy definitions | Microsoft Learn

Resource Graph Query/Scripts

// cannot-be-validated-with-arg

ANF-10 - Azure NetApp Files ボリュームへの既定のアクセスを制限します

Category: Access & Security

Impact: Medium

Guidance

委任されたサブネットへのアクセスは、可能な限り特定の Azure Virtual Network にのみ付与する必要があります。 SMB 対応ボリュームの共有アクセス許可は、既定の [すべてのユーザー - フル コントロール] から制限する必要があります。 NFS対応ボリュームへのアクセスは、エクスポートポリシーやNFSv4.1 ACLを使用して制限する必要があります。 マウントパスの変更権限は、さらに制限する必要があります。

Resources

• Configure network features for an Azure NetApp Files volume
• Manage SMB share ACLs in Azure NetApp Files
• Configure export policy for NFS or dual-protocol volumes
• Configure access control lists on NFSv4.1 volumes for Azure NetApp Files
• Configure Unix permissions and change ownership mode for NFS and dual-protocol volumes

Resource Graph Query/Scripts

// cannot-be-validated-with-arg

ANF-11 - サポートされているアプリケーションでSMBの継続的な可用性を活用します

Category: Application Resilience

Impact: Medium

Guidance

特定の SMB ベースのアプリケーションでは、SMB 透過フェールオーバーが必要です。SMB 透過フェールオーバーを使用すると、SMB ボリュームにデータを格納してアクセスするサーバー アプリケーションへの接続を中断することなく、Azure NetApp Files サービスでのメンテナンス操作が可能になります。特定のアプリケーションに対して SMB 透過フェールオーバーをサポートするために、Azure NetApp Files では SMB 継続的可用性共有オプションがサポートされています。

次の SMB ベースのアプリケーションには、継続的可用性オプションの使用を検討してください。

• Citrix App Layering
• FSLogix ユーザー プロファイル コンテナー
• FSLogix ODFC コンテナー
• Microsoft SQL Serverの
• MSIX アプリのアタッチ

Resources

• Do I need to take special precautions for SMB-based applications? | Microsoft Learn

Resource Graph Query/Scripts

// cannot-be-validated-with-arg

ANF-12 - サービスメンテナンスイベントに対するアプリケーションの回復力を確保します

Category: Application Resilience

Impact: Medium

Guidance

Azure NetApp Files では、計画的なメンテナンス (プラットフォームの更新、サービスやソフトウェアのアップグレードなど) が時折行われる場合があります。そのため、ストレージ サービスのメンテナンス イベントに対処するためのアプリケーションの回復性設定を認識していることを確認してください。

Resources

• What do you recommend for handling potential application disruptions due to storage service maintenance events? | Microsoft Learn

Resource Graph Query/Scripts

// cannot-be-validated-with-arg