OCI File Storage

解決する課題

物理 NAS やセルフ管理の NFS サーバーを運用せずに、複数サーバー間でファイルを共有できます。

• 複数サーバーで同じファイルを共有したい（Web コンテンツ、ユーザーアップロード、ホームディレクトリ、HPC のスクラッチ領域など）
• 容量の見積り・拡張を気にしたくない（最大 5 エクサバイトまで自動で伸縮）
• 可用性ドメイン（AD）内で冗長にデータを保持したい（5 重複製）
• NFS の標準プロトコルで、既存の Linux ワークロードをそのまま移行したい

主要概念と用語

• ファイルシステム（File System）: 実際のファイルとディレクトリを格納する論理的な入れ物。1 つの AD に作成する
• マウントターゲット（Mount Target）: VCN のサブネット内に作る NFS エンドポイント。プライベート IP を持ち、クライアントはこの IP に対してマウントする。複数のファイルシステムを 1 つのマウントターゲットにエクスポートで紐付けできる
• エクスポート（Export）と エクスポートセット（Export Set）: ファイルシステムをマウントターゲット経由で公開する設定。エクスポートパス（例: /myfs）を定義する
• エクスポートオプション（Export Options / NFS Export Options）: CIDR や IP 単位でアクセス可否・読み書き権限・root squash を制御する、IP ベースのアクセス制御
• スナップショット（Snapshot）: ファイルシステムの特定時点のリードオンリーな状態。.snapshot ディレクトリ配下から参照・復元できる
• レプリケーション（Replication）: ファイルシステムを別リージョン/別 AD のターゲットへ非同期でコピーする DR 機能
• セキュリティリスト / NSG: マウントターゲットへの NFS / NFS 管理ポート通信を許可するためのネットワーク制御

仕様・制限・クォータ

• プロトコルは NFSv3（NFSv4 ではない点に注意。AWS EFS は NFSv4.1）。ロックは NLM を使用
• ファイルシステムは最大 5 エクサバイトまで自動的に拡張（プロビジョニング不要）
• データは AD 内で 5 重に複製され、高い耐久性を持つ
• 1 つのマウントターゲットには複数のファイルシステムをエクスポートでき、マウントターゲットは VCN のプライベートサブネットに配置する（プライベート IP のみ。直接インターネット公開はしない）
• マウントターゲットのスループットは選択により可変。デフォルトのオンデマンド帯域に加え、プロビジョンド最大スループット（Provisioned Maximum Throughput） を指定して固定の性能を確保できる
• 同一テナンシ内でもリージョン外への自動アクセスは不可。クロスリージョンで使う場合はレプリケーションを用いる
• in-transit 暗号化を使う場合は OCI File Storage マウント用パッケージ（oci-fss-utils） をクライアントに導入する

内部の仕組み

OCI File Storage は、可用性ドメイン内に分散したマネージドな NFS で、VCN サブネット内のマウントターゲット（プライベート IP）経由で Compute インスタンス・OKE のワーカーノード・コンテナが同時アクセスします。Block Volume が 1 インスタンスにアタッチするブロックディスクなのに対し、File Storage は多数のクライアントから同時利用できる共有ファイルです。容量は書き込みに応じて自動的に増減し、事前確保は不要です。

• データの整合性のため、内部では分散メタデータと 5 重複製でファイルを保護
• スナップショットはコピーオンライト方式で、取得は瞬時・容量効率が高い。各ファイルシステムごとに .snapshot ディレクトリから過去状態を参照できる
• マウントターゲットの IP に対してクライアントが NFSv3 でマウントし、エクスポートオプションが IP/CIDR 単位でアクセスを制御する

設計パターン / ベストプラクティス

• 共有コンテンツ / ホームディレクトリ: Web/CMS の共有コンテンツ、開発者のホームディレクトリ、共通の設定/ログ集約に利用
• OKE（Kubernetes）の永続ボリューム: CSI ドライバ経由で ReadWriteMany（複数 Pod 同時書き込み）のボリュームとして利用。Block Volume の ReadWriteOnce では満たせない共有要件に対応
• HPC のスクラッチ/共有領域: 多数ノードからの並列アクセス。要件に応じてプロビジョンド最大スループットで帯域を固定
• DR 設計: レプリケーションで別リージョンへ非同期コピーし、災害時にターゲット側を昇格して復旧
• データ保護: スナップショットをスケジュール取得し、誤削除・ランサムウェアからの復元ポイントを確保
• マウントターゲットの集約: 1 つのマウントターゲットに複数ファイルシステムをエクスポートし、エンドポイントを整理する

運用・監視

• メトリクスは OCI Monitoring の oci_filestorage ネームスペースで取得（読み書きスループット、IOPS、メタデータ要求、接続数など）。アラームと組み合わせて閾値監視
• マウントできない場合の切り分けは、セキュリティリスト / NSG で NFS 関連ポートが開いているかを最優先で確認する
  • TCP/UDP 2048（NFS）・2049（NFS）・111（rpcbind/portmapper）の許可が必要
• マウントターゲットのプライベート IP・サブネット・ルーティング、クライアント側の oci-fss-utils（in-transit 暗号化時）も確認
• 容量や性能の傾向はメトリクスで把握し、ボトルネック時はプロビジョンド最大スループットの引き上げを検討

コスト

ストレージ使用量・性能（プロビジョンドスループット）・DR 用のレプリケーション/スナップショットがコスト要素です。

セキュリティ

• 保存時暗号化: すべてのファイルシステムはデフォルトで暗号化。Oracle 管理キーに加え、Vault（KMS） の顧客管理キーを指定可能
• 転送時暗号化: oci-fss-utils を使った in-transit 暗号化（TLS） でクライアント〜マウントターゲット間を保護
• ネットワーク分離: マウントターゲットはプライベート IP で VCN 内に閉じる。セキュリティリスト / NSG で送信元を最小化
• アクセス制御: NFS エクスポートオプションで CIDR/IP 単位の許可・読み書き・root squash を設定。テナンシ操作権限は IAM ポリシーで制御

関連サービス・比較（AWS との対応）

OCI File Storage は AWS の Amazon EFS に対応します。どちらも複数クライアントから同時マウントできる共有ファイルストレージですが、プロトコルや内部の冗長範囲が異なります。

ハンズオン / CLI例

# 1) ファイルシステムを作成（AD を指定。暗号化はデフォルトで有効）
oci fs file-system create \
  --availability-domain "Uocm:AP-TOKYO-1-AD-1" \
  --compartment-id "$COMPARTMENT_OCID" \
  --display-name "shared-fs"

# 2) マウントターゲットを作成（VCN のプライベートサブネットに配置）
oci fs mount-target create \
  --availability-domain "Uocm:AP-TOKYO-1-AD-1" \
  --compartment-id "$COMPARTMENT_OCID" \
  --subnet-id "$SUBNET_OCID" \
  --display-name "shared-mt"

# 3) エクスポートを作成（ファイルシステムをマウントターゲットに公開）
oci fs export create \
  --export-set-id "$EXPORT_SET_OCID" \
  --file-system-id "$FILE_SYSTEM_OCID" \
  --path "/shared-fs"

# 4) クライアント（Linux）でマウント
#    マウントターゲットのプライベート IP を確認してから実行
sudo mkdir -p /mnt/shared
sudo mount <マウントターゲットのプライベートIP>:/shared-fs /mnt/shared

# 5) スナップショットを作成（特定時点の復元ポイント）
oci fs snapshot create \
  --file-system-id "$FILE_SYSTEM_OCID" \
  --name "daily-2026-06-03"