Azure IaaS 応用
Azure IaaS 応用のeLearningのメモ
Infrastructure as a Code
- Azure Resource Manager(ARM)テンプレート
- リソースのデプロイと変更を定義するJSONファイル
- ARMテンプレートはポータル、CLI、Visual Studioから渡すことが可能
- 作成方法は以下の3つから
- パラメータの種類
- secureString: 実行時に見れなくなる。パスワードをパラメータに使う場合に使う
- secureObject: 同上
- parameters セクション
- ARMを実行するときにユーザーが入力できるパラメータを設定できる
- "[parameters('parameter名')]" という書き方で参照可能
- variable セクション
- スクリプト内で使用する変数を定義する
- resources セクション
- デプロイまたは変更するリソースの情報を定義する
- 関数を使用できる(数値演算、文字列連結)
- outputs セクション
- 出力を定義できる。メモなど。
- デプロイはMarketplaceから実行
- Marketplace にはデフォルトでいろいろなテンプレートが登録されている
- VM作成時に渡すパラメータで指定した仮想ネットワークやサブネットが存在しない場合は自動で作成される
Configuration as a Code
- 管理ツールを使わずにOSの構成を定義
- AnsibleやChefといったツールでも可能
- Custom Script 拡張機能
- PowerShellスクリプトを仮想マシンに割り当てて自動実行する機能
- 仮想マシンにAgentがいるので、仮想マシンからGithubやBlobストレージに格納されたスクリプトをダウンロードして実行してくれる
- PowerShell DSC拡張機能
- 構成を宣言的に定義したスクリプト(DSC: Desired State Configuration)
セキュリティ
アクセス制御
- Azureポリシー
- リソースの利用に制限を加える
- 例としてリソースをデプロイできるリージョンなど
- リソースの利用に制限を加える
- ロールベースアクセス制御
- 職務に必要な範囲のアクセス権限を付与
- JITアクセス制御
- RD向けの機能
- 仮想ディスクの暗号化
- 仮想マシンの更新
- Windows Update
- 22時間毎のチェック。適用時間を制御できない。
- WSUS
- 22時間毎のチェック。適用時間を制御できない。
- サーバーを立てて運用
- System Center Configuration Manager
- サーバーを立てて運用
- Update Management
- Azure上の仮想マシンのみ管理が可能
- Windows Update
- マルウェア対策
- Windows Updateの適用
- マルウェア検知時はイベントログに記録されるので、それをLog Analyticsで監視する
- セキュリティセンター
- Log AnalyticsがAzureのリソースからデータを収集
- 使用する場合は、仮想マシンにエージェントをインストールする
- セキュリティ脅威をメールやPlaybookで通知する
- ブルートフォース攻撃、マルウェアなどを検知
仮想マシンの監視
- Azureサービス正常性
- Azure サービスそのものの正常性を確認する
- Activity ログと診断ログ
- アラートルール
- 監視データをしきい値の条件にしてアラートを生成
- アクティビティアラート
- メトリクスアラート
- 監視データをしきい値の条件にしてアラートを生成
- Azure Log Analytics
- データの収集、保管、分析と可視化が可能
- エージェントによる収集なので、環境によらずログの収集が可能
- 分析には独自クエリを使う
- ソリューションパックという監視に便利なクエリが用意されている
ネットワークウォッチャー
- ネットワーク帯域は仮想マシンのサイズと種類によって異なる
- ワークロードの最適化
- VPNの最適化
- ExpressRoute
- 仮想ネットワーク間接続
Azure仮想ネットワークのセキュリティ
- 優先順位はユーザー定義ルート → BGPルート → システムルート
- NSG(Network Security Group)は2次的なものとして使用する
- 強制トンネル
- 仮想マシン→インターネットへの通信時に、パケットをデフォルトゲートウェイではなくVPNゲートウェイでオンプレ経由に変更できる
- 2chなどアクセスしてほしくないサイトへのアクセスかどうかを監視し、拒否するような場合に使う
ネットワークの監視
- ネットワークウォッチャー
- 仮想マシンと仮想ネットワークのパフォーマンスを監視する
- パケットキャプチャ
- 疎通確認
Azure IaaS 基礎
Azure IaaS 基礎
- サブスクリプション毎にリソース使用量の上限値(クオータ)がある
- 上限の変更はサポートに連絡(東日本リージョンはリソース不足のため対応不可の可能性)
- クラスタ → ラック → サーバ
- 1クラスタ 1000インスタンス。1インスタンスのSLA 99.9%(Premium ストレージ使用時)
- 同じ役割の Azure 仮想マシンを同じ可用性セットに所属させることでサービスの可用性を向上できる
- SLA
- ストレージ
- ページ Blob(VHDファイルが格納される)
- ブロック Blob
- 管理ディスクと非管理ディスク
- 管理ディスクはバックグラウンドで更新などの管理がされている
- リソース集合は「リソースグループ」という単位でまとめて管理するとよい
- 例: VMに紐づくストレージ
- アクセス制御(IAM)でリソースグループだけを管理できるユーザーを管理できる
- 契約者はなんでもできる権限の強いユーザーのため、環境管理は別途ユーザーを作成して環境管理権限を付与する方がセキュリティ上好ましい
- サブスクリプション全体に対してのアクセス制御も可能
- リソース管理のノウハウ
- サービス毎にタグで管理
- リソースの命名規約を決める
- サービス名-リソース種別-インデックス など
- ストレージアカウント(非管理ディスクのみ)
- アカウント種類は汎用v1と汎用v2、BLOBストレージアカウントの3種類がある
- GRSを使うとレプリケーション先のリージョンは決まっている
- 仮想ネットワーク
- 仮想ネットワーク間の接続
- 仮想マシン
- ドライブ
- OS用、一時ドライブ、ユーザーデータ用(データディスク)の3種類がある。OS用と一時ドライブにはユーザーデータを入れないこと。
- キャッシュを有効化すると障害発生時にデータが書き込まれていない可能性があるが、ディスクI/O性能は高速
- 記憶域スペース: 複数のディスクを一つのディスクとしてみせる機能
- ドライブ
- Azure Backup
- サービス復旧
- バックアップ: データのバックアップだが復旧はしない
- 災害対策: 災害発生時でも影響のないリージョンにデータを持つこと
- 高可用性: 冗長構成にして障害発生時に通信を別ルートに向ける
Azure 見積りトレーニング メモ
Azure 見積りトレーニング
- 課金
ネットワーク
バックアップ
- バックアップの単位でAgentが異なる
- VM単位、サーバファイル、ファイル/フォルダ
- バックアップ可能最大サイズ
- 見積り
- サーバ単位で固定料。他、バックアップ容量でストレージ使用量についての課金が発生。
- データは圧縮されて保管されるため、実際の課金量は目に見える容量から見積もったものとは異なる場合がある。システムから見える容量を最大値として見積もる。
- バックアップの単位でAgentが異なる
- データベース
- Basic Standard Premium の3プラン
- DTU(Database Throughput Unit)によって価格が変わる。
- ベンチマーク、ワーカスレッド、最大接続数を見る。
- サポートサービス
- 開発: 開発時の障害調査
- Standard: 運用時の障害調査
- Professional Direct: 仕様の調査、アドバイザリーサポート
- Premier
- MSの全製品サポート
Azure入門の研修メモ
Azure入門
- 料金計算ツールを使って価格計算ができる
- IDaaS Azure Active Directory は オンプレの Active Directory とは異なる
- Azureはエンタープライズ向け → 個人で契約可能か?
- サービスはIaaS, PaaS, Hybrid Operations, Security & Management の4ブロックに分けられる
- Azureのデータ格納は3重化または6重化
- LRS:ローカルリージョンで3重に書き込む
- GRS:ローカルリージョンの3重化×2拠点
- RA-GRS:Read onlu Access GRS。GRSのコピー先データを、読み取りでアクセスできる
- 契約体系
- 直接契約:従量課金
- EA契約:年間一括で契約し、超過した分を後払い
- CSP(Cloud Solution Partner)はパートナーが価格を決める
- オンプレはいかにダウンさせないか、クラウドはいかに早く復帰するか
- AzureはSLAを公開している
- Azure Backup
- オンプレとクラウドのデータを自動保護(スケジュールバックアップ)
- 99.9% の可用性
- リージョン間のバックアップ(GRS)も可能、このとき非同期
- Azure Site Recovery
- 仮想マシン
- シリーズとよばれるタイプ一覧から選ぶことになる。一度選ぶと他のシリーズに移行はできない。
- Aシリーズは標準モデル(エントリモデル)
- Nシリーズはグラフィック搭載インスタンス
- シリーズとよばれるタイプ一覧から選ぶことになる。一度選ぶと他のシリーズに移行はできない。
- スケールアウトできるリソースをスケールセットという
- App Service: PaaSの構成(サービスやスペック)を管理する単位
- オンプレとAzureを接続する場合は、VPNゲートウェイ(IPSec VPN)またはExpressRoute(専用線)を使用する
- 統合モニタリング(Azure Monitor)
- ログ解析ツール
- 課金
- データをAzureにアップロードするときは無料、ダウンロードするときは有料
- Azureのリージョン間の通信はピアリングと呼ばれる機能になり、別の料金体系