personal notes

メモメモ

Azure IaaS 基礎

Azure IaaS 基礎

  • サブスクリプション毎にリソース使用量の上限値(クオータ)がある
    • コア数 20
    • 仮想ネットワーク 50
    • 予約済IPアドレス 20
    • リソースグループ数 800
    • VM数 100
  • 上限の変更はサポートに連絡(東日本リージョンはリソース不足のため対応不可の可能性)
  • クラスタ → ラック → サーバ
  • 1クラスタ 1000インスタンス。1インスタンスSLA 99.9%(Premium ストレージ使用時)
  • 同じ役割の Azure 仮想マシンを同じ可用性セットに所属させることでサービスの可用性を向上できる
    • 障害ドメイン 
      * 物理サーバのラックに相当。ラックの障害の影響範囲はそのラック内に留まる
    • 更新ドメイン 
      * 定期メンテ時に同時に更新、再起動されるVMのグループ
    * *** 意識しないと同時に再起動 → システム停止になるのでは?
  • SLA
  • ストレージ
    • ページ Blob(VHDファイルが格納される)
    • ブロック Blob
    • 管理ディスクと非管理ディスク
      • 管理ディスクはバックグラウンドで更新などの管理がされている
  • リソース集合は「リソースグループ」という単位でまとめて管理するとよい
    • 例: VMに紐づくストレージ
  • アクセス制御(IAM)でリソースグループだけを管理できるユーザーを管理できる
    • 契約者はなんでもできる権限の強いユーザーのため、環境管理は別途ユーザーを作成して環境管理権限を付与する方がセキュリティ上好ましい
    • サブスクリプション全体に対してのアクセス制御も可能
  • リソース管理のノウハウ
    • サービス毎にタグで管理
    • リソースの命名規約を決める
      • サービス名-リソース種別-インデックス など
  • ストレージアカウント(非管理ディスクのみ)
    • アカウント種類は汎用v1と汎用v2、BLOBストレージアカウントの3種類がある
    • GRSを使うとレプリケーション先のリージョンは決まっている
  • 仮想ネットワーク
    • DNSルーターIPアドレスを指定すればよい(ルーターDNSサーバーとのプロキシになる)
      • Active Directoryドメインコントローラーを使用している場合はDNSサーバーのIPアドレスをカスタムで設定する
      • 第四オクテットが0, 1, 2, 3のIPアドレスは内部的に使用されるので、払い出したサーバーには4から割り当てられる
      • ネットワーク・セキュリティグループ(NSG)。OpenStackでいうセキュリティグループ。デフォルトでは全拒否
  • 仮想ネットワーク間の接続
    • VNetとVNetの接続はIPsec経由でのVPN接続
    • リージョン内もリージョン間も可能
    • 仮想ネットワークゲートウェイVPNゲートウェイ)を使う
      • 手順
        1. ゲートウェイサブネットの追加(第四オクテットが0, 1, 2, 3はGWサブネットに使われる)
      • 接続先のネットワークのIPアドレスが被ってしまうと使用できない
    • VNet ピアリング
      • 同じリージョンに存在する2つの仮想ネットワークをAzureのバックボーンネットワークで接続
      • 仮想ネットワークゲートウェイ以上の速度でネットワーク間の通信が可能
      • アドレス空間が被ると利用不可。サブネットを大きく取る場合は要注意
      • 推移的な接続は不可(ネットワークA → B → C と接続したときに、A → C はできない)
      • 接続後はプライベートIPアドレスで通信可能(VPNでも同様)
    • サイト間接続(オンプレ ⇔ Azure)
      • ゲートウェイサブネットの他に、ローカルネットワークゲートウェイを設定する
      • マルチサイト接続は1ネットワークあたり30のオンプレサイトをVPN接続可能
      • ポイント対サイト接続
        • クライアントからAzure仮想ネットワークへの接続
        • 最大128接続であることに注意
        • クライアント証明書(自己証明で構わない)
        • IPComみたいなユーザーインターフェースがある
      • ExpressRoute
        • 専用線による通信。ExpressRouteパートナーとの契約が必要
  • 仮想マシン
    • ドライブ
      • OS用、一時ドライブ、ユーザーデータ用(データディスク)の3種類がある。OS用と一時ドライブにはユーザーデータを入れないこと。
      • キャッシュを有効化すると障害発生時にデータが書き込まれていない可能性があるが、ディスクI/O性能は高速
      • 記憶域スペース: 複数のディスクを一つのディスクとしてみせる機能
  • Azure Backup
    • 仮想マシンやファイル単位でのバックアップが可能
    • オンプレもクラウド上のデータもバックアップ可能
    • ARSのストレージアカウントを用意して、3重化または6重化のバックアップが可能
    • バックアップに利用しているストレージについて課金される
    • Recovery Service コンテナーでバックアップに関する設定ができる
    • バックアップの通信はインターネット通信
    • Azure Backup + GSR は災害対策にはならないので、Azure Site Recovery(ASR)を利用すること
      • Azure BackupはフェールオーバーはMicrosoftの判断になるのでユーザーはコントロールできない。バックアップのみ自動で復旧は手動。
  • サービス復旧
    • バックアップ: データのバックアップだが復旧はしない
    • 災害対策: 災害発生時でも影響のないリージョンにデータを持つこと
    • 高可用性: 冗長構成にして障害発生時に通信を別ルートに向ける