Azure IaaS 応用
Azure IaaS 応用のeLearningのメモ
Infrastructure as a Code
- Azure Resource Manager(ARM)テンプレート
- リソースのデプロイと変更を定義するJSONファイル
- ARMテンプレートはポータル、CLI、Visual Studioから渡すことが可能
- 作成方法は以下の3つから
- パラメータの種類
- secureString: 実行時に見れなくなる。パスワードをパラメータに使う場合に使う
- secureObject: 同上
- parameters セクション
- ARMを実行するときにユーザーが入力できるパラメータを設定できる
- "[parameters('parameter名')]" という書き方で参照可能
- variable セクション
- スクリプト内で使用する変数を定義する
- resources セクション
- デプロイまたは変更するリソースの情報を定義する
- 関数を使用できる(数値演算、文字列連結)
- outputs セクション
- 出力を定義できる。メモなど。
- デプロイはMarketplaceから実行
- Marketplace にはデフォルトでいろいろなテンプレートが登録されている
- VM作成時に渡すパラメータで指定した仮想ネットワークやサブネットが存在しない場合は自動で作成される
Configuration as a Code
- 管理ツールを使わずにOSの構成を定義
- AnsibleやChefといったツールでも可能
- Custom Script 拡張機能
- PowerShellスクリプトを仮想マシンに割り当てて自動実行する機能
- 仮想マシンにAgentがいるので、仮想マシンからGithubやBlobストレージに格納されたスクリプトをダウンロードして実行してくれる
- PowerShell DSC拡張機能
- 構成を宣言的に定義したスクリプト(DSC: Desired State Configuration)
セキュリティ
アクセス制御
- Azureポリシー
- リソースの利用に制限を加える
- 例としてリソースをデプロイできるリージョンなど
- リソースの利用に制限を加える
- ロールベースアクセス制御
- 職務に必要な範囲のアクセス権限を付与
- JITアクセス制御
- RD向けの機能
- 仮想ディスクの暗号化
- 仮想マシンの更新
- Windows Update
- 22時間毎のチェック。適用時間を制御できない。
- WSUS
- 22時間毎のチェック。適用時間を制御できない。
- サーバーを立てて運用
- System Center Configuration Manager
- サーバーを立てて運用
- Update Management
- Azure上の仮想マシンのみ管理が可能
- Windows Update
- マルウェア対策
- Windows Updateの適用
- マルウェア検知時はイベントログに記録されるので、それをLog Analyticsで監視する
- セキュリティセンター
- Log AnalyticsがAzureのリソースからデータを収集
- 使用する場合は、仮想マシンにエージェントをインストールする
- セキュリティ脅威をメールやPlaybookで通知する
- ブルートフォース攻撃、マルウェアなどを検知
仮想マシンの監視
- Azureサービス正常性
- Azure サービスそのものの正常性を確認する
- Activity ログと診断ログ
- アラートルール
- 監視データをしきい値の条件にしてアラートを生成
- アクティビティアラート
- メトリクスアラート
- 監視データをしきい値の条件にしてアラートを生成
- Azure Log Analytics
- データの収集、保管、分析と可視化が可能
- エージェントによる収集なので、環境によらずログの収集が可能
- 分析には独自クエリを使う
- ソリューションパックという監視に便利なクエリが用意されている
ネットワークウォッチャー
- ネットワーク帯域は仮想マシンのサイズと種類によって異なる
- ワークロードの最適化
- VPNの最適化
- ExpressRoute
- 仮想ネットワーク間接続
Azure仮想ネットワークのセキュリティ
- 優先順位はユーザー定義ルート → BGPルート → システムルート
- NSG(Network Security Group)は2次的なものとして使用する
- 強制トンネル
- 仮想マシン→インターネットへの通信時に、パケットをデフォルトゲートウェイではなくVPNゲートウェイでオンプレ経由に変更できる
- 2chなどアクセスしてほしくないサイトへのアクセスかどうかを監視し、拒否するような場合に使う
ネットワークの監視
- ネットワークウォッチャー
- 仮想マシンと仮想ネットワークのパフォーマンスを監視する
- パケットキャプチャ
- 疎通確認