Tech Fieldersセミナー Azure IaaS 編のコンテンツです。

1. また進化したAzure IaaS
～設計/構築/運用を正しく理解するには～

2. 2
時間内容
13:30 – 13:40 ご挨拶& Tech Fielders 紹介
13:40 – 16:45
『また進化したAzure IaaS』
・デモンストレーション
・仮想マシン、仮想ネットワークサービス解説
・最新情報
※ 途中休憩あり
休憩
17:00 – 17:30 参加者による情報発信ライトニングトーク
17:30 – 19:00 Q&A も兼ねた(その場) 懇親会

3. また進化したAzure IaaS
～設計/構築/運用を正しく理解するには～

4. Microsoft Azure
仮想マシンのはじまり

5. 5
アプリ開発システム構成テスト展開本番展開

6. 6
クラウドサービス
という枠組みで
管理単位を広く
…
ウェブ
(Stateless)
コンピュート
… (Stateful?)
データベース
ストレージ
(Stateful)
ファイアウォール（無償）：利用するポートのみ開放（明示しないポートはすべて遮断）
ロードバランサ（無償）：インターネットエンドポイントによる負荷分散
自動復旧機能（無償）：HW やOS 障害時に自動復旧
VIPスワップ（無償）：本番環境(Production)とテスト環境(Staging)の動的切替

7. 7
ご利用のポート番号を指定
マシンスペックと台数を指定
Visual Studio

8. 8 http://channel9.msdn.com/Series/Visual-Studio-2012-Premium-and-Ultimate-Overview-JPN/Cloud-Load-Testing-JPN#time=0s

9. http://www.eclipse.org/downloads/
http://msdn.microsoft.com/ja-jp/library/hh690946.aspx

10. デプロイ
Apps
リポジトリビルドテスト
開発者
運用管理・監視
Azure
Microsoft
Azure
Visual Studio Online
コーディング/ デバッグ

11. 11
VS からWeb サイト作成
アプリケーションの直接展開
リモートデバッグ
ステージング/本番の切替
※ スケールアップ、スケールアウト、スケールダウン、
オートスケールが自由自在
※ Traffic Manager 連携開始

12. Microsoft Azure
IaaS の登場

13. 13
“誰でも使えるIT” を得意とする会社
マイクロソフトが作る先進的操作性

14. 14

15. 15
http://portal.azure.com/

16. 16
http://azure.microsoft.com/en-us/downloads/?fb=ja-jp

17. インターネット
仮想DMZ 仮想自社DC
Azure
LB/FW
Azure
ILB
Azure
VM
VPN

18. Microsoft Azure
IaaS の基本

19. 19
※ 知識は3 か月で陳腐化
※ クラウドは「トライファースト」

20. 20
1. 仮想マシン1台のシステムはこう作る
2. 仮想マシン2台以上ならこう作る
3. VPN 接続したい場合はこう作る
(注意)
Azure のルールの話ではなく“こう覚えると良い”という勉強法の話です。
Azure について理解した上で、うまくご活用ください。

21. 仮想マシン1 台のシステムなら
こう作れる

22. 22

23. 23

24. 24
保持(課金継続)

25. 25
タイムアウト：デフォルト4分
~30分まで指定可能に
パブリック
ポート
プライベート
ポート

26. 26

27. 仮想マシン2 台以上なら
こう作る

28. 28
[社内仮想化基盤] [Microsoft Azure]

29. 29
テンプレートの持ち込みも可能

30. 30

31. 31
http://azure.microsoft.com/ja-jp/pricing/details/virtual-machines/

32. 32
2
3
※ 一歩踏み込んだ理解が必要
1

33. 仮想マシン内のエージェント展開が鍵
構成管理の
自動化促進
マルウェア対策
の埋め込み
33

34. 34

35. http://msdn.microsoft.com/en-us/library/dn217874.aspx
35

36. http://docs.octopusdeploy.com/
display/OD/Getting+started
36

37. 37
http://blogs.msdn.com/b/win
dowsazurej/archive/2014/11/
10/blog-automate-linux-vm-os-
updates-using-ospatching-extension.
aspx
• OS の修正プログラムをインストールする頻度
とスケジュールの指定
• インストールする修正プログラムの指定
• 更新後の再起動処理の構成

38. 38
VM Size
(Standard SKUs)
NICs (max
allowed per
VM)
Large (A3) and
A6
2
Extra Large (A4)
and A7
4
A9 2
D3 2
D4 4
D13 4

39. 39

40. 1
ストレージ
アカウント

41. 41
東日本
Azure ストレージ
Azure Hyper-V
物理マシン
西日本
Azure Azure ストレージ
VM
Azure
VM
Azure
VM
Azure
VM
VHD
ファイル
VHD
ファイル
VHD
ファイル
VHD
ファイル
ストレージアカウント
による処理
VHD
ファイル
VHD
ファイル
VHD
ファイル
VHD
ファイル
複製
Azure ストレージサービス

42. 42
• ウィザード任せにしない
• 意味を理解し、ストレージアカウントは自分で作成
※ レプリケーション設定は、特に重要
※ コストにも関係

43. BLOB ストレージ
 クライアント(この場合、仮想マシンインスタンス)
からの書き込み要求があった場合、3 つの複製の
作成が完了して初めて「書き込み成功」が返され
ます。
 つまり、『仮想マシン』のディスクは通常の
シンプルボリュームであっても、3本のディスクを
ミラーリングした場合と同等の堅牢性を持ちます。
 ゲストOS 上でミラーボリュームを構成すること
はあまり意味がありません。
43

44. 44
関東関西
 セカンダリ地域への転送は、プライマリへの書き込みとは非同期に行われます

45. 45
ストレージアカウントに
紐づくデータが確認できる
(デフォルトはvhds の下)

46. 46
Creating and Uploading a Virtual Hard Disk that Contains the Windows Server Operating System
http://www.windowsazure.com/en-us/documentation/articles/virtual-machines-create-upload-vhd-windows-server/?fb=ja-jp
※ 仮想マシンを作る場所に配置

47. イメージ管理
プラットフォーム
イメージ
Windows Linux
Oracle
VM DEPO コピー
マイイメージ
Microsoft
手元にある
Generalize 済み
Azure VHD ファイル
VM
作成
仮想マシン
インスタンス
Blob
ストレージ
イメージ化

48. 2
クラウド
サービス

49. 49
クラウドサービス(コンテナ)
仮想マシンの配置を決定する際、
クラウドサービスを作成するか、
既存のクラウドサービスを選択

50. 仮想
マシン
Name:
Server1
Internet
仮想
マシン
Name:
Server2
仮想
マシン
Name:
Server3
Azure 仮想ネットワーク
• 仮想マシンはクラウドサービスでグルーピング可能
• クラウドサービスにはインターネット上から一意に
識別可能なDNS名（Service Name）が付与されるServiceName：hogehoge.cloudapp.net
• 仮想マシンにはホスト名が割り当てられる
• 仮想ネットワークを構成することで、ホスト名を使
用した通信が可能
• オンプレミスとサイト間接続することで、企業ネッ
トワークとの通信も可能
50

51. 51
http://msdn.microsoft.com/ja-jp/library/windowsazure/jj156007.aspx

52. ServiceName：hogehoge.cloudapp.net
VIP xxx.xxx.xxx.xxx
443 444 445
5986 5987 5988
クラウドサービスhogehoge
• 仮想マシン単位にポートを公開することができる
• 公開はローカルポートとパブリックポートの
マッピング方式
• パブリックポートはクラウドサービス内で
一意である必要がある
※ 例えばServer1 がローカルポート443を
パブリックポート443で公開したら、他のサーバー
はポート番号を変えて公開しなければならない
• 同じポート番号で公開するには、
「負荷分散セット」を構成するか、異なるクラウド
サービスに所属させる必要がある
443 5986
443 443
5986 5986
仮想
マシン
Name:
Server1
仮想
マシン
Name:
Server2
仮想
マシン
Name:
Server3
52

53. DNS名：hogehoge.cloudservice.com
仮想
マシン
Server1
VIP xxx.xxx.xxx.xxx
仮想
マシン
Server2
仮想
マシン
Server3
DIP DIP DIP
Azure 仮想ネットワーク
VPN GW
• VIP に負荷分散セットを構成することで、仮想マシン
のロードバランスが可能
• 負荷分散セットはポート単位（例HTTPS）に定義でき
る
• 同じ負荷分散セットに所属できるのは同じクラウド
サービス内の仮想マシン
• 同じクラウドサービス内にある仮想マシンだからと
いって、強制的に負荷分散セットのメンバーになるわ
けではない（手動で構成する必要がある）
負荷分散セットHTTPS
• DIP をロードバランシングするにはInternal Load
Balancer を構成する（PowerShell で行う）
負荷分散セットFTP
Internal Load Balancer
53

54. パブリック
ポート
DNS 名の提供：xxx.cloudapp.net
パブリック仮想IP (VIP)
HTTP
(80)
クラウドサービス
54
＋
プライベート
ポート
仮想マシンA 仮想マシンB
RDP
(3389)
RDP
(3389)
HTTPS
(443)
IMAP
(143)
HTTP
(80)
IIS 1 IIS 2
(ポイント)
各仮想マシンではなく
クラウドサービス単位で
処理が行われる
(さらに)
複数のクラウドサービスを
またがる負荷分散は
Traffic Manager を活用

55. 55
•
•
※ 対象はクラウドサービス

56. •最上位層(外部DNS 名にマッピングされている
Traffic Manager プロファイル) では、パフォー
マンスの負荷分散方法を指定したプロファイルを
構成できます。
•中間層では、Traffic Manager プロファイルの
セットは異なるデータセンターを示し、ラウンド
ロビン負荷分散方法を使用します。
•最下層では、ユーザーのトラフィックが要求する
各データセンターサービス内のクラウドサービ
スエンドポイントのセットを示します。
56

57. 57

58. 配置制御と
可用性

59. FC
クラスタ1
FC
アフィニティ
グループ“AG1”
クラスタ2
FC
クラスタ3
 たとえば、2台の仮想マシンを同一のアフィニティ
グループ”AG1”に配置します。
 この場合、2台は同一クラスタ内に配置されるように、
FC が配置の調整を行います。
 ネットワーク的に近く配置され、通信が高速に行えるよう
になります。
しかし、この場合「クラスタ2」に障害が
発生すると2台が共倒れになるのでは？
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
59

60. 60

61. 61
1
2 アフィニティ
グループは
最初に作る
||
DC 指定
＋
近接配置
3
4 4
クラウドサービス
データセンター(例：東日本DC) データセンター(例：北米DC)

62. 障害ドメイン障害ドメイン障害ドメイン
ラック
FC
・
・
・
・
・
・
ルータ
ラック
FC
・
・
・
・
・
・
ルータ
ラック
FC
・
・
・
・
・
・
ルータ
可用性セット
 クラスター内の各ラックは、電源やネットワーク装置が
冗長化され、これら装置の障害が他のラックに影響を
及ぼさないように設計されています。
 このくくりを「障害ドメイン(fault domain)」と呼びます。
“AS1”  たとえば、2台の仮想マシンを同一の可用性セット“AS1”
でくくります。
 この場合、2台は異なる障害ドメインに配置されるように、
FCが調整を行います。
 いずれかのラック内で障害が発生しても、可用性セット内
の別インスタンスは生き残ることができます。
62
※ 仮想マシン作成後でも変更/追加可能

63. 応用編

64. 64

65. 65

66. SSD based
milliseconds latencies
up to 32 disks
32TB 50,000 IOPS
66

67. Azure Files (Preview) で共有フォルダ～
• 仮想マシン,クラウドサービス
で共有可能
• VM 起動後にnet use で接続
• 最大
• 5 TB / 共有
• 1 TB / ファイル
• 1,000 IOPS
Azure VM
Azure
Files
REST
API
Azure VM
SMB 2.1
※ 共有フォルダのためのVM は不要に
67

68. 68

69. 69

70. 70

71. 71
http://azure.microsoft.com/ja-jp/
documentation/articles/store-new-relic-cloud-services-dotnet-
application-performance-management/

72. 72
自動スケール設定
可用性セットに
3 台の仮想マシンを
配置したところ

73. 73

74. 74

75. 75
このプラットフォーム識別子は、
たとえば、ソフトウェアのライセ
ンスが適切に認証されているかを
検出したり、任意のVM データを
そのソースに関連付けて各メト
リックを正しいプラットフォーム
に設定したり、それらのメトリッ
クを追跡して他のユーザーとの間
で関連付けたりする場合などに役
立ちます。

76. 76
アラート
&
操作ログ

77. 77

78. Docker on Linux
Docker Client and Docker Hosts
Docker Hub on Azure (Coming soon)
78

79. おさらい

80. 80
“クラウドサービス“ という概念を
隠ぺいする形で仮想マシンを提供
仮想マシン作成のタイミングで、
同一名のクラウドサービスも作成

81. 81
※ 不思議な名前のストレージアカウントを見かけたら、
自動作成された可能性が高い

82. VPN 接続したい場合は
こう作る

83. 自社内データセンター
ローカルサブネット
社内ユーザーの
インターネット
経由のアクセス
VPN
デバイス
ポイント対サイト
VPN
サイト間VPN
Microsoft Azure
<subnet 1> <subnet 2> <subnet 3>
専用の仮想ネットワーク
DNS
Server
Gateway
Static &
Dynamic
Routing
83

84. Public
internet
Microsoft
Azure
WAN
Microsoft
Azure
Public
internet
84

85. 85
Property Static Routing VPN gateway Dynamic Routing VPN gateway High Performance VPN gateway
Site-to-Site connectivity (S2S) Policy-based VPN configuration Route-based VPN configuration Route-based VPN configuration
Point-to-Site connectivity (P2S) Not supported
Supported (Can coexist with site-to-site
connectivity)
Supported (Can coexist with site-to-site
connectivity)
Authentication method Pre-shared key
•Pre-shared key for site-to-site
connectivity
•Certificates for point-to-site
connectivity
•Pre-shared key for site-to-site
connectivity
•Certificates for point-to-site
connectivity
Maximum Number of Site-to-Site (S2S)
connections
1 10 30
Maximum Number of Point-to-Site (P2S)
connections
Not supported 128 128
Active Routing Support (BGP) Not supported Not supported Not supported
Microsoft Azure グローバルサイト：
http://msdn.microsoft.com/en-us/library/azure/jj156075.aspx
日本独自の情報：
http://msdn.microsoft.com/ja-jp/windowsazure/dn132612.aspx

86. 86
Microsoft Azure
<subnet 1> <subnet 2> <subnet 3>
専用の仮想ネットワーク
DNS
Server
Gateway
Static &
Dynamic
Routing
リージョン仮想ネットワークの登場

87. 87
クラウドサービス
データセンター(例：東日本DC)
仮想ネットワーク内に
最初に仮想マシンを作る際
クラウドサービスを作成して
紐づけを行う

88. 88
Windows Azure 上の
仮想ネットワーク定義
サイト間VPN 用
Windows Azure へつなぐ
社内ネットワークの定義
ポイント対サイトVPN 用
Windows Azure へつなぐ
クライアント用IP プール
仮想マシン内に自動設定さ
れるDNS サーバーの定義
※
仮想マシン内での利用者による
IP の手動設定が許されていないため、
仮想マシン作成時にDHCP で自動配布
されるDNS サーバーのIP アドレスを
ここで指定しておく。
※
AD 環境を構築する場合には強く意識

89. ※ Azure が
コントロール
89
• Set-AzureStaticVNetIP
クラウドサービスに対して実行
Get-AzureVM -ServiceName
StaticDemo -Name VM2 | Set-
AzureStaticVNetIP -IPAddress
192.168.4.7 | Update-AzureVM

90. 90

91. 91

92. 80/443
443 443 443
1433
1433 1433 1433
Web
層
DB
層
内部IP による負荷分散で
自社内のような環境構築
(仮想ネットワーク/クラウドサービス内)
オンプレミス
VPN
(例)
92

93. VNet2
米国西部
VNet1
西日本VNet2
日本本社米国支社
東日本
VNet1
西日本
オンプレミス
インターネット
ハイブリッドな
ネットワーク設計
Azure バックボーンで災害対策
93

94. North
Europe
West
Europe
London Amsterdam
94

95. DNS 設定
(とサービス選択)

96. 96

97. サイト間VPN
設定

98. 98

99. 99

100. 100
Azure 側でグローバルな
IP アドレスを提供
クリック
自動
作成

101. 101
http://msdn.microsoft.com/ja-jp/library/windowsazure/dn133801.aspx

102. 102

103. Gateway SKU ExpressRoute
Throughput*
S2S
Throughput*
Max
Tunnels
Default 500 Mbps 100 Mbps 10
Performance 1000 Mbps 200 Mbps 30
* Subject to traffic conditions and application behavior
103

104. 104

105. ポイント対サイト
VPN 設定

106. 106
この状態からスタート
管理ポータルウィザードを使用した
ポイント対サイトVPN の構成
http://msdn.microsoft.com/ja-jp/
library/windowsazure/dn133792.aspx
※ このページの通りに証明書の作成と
登録をするだけ
(違いは証明書につける名前程度)

107. 107
これで準備完了
クライアントにインストールする
VPN 用パッケージが
ダウンロード可能に

108. 108

109. おさらいと
応用

110. S2S VPN トンネル
仮想ネットワーク
ゲートウェイ
110

111. 111

112. Active Directory
ドメインコントローラ
(Medium)
SharePoint
フロントエンド
(Large)
SharePoint
アプリケーション
SharePoint
サーチサービス
(Large)
(Large)
SQL Server
(A6)
実運用ではカスタムドメインを取得して
DNSのCNAMEでマッピング
オンプレミス
データセンター
Active Directory
ドメインコントローラ
ユーザ
Windows Azure
ゲートウェイ
VPNルータ
IPSec VPN
仮想ネットワーク
LAN
ロード
バランサ
https:/xxx.cloudapp.net (SSL)
209.xxx.0.0/16 HTTPS Proxy
Port 443
へのACL 登録
(PowerShell)
112

113. Cloud Service
Front End (App) Tier
Middle (Logic) Tier
Virtual
Network 1
Virtual
Network 2
Subnet ACL 10.0.0.4
Subnet ACL 10.0.0.5
Internet
Backend (Database) Tier
Virtual
Network 3
On-Premises Datacenter
VPN ACL 10.0.0.6
113

114. Grouping of Network traffic rules as
security group
Security groups associated with
Virtual machines or virtual subnets
Controlled access between machines
in subnets
Controlled access to and from
Internet
Network traffic rules updated
independent of Virtual machines
Internet
Microsoft
Azure
Virtual Network
114

115. Hybrid Cloud
Azure Site Recovery (ASR)
Azure Backup Services

116. 116
※ OS の標準機能

117. 117
有事の際以外は、
基本的な運用に
変化なし
いざという時
クラウドが
サポート

118. 118
東京データセンター
APサーバー
DBサーバー
Microsoft Azure
APサーバー
（仮想）
DBサーバー
（仮想）
大阪DR サイト
DBサーバーAPサーバー
AlwaysOnに
よるデータ同期
VPN接続
実現パターン
アクティブスタンバイ環境を
クラウド内に構築
データ同期
実現パターン
アクティブスタンバイ環境を
自社DRサイト内に構築
APサーバー
（仮想）
DBサーバー
（仮想）
データ同期

119. 119
※ OS の標準機能
※ 小規模でも
できる災害対策
東京オフィス大阪オフィス

120. 120
日々テスト用の
定期的
N/W に接続

121. Windows Server
Hyper-V
121

122. 122
ーーー

123. ・最適なコストで高度な災害対策システムを構築可能
・2 つのシナリオを利用可能
123
Microsoft Azure
Site Recovery
制御のみの利用
Hyper-V
レプリカ
本番
サイト
Windows
Server
災対
サイト
Windows
Server
Microsoft Azure
Site Recovery
災対サイトとして利用
メイン
サイトWindows
Server
メイン
サイト
災対
サイト

124. 124

125. 125

126. 126
１
2

127. SAN
Take advantage of SAN
Replication capabilities
Replication
provided by enterprise
storage partners, across
both FC & iSCSI storage
Supports asynchronous
replication for flexibility or
synchronous replication for
the lowest RPO/RTO
Integration with SAN via
SMI-S – VMM will discover
and enumerate existing
storage.
VMM provides
comprehensive SAN
management capabilities
within console
Partner
Integration
On-premises to On-premises protection
Microsoft Azure
Site Recovery
Communication
Channel
SAN Replication
Primary
Site
Recovery
Site
Windows
Server
Windows
Server
127

128. EMC With Preview
VMAX
VNX & VNX/e
NetApp With Preview FAS (8.2 C-MODE)
HP With Preview 3PAR
HDS In Development VSP
Fujitsu In Development Eternus
Dell In Development Compellent
Huawei In Development OceanStor
IBM In Development XIV
128

129. (Microsoft Azure そっくりな)
Azure Pack で作るIaaS

130. 仮想マシンサービス
利用者画面
130

131. [応用] 仮想マシンロール
サービス込みの
仮想マシンイメージを展開
131

132. 仮想ネットワークサービス
物理非依存のオーバーレイネットワークで
マルチテナントなサービスを実現
利用者が自由に
ネットワークを作成可能
132

133. ネットワークサービスとVPN 接続
BGP による
マルチサイト
VPN も
VPN
直接ルーティング
133

134. System Center ベースの
自社内クラウド基盤
仮想マシンのテンプレートに
災害対策を事前設定するだけ
Azure への複製は自動化
利用者画面
※ ベースが同じ
IT 担当者
134

135. 既存の環境をどうする？

136. 136
Hyper-V & System Center にしたい
と思っていただけたなら！！
Microsoft Virtual Machine Converter 3.0
http://www.microsoft.com/en-us/download/details.aspx?id=42497

137. ② Azure Site Recovery Site to Azure
① Azure Site Recovery Site to Site
③ Azure Site Recovery + InMage
（インマージ）
Azure 復旧サービス
137

138. • システム要件
• ゲストOS
 Windows Server 2003 以降(x86/x64)
 RHEL 5/6, CentOS 5/6 (x86/x64)
• VMware
 vCenter 5.0 以降/ ESX(i) 4.0 以降
ポイント
 異種混在環境の保護に対応
VMware ベースのプライベートクラウドのV2V 保護
物理マシン(Windows およびLinux) のP2V 保護
アプリケーションのP2P 保護
138

139. [MA 管理ポータル]
139

140. 更にHybrid

141. Automation investments over time
• Automate the creation, deployment, monitoring, and maintenance of resources
• Rich workflow consistency through PowerShell Workflow based runbooks
• One automation solution for Azure, on-premises and Service Providers
• Cloud first investment enables hardened scenarios and capabilities on-premises
141

142. One Automation Solution for Azure and On Premises
User Interface
• Web portal
• Access Permissions (RBAC)
Authoring
• Graphical Authoring
• PowerShell Authoring
• Visualize end-to-end orchestration
• Gallery
• Service Administrator can create runbooks to automate all aspects of cloud infrastructure, plan delivery, and
maintenance activities
Runbook Engine
• Highly available
• PowerShell Workflow based engine
Integration
• PowerShell Module based integration
• Use existing PowerShell modules for Microsoft and 3rd party systems
• Create PowerShell modules for additional resources/systems
Tools
• Tools to convert SCO Integration Packs and runbooks
142

143. Published apps
RemoteApp Service
Microsoft
account
Identity options
RDP
Elastic runtime
…
DirSync/Federation
(optional)
Persistent user data
(50GB per user)
Custom template image or
prebuilt with Office
On-premises network
Windows Server
Active Directory
Azure Active
Directory
Authentication
User
143

144. RemoteApp Service
Identity options
RDP
Authentication
Domain
Joined
Subject to IT policy via
GP, System Center, or
other enterprise
management tools
On-premises network
Corporate Apps
DirSync
User
Persistent user data
(50GB per user)
Elastic runtime
…
Azure VPN
Custom template image
Maintained via Azure Portal
Corporate apps
Azure Active
Directory
144

145. 145

146. まとめ

147. 147

148. © 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment
on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.