Contenu connexe Similaire à Azure 仮想マシンにおける運用管理・高可用性設計のベストプラクティス (20) Azure 仮想マシンにおける運用管理・高可用性設計のベストプラクティス4. • Microsoft Azure の IaaS (Infrastructure as a Service)
• わずか数分で Azure データセンターで仮想サーバーが起動
• 使った分だけ、分単位の従量課金
• Windows も Linux も
10. • GRS はストレージをペアリージョンに非同期で複製する。
• GRS の複製時にはOS 内での整合性は考慮されない。
• 複数のディスクがある場合、各ディスクが異なるタイミングで複製
されうる。
記憶域スペースや LVM を使っている場合、不整合が生じうる。
• GRS のフェールオーバーはマイクロソフトの判断により実行される。
利用者任意のタイミングでのフェールオーバーはできない。
災害時の業務継続が目的であれば、別の手段も検討する。
14. • Windows Server 2016 の機能である S2D (Storage Space
Direct : 記憶域スペースダイレクト)を使い、Azure 仮想マシンで
SQL Server AlwaysOn フェールオーバークラスターを構成できる。
• ただし S2D を使えばあらゆるワークロードでディスク共有型クラスタが構成できるわけではない。利用
しているワークロードが共有ディスクとして S2D の構成をサポートしているか確認が必要。
15. • Azure 仮想マシンを複数台構成
にするときは、可用性セットを
定義する。
• これにより、1つのラックの障
害で2台の仮想マシンが同時に
停止することを回避できる。
• 可用性セット自体にクラスタリ
ング・負荷分散・データ複製な
どの機能があるわけではないの
で注意すること。
障害ドメイン 障害ドメイン障害ドメイン
ラック
FC
・
・
・
・
・
・
ルータ
ラック
FC
・
・
・
・
・
・
ルータ
ラック
FC
・
・
・
・
・
・
ルータ
可用性セット
“AS1”
17. • 2017年2月にGAした仮想マシンの新しいディスク形式。
• いろいろなメリットがあるが、
ストレージアカウントの作成・管理が不要に
スナップショット、仮想マシンイメージの容易な作成
Blobとしてのエンドポイントが無い
• 実は Managed Disk では可用性も向上している!
可用性セットに含まれる仮想マシンのManaged Diskは
自動的に異なる障害ドメインに配置される。
可用性セットを構成する場合は、Managed Disk を使
うことを強く推奨!
25. • Windows では VSS を利用したアプリケーション整合性バックアッ
プが取得できる。
SQL Server などの VSS に対応したアプリケーションであれば、アプリ
ケーションのレベルで静止点を取って、バックアップを行う。
• Linux でもユーザーが独自にバックアップ事前・事後スクリプトを
設定することにより、アプリケーション整合性バックアップを取得
することができる。(プレビュー)
VM 内にスクリプトを配置しておくと、バックアップ事前・事後にそれが自
動的に実行される。
スクリプトが無い、もしくは失敗した場合でも、ファイルシステム整合性
バックアップが実行される。
26. 1. 仮想マシン全体のリストア
Managed Disk の仮想マシンであれば、そのままManaged Diskの仮想マ
シンとしてリストアされる。
2. ディスクのストレージアカウントへの復元
復元したディスクの利用方法にもいくつかのパターンがある
1. ARMテンプレートを使って復元したディスクから新規仮想マシンを作成
2. 復元したディスクを既存の仮想マシンに接続
3. PowerShellを使って復元したディスクから新規仮想マシンを作成
27. • Azure Backup は現時点で以下をサポートしない。
1TB よりも大きなディスク
つまり 4TBディスクは未サポート
16本よりも多くのディスクを接続した仮想マシン
存在している仮想マシンの上書きリストア
まず仮想マシンを削除してからリストアする必要がある
• いずれも将来的にはサポートされる予定。
31. • Azure Backup では稼働中のオンラインバックアップが可能だが、
バックアップ取得は業務ピーク時を外すこと。
バックアップ取得時にはストレージアカウントに対して大量のアクセスが発
生し、業務に影響を及ぼす可能性がある。
• 多数の仮想マシン/ディスクを1つのストレージアカウントに詰め込
みすぎないようにする。
• 特にバックアップ・リストアの性能が重要な仮想マシンについては、
Premium Storage の利用を検討する。
33. • GRS 同様、 Azure Backup サービス自体のフェールオーバーもマ
イクロソフトの判断で実施される。
災害時の早期業務再開のためには、ASR が適切な選択肢。
35. • Azure 仮想マシンのデータを、常に別のAzure データセンターに
同期する。
• 大規模災害で Azure データセンターが被災したときに、複製され
たデータをもとに別の Azure データセンターで仮想マシンを起動
し、業務を再開できる。
• 料金は2,550+ストレージ料金のみ。
DR 用仮想マシンの料金が発生するの
は、フェールオーバー先で仮想マシン
を起動したときのみ。
36. • Azure Site Recovery には以下の2種類がある。
1. オンプレミスから Azure への DR
2. 2つの Azure データセンター間での DR (プレビュー)
今日お話しするのはこれ
45. • ASR はディスクイメージ全体を非同期で複製する。
Active Directoryドメインコントローラーでは、データの不整合が発生する
可能性がある。
• 原則として、Active Directoryドメインコントローラーには ASR を
利用しない。
Active Directory
によるデータ複製
Azure Site Recovery
46. • 1TB を超えるディスクはサポートされない。
これは Azure リージョン間での ASRについての制約。オンプレミスから
Azure への ASR では、4TB ディスクがサポートされた。
• Managed Disk はサポートされない。
• 以下の構成については、フェールオーバー時に復旧計画から自動化
スクリプトを実行して構成する必要がある。
ロードバランサー(内部・外部ともに) / Traffic Manager
Network Security Group (NSG) など
47. • ASR ではフェールオーバー時にIP アドレス体系を保持することも
変更することも、どちらも可能。
IPアドレス体系を保持する場合、オンプレミスを含めたルーティングやIPア
ドレスのバッティングの回避などについての考慮が必要。
IPアドレス体系を変更する場合、アプリの正常動作について確認が必要。
10.3.0.0/1610.2.0.0/16
IPアドレス
体系重複のため
同時接続はNG
IPアドレスが変わっても
正常に動作するか?
IPアドレス体系を保持しないIPアドレス体系を保持する
48. • 社内 WAN からAzure 東日本リージョンへ ExpressRoute で接続していた。
• 災害が発生、ASR で西日本リージョンへフェールオーバーした。
• 社内 WAN から西日本リージョンへどう接続する?
1. あらかじめ西日本リージョンへも ExpressRoute を引いておく。
災害対策用であれば従量課金がおすすめ。
2. Site-to-Site VPN 接続する。
例えば、関西の業務拠点にVPN装置を配置しておき、フェールオーバー時に接続する。
3. 例外的にインターネット経由での接続を許可する。
大規模災害時には社外からのアクセスに対するニーズが高まると予想される。
50. • 仮想マシンのディスク(ストレージ)暗号化には2つの種類がある。
仕組みや目的が異なる。併用も可能。
1. Azure Disk Encryption
BitLocker(Windows) および DM-Crypt(Linux)
暗号化キーは Azure Key Vault で管理
ポータルからVHDをダウンロードしても暗号化状態が保たれる
2. Storage Service Encryption
Azure ストレージの機能で、データ保存時に暗号化、データ取得時に複合化
ポータルからVHDをダウンロードするとその時点で暗号化が解除される
Azure データセンターからの物理的な盗難などのケースに役立つ
51. • インターネットから RDP(3389)/ssh(22) ポートにアクセス可能な
状態にすることはリスクが高い。考えられる対策は以下。
1. Site-to-Site VPN/ExpressRoute 経由で、オンプレミスからしか
アクセスできないようにする。
2. NSG(Network Security Group)でアクセス可能なIPアドレスを指
定
3. 通常時は RDP(3389)/ssh(22) へのアクセスをブロックしておき、
必要な時だけ NSG の設定変更でアクセスを許可する。
Azure Activity Log による NSG 設定変更時のアラート発行も設定
4. RD ゲートウェイを構築し証明書や多要素認証を組み合わせる。
59. 新しい Log Analytics へのアップグレード
新しいクエリ言語に自動的にコンバート
旧環境のバックアップ
• ただし、Power BI連携だけは無効になり、別の方式で再設定が必要になるので注意。
67. • Azure ポータルから Azure CLI 2.0を実行。
認証済み状態で起動、アップデートの心配不要。
PowerShell版も今後登場予定(現在プライベートプレビュー)