また進化した Azure IaaS ～設計 / 構築 / 運用を正しく理解するには～. 2 時間内容 13:30 – 13:40 ご挨拶 & Tech Fielders 紹介 13:40 – 16:45 『また進化した Azure IaaS』 ・デモンストレーション ・仮想マシン、仮想ネットワーク.

Presentation on theme: "また進化した Azure IaaS ～設計 / 構築 / 運用を正しく理解するには～. 2 時間内容 13:30 – 13:40 ご挨拶 & Tech Fielders 紹介 13:40 – 16:45 『また進化した Azure IaaS』 ・デモンストレーション ・仮想マシン、仮想ネットワーク."— Presentation transcript:

1 また進化した Azure IaaS ～設計 / 構築 / 運用を正しく理解するには～

2 2 時間内容 13:30 – 13:40 ご挨拶 & Tech Fielders 紹介 13:40 – 16:45 『また進化した Azure IaaS』 ・デモンストレーション ・仮想マシン、仮想ネットワーク サービス解説 ・最新情報 ※ 途中休憩あり 休憩 17:00 – 17:30 参加者による情報発信 ライトニングトーク 17:30 – 19:00 Q&A も兼ねた (その場) 懇親会

3 また進化した Azure IaaS ～設計 / 構築 / 運用を正しく理解するには～

4 Microsoft Azure 仮想マシンのはじまり

5 5 アプリ開発 システム構成 テスト展開 本番展開

6 6 クラウドサービス という枠組みで 管理単位を広く ファイアウォール（無償）：利用するポートのみ開放（明示しないポートはすべて遮断） ロードバランサ（無償）：インターネットエンドポイントによる負荷分散 自動復旧機能（無償）：HW や OS 障害時に自動復旧 VIPスワップ（無償）：本番環境(Production)とテスト環境(Staging)の動的切替 … … コンピュート (Stateful?) ウェブ (Stateless) データベース ストレージ (Stateful)

7 7 ご利用のポート番号を指定 マシンスペックと台数を指定 Visual Studio

8 8 http://channel9.msdn.com/Series/Visual-Studio-2012-Premium-and-Ultimate-Overview-JPN/Cloud-Load-Testing-JPN#time=0s

9 http://msdn.microsoft.com/ja-jp/library/hh690946.aspx

10 デプロイ Apps 開発者 運用管理・監視 Azure Microsoft Azure Visual Studio Online リポジトリビルド テスト コーディング / デバッグ

11 11 VS から Web サイト作成 アプリケーションの直接展開 リモートデバッグ ステージング/本番の切替 フレームワーク (ASP.NET, Classic ASP, PHP, Node.js, Java) ※ スケールアップ、スケールアウト、スケールダウン、 オートスケールが自由自在 ※ Traffic Manager 連携開始

12 Microsoft Azure IaaS の登場

13 13 “誰でも使える IT” を得意とする会社 マイクロソフトが作る先進的操作性

14 14

15 15 http://portal.azure.com/

16 16 http://azure.microsoft.com/en-us/downloads/?fb=ja-jp

17 インターネット 仮想 DMZ仮想 自社 DC Azure LB/FW Azure ILB Azure VM VPN

18 Microsoft Azure IaaS の基本

19 19 ※ 知識は 3 か月で陳腐化 ※ クラウドは「トライ ファースト」

20 20 1. 仮想マシン 1台のシステムはこう作る 2. 仮想マシン 2台以上ならこう作る 3. VPN 接続したい場合はこう作る (注意) Azure のルールの話ではなく“こう覚えると良い”という勉強法の話です。 Azure について理解した上で、うまくご活用ください。

21 仮想マシン 1 台のシステムな ら こう作れる

22 22

23 23

24 24

25 25 タイムアウト：デフォルト4分 ~30分まで指定可能に パブリック ポート プライベート ポート

26 26

27 仮想マシン 2 台以上なら こう作る

28 28 [社内仮想化基盤] [Microsoft Azure]

29 29 テンプレートの持ち込みも可能

30 30

31 31 http://azure.microsoft.com/ja-jp/pricing/details/virtual-machines/

32 32 ※ 一歩踏み込んだ理解が必要 2 3 1

33 マルウェア対策 の埋め込み 構成管理の 自動化促進 仮想マシン内のエージェント展開が鍵 33

34 34

35 35

36 36

37 37 OS の修正プログラムをインストールする頻度 とスケジュールの指定 インストールする修正プログラムの指定 更新後の再起動処理の構成 http://blogs.msdn.com/b/wind owsazurej/archive/2014/11/1 0/blog-automate-linux-vm-os- updates-using-ospatching- extension.aspx

38 38 VM Size (Standard SKUs) NICs (max allowed per VM) Large (A3) and A6 2 Extra Large (A4) and A7 4 A92 D32 D44 D134

39 39

40 ストレージ アカウント 1

41 41 東日本 Azure ストレージ Azure Hyper-V 物理マシン 西日本 Azure ストレージ Azure VM VHD ファイル ストレージアカウント による処理 VHD ファイル 複製 Azure ストレージ サービス

42 42 ※ レプリケーション設定は、特に重要 ※ コストにも関係 ウィザード任せにしない 意味を理解し、ストレージアカウントは自分で作成

43 BLOB ストレージ クライアント(この場合、仮想マシンインスタンス) からの書き込み要求があった場合、3 つの複製の 作成が完了して初めて「書き込み成功」が返され ます。 つまり、『仮想マシン』のディスクは通常の シンプルボリュームであっても、3本のディスクを ミラーリングした場合と同等の堅牢性を持ちます。 ゲスト OS 上でミラーボリュームを構成すること はあまり意味がありません。 43

44 44 セカンダリ地域への転送は、プライマリへの書き込みとは非同期に行われます 関東関西

45 45 ストレージアカウントに 紐づくデータが確認できる (デフォルトは vhds の下)

46 46 Creating and Uploading a Virtual Hard Disk that Contains the Windows Server Operating System http://www.windowsazure.com/en-us/documentation/articles/virtual-machines-create-upload-vhd-windows-server/?fb=ja-jp ※ 仮想マシンを作る場所に配置

47 プラットフォーム イメージ Windows Linux Oracle イメージ管理 マイイメージ Generalize 済み VM 作成 仮想マシン インスタンス Blob ストレージ イメージ化 コピー VM DEPO Microsoft Azure 手元にある VHD ファイル

48 クラウド サービス 2

49 49 クラウドサービス (コンテナ) 仮想マシンの配置を決定する際、 クラウドサービスを作成するか、 既存のクラウド サービスを選択

50 仮想 マシン Name: Server1 仮想 マシン Name: Server2 仮想 マシン Name: Server3 Azure 仮想ネットワーク Internet 仮想マシンはクラウドサービスでグルーピング可能 クラウドサービスにはインターネット上から一意に 識別可能なDNS名（Service Name）が付与される ServiceName ： hogehoge.cloudapp.net 仮想マシンにはホスト名が割り当てられる 仮想ネットワークを構成することで、ホスト名を使 用した通信が可能 オンプレミスとサイト間接続することで、企業ネッ トワークとの通信も可能 50

51 51 http://msdn.microsoft.com/ja-jp/library/windowsazure/jj156007.aspx

52 クラウドサービス hogehoge VIP xxx.xxx.xxx.xxx 仮想マシン単位にポートを公開することができる 公開はローカルポートとパブリックポートの マッピング方式 パブリックポートはクラウドサービス内で 一意である必要がある ※ 例えば Server1 が ローカルポート443を パブリックポート443で公開したら、他のサーバー はポート番号を変えて公開しなければならない 同じポート番号で公開するには、 「負荷分散セット」を構成するか、異なるクラウド サービスに所属させる必要がある 443 444 445 5986 5987 5988 5986 ServiceName ： hogehoge.cloudapp.net 仮想 マシン Name: Server1 仮想 マシン Name: Server2 仮想 マシン Name: Server3 52

53 仮想 マシン Server1 仮想 マシン Server2 仮想 マシン Server3 Azure 仮想ネットワーク VPN GW DNS 名： hogehoge.cloudservice.com VIP xxx.xxx.xxx.xxx DIP VIP に負荷分散セットを構成することで、仮想マシン のロードバランスが可能 負荷分散セットはポート単位（例 HTTPS）に定義でき る 同じ負荷分散セットに所属できるのは同じクラウド サービス内の仮想マシン 同じクラウドサービス内にある仮想マシンだからと いって、強制的に負荷分散セットのメンバーになるわ けではない（手動で構成する必要がある） 負荷分散セット HTTPS DIP をロードバランシングするには Internal Load Balancer を構成する（ PowerShell で行う） 負荷分散セット FTP Internal Load Balancer 53

54 クラウドサービス 54 仮想マシン A 仮想マシン B DNS 名の提供：xxx.cloudapp.net ＋ パブリック仮想 IP (VIP) プライベート ポート パブリック ポート RDP (3389) HTTPS (443) IMAP (143) IIS 1 IIS 2 HTTP (80) (ポイント) 各仮想マシンではなく クラウドサービス単位で 処理が行われる (さらに) 複数のクラウドサービスを またがる負荷分散は Traffic Manager を活用

55 55 世界中どこからでも良好なレスポンスでアクセスできるアプリケーションを 実現するために、利用者のアクセスを複数のデータ センターに分散 クラウド サービス 負荷分散 エンドポイントの 死活監視 www.foo.com foo.trafficmgr.cloudapp.net CNAME でアクセス ポリシー DNS を利用したトラフィック管理 振り分けポリシー3種:パフォーマンス、 ラウンドロビン、フェールオーバー 利用者のリクエストをネットワーク上の 最寄のデータ センターに割り振ることで、 アプリケーションの性能を向上 サービス障害時の自動フェールオーバーに よってアプリケーションの可用性を確保 ※ 対象はクラウドサービス

56 最上位層 (外部 DNS 名にマッピングされている Traffic Manager プロファイル) では、パフォー マンスの負荷分散方法を指定したプロファイルを 構成できます。 中間層では、Traffic Manager プロファイルの セットは異なるデータセンターを示し、ラウンド ロビン負荷分散方法を使用します。 最下層では、ユーザーのトラフィックが要求する 各データセンター サービス内のクラウド サービ ス エンドポイントのセットを示します。 56

57 57

58 配置制御と 可用性

59 クラスタ 1 FC クラスタ 2 FC クラスタ 3 FC たとえば、2台の仮想マシンを同一のアフィニティ グループ”AG1”に配置します。 この場合、2台は同一クラスタ内に配置されるように、 FC が配置の調整を行います。 ネットワーク的に近く配置され、通信が高速に行えるよう になります。 しかし、この場合「クラスタ 2」に障害が 発生すると2台が共倒れになるのでは？ アフィニティ グループ “AG1” 59

60 60

61 61 1 2 アフィニティ グループは 最初に作る || DC 指定 ＋ 近接配置 3 4 4 クラウドサービス データセンター (例：東日本 DC) データセンター (例：北米 DC)

62 障害ドメイン ラック FC ルータ ラック FC ルータ ラック FC ルータ 可用性セット “AS1” たとえば、2台の仮想マシンを同一の可用性セット “AS1” でくくります。 この場合、2台は異なる障害ドメインに配置されるように、 FCが調整を行います。 いずれかのラック内で障害が発生しても、可用性セット内 の別インスタンスは生き残ることができます。 クラスター内の各ラックは、電源やネットワーク装置が 冗長化され、これら装置の障害が他のラックに影響を 及ぼさないように設計されています。 このくくりを「障害ドメイン (fault domain)」と呼びます。 62 ※ 仮想マシン作成後でも変更/追加可能

63 応用編

64 64

65 65

66 66

67 Azure Files (Preview) で共有フォルダ ～ 仮想マシン,クラウドサービス で共有可能 VM 起動後に net use で接続 最大 5 TB / 共有 1 TB / ファイル 1,000 IOPS Azure Files REST API Azure VM ※ 共有フォルダのための VM は不要に Azure VM SMB 2.1 67

68 68

69 69

70 70

71 71 http://azure.microsoft.com/ja- jp/documentation/articles/store-new-relic-cloud-services- dotnet-application-performance-management/

72 72 可用性セットに 3 台の仮想マシンを 配置したところ 自動スケール設定

73 73

74 74

75 75

76 76 アラート & 操作ログ

77 77

78 Docker on Linux Docker Client and Docker Hosts Docker Hub on Azure (Coming soon) 78

79 おさらい

80 80 “クラウドサービス“ という概念を 隠ぺいする形で仮想マシンを提供 仮想マシン作成のタイミングで、 同一名のクラウドサービスも作成

81 81 ※ 不思議な名前のストレージアカウントを見かけたら、 自動作成された可能性が高い

82 VPN 接続したい場合は こう作る

83 自社内データセンター ローカル サブネット 社内ユーザーの インターネット 経由のアクセス VPN デバイス ポイント対サイト VPN サイト間 VPN Microsoft Azure 専用の仮想ネットワーク DNS Server Gateway Static & Dynamic Routing 83

84 Public internet Microsoft Azure WAN Public internet Microsoft Azure 84

85 85 PropertyStatic Routing VPN gatewayDynamic Routing VPN gatewayHigh Performance VPN gateway Site-to-Site connectivity (S2S)Policy-based VPN configurationRoute-based VPN configuration Point-to-Site connectivity (P2S)Not supported Supported (Can coexist with site-to-site connectivity) Authentication methodPre-shared key Pre-shared key for site-to-site connectivity Certificates for point-to-site connectivity Pre-shared key for site-to-site connectivity Certificates for point-to-site connectivity Maximum Number of Site-to-Site (S2S) connections 11030 Maximum Number of Point-to-Site (P2S) connections Not supported128 Active Routing Support (BGP)Not supported Microsoft Azure グローバルサイト： http://msdn.microsoft.com/en-us/library/azure/jj156075.aspxhttp://msdn.microsoft.com/en-us/library/azure/jj156075.aspx 日本独自の情報： http://msdn.microsoft.com/ja-jp/windowsazure/dn132612.aspx

86 86 Microsoft Azure 専用の仮想ネットワーク DNS Server Gateway Static & Dynamic Routing リージョン仮想ネットワークの登場

87 87 クラウドサービス データセンター (例：東日本 DC) 仮想ネットワーク内に 最初に仮想マシンを作る際 クラウドサービスを作成して 紐づけを行う

88 88 Microsoft Azure 上の 仮想ネットワーク定義 サイト間 VPN 用 Microsoft Azure へつなぐ 社内ネットワークの定義 ポイント対サイト VPN 用 Microsoft Azure へつなぐ クライアント用 IP プール 仮想マシン内に自動設定さ れる DNS サーバーの定義 ※ 仮想マシン内での利用者による IP の手動設定が許されていないため、 仮想マシン作成時に DHCP で自動配布 される DNS サーバーの IP アドレスを ここで指定しておく。 ※ AD 環境を構築する場合には強く意識

89 89 クラウドサービスに対して実行 Get-AzureVM -ServiceName StaticDemo -Name VM2 | Set- AzureStaticVNetIP -IPAddress 192.168.4.7 | Update-AzureVM ※ Azure が コントロール

90 90

91 91

92 1433 443 80/443 Web 層 DB 層 オンプレミス VPN 内部 IP による負荷分散で 自社内のような環境構築 (仮想ネットワーク/クラウドサービス内) (例)(例) 92

93 日本 本社 米国 支社 VNet2 米国西部 VNet1 西日本 VNet2 東日本 VNet1 西日本 オンプレミス インターネット ハイブリッドな ネットワーク設計 Azure バックボーンで災害対策 93

94 North Europe West Europe London Amsterdam 94

95 DNS 設定 (とサービス選択)

96 96

97 サイト間 VPN 設定

98 98

99 99

100 100 Azure 側でグローバルな IP アドレスを提供 クリック 自動 作成

101 101 http://msdn.microsoft.com/ja-jp/library/windowsazure/dn133801.aspx

102 102

103 Gateway SKUExpressRoute Throughput* S2S Throughput* Max Tunnels Default500 Mbps100 Mbps10 Performance1000 Mbps200 Mbps30 * Subject to traffic conditions and application behavior 103

104 104

105 ポイント対サイト VPN 設定

106 106 この状態からスタート 管理ポータル ウィザードを使用した ポイント対サイト VPN の構成 http://msdn.microsoft.com/ja- jp/library/windowsazure/dn133792.aspx ※ このページの通りに証明書の作成と 登録をするだけ (違いは証明書につける名前程度)

107 107 クライアントにインストールする VPN 用パッケージが ダウンロード可能に これで準備完了

108 108

109 おさらいと 応用

110 仮想ネットワークは サブネット間のダイレクト 通信基盤を提供 フロントエンド Subnet (10.3.1.0/24) バックエンド Subnet (10.3.3.0/24) IIS Servers SQL Mirror DNS Subnet (10.3.2.0/24) A社用 – 仮想ネットワーク (10.3.0.0/16) AD データアクセス 認証 S2S VPN トンネル 仮想ネットワーク ゲートウェイ 自社内データセンター (192.168.1.0/24) 192.168.1.6 (社内の AD) 利用者 110

111 111

112 Active Directory ドメイン コントローラ (Medium) SharePoint フロントエンド (Large) SharePoint サーチサービス (Large) SharePoint アプリケーション (Large) SQL Server (A6) オンプレミス データセンター Active Directory ドメイン コントローラ ユーザ Microsoft Azure ゲートウェイ VPNルータ IPSec VPN 仮想ネットワーク LAN ロード バランサ https:/xxx.cloudapp.net (SSL) 実運用ではカスタムドメインを取得して DNSのCNAMEでマッピング 209.xxx.0.0/16 HTTPS Proxy Port 443 への ACL 登録 (PowerShell) 112

113 Cloud Service Middle (Logic) Tier Front End (App) Tier Virtual Network 1 Virtual Network 2 Subnet ACL 10.0.0.4 Subnet ACL 10.0.0.5 Internet Backend (Database) Tier Virtual Network 3 On-Premises Datacenter VPN ACL 10.0.0.6 113

114 Grouping of Network traffic rules as security group Security groups associated with Virtual machines or virtual subnets Controlled access between machines in subnets Controlled access to and from Internet Network traffic rules updated independent of Virtual machines Internet Virtual Network Microsoft Azure 114

115 Hybrid Cloud Azure Site Recovery (ASR) Azure Backup Services

116 116 ※ OS の標準機能

117 117 有事の際以外は、 基本的な運用に 変化なし いざという時 クラウドが サポート

118 118 東京データセンター DBサーバー APサーバー Microsoft Azure 大阪 DR サイト APサーバーDBサーバー APサーバー （仮想） DBサーバー （仮想） AlwaysOnに よるデータ同期 実現パターン アクティブスタンバイ環境を クラウド内に構築 VPN接続 データ同期 実現パターン アクティブスタンバイ環境を 自社DRサイト内に構築 APサーバー （仮想） DBサーバー （仮想） データ同期

119 119 ※ OS の標準機能 ※ 小規模でも できる災害対策 東京オフィス 大阪オフィス

120 120 テスト用の N/W に接続

121 Windows Server Hyper-V 121

122 122

123 ・最適なコストで高度な災害対策システムを構築可能 ・2 つのシナリオを利用可能 123 Microsoft Azure Site Recovery 制御のみの利用 Hyper-V レプリカ 本番 サイト Windows Server 災対 サイト Windows Server Microsoft Azure Site Recovery 災対サイトとして利用 メイン サイト Windows Server メイン サイト 災対 サイト

124 124

125 125

126 126 １ 2

127 Partner Integration SAN Replication Take advantage of SAN Replication capabilities provided by enterprise storage partners, across both FC & iSCSI storage Supports asynchronous replication for flexibility or synchronous replication for the lowest RPO/RTO Integration with SAN via SMI-S – VMM will discover and enumerate existing storage. VMM provides comprehensive SAN management capabilities within console On-premises to On-premises protection Microsoft Azure Site Recovery Communication Channel SAN Replication Primary Site Recovery Site Windows Server 127

128 EMCWith Preview VMAX VNX & VNX/e NetAppWith PreviewFAS (8.2 C-MODE) HPWith Preview3PAR HDSIn DevelopmentVSP FujitsuIn DevelopmentEternus DellIn DevelopmentCompellent HuaweiIn DevelopmentOceanStor IBMIn DevelopmentXIV 128

129 (Microsoft Azure そっくりな) Azure Pack で作る IaaS

130 仮想マシン サービス 利用者画面 130

131 [応用] 仮想マシン ロール サービス込みの 仮想マシンイメージを展開 131

132 仮想ネットワーク サービス 物理非依存のオーバーレイネットワークで マルチテナントなサービスを実現 利用者が自由に ネットワークを作成可能 132

133 ネットワークサービスと VPN 接続 仮想マシンの IP アドレスは 静的/動的/手動 が可能 フロントエンド Subnet バックエンド Subnet IIS Servers SQL Mirror DNS Subnet A社用 or 研究開発部門用 仮想ネットワーク AD データアクセス 認証 VPN A社内 or 研究開発部門用 既存データセンター 利用者 Azure Pack 管理下 データセンター BGP による マルチサイト VPN も 直接ルーティング 133

134 System Center ベースの 自社内クラウド基盤 仮想マシンのテンプレートに 災害対策を事前設定するだけ Azure への複製は自動化 利用者画面 ※ ベースが同じ IT 担当者 134

135 既存の環境をどうする？

136 136 Hyper-V & System Center にしたい と思っていただけたなら！！ Microsoft Virtual Machine Converter 3.0 http://www.microsoft.com/en-us/download/details.aspx?id=42497

137 ② Azure Site Recovery Site to Azure ① Azure Site Recovery Site to Site ③ Azure Site Recovery + InMage （インマージ） Azure 復旧サービス 137

138 ポイント 異種混在環境の保護に対応 VMware ベースのプライベートクラウドの V2V 保護 物理マシン (Windows および Linux) の P2V 保護 アプリケーションの P2P 保護 138

139 [MA 管理ポータル ] 139

140 更に Hybrid

141 Automation investments over time Automate the creation, deployment, monitoring, and maintenance of resources Rich workflow consistency through PowerShell Workflow based runbooks One automation solution for Azure, on-premises and Service Providers Cloud first investment enables hardened scenarios and capabilities on-premises 141

142 One Automation Solution for Azure and On Premises User Interface Web portal Access Permissions (RBAC) Authoring Graphical Authoring PowerShell Authoring Visualize end-to-end orchestration Gallery Service Administrator can create runbooks to automate all aspects of cloud infrastructure, plan delivery, and maintenance activities Runbook Engine Highly available PowerShell Workflow based engine Integration PowerShell Module based integration Use existing PowerShell modules for Microsoft and 3 rd party systems Create PowerShell modules for additional resources/systems Tools Tools to convert SCO Integration Packs and runbooks 142

143 RemoteApp Service Published apps Microsoft account Identity options RDP Elastic runtime … DirSync/Federation (optional) Persistent user data (50GB per user) Custom template image or prebuilt with Office On-premises network Windows Server Active Directory Azure Active Directory Authentication User 143

144 RemoteApp Service Identity options Authentication RDP Domain Joined On-premises network Subject to IT policy via GP, System Center, or other enterprise management tools DirSync User Persistent user data (50GB per user) Elastic runtime … Azure VPN Custom template image Maintained via Azure Portal Corporate Apps Corporate apps Azure Active Directory 144

145 145

146 まとめ

147 147

148 © 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.