Download presentation
Presentation is loading. Please wait.
1
技術よりな人が最初に読む 柔らか層本 第4.8版 1
2
<BLANK PAGE> 2 2
3
更新履歴 Version 主な更新点 更新日 3 4.8 各チャートを整理(P.32、P.124)、資料をPPTで公開開始
4.7 誤字脱字、および最新情報への一斉更新 4.6 呼称をBluemix Infrastructureに更新、Enduranceの仕様・価格を更新、Netscaler の無料枠を更新 4.5 VLAN Spanningに関する説明を強調 P.62 4.4 請求書に関する説明(日付)をアップデート P.33,34 4.3 ソウルDC、オスロDC OPEN! P.16 パートナープログラムから値引き額の表記をWeb表示に合わせて削除 P.28 McAfeeについて注意事項を追加 P.130 4.2 各所を修正 巨大インスタンスを追加、Netscaler の無料枠を更新、役割分担を更新 4.1 2016年5月末時点の各種情報でアップデート 4.0 2016年1月末時点の各種情報でアップデートしました。 それに伴い、古い情報のページの削除など実施しています。 3.5 OpenPowerの情報を更新(P.68) DirectLinkの情報を更新。お待たせしました(P ) 3.4 新DC情報を更新(P. 12, 16) OpenPowerのリリース時期情報を更新しました(P.68 ) Enduranceに関する記載を修正、および追加(P.85, 88) 3.3 PoD, PoP数を最新に反映(P.12) ISO 27018対応を反映(P.31、179) Flex ImageがPublic公開できるようになりました(P.73) Edgecastの名称変更を反映 (P.94) 注意書きを追加(P.10、P.210) 3
4
更新履歴 Version 主な更新点 更新日 4 3.2 新価格体系の情報を反映(P.56、64、65、66、80、102、193)
Bluemix Infrastructure のアーキテクチャ を更新(P.45) サービスマップを最新のものに更新(P.14) GPU の情報を更新(P.67) 責任分解点のチャートを整理(P.116) EU Model Clauses対応を追記(P.179) アウトバウンドの帯域プールの記載を補足(P.193) 3.1 サーチャージの廃止を反映(P.36) Idera CDPから、R1Soft Server Backupへの製品名変更に対応(各所) GPU の情報を更新(P.68) 3.01 GPU nVidia Tesla K80と、K10の情報を更新(P.67) 3.0 新DC、新PoP情報を更新(P.14) GPU nVidia Tesla K80の情報を追加(P.67) 物理メディアによるデータ転送についての説明を追加(P.203) ユーザー権限の一覧を追加(P.204以降) 2.9 データセンター世界地図を最新情報に更新(P.14) 500ドルオフキャンペーンのルール変更を反映(P.23) アウトバウンド通信の無料枠プール機能に関する説明を追加(P.191) SATA III 6TB玉提供開始に伴い内臓Disk最大容量を更新 Disk、Firewallに関する情報を更新(P.80、81、102) 2.8 契約書の場合のアニバーサリービリングデートの日付、基準時刻を修正(P.24, 25, 31, 32) GPUのラインナップを更新(P.67) DirectLink の記載を更新(P.189など) Bluemix Infrastructureでの稼動をサポートしている IBMソフトウェア情報のリンクを追加 (P.201) 無償で利用可能なサーバーのコード情報を更新(P.22) 2.71 Consistent Performance Storageの、Performance Storageへの名称変更に対応 4
5
更新履歴 Version 主な更新点 更新日 2.7 レガシーiSCSI(外部ストレージとしてマウントするタイプ)の後継のサービスの情報を追加(P.85-86など) アニバーサリービリングデートとキャンセルについて詳細な考え方を追加(P.33) さまざまな「バックアップ」の手法に関する情報を更新(P.185) IBM Softwareの取り扱いに関する情報を追加(P.201) 2.6 シドニーDC、モントリオールCDを追加 McAfee Total Protection for Windowsの提供終了にともない、後継サービス( McAfee Host Intrusion Protection w/Reporting)の情報を更新 日本語サポートに関する情報を最新のものに修正 2.5 Power8 on Bluemix Infrastructureの情報を追加 Consistent Performance Storageの料金の考え方を追加 サーチャージに関する説明を追加 ベアメタルのCPU割り当てのルールを追加 開設予定のデータセンター情報を追加 Netscalerの説明を修正 2.4 ストレージ一覧の共有・専有の記載を更新, iSCSIの詳細情報を追加・更新 DDOS防御の情報を最新のものに置き換え, GPU/GPGPU詳細情報を追加 VLANとセグメントの関係を追記, Managed Hostingを追加 BigDataソリューションを追加 2.3 SendGridの情報を追加 2.2 テクニカル情報に関するWebリンクを追加 API Key管理に関する情報を追加 2.1 Linux用アンチウィルスの記述を最新情報に更新 2.0 フランクフルトDC追加を反映, ISO/IEC 27001:2013 取得を反映 1.9 メキシコDC追加を反映, キャンセル時の課金の考え方を追加 1.4 章立てを大幅に見直し, Bluemix Infrastructure 全体アーキテクチャを更新, 課金のルールを追加 1.0 初版 5
6
トレードマーク IBM®, the IBM logo, and ibm.com are trademarks or registered trademarks of International Business Machines Corp., registered in many jurisdictions worldwide. Other product and service names might be trademarks of IBM or other companies. A current list of IBM trademarks is available on the web at "Copyright and trademark information" at Intel and Pentium are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. Linux is a registered trademark of Linus Torvalds in the United States, other countries, or both. Microsoft, Windows, Windows NT, and the Windows logo are trademarks of Microsoft Corporation in the United States, other countries, or both. Java and all Java-based trademarks and logos are trademarks or registered trademarks of Oracle and/or its affiliates. CDNLayer®, CloudLayer®, KnowledgeLayer®, RescueLayer®, Bluemix Infrastructure®, and StorageLayer® are trademarks or registered trademarks of Bluemix Infrastructure, Inc., an IBM Company. Other company, product, or service names may be trademarks or service marks of others. 6
7
本資料の編集にご協力いただきましたエンジニア
本資料の位置づけ 本資料は、2014年に開催された、ビジネスパートナー様向けの技術研修セミナー資料を情報提供を目的として再編したものです。最新情報はWeb、最新のクラウド・セミナー、有償の Bluemix Infrastructure セミナーなどで入手してください。 ハンズオン資料はイベントなどで個別に実施していた資料をご参考ください。 ■ サーバー編、ネットワーク編、ストレージ編などがあります。 Infrastructure-handson/tree/master/doc 本資料の編集にご協力いただきましたエンジニア 主に、クラウドに関わるIBMエンジニア(有志)が関わっています。 (順不同) 安田智有、安田 忍、畑 大作、上田夏奈江、坂本 舞、片山健吾、 福元雅之、北瀬公彦、高良真穂、佐々木敦守、国政丈力、山本直哉、根本直樹 7
8
本資料が想定している対象読者 Bluemix Infrastructureの詳細を理解、評価したい方 以下のような責任者 及び 担当者の方
クラウド・サービスをビジネス面 及び 技術面から、お客様への提案ソリューションとして評価、決定する責任者の方 ITアーキテクト 及び ソフトウェア・アーキテクト : クラウドを評価し、お客様のビジネス・ニーズのために、その機能をどのように適用するかを評価、決定、提案する方 アプリケーション開発者 : クラウドの機能を理解し、担当するアプリケーションにその機能を活用したい方 セキュリティ・スペシャリスト : クラウド・ソリューションを利用する際に、サーバーやデータを保護するための構成や手法をデザインする方 ストレージ・スペシャリスト : ストレージを提案、構築、運用、管理するため、ストレージ構成を検討し決定する方 ネットワーク・スペシャリスト :ネットワークを管理、構築、運用、提案することを目的にネットワークの接続方法やパフォーマンス上の考慮点などを理解したい方 ネットワークを管理、構築、運用、提案する方 8
9
前提スキル 必須スキル 学びに対するオープンな心 ちょっとくらい情報が間違っていても自分で探してみたくなる探究心
あったほうが理解が進むスキル サーバー・ハードウェアの基礎(CPU、メモリ、Disk の違いを知っている) インターネット 及び ウェブ・ホスティングの基礎 (構築したことがある) ネットワークのスキル(Firewall、負荷分散器、VPN、VLANとかセグメント) ストレージのスキル(NAS、iSCSI、IOPSって聞いてピンとくる) ハンズオンを実施するにあたり必要なもの パソコンとかタブレットとか インターネットに接続できる環境 Bluemix Infrastructureが利用できるアカウントID あるとハンズオンが捗るスキル Linux viエディタ 9
10
<BLANK PAGE> << クマった時の・・・ >>
Bluemix Infrastructure(旧称SoftLayer)は 時々刻々と進化しています。 柔らか層本では、可能な限り正確で旬な情報であることを心掛けています。 が、 間違っていたり古かったりする場合もあります。 システム設計などで本書を参照する際は、それが最新であり正確であることを個別に確認しましょう。 10
11
目次 Bluemix Infrastructure 概要 Bluemix Infrastructureアーキテクチャ
サーバー ストレージ 負荷分散、ファイヤーウォール セキュリティの強化 簡単な手順でセキュリティをそれなりに強固にする 監視 Ticketシステムの使い方 API基本のき Bluemix Infrastructure の認証について よく利用されるサービス VMware on IBMクラウド 情報源 11
12
Bluemix Infrastructure とは?
IBMのクラウド「Bluemix」の1サービス 提供しているものは IaaS ダラスを本拠地としたクラウド SoftLayer がベース 2013年にIBMが買収し 2016年に Bluemix に名称変更されました IBMのさまざまなクラウドのインフラとしても活用 現在 世界中に 36ヵ所のデータセンターがある ロゴです。 12
13
IBMクラウド・ポートフォリオにおける位置づけ
Bluemix Infrastructureはその中でもIaaSとして利用可能なサービスです。 プライベート・クラウド ハイブリッド・クラウド パブリック・クラウド Smarter Commerce Smarter Workforce GBS Cloud Business Solutions Business Process as a Service ビジネス変革の実現 Big Data & Analytics Watson Solutions Watson Solutions Software as a Service 高機能で柔軟に利用できる ビジネス・アプリケーション Smarter Cities Software Solutions Platform as a Service 構成可能で統合されたアプリ ケーション開発プラットフォーム IBM Bluemix Infrastructure as a Service 大規模運用に最適化された インフラストラクチャー オンプレミス・クラウド基盤 Infrastructure Services 13
14
2016年に実施された 「共通のクラウド・エクスペリエンス」のためのブランド統合
2016年10月23日に、これまで複数のブランドにて展開をしていたIBMのクラウド・ソリューションが、Bluemixブランドに統合されました。 統合対象ブランド:SoftLayer (IaaSプラットフォーム)、 Blue Box(プライベート・クラウド) PureApplication(※) 14
15
IBMクラウドのプラットフォーム全体像 IBMクラウドは、パブリック(オフプレミス)なのに物理的または仮想的に専有できるオプションがあります。これはサーバー、ストレージ、ネットワーク機器に共通のオプションです。 IoT ブロック チェーン Weather ビデオ ヘルス フィナンシャル サービス メディア セキュリティ & コンプライアンス インダストリー Discovery Conver-sation Natural Language Speech & Vision Tradeoff Analytics Retrieve & Rank コグニティブ データベース データ データ マネジメント アナリティクス ビジュアリ ゼーション データ& アナリティクス メッセージング ロード バランサー アプリケーション・セキュリティ API & インテグレーション DevOps デベロッパー ツール コンテナー Cloud Foundry サーバーレス ランタイム コンピューティング ストレージ ネットワーク バーチャル サーバー ベア メタル VMware ブロック オブジェクト ファイル パブ リック プライ ベート インフラ ストラクチャー VPN CDN Public Dedicated Local マルチテナント シングルテナント シングルテナント IBM Cloud お客様環境 15
16
世界中のIBMクラウド・ データセンターと、データセンター間の高速国際回線網
IBM Bluemix Infrastructureのサービスマップ SL API コントロール・パネル モニタリング ユーテリティ Dev Manage C#, PERL, PHP ,Python, REST, Ruby, VB.net cPanel / WHM Nimsoft Monitoring IPMI 2.0, SNMP PassMark Software メッセージ & 通知 メール配信 トランス・コーディング セキュリティ強化 Bluemix Infrastructure Message queue 配信サービス Video / Voice 10 format IDS protection HW Firewall Add on Services コンテンツ配信 アンチウィルス KVM コンソール SSL証明書 CDN Free inter Datacenter McAfee for Windows Console Access Norton Geo trust コンピュータ資源 ストレージ資源 データベース資源 Bare Metal Server (monthly / hourly billing) Virtual Server (Private Node) (Public Node) SATA/SSD Block/File Storage Object Storage R1 Soft Server Backup eVault MS SQL My SQL MongoDB Cloudera Riak IaaS ネットワーク & ルーティング VPN: SSL(標準・無償), PPTP, IPSec (オプション) / LB: L4, L7, Dedicated, LLB, GLB / DNS: AnyCast DNS Gateway: Vyatta, L7: Citrix Netscaler, Security: FortiGate 世界中のIBMクラウド・ データセンターと、データセンター間の高速国際回線網
17
1 2 3 IBM Bluemix Infrastructure の特徴 グローバル 高速ネットワーク バックボーン ベアメタルもある
サーバーリソース (時間、月) 豊富な オプションと API 17
18
Bluemix Infrastructureユーザーであれば自由に使える国際専用回線
・グローバル・プライベート・ネットワークとして利用できる ・高品質で安定したパフォーマンス:上下10Gbps以上の Tier1 キャリア ・この回線を使ったDC間通信は従量課金されない これまで上海DCとドバイ(PoPのみ)が予定されていましたが、最新情報では、開設の候補から外れています。 今後、アベイラビリティーゾーンが設定されます。日本国内でも第二・三のデータセンターが予定されており、アベイラビリティ・ゾーンによって、あまり手をかけなくても冗長構成が構成しやすくなります。 参照: 18
19
アムステルダム(Private Network) 80 msec 95.4 Mbit/sec アムステルダム(Public Network)
どの程度、高品質なのか調べてみました。 計測環境: サーバー: 送受信ともにCent OS 6.5 遅延: hpingコマンドでTCP通信のレスポンスを計測 スループット: iperfコマンドで、100MBデータをTCPで送信したものを計測 クラウド From シンガポール To アメリカ東海岸 遅延 hping3 40 bytes スループット iperf 100M Bluemix (Private Network) ワシントン 246 msec 67.5 Mbits/sec (Public Network) 245 msec 66.1 Mbits/sec アムステルダム(Private Network) 80 msec 95.4 Mbit/sec アムステルダム(Public Network) 他社 クラウドA シンガポール ノース バージニア 255 msec 38.7 Mbits/sec 他社 クラウドB バージニア 222 msec 4.8 Mbits/sec 日本IBM エンジニア調べ(2014、2015) 19
20
種別 仮想サーバー クラウドで仮想サーバーが使えるのは当たり前 Bluemix Infrastructureなら以下のような使い方もできる
この仮想サーバーの環境を専有したい(=プライベートクラウド) 物理サーバーを使いたい(=ベアメタルクラウド) このハイパーバイザーを使いたい(=プライベートクラウド) 種別 仮想サーバー 種別(英語) Public Cloud Instance Virtual Server 共有・専有 共有(マルチテナント) 専有(シングルテナント) ハイパーバイザー Xen 選択できる主要OS Linux系OS (例: CentOS、Debian、Ubuntu、Red Hat Enterprise Linuxなど) Microsoft Windows Server、CoreOS 課金タイプ 時間・月 デプロイ目安 5~15分 備考 時間課金に対応していないOSは、時間課金環境での利用はできません。 共有と専有の切り替えは管理ポータルからの切り替えが可能 CPU、メモリ、Diskの追加・削除も管理ポータルから操作できます 仮想サーバーは、オートスケール機能にも対応しています さらに、それぞれのサーバーで管理者権限が使えます。 (WindowsであればAdministratorが、Linuxであればroot) これはつまり、必要なソフトウェアやツールを自由に導入できる、ということです。 参照: 20
21
種別 物理専有サーバー Bluemix Infrastructureの特徴のひとつである「ベアメタルサーバー」は
物理専有できるサーバーです。 任意のハイパーバイザーを選択することもできます。 部品の障害時には、2時間以内に交換しシステムを再起動します。 これらすべての種類のサーバーを1つの管理画面で管理・操作できます。 種別 物理専有サーバー 種別(英語) Bare Metal Server (Hourly) Bare Metal Server (Monthly) 共有・専有 専有(シングルテナント) ハイパーバイザー なし CPUコア 1CPU(4コア)モデルから、4CPU(計60コア)までのIntel CPU 選択できる主要OS Linux系OS (例: CentOS、Debian、Ubuntu、Red Hat Enterprise Linuxなど) Microsoft Windows Server、Vyatta、Ubuntu on Power8、CoreOS ハイパーバイザー(例:Citrix Xenserver、Parallels、VMware ESXiなど) 課金タイプ 時間 月 デプロイ目安 15~30分 1~4時間 備考 時間課金に対応していないOSは、時間課金環境での利用はできません。 時間課金タイプでは、CPUとメモリーの組み合わせは固定されています。 メモリ、Diskの追加・削除も管理ポータルから操作できます 参照: 21
22
標準で提供している代表的なインフラ・サービス
Bluemix で利用できる代表的なインフラ・サービスを見てみましょう。 参照: 専用線接続 SSL VPN(管理用(無料))、PPTP(無料)、IP Sec VPN(有償)、インターネットVPN(有償) お客様拠点とBluemix Infrastructure間を接続する Direct Link(有償) Bluemix Infrastructureデータセンター間の専用線接続(無償) ユーザー毎のアクセス権管理 操作権限、参照先デバイスを個別に設定可能(無料) 二要素認証機能にも対応(有償。無償あり) 標準で提供している代表的なインフラ・サービス デバイスの死活監視(無償) 24x7 の営業対応、技術対応(Chat、Ticket応答)(無償) リソース監視パッケージ(詳細は次ページ) データバックアップ(有償:ストレージの章を参照) メディアの物理配送サービス(無償。ただし配送料はお客さまお支払い) イメージ管理ツール カスタマイズした環境を個別に保管し、同じ環境の構築を簡便化するツール 仮想サーバーと物理サーバーを対象にできる 仮想サーバーのイメージから物理サーバーも構築できる 22
23
さらに、リソース管理パッケージ「NIM Soft Monitoring」も利用可能。 対象にエージェントを導入する形式。
サーバーの死活監視は標準で対応。 さらに、リソース管理パッケージ「NIM Soft Monitoring」も利用可能。 対象にエージェントを導入する形式。 ベーシックプランは無償で利用できる。 プロセス監視も選択できます。 Windows Serviceの監視も選択できます。 パフォーマンス監視や 各種ミドルウェアの監視も選択できます。 URLの監視も選択できます。 参照: 23
24
API Bluemix Infrastructure は、一般的なクラウドと同じように
Inftastructure as a Codeの基本ですね。 ベアメタルもこのAPIで管理できるのはクラウドならでは、です。 API 管理ポータルもAPI を介してクラウドを操作している 管理ポータル上の全ての機能はAPIを使って外部のシステムからも呼び出しできる。 管理ポータルで操作できない機能もAPIを使うことで実装することもできる。 REST, SOAP 、XML-RPC インターフェースサポート APIの体系は3つある。 (Bluemix Infrastructure本体、ObjectStorage用、Message Queue用) 参照: 24
25
Bluemix Infrastructureの特長 – そのほか
各種プログラム エンドユーサー様向け(①②) ビジネスパートナー様、スタートアップ企業様向け(③) Bluemix Infrastructure が取得している認証 課金の仕組み 代表的なユーザー事例 25
26
Bluemix Infrastructure 無料トライアル
① 無料トライアル Bluemix Infrastructure 無料トライアル で検索 1つのアカウントにつき、 1回だけ利用できる トライアルプログラム。 1CPU、1GBメモリ、25GB Diskの仮想サーバーが1ヶ月無料 すでにアカウントを持っているユーザーは、Freecloudnowで登録すると利用できる。 26
27
② データセンター割引 Bluemix Infrastructureの特長 – ユーザー向けプログラム
新規にデータセンターが開設するたびに実施されるキャンペーン 対象のデータセンターでオーダーする最初の注文に有効。 そのオーダーから、最大500ドルが減額されるので、500ドル以上の月額課金タイプのサーバーであれば、効果的にキャンペーンを利用できる。(金額はキャンペーンの種類によって異なります) 既存のアカウントであっても、そのデータセンターで始めて利用するサーバーであれば使える。 キャンペーンを最大限活用するために、既存のアカウントの場合は、オーダーするタイミングに注意! (次項参照) キャンペーン対象のデータセンターでの初回のオーダーから500ドルOFFになります。 他にも、GPUサーバーの初月費用が1000ドルOFFなどのキャンペーンが実施されていたりします。 気になる方は、チャットなどで利用可のなキャンペーンの有無を聞いてみると良いでしょう。 27
28
② データセンター割引 ご利用時の注意 Bluemix Infrastructureの特長 クレジット カード の場合 1/1 1/10
(日付はCST) ② データセンター割引 ご利用時の注意 1/1 1/10 2/1 10日 3/1 10日 4/1 クレジットカードの登録が完了した日が設定 (ユーザー毎に違うABD) Bluemix Infrastructure サインアップ アニバーサリー ビリングデート アニバーサリー ビリングデート アニバーサリー ビリングデート 前月の利用分(時間課金と月課金)の総利用料金が利用料として集計される これまでの利用分(時間課金と月課金)の総利用料金が利用料として集計される 次のABDまでの日割り料金がサーバー稼動時に課金される。 ここから最大500ドルオフ つまり、 クレジットカードの新規登録時か、ABDを過ぎた直後のオーダーでの利用がもっとも効果的。 月額課金サービスが対象 キャンペーン中のDCを要選択 プロモーションコードも忘れずに。 コードの適用前後で、Prorated Total(日割料金)と Initial Charge(初期料金)に割引が適用されていることを確認してから注文してください 管理ポータルで、Account>>Billing>>Invoiceで割引が正しく適用されたかオーダー情報を確認できる 利用期間 利用期間 東京DC キャンペーン ABDを超えると、月額料金が確定する。 途中でキャンセルしても返金されない。 課金の仕組みは変更する可能性があります。こちらに掲載されているいかなる情報について、 一切の責任、また賠償責任を負いません。詳細および最新情報はwebサイトをご参照ください。 28
29
② データセンター割引 ご利用時の注意 Bluemix Infrastructureの 日本IBM 契約書 の場合 1/1 1/10 20日
(日付はCST) ② データセンター割引 ご利用時の注意 1/1 1/10 20日 2/1 20日 3/1 20日 契約書の場合、契約締結日によらず、ABDは、1日に設定されます。 その月の利用分(時間課金と月課金)の総利用料金が利用料として集計される その月の利用分(時間課金と月課金)の総利用料金が利用料として集計される Bluemix Infrastructure サインアップ アニバーサリー ビリングデート アニバーサリー ビリングデート 次のABDまでの日割り料金がサーバー稼動時に課金される。 ここから最大500ドルオフ つまり、 月初か、ABDを過ぎた直後のオーダーでの利用がもっとも効果的。 月額課金サービスが対象 キャンペーン中のDCを要選択 プロモーションコードも忘れずに。 コードの適用前後で、Prorated Total(日割料金)と Initial Charge(初期料金)に割引が適用されていることを確認してから注文してください 管理ポータルで、Account>>Billing>>Invoiceで割引が正しく適用されたかオーダー情報を確認できる 利用期間 利用期間 東京DC キャンペーン ABDを超えると、月額料金が確定する。 途中でキャンセルしても返金されない。 課金の仕組みは変更する可能性があります。こちらに掲載されているいかなる情報について、 一切の責任、また賠償責任を負いません。詳細および最新情報はwebサイトをご参照ください。 29
30
③ パートナープログラム Bluemix Infrastructureの特長 – パートナー様向け クラウド・ ソリューション・
IBMは、IaaSやPaaSを基盤として、付加価値サービスを展開するパートナーを募っています 詳細: クラウド・ ソリューション・ プロバイダー 自社ソリューションをクラウドを活用して展開を検討されるパートナー様向け。 Ready for IBM Cloud 自社ソフトウェアをクラウドを活用して展開を検討されるパートナー様向け。 サービス・プロバイダー Bluemix カタログで、御社のサービスやソリューションを販売します。 リセラー・プログラム Bluemix Infrastructureを再販いただけるパートナー様向け。取引量に応じた仕切り価格が設定されています。 ご紹介プログラム ご紹介いただいたお客様のご利用料金に応じたご紹介料を毎月お支払いいたします。 スタートアップ支援 IBMはスタートアップ企業様を長らく支援してきています。IBM グローバル・アントレプレナー・プログラムについての詳細をご覧ください。 30
31
Bluemix Infrastructureの特長 – そのほか
各種プログラム Bluemix Infrastructure が取得している認証 課金の仕組み 代表的なユーザー事例 31
32
Bluemix が取得している主な認証関連の情報
IBMクラウドのデータセンターは、全てTier 3(ダラスはTier 4)準拠 Tier 3: 可用性99.982%、冗長電源/冷却機構、N+1耐障害性、 72時間自家発電、消火設備 24時間有人監視、生体認証入室、ビデオ監視、バーコードによる管理 役員会による運用標準策定と年次教育 使用済みメディアは米国防省仕様のツールで消去 データセンター セキュリティ認証 EU Model Clauses ISO 27018 FISCセルフアセスメント実施済 学認クラウド導入支援サービス参加済 サービスとツール OSを最新の状態に保持することができる、各種リポジトリサーバー(Windows用、Linux用) 冗長化されたNTP、DNSなどの共通サービス 管理ポータルの二要素認証 ソフト/ハードF/W、IPS/IDS、アンチウィルス、脆弱性スキャン 権限を詳細に設定できるサブアカウント管理 32
33
Bluemix Infrastructure が取得している認証
各種プログラム Bluemix Infrastructure が取得している認証 課金の仕組み 代表的なユーザー事例 33
34
Bluemix Infrastructureの課金の仕組み(2017年5月末現在 )
クレジット カード の場合 (日付はCST) 1/1 1/10 2/1 10日 3/1 10日 4/1 クレジットカードの登録が完了した日が設定 (ユーザー毎に違うABD) Bluemix Infrastructure サインアップ アニバーサリー ビリングデート アニバーサリー ビリングデート アニバーサリー ビリングデート 無料期間 無料サーバー 次のABDまでに利用した時間が課金対象となる これまでの利用分(時間課金と月課金)の総利用料金が利用料として集計される 前月の利用分(時間課金と月課金)の総利用料金が利用料として集計される 利用期間 時間課金 サーバー オーダー 利用料金(1ヶ月)の対象 次のABDまでの日割り料金がサーバー稼動時に課金される 利用期間 利用期間 月課金 サーバー オーダー ABDを超えると、月額料金が確定する。 途中でキャンセルしても返金されない。 次のABDでキャンセル、という指定もできる。 ABD以前にキャンセルしても日割り料金とならない 利用料金 確定 VISA締 (例15日) 請求確定 (例24日) 料金引落 (例5日) 利用料金 確定 課金の仕組みは変更する可能性があります。こちらに掲載されているいかなる情報について、 一切の責任、また賠償責任を負いません。詳細および最新情報はwebサイトをご参照ください。 34
35
Bluemix Infrastructureの課金の仕組み(2017年5月末現在 )
日本IBM 契約書 の場合 (日付はCST) 1/1 1/10 20日 2/1 20日 請求金額 確定 3/1 4/1 日本IBM契約書の場合 契約締結日によらず ABDは1日 アニバーサリー ビリングデート Bluemix Infrastructure サインアップ 次のABDまでに利用した時間が課金対象となる アニバーサリー ビリングデート 次のABDまで無料で使える。 無料期間 無料サーバー 次のABDまでの日割料金がサーバー稼動時に課金される。 20日の前にオーダーすると、その月の請求書に記載される。 20日の後にオーダーすると、翌月の請求書に記載される。 利用期間 利用料金(1ヶ月)の対象 時間課金 サーバー オーダー 20日から翌19日までの利用分(時間課金と月課金)の総利用料金が利用料として集計され料金が確定。 月末に請求書が発行され、 翌月頭に請求書発送となる。 利用期間 利用期間 月課金 サーバー オーダー ABDを超えると、月額料金が確定する。 途中でキャンセルしても返金されない。 次のABDでキャンセル、という指定もできる。 ABD以前にキャンセルしても日割り料金とならない 請求書 発行 請求書 発送 課金の仕組みは変更する可能性があります。こちらに掲載されているいかなる情報について、 一切の責任、また賠償責任を負いません。詳細および最新情報はwebサイトをご参照ください。 35
36
Bluemix Infrastructureの課金の仕組み(2017年5月末現在 )
もう使わなくなったサービスとかどうやって削除するのでしょう? Deviceの場合は、Actionボタンから「Cancel」です。 ABDの24時間以上前に削除処理を完了しておかないと、意図したタイミングで削除できません。 ABDの00:00:01 アメリカ中央時(CST)にサーバーの削除処理が始まります。(夏時間に注意) また、消すタイミングでちょっとしたルールがあるので、把握しておきましょう! サービスの種類 削除を依頼できる タイミング 実際に削除される 課金がらみで 誤解しやすい点 仮想サーバー(時間) 任意 即時 仮想サーバー(月) 任意、まはた次のABD 即時、または次のABD ABD前に削除しても未使用日数分の返金はない ベアメタル(時間) ベアメタル(月) 次のABD IPアドレス オブジェクト・ストレージ たとえ削除したとしても、ABDまでに利用した最大容量が課金対象 イメージ・テンプレート 課金の仕組みは変更する可能性があります。こちらに掲載されているいかなる情報について、 一切の責任、また賠償責任を負いません。詳細および最新情報はwebサイトをご参照ください。 36
37
Bluemix Infrastructureの特長 – そのほか
各種プログラム Bluemix Infrastructure が取得している認証 課金の仕組み 代表的なユーザー事例 37
38
世界の多様なお客様がIBMクラウドを利用
新規にご利用いただいているお客様 Sky Software –【ブラジル】のソフトウェア開発会社 Elabs – 【ドイツ】 マネージド・サービス・プロバイダー Data Hotel – 【日本】 クラウド&ホスティング・ベンダー お客様の事業領域: さまざまな業界のお客様に さまざまな用途で ご利用いただいています Silversky – eSecurity 及び Microsoft Exchangeホスティングサービスの提供 St Thomas U. – 【米国】クラウドでのデータ分析研究 Farma Tre S.r.l – 【イタリア】ソフトウェア・ベンダー -- original speaker notes to be re-inserted prior to publish -- Acuity ICT – 【オランダ】ビジネス・パートナー Acuutech – 【イギリス】マネージド・サービスと ISV向けホスティングサービスを提供 Music Mastermind – 【米国】音楽の録音サービス
39
日本におけるIBMクラウドの採用実績 -- original speaker notes to be re-inserted prior to publish --
40
アメリカン・エアライン様 世界最大の航空会社の一つであるアメリカン・エアライン社はITインフラのコスト削減とビジネスのスピードアップを実現するために、IBMクラウドを選択いたしました。 お客様の 課題 他社との合併に合わせてITインフラの 統合とコスト削減の実現 顧客体験の向上のために迅速なアプリケーションの展開 ご提供 ソリューション IBM Bluemix Garage (IBM Design Thinking) IBM Bluemix(IaaS・PaaS) IBM Bluemix上で稼働する各種アプリケーション - モバイルアプリ - キオスク・アプリケーション -- original speaker notes to be re-inserted prior to publish -- 期待される効果 ITインフラの移行によるコスト削減 迅速な顧客向けアプリケーション展開と DevOpsを活用した改善 アプリケーションによる顧客体験の向上
41
事例:シンプレクスの金融機関向けシステム、 クラウド対応に「Bluemix Infrastructure」を採用 業界初のBluemix Infrastructure活用でFISC安全基準に準拠した高度なセキュリティーを提供 シンプレクスはIBMの「Bluemix Infrastructure」を基盤として採用し、クラウド基盤上で稼働する金融機関向けソリューションのサービス提供を2016年度に開始します。 Bluemix Infrastructureはベアメタル(物理サーバー)のクラウド提供を特長の一つとし、高性能のコンピューター環境、高い安定度、管理の容易性を実現します。IBMでは、Bluemix Infrastructureに関するFISC安全対策基準とのベンチマークを実施しており、金融業務向けに求められる厳しいシステム要件にも対応します。さらに、同一データセンター内での冗長化された構内回線による高品質かつ高速なネットワーク接続を提供する、Bluemix Infrastructureの「ダイレクトリンク・コロケーションサービス・プロバイダー」を活用*** することで、金融機関向けソリューションに求められる安定した高速処理を実現します。 これにより、シンプレクスは、金融システムとして要求される高度なセキュリティー要件を満たしたクラウド対応のサービスを追加し、ソリューション導入の選択肢を拡充することができました。 ***業界初
42
事例 : 前田建設工業様 建設クラウド
43
Bluemix Infrastructure
事例 : データコム様ソリューション インメモリ型DBを使ったPOS売上分析システム 自社開発のインメモリ型DBを使った、高速かつ同時多重アクセスに優れたPOS売上分析システム クラウドを使った拡張性・耐障害性に優れたインフラ 必要に応じてサーバー拡張が可能なクラウドシステム サーバー障害時も代替サーバーを立ち上げることにより短時間の障害復旧が可能 ベアメタルは高い?(データコム様による調査) A社 クラウド Bluemix Infrastructure (ベアメタル) M社 備考 CPUコア数 32 40 A社とM社は仮想コア数 Bluemix Infrastructureは実コア数 メモリ容量 244GB 512GB 448GB Bluemix Infrastructureは 3TBモデルまで選択可能 ストレージ SSD 800GB x 8 SSD 960GB x 6 SSD 6,144GB 月額費用 3,638ドル (東京) 3,548ドル 6,465ドル (米国西部) A社は1年間予約の毎月払いを選択した場合の料金
44
事例 - エイチーム様 新グローバル・ゲームインフラ基盤に Bluemix Infrastructureを採用
エイチーム様は、今後のエンターテインメント事業において、スマートフォン・タブレット端末向けサービスを軸に、世界で通用するゲームメーカーへと成長することを目標としています。 日本、北米、アジア地域に加えて、欧州へとゲームサービスの提供地域を拡大するにあたり、世界の全てのゲームプレイヤーに安定したパフォーマンスを提供する必要がありました。 数ヶ月の検証の結果、スマートフォン向けゲームの開発とゲームインフラ基盤として、「Bluemix Infrastructure」をご採用いただきました。 GIZMODE(2016/01/20) ゲーム業界でも大活用されている「Bluemix Infrastructure」の現在形を追って、ベアとメタルが名古屋に参上 Infrastructure_ateam.html
45
日本情報通信様 : Bluemix Infrastructure 日本でのNo.1 パートナー
46
Eltex様 : Vmware on Bluemix ベアメタル ソリューション
パブリッククラウドの仮想サーバーに本番サービスを移すのに問題を感じるお客様 vmwareにて自社でプライベートクラウドをご運用中のお客様 サーバーのハードウェア保守に悩まれているお客様
47
V-Cube様 及び PioneerVC様 : SaaS基盤として全面的にBluemix Infrastructureを採用
PCデスクトップに表示されるデータを セキュリティー高く 遠隔共有しながら業務を行うツール データ・音声 優先 Visual Collaboration 資料や顔を見ながら いつでもどこからでも コミュニケーションできる Web会議 顔の表情 優先 Visual Communication テレビ会議 コミュニケーションで使用されるコンテンツの説明 V-CUBEの方向性と(会議をする)、これをVisualCommunicationと呼ぶ PVCの方向性(仕事をする)、これをVisualCollaborationと呼ぶ Communication Contents データ 音 声 動画像
48
<BLANK PAGE> << クマった時の・・・ >>
なんでクマと、あれ、何が乗っているんですか、って聞かれます。 ベアメタルから熊は簡単ですね。 上に乗っているのは・・・ Bluemix Infrastructureの旧称SoftLayerのユーザーグループは略称でSLUG。 SLUGのロゴはカタツムリ、 なのでそこからキテマス! <BLANK PAGE> 48 48
49
目次 Bluemix Infrastructure 概要 Bluemix Infrastructureアーキテクチャ
サーバー ストレージ 負荷分散、ファイヤーウォール セキュリティの強化 簡単な手順でセキュリティをそれなりに強固にする 監視 Ticketシステムの使い方 API基本のき Bluemix Infrastructure の認証について よく利用されるサービス VMware on IBMクラウド 情報源 49
50
IBM Cloud は、すべてのビジネスの基幹を支えます。
データ AI アプリ ケーション クラウド データ: IBMクラウドは、これまで利活用が不可能だったデータも含めて、あらゆるデータを蓄積し アナリティクスから価値を生み出します AI: IBMクラウドはデータとアナリティクスに対してAIを活用し、これまでにない洞察を提供 します アプリ: IBMクラウドは、企業がクラウドを活用し新たなアプリケーションを開発したり、さらなる 価値を実現するために必要となる全ての機能を提供いたします
51
IBM Cloud – Bluemix Infrastructureの特長
多くのクラウドやアナリストは 基本的な前提として以下のようなことを要求してきました。 リソースはすべて 仮想化されている リソースはすべて 共有されている Bluemix Infrastructure では、そのどちらの条件もお客様に強制しません。 つまり、これまでとはまったく異なるクラウドの使い方が可能になります。 仮想化 は 選択肢の一つであり 物理環境もある リソースは 共有, 専有, その混在も可能 最終的な選択は お客様 の要件次第です。
52
Bluemix Infrastructure のアーキテクチャ
Bluemix Infrastructure のリソースは、インターネットからアクセスできるパブリックVLANと、 専用ネットワークとして利用できる、プライベートVLAN上に標準で配置されます。 インターネット DirectLinkなど 専用線接続 イントラネット PoP データ センター Bluemix Infrastructureの パブリック VLAN ユーザーごとの パブリック VLAN ユーザー毎の プライベート VLAN Bluemix Infrastructureの プライベート VLAN インターネット Portal 管理者 SSL VPN, PPTP IP Sec VPN 仮想サーバー Bluemix Infrastructure NTPサーバ、 DNSサーバ Bluemix Infrastructure パッチ、 リポジトリ ロードバランサ Firewall 仮想サーバー(専有) Bluemix Infrastructure WAN ユーザー データ バックアップ 物理サーバー 共通インフラ用セキュリティ ブロック ストレージ DC オブジェクト ストレージ 凡例 CDN Network Bluemix Infrastructure・セグメント ファイル ストレージ パブリック VLAN API インターネット プライベート VLAN Bluemix Infrastructure WAN
53
IPアドレス体系の整理 Public VLAN と Private VLAN Public IP Global IPアドレス
Bluemix Infrastructure のサーバー構成、ネットワーク構成を理解するのに重要な 「IPアドレス体系」を整理してみましょう。 Public VLAN と Private VLAN Bluemix Infrastructureのデバイスはデフォルトで上記の2つのVLANに所属します。 VLANを追加することもできます。追加1VLANあたり 月額 $25です。 ひとつのVLANには複数のセグメントを追加できます。 1つのセグメントには、最大64のIPアドレスが追加できます。 それぞれのVLANに所属するデバイスには、以下のIPアドレスが1つアサインされます。 Public IP Global IPアドレス Private IP 10.xのPrivate IPアドレス これらのIPアドレスには修飾詞があります。 Primary 最初から付いてる IP に付く Static Device固定の Secondary IP に付く Portable DC内で使いまわせる IP に付く ちょっと毛色が違いますがDCをまたいでIPアドレスに可搬性を持たせたい場合は 以下のIPアドレスがご利用いただけます。 Global IP DCをまたいで使えるGlobal IP
54
Bluemix Infrastructure の SLA について
Public network: Bluemix Infrastructureが使用するパブリック・ネットワークに関して、100%のSLAを提供 Private network: Bluemix Infrastructureが使用するプライベート・ネットワークに関して、100%のSLAを提供 Customer Portal: Bluemix Infrastructureが使用するポータルに関して、100%のSLAを提供 Redundant infrastructure: Bluemix Infrastructureが使用する電源、空調に関して、100%のSLAを提供 一般的なクラウドで表現されているような、サーバーの稼働率に対するSLAは、Bluemix Infrastructureでは定義されていません。 実際はどうなの?という場合は、以下のサイトを確認してみましょう。 ネットワークと管理ポータルは 100% 30分以上停止したら 利用料金の5%をクレジット Infrastructure.com/ Bluemix Infrastructure4/pdfs/sla.pdf 54 54
55
目次 Bluemix Infrastructure 概要 Bluemix Infrastructureアーキテクチャ
サーバー ストレージ 負荷分散、ファイヤーウォール セキュリティの強化 簡単な手順でセキュリティをそれなりに強固にする 監視 Ticketシステムの使い方 API基本のき Bluemix Infrastructure の認証について よく利用されるサービス VMware on IBMクラウド 情報源 55
56
ネットワーク・アーキテクチャ概要 Bluemix Infrastructureのグローバル・ネットワークはシームレスに統合された、
独立、冗長化されたネットワーク・アーキテクチャーを採用しています。 このネットワークは接続性とセキュリティ、制御を最大限に確保するネットワークトポロジーを持ったプライベート、パブリック、マネージメントの3つのネットワークで構成されています。
57
ネットワーク・アーキテクチャ概要(続き)
Bluemix Infrastructureのコンピューティングリソースで見てみましょう サーバーは5つの物理NICにて構成(物理サーバーの場合) 2つのパブリック用(赤)、1つの管理用(緑)、2つのプライベート用(青)のアダプター。 すべてのアダプターは1Gbpsまたは10Gbps Note: すべての物理サーバー・インフラは、選択したサーバー構成によりアダプター数が異なっても、 同じルーティングとルールを採用。 57 57
58
ネットワーク・アーキテクチャ概要図 58 58
59
パブリック・ネットワーク Bluemix Infrastructureのパブリック・ネットワークは
データセンターおよびPoPにて合計2,000Gbps以上となる帯域をお客様に提供。 コア・ネットワークはウェブ・サイトや オンライン・アプリケーションのトラフィックを処理。 Bluemix Infrastructureのひとつのデータセンターのパブリック・ネットワークは、独立した複数のキャリアによって提供されています。 59 59
60
パブリック・ネットワーク(続き) Bluemix Infrastructureが使用している代表的なネットワーク・キャリア
Level3 (transit) NTTAmerica (transit) Pacnet (transit) PCCW (transit) Telstra (transit) TeliaSonera (transit) Comcast (transit) AMS–IX (peering) Any2LAX (peering) DE–CIX (peering) EquinixIX (peering) HKIX (peering) JPNAP (peering) LINX (peering) NL-IX (peering) NOTA (peering) NYIIX (peering) RMIX (peering) SIX (peering) Starhub (peering) Telefónica (peering) TIE (peering) TimeWarner (peering) Bluemix Infrastructureが使用しているネットワーク機器 Juniper and Cisco 10 G network Cisco Guard DDoS protection Arbor Peakflow traffic analysis Arbor TMS DDoS protection 60 60
61
パブリック・ネットワークの特徴 Bluemix Infrastructureのパブブリックネット ワークの特徴
既存のVLANへの動的なサーバの追加が可能 既存のサーバへの動的なサービスの追加 自動的なIPのルーティングと管理 アカウントごとのセキュアなVLAN ギガビットレベルの帯域 IPv6サポート 61 61
62
データ通信料 一般的なクラウドと同様に、クラウドからインターネットを介したデータ通信(いわゆる ダウンロード)は課金対象です。
Bluemix Infrastructure では以下のような仕立てになっています。 データの入力(課金対象外) インターネット Bluemix Infrastructure ユーザー データの出力(下記参照) データ通信(出力)のオプション: アウトバウンドといいます 月額タイプ 仮想サーバーに250GB/月の無料枠 物理専有サーバーに500GB/月の無料枠 事前購入(Pre-purchase)では、1TBのデータ通信料で$50/月(DCにより価格が異なります) 無償枠と事前購入枠を超過した場合は$0.09/GB (DCにより異なる単価が設定されています) 月額タイプの無料枠はプールして使える(他サーバーと共有できる)いわゆる家族割 Bluemix Infrastructure の Private Networkのデータ通信は無料で利用可能。 (他DCとのデータ通信も無料) 62 62
63
プライベート・ネットワーク Bluemix Infrastructureのプライベート・ネットワークはセキュリティ、接続性と帯域において、以下のような他のクラウドベンダーにはない優位性を提供します: データ転送量の制限なし データセンター間のデータ転送も無料 アカウントごとに 分離・独立したセキュアなネットワーク パブリック・ネットワークからも 物理的に分離・独立している 冗長化されたデータセンター間接続 複数キャリアの 10Gbpsファイバーの バックボーンネットワーク セキュアな管理用通信を実現 SSL, PPTP, およびIPSEC VPN 63 63
64
プライベート・ネットワーク(続き) プライベート・ネットワーク経由のサービス
さらに、プライベート・ネットワークでは、Bluemix Infrastructureで利用できる共通サービスが提供されています。 プライベート・ネットワーク経由のサービス OS(Windows、Linux)のアップデート用サーバ 冗長化されたDNSサーバ Bluemix InfrastructureのSWリポジトリ NAS、Endurance、Object Storageなどの 外部ディスクやバックアップサービス Storage Area Network (SAN) McAfeeアップデート用のサーバ NTPサーバ CDN へのデータ転送 64 64
65
Bluemix Infrastructure の VLAN構成
VLANとは? Virtual LAN (VLAN) は異なるルーター、スイッチ、およびサーバーにて同一のブロードキャスト・ドメイン(セグメント)を実現するもの。 1台目サーバーを注文すると自動的に新規作成される。 データセンター#1 Bluemix Infrastructure WAN Public VLAN#1 Private VLAN#1 データセンター#2 Public VLAN#2 Private VLAN#2 Bluemix Infrastructure Global Network データセンター#3 Public VLAN#3 Private VLAN#3 65 65
66
Spanning VLANスパニングを ON にすれば、複数のVLAN上およびデータセンター上の仮想/物理サーバーが、Bluemix Infrastructure のプライベート・ネットワークを介して通信可能になる。 前のページの Bluemix Infrastructure WAN 経由の通信ができるようになります。 同じVLANであっても、異なるセグメント間で通信するには、ONにする必要があります。 VLANスパニングのデフォルトは OFF ON/OFFの切り替えは基本無料 設定変更の反映は5〜10分の所要時間 VLANスパニングは契約内のすべてのプライベートVLANに適用されます。 VLAN個別に通信を制御する場合は、 Vyatta Gateway Applianceの導入を検討ください 異なるアカウント間でONは非推奨 $25/月の課金(Ticket経由で依頼可能だが、現在、基本的に承認が降りない) 専用線がVRF形式に今後一本化されるため、専用線利用時には技術的に利用できなくなる。 異なるアカウントでVLAN SpanningをONにすると、すべてのVLANが相互に通信可能になる。注意。
67
Looking GlassとBluemix のIPバックボーン
IBMクラウドLooking Glassはデータセンター間、ルーター、ターゲットIPアドレス、 サブネット、ホスト名に対するレーテンシーをテストすることができるツール群です。 ロケーション、ターゲット間のレーテンシーのテストはpingやtracerouteなどの様々な方法を使用可能。ユーザーはファイルサイズとロケーションを選択して実際のダウンロードを行ってスピードを測定することが可能。ユーザーで随時実行できます。 67 67
68
<< 柔らか層本ついに冊子に>>
<BLANK PAGE> << 柔らか層本ついに冊子に>> イベントのIBMブースでGETしましょう! 書店でもお求めいただけ ます。(旧名称です・・・) 68 68
69
目次 Bluemix Infrastructure 概要 Bluemix Infrastructureアーキテクチャ
サーバー ストレージ 負荷分散、ファイヤーウォール セキュリティの強化 簡単な手順でセキュリティをそれなりに強固にする 監視 Ticketシステムの使い方 API基本のき Bluemix Infrastructure の認証について よく利用されるサービス VMware on IBMクラウド 情報源 69
70
Bluemix Infrastructureは Bare Metal(物理) サーバーと Virtual(仮想) サーバー があります。
これらの異なる特性のリソースをひとつの管理画面で制御できるのが特徴です。 (異なるデータセンターのリソースもひとつの画面で制御できます) 種別 仮想サーバー 種別(英語) Public Cloud Instance Virtual Server 共有・専有 共有(マルチテナント) 専有(シングルテナント) ハイパーバイザー Xen CPUコア 1~56コア クロック周波数 2GHz以上をコミット E5-2683v3の物理マシン上に構築 メモリ 1~242GB メモリ容量に応じて選択できるCPUコア数が異なる場合があります。 ローカルDisk 25~8.1TB (Windows OSの場合は100GB~8.1TB) 選択できる主要OS CentOS、CloudLinux、Debian GNU/Linux、Ubuntu Linux、 Microsoft Windows Server、Red Hat Enterprise Linux、CoreOS 課金タイプ 時間・月 デプロイ目安 5~15分 備考 管理者権限が付与されます 時間課金に対応していないOSは、時間課金環境での利用はできません。 共有と専有の切り替えは管理ポータルからの切り替えが可能 CPU、メモリ、Diskの追加・削除も管理ポータルから操作できます 仮想サーバーは、オートスケール機能にも対応しています 月課金タイプの場合、アウトバウンド が月250GB無料のオプションがついてきます。 VyOSは、OSリロードでPublic Imageから選べます。 70 70
71
種別 物理専有サーバー(時間課金) 物理専有サーバー(月課金)
Bluemix Infrastructure の Bare Metal(物理) サーバーは、任意の構成をすることも、OpenStack環境を構築することも、Vmwareなど任意のハイパーバイザー環境を利用することもできます。 種別 物理専有サーバー(時間課金) 物理専有サーバー(月課金) 種別(英語) Bare Metal Server (Hourly) Bare Metal Server (Monthly) 共有・専有 専有(シングルテナント) ハイパーバイザー なし CPUコア 1CPU(4コア)モデルから、4CPU(計60コア)までのIntel CPU メモリ 4~3072GB ローカルDisk Up to 36 Drives per server SATA: 1TB to 8TB、SAS: 600GB、SSD: 800GB to 1.7TB 選択できる主要OS CentOS、CloudLinux、Debian GNU/Linux、FreeBSD、Ubuntu Linux、 Microsoft Windows Server、Citrix Xenserver、Vyatta、Parallels Red Hat Enterprise Linux、VMware ESXi、Ubuntu on Power8、CoreOS 課金タイプ 時間 月 デプロイ目安 15~30分 1~4時間 備考 管理者権限が付与されます 部品の障害時には、2時間以内に交換しシステムを再起動します。 時間課金に対応していないOSは、時間課金環境での利用はできません。 時間課金タイプでは、CPUとメモリーの組み合わせは固定されています。 GPUやGPGPU、冗長化電源、冗長化NWカードも指定できます。 メモリ、Diskの追加・削除も管理ポータルから操作できます 月課金タイプの場合、アウトバウンド が月500GB無料のオプションがついてきます 71 71
72
物理専有サーバーの時間利用について(Bare Metal Hourly)
Bluemix Infrastructure 物理専有サーバーには、時間利用ができるものがあります。 デプロイの時間は最大30分 利用可能な構成は以下の7パターンをはじめ、GPU搭載のものなど10数種あります。 このサーバーでは、CPUの種類を指定のものに変更したり、メモリーやDiskのサイズを変更することはできません。またRAID設定の変更もできません。 現在、ほとんどのCPUがHaswellになっています。 気になる場合は、利用するデータセンターを指定してTicketで確認してみましょう 72 72
73
GPU/GPGPUについて Bluemix Infrastructure では、GPU(Graphic Processing Unit)や、 GPGPU(General Purpose GPU)を利用することができます。 利用できるのは、ベアメタルのみです。 M60を vGPU として利用するために必要なユーザーライセンス(Grid2.0)は、現在、BYOLまたはポータルから購入できます。 NVIDIA Tesla P100 GPU: 2x Pascal GP100 Memory: 16GB HBM2 Clock Speed: GHz NVIDIA CUDA Cores: 2x 3584 Memory Bandwidth: 2x 720GB/sec 73 73
74
Power8 について Bluemix Infrastructure で Power8 が月課金タイプとして利用できます。
OSは、Ubuntu のみです。AIXやiOSを使うことはできません。 RHEL、SuSEなどはOSリロードを使って個別に導入することができます。 デプロイの時間は最大30分 現時点で利用可能な構成は以下の4パターンです。 ダラスDCでのみご利用いただけます。 74 74
75
Intel TXTについて(Intel Trusted eXecution Technology)
Intel Trusted eXecution Technology (Intel TXT)はクラウドに更なるセキュリティを実装するためのオプションです。あらかじめ認証された環境以外での仮想マシン(ゲストOS)の起動を禁止するものです。 物理専有サーバーに追加することができます。 対象となっているCPUラインナップは最新情報を参照してください。 1. Intel TXTがBIOS/Firmwareを確認 2. Hypervisorが不正であることを検出 2. Hypervisorが正しいことを確認 3. OS、アプリを起動 3. Hypervisorの起動を中断 75 75
76
Bluemix で「プライベート・クラウド」を構築する例
Bluemix Infrastructure でプライベート・クラウドを実装するには、以下の方法があります。 物理専有サーバーを使う 物理専有サーバーにお好みのハイパーバイザー(VMwareなど)を導入する 仮想サーバーの「プライベート」を使う Bluemix Private Cloud(OpenStackベースのプライベートクラウド)を使う 自社のネットワークから、これらの環境への接続には専用線接続か、IP Sec VPN、インターネットVPNなどを用いてセキュアに接続します。 各サーバーは、Bluemix InfrastructureのプライベートVLANに接続されており、インターネットからは分離された環境として利用できます。 76 76
77
プライベート・クラウドのメリットと使用ケース
ビジネスニーズ コンプライアンス対応 ガバナンスを利かせながらクラウドを活用する 一般的な仮想環境だけのクラウドでは実現できない 自社専用の仮想環境を構築できる柔軟性 利用できる環境を要件に応じてカスタマイズできる機能 さまざまなハイパーバイザーから選択できる ハイパーバイザーの管理と保守を行う責任 手作業によるプロビジョニング が必要 従来と同様にソフトウェアを保守、管理する必要がある メリット 自社の拡張環境として利用できる利便性 包括的なアクセス管理によるガバナンス ほかのトランザクションと完全に分離できる安心感 サンプル使用ケース 既存のVMWare 環境の資産を活用しながら Bluemix Infrastructure の環境を活用する 業界のコンプライアンス上、共用環境の利用が禁じられて いるため、プライベート環境で利用できる環境が必要 77 77
78
イメージ・テンプレートの使用方法 便利だベアー イメージ・テンプレートには二種類あります。
Bluemix Infrastructure に環境を構築してくると、今使っている環境を保存したり、再利用するために保管したり、同じ環境を複数作るときには個別セットアップの手間を削減したくなります。 この場合に使えるのが「イメージ・テンプレート」です。 システムバックアップのように利用できますが、システムバックアップではありません。 ソフトウェアと構成のスナップショットとして利用でき、仮想サーバーだけではなく、物理サーバーも対象にできるのが特徴です。 利用料金は、作成したイメージの容量1GBあたり月額$0.25です。 イメージ・テンプレートには二種類あります。 スタンダード・イメージ・テンプレート(Standard Image Template) 仮想サーバーのイメージを作成できます。 オペレーティング・システムの制約はありません。 このイメージから物理サーバーを作成することはできません。 フレックス・イメージ・テンプレート(Flex Image Template) 物理サーバーと仮想サーバーのイメージを作成できます オペレーティング・システムの制約があります CentOS v5,6、RHEL v5,6、Windows Server 2003、2008R2 このイメージから物理サーバー、仮想サーバーを作成できます。 2017年8月にEOSとなりますので、これ以外でのバックアップ方法が必要です。 便利だベアー (イメージ容量は実際のシステムのボリュームよりも小さくなります。) 78 78
79
イメージ・テンプレート概要 スタンダード・イメージ・テンプレートと、フレックス・イメージ・テンプレートに対する
各サーバーの関係は以下のとおりです。 Public Standard Image 仮想 サーバー My Flex ベアメタル (時間) Hourly Monthly Install Disc 他のユーザーと共有可能 複数DCに保存可能 他DCにインスタンス作成可能 Virtual Serverからは Standard Image と Flex Image を作成でき、いずれからも Virtual Server を作成可能です。 BareMetal Serverは新規OSインストール、もしくはFlex Imageから作成可能です。 BareMetal(時間課金型)は、Flex Imageからの直接作成はできませんが、OSリロード機能により復元することは可能です。 79 79
80
イメージ・テンプレートの作成方法 ステップ 1: 管理ポータルにログインします。Device メニューからDevice List サブメニューを選択します。 ステップ 2: Actions ドロップダウン・メニューをクリックし、Create Image Template を選択してスタンダード・イメージ・テンプレートを作成するか、Create Flex Image を選択してフレックス・イメージ・テンプレートを作成します。 80 80
81
イメージ・テンプレートの作成方法 (続き)
アカウントのイメージのリストを表示するために、Device メニューをクリックし、Manage サブメニューをクリックして Imagesを選択します。 テンプレート名の上でダブルクリックすると、イメージの詳細が表示されます。 81 81
82
イメージ・テンプレートからインスタンスを作成する方法
以下のステップでは、イメージ・テンプレートからインスタンスを作成する方法を説明します。 ステップ 1: カスタマーポータルのメイン・ページで、Device メニューをクリックし、Manage サブメニューをクリックして Images を選択します。 ステップ 2: 目的のテンプレートを見つけて、Actions ドロップダウン・メニューをクリックし、Order Monthly または Order Hourly のいずれかを選択します。 そのイメージから作成できないサーバータイプ(仮想、物理)(時間、月)はドロップダウン・メニューには表示されません。 また、自分が作成したイメージを、特定のアカウントと共有したり、不特定多数のユーザーに対して公開することもできます。 さらに、ISOイメージをインポートしたり、VHD形式でエクスポートすることもできます。 82 82
83
目次 Bluemix Infrastructure 概要 Bluemix Infrastructureアーキテクチャ
サーバー ストレージ 負荷分散、ファイヤーウォール セキュリティの強化 簡単な手順でセキュリティをそれなりに強固にする 監視 Ticketシステムの使い方 API基本のき Bluemix Infrastructure の認証について よく利用されるサービス VMware on IBMクラウド 情報源 83
84
Bluemix Infrastructure ストレージの概要
Bluemix Infrastructure ストレージは、File Transfer Protocol (FTP)、Network Attached Storage (NAS)、Object Storage、Endurance Storageなど、 オンライン・データ・バックアップ/リカバリー・ツールをはじめとする、複数のストレージ・テクノロジーを統合して最高レベルのセキュリティー、信頼性、柔軟性を持つように設計されています。 Bluemix Infrastructure のストレージ設計は、自動バックアップ、高可用性ソリューション、データ・レプリケーションを含む、エンタープライズ・クラスのサービスを提供します。すべてのサービスは完全に自動化されており、Bluemix Infrastructure の 管理ポータル と API を利用してアクセスできます。 84 84
85
Bluemix Infrastructure ストレージの概要 (続き)
多岐にわたるストレージを採用 一般によく使用されているストレージ・プロトコルを幅広く採用することで、高速で、信頼性とコスト効果が高く、スケーラブルなストレージの選択肢を提供します。 管理者は、お客様の要件に最適なストレージを選択することができます。 エンタープライズ・クラスのセキュリティー Bluemix Infrastructureのすべてのストレージはお客様のプライベート VLAN を利用してデータを転送を行います。画期的な Network-Within-a-Network (ネットワーク内ネットワーク) トポロジーによって、プライベート・ネットワークには最高レベルのセキュリティーが提供され、一方で管理者によるアクセスが妨げられることはありません。 優れたコネクティビティ データセンターの内部はもちろん、地理的に分散されたデータセンター間でも、高速かつ信頼性の高いデータ転送が可能です。ストレージは各サーバー・ラックに対して10 Gbで接続されています。また、標準的なフレーム規格を拡張したジャンボ・フレームにより、ネットワークのパフォーマンスを向上させています。 地理的な多様性 グローバルに広がる Bluemix Infrastructure のデータ・センター同士を連携させて、場所を意識せずシームレスにデータ転送を行うことが可能です。お客様は任意のデータ・センターにサーバーを設置し、別のデータセンターにあるストレージを利用することができます。 85 85
86
Bluemix Infrastructure ストレージの概要 (続き)
Bluemix Infrastructure の各サーバーのローカルディスクとして選択できる ストレージ(素直に Disk と表記すべきですが)は以下のとおりです。 仮想サーバー用 Diskのタイプ 専有・共有 RAID 永続性 サイズ範囲 ローカル(local) 専有 東京DCなどはSSD RAID10 なし 25GB~400GB Win は100GB~400GB ローカル(SAN) 共有* RAID50 あり 25GB~8.1TB Win は100GB~8.1TB *共有、とは物理的には共有で論理的に専有という意味です。 物理サーバー用 Diskのタイプ 専有・共有 RAID 永続性 サイズ範囲 SATAII, III 7.2krpm 専有 任意 n/a 1TB~8TB SAS 15krpm 600GB SSD 800GB~1.7TB 86 86
87
Bluemix Infrastructure ストレージの概要 (続き)
名称 主要用途 専有 共有 Diskコント ローラーの 冗長化 Snap shot 選択できるDisk RAID 最大 サイズ ファイルストレージ (NAS) シンプルなNAS 共有* × - n/a 50 250GB Endurance Storage ブロックストレージ ○ No info 耐障害性有 12TB バックアップ (eVault) ユーザーデータ おそらく○ 任意 10-50 2TB (R1Soft Server Backup Manager) ファイルサーバー (QuantaStor) 大容量 冗長構成可能 HA時は× 216TB Elastic Storage on Cloud Infiniband+GPFSの 高速ストレージ RAID6 2PB Performance Storage IOPS保障型 ストレージ オブジェクト 従量のクラウド型 *共有、とは物理的には共有で論理的に専有という意味 **今後サポートされる予定 87 87
88
ローカル・ストレージ詳細 ローカルディスク、と表現すべきかもしれません。
物理サーバーでは、必要なDiskの種類、サイズを選択し、RAIDを構成することで利用できます。Diskのスロット数は最初に選択するマザーボードによって上限が決められています。 ここでは、仮想サーバーのローカルディスクについて詳細を説明します。 仮想サーバーのディスク種別は、第一ディスクとして選択したものに統一されます。 つまり、第一ディスクに「ローカル」を選択すると追加できるDiskは1つで、「SAN」を選択すると4つ、となります。 「ローカル」はIOパフォーマンスに優れ、「SAN」はハイパーバイザーと連携した自動フェイルオーバー機能を標準提供しています。 構成例 1: 第 1 ディスクが ローカル・ディスクの構成 構成例 2: 第 1 ディスクが SAN ディスクの構成 88 88
89
ファイルストレージ(NAS)詳細 NAS は大容量のデータを保管することが可能であり、高速かつ信頼性とコスト効果が高いストレージです。
複数のアクセス・ポイントを持つ永続ファイル・ストレージとして使用するように設計されています。 使用例としては、以下のものが挙げられます。 ISO イメージの保管 共通で使用する文書の保管 必要とされる可能性のあるセットアップ・スクリプトの保管 NAS の機能は以下のものに対応しています。 Bluemix Infrastructure が提供するすべてのオペレーティング・システム Unix で使用されるユーザー・セキュリティー (NAS ストレージ・サーバーごとのパスワード) 複数のシステム接続を対象とした CIFS ベースのファイル共有 お客様は NAS や FTP ストレージの操作を、主に OS のコマンドラインまたはターミナル内で行うか、 コントロール・パネルでのポイント・アンド・クリック操作によって行います。 Customer Portal の中では、NAS の詳細や使用量を表示することができますが、 このサービスに接続しているオペレーティング・システムのコマンドラインや、カーネル、 コントロール・パネルの外部では、サービス自体を操作することはできません。 89 89
90
Endurance Storage 詳細 Endurance Storageの基本 ブロックストレージ ファイルストレージ ストレージ体系
ブロックレベル、またはファイルレベルでの利用が可能 一対多、多対一の接続が可能 仮想、物理サーバーから利用可能 Linux、Windows OSから利用可能 スナップショットあり。バックアップとしても使え、バージョン別復元が可能。ファイル単位の復元は不可 レプリケーション機能あり。DC間のリカバリー、フェイルオーバーにも利用可能 サーバーにマウントして利用する ポータルまたはAPIを介して管理できる ブロックストレージ iSCSI-based LUN 20GBから12TBまで(10IOPS/GBのみ4TBまで) マルチパス接続による高可用性を実現 ファイルストレージ NFS-based share 20GBから12TBまで(10IOPS/GBのみ4TBまで) Routed TCP/IP connectivity NFS接続を推奨。CIFS、SMBは非推奨 ストレージ体系 ラインナップ ひとことで 概要 代表的な用途 0 .25 IOPS/GB 軽めのシステム向け 低IOなアーカイブ、バックアップ、部門ファイルシステムや一般的なメールサーバーなど ファイル共有、Exchange、Sharepoint、LiveLinkなど 2 IOPS/GB デフォルトはこちら 一般的なIOシステム向け。DBや仮想化環境の基盤など 3D VDI、SQL、Oracle、VM OS、EPIC、Meditech、Paradigmなど 4 IOPS/GB パフォーマンス重視 高IOシステム向け。パフォーマンス要件のあるDBなど SQL、Oracle、SAP、HANAなど 10 IOPS/GB ハイパフォーマンス ハイパフォーマンスが必要な環境向け 高トランザクション向けのDB、File Serverなど 90 90
91
Endurance Storage 詳細 価格体系 $0.10 $0.05 $0.02 $0.20 $0.125 $0.35 $0.15
ラインナップ 容量月額 (GB/Mo) Snapshot 月額(GB/Mo) Replication 0 .25 IOPS/GB (軽め) $0.10 $0.05 $0.02 2 IOPS/GB (標準) $0.20 $0.125 4 IOPS/GB (性能重視) $0.35 $0.15 $0.25 10 IOPS/GB(ハイパフォーマンス) $0.58 $0.50 価格の考え方 標準のタイプを100GB使うと、100GB x $0.20/GB = $20 がベースの月額 これのSnapshotを取得するとSnapshotの容量分が利用料として追加される。 例えば、50GBのSnapshotを取得すると、50GB x $0.15/GB = $7.5 が Snapshotの月額料金となる さらに、この100GBから100GB分のレプリカを取得すると レプリカ用の容量と、レプリカ機能の利用料金がかかる。 100GB x $0.20/GB = $ GB x $0.125/GB = $12.5 、つまり、$32.5 レプリカをsnapshotすることもできる 91 91
92
Endurance Storage 詳細 仮想サーバー エンデュランス プライベート ストレージ VLAN 物理サーバー
同一DCのプライベートVLANから接続 仮想、物理の両方から接続可能 1G,10Gのリンク速度にも対応 スナップショット、レプリカも追加可能 ブロックサイズ 16Kで IOPS性能を提供
93
レプリカの設定により定期的にActive側のsnapshot領域が複製される
Endurance Storage 詳細 同一DC かつ 許可されたホストからのみ マウント可能 レプリカをActive後 同一DC かつ 許可されたホストからのみ マウント可能 レプリカの初期設定時に本体が複製される Replication 同一リージョンの異なるDCに設置 任意の間隔でレプリカ Active Inactive レプリカ 取得 リストア リストア Replication フェイルバック レプリカからの レプリケーション不可 Snapshot Snapshot 同一ストレージ内 手動 or 定期的に取得 複数回の取得が可能 バージョン管理あり 任意のSnapから復元可能 レプリカの設定により定期的にActive側のsnapshot領域が複製される レプリカからの スナップショット不可
94
Bluemix Infrastructure共用設備
バックアップ(eVault)詳細 ご提供機能 簡単:シンプルな操作画面(WebベースのGUI)から、バックアップ設定ができます。 自動:バックアップタイミング(日次・週次・月次など)、バックアップ対象(ファイル、ディレクトリ)の設定に基づいたバックアップが自動的に行われます。 多様:Windows環境の場合、アプリケーションバックアップ用のプラグイン(Exchange、MS SQL、Sharepoint、Oracle)を提供します。 ご利用方法 オーダー済みのサーバー毎に、Evaultボリューム(バックアップ容量単位)を注文いただきます。 Bluemix Infrastructureダウンロードサイトから、Evaultエージェントを入手し、サーバーに導入できます。 EVault 使用形態 Bluemix Infrastructure共用設備 バックアップ対象サーバー (仮想、ベアメタル) Evaultストレージサーバー EVaukt Agent OS (Win, Linux) バックアップ元 ディスク EVault ボリューム Private VLAN データバックアップ 94 94
95
バックアップ(R1Soft Server Backup Manager)詳細
(旧称 Idera。機能面の変更はありません) ご提供機能 高速: Disk to Disk バックアップ技術を駆使した高速バックアップを実現します。 初回はディスク単位のフルバックアップ、次回以降はブロック単位の差分バックアップ。リストアはファイル、フォルダー単位。 柔軟: 複数の仮想サーバー、ベアメタルサーバーおよびハイパーバイザー上の仮想サーバーを集中管理できる 統合バックアップソリューションです。 MySQL、MS SQLのアプリケーションバックアップも可能です。 簡単: シンプルな操作画面(WebベースのGUI)から、バックアップ設定・運用ができます。 初回はディスク単位のフルバックアップ、次回以降はブロック単位の差分バックアップ。リストアはファイル単位。 ご利用方法 R1Softバックアップサーバーとして、仮想サーバーまたは物理サーバー(R1Soft Server Backup:OSアドオン、Backup Agent: 対象サーバー台数)を注文ください。 R1Soft Server Backupは自動導入されます。R1Soft Server Backupの操作画面から、バックアップ設定・エージェント準備が実施できます。 R1Soft社とのライセンス有効化のために、インターネット接続が必要です。インターネット接続ができない環境の場合は、Ticket で Private VLANでのライセンス有効化を依頼しましょう。 R1Soft Server Backup Manager 使用形態 バックアップ対象サーバー (仮想、ベアメタル) R1Soft バックアップサーバー Backup Agent Server Backup OS (Win, Linux) バックアップ元 ディスク OS バックアップ先 ディスク Private VLAN データバックアップ 95 95
96
ファイルサーバー(QuantaStor)詳細
Bluemix Infrastructureでは、大容量のストレージを備えた物理(ベアメタル)サーバとOS NEXUS社のQuantaStorストレージ・アプライアンス・ソフトウェアを使って、専用のプライベートSAN、NASを実現します。 専有ストレージを利用したい物理(ベアメタル)サーバにデプロイし、4 TB から 128 TB の範囲で特定のニーズを満たすように構成します。 ニーズの例としては、以下のものが挙げられます。 コンテンツ・ストレージ ファイル・アーカイブ ディスクtoディスクのバックアップ Hadoop のデプロイメント SAN (iSCSI) または NAS (NFS v3 および v4) ストレージ・システムとして設計します。 先進的なストレージ機能 (シンプロビジョニングやリモート・アプリケーションなど) は、 VM アプリケーション・デプロイメント、仮想デスクトップ、Web サーバー、アプリケーション・サーバーには最適です。 お客様の Web ブラウザーを介した QuantaStor Manager Web Manager インターフェース。 ストレージ・クラスターにデプロイ可能。 このデプロイメントで使用される QuantaStor ストレージ・アプライアンス OS は、Ubuntu サーバー (Linux) 上に構築されたストレージ・システム OS であり、どの 64 ビット・サーバー・ハードウェア上でも動作します。 96 96
97
ファイルサーバー(QuantaStor)詳細
複数のx86系サーバをストレージとして扱う 複数のサーバを制御、 ストレージとして扱い、 仮想的なPoolを作成 iscsi FC(Bluemix Infrastructureでは選択不可) ハイパーバイザ 仮想ストレージプール ハイパーバイザ NFS ハイパーバイザ 専用ストレージを管理するためのコントローラを持たせる 複数の専用ストレージを 制御、大きなPoolとして扱う ハイパーバイザ コントローラ 97 97
98
Performance Storage(PS)詳細
旧称: Consistent Performance Storage PSの基本 ブロックまたはファイルレベルでの接続を提供 IOPSを指定できる IOPSのレンジとストレージサイズによる課金 管理ポータルから利用できる APIからも利用できる SPOFの無いよう物理的に構成されている 価格は、サイズ別の料金と、1 IOPSあたり12セントの料金の和となる。 IOPSの料金は指定したIOPS分となります。(実際に利用したIOPSではありません) ブロックストレージ iSCSI-based LUN 冗長構成、マルチパスIO接続可能 Linux、Windows Server OSで利用可能 仮想サーバー、ベアメタルで利用可能 ファイルストレージ NFS-based share Linux、Windows Server OSで利用可能 仮想サーバー、ベアメタルで利用可能 Size (GB) 20 40 80 100 250 500 1,000 (1 TB) 2,000 (2 TB) 4,000 (4 TB) 8,000 (8 TB) 12,000 (12 TB) Min IOPS 200 300 1,000 Max IOPS 2,000 4,000 6,000 98 98
99
オブジェクトストレージ詳細(1/3) Bluemix Infrastructure の Object Storage は大量のデータをアーカイブ、管理、提供するように設計されています。Object Storage の使用例としては以下のものが挙げられます。 静的データの長期保管 メディア・オブジェクトの保管 メディアの配信 Bluemix Infrastructure の Object Storage は以下の二種類があります。 Object Storage Standard Regional (SoftLayer オブジェクト・ストレージ/OpenStack Swift API) 世界中のデータ・センターで利用可能な Object Storage Standard Regional は、Swift API サポート、組み込み SFTP、SoftLayer コンテンツ配信ネットワークとのシームレスなインテグレーションを提供します。Object Storage Standard Regional は従量課金の条件で利用可能であるため、ストレージ環境を迅速かつ簡単にスケールアップまたはスケールダウンし、その月に使用した分のみ支払うことができます。 Object Storage Cross Region (S3 API) 回復力のある Cross Region U.S. ベースのサービスを使用してデータの保管やアクセスを行います。S3 API サポート、Cross Region U.S. の回復力、SecureSlice テクノロジーを使用した組み込みセキュリティーにより、Object Storage Cross Region は、バケットの作成と管理を可能にし、ツール、アプリケーション、ゲートウェイで使用する資格情報およびエンドポイントを提供します。 99 99
100
オブジェクトストレージ詳細(2/3) Object Storage Standard Regional (SoftLayer オブジェクト・ストレージ/OpenStack Swift API) 利用するObject Storageのデータセンターを選択します。 ストレージ価格は GB/月あたり $0.04 です。 プライベート・ネットワーク経由のインバウンドとアウトバウンド、パブリック・インバウンドは無料です。 パブリック・アウトバウンド帯域幅は GB あたり $0.09 です。(単価はDCによって異なります) PUT、COPY、POST、LIST 、GET およびその他すべてのリクエストは無料です。 1オブジェクトあたりの最大サイズは 5 GB ですが、Cyberduck、Cloudberry、S3QL などの無償のファイル転送ツールを使うことで、最大ファイルサイズの上限を気にすることなく送受信することができます。 クラスタリングされたバックエンドとしてデータ・センター内の少なくとも 3 台のサーバーにレプリケーションを持ちます。 CDN 連携はすべての Object Storage アカウントで使用できます。 CDN 連携を利用すると、CDNから配信された総量の GB あたり $0.12、CDN SSL は GB あたり $0.15 です。注: データ・センター間で自動的にデータをレプリケートするサポートはありません。必要に応じて (例えば、地理的冗長性を持たせるために) 複数のデータ・センターにデータを手動で分散することもできます。 100 100
101
オブジェクトストレージ詳細(3/3) Object Storage Cross Region (S3 API) 101
利用頻度に応じたメニューがあります(標準、ボールド、コールド・ボールド) 地理的に分散した拠点に保管します 暗号化にも対応します。 現在はUSのみですが、日本での展開も予定されています。 101 101
102
Content Delivery Network 詳細
Bluemix InfrastructureのContent Delivery Network (CDN) は Verizon(旧称 Edgecast)のサービスを使用しています。 CDNは、グローバルに展開された複数のサーバ上にコンテンツを複製し、最も地理的に近いエンドユーザーにインターネット経由で迅速にコンテンツを配信することを可能にするシステムです。 最初にコンテンツへのアクセスが発生した際に、オリジナルのサーバーからデータを取得してキャッシュし、その後のアクセスはキャッシュを使用します。キャッシュ期間は 1時間~30日の間で設定可能です。 CDNが効果的な業種例 Social networking Entertainment Gaming Software development E-Commerce Financial services $0.12 per GB $0.15 per GB with SSL 102 102
103
Content Delivery Network 詳細(続き)
CDNを利用することにより、20以上の拠点からグローバル・ネットワークを通じ、最も近い拠点からユーザーにコンテンツを配信することが可能となります。
104
<BLANK PAGE> << クマった時の・・・ >> 占有と専有、使い方難しいですよね。
クラウドで使うべきは「専有」です。 占有の占は占拠の占!だから違う!と覚えれば試験でも安心ですね。 Bluemix Infrastructure ではサーバーだけではなく、ストレージやネットワーク機器にも専有オプションがあるのが特徴やねん。 104 104
105
目次 Bluemix Infrastructure 概要 Bluemix Infrastructureアーキテクチャ
サーバー ストレージ 負荷分散、ファイヤーウォール セキュリティの強化 簡単な手順でセキュリティをそれなりに強固にする 監視 Ticketシステムの使い方 API基本のき Bluemix Infrastructure の認証について よく利用されるサービス VMware on IBMクラウド 情報源 105
106
(Linux Virtual Server)などのOSS
Bluemix Infrastructureでの負荷分散 負荷分散するには、ロードバランサーを使います。 ロードバランサー(負荷分散器)は、単一のデバイスへの負荷を軽減するために、あらかじめ定義したサーバ・グループ間でWebトラフィックの処理や通信を分散するネットワーク・デバイスのことです。 Bluemix Infrastructureではロードバランサーに以下のタイプが選択できます。 特徴 LVS (Linux Virtual Server)などのOSS ローカル ロードバランサー (共用型) (専用型) Citrix NetScaler VPX/MPX グローバル・サーバー・ロードバランス NetScaler VPX /MPX 適用範囲 DC内 DC間 共有・専有 専有 共有 VIP数 Public アドレス 1,2,4,8,16 から選択 Publicアドレス 1 HA構成 可能 なし SSLオフロード 不可 オートスケール との連動 能力 仮想サーバー に依存 同時250 〜2500接続 同時15000 〜150000接続 10Mbps 〜1000Mbps 費用 OSSのため サーバー費のみ $50〜 $2500 $999〜 $3998 $299〜 $1999 $499〜 その他 サーバー間の 負荷分散に適用可 低価格 AutoScale連動 高負荷対応 WAF, GSLBなども 利用可 SLB,WAFなども
107
Bluemix Infrastructure local load balancer
Bluemix Infrastructureの local load balancer は業界標準の Array Networks を採用し、データセンター内のサーバ間におけるWebトラフィックの負荷分散を行います。 1つのデータセンター内にあるサーバーのパブリックVLAN側の負荷を分散できます。 Local Load Balancers Multitenant Proxy Connections – traffic passes through load balancer for the duration of the connection Single Virtual IP (VIP) Pricing based on connections per second Up to Layer 4 load balancing SSL Offloading optional Ideal for fewer than 5000 connections/second No high availability option Public network traffic only Dedicated Load Balancers with SSL Single Tenant Proxy Connections Single VIP, with additional VIPs available by request High availability optional (at additional fee) Up to Layer 4 load balancing 2600 <15,000/sec connections; 6600 < /sec Public network traffic only
108
Bluemix Infrastructure local load balancer(続き)
レイヤー4までの通信をサポート。 コンソールアクセスは不要。Bluemix ポータルを通じた統合管理。 負荷分散対象としてのサーバの追加・削除は、停止を伴わず即時反映が可能。 Local load balancing Dedicated local load balancing Only one virtual IP address provided: 250 connections per second (with SSL option) 500 connections per second (with SSL option) 1,000 connections per second (with SSL option) 2,500 connections per second Available with High Availability Up to eight virtual IP addresses: 15,000 connections per second with SSL only 150,000 connections per second with SSL only
109
Bluemix で global load balancer を使うには
Bluemix Infrastructureのglobal load balancing を実現するには、Citrix社のNetScaler VPXまたはMPXを利用します。これを複数のデータセンターに設置すると、そのデータセンター間でのWebトラフィックの処理や負荷分散を行うことができます。 Internet User Citrix NetScaler Citrix NetScaler 2
110
Bluemix Infrastructure の Citrix NetScaler VPX/MPX
Bluemix Citrix NetScaler はウェブアプリケーションに対応したアプライアンスであり、 アプリケーションのパフォーマンス向上、低コストでのセキュリティ確保を可能にします。 NetScaler VPX GUIでの操作が可能 Bluemix Infrastructureのパブリック、プライベートNW双方の環境に配置が可能 パブリックI/Fを持たないサーバーへ負荷分散を行うことのできる唯一のオプション レイヤー7までをサポート Global load balancing機能、SQL DB load balancing機能、高可用機能を使用可能 10 Mbps, 200 Mbps, もしくは1 Gbps 20TB/月までのパブリック・ネットワークでのアウトバウンド通信、および無制限のプライベート・ネットワーク通信が無償で使用可能 本無償枠は今後GAされるNetscalerから外される方針です。ご注意ください。 補足 Citrix NetScaler の Standard、および Platinum Editions は、以下のオプションを選択可能 1、2、4、8、もしくは16 パブリックIPアドレス NetScaler MPX 機能はVPXと同じ VPXは仮想アプライアンスだが、MPXはベアメタル向けのアプライアンス プラチナ・エディションでのみ利用可能 秒間10万接続以上を制御したいユーザー向け
111
Bluemix Infrastructure の Citrix NetScaler VPX/MPX
Standard Edition Platinum Edition TCP buffering TCP multiplexing SSL offload and acceleration Client and server TCP optimizations L4 DoS defenses Layer 7 content filtering HTTP rewrite URL rewrite Citrix Access Gateway Layer 4 load balancing Layer 7 content switching AppExpert rate controls IPv6 Cache redirection Citrix AppCompress for HTTP Citrix AppCache Layer 7 DoS defenses NetScaler Application Firewall Global server load balancing Surge protection Priority queuing
112
Outboundの保護、FortiGuard AV, NGFW, Web Filtering
Bluemix Infrastructureでのファイアーウォール ファイアーウォールなのか、ファイヤーウォールなのかはさておき、Bluemix Infrastructureでは、ハードウェアもしくはソフトウェア(あるいは両方)で提供され、ネットワーク上のサーバへの接続に対し、許可されていない接続からの通信を制御できます。以下のタイプが選択できます。 特徴 OS ファイアウォール ハードウェア (共用型) (専用型) Fortigate Security Appliance Vyatta Gateway Appliance WAF NetScaler VPX Premium 適用範囲 サーバーの IPアドレス1個 パブリック VLAN x1個 パブリック, プライベートVLAN x N個 プライベートVLAN x 1個 共通/専用 専用 共用 HA構成 n/a コールドスタンバイ 可能 管理ユーザー インタフェース CLI、GUI カスタマー ポータル Web-GUI とCLI 主としてCLI, Web-GUIも可 保護対象 レイヤー L4 (TCP) L7(アプリ) 複数のVLAN保護 不可 性能 サーバー能力に依存 10Mbps〜2000Mbps 1Gbps (NICリンク速度) (NICリンク速度) 10Mbps〜 10Gbps 10Mbps〜1Gbps 費用 無料 $49〜$399 $999〜$1998 $418〜 $1856 $499〜 $1999 その他 OSにバンドルされるFWまたはAPF サーバー単位 VLAN単位 Outboundの保護、FortiGuard AV, NGFW, Web Filtering VPN,NAT,VLANトランク対応 VyOS(サポート有) アプリ脆弱制対応
113
Bluemix Infrastructureでのファイアーウォール
共有型ファイアーウォール (Shared hardware firewalls) 構成オプション: 10 Mbps 100 Mbps 1 Gbps 10Gpbs Fortinet FortiGate 3000 seriesを使用 マルチ・テナントのハードウェアを提供 サーバー個別での防御(物理/仮想サーバー) 対象サーバーのIPアドレスに対してルール を適用 ポータルおよびAPIで管理が可能 専有型ファイアーウォール (Dedicated hardware firewalls) 構成オプション: 1 Gbps dedicated 1 Gbps dedicated with high availability Fortinet FortiGate 3000 seriesを使用 シングル・テナントのハードウェアを提供 お客様VLAN全体の防御 定義したVLANに対して、VLAN全体および サーバー個別のルールを適用可能 ポータルおよびAPIで管理が可能 詳細は次ページ
114
専有型ファイアーウォールアプライアンス 専有型ファイアーウォール アプライアンス
(Fortigate Security Appliance) 構成オプション: 1 Gbps dedicated 1 Gbps dedicated with high availability Fortinet FortiGate 300 seriesを使用 基本的に、専有型ファイアーウォールと同じ このアプラインスでは、ポータル経由ではなく直接FortiGateのコン ソールにアクセスが可能となり、製品が提供する管理ツールをそのま ま使用可能。コンソールとツールにより、さらに高度なfirewallおよび セキュリティ機能を使用することが可能。セキュリティ機能としては、 VPN (IPSec, PPTP, およびL2TP)をご利用いただけます。 HA を構成した FortiGate において、連続稼働時間が497日を超過した筐体でHA ハートビートが失敗し、意図しない Failover が発生する恐れがあるバグが報告されています。 暫定対策:497日間連続稼動前に再起動 恒久対策:FortiOS 以降へのバージョンアップ・・・というか定期的にバージョンアップしましょう!
115
Bluemix Infrastructure を使用したルーティング
Bluemix Infrastructureが標準で提供するルーティングではなく、より詳細な制御が必要な場合は、Vyatta gateway appliance がご利用いただけます。 IPSec VPN トンネル NAT Firewallサービス Routerサービス すべてのVyattaの機能はVyatta Network OSへのSSH接続によるCLIまたは、VPN経由でのウェブブラウザー経由でのGUIコンソールで管理を行うことが可能。 Note: Bluemix Infrastructureのshared、または dedicated firewallとVyatta network gatewayは同一VLAN上に共存でき ないため注意が必要
116
Vyatta を利用する上での注意事項 クラウドではデファクト・スタンダードと言っても過言ではない、Software Router のVyatta、ですが、その構成方法については、ちょっとしたTipsがあります。 以下にまとめましたので、ご参照ください。 Vyattaの最大帯域は、それぞれのサーバーで選択できる帯域に依存します。 仮想サーバー:最大1Gbps 物理サーバー:最大10Gbps VGAとして構成:最大1Gbps(Single CPU版)、最大10Gbps(Dual CPU版) HA組むくらい大切なVyattaなら、帯域は1Gbpsから。 物理サーバーに構築orVGAを利用するなら、NICはRedundantを検討する。 帯域、本当に足りているか、考える。 ポータルで、PublicとPrivateのスループットが見えます。 これが余裕があるならいいんですが、余裕が無いなら帯域の拡大をやってください 何でもかんでもFirewallに通さない。 複雑なルールはパフォーマンスの劣化を招きます Vyattaのモジュールは最新に維持しましょう Bug Fixだけではなく、パフォーマンスの改善やセキュリティ向上の恩恵もあります。
117
目次 Bluemix Infrastructure 概要 Bluemix Infrastructureアーキテクチャ
サーバー ストレージ 負荷分散、ファイヤーウォール セキュリティの強化 簡単な手順でセキュリティをそれなりに強固にする 監視 Ticketシステムの使い方 API基本のき Bluemix Infrastructure の認証について よく利用されるサービス VMware on IBMクラウド 情報源 117
118
セキュリティ概要 Bluemix Infrastructureは、安心して使えるお客様環境を構築するためにセキュリティサービスを提供しています これらのサービスには下記のものが含まれます。 セキュアな接続環境 脆弱性 スキャン アンチウィルスとアンチスパイウエア ホスト環境による不正侵入検出 ファイアウォールとネットワークからの脅威に対する防御 (IPS, DDoS防御) 仮想プライベートネットワーク (VPN) (IPSec, SSL, PPTP) Bluemix Infrastructureカスタマーポータルに対する二段階認証 配送されるデータの信頼性を保つSSL証明書 Secure Platform IBM Bluemix Infrastructureの提供におけるアーキテクチャと 運用の責任 Physical and Operational Security IBM Bluemix Infrastructureのデータセンターの、 認定された物理的および論理的なセキュリティ Comprehensive Options and Advanced Technologies パートナー(オープンエコシステム)を介して提供される追加のセキュリティ機能 Easy-to-use 簡単に使えるBluemix Infrastructureのセキュリティ機能 118
119
セキュリティ概要 Public Network Network Security Management Security
Bluemix Infrastructure は、ISOやSOCなど各種Complianceに準拠したセキュリティ運用サービスを提供いたします。 Network Security Data Center NW Security Hardware Firewall (Shared / Dedicated / HA) Fortigate Security Appliance Vyatta Gateway Appliances Citrix NetScaler Server Security APF Software Firewall Microsoft Windows Firewall McAfee Anti-Virus McAfee Host Intrusion Protection Nessus Vulnerability Scanner Public Network Network Security Management Security Private Network Server(s) Server Management SSL / PPTP / IPSEC VPN MPLS OS Update Server SSL Certifications Portal Security Symantec Two-factor Authentication Compliance SOC 2 Safe Harbor CSA - STAR Registrant PCI Compliance (PCI-DSS) HIPAA Compliance
120
サーバーへセキュアに接続する Bluemix Infrastructureでは、リモートアクセスの様々なユースケースに合わ せるために各種のVPN接続が選べます。 クライアント側のSSLやPPTP VPN ブラウザーを使ったものや、VPNクライアントS/Wをインストールして使うもの ユーザーは、カスタマーポータルで登録し権利を与える必要がある お客様サイトとBluemix Infrastructure間の IPSec VPN お客様拠点側にIPSec 通信可能なネットワーク機器が必要 ユーザー毎の調整は必要なし 追加の月額料金が発生する お客様環境とBluemix Infrastructureを専用線で接続する Direct Link 120
121
サーバーへセキュアに接続する(続き) パブリックネットワークから分離されたVPN経路を使ってサーバーにアクセスすることができる。 4 インターネットからのアクセス経路 インターネットからは分離された プライベートVLAN側に接続される 3 1 通信経路にはインターネットを利用 2 通信経路の暗号化に SSL VPN、PPTP VPN、IP Secなどを 利用できる 121
122
Bluemix Infrastructureのセキュリティ・モデル
特徴 データセンターのセキュリティ対策 -SSAE16(内部統制), SOC2(報告書), PCIDSS(クレジット業界基準) 準拠 -24/7センターの物理的なセキュリティ -パブリック、プライベート、管理ネットワークの分離 ユーザー向けセキュリティ・サービス -統合サーバーのセキュリティ強化 -定期的な全システムウイルススキャンとシステムのパッチ適用 -定期的なセキュリティプロファイルの検討と提言 お客様定義 役割ごとのセキュリティー モデル・識別 業界基準 コンプライアンス OSの定義 アプリケーションパッチ スケジュール アンチウィルス スキャンニング セキュリティー強化 お客様固有の ファイアウォール プロファイル 詳細準備 セキュリティー 変更管理 計画報告 定期的な セキュリティー プロファイルの 見直し
123
Bluemix Infrastructureが提供する統一プラットフォーム
サーバーの種別ごとの特徴 Bluemix Infrastructureは、ベアメタルサーバー、仮想サーバー(パブリック型、プライベート型)の3つのクラウド・サービスを提供しています。 それぞれ、セキュリティに関する異なる特徴があります。 ベアメタル 物理サーバー パブリック 仮想サーバー プライベート 仮想サーバー 物理的な環境を すべて専有して利用できる。 マルチテナント型 仮想環境としては専有して いるが、ハイパーバイザーレベ ルで共有、つまり物理環境 では共有 シングルテナント型 ハイパーバイザーレベルで専有 Bluemix Infrastructureが提供する統一プラットフォーム 他社との共有環境が許容できない用途では、ベアメタルやプライベート型のクラウドサーバーが最適です。 どのタイプのサービスであっても、プロビジョニング後は、ワークロードのセキュリティやコンプライアンスは、すべてお客様の責任となります。(例:セキュリティサービスを活用することも、個別に、ハードドライブ全体を暗号化する事もできます。)
124
Bluemix Infrastructure における責任分界点
種類 データ センター 設備の管理 物理的な サーバー 環境の管理 サーバーの運用管理 ハイパー バイザーの 配布 管理 サーバーの 配布された 運用管理 お客様の 業務 運用・管理 例 データセンター 設備の維持管理 サーバーパーツの 運用保守 BIOSの 更新適用 初期導入用の イメージの準備とインストール ハイパーバイザーそのものの運用管理、パッチ適用 初期導入用OSイメージの準備とインストール OSへのパッチ適用、セキュリティ適用 アプリケーションの導入、保守、データ・バックアップ Bluemix ベアメタルサーバー (物理専有) IBM お客様 N/A +ハイパーバイザー GuestOS:お客様 ベアメタル+Hypervisor:IBM プライベート 仮想サーバー (仮想専有) パブリック (仮想共有) IBM Bluemix Infrastructure お客様 組み合わせ 124
125
Bluemix Infrastructureに実装されているセキュリティ
ポータルから設定 ユーザーが構築 1.全般 種別 名称 特徴・仕様 DDoS防御 Cisco Guard DDoS protection Arbor Peakflow traffic analysis Arbor ATLAS Global Traffic Analyzer Threat management system (TMS) 仮想マシンの独立, 脅威の発生点を特定するためのクライアント側での能動的な活動 ドライブワイプ操作 ドライプワイプソフトウェア すべてのデータが、DoD(防衛省)によって認可されたドライブワイプソフトウェアによって、再プロビジョニングマシンから取り除かれる 2.ネットワーク 種別 名称 特徴・仕様 ファイアウォール Firewall (共有、専有) ハードウェアファイアウォールの提供 FortiGate アプライアンス Vyattaアプライアンス ハードウェアファイアウォール(アプライアンス)の提供 二要素認証 Symantec ID Protection PhoneFactor 管理ポータルの認証機能 Multi-Factor Authentication(PhoneFactor)の防御方法 IDS McAfee Host Intrusion Protection w/Reporting ネットワーク侵入検知機能を提供(Windowsのみの機能) VPN SSL、PPTP VPN (クライアント間) IPSec VPN (サイト間) ネットワークセキュリティ機能の提供
126
Bluemix Infrastructureに実装されているセキュリティ
3.サーバー ポータルから設定 ユーザーが構築 種別 名称 特徴・仕様 アンチウィルス スパイウエア McAfee Windows VirusScan Anti-Virus Windows (無償) Windowsのみで使用可能 プライベートネットワークに、パターンファイル配布サーバーを設置 パッチサービス Windows server Security Update Services (WSUS) RedHat RHN server プライベートネットワークに、WindowsやRed Hatアップデートサーバーを設置 IDS McAfee Host Intrusion Protection w/Reporting サーバー毎の侵入検知機能を提供 ファイアウォール Microsoft Windows Firewall (無償) APF Software Firewall for Linux (無償) サーバー毎のファイアウォール機能を提供 個別の設定は各サーバーで実施が必要 脆弱性レポート Nessus vulnerability Assessment & Report (無償) サーバー毎の脆弱性レポートを、管理ポータルから実行・取得
127
サーバーにファイヤーウォールを設定する ソフトウェア・ファイヤーウォール、共用型ファイヤーウォール、専有型ファイヤーウォールを使ったサーバーのファイアウォールは、カスタマーポータルを通して有効化できる (前章で詳細を触れているので、ここは簡単に記述しています) OS上で設定されたファイアウォール 共用型の FortiGate ファイアウォール装置 プロビジョンしたサーバーのポートスピードにより料金が変わる
128
Bluemix InfrastructureにおけるVPN接続
1または10 Gbps共有帯域にて管理用にプライベート・ネットワークへ接続 ポータルからの申請で、SSL VPN, PPTP VPN, およびIPSec VPNによる接続が可能 IPSecの場合は、1トンネルあたり$99/月。SSL、PPTPは無料で利用可能。 ひとつのアカウントを使って、個別または複数のデータセンターへ、複数のトンネルを張る事もできる 業務用途の場合は、次項以降に記載のVyatta や DirectLink を利用した接続を推奨します。 128
129
Bluemix で利用できるセキュリティ・アプライアンス
Bluemix Infrastructureは、VyattaネットワークOSを用いた ネットーワークゲートウェイアプライアンスも提供しています。 Vyatta のネットワークOSサブスクリプション版は、ベアメタルサーバー上で実装される お客様による運用 ネットワーク構成は、新しい物理ネットワークハードウエアによってではなく、追加ソフトウエアイメージで 拡張される 提供できる機能: ファイアウォール VPN ロードバンランシング Nat QoS お客様は、S/Wによって構成されるネットワーク接続によって、自分で構成可能なソリューションを構築することが可能です。 チーム内のスキルや経験、機能的、非機能的な要求を元に選択していく事ができる セキュリティ機能は、選択した技術によって変わる 129
130
Bluemix で利用できるセキュリティ・アプライアンス
Vyatta Gateway Appliance を使うと複数のセグメントのアクセス制御ができるようになります。 (VLANのゾーニングは、物理サーバーで提供される Vyatta gateway appliance を必要とします) お客様は、プロビジョンされたサー バーに対して、1つか複数のプライ ベートVLANでセグメントを作成でき ます 1つか複数のDCにまたがったお客様 のVLANは、Bluemix Infrastructureのプライベートネット ワークを通して相互通信できます 分散型のサービス拒否(DDoS)防御は、CISCOの防御装置を使って、Bluemix Infrastructure のパブリックネットワークに提供されます 130
131
脆弱性スキャンを使う 脆弱性 標準提供の脆弱性スキャナーを使って、気付かなかったサーバーの弱点を分析し、
セキュリティを向上するための糸口を検出します。 Bluemix Infrastructureの標準サービスなので、無償ですぐに使えます。 Bluemix Infrastructureポータル画面から、サーバーを指定して脆弱性スキャンを実行するだけ。 脆弱性レポート結果に、対応策が提示されています。 脆弱性を試験するプログラム(プラグイン)は、Bluemix 側で管理され、最新の状態となっています。 脆弱性スキャナー 脆弱性 レポート 【すぐに使える】 【無償】 【実績】 •Bluemix Infrastructureポータルで提供さ れているので、セットアップ の必要なし。 •標準提供で、プラグインの 管理も不要なため、無償で最 新のスキャナーが使える。 •スキャナーに広く使われている「Nessus」を使用。 131 131
132
脆弱性スキャンを使う お客様はカスタマーポータルから脆弱性スキャンを選んで、オプション設定して使う事ができます 1 2 3 132
133
サーバーをウィルスから守る アンチウィルスをカスタマーポータルから選んで、オプション設定できます
Windows でのみ アンチウィルスとアンチスパイウエアが使えます。 Linux系OSで必要な場合は、個別に導入していただく 必要があります。 ポリシー定義 133
134
Bluemix Infrastructureに実装されているセキュリティ
Bluemix のWindowsのアンチウィルスとスパイウエアポリシーの定義は下記の通りです。 マネージャーポリシーの警告 Minimal Relaxed Default High Ultimate メールスキャン X アクセス防御ポリシー Minimal Relaxed Default High Ultimate outbound SMTP (port: 25)ブロック X inbound IRC (ports: )ブロック outbound IRC (ports: ) IE/ZIP/RARについて “temp” フォルダーからの起動をブロック リモート修正のブロック: EXEs と DLLs コアのシステムディレクトリでファイルのリモート作成をブロック 疑わしいスタートアップファイルへのアクセスをブロック Options you have from managing policy definitions on Windows. Access Protection Policies (cont.) Minimal Relaxed Default High Ultimate フォルダーのスクリプトをブロック X WindowsフォルダーでのEXEファイル作成をブロック WindowsフォルダーでのDLLファイル作成をブロック 134
135
Bluemix Infrastructureに実装されているセキュリティ
Bluemix のWindowsのアンチウィルスとスパイウエアポリシーの定義は下記の通りです。 バッファーオーバーフロー防御 Minimal Relaxed Default High Ultimate バッファーオーバーフロー警告 X バッファーオーバーフローON アクセス時のスキャンポリシー Minimal Relaxed Default High Ultimate ディスクからの読み込みスキャン X ディスクへの書き込みスキャン ネットワークドライブのスキャン 未知のウィルスプログラムの発見 未知のマクロウィルスの発見 ZIPファイルの中のスキャン MIMEスキャン 望まれていないプログラムの検出 データベースディレクトリのスキャン アクセス時の一般的ポリシー Minimal Relaxed Default High Ultimate ブートセクタースキャン X リブート時のブートドライブのスキャン ファイルあたりの最大スキャン時間 (秒) 30 45 60 75 スクリプトスキャン ウィルスが書かれていた時のリモート接続のブロック Options you have from managing policy definitions on Windows. 135
136
Bluemix Infrastructureに実装されていませんが・・・
Linux系OSに対して、アンチウィルスやアンチ・スパイウエアを使おうと思ったらどうすればよいでしょうか? 旧ポータルが利用できていた2014年4月ごろまでは、RedhatおよびCentOS用のMcAfeeが利用できていましたが、新ポータルへの切り替わりと同時に利用できなくなってしまいました。 では、Linux系OSにアンチウィルスを使いたい場合は、どうすればよいでしょう? そう。個別に導入していただく必要があります。 それこそ、McAfeeでもLinux用のアンチウィルスを提供しています。 また、Freeのアンチウィルス製品(ClamAVやAVG)もあります。 McAfeeのPolicy設定は、設定内容によってはWindows Updateと競合する可能性があります。 上手くWindows Updateがかからない場合は、McAfeeのPolicy設定を確認しましょう。 Bluemix 提供のPolicy設定も標準で正しく設定されていない可能性もあります。あいたたた。 136
137
サーバーへの不正侵入に対する防御 Bluemix Infrastructure は、ホストへの不正侵入防御のサービスをWindowsサーバー用に提供しています ホスト名 Intrusion Detection Services (IDS), monitors and blocks unwanted activity such worms, spyware, viruses, exploits, and other threats that can compromise your data. IDS is available for Windows only. Just like the anti-virus management, IDS can also be managed via the Bluemix Infrastructure Portal. ログの確認 Linux 向けには 機能提供されないため ×が表示されます。
138
変更したIDS設定は1日に1回の頻度でサーバーに適用されます。
サーバーへの不正侵入に対する防御(続き) カスタマーポータルから、サーバー毎のポリシー設定ができます 変更したIDS設定は1日に1回の頻度でサーバーに適用されます。 (変更はすぐに反映されません) HIDS – Host-based Intrusion Detection System Policies can be managed from a OS/Server basis from the Customer Portal. You must have an agent installed on each OS.
139
Bluemix Infrastructureに実装されているセキュリティ
IPS モードのホスト防御ポリシー IP モード 攻撃からのブロック時間 Adaptive_10 10 分 Adaptive_120 120 分 Adaptive_UR ユーザーが取り除くまで On_10 On_20 20 分 On_UR On (MacAfee ディフォールト) アダプティブモード トラフィックの状況を元にクライアントの例外ルールは自動生成 モードは何がノーマルで許容範囲かをHIPSに教えるために用いられる ルールは、カスタマーポータルからレビューしたり、取り除いたりできる IPS 防御は、完全にディセーブルする事ができる IDS防御ポリシー 防御セッティング 高レベル 中間セッティング 低レベル 基本防御 ブロック アクションなし 拡張防御のための予備セッティング ログをとって許可 拡張セッティング 最大防御のための予備セッティング 最大レベル On_UR ユーザーに取り除かれるまで On (MacAfeeディフォールト) 10分 Here is an overview on polices for IPS. Note that these are actions from inbound traffic. The important take away is there are two modes – adaptive and manual. Adaptive rules are auto-generated based on traffic observed. 139
140
Bluemix Infrastructureが実装しているDDoS防御
Cisco Guard DDoSを活用して、PoP、DCを通過するトラフィックを監視し、DDoSのパケットを検知した場合、緩和策を実施します。 モニタリングは24/365体制にてNOCで集中監視 攻撃パケットを選択的にフィルタ、通常のパケットを通過 DDoS攻撃の対象になったら、何が起こるか? ◆第一フェーズ 攻撃を検知すると、攻撃対象へのトラフィックをCisco Guardへ転送する。 Cisco Guardでは、MVP(Multi-Verification Process)によって、トラフィックを分析し、DDoSパケットを選択的にフィルタリングする。 DDoSアタックが終了すると、トラフィックは通常のルートに戻る ◆第二フェーズ 攻撃が継続しトラフィックが増大するなどして、更なる保護が必要だとNOCで判断されると、利用者へ連絡し、対策を強化します。 これらは、Bluemix Infrastructureのすべてのユーザーに提供されている無料のサービス。 140
141
Bluemix Infrastructureが実装しているDDoS防御(続き)
MVP(Multi-Verification Process) とは? シスコ社が特許出願中である独自のアーキテクチャ。このアーキテクチャ(左図)には、さまざまな検証、分析、および対抗措置の方式が組み込まれており、悪意のあるトラフィックを適正なトラフィックから識別して分離できます。この浄化処理には、以下の 5 つのステップがあります。 フィルタリング - スタティック DDoS フィルタとダイナミック DDoS フィルタを搭載。前者は、必要性の低いトラフィックをブロックして、対象が攻撃されないようにする。後者は、トラフィック フローの観測と詳細な分析に基づき、他のモジュールによって設定がリアルタイムに更新されます。疑わしいフローに適用する検証機能のレベルを引き上げたり、悪意のあることが確認された送信元やフローをブロックします。 アクティブ検証 - システムに進入するパケットが偽造されていないことを確認します。適正なトラフィックを正しく識別するための複数のメカニズムを備えており、有効なパケットが廃棄されないようになっています。 アノーマリ検出 - すべてのトラフィックをモニタし、過去記録された基準動作との比較を行うことで、正常時とは異なる動作を検出。送信元に存在する「悪玉」デーモンが生成するトラフィックのパターンと、適正な送信元が通常の動作で生成するパターンとが大きく異なる基本原理を利用することで、攻撃の送信元とタイプを識別できると同時に、トラフィックをブロックしたり、疑わしいデータに対してより詳細な分析を実行する際の指針が得られます。 プロトコル分析 - HTTP エラー攻撃のようなアプリケーションへの攻撃を識別するため、危険性が検出されたフローを処理します。不完全なトランザクションやエラーを含めて、あらゆる不正なプロトコル トランザクションが検出します。 レート リミット -不正なフローによる大量のリソース消費を防止すると同時に、詳細なモニタリングを実施する。フローごとにトラフィック シェーピングを実行し、長期にわたって過度にリソース(帯域幅や接続など)を消費している送信元に対してペナルティを課します。 攻撃と攻撃の合間の「学習」モードでは、トラフィック パターンとフローをパッシブにモニタすることにより、正常な動作から基準プロファイルを作成しています。この情報は、既知、および未知のまったく新しい攻撃を識別してフィルタリングするためのポリシー微調整に使用されます。 参照: 141
142
Bluemix が標準で提供するアップデート・サーバー群
アップデートサーバーは、Bluemix Infrastructureが提供している各OS用に、Bluemix Infrastructureのプライベートネットワーク上に設置されています。 インターネットに接続されていない環境でも、最新のモジュールやウィルス定義ファイルを参照することができます。 プライベートカスタマーネットワーク Bluemix Infrastructureプライベートネットワーク Update servers are located on Bluemix Infrastructure’s private network. This is beneficial because a customer’s computing instance never has to be exposed to the internet to gain access to patches or driver updates. Note: This feature is free of charge with unlimited bandwidth. 最新版が常に利用可能 利用において、追加費用なし。プライベートネットワーク経由なので、アウトバウンド課金も発生しない。 Internet 142
143
管理ポータルで設定するユーザー別のセキュリティ管理
Bluemix Infrastructure では 任意にユーザーを作成することができます。 管理ポータルを使えば、 そのユーザーごとに詳細な権限設定をしたり アクセスできるデバイス(サーバーやネットワーク機器、ストレージ)を制御することができます。 Topic introduction slide.
144
管理ポータルで設定するユーザー別のセキュリティ管理(続)
Active 標準設定、ポータルログイン、ユーザーを利用した作業が全て可能 Disabled ユーザーが無効化された状態、全ての作業が不可能 Inactive ポータルへのログインが不可能な状態 VPN Onry VPNでのみアクセス可能な状態 サポートの言語を指定できます。 日本語と英語が選択できます。 現時点では、Ticket は英語で記入してください(24-365対応のために)。 管理ポータルにアクセスできるIPアドレス(レンジ)を指定できます。 ここを設定すると、このIP以外からの接続ができなくなります。 パスワードの有効期限や、セキュリティ質問を設定することもできます 144
145
管理ポータルで設定するユーザー別のセキュリティ管理(続)
テンプレートで設定されているアクセス権を一挙に設定することもできます。 (巻末のアクセス権一覧をご参照ください) タブを切り替えながら、細かくアクセス権を設定することもできます。
146
管理ポータルで設定するユーザー別のセキュリティ管理(続)
管理ポータルからアクセスできるデバイスを指定できます。 設定時点のすべて、常に最新の状態のすべて、仮想サーバーのみ、ベアメタルのみ、など一括指定もできます。 146
147
管理ポータルで設定するユーザー別のセキュリティ管理(続)
ユーザー一覧の画面では、 ユーザー個別に API Keyの管理が可能です。 API Keyを削除した後にもう一度作成すると異なるAPI Keyに更新することができます。 147
148
管理ポータルで設定するユーザー別のセキュリティ管理(続)
ログインの成功、不成功のログは、カスタマーポータルで見る事ができる
149
二要素認証の設定もできる ユーザーごとに二要素認証(Symantec(有償)またはGoogle(無償))を設定することもできます。
参照: Infrastructure%25e3%2581%25ae%25e6%25ad%25a9%25e3%2581%258d%25e6%2596%25b9_%25e4%25ba%258c%25e8%25a6%2581%25e7%25b4%25a0%25e8%25aa%258d%25e8%25a8%25bc%25e3%2581%25ab%25e3%2582%2588%25e3%2582%258b%25e5%2588%25b6%25e5%25be%25a1?lang=en
150
ユーザーのアクセス権限一覧(1/3) カスタマーポータルから設定できるアクセス権の一覧です。
詳細な説明は、ポータルに記載されていますので、そちらをご参照ください。 大分類 項目 説明 Support View Ticket Add Ticket Search Ticket Edit Ticket View Tickets by Hardware Access View Tickets by Virtual Server Access View All Tickets Ticketを参照できる Ticketを起票できる Ticketを検索できる 既存のTicketに再質問できる アクセス権のあるベアメタルに関連するもののみ参照できる アクセス権のある仮想マシンに関連するもののみ参照できる 本アカウントに関連するすべてのTicketを参照できる Devices View Hardware Details Manage Device Monitoring View Virtual Server Details Reboot server and view IPMI system information Hardware Firewall Manage Firewalls Upgrade Server Upgrade Port Edit Hostname/Domain Software Firewall Manage Manage Load Balancers Issue OS Reloads and Initiate Rescue Kernel Manage Port Control Manage Auto Scale Groups ベアメタルの全情報を参照できる デバイスに対するモニタリングを管理できる 仮想マシンの全情報を参照できる サーバーの再起動やKVM接続ができる ハードウェアFWのログ確認ができる FWのルールの管理ができる ベアメタルのCPUやメモリの変更ができる サーバーの帯域の変更ができる サーバーのhostnameやドメインの編集ができる ソフトウェアFWを管理できる ロードバランサーの管理ができる OSリロードやレスキューカーネルが利用できる サーバーの帯域の変更と切断・接続の変更ができる オートスケールの管理ができる
151
ユーザーのアクセス権限一覧(2/3) 大分類 項目 説明 Network View Bandwidth Statistics
Manage Network Subnet Routes Add IP Addresses Manage Network VLAN Spanning Manage Delivery Service Manage IPSEC Network Tunnels VPN Administration Manage Network Gateways アウトバウンドなどネットワーク帯域を参照できる サブネットを管理できる IPアドレスを追加できる VLANスパンニングを管理できる sendGridを管理できる IPSEC通信を管理できる VPNを管理できる Gatewayアプライアンス製品を管理できる Security Request Compliance Report SOCレポートの参照依頼を出すことができる Services View CDN Bandwidth Statistics Manage Message Queue View Licenses View QuantaStor Manage DNS, Reverse DNS and WHOIS Manage Provisioning Scripts Antivirus/Spyware Manage Public Images SSL VPN Allowed Host IDS Manage Security Vulnerability Scanning View Certificates (SSL) Manage Certificates (SSL) Manage CDN Account Manage CDN File Transfers Manage SSH Keys その他いくつかのオプショナル・サービスの権限 CDNの利用状況を参照できる メッセージキューを管理できる 利用しているBluemix Infrastructure提供のライセンス一覧を参照できる QuantaStorを参照できる DNS、逆引きDNS、WHOIS情報を管理できる プロビジョニングスクリプトを管理できる アンチウィルスやスパイウェアの設定変更、ログ参照ができる パブリックイメージが作成できる SSL VPN接続ができる IDSログが参照できる セキュリティ関連の管理ができる 脆弱性検査が実行できる SSL証明書を参照できる SSL証明書を管理できる CDNが利用できるアカウントを管理できる CDNの設定を管理できる SSH鍵の管理ができる チェックすると参照権限のみ、か管理権限を付与できます
152
ユーザーのアクセス権限一覧(3/3) カスタマーポータルから設定できるアクセス権の一覧です。
詳細な説明は、ポータルに記載されています。そちらをゴサンショウクダサイ。 大分類 項目 説明 Account View Account Summary Add New User Reset Password Forum Access Add Storage Add/Upgrade Cloud Instances Edit Company Profile Update Payment Details Submit One-time Payments Cancel Server Add/Upgrade Services Cancel Services Add Server Datacenter Access Datacenter Room Access View Event Log 課金サマリー情報を参照できる 新規ユーザーを登録、編集、削除できる 通知先を変更できる カスタマーポータルへのログイン・パスワードをリセットできる フォーラムにアクセスできる 外部ストレージを追加、拡張できる 仮想マシンの追加、CPUコアやメモリの変更ができる 会社情報を編集できる 支払い方法を編集できる オンライン決済を利用できる サーバーを削除できる オプション・サービスを追加、編集できる オプション・サービスをキャンセルできる サーバーを追加できる 必要に応じてデータセンターに入館できる 必要に応じてマシンルームに入室できる 本アカウントに関連するすべてのイベントログを参照できる Ticketだけを参照でいる、というユーザーを作ることがあります。 このユーザーには、Ticketに関する権限のほかに、質問の対象となるデバイスへのアクセス権限も付与しておかないと、デバイス情報が関連付けられたTicketそのものの参照権限がなくなってしまい、必要なTicketを参照できなくなってしまいます。ご注意を!
153
IBM IDへの統合について IBM IDに統合されると、IBM IDひとつでIBMが提供しているクラウドサービスにアクセスできるようになります。 これまでSoftLayerの管理者だったユーザーは、IBM IDでログインできるようになります。 複数のアカウントの管理者だった場合、IBM IDにヒモ付けることで、簡単に管理対象を切り替えられるようになります。オススメです。 Bluemix Infraしか利用しないユーザーは、以下の管理ポータルから利用できます。 Bluemix PaaSも利用しているユーザーは、これまでどおり、Bluemixポータルから利用してください。 IBM IDへの統合(つまり、bluemix.netへの統合)はまだまだ継続しています。 大きな変更があったタイミングで、本書でもご案内していく予定です。 どーしても、巧くいかない!という場合は、以下のサイトから最適なお問い合わせ先をお探しください。
154
<BLANK PAGE> << クマった時の・・・ >>
Netscaler VPXは仮想環境だけに、 そのプロビジョニングも速いんです。 仮想サーバーと同じくらいのスピード感。 ご存知でした? 154 154
155
目次 Bluemix Infrastructure 概要 Bluemix Infrastructureアーキテクチャ
サーバー ストレージ 負荷分散、ファイヤーウォール セキュリティの強化 簡単な手順でセキュリティをそれなりに強固にする 監視 Ticketシステムの使い方 API基本のき Bluemix Infrastructure の認証について よく利用されるサービス VMware on IBMクラウド 情報源 155
156
簡単な手順で セキュリティをそれなりに強固にする方法 To be updated. 156
157
簡単な手順でセキュリティをそれなりに強固にする方法
大前提:インターネットからアクセスできることの恐ろしさを認識しておく クラウドでは、特に何も考えずにサーバーを作成しても、簡単にインターネットからアクセスできるように初期設定されています。注意しないといけないのは、ノーガード戦法だ、という点です。アクセスに必要なポートだけ開けて、不要なポートは閉じる、とか、ファイヤーウォールを設定する、などの適切なセキュリティ実装がされているのか、されていないのかを意識して利用するのが、被害に遭わずまた迷惑をかけない上で大切です。 開発環境だから、とかテスト環境だから、などの理由でパスワードなしのログインにしておくのは言語道断です。どういうリスクがあるか正しく把握しておきましょう。 パスワードなし、とか危険なパスワードとして認識されている簡単なパスワードの場合など、セキュリティ対策が甘いとあっという間にシステムに侵入されます。想定されるケースとしてはシステムを乗っ取られたり、他のサーバーへのDDoS攻撃要員にされたり、踏み台にされたり、など。 加害者になってしまった場合で、かつ、被害者から「あなたから攻撃されています」という通知を受けたりすると、その調査や対策のために多大な労力(と心理的なストレス)がかかります。でも多くの場合事前に対策が打てていたはずのものがほとんどです。
158
Linuxの場合 ■ 最初にやる8つのこと (OSでの設定) rootログインの無効化 & sudo可能ユーザーを限定する
(OSでの設定) password認証の無効化 & RSA鍵認証のみ許可する (OSでの設定) SSHのデフォルトポート(22)から変更 (例:2222など) & sshログイン可能ユーザーを限定する (OSでの設定) iptablesで、指定の接続元・接続先、指定のポートのみ 接続できるように設定する (OSでの設定) SElinuxが無効化する (OSでの設定) ログ監視(logwatchなど)で重要なログファイル監視を設定する (クラウドポータルで操作) 脆弱性スキャンをかけて抜け漏れがないことを確認 (クラウドポータルで操作) テンプレート化 (標準的な設定は誰でも再利用できるようにしておく)
159
Windowsの場合 ■ 最初にやる8つのこと
(OSでの設定) Administratorの無効化 & Admin権限をもつ別ユーザーの作成 (OSでの設定) RDPを利用する場合は、RDPが利用できるユーザーを限定し、 RDPのポート番号を変更する (OSでの設定) アンチウィルス製品などセキュリティ製品の導入。 Bluemix Infra では McAfee が利用できます。 (OSでの設定) 必要の無いプロセスを無効化する (OSでの設定) セキュリティパッチの適用 (OSでの設定) ログ監視(logwatchなど)で重要なログファイル監視を設定する (クラウドポータルで操作) 脆弱性スキャン(※1)をかけて抜け漏れがないことを確認 (クラウドポータルで操作) テンプレート化 (標準的な設定は誰でも再利用できるようにしておく)
160
まとめ ■ 次にやる3つのこと ■ そして、最後(?)にやる2つのこと
(OSでの設定) 利用しているアプリやミドルウェアのDefault Userから変更 (OSでの設定) ログ監視の網羅性(※) (総合的対策) アーキテクチャからの安全性確認 (アプリケーションの実装) 代表的攻撃手法(SQLインジェクションなど)に 対する防御機能を実装する (インフラとしての実装) WAFとか、アンチウィルスとか、IPS、IDSを 実装する (インフラとしての実装) fail2banなどを駆使するのも良い ※ ログインなどの認証系システムのログファイル監視、Databaseなどのアプリ系の操作ログ監視、CPUやメモリ、NICの利用率監視、クラウド業者が提供するアウトバウンド情報の監視 など ■ そして、最後(?)にやる2つのこと クラウドで利用する各コンポーネントの更新体制の実装 アウトバウンド破産しないように、インターネットにさらされているサーバーに保険オプションを適用
161
目次 Bluemix Infrastructure 概要 Bluemix Infrastructureアーキテクチャ
サーバー ストレージ 負荷分散、ファイヤーウォール セキュリティの強化 簡単な手順でセキュリティをそれなりに強固にする 監視 Ticketシステムの使い方 API基本のき Bluemix Infrastructure の認証について よく利用されるサービス VMware on IBMクラウド 情報源 161
162
モニタリング概要 Bluemix Infrastructure監視サービス 標準監視サービス 拡張監視サービス 基本(Basic)
Ping IPMI Services (オプション) 拡張監視サービス 基本(Basic) Windows 及び Linuxサポート CPU, メモリ, ディスク プロセス, リモート・システム Windowsサービス・モニタリング 拡張監視サービス 拡張(Advanced) 基本モニタリングに加えて、 DHCP, LDAP, SNMP ファイル・システム, ネットワーク パフォーマンス・モニタリング 拡張監視サービス プレミアム(Premium) 基本モニタリング 及び 拡張モニタリングに加えて、 DNS, , URLレスポンス IIS, Tomcat MSSQL, MySQL Response Mechanisms サーバーの自動リブート NOC監視サービス 162 162 162
163
モニタリング概要 Bluemix Infrastructureのモニタリングサービスの一覧は下記の通りです。 ポータルから設定
ユーザーが構築 モニタリング概要 Bluemix Infrastructureのモニタリングサービスの一覧は下記の通りです。 種別 名称 特長 仕様 監視 サービス 基本監視サービス サーバー 死活監視 Host Ping IPMI Service (Nimsoft モニタリング) 拡張監視サービス Basic OS監視 Nimsoftを使用 Windows & Linux Support CPU, Memory, Disk Process, Remote system Windows service monitoring Advanced 共通機能監視 DHCP, LDAP, SNMP File system, Network Performance monitoring Premium ミドルウェア監視 応答監視 DNS, , URL response IIS, Tomcat MSSQL, MySQL 応答& 通知サービス Response メール自動通知 チケット通知(ポータルで確認) Automated Server Reboot サーバー自動リブート NOC Monitoring NOC(ネットワークオペレータセンター)で監視
164
Bluemix Infrastructure共用設備
NIMsoft 監視サーバー 監視対象サーバー (仮想、ベアメタル) Agent Server Private VLAN OS (Win, Linux) OS 死活監視 SNMP Manager イベント 管理サーバー Event チケット メール ■概要 基本監視サービス (モニタリング) 死活監視、OS監視 ・・・ 無償 ミドルウェア監視、性能監視 ・・・ 有償 基本監視サービス (応答&通知) メール通知、チケット ・・・ 無償 自動リブート、NOC監視 ・・・ 有償 基本監視サービス (モニタリング/応答&通知) 拡張監視サービス(Nimsoft モニタリング) プロセス監視も選択できます。 Windows Serviceの監視も 選択できます。 パフォーマンス監視や 各種ミドルウェアの監視も 選択できます。 URLの監視も選択できます。 *価格の最新情報は、 で、必ず再確認を、お願いいたします。 164
165
プロビジョニング時にどうやってモニタリングを設定するか
インスタンスをプロビジョニングする際に選択 標準監視サービス (Standard monitoring)は、Monitoring & Response セクションから選択。 拡張監視サービス (Advanced monitoring – 基本 (basic), 拡張(Advanced) 及び プレミアム(Premium) は、System Addons セクションから選択。 165
166
プロビジョニング時にどうやってモニタリングを設定するか
次のステップは、インスタンスをプロビジョニングした後に、監視サービスをセットアップする手順を説明しています。 Step 1: Customer Portal へログイン Step 2: Devices メニューから Monitoring をクリック。 Step 3: 稼働中のデバイス名(仮想インスタンス)のリストが表示されるので、 Basic 列の 1 Monitor をクリックすると利用中の監視サービスを更新が可能。 166
167
プロビジョニング時にどうやってモニタリングを設定するか
Step 4: このインスタンスにアサインされている他のIPアドレスを監視するために Add Monitor をクリック。 Step 5: このインスタンス用に拡張監視サービスを追加するために、監視リストのページに戻り、 Add Monitoring リンクをクリック。 167
168
プロビジョニング時にどうやってモニタリングを設定するか
Step 6: 適切なラジオ・ボタンを選択して、監視サービスを選択。 168
169
プロビジョニング時にどうやってモニタリングを設定するか
Step 7: I have read the Master Service Agreement チェック・ボックスを選択して、 Place Order ボタンをクリック。 MSAって読むの大変だベアー 169
170
プロビジョニング時にどうやってモニタリングを設定するか
次のステップは、インスタンスをプロビジョンした後に、拡張監視サービスをセットアップする手順になります。 Step 1: Customer Portal にログインして、Devices メニューから Monitoring を選択。あるいは、Monitoring 画面で インスタンスのリストから、Actions をクリックしてドロップダウン・メニューから選択。 Step 2: Configure Agent Reports をクリック。 170
171
プロビジョニング時にどうやってモニタリングを設定するか
Step 3: ドロップ・ダウン メニューのAgents から監視したい種類のエージェントを選択。 Step 4: 利用したい監視項目にチェック。 171
172
プロビジョニング時にどうやってモニタリングを設定するか
172
173
プロビジョニング時にどうやってモニタリングを設定するか
173
174
プロビジョニング時にどうやってモニタリングを設定するか
拡張監視サービスの特長 インフラ、サービス、お客様の画面ビュー、お客様のサービス・レベルをわかりやすく表示 どのアプリケーション・スタックからも完全に透明性のあるサービス セキュリティ、可用性、拡張性 ターゲットとするビジネスの目的やニーズに合った階層的な監視レベル 広範囲な統合のための 膨大なAPI群 クラウド環境では理想とされている、軽くて拡張可能であり、操作せずにデプロイ可能なアークテクチャー。 174
175
目次 Bluemix Infrastructure 概要 Bluemix Infrastructureアーキテクチャ
サーバー ストレージ 負荷分散、ファイヤーウォール セキュリティの強化 簡単な手順でセキュリティをそれなりに強固にする 監視 Ticketシステムの使い方 API基本のき Bluemix Infrastructure の認証について よく利用されるサービス VMware on IBMクラウド 情報源 175
176
お客様サポート 当トピックでは以下のことを学びます。 お客様サポートがどのように管理されているか サポート・チケットの依頼
Webサポートの種類 176
177
お客様サポート Bluemix Infrastructure は、あらゆる局面を通してお客様を支援します。 これらのサポートは以下の内容になります。 契約前 : パブリックWebサイトとオンライン・チャット 契約後 : お客様ごとにアサインされるセールス・アカウント・マネージャー システム設計・構築局面 : サポート・チケット、オンライン・チャット 運用局面: サポート・チケット、オンライン・チャット、24/365の監視サービス 24/365でのセールス関連のお問い合わせ対応は現時点で英語のみ 日本語でのご支援が必要な場合は、IBMの相談窓口にお問い合わせください。 テクニカル・サポートは、全てのお客様に 24/365で以下のように提供されます。 サポート・チケットの発行 サポート・チケットは現時点では、英語でのみの対応となります。 担当者とのオンライン・チャット 英語では24/365でご利用いただけます。日本語対応は現時点で日本時間平日9-17時のみ、です。 電話サポート 英語では24/365でご利用いただけます。 日本語対応窓口(日本時間平日9-17時): 注 : によるサポート・サービスはありません。 177
178
お客様サポート Customer Portal のメイン・ページから、Support メニューをクリックして、Ticketsサブ・メニューをすることで、全てのサポート・チケットを参照することができます。お知らせやアラートも Tickets ページで参照可能です。 178
179
サポート・チケットの依頼 次のステップは、サポート・チケットを依頼する手順を説明しています。
Step 1: Customer Portalのメイン・ページから、Support メニューをクリックして、Add Ticket を選択。 179
180
サポート・チケットの依頼 Step 2: Subject ドロップ・ダウン・メニューをクリックして、適切な要望/質問/問題を選択。
Step 3: お客様のお名前が、Assign To フィールドにデフォルトでセットされる。 180
181
サポート・チケットの依頼 Step 4: Email Others フィードに最大 5名のお客様のEmailアドレスを追加することが可能.
Step 5: Associate Devices ドロップ・ダウン・メニューをクリックして、要望/質問/問題のあるデバイスを選択。 181
182
サポート・チケットの依頼 Step 6: Details フィールドに要望/質問/問題の具体的内容を記述。
Step 7: Attach Files ボタンでファイルの添付が可能。 Step 8: チケットの依頼の準備ができたら、Add Ticket ボタンをクリック。 182
183
サポート・チケットの依頼 Step 9: 依頼者や Others フィールドに記載された方は、当該 要望/質問/問題の受付メールを受信。 Step 10: View the status of the ticket on the Tickets 画面のSupport メニュー、Tickets サブ・メニューで、当該チケットの状況が確認できる。チケット番号をクリックすることで詳細を参照可能。 183
184
サポート・チケットのコツ サポート・チケットは24時間365日対応となっていますが、英語でのやりとりとなるので、ハードルを感じているユーザーも多いと思います。 よく寄せられるコメントからコツが分かってきていますので、以下をご参考に、効果的にかつ省力化してチケットを活用しましょう! どのカテゴリーにチケットを出せばいいか分からない あまりカテゴリーは気にしなくて良いです Bluemix Infrastructureサポートチーム側で適切なカテゴリーに割り振りなおします 英語は・・・ちょっと苦手・・・ 大丈夫です。英語を母国語としないサポートチームのメンバーもいます 困ってる、とか、知りたいんだ!という気持ちで恐れずに書いてみましょう。意外に簡単です それでもなー、、、という場合はBluemix Infrastructureパートナーによる日本語支援サービスを検討してもいいかも 期待した返答がない チケットは一問一答が基本。すぐに回答を得るコツです。 たとえ同じサーバーや同じ事象に関する質問であったとしても、一問一答形式が効果的です。 障害調査に関しては、RFO Please、とだけ書けばOKです。RFOとはReport for Outageの略で、要は調査依頼です 回答がない チケットで催促しましょう 調査そのものに時間がかかっていたり、調査のための承認に時間がかかっていることもあります チケットは、質問への回答時期を事前に回答することはありませんので、しつこく催促しましょう チャットや電話でどうなっているの?と確認するのも効果的です 184
185
目次 Bluemix Infrastructure 概要 Bluemix Infrastructureアーキテクチャ
サーバー ストレージ 負荷分散、ファイヤーウォール セキュリティの強化 簡単な手順でセキュリティをそれなりに強固にする 監視 Ticketシステムの使い方 API基本のき Bluemix Infrastructure の認証について よく利用されるサービス VMware on IBMクラウド 情報源 185
186
API 概要 Bluemix InfrastructureのAPIは、180に分かれたサービスにより提供される2,200を超える文書化されたメソッドにより、 Bluemix Infrastructureの内部管理およびカスタマー・ポータルが実現されています。Bluemix Infrastructureはそれら のサービスおよびメソッドをAPIとしてお客様にすべて無料で提供しています。 All-encompassing APIを通じた多角的な制御によりBluemix Infrastructureのインフラストラクチャーを既存システムに統合。手動作業の自動化により効率的なオペレーションを実現。 Multi-fluent SOAP, XML-RPCおよびRESTの各プロトコルをサポート。C#, Perl, PHP, Python, Ruby, VB.netに対応するAPIクライアントを利用することで迅速な利用開始が可能になります。 Granular 180のサービスで提供される2,200以上のメソッドを提供。きめ細かいシステム統合や制御を実現します。 186 186 186
187
API 概要 Bluemix InfrastructureのInfrastructure Management system (IMS)は、3万行のコードで構成されおり、Bluemix Infrastructureのクラウド・サービス機能を実行し、それらのサービスをAPIライブラリの形式で実行可能にしています。 . Message Queue API RESTを使って実行可能。 メッセージの中にどんなデータを格納することができる。加えて、メッセージ・フィールドには KeyやValue pairsを格納できる。 次の言語をサポート : C#, Java, Ruby, PHP, Python Topics, Topic tags 及び Subscriptionをサポート。 主要なBluemix InfrastructureのAPIライブラリ SOAPプロトコルとXML-RPCを使って、インプリされている。 RESTとして利用可能。 コマンド・ライン・インターフェースを通じても利用可能。 次の言語をサポート : C#, Perl, PHP, Python, Ruby, VB.Net. Object StrageのAPI OpenStack Swift APIがベース。 RESTを使って実行可能。 次の言語をサポート : Java, Ruby, PHP, Python. 階層構造のコンテナーとオブジェクトをサポート。 Content Delivery Network (CDN)でも利用可能。 Bluemix InfrastructureのAPI そのサービス の階層構造で構成されている。 全部で 20のサービス・カテゴリの下、 264のサービスがあります。 API 総Call数 : 3,421. Bluemix Infrastructureサービス パラメーターや戻り値のためにData Types と呼ばれるデータ構造を使用。 Data types は、Bluemix Infrastructureクラウドのデータモデルを定義。 187 187 187
188
API の構造 Account Account_Address Account_Address_Type Hardware
Hardware_Server … Network_Storage Network_Storage_iSCSI Virtual_Guest Account_Shipment Account_Shipment_Item Virtual_Guest_Boot_Parameter APIのサービス・カテゴリの例 User Accounts User Billing CCI Management (CloudLayer Computing Instance – Virtual Guest) Hardware management (dedicated/bare metal and other hardware) Product Ordering Configuration Templates Software Components Locations Network (firewalls, gateways, load balancers, subnets, and VLANs) Storage (iSCSI, NAS, and backup) Reboots and reloads Ticketing DNS Security (certificates, keys, and scans) Monitoring Portal customization Auxiliary (補助) サービスは、Bluemix Infrastructureクラウドのあらゆる面における操作を可能にするためきめ細かく細分化されている。 188 188 188
189
APIを利用するシナリオ例 自分自身のブランドでポータルを開発する Infrastructure as a Codeの実現
パブリック・クラウド 及び プライベート・クラウドにおける計画的(Programmatic)なアップ・スケールとダウン・スケール。 サーバーの再インスタンス化、リブートやOSロードなどの監視イベントの操作。 アップ・グレードやダウン・グレード、ストレージの追加やバックアップ/リストア、オブジェクト・ストレージの利用などクラウド管理。 Cloud-native”アプリケーションの開発 ビジネス・ワークフローの実行 (Message Queues). 189 189 189
190
<BLANK PAGE> 190 190
191
目次 Bluemix Infrastructure 概要 Bluemix Infrastructureアーキテクチャ
サーバー ストレージ 負荷分散、ファイヤーウォール セキュリティの強化 簡単な手順でセキュリティをそれなりに強固にする 監視 Ticketシステムの使い方 API基本のき Bluemix Infrastructure の認証について よく利用されるサービス VMware on IBMクラウド 情報源 191
192
Bluemix Infrastructure 全データセンターの共通事項
スペース、電源、ネットワーク、要員、センター内のインフラ基盤は、地理的なロケーションに関係なく、標準化することで各データセンターにおける効率的かつ最適化されたサービスをお届けします。 各データセンターでは、1つもしくは複数のPoD(下図参照)で構成されています。 1つのPODでは5,000台のサーバを運用する為に、同じ仕様で構成されています。 各拠点のサーバー台数 ダラス 104,500+ シアトル 10,000+ ワシントン 16,000+ ヒューストン 25,000+ サンノゼ 12,000+ アムステルダム 8,000+ シンガポール 香港 ロンドン トロント メルボルン 15,000+ 日本
193
シンガポール・データセンター(Tier3準拠)の例
16000台以上を収容 30MW入力電源 受電はシンガポールの国としての設備上、1拠点からのみの受電となっていますが、その受電経路は冗長化されています。 CRAH: N+2 (48 x 123.3kW) 冷却装置: N+2 (4 x 5.275kW) 発電機は並列冗長システム(N+1)を設置しています。 最大発電能力:12 x 2000KW 燃料貯蔵場所:オンサイト 無停電電源装置はシステム+システム設計(2N)を採用しています。 電力容量:12 x 800KVA その他、代表的な防災・セキュリティ設備 予作動式消火設備 近接型セキュリティーカードアクセス デジタルセキュリティー監視カメラ
194
補足: Tierとは Tierとは米国で開発されたデータセンターのための認証基準のこと。 Tier4が最高レベル。
データセンターを運用する数十社の企業が集まって「The Uptime Institute(TUI)」という組織を作り、それぞれの蓄積した情報やノウハウを集大成して開発した。 日本では、TUI定義のTierに日本独自の要素を加え、JDCCが日本版Tierとも言うべき JDCC FSを公開している。 出典: 日本データセンター協会、2010年10月
195
データセンターにおける各セキュリティ体制
■サーバー・ルームのセキュリティー データセンターは、アクセスコントロールがあり24時間監視されたところだけに設置されている。 公開エリアに面したドアは1つもない。 サーバールームは、24時間、365日スタッフが常駐している。 サーバールームへは、人目につかない出入り口から データセンターとサーバールームでは、デジタルセキュリティビデオの監視がある。 生体認証セキュリティが、データセンター全体で用いられている。 サーバールームへの入室は、Bluemix Infrastructureの従業員とエスコートされた契約者と訪問者に厳格に 制限されている。 ハードウエアは、バーコードのみでID管理、物理サーバーそのものには、どんなお客様の印もつけていない。 ■運用上のセキュリティー 運用にかかわるエンジニアは、IBM社内の業界標準ポリシーとプロセスで訓練されており、毎年審査を受ける。 災害対策とビジネス継続性のために、すべてのコアシステムが、冗長性もって構成されている。 カスタマーポータルへのアクセスセキュリティ向上のために、二段階認証機能を利用できる。 US国防省によって認可されたドライブ消去S/Wによって、再プロビジョニングされたマシンからは、すべてのデー タが消去される。利用者の指定によって物理的に破壊することもできる。 Bluemix Infrastructureが扱うクレジットカード情報の扱いについて、PCI DSS認証を取得。 現在のSSAE 16 SOC1 報告書で、違反が報告されていない。 参照:
196
ネットワーク・インフラとしてのセキュリティ実装
Bluemix Infrastructureのパブリック・ネットワーク、プライベート・ネットワーク、管理用アクセスはそれぞれ独立し、物理的にも論理的にも分離されたネットワークとして構築されています。 すべでのデータセンターは下図のように、パブリック、プライベート、管理用のアクセスルートが分離・独立しています。お客様は、各キャリア経由のVPN接続(SSL、PPTP、IPSec)で、サーバにアクセスできます。 ■安心できる環境構築のために Bluemix Infrastructureは、安心して使えるお客様環境を構築するためにセキュリティサービスを提供しています。これらのサービスに含まれるものは: 脆弱性 スキャン アンチウィルスとアンチスパイウエア ホスト環境による不正侵入検出 ファイアウォールとネットワークからの脅威に対する防御 (IPS, DDoS) 仮想プライベートネットワーク (VPN) (IPSec, SSL, PPTP) Bluemix Infrastructureカスタマーポータルに対す る二段階認証 配送されるデータの信頼性を保つSSL証明書 プライベート・ネットワークからアクセス可能な Windows、Redhat用の更新サーバー MaAfee Virus ScanとHost Intrusion Server RescueLayer® リソースのリカバリー・ツール Network IDS Protection Nessus® 脆弱性アセスメントとレポート KnowledgeLayer® ベスト・プラクティス Bluemix Infrastructureデータセンターのサーバー背面です ・赤ケーブル:パブリック・ネットワーク ・青ケーブル:プライベート・ネットワーク ・緑ケーブル:管理用ネットワーク