マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

Azureの仮想マシン

詳細

構成

複数のリソースから構成される。

仮想マシン自体

ディスク

  • システム・ドライブ
    Cドラのシステム・ドライブ
  • データ・ドライブ
  • ローカル・ディスク
    Dドラのローカル・ディスクは、
    • ローカル SSDなので高速にアクセス可能。
    • ページング・ファイルなどでも利用される。
    • ただし、障害発生時、データは削除される。
  • データ・ディスク
    Eドラ以降のデータ・ディスクは、
    • ライト・キャッシュを消して使用する。
    • 管理ディスクのUltraなど。
    • DBのデータ・ファイル、トランザクション・ログ・ファイルなどを保存。
  • 共有ディスク
    クラスタ化ではS2D(=ソフトウェアベースの共有ディスク)を利用

NICとIPアドレス

Guest VM Agent

ポータルからの

  • インストール
  • コマンド実行

などを行うことが出来る。

その他

  • 診断ログ
    ストレージ → Azure Monitor、Log Analytics

課金

状態仮想マシンディスクライセンス
開始中・実行中課金される
停止済み(Stopped)課金される課金されない
割当解除済み、削除済み(Deallocated)課金されない課金される課金されない

仮想マシン費用

  • 仮想マシンのノード割り当てが解除されない限り、課金が継続する。
    • シャットダウンでは課金される。
    • シャットダウンはOSからではなく
      必ずポータルサイトから行い、割り当て解除する。
  • EA 契約のコミットメント額資金(MC : Monetary Commit)から減算される

ディスク費用

ライセンス費用

  • BYOL : Bring Your Own License
    • ライセンス持ち込み
    • Azure 側では課金されない
  • PAYG : Pay As You Go
    • マーケットプレイスのイメージ
    • 時間課金、月課金(日割りなし)などがある。
  • 2タイプ
  • Azure 用の、SKU が存在しないマイクロソフト製品、3rd party 製品
    ・EA契約のMCから減算されず、
     EA契約の超過料金として扱われる。
    ・VLのディスカウントの対象にならない。
    ・四半期ごとの請求書一括請求になる。

IPアドレス

DHCPとDNS

IP固定

日本語化

OSの日本語化

  • 日本語化作業は面倒なため、
  • 極力、英語版のまま利用することを推奨

ミドルの日本語化

  • PAYG
    かなり厄介
    • OSの日本語化
    • アンストールしてプロダクトキー入手
    • 日本語メディアを持ち込んでインストール

ダウンタイム最小化

ハードウェア障害

メンテナンス

  • VMのメンテナンス
    ユーザが実施する。
  • ホストのメンテナンス
  • ゲストへの影響なし
    通知なく実施
  • ゲストへの影響あり
    • 30秒以内で完了 → 15分前通知(PHU : Preserving Host Update)
    • 30秒異常必要 → 30日前に通知(一定期間内に手動再起動)

サービス・ヒーリング

仮想マシンが故障した場合でも、前述の構成から、
データ・ドライブ > ローカル・ディスク以外を除いて、壊れない。

  • 15秒単位の死活監視
  • 10分応答がない場合、自動リカバリ(別ノードへ移動)される。

冗長オプション

仮想化レイヤーより下の構成

#構成要素
1シングルVMサービスの復旧
(Service Healing)
2クラスタ構成可用性セット
・VM Scale Sets
・ロード・バランサ Basic
3マルチAZ構成
(Availability Zone)
可用性ゾーン
・ゾーン冗長 VM Scale Sets
・ロード・バランサ Standard
4マルチリージョン構成・ペアリージョン
・Traffic Manager

※ 可用性セットと可用性ゾーンは「AND」ではなく「OR」。

クラスタ構成

  • 可用性セット(AS)
    • [障害ドメイン]や[更新ドメイン]を分ける事により、可用性を高める。
      • 障害ドメイン:共通の電源やネットワーク機器などを共有する範囲
      • 更新ドメイン:Azureのメンテナンスリブートの際に影響を受ける範囲
  • 1つのラック障害で2台の仮想マシンが同時に停止することを回避できる。
    • 故に、サーバー・ファームを構成するとき、複数ラックに渡って冗長化して配置する。
    • 可用性セット自体にクラスタリング・負荷分散データ複製などの機能がある訳ではない。
  • ロード・バランサ
    • 仮想マシン間で着信トラフィックを分散
    • 詳しくは、Azure Load Balancerを参照(Standard)。

マルチAZ構成

  • 可用性ゾーン(AZ)
    • 可用性ゾーンを分ける事により、可用性を高める。
      • リージョン内の各種ハードウェアが分離されたゾーン
      • リージョン内に、3つ以上のに可用性ゾーンが存在する。
  • 1つのDC障害でDC中の仮想マシンが同時に停止することを回避できる。
    • サーバー・ファームを構成するとき、複数DC群に渡って冗長化して配置する。
    • 可用性ゾーン自体にクラスタリング・負荷分散データ複製などの機能がある訳ではない。
  • ロード・バランサ
    • 仮想マシン間で着信トラフィックを分散
    • 詳しくは、Azure Load Balancerを参照(Standard)。

マルチリージョン構成

  • ペアリージョン
    リージョン ペアの間で事業継続とディザスタ・リカバリ (BCDR) を構成
    • 複数リージョンにまたがって構成することで地理的に冗長化
    • 災害でリージョン中の仮想マシンが同時に停止することを回避できる。
  • ロード・バランサ
    DNSベースの機能を利用したTraffic Managerでの切り替え。

注:AZをミニリージョンとして使用しない。

  • AZはミニリージョンとしては機能しないため。
  • AZは、ティアに渡って使用する。

※ ティア:水平方向のサーバー・ファーム(Web、AP、DBと言う集合)

  • 理由
  • AWSではサブネットは特定のAZに固定される。
    故に、AZをミニリージョンとして使用できる。
    • サブネット中に垂直・水平方向のサーバー・ファームを構成し、AZで冗長化していく。
    • このように構成すると、サブネット単位での設計が可能になる。
  • Azureでは、サブネットは特定のAZに固定されない。
    故に、AZをミニリージョンとして使用できない。
    • 水平方向のサーバー・ファームを構成し、AZで冗長化していく。
    • このように構成すると、AzureのAZの特性からPaaS、SaaSと組み合わせ易くなる。

注:Azure Backupする場合、AZにピン留めしない。

  • シングル構成DBのバッグアップ・リストア運用のシナリオ等で、
    • AZにピン留めされたサーバは、LBを使用しないでアクセスできるが、
    • Azure Backupでリストアする場合、ピン留めゾーンに復元しようとするため、機能しない。

セキュア化とロックダウン

作業内容の安全性の確認

  • 入力制御(インバウンド)
  • 経路開放
  • RDP / SSH(OS内)
    オンプレ延伸からのアクセス。
    Azure Bastionからのアクセス。
    ・踏み台(Jumpbox)は危険なので、
     JIT VM Accessと言う機能もある。
  • 認証・認可
    VMにAzAD認証でログインする機能。
  • ハードニング(クライアント or サーバ)
  • アンチ・マルウェア(OS)
  • 不正なディスク・イメージを利用しない
  • アンチ・マルウェア・ソフトをインストールする
    ・Linux OS :ClamAV
    ・Window OS : Windows Antimalware(無償)
  • 仮想マシンの脅威検出や振る舞い監視を行う
    Azure Security Center(ASC)の VM 監視機能(VM Insights)
  • 更新プログラムが正しく管理されている
    ・更新プログラムの自動展開スケジュールの構成
    ・上記のVM 監視機能(VM Insights)の更新管理機能(Update Management)
  • アンチ・マルウェア(ミドル・アプリ)
  • ミドルウェア、アプリの挙動が監視監視方法について検討する
    ・ミドルウェア:JP1、Datadog
    ・アプリ:Application Insights
  • 必要に応じてファイルやレジストリの変更検知を行う
  • 適切なアプリのみが配置されるようになっている(DevOps
  • 必要に応じて許可されたアプリのみを実行するようにサーバを構成する
    Azure Security Center(ASC)の Adaptive Application Control 機能
  • 無効化機能
    • 非管理ディスクを使わない
    • 確認が取れていない(=許可されていない)拡張機能を使わない
  • 高額請求抑止
    • 巨大な VM サイズを利用しない。
    • 自動的な起動 / シャットダウンが正しく構成する。
    • スケールアウト / スケールインのルールを正しく構成する(VMSS)。
    • ライセンス費用
      ・追加ライセンス費用が必要な VM イメージを利用しない
      ・BYOL が正しく構成されている(AHUBの設定など)
  • 透過的暗号化
  • ディスクの暗号化
    ストレージは低レベルでは暗号化されているので、基本的には不要。
    ・必要に応じADE(Advanced Data Encryption)により管理ディスクを暗号化できる。
     ・Windows OS では BitLocker?、Linux では DM-crypt。
     ・主に内部犯行防止のタメだが、操作権限によっては無意味。
     ※ また、バックアップ・リストアが複雑化する。
  • メモリの暗号化
    Confidential Computing
  • 出力制御(アウトバウンド)
  • 経路制限
  • 各種の拡張機能のVM エージェントが利用する経路
    ・経路開放が不要(基盤経路)
     ・ブート診断
     ・Azure Backupエージェント
    ・経路開放が必要(一般経路)
     ・Azure Diagnostics(WAD/LAD)
     ・VMインサイト(MMA/Log Analytics Agent)
     ・Application Insights

変更・保守、作業の一覧化

  • VMの主なメンテナンス作業と、必要な権限付与
  • 多くの作業は「Virtual Maschine Contributor」ロールが必要で、
  • ネットワーク設定が必要な作業は、高権限である、
    「Network Contributor」ロールが必要になるので要注意。
  • 上記に合致しない作業も幾らか存在する。
  • また、カスタム・ロール化した方が良い作業もある。
    • NIC追加、NSG設定の変更
    • 仮想マシンの再起動、電源on/off、電源on/offスケジュール変更

IaC化

Azure PowerShell

下記を参照。

Azure CLI

>az vm create ^
--resource-group [既存のRG名] ^
--name [VM名] ^
--location [location] ^
--size [size] ^
--image [image名] ^
--admin-user [users名] ^
--admin-password [password] ^
--vnet-name [既存のVNET名] ^
--subnet [既存のSubnet名]
  • sizeの確認方法
    az vm list-sizes --location [location] --output table
  • image名の確認方法
    az vm image list --output table

参考

Azure上に素早く環境を構築する

SIOS Tech. Lab

Microsoft Docs > Azure Virtual Machines

参考

Azureのストレージ

Azure環境(仮想マシン)

Azureの評価環境を入手する

AzureのPoC環境を契約する

Azure上に素早く環境を構築する

SIOS Tech. Lab

nakama

IaaS の構成方法中にも同様のトピックが含まれる。

Microsoft Docs

Azure Virtual Machines


Tags: :インフラストラクチャ, :クラウド, :Azure


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2021-08-31 (火) 10:41:23 (46d)