「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
Azureの仮想マシン
詳細 †
構成 †
複数のリソースから構成される。
仮想マシン自体 †
- システム・ドライブ
Cドラのシステム・ドライブ
- 管理ディスクのPremiumなど。
- ローカル・ディスクと比べ若干遅い。
- ローカル・ディスク
Dドラのローカル・ディスクは、
- ローカル SSDなので高速にアクセス可能。
- ページング・ファイルなどでも利用される。
- ただし、障害発生時、データは削除される。
- データ・ディスク
Eドラ以降のデータ・ディスクは、
- ライト・キャッシュを消して使用する。
- 管理ディスクのUltraなど。
- DBのデータ・ファイル、トランザクション・ログ・ファイルなどを保存。
- 共有ディスク
クラスタ化ではS2D(=ソフトウェアベースの共有ディスク)を利用
NICとIPアドレス †
Guest VM Agent †
ポータルからの
などを行うことが出来る。
その他 †
- 診断ログ
ストレージ → Azure Monitor、Log Analytics
課金 †
状態 | 仮想マシン | ディスク | ライセンス |
開始中・実行中 | 課金される |
停止済み(Stopped) | 課金される | 課金されない |
割当解除済み、削除済み(Deallocated) | 課金されない | 課金される | 課金されない |
仮想マシン費用 †
- 仮想マシンのノード割り当てが解除されない限り、課金が継続する。
- シャットダウンでは課金される。
- シャットダウンはOSからではなく
必ずポータルサイトから行い、割り当て解除する。
- EA 契約のコミットメント額資金(MC : Monetary Commit)から減算される
ライセンス費用 †
- BYOL : Bring Your Own License
- ライセンス持ち込み
- Azure 側では課金されない
- PAYG : Pay As You Go
- マーケットプレイスのイメージ
- 時間課金、月課金(日割りなし)などがある。
- Azure 用の、SKU が存在するマイクロソフト製品
・EA契約のMCから減算される(仮想マシン費用と同じ)。
- Azure 用の、SKU が存在しないマイクロソフト製品、3rd party 製品
・EA契約のMCから減算されず、
EA契約の超過料金として扱われる。
・VLのディスカウントの対象にならない。
・四半期ごとの請求書一括請求になる。
IPアドレス †
IP固定 †
日本語化 †
OSの日本語化 †
- 日本語化作業は面倒なため、
- 極力、英語版のまま利用することを推奨
ミドルの日本語化 †
- PAYG
かなり厄介
- OSの日本語化
- アンストールしてプロダクトキー入手
- 日本語メディアを持ち込んでインストール
ダウンタイム最小化 †
ハードウェア障害 †
メンテナンス †
- ゲストへの影響あり
- 30秒以内で完了 → 15分前通知(PHU : Preserving Host Update)
- 30秒異常必要 → 30日前に通知(一定期間内に手動再起動)
サービス・ヒーリング †
仮想マシンが故障した場合でも、前述の構成から、
データ・ドライブ > ローカル・ディスク以外を除いて、壊れない。
- 15秒単位の死活監視
- 10分応答がない場合、自動リカバリ(別ノードへ移動)される。
冗長オプション †
仮想化レイヤーより下の構成
# | 構成 | 要素 |
1 | シングルVM | サービスの復旧 (Service Healing) |
2 | クラスタ構成 | 可用性セット ・VM Scale Sets ・ロード・バランサ Basic |
3 | マルチAZ構成 (Availability Zone) | 可用性ゾーン ・ゾーン冗長 VM Scale Sets ・ロード・バランサ Standard |
4 | マルチリージョン構成 | ・ペアリージョン ・Traffic Manager |
※ 可用性セットと可用性ゾーンは「AND」ではなく「OR」。
クラスタ構成 †
- 可用性セット(AS)
- [障害ドメイン]や[更新ドメイン]を分ける事により、可用性を高める。
- 障害ドメイン:共通の電源やネットワーク機器などを共有する範囲
- 更新ドメイン:Azureのメンテナンスリブートの際に影響を受ける範囲
- 1つのラック障害で2台の仮想マシンが同時に停止することを回避できる。
- 故に、サーバー・ファームを構成するとき、複数ラックに渡って冗長化して配置する。
- 可用性セット自体にクラスタリング・負荷分散データ複製などの機能がある訳ではない。
マルチAZ構成 †
- 可用性ゾーン(AZ)
- 可用性ゾーンを分ける事により、可用性を高める。
- リージョン内の各種ハードウェアが分離されたゾーン
- リージョン内に、3つ以上のに可用性ゾーンが存在する。
- 1つのDC障害でDC中の仮想マシンが同時に停止することを回避できる。
- サーバー・ファームを構成するとき、複数DC群に渡って冗長化して配置する。
- 可用性ゾーン自体にクラスタリング・負荷分散データ複製などの機能がある訳ではない。
マルチリージョン構成 †
- ペアリージョン
リージョン ペアの間で事業継続とディザスタ・リカバリ (BCDR) を構成
- 複数リージョンにまたがって構成することで地理的に冗長化
- 災害でリージョン中の仮想マシンが同時に停止することを回避できる。
注:AZをミニリージョンとして使用しない。 †
- AZはミニリージョンとしては機能しないため。
- AZは、ティアに渡って使用する。
※ ティア:水平方向のサーバー・ファーム(Web、AP、DBと言う集合)
- AWSではサブネットは特定のAZに固定される。
故に、AZをミニリージョンとして使用できる。
- サブネット中に垂直・水平方向のサーバー・ファームを構成し、AZで冗長化していく。
- このように構成すると、サブネット単位での設計が可能になる。
- Azureでは、サブネットは特定のAZに固定されない。
故に、AZをミニリージョンとして使用できない。
- 水平方向のサーバー・ファームを構成し、AZで冗長化していく。
- このように構成すると、AzureのAZの特性からPaaS、SaaSと組み合わせ易くなる。
注:Azure Backupする場合、AZにピン留めしない。 †
- シングル構成DBのバッグアップ・リストア運用のシナリオ等で、
- AZにピン留めされたサーバは、LBを使用しないでアクセスできるが、
- Azure Backupでリストアする場合、ピン留めゾーンに復元しようとするため、機能しない。
セキュア化とロックダウン †
作業内容の安全性の確認 †
- RDP / SSH(OS内)
・オンプレ延伸からのアクセス。
・Azure Bastionからのアクセス。
・踏み台(Jumpbox)は危険なので、
JIT VM Accessと言う機能もある。
- 認証・認可
VMにAzAD認証でログインする機能。
- アンチ・マルウェア・ソフトをインストールする
・Linux OS :ClamAV
・Window OS : Windows Antimalware(無償)
- 更新プログラムが正しく管理されている
・更新プログラムの自動展開スケジュールの構成
・上記のVM 監視機能(VM Insights)の更新管理機能(Update Management)
- 適切なアプリのみが配置されるようになっている(DevOps)
- 無効化機能
- 非管理ディスクを使わない
- 確認が取れていない(=許可されていない)拡張機能を使わない
- 高額請求抑止
- 巨大な VM サイズを利用しない。
- 自動的な起動 / シャットダウンが正しく構成する。
- スケールアウト / スケールインのルールを正しく構成する(VMSS)。
- ライセンス費用
・追加ライセンス費用が必要な VM イメージを利用しない
・BYOL が正しく構成されている(AHUBの設定など)
- ディスクの暗号化
・ストレージは低レベルでは暗号化されているので、基本的には不要。
・必要に応じADE(Advanced Data Encryption)により管理ディスクを暗号化できる。
・Windows OS では BitLocker?、Linux では DM-crypt。
・主に内部犯行防止のタメだが、操作権限によっては無意味。
※ また、バックアップ・リストアが複雑化する。
- メモリの暗号化
Confidential Computing
変更・保守、作業の一覧化 †
- 多くの作業は「Virtual Maschine Contributor」ロールが必要で、
- ネットワーク設定が必要な作業は、高権限である、
「Network Contributor」ロールが必要になるので要注意。
- また、カスタム・ロール化した方が良い作業もある。
- NIC追加、NSG設定の変更
- 仮想マシンの再起動、電源on/off、電源on/offスケジュール変更
IaC化 †
下記を参照。
>az vm create ^
--resource-group [既存のRG名] ^
--name [VM名] ^
--location [location] ^
--size [size] ^
--image [image名] ^
--admin-user [users名] ^
--admin-password [password] ^
--vnet-name [既存のVNET名] ^
--subnet [既存のSubnet名]
参考 †
参考 †
Azure環境(仮想マシン) †
SIOS Tech. Lab †
- 【初心者】Azure CLI で仮想マシン(Ubuntu)を作成する
nakama †
※ IaaS の構成方法中にも同様のトピックが含まれる。
Microsoft Docs †
Azure Virtual Machines †
Tags: :インフラストラクチャ, :クラウド, :Azure