Azure Resource Manager テンプレート のバックアップ(No.17)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• Azure Resource Manager テンプレート へ行く。
  • 1 (2020-04-16 (木) 09:44:13)
  • 2 (2020-04-16 (木) 09:58:22)
  • 3 (2020-04-16 (木) 13:57:49)
  • 4 (2020-05-04 (月) 19:35:19)
  • 5 (2020-05-07 (木) 18:19:11)
  • 6 (2021-03-02 (火) 14:56:02)
  • 7 (2021-03-02 (火) 18:33:25)
  • 8 (2021-03-03 (水) 00:24:19)
  • 9 (2021-03-03 (水) 00:57:13)
  • 10 (2021-03-03 (水) 12:12:52)
  • 11 (2021-03-03 (水) 15:15:00)
  • 12 (2021-03-03 (水) 17:52:31)
  • 13 (2021-03-03 (水) 21:01:23)
  • 14 (2021-03-03 (水) 23:36:10)
  • 15 (2021-03-05 (金) 13:15:08)
  • 16 (2021-03-12 (金) 16:59:15)
  • 17 (2021-03-15 (月) 22:39:27)
  • 18 (2021-03-17 (水) 20:38:24)
  • 19 (2021-06-23 (水) 15:44:02)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る
  • クラウド・インフラ自動化 > IaC (Infrastructure as Code)
  • Azure
    • Azure Resource Manager (ARM)
    • FgCF (Financial-grade Cloud Fundamentals)

目次 †

概要 †

• ARMテンプレートとも。

• Azureでは、主にARM テンプレートを利用して、
  インフラ～OS レイヤまでのインフラ構築の「自動化（IaC）」を行う
  • リソースを一貫性のある形で繰り返しデプロイするための宣言型のテンプレート。
  • リソース・グループへのデプロイ対象となるリソースを定義する JSON ファイル。
  • デプロイ対象リソース間の依存関係も、このテンプレートによって定義される。

詳細 †

機能 †

入力 †

Resource Manager はテンプレートを解析し、
その構文を適切なリソース・プロバイダの REST API 操作に変換する。

出力 †

既存のリソース・グループのテンプレートの取得

• リソース・グループの現在の状態をエクスポート
• 特定のデプロイに使用されたテンプレートを表示

構造 †

ARMテンプレートとパラメタ・ファイルから構成される

ARMテンプレート †

作成するリソース群を指定する（template.json）。

ARMパラメタ・ファイル †

• 可変要素をパラメタ化する（parameters.json）。
• テンプレート実行時に外部から値を与える。

編集と実行 †

編集 †

Visual Studio Code に ARM Tools プラグインを入れ編集。

実行 †

Azureポータルから保存・実行すると便利。

※ ローカルで実行するには、PowerShellライブラリのインストールなど環境構築が必要になる。

作り方 †

Automation †

• スクラッチで記載するのは難しいので、
  Automationオプション、Automationスクリプトを使用する。

• リソースの作成前 or 作成後でやり方が変わってくる。

• リソース作成時にテンプレートを引き抜く。
  ポータルからのリソース作成時に、Automationオプションを確認

• リソース作成後にテンプレートを引き抜く。
  リソース・グループまたはリソースから、Automationスクリプトを出力

• 以下のトレード・オフがあるので、
  ２つの方法を併用して作成する。

  	Automationオプション リソース作成時にテンプレートを引き抜く。	Automationスクリプト リソース作成後にテンプレートを引き抜く。
  GOOD	綺麗な JSON が入手できる	合体（依存関係アリ、構成変更後）のJSONを入手できる。
  BAD	・一部の新しいリソースでサポートされていない。 ・全てがパラメタライズされた状態の JSON。 ・単体（依存関係ナシ、構成変更前）のJSONしか入手できない。	・リソースによっては、JSON化出来ないモノがある。 ・半端にパラメタライズされた状態の JSON。 ・余分な値や、重複した出力がされることがある。

サンプル・シナリオ †

ハブネットワークの ARMテンプレート作成

• 仮想ネットワークの作成
• サブネットの作成
• ルート・テーブル（UDR）の作成
• VPN Gatewayの作成
• Azure Firewallの設定
• 診断ログ・ストレージの作成
• 仮想マシンの作成１、２

※ 以下、サンプル・シナリオの手順

手順 †

仮想ネットワークの作成 †

リソース作成時のテンプレート引き抜き機能を使用する。

• ポータル上で仮想ネットワーク、Azure Firewall（＋パブリックIP）を構成する。

• 作成前に、Automationオプションを選択し、
  ARMテンプレートとパラメタ・ファイルを引き抜く。

• テンプレートに、基本的な修正を施す。

• テンプレートの修正後、実際にリソースを作成する。
  • 作成したテンプレートを Azure ポータルから登録し、展開をテスト
  • 記述にバグがある場合には配置が失敗する → 配置が成功するまで、trial and error。

サブネットの作成 †

既存リソースから、リソース作成後のテンプレート引き抜き機能を使用する。
（作成時は引き抜き不可であるため）

• 先ず、ポータル上でサブネットを３つ構成する（仮想ネットワークのサブ・リソース）。
  • 管理VM用
  • DNS等配置用
  • Gateway用

• 作成後に、Automationスクリプトを選択すると、
  当該リソースが含まれるリソース・グループ全体を
  ARMテンプレートとパラメタ・ファイルに引き抜く。

• Automationスクリプトの特徴。
  • リソース・グループ全体が引き抜かれる。
  • 既定値や、現在の状態など、余分なパラメタ値が引き抜かれる。
  • サブ・リソースが独立したリソースとして展開される。
    • このため、全体的に冗長になる。
    • また、依存関係が展開先に変更される。

• Automationスクリプトをテンプレートにマージする。

• コチラのテンプレートをベースに、Automationスクリプトを参考にして、
  展開されたリソース（サブネット）は、（仮想ネットワークの）サブ・リソース的にマージする。
  • ココでは、サービス・エンドポイントの定義が追加されているのでコレもマージする。
  • 既定値や、現在の状態など、GUIから設定していない余分な値は、移行しないようにする。

• 最後に、テンプレートに、基本的な修正を施す。

• テンプレートの修正後、実際にリソースを作成する。

ルート・テーブル（UDR）の作成 †

同様に、既存リソースから、リソース作成後のテンプレート引き抜き機能を使用する。
（リソース依存関係の指定がポイント）

• ポータル上でルート・テーブル（UDR）を構成する。

• Automationオプションを確認する（依存関係ナシ、構成変更前）。

• 上記のルート・テーブルをポータル上で実際に作成し、

• Automationスクリプトを生成する（依存関係アリ、構成変更後）。

• Automationスクリプトを確認する。
  • ルート・テーブルとルートが生成され、関連付けは、サブネット側に入る。
  • ルート・テーブルのサブ・リソースのルートが展開され、重複して出力される。

※ 前段階のAutomationスクリプトとDiffを取るなどすると良さそうではある。

• Automationスクリプトをテンプレートにマージする。

• ベースのテンプレートに新規リソースとサブ・リソースの定義だけをマージする。
  • ルート・テーブルとルートの作成の定義
  • サブネットに追加されたルート・テーブル割当の定義

• 依存関係を分析して、依存関係を設定し直す。
  依存関係設定は、親同士の依存関係に置き換えると良い。
  • 「サブネット → ルート・テーブル」の依存関係を、
  • 「仮想ネットワーク → ルート・テーブル」の依存関係に修正。

• 最後に、テンプレートに、基本的な修正を施す。

• テンプレートの修正後、実際にリソースを作成する。

VPN Gatewayの作成 †

再び、リソース作成時のテンプレート引き抜き機能を使用する。
（テンプレートに含めるリソースの範囲がポイント）

• ポータル上でGateway用サブネットに、
  VPN Gateway（＋パブリックIP）を構成する。
  （対向ネットワークが無いと設定できない所は構成しない等）

• 作成前に、Automationオプションを選択し、
  ARMテンプレートとパラメタ・ファイルを引き抜く。

• Automationオプションをテンプレートにマージする。

• リソース作成後のテンプレート引き抜き機能を使用した後に、
  リソース作成時のテンプレート引き抜き機能を使用する場合、
  （既にあるリソースが前提になっているので）
  以下の様に依存関係の修正が必要になることがある。
  • 定義にリソースを識別する固定値のIDが使用されている場合、
    resourceId関数を使用した動的解決が必要になることがある。
  • また、依存関係設定は、親同士の依存関係に置き換えると良い。

• 最後に、テンプレートに、基本的な修正を施す。

• テンプレートの修正後、実際にリソースを作成する。

Azure Firewallの設定 †

既存リソースからのテンプレート引き抜き機能に対応していない場合の扱い方
現時点では、上記の引き抜き機能が実装された。
（されていない場合は、リファレンス頼りになる）

• ポータル上でAzure Firewallに以下を構成する。
  • Windows Update
  • DNSクエリ

• 上記をポータル上で実際に適用し、
  

• Automationスクリプトを生成・確認する。

• Automationスクリプトをテンプレートにマージする。
  • Azure Firewallの、propertiesの、
    xxxxxRuleCollections?をテンプレートにマージする。
  • 最後に、テンプレートに、基本的な修正を施す。

• テンプレートの修正後、実際にリソースを作成する。

診断ログ・ストレージの作成 †

再び、リソース作成時のテンプレート引き抜き機能を使用する。
（グローバル一意リソースが存在するケース）

• ポータル上でストレージ・アカウントを構成する。

• 作成前に、Automationオプションを選択し、
  ARMテンプレートとパラメタ・ファイルを引き抜く。

• Automationオプションをテンプレートにマージする。

• ストレージ・アカウントのセクションをテンプレートにマージする。
  • virtualNetworkRules?のサブネットの固定値のIDをresourceIdで動的解決する。
  • コチラの段階で、サブネットにサービスエンド・ポイントが指定されている。
  • そして、（サブネットではなく）仮想ネットワークへの依存関係を追加する。

• 最後に、テンプレートに、基本的な修正を施す。

• テンプレートの修正後、実際にリソースを作成する。
  （この際、グローバル一意リソース用の変数入力が求められる）

仮想マシンの作成１ †

管理VM用サブネットに管理用の仮想マシンを作成するが、仮想マシンでは、

• リソース作成時のテンプレート引き抜き機能と
• リソース作成後のテンプレート引き抜き機能とを

併用する（そして、評価式の修正のコツがポイント）。

• ポータル上で仮想マシンを構成する。

• 作成前に、Automationオプションを選択し、
  ARMテンプレートとパラメタ・ファイルを引き抜く。

• 仮想マシンは、多数のリソースから構成されることが解る。
  • NIC
  • NSG
  • パブリックIP
  • 仮想マシン

• また、各リソース間に依存関係もある。
  • NIC → （NSG、パブリックIP）
  • NSG → （－）
  • パブリックIP → （－）
  • 仮想マシン → （NIC）

• Automationオプションをテンプレートにマージする。

• パスワードは、グローバル一意リソース同様、
  parametersセクションに変数を追加する（が、型はsecureStringにする）

• parametersセクションに変数の加工が必要な場合、variablesセクションが使用されている。

  variablesを使用しないように展開すると、この中に動的解決スべきパラメタを確認できるので、
  この値をresourceIdで動的解決する（NICが利用するサブネットやNSGのIDが該当する）。

• 最後に、テンプレートに、基本的な修正を施す。

• 上記の仮想マシンをポータル上で実際に作成し、
  

• Automationスクリプトを生成・確認する。
  すると、追加で以下の依存関係が確認できる。

• NIC → （サブネット）
• 仮想マシン → （ストレージ・アカウント）

• Automationスクリプトをテンプレートにマージする。

• 上記の依存関係を追加するが、同様に、
  親同士の依存関係に置き換えると良い（サブネット → 仮想ネットワーク）。

• 最後に、テンプレートに、基本的な修正を施す。

• テンプレートの修正後、実際にリソースを作成する。
  （この際、グローバル一意リソース用の変数入力が求められる）

仮想マシンの作成２ †

DNS等配置用サブネットにDNSサーバ用の仮想マシンを作成するので、
冗長化のタメに可用性セットに２台の仮想マシンを配置するが、
この場合、１台作成してコピペで増やすという方法が採れる。

• 先ず、ポータル上で可用性セットを作成する。

• 作成前に、Automationオプションを選択し、
  ARMテンプレートとパラメタ・ファイルを引き抜く。

• Automationオプションをテンプレートにマージする。

• 可用性セットをマージ。
• テンプレートに、基本的な修正を施す。

• 上記の可用性セットをポータル上で実際に作成し、

• 更に、ポータル上で当該 可用性セット上に仮想マシンを構成する。

• 作成前に、Automationオプションを選択し、
  ARMテンプレートとパラメタ・ファイルを引き抜く。

• Automationオプションをテンプレートにマージする。
  • 仮想マシンを前述と同様の手順でマージ。
  • テンプレートに、基本的な修正を施す。

• 上記の仮想マシンをポータル上で実際に作成し、
  

• Automationスクリプトを生成・確認する。
  すると、追加で以下の依存関係が確認できる。
  • NIC → （サブネット）
  • 仮想マシン → （ストレージ・アカウント、可用性セット）

• Automationスクリプトをテンプレートにマージする。
  • 上記の依存関係を前述と同様の手順で追加。
  • 最後に、テンプレートに、基本的な修正を施す。

• 最後に、仮想マシンをコピペで増やし、リネームし、衝突が無いことを確認する。
  （アンチ・マルウェアなどを構成すると、VM名が含まれないリソースが含まれるケースもあるらしい）。

• テンプレートの修正後、実際にリソースを作成する。
  （この際、グローバル一意リソース用の変数入力が求められる）

• 更に、静的IPを構成して、追加のフィードバックを行う。
  • Automationスクリプトを生成・確認する。
  • スクリプトをテンプレートにDiff＆マージ。
  • 静的IPはNICのコンフィギュレーションらしい。

ポイントのまとめ †

Automationを使用してテンプレートを作成する際のポイントのまとめ。

基本的な修正 †

何れの場合も、以下の、基本的な修正を施す。

• テンプレート内のパラメタ値の具体値化を行う。
  • template.jsonのresourcesセクションの"[parameters('XXXX')]"を、
    parameters.jsonのparametersセクションの具体値に変える。
  • 具体値に変えた、template.jsonのparametersセクションのパラメタを削除する。

• 既定でGUIからの入力を使用するパラメタの動的値化を行う。

• リソース・グループ名（name）、リソースを作成する場所（location）

• "[parameters('XXXX')]"だった所を"[resourceGroup().XXXX]"に変更する。
  （これでテンプレートを実行する際に与えられるパラメタを使用するらしい）

• 冗長なconcat関数は文字列にしてしまう。

ユーザ入力を反映する場合 †

グローバル一意リソースが存在する場合などのケースで利用する。

• parametersセクションを使用すると、
  実行時にユーザ入力を反映できる。

• parametersセクションに変数を追加する。

  "parameters": {
    "virtualDataCenterId": {
      "type": "string",
      "defaultValue": ""
    }
  },

• グローバル一意リソース名などに（文字列連結で）反映する。

   "name": "[concat('xxxxxx', parameters('virtualDataCenterId'))]",

• variablesセクションを使用すると、
  parametersセクションの変数を加工できる。

• variablesセクションに変数を追加しparametersを加工する。

  "variables": {
    "diagnosticsStorageAccountName": "[concat('azrefarchubrgdiag', parameters('virtualDataCenterId'))]"
  },

• グローバル一意リソース名などにvariablesを使用する。

  "name": "[variables('diagnosticsStorageAccountName'))]",

テンプレートの新規作成 †

仮想ネットワーク作成時、
リソース作成時のテンプレート引き抜き機能を使用して、
テンプレートを新規作成。

テンプレートへのマージ †

• 以降、基本的には、既存リソースから、
  リソース作成後のテンプレート引き抜き機能を使用して、
  Automationスクリプトをテンプレートにマージ。

• 展開されたリソースはマージせず、
• サブ・リソースのみをテンプレートにマージする。
• 同様に、依存関係を分析して、依存関係を設定し直す。

• 再び、リソース作成時のテンプレート引き抜き機能を使用して、
  Automationオプションをテンプレートにマージする場合、

• 同様に、依存関係を分析して、依存関係を設定し直す。

※ 仮想マシン等では、上記２つの方法を併用する。

依存関係の分析と設定 †

• 依存関係設定

• 基本的に、サブ・リソースは使用せず、
  親同士の依存関係に置き換えると良い。

• 再び、Automationオプションを使用する場合、
  （既にあるリソースが前提になっているので）依存関係の修正が必要になることがある。
  • 定義にリソースを識別する固定値のIDが使用されている場合、
    resourceId関数を使用した動的解決が必要になることがある。
  • また、依存関係設定は、親同士の依存関係に置き換えると良い。

• dependsOnのIDの書き方
  文字列と関数の２種類あり、文字列を使用する方法では、
  簡便な記述ができるようになっているが、指定が曖昧になり易い。
  • 文字列："Microsoft.Network/virtualNetworks/azrefarc-hub-vnet/subnets/mgmt"
  • 関数："[resourceId(resourceGroup().name, 'Microsoft.Network/virtualNetworks/subnets', 'azrefarc-hub-vnet', 'mgmt')]"

配置が成功するまで、trial and error。 †

• リソース・グループ名を変えることによって、
  • 並行展開が可能で素早く作業をすすめることが出来る。
  • だだし、課金がされるので、並行してリソース・グループの開放を行う。

• テンプレートが複雑、展開に時間のかかる
  リソースは最後にテンプレに追加するようにする。

• VPN Gatewayの作成
• 仮想マシンの作成１、２
  • JSON 定義がかなり大きなサイズになる。
  • 仮想ネットワーク、サブネットなどに比べるとデプロイに時間もかかるため（？）

テンプレート化は構成が確定してから。 †

• そもそもクラウドのインフラ構築は、
  「trial and error」な所があるため、
  序盤に着手すると手戻りが大きくなる可能性がある。

• 故に、構築の序盤にはポータルを使用し、
  熟れてから、テンプレート化を開始するようにする。

参考 †

• Azure Resource Manager テンプレート入門と作成 | ブログ一覧 | DATUM STUDIO株式会社
  https://datumstudio.jp/blog/azure-resource-manager-%E3%83%86%E3%83%B3%E3%83%97%E3%83%AC%E3%83%BC%E3%83%88%E5%85%A5%E9%96%80%E3%81%A8%E4%BD%9C%E6%88%90

Microsoft Azure †

• Azure Resource Manager テンプレート
  https://azure.microsoft.com/ja-jp/services/arm-templates/

Microsoft Docs †

• Azure Resource Manager

• テンプレートの概要
  https://docs.microsoft.com/ja-jp/azure/azure-resource-manager/templates/overview

• テンプレートをデプロイする - Azure portal
  https://docs.microsoft.com/ja-jp/azure/azure-resource-manager/templates/quickstart-create-templates-use-the-portal

• テンプレートのベスト プラクティス
  https://docs.microsoft.com/ja-jp/azure/azure-resource-manager/templates/template-best-practices

• テンプレートの構造と構文 https://docs.microsoft.com/ja-jp/azure/azure-resource-manager/templates/template-syntax

Qiita †

• ARMTemplateデプロイ用のJsonをイジる
  https://qiita.com/sat0tabe/items/7d268d140aa849fbb665

• AzureのARMテンプレートを理解する
  • part1 (基本編)
    https://qiita.com/j-tsurumi/items/cc86e9412349da80a323
  • part2 (ネットワークリソース編)
    https://qiita.com/j-tsurumi/items/d7e9eda9da223764a799

• Azure Resource Manager テンプレートを
  • 使用した仮想マシンのデプロイ
    https://qiita.com/yuki451/items/9a6bfc0e544cdcc32788
  • 使用した自動シャットダウンの設定
    https://qiita.com/yuki451/items/347cac19e6a76455edb6
  • 使う複数のパラメーターをまとめてデプロイする PowerShell スクリプト
    https://qiita.com/yuki451/items/d8b1e5c9b8de8e9f2462

• ARMTemplateでAzureDNSのリソース作成とレコードを設定する(CLIもあるよ)
  https://qiita.com/HiroyukiSakoh/items/6d3538303bbc310dd59f
• Azure Function v2にHttpClientFactory?+Polly
  を組み込み、HttpClient?の再試行を実装する
  https://qiita.com/HiroyukiSakoh/items/92d1365db6447bd64550

nakama †

FgCF > ゼロトラスト型マルチクラウド IT 環境 > Azure による仮想データセンタ構築手法
'> 共通技術 > ネットワーク基盤の構成方法 > ARM テンプレートの利用方法

• YouTube?
  
  • 前半：https://www.youtube.com/watch?v=Hi4Xh8O10W8
  • 後半：https://www.youtube.com/watch?v=aLLFJVcHY70

• video、ppt
  https://nakama.blob.core.windows.net/mskk/2019_01_03_PracticalARMTemplate.zip

※ 体系はコチラ、pwdはコチラ

---

Tags: :インフラストラクチャ, :クラウド, :Azure, :IaC

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.088 sec.