Azureの仮想マシン
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>Azure]]
--[[Azureの仮想ネットワーク]]
--[[Azure Virtual Data Center]]
* 目次 [#g9cd79e0]
#contents
*概要 [#mf446bfe]
Azureの仮想マシン
*詳細 [#l95950a7]
**構成 [#oe1c6c9d]
複数のリソースから構成される。
***仮想マシン自体 [#oddb0fbf]
-冗長化されていない。
-[[冗長オプション>#f9341dd6]]などを用いる。
***[[ディスク>Azureのディスク ストレージ]] [#g4e1417d]
-基本、[[管理ディスク>Azureのディスク ストレージ#v086e7a2...
-システム・ドライブ~
Cドラのシステム・ドライブ
--[[管理ディスク>Azureのディスク ストレージ#v086e7a2]]のP...
--ローカル・ディスクと比べ若干遅い。
-データ・ドライブ
--ローカル・ディスク~
Dドラのローカル・ディスクは、
---ローカル SSDなので高速にアクセス可能。
---ページング・ファイルなどでも利用される。
---ただし、障害発生時、データは削除される。
--データ・ディスク~
Eドラ以降のデータ・ディスクは、
---ライト・キャッシュを消して使用する。
---[[管理ディスク>Azureのディスク ストレージ#v086e7a2]]の...
---DBのデータ・ファイル、トランザクション・ログ・ファイル...
-共有ディスク~
クラスタ化ではS2D(=ソフトウェアベースの共有ディスク)を...
***NICとIPアドレス [#oc571d8d]
-NIC
--通常、1枚挿し+[[NSG>#t55ac311]]。2枚挿しも可能だが、~
[[VPFでのエミュレーション>Azureの仮想ネットワーク#ud86d24...
--使用不可([[ネットワークの仕様上の問題>Azureの仮想ネッ...
---[[NLB]]
---[[MSCS/WSFC]]
-IPアドレス
--パブリックIPアドレスは別のリソース
--[[プライベートIPアドレスは既定でDHCPで割り当てられる。>...
***Guest VM Agent [#a1d3e45f]
ポータルからの
-インストール
-コマンド実行
などを行うことが出来る。
***その他 [#t55ac311]
-[[NSG>Network Security Group (NSG)]]
-[[GW / LB的なモノ。>AzureのGW / LB的なモノ。]]
-診断ログ~
ストレージ → Azure Monitor、Log Analytics
**課金 [#f5d72db5]
|状態|仮想マシン|ディスク|ライセンス|h
|開始中・実行中|>|>|CENTER:課金される|
|停止済み(Stopped)|>|CENTER:課金される|課金されない|
|割当解除済み、削除済み(Deallocated)|課金されない|課金...
***仮想マシン費用 [#yf9e9b52]
-仮想マシンのノード割り当てが解除されない限り、課金が継続...
--シャットダウンでは課金される。
--シャットダウンはOSからではなく~
必ずポータルサイトから行い、割り当て解除する。
-EA 契約のコミットメント額資金(MC : Monetary Commit)か...
***[[ディスク費用>Azureのディスク ストレージ#ffcb1028]] [...
***ライセンス費用 [#x999b94b]
-BYOL : Bring Your Own License
--ライセンス持ち込み
--Azure 側では課金されない
-PAYG : Pay As You Go
--マーケットプレイスのイメージ
--時間課金、月課金(日割りなし)などがある。
--2タイプ
---Azure 用の、SKU が存在するマイクロソフト製品~
・EA契約のMCから減算される([[仮想マシン費用と同じ>#yf9e9...
---Azure 用の、SKU が存在しないマイクロソフト製品、3rd pa...
・EA契約のMCから減算されず、~
EA契約の超過料金として扱われる。~
・VLのディスカウントの対象にならない。~
・四半期ごとの請求書一括請求になる。
---
--必ずマーケットプレイスの Web ページから確認
---Microsoft Azure Marketplace~
https://azuremarketplace.microsoft.com/ja-jp/marketplace/
**IPアドレス [#t1ce7c44]
***[[DHCPとDNS>Azureのアウトバウンド設計#a53e987e]] [#dd3...
***IP固定 [#t9a83dfe]
-ポータルからDHCP機能を使用して固定する。
-[[Azureで把握する必要があるのでOS上からIPアドレスを固定...
-このシーンは、比較的少ない([[インバウンドは、基本的に、...
**日本語化 [#rb4d4b9c]
***OSの日本語化 [#ue46253f]
-[[日本語化作業>https://dotnetdevelopmentinfrastructure.o...
-極力、英語版のまま利用することを推奨
***ミドルの日本語化 [#l33e9655]
-[[BYOL>#x999b94b]]
--[[OSの日本語化>#ue46253f]]
--日本語メディアを持ち込んでインストール
-[[PAYG>#x999b94b]]~
かなり厄介
--[[OSの日本語化>#ue46253f]]
--アンストールしてプロダクトキー入手
--日本語メディアを持ち込んでインストール
**ダウンタイム最小化 [#b0214fae]
***ハードウェア障害 [#ef7a5327]
-突発的な故障~
[[サービス・ヒーリング>#m3fbd284]]
-予測に基づく保守~
[[サービス・ヒーリング>#m3fbd284]](10分前通知)
***メンテナンス [#y1bb1953]
-VMのメンテナンス~
ユーザが実施する。
-ホストのメンテナンス
--ゲストへの影響なし~
通知なく実施
--ゲストへの影響あり
---30秒以内で完了 → 15分前通知(PHU : Preserving Host Upd...
---30秒異常必要 → 30日前に通知(一定期間内に手動再起動)
***サービス・ヒーリング [#m3fbd284]
仮想マシンが故障した場合でも、[[前述の構成>#oe1c6c9d]]か...
[[データ・ドライブ > ローカル・ディスク>#g4e1417d]]以外を...
-15秒単位の死活監視
-10分応答がない場合、自動リカバリ(別ノードへ移動)される。
**冗長オプション [#f9341dd6]
仮想化レイヤーより下の構成
|#|構成|要素|h
|1|シングルVM|サービスの復旧&br; (Service Healing)|
|2|クラスタ構成|可用性セット&br;・VM Scale Sets&br;・ロー...
|3|マルチAZ構成&br;(Availability Zone)|可用性ゾーン&br;...
|4|マルチリージョン構成|・ペアリージョン&br;・Traffic Man...
※ 可用性セットと可用性ゾーンは「AND」ではなく「OR」。
***クラスタ構成 [#d289b030]
-可用性セット(AS)
--[障害ドメイン]や[更新ドメイン]を分ける事により、可用性...
---障害ドメイン:共通の電源やネットワーク機器などを共有す...
---更新ドメイン:Azureのメンテナンスリブートの際に影響を...
--1つのラック障害で2台の仮想マシンが同時に停止すること...
---故に、サーバー・ファームを構成するとき、複数ラックに渡...
---可用性セット自体にクラスタリング・負荷分散データ複製な...
-ロード・バランサ
--仮想マシン間で着信トラフィックを分散
--詳しくは、[[Azure Load Balancer>AzureのGW / LB的なモノ...
***マルチAZ構成 [#s5c52819]
-可用性ゾーン(AZ)
--可用性ゾーンを分ける事により、可用性を高める。
---リージョン内の各種ハードウェアが分離されたゾーン
---リージョン内に、3つ以上のに可用性ゾーンが存在する。
--1つのDC障害でDC中の仮想マシンが同時に停止することを回...
---サーバー・ファームを構成するとき、複数DC群に渡って冗長...
---可用性ゾーン自体にクラスタリング・負荷分散データ複製な...
-ロード・バランサ
--仮想マシン間で着信トラフィックを分散
--詳しくは、[[Azure Load Balancer>AzureのGW / LB的なモノ...
***マルチリージョン構成 [#d61e1513]
-ペアリージョン~
リージョン ペアの間で事業継続とディザスタ・リカバリ (BCDR...
--複数リージョンにまたがって構成することで地理的に冗長化
--災害でリージョン中の仮想マシンが同時に停止することを回...
-ロード・バランサ~
DNSベースの機能を利用した[[Traffic Manager>Azure Traffic ...
***注:AZをミニリージョンとして使用しない。 [#j9d74a5a]
-AZはミニリージョンとしては機能しないため。
-AZは、ティアに渡って使用する。
>※ ティア:水平方向のサーバー・ファーム(Web、AP、DBと言...
-理由
--AWSではサブネットは特定のAZに固定される。~
故に、AZをミニリージョンとして使用できる。
---サブネット中に垂直・水平方向のサーバー・ファームを構成...
---このように構成すると、サブネット単位での設計が可能にな...
--Azureでは、サブネットは特定のAZに固定されない。~
故に、AZをミニリージョンとして使用できない。
---水平方向のサーバー・ファームを構成し、AZで冗長化してい...
---このように構成すると、AzureのAZの特性からPaaS、SaaSと...
***注:Azure Backupする場合、AZにピン留めしない。 [#w9f52...
-[[Azure Load Balancer>AzureのGW / LB的なモノ。#o57521ef]...
-シングル構成DBのバッグアップ・リストア運用のシナリオ等で、
--AZにピン留めされたサーバは、LBを使用しないでアクセスで...
--Azure Backupでリストアする場合、ピン留めゾーンに復元し...
**セキュア化とロックダウン [#l5f9cc7c]
***作業内容の安全性の確認 [#pf76b919]
-入力制御(インバウンド)
--[[仮想ネットワークの入力制御>Azureの仮想ネットワーク#b6...
--経路開放
---AzureポータルやCLI、~
[[Guest VM Agent>#a1d3e45f]]~
経路開放は、不要。
---RDP / SSH(OS内)~
・[[オンプレ延伸>FgCF (Financial-grade Cloud Fundamentals...
・[[Azure Bastion]]からのアクセス。~
・踏み台(Jumpbox)は危険なので、~
JIT VM Accessと言う機能もある。
---インバウンド~
・[[AzureのGW / LB的なモノ。]]~
・その他、OS内部のFirewallなど。
--認証・認可~
VMにAzAD認証でログインする機能。
---[[Azure Active Directory]]認証を使用し、[[RBAC>Role Ba...
---前提OSのイメージを使用しポータルから当該機能を有効化し...
---基本的に、サーバーに対してではなく、踏み台(Jumpbox)...
---参考:Azure Active Directory (プレビュー) を使用して~
Azure 内の Windows 仮想マシンにサインインする | Microsoft...
https://docs.microsoft.com/ja-jp/azure/active-directory/d...
-ハードニング(クライアント or サーバ)
--アンチ・マルウェア(OS)
---不正なディスク・イメージを利用しない
---アンチ・マルウェア・ソフトをインストールする~
・Linux OS :ClamAV~
・Window OS : Windows Antimalware(無償)~
---仮想マシンの脅威検出や振る舞い監視を行う~
[[Azure Security Center]](ASC)の VM 監視機能(VM Insigh...
---更新プログラムが正しく管理されている~
・更新プログラムの自動展開スケジュールの構成~
・上記のVM 監視機能(VM Insights)の更新管理機能(Update ...
--アンチ・マルウェア(ミドル・アプリ)
---ミドルウェア、アプリの挙動が監視監視方法について検討す...
・ミドルウェア:JP1、Datadog~
・アプリ:[[Application Insights]]
---必要に応じてファイルやレジストリの変更検知を行う
---適切なアプリのみが配置されるようになっている([[DevOps...
---必要に応じて許可されたアプリのみを実行するようにサーバ...
[[Azure Security Center]](ASC)の Adaptive Application C...
--無効化機能
---非管理ディスクを使わない
---確認が取れていない(=許可されていない)拡張機能を使わ...
--高額請求抑止
---巨大な VM サイズを利用しない。
---自動的な起動 / シャットダウンが正しく構成する。
---スケールアウト / スケールインのルールを正しく構成する...
---ライセンス費用~
・追加ライセンス費用が必要な VM イメージを利用しない~
・BYOL が正しく構成されている(AHUBの設定など)
--透過的暗号化
---ディスクの暗号化~
・[[ストレージは低レベルでは暗号化されている>Azureのスト...
・必要に応じADE(Advanced Data Encryption)により管理ディ...
・Windows OS では BitLocker、Linux では DM-crypt。~
・主に内部犯行防止のタメだが、操作権限によっては無意味。~
※ また、バックアップ・リストアが複雑化する。
---メモリの暗号化~
Confidential Computing
-出力制御(アウトバウンド)
--[[仮想ネットワークの出力制御>Azureの仮想ネットワーク#b6...
--経路制限
---アウトバウンド~
・[[Azureのプロキシ的なモノ。]]~
・[[SNATポートの枯渇問題>Azureの仮想ネットワーク#lc0ca5af]]
---各種の拡張機能のVM エージェントが利用する経路~
・経路開放が不要(基盤経路)~
・ブート診断~
・[[Azure Backup]]エージェント~
・経路開放が必要(一般経路)~
・Azure Diagnostics(WAD/LAD)~
・VMインサイト(MMA/[[Log Analytics]] Agent)~
・[[Application Insights]]
***変更・保守、作業の一覧化 [#b902c914]
-VMの主なメンテナンス作業と、必要な権限付与~
--多くの作業は「Virtual Maschine Contributor」ロールが必...
--ネットワーク設定が必要な作業は、高権限である、~
「Network Contributor」ロールが必要になるので要注意。~
--上記に合致しない作業も幾らか存在する。
--また、カスタム・ロール化した方が良い作業もある。
---NIC追加、NSG設定の変更
---仮想マシンの再起動、電源on/off、電源on/offスケジュール...
*IaC化 [#n4a5bc5a]
**[[Azure PowerShell]] [#u142de79]
下記を参照。
**[[Azure CLI]] [#s367b9db]
>az vm create ^
--resource-group [既存のRG名] ^
--name [VM名] ^
--location [location] ^
--size [size] ^
--image [image名] ^
--admin-user [users名] ^
--admin-password [password] ^
--vnet-name [既存のVNET名] ^
--subnet [既存のSubnet名]
-sizeの確認方法
az vm list-sizes --location [location] --output table
-image名の確認方法
az vm image list --output table
-例
--[[Azure上に素早く環境を構築する>Azure上に素早く環境を構...
--[[Azure Bastionの踏み台VM>Azure Bastion#sf6b38d2]]
**参考 [#j9b7cf41]
***[[Azure上に素早く環境を構築する>#e07f5f7f]] [#vdd1c705]
***[[SIOS Tech. Lab>#x0276ace]] [#sdc22499]
***[[Microsoft Docs > Azure Virtual Machines>#n6eebd91]] ...
*参考 [#xfe7f6da]
**[[Azureのストレージ]] [#fd477e94]
**Azure環境(仮想マシン) [#n9e8d092]
***[[Azureの評価環境を入手する]] [#r8f8b2de]
***[[AzureのPoC環境を契約する]] [#uaa2dd96]
***[[Azure上に素早く環境を構築する]] [#e07f5f7f]
**SIOS Tech. Lab [#x0276ace]
-【初心者】Azure CLI で仮想マシン(Ubuntu)を作成する
--第1回 -リソースグループについて-~
https://tech-lab.sios.jp/archives/2998
--第2回 -仮想ネットワークとサブネットについて-~
https://tech-lab.sios.jp/archives/3026
--第3回 -ネットワークセキュリティグループについて-~
https://tech-lab.sios.jp/archives/3040
--第4回 -ストレージアカウントについて-~
https://tech-lab.sios.jp/archives/3046
--最終回 -VMについて-~
https://tech-lab.sios.jp/archives/3087
**nakama [#y26d97b6]
※ [[IaaS の構成方法>Azureの仮想ネットワーク#zd56347f]]中...
**Microsoft Docs [#ibdfdaf5]
***Azure Virtual Machines [#n6eebd91]
-クイック スタート Windows
--Azure Portal で Windows VM を作成する~
https://docs.microsoft.com/ja-jp/azure/virtual-machines/w...
--Azure CLI を使用して Windows VM を作成する~
https://docs.microsoft.com/ja-jp/azure/virtual-machines/w...
--Azure PowerShell を使用して Windows VM を作成する~
https://docs.microsoft.com/ja-jp/azure/virtual-machines/w...
--ARMテンプレートは、[[コチラ>Azure Resource Manager テン...
-クイック スタート Linux
--Azure portal で Linux VM を作成する~
https://docs.microsoft.com/ja-jp/azure/virtual-machines/l...
--Azure CLI を使用して Linux VM を作成する~
https://docs.microsoft.com/ja-jp/azure/virtual-machines/l...
--Azure PowerShell を使用して Linux VM を作成する~
https://docs.microsoft.com/ja-jp/azure/virtual-machines/l...
--ARMテンプレートは、[[コチラ>Azure Resource Manager テン...
----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]]
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>Azure]]
--[[Azureの仮想ネットワーク]]
--[[Azure Virtual Data Center]]
* 目次 [#g9cd79e0]
#contents
*概要 [#mf446bfe]
Azureの仮想マシン
*詳細 [#l95950a7]
**構成 [#oe1c6c9d]
複数のリソースから構成される。
***仮想マシン自体 [#oddb0fbf]
-冗長化されていない。
-[[冗長オプション>#f9341dd6]]などを用いる。
***[[ディスク>Azureのディスク ストレージ]] [#g4e1417d]
-基本、[[管理ディスク>Azureのディスク ストレージ#v086e7a2...
-システム・ドライブ~
Cドラのシステム・ドライブ
--[[管理ディスク>Azureのディスク ストレージ#v086e7a2]]のP...
--ローカル・ディスクと比べ若干遅い。
-データ・ドライブ
--ローカル・ディスク~
Dドラのローカル・ディスクは、
---ローカル SSDなので高速にアクセス可能。
---ページング・ファイルなどでも利用される。
---ただし、障害発生時、データは削除される。
--データ・ディスク~
Eドラ以降のデータ・ディスクは、
---ライト・キャッシュを消して使用する。
---[[管理ディスク>Azureのディスク ストレージ#v086e7a2]]の...
---DBのデータ・ファイル、トランザクション・ログ・ファイル...
-共有ディスク~
クラスタ化ではS2D(=ソフトウェアベースの共有ディスク)を...
***NICとIPアドレス [#oc571d8d]
-NIC
--通常、1枚挿し+[[NSG>#t55ac311]]。2枚挿しも可能だが、~
[[VPFでのエミュレーション>Azureの仮想ネットワーク#ud86d24...
--使用不可([[ネットワークの仕様上の問題>Azureの仮想ネッ...
---[[NLB]]
---[[MSCS/WSFC]]
-IPアドレス
--パブリックIPアドレスは別のリソース
--[[プライベートIPアドレスは既定でDHCPで割り当てられる。>...
***Guest VM Agent [#a1d3e45f]
ポータルからの
-インストール
-コマンド実行
などを行うことが出来る。
***その他 [#t55ac311]
-[[NSG>Network Security Group (NSG)]]
-[[GW / LB的なモノ。>AzureのGW / LB的なモノ。]]
-診断ログ~
ストレージ → Azure Monitor、Log Analytics
**課金 [#f5d72db5]
|状態|仮想マシン|ディスク|ライセンス|h
|開始中・実行中|>|>|CENTER:課金される|
|停止済み(Stopped)|>|CENTER:課金される|課金されない|
|割当解除済み、削除済み(Deallocated)|課金されない|課金...
***仮想マシン費用 [#yf9e9b52]
-仮想マシンのノード割り当てが解除されない限り、課金が継続...
--シャットダウンでは課金される。
--シャットダウンはOSからではなく~
必ずポータルサイトから行い、割り当て解除する。
-EA 契約のコミットメント額資金(MC : Monetary Commit)か...
***[[ディスク費用>Azureのディスク ストレージ#ffcb1028]] [...
***ライセンス費用 [#x999b94b]
-BYOL : Bring Your Own License
--ライセンス持ち込み
--Azure 側では課金されない
-PAYG : Pay As You Go
--マーケットプレイスのイメージ
--時間課金、月課金(日割りなし)などがある。
--2タイプ
---Azure 用の、SKU が存在するマイクロソフト製品~
・EA契約のMCから減算される([[仮想マシン費用と同じ>#yf9e9...
---Azure 用の、SKU が存在しないマイクロソフト製品、3rd pa...
・EA契約のMCから減算されず、~
EA契約の超過料金として扱われる。~
・VLのディスカウントの対象にならない。~
・四半期ごとの請求書一括請求になる。
---
--必ずマーケットプレイスの Web ページから確認
---Microsoft Azure Marketplace~
https://azuremarketplace.microsoft.com/ja-jp/marketplace/
**IPアドレス [#t1ce7c44]
***[[DHCPとDNS>Azureのアウトバウンド設計#a53e987e]] [#dd3...
***IP固定 [#t9a83dfe]
-ポータルからDHCP機能を使用して固定する。
-[[Azureで把握する必要があるのでOS上からIPアドレスを固定...
-このシーンは、比較的少ない([[インバウンドは、基本的に、...
**日本語化 [#rb4d4b9c]
***OSの日本語化 [#ue46253f]
-[[日本語化作業>https://dotnetdevelopmentinfrastructure.o...
-極力、英語版のまま利用することを推奨
***ミドルの日本語化 [#l33e9655]
-[[BYOL>#x999b94b]]
--[[OSの日本語化>#ue46253f]]
--日本語メディアを持ち込んでインストール
-[[PAYG>#x999b94b]]~
かなり厄介
--[[OSの日本語化>#ue46253f]]
--アンストールしてプロダクトキー入手
--日本語メディアを持ち込んでインストール
**ダウンタイム最小化 [#b0214fae]
***ハードウェア障害 [#ef7a5327]
-突発的な故障~
[[サービス・ヒーリング>#m3fbd284]]
-予測に基づく保守~
[[サービス・ヒーリング>#m3fbd284]](10分前通知)
***メンテナンス [#y1bb1953]
-VMのメンテナンス~
ユーザが実施する。
-ホストのメンテナンス
--ゲストへの影響なし~
通知なく実施
--ゲストへの影響あり
---30秒以内で完了 → 15分前通知(PHU : Preserving Host Upd...
---30秒異常必要 → 30日前に通知(一定期間内に手動再起動)
***サービス・ヒーリング [#m3fbd284]
仮想マシンが故障した場合でも、[[前述の構成>#oe1c6c9d]]か...
[[データ・ドライブ > ローカル・ディスク>#g4e1417d]]以外を...
-15秒単位の死活監視
-10分応答がない場合、自動リカバリ(別ノードへ移動)される。
**冗長オプション [#f9341dd6]
仮想化レイヤーより下の構成
|#|構成|要素|h
|1|シングルVM|サービスの復旧&br; (Service Healing)|
|2|クラスタ構成|可用性セット&br;・VM Scale Sets&br;・ロー...
|3|マルチAZ構成&br;(Availability Zone)|可用性ゾーン&br;...
|4|マルチリージョン構成|・ペアリージョン&br;・Traffic Man...
※ 可用性セットと可用性ゾーンは「AND」ではなく「OR」。
***クラスタ構成 [#d289b030]
-可用性セット(AS)
--[障害ドメイン]や[更新ドメイン]を分ける事により、可用性...
---障害ドメイン:共通の電源やネットワーク機器などを共有す...
---更新ドメイン:Azureのメンテナンスリブートの際に影響を...
--1つのラック障害で2台の仮想マシンが同時に停止すること...
---故に、サーバー・ファームを構成するとき、複数ラックに渡...
---可用性セット自体にクラスタリング・負荷分散データ複製な...
-ロード・バランサ
--仮想マシン間で着信トラフィックを分散
--詳しくは、[[Azure Load Balancer>AzureのGW / LB的なモノ...
***マルチAZ構成 [#s5c52819]
-可用性ゾーン(AZ)
--可用性ゾーンを分ける事により、可用性を高める。
---リージョン内の各種ハードウェアが分離されたゾーン
---リージョン内に、3つ以上のに可用性ゾーンが存在する。
--1つのDC障害でDC中の仮想マシンが同時に停止することを回...
---サーバー・ファームを構成するとき、複数DC群に渡って冗長...
---可用性ゾーン自体にクラスタリング・負荷分散データ複製な...
-ロード・バランサ
--仮想マシン間で着信トラフィックを分散
--詳しくは、[[Azure Load Balancer>AzureのGW / LB的なモノ...
***マルチリージョン構成 [#d61e1513]
-ペアリージョン~
リージョン ペアの間で事業継続とディザスタ・リカバリ (BCDR...
--複数リージョンにまたがって構成することで地理的に冗長化
--災害でリージョン中の仮想マシンが同時に停止することを回...
-ロード・バランサ~
DNSベースの機能を利用した[[Traffic Manager>Azure Traffic ...
***注:AZをミニリージョンとして使用しない。 [#j9d74a5a]
-AZはミニリージョンとしては機能しないため。
-AZは、ティアに渡って使用する。
>※ ティア:水平方向のサーバー・ファーム(Web、AP、DBと言...
-理由
--AWSではサブネットは特定のAZに固定される。~
故に、AZをミニリージョンとして使用できる。
---サブネット中に垂直・水平方向のサーバー・ファームを構成...
---このように構成すると、サブネット単位での設計が可能にな...
--Azureでは、サブネットは特定のAZに固定されない。~
故に、AZをミニリージョンとして使用できない。
---水平方向のサーバー・ファームを構成し、AZで冗長化してい...
---このように構成すると、AzureのAZの特性からPaaS、SaaSと...
***注:Azure Backupする場合、AZにピン留めしない。 [#w9f52...
-[[Azure Load Balancer>AzureのGW / LB的なモノ。#o57521ef]...
-シングル構成DBのバッグアップ・リストア運用のシナリオ等で、
--AZにピン留めされたサーバは、LBを使用しないでアクセスで...
--Azure Backupでリストアする場合、ピン留めゾーンに復元し...
**セキュア化とロックダウン [#l5f9cc7c]
***作業内容の安全性の確認 [#pf76b919]
-入力制御(インバウンド)
--[[仮想ネットワークの入力制御>Azureの仮想ネットワーク#b6...
--経路開放
---AzureポータルやCLI、~
[[Guest VM Agent>#a1d3e45f]]~
経路開放は、不要。
---RDP / SSH(OS内)~
・[[オンプレ延伸>FgCF (Financial-grade Cloud Fundamentals...
・[[Azure Bastion]]からのアクセス。~
・踏み台(Jumpbox)は危険なので、~
JIT VM Accessと言う機能もある。
---インバウンド~
・[[AzureのGW / LB的なモノ。]]~
・その他、OS内部のFirewallなど。
--認証・認可~
VMにAzAD認証でログインする機能。
---[[Azure Active Directory]]認証を使用し、[[RBAC>Role Ba...
---前提OSのイメージを使用しポータルから当該機能を有効化し...
---基本的に、サーバーに対してではなく、踏み台(Jumpbox)...
---参考:Azure Active Directory (プレビュー) を使用して~
Azure 内の Windows 仮想マシンにサインインする | Microsoft...
https://docs.microsoft.com/ja-jp/azure/active-directory/d...
-ハードニング(クライアント or サーバ)
--アンチ・マルウェア(OS)
---不正なディスク・イメージを利用しない
---アンチ・マルウェア・ソフトをインストールする~
・Linux OS :ClamAV~
・Window OS : Windows Antimalware(無償)~
---仮想マシンの脅威検出や振る舞い監視を行う~
[[Azure Security Center]](ASC)の VM 監視機能(VM Insigh...
---更新プログラムが正しく管理されている~
・更新プログラムの自動展開スケジュールの構成~
・上記のVM 監視機能(VM Insights)の更新管理機能(Update ...
--アンチ・マルウェア(ミドル・アプリ)
---ミドルウェア、アプリの挙動が監視監視方法について検討す...
・ミドルウェア:JP1、Datadog~
・アプリ:[[Application Insights]]
---必要に応じてファイルやレジストリの変更検知を行う
---適切なアプリのみが配置されるようになっている([[DevOps...
---必要に応じて許可されたアプリのみを実行するようにサーバ...
[[Azure Security Center]](ASC)の Adaptive Application C...
--無効化機能
---非管理ディスクを使わない
---確認が取れていない(=許可されていない)拡張機能を使わ...
--高額請求抑止
---巨大な VM サイズを利用しない。
---自動的な起動 / シャットダウンが正しく構成する。
---スケールアウト / スケールインのルールを正しく構成する...
---ライセンス費用~
・追加ライセンス費用が必要な VM イメージを利用しない~
・BYOL が正しく構成されている(AHUBの設定など)
--透過的暗号化
---ディスクの暗号化~
・[[ストレージは低レベルでは暗号化されている>Azureのスト...
・必要に応じADE(Advanced Data Encryption)により管理ディ...
・Windows OS では BitLocker、Linux では DM-crypt。~
・主に内部犯行防止のタメだが、操作権限によっては無意味。~
※ また、バックアップ・リストアが複雑化する。
---メモリの暗号化~
Confidential Computing
-出力制御(アウトバウンド)
--[[仮想ネットワークの出力制御>Azureの仮想ネットワーク#b6...
--経路制限
---アウトバウンド~
・[[Azureのプロキシ的なモノ。]]~
・[[SNATポートの枯渇問題>Azureの仮想ネットワーク#lc0ca5af]]
---各種の拡張機能のVM エージェントが利用する経路~
・経路開放が不要(基盤経路)~
・ブート診断~
・[[Azure Backup]]エージェント~
・経路開放が必要(一般経路)~
・Azure Diagnostics(WAD/LAD)~
・VMインサイト(MMA/[[Log Analytics]] Agent)~
・[[Application Insights]]
***変更・保守、作業の一覧化 [#b902c914]
-VMの主なメンテナンス作業と、必要な権限付与~
--多くの作業は「Virtual Maschine Contributor」ロールが必...
--ネットワーク設定が必要な作業は、高権限である、~
「Network Contributor」ロールが必要になるので要注意。~
--上記に合致しない作業も幾らか存在する。
--また、カスタム・ロール化した方が良い作業もある。
---NIC追加、NSG設定の変更
---仮想マシンの再起動、電源on/off、電源on/offスケジュール...
*IaC化 [#n4a5bc5a]
**[[Azure PowerShell]] [#u142de79]
下記を参照。
**[[Azure CLI]] [#s367b9db]
>az vm create ^
--resource-group [既存のRG名] ^
--name [VM名] ^
--location [location] ^
--size [size] ^
--image [image名] ^
--admin-user [users名] ^
--admin-password [password] ^
--vnet-name [既存のVNET名] ^
--subnet [既存のSubnet名]
-sizeの確認方法
az vm list-sizes --location [location] --output table
-image名の確認方法
az vm image list --output table
-例
--[[Azure上に素早く環境を構築する>Azure上に素早く環境を構...
--[[Azure Bastionの踏み台VM>Azure Bastion#sf6b38d2]]
**参考 [#j9b7cf41]
***[[Azure上に素早く環境を構築する>#e07f5f7f]] [#vdd1c705]
***[[SIOS Tech. Lab>#x0276ace]] [#sdc22499]
***[[Microsoft Docs > Azure Virtual Machines>#n6eebd91]] ...
*参考 [#xfe7f6da]
**[[Azureのストレージ]] [#fd477e94]
**Azure環境(仮想マシン) [#n9e8d092]
***[[Azureの評価環境を入手する]] [#r8f8b2de]
***[[AzureのPoC環境を契約する]] [#uaa2dd96]
***[[Azure上に素早く環境を構築する]] [#e07f5f7f]
**SIOS Tech. Lab [#x0276ace]
-【初心者】Azure CLI で仮想マシン(Ubuntu)を作成する
--第1回 -リソースグループについて-~
https://tech-lab.sios.jp/archives/2998
--第2回 -仮想ネットワークとサブネットについて-~
https://tech-lab.sios.jp/archives/3026
--第3回 -ネットワークセキュリティグループについて-~
https://tech-lab.sios.jp/archives/3040
--第4回 -ストレージアカウントについて-~
https://tech-lab.sios.jp/archives/3046
--最終回 -VMについて-~
https://tech-lab.sios.jp/archives/3087
**nakama [#y26d97b6]
※ [[IaaS の構成方法>Azureの仮想ネットワーク#zd56347f]]中...
**Microsoft Docs [#ibdfdaf5]
***Azure Virtual Machines [#n6eebd91]
-クイック スタート Windows
--Azure Portal で Windows VM を作成する~
https://docs.microsoft.com/ja-jp/azure/virtual-machines/w...
--Azure CLI を使用して Windows VM を作成する~
https://docs.microsoft.com/ja-jp/azure/virtual-machines/w...
--Azure PowerShell を使用して Windows VM を作成する~
https://docs.microsoft.com/ja-jp/azure/virtual-machines/w...
--ARMテンプレートは、[[コチラ>Azure Resource Manager テン...
-クイック スタート Linux
--Azure portal で Linux VM を作成する~
https://docs.microsoft.com/ja-jp/azure/virtual-machines/l...
--Azure CLI を使用して Linux VM を作成する~
https://docs.microsoft.com/ja-jp/azure/virtual-machines/l...
--Azure PowerShell を使用して Linux VM を作成する~
https://docs.microsoft.com/ja-jp/azure/virtual-machines/l...
--ARMテンプレートは、[[コチラ>Azure Resource Manager テン...
----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]]
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
