20141110 tf azure_iaas
DESCRIPTION
Tech Fieldersセミナー Azure IaaS 編のコンテンツです。TRANSCRIPT
また進化した Azure IaaS~設計/構築/運用を正しく理解するには~
2
時間 内容
13:30 – 13:40 ご挨拶 & Tech Fielders 紹介
13:40 – 16:45
『また進化した Azure IaaS』
・デモンストレーション・仮想マシン、仮想ネットワーク サービス解説・最新情報
※ 途中休憩あり
休憩
17:00 – 17:30 参加者による情報発信 ライトニングトーク
17:30 – 19:00 Q&A も兼ねた (その場) 懇親会
また進化した Azure IaaS~設計/構築/運用を正しく理解するには~
Microsoft Azure仮想マシンのはじまり
5
アプリ開発 システム構成 テスト展開 本番展開
6
クラウドサービスという枠組みで
管理単位を広く
ファイアウォール(無償):利用するポートのみ開放(明示しないポートはすべて遮断)ロードバランサ(無償):インターネットエンドポイントによる負荷分散自動復旧機能(無償):HW や OS 障害時に自動復旧VIPスワップ(無償):本番環境(Production)とテスト環境(Staging)の動的切替
…
…コンピュート(Stateful?)
ウェブ(Stateless)
データベースストレージ(Stateful)
7
ご利用のポート番号を指定
マシンスペックと台数を指定
Visual Studio
8http://channel9.msdn.com/Series/Visual-Studio-2012-Premium-and-Ultimate-Overview-JPN/Cloud-Load-Testing-JPN#time=0s
http://www.eclipse.org/downloads/
http://msdn.microsoft.com/ja-jp/library/hh690946.aspx
デプロイ
Apps
開発者
運用管理・監視
Azure
Microsoft Azure
Visual Studio Online
リポジトリ ビルド テスト
コーディング / デバッグ
11
VS から Web サイト作成
アプリケーションの直接展開
リモートデバッグ
ステージング/本番の切替※ スケールアップ、スケールアウト、スケールダウン、
オートスケールが自由自在
※ Traffic Manager 連携開始
Microsoft AzureIaaS の登場
13
“誰でも使える IT” を得意とする会社
マイクロソフトが作る先進的操作性
14
15
http://portal.azure.com/
16
http://azure.microsoft.com/en-us/downloads/?fb=ja-jp
インターネット
仮想 DMZ 仮想 自社 DC
AzureLB/FW
AzureILB
AzureVM
VPN
Microsoft AzureIaaS の基本
19
※ 知識は 3 か月で陳腐化※ クラウドは「トライ ファースト」
20
1. 仮想マシン 1台のシステムはこう作る
2. 仮想マシン 2台以上ならこう作る
3. VPN 接続したい場合はこう作る
(注意)Azure のルールの話ではなく“こう覚えると良い”という勉強法の話です。Azure について理解した上で、うまくご活用ください。
仮想マシン 1 台のシステムならこう作れる
22
23
24
保持 (課金継続)
25
タイムアウト:デフォルト4分
~30分まで指定可能に
パブリック
ポート
プライベート
ポート
26
仮想マシン 2 台以上ならこう作る
28
[社内仮想化基盤] [Microsoft Azure]
29
テンプレートの持ち込みも可能
30
31
http://azure.microsoft.com/ja-jp/pricing/details/virtual-machines/
32
※ 一歩踏み込んだ理解が必要
2
3
1
マルウェア対策
の埋め込み
構成管理の
自動化促進
仮想マシン内のエージェント展開が鍵
33
34
http://msdn.microsoft.com/en-us/library/dn217874.aspx
35
http://docs.octopusdeploy.com/display/OD/Getting+started
36
37
• OS の修正プログラムをインストールする頻度とスケジュールの指定
• インストールする修正プログラムの指定• 更新後の再起動処理の構成
http://blogs.msdn.com/b/windowsazurej/archive/2014/11/10/blog-automate-linux-vm-os-updates-using-ospatching-extension.aspx
38
VM Size
(Standard SKUs)
NICs (max
allowed per
VM)
Large (A3) and
A62
Extra Large (A4)
and A74
A9 2
D3 2
D4 4
D13 4
39
ストレージアカウント
1
41
東日本Azure ストレージ
Azure Hyper-V物理マシン
西日本Azure ストレージAzure
VM
AzureVM
AzureVM
AzureVM
VHDファイル
VHDファイル
VHDファイル
VHDファイル
ストレージアカウントによる処理
VHDファイル
VHDファイル
VHDファイル
VHDファイル
複製
Azure ストレージ サービス
42
※ レプリケーション設定は、特に重要
※ コストにも関係
• ウィザード任せにしない
• 意味を理解し、ストレージアカウントは自分で作成
BLOB ストレージ
クライアント(この場合、仮想マシンインスタンス)
からの書き込み要求があった場合、3 つの複製の
作成が完了して初めて「書き込み成功」が返され
ます。
つまり、『仮想マシン』のディスクは通常の
シンプルボリュームであっても、3本のディスクを
ミラーリングした場合と同等の堅牢性を持ちます。
ゲスト OS 上でミラーボリュームを構成すること
はあまり意味がありません。
43
44
セカンダリ地域への転送は、プライマリへの書き込みとは非同期に行われます
関東 関西
45
ストレージアカウントに
紐づくデータが確認できる
(デフォルトは vhds の下)
46
Creating and Uploading a Virtual Hard Disk that Contains the Windows Server Operating Systemhttp://www.windowsazure.com/en-us/documentation/articles/virtual-machines-create-upload-vhd-windows-server/?fb=ja-jp
※ 仮想マシンを作る場所に配置
プラットフォームイメージ
Windows LinuxOracle
イメージ管理
マイイメージ
Generalize 済み
VM作成
仮想マシンインスタンス
Blobストレージ
イメージ化
コピーVM DEPO
MicrosoftAzure
手元にあるVHD ファイル
クラウドサービス
2
49
クラウドサービス (コンテナ)
仮想マシンの配置を決定する際、
クラウドサービスを作成するか、既存のクラウド サービスを選択
仮想マシンName:Server1
仮想マシンName:Server2
仮想マシンName:Server3
Azure 仮想ネットワーク
Internet
• 仮想マシンはクラウドサービスでグルーピング可能
• クラウドサービスにはインターネット上から一意に識別可能なDNS名(Service Name)が付与される
ServiceName:hogehoge.cloudapp.net
• 仮想マシンにはホスト名が割り当てられる
• 仮想ネットワークを構成することで、ホスト名を使用した通信が可能
• オンプレミスとサイト間接続することで、企業ネットワークとの通信も可能
50
51
http://msdn.microsoft.com/ja-jp/library/windowsazure/jj156007.aspx
クラウドサービス hogehoge
VIP xxx.xxx.xxx.xxx
• 仮想マシン単位にポートを公開することができる
• 公開はローカルポートとパブリックポートのマッピング方式
• パブリックポートはクラウドサービス内で一意である必要がある※ 例えば Server1 が ローカルポート443をパブリックポート443で公開したら、他のサーバーはポート番号を変えて公開しなければならない
• 同じポート番号で公開するには、「負荷分散セット」を構成するか、異なるクラウドサービスに所属させる必要がある
443 443 443
443 444 445
5986
5986 5987 5988
5986 5986
ServiceName:hogehoge.cloudapp.net
仮想マシンName:Server1
仮想マシンName:Server2
仮想マシンName:Server3
52
仮想マシンServer1
仮想マシンServer2
仮想マシンServer3
Azure仮想ネットワークVPN GW
DNS名:hogehoge.cloudservice.comVIP xxx.xxx.xxx.xxx
DIP DIP DIP
• VIP に負荷分散セットを構成することで、仮想マシンのロードバランスが可能
• 負荷分散セットはポート単位(例 HTTPS)に定義できる
• 同じ負荷分散セットに所属できるのは同じクラウドサービス内の仮想マシン
• 同じクラウドサービス内にある仮想マシンだからといって、強制的に負荷分散セットのメンバーになるわけではない(手動で構成する必要がある)
負荷分散セット HTTPS
• DIPをロードバランシングするには Internal Load Balancerを構成する(PowerShellで行う)
負荷分散セット FTP
Internal Load Balancer
53
クラウドサービス
54
仮想マシン A 仮想マシン B
DNS 名の提供:xxx.cloudapp.net+
パブリック仮想 IP (VIP)
プライベートポート
パブリックポート
RDP(3389)
RDP(3389)
HTTPS(443)
IMAP(143)
IIS 1 IIS 2
HTTP(80)
HTTP(80)
(ポイント)
各仮想マシンではなく
クラウドサービス単位で
処理が行われる
(さらに)
複数のクラウドサービスを
またがる負荷分散は
Traffic Manager を活用
55
•
•
※ 対象はクラウドサービス
•最上位層 (外部 DNS 名にマッピングされているTraffic Manager プロファイル) では、パフォーマンスの負荷分散方法を指定したプロファイルを構成できます。
•中間層では、Traffic Manager プロファイルのセットは異なるデータセンターを示し、ラウンドロビン負荷分散方法を使用します。
•最下層では、ユーザーのトラフィックが要求する各データセンター サービス内のクラウド サービス エンドポイントのセットを示します。
56
57
配置制御と可用性
クラスタ 1
FC
クラスタ 2
FC
クラスタ 3
FC
たとえば、2台の仮想マシンを同一のアフィニティ
グループ”AG1”に配置します。
この場合、2台は同一クラスタ内に配置されるように、
FC が配置の調整を行います。
ネットワーク的に近く配置され、通信が高速に行えるよう
になります。
しかし、この場合「クラスタ 2」に障害が
発生すると2台が共倒れになるのでは?
・・・
・・・
・・・
・・・
・・・
・・・
アフィニティ
グループ “AG1”
59
60
61
1
2 アフィニティグループは
最初に作る
||
DC 指定+
近接配置
3
44
クラウドサービス
データセンター (例:東日本 DC) データセンター (例:北米 DC)
障害ドメイン 障害ドメイン障害ドメイン
ラック
FC
・・・
・・・
ルータ
ラック
FC
・・・
・・・
ルータ
ラック
FC
・・・
・・・
ルータ
可用性セット
“AS1” たとえば、2台の仮想マシンを同一の可用性セット “AS1”
でくくります。
この場合、2台は異なる障害ドメインに配置されるように、
FCが調整を行います。
いずれかのラック内で障害が発生しても、可用性セット内
の別インスタンスは生き残ることができます。
クラスター内の各ラックは、電源やネットワーク装置が
冗長化され、これら装置の障害が他のラックに影響を
及ぼさないように設計されています。
このくくりを「障害ドメイン (fault domain)」と呼びます。
62
※ 仮想マシン作成後でも変更/追加可能
応用編
64
65
SSD based
milliseconds latencies
up to 32 disks
32TB 50,000 IOPS
66
Azure Files (Preview) で共有フォルダ ~
• 仮想マシン,クラウドサービスで共有可能
• VM 起動後に net use で接続
• 最大
• 5 TB / 共有
• 1 TB / ファイル
• 1,000 IOPS
AzureFiles
RESTAPI
Azure VM
※ 共有フォルダのための VM は不要に
Azure VM
SMB 2.1
67
68
69
70
71
http://azure.microsoft.com/ja-
jp/documentation/articles/store-new-relic-cloud-services-
dotnet-application-performance-management/
72
可用性セットに3 台の仮想マシンを
配置したところ
自動スケール設定
73
74
75
このプラットフォーム識別子は、たとえば、ソフトウェアのライセンスが適切に認証されているかを検出したり、任意の VM データをそのソースに関連付けて各メト
リックを正しいプラットフォームに設定したり、それらのメトリックを追跡して他のユーザーとの間で関連付けたりする場合などに役
立ちます。
76
アラート&
操作ログ
77
Docker on Linux
Docker Client and Docker Hosts
Docker Hub on Azure (Coming soon)
78
おさらい
80
“クラウドサービス“ という概念を
隠ぺいする形で仮想マシンを提供
仮想マシン作成のタイミングで、
同一名のクラウドサービスも作成
81
※ 不思議な名前のストレージアカウントを見かけたら、
自動作成された可能性が高い
VPN 接続したい場合はこう作る
自社内データセンター
ローカル サブネット
社内ユーザーのインターネット経由のアクセス
VPNデバイス
ポイント対サイトVPN
サイト間 VPN
Microsoft Azure
専用の仮想ネットワーク
<subnet 1> <subnet 2> <subnet 3>
DNS Server
GatewayStatic &DynamicRouting
83
Publicinternet
Microsoft
Azure
WAN
Publicinternet
Microsoft
Azure
84
85
Property Static Routing VPN gateway Dynamic Routing VPN gateway High Performance VPN gateway
Site-to-Site connectivity (S2S) Policy-based VPN configuration Route-based VPN configuration Route-based VPN configuration
Point-to-Site connectivity (P2S) Not supportedSupported (Can coexist with site-to-site
connectivity)
Supported (Can coexist with site-to-site
connectivity)
Authentication method Pre-shared key
•Pre-shared key for site-to-site
connectivity
•Certificates for point-to-site
connectivity
•Pre-shared key for site-to-site
connectivity
•Certificates for point-to-site
connectivity
Maximum Number of Site-to-Site (S2S)
connections1 10 30
Maximum Number of Point-to-Site (P2S)
connectionsNot supported 128 128
Active Routing Support (BGP) Not supported Not supported Not supported
Microsoft Azure グローバルサイト:http://msdn.microsoft.com/en-us/library/azure/jj156075.aspx
日本独自の情報:http://msdn.microsoft.com/ja-jp/windowsazure/dn132612.aspx
86
Microsoft Azure
専用の仮想ネットワーク
<subnet 1> <subnet 2> <subnet 3>
DNS Server
GatewayStatic &DynamicRouting
リージョン仮想ネットワークの登場
87
クラウドサービス
データセンター (例:東日本 DC)
仮想ネットワーク内に
最初に仮想マシンを作る際クラウドサービスを作成して
紐づけを行う
88
Windows Azure 上の仮想ネットワーク定義
サイト間 VPN 用Windows Azure へつなぐ社内ネットワークの定義
ポイント対サイト VPN 用
Windows Azure へつなぐクライアント用 IP プール
仮想マシン内に自動設定される DNS サーバーの定義
※
仮想マシン内での利用者によるIP の手動設定が許されていないため、仮想マシン作成時に DHCP で自動配布される DNS サーバーの IP アドレスをここで指定しておく。
※
AD 環境を構築する場合には強く意識
89
• Set-AzureStaticVNetIPクラウドサービスに対して実行
Get-AzureVM -ServiceNameStaticDemo -Name VM2 | Set-AzureStaticVNetIP -IPAddress192.168.4.7 | Update-AzureVM
※ Azure がコントロール
90
91
143314331433
1433
443443443
80/443
Web層
DB層
オンプレミス
VPN
内部 IP による負荷分散で自社内のような環境構築(仮想ネットワーク/クラウドサービス内)
(例)
92
日本 本社 米国 支社
VNet2米国西部
VNet1西日本 VNet2
東日本VNet1西日本
オンプレミス
インターネット
ハイブリッドな
ネットワーク設計Azure バックボーンで災害対策
93
North Europe
WestEurope
London Amsterdam
94
DNS 設定(とサービス選択)
96
サイト間 VPN設定
98
99
100
Azure 側でグローバルなIP アドレスを提供
クリック
自動
作成
101
http://msdn.microsoft.com/ja-jp/library/windowsazure/dn133801.aspx
102
Gateway SKU ExpressRoute
Throughput*
S2S
Throughput*
Max
Tunnels
Default 500 Mbps 100 Mbps 10
Performance 1000 Mbps 200 Mbps 30
* Subject to traffic conditions and application behavior 103
104
ポイント対サイトVPN 設定
106
この状態からスタート
管理ポータル ウィザードを使用したポイント対サイト VPN の構成
http://msdn.microsoft.com/ja-
jp/library/windowsazure/dn133792.aspx
※ このページの通りに証明書の作成と登録をするだけ(違いは証明書につける名前程度)
107
クライアントにインストールするVPN 用パッケージがダウンロード可能に
これで準備完了
108
おさらいと応用
S2S VPN トンネル
仮想ネットワークゲートウェイ
110
111
Active Directoryドメイン コントローラ
(Medium)
SharePointフロントエンド
(Large)
SharePointサーチサービス
(Large)
SharePointアプリケーション
(Large)
SQL Server(A6)
オンプレミスデータセンター
Active Directoryドメイン コントローラ
ユーザWindows Azure
ゲートウェイVPNルータ
IPSec VPN
仮想ネットワークLAN
ロードバランサ
https:/xxx.cloudapp.net (SSL)
実運用ではカスタムドメインを取得してDNSのCNAMEでマッピング
209.xxx.0.0/16 HTTPS Proxy
Port 443への ACL 登録(PowerShell)
112
Cloud Service
Middle (Logic) Tier
Front End (App) Tier
Virtual
Network 1
Virtual
Network 2
Subnet ACL 10.0.0.4
Subnet ACL 10.0.0.5
Internet
Backend (Database) TierVirtual
Network 3
On-Premises Datacenter
VPN ACL 10.0.0.6
113
Grouping of Network traffic rules as security group
Security groups associated with Virtual machines or virtual subnets
Controlled access between machines in subnets
Controlled access to and from Internet
Network traffic rules updated independent of Virtual machines
Internet
Virtual Network
Microsoft Azure
114
Hybrid CloudAzure Site Recovery (ASR)Azure Backup Services
116
※ OS の標準機能
117
有事の際以外は、基本的な運用に変化なし
いざという時クラウドがサポート
118
東京データセンター
DBサーバー
APサーバー
Microsoft Azure
大阪 DR サイト
APサーバーDBサーバー
APサーバー(仮想)
DBサーバー(仮想)
AlwaysOnによるデータ同期
実現パターンアクティブスタンバイ環境を
クラウド内に構築
VPN接続
データ同期
実現パターンアクティブスタンバイ環境を自社DRサイト内に構築
APサーバー(仮想)
DBサーバー(仮想)
データ同期
119
※ OS の標準機能※ 小規模でも
できる災害対策
東京オフィス 大阪オフィス
120
定期的日々
テスト用の
N/W に接続
Windows ServerHyper-V
121
122
ーーー
・最適なコストで高度な災害対策システムを構築可能
・2 つのシナリオを利用可能
123
Microsoft Azure Site Recovery
制御のみの利用
Hyper-V レプリカ
本番サイト
Windows Server
災対サイト
Windows Server
Microsoft Azure Site Recovery
災対サイトとして利用
メイン
サイト Windows Server
メインサイト
災対サイト
124
125
126
1
2
Partner
Integration
SAN Replication
Take advantage of SAN Replication capabilities provided by enterprise storage partners, across both FC & iSCSI storageSupports asynchronous replication for flexibility or synchronous replication for the lowest RPO/RTO
Integration with SAN via SMI-S – VMM will discover and enumerate existing storage.
VMM provides comprehensive SAN management capabilities within console
On-premises to On-premises protection
Microsoft Azure Site Recovery
Communication Channel
SAN Replication
Primary Site
Recovery Site
Windows Server
Windows Server
127
EMC With PreviewVMAX
VNX & VNX/e
NetApp With Preview FAS (8.2 C-MODE)
HP With Preview 3PAR
HDS In Development VSP
Fujitsu In Development Eternus
Dell In Development Compellent
Huawei In Development OceanStor
IBM In Development XIV
128
(Microsoft Azure そっくりな)Azure Pack で作る IaaS
仮想マシン サービス
利用者画面
130
[応用] 仮想マシン ロール
サービス込みの
仮想マシンイメージを展開
131
仮想ネットワーク サービス
物理非依存のオーバーレイネットワークでマルチテナントなサービスを実現
利用者が自由にネットワークを作成可能
132
ネットワークサービスと VPN 接続
VPN
BGP による
マルチサイトVPN も
直接ルーティング
133
System Center ベースの自社内クラウド基盤
仮想マシンのテンプレートに災害対策を事前設定するだけ
Azure への複製は自動化
利用者画面
※ ベースが同じ
IT 担当者
134
既存の環境をどうする?
136
Hyper-V & System Center にしたいと思っていただけたなら!!
Microsoft Virtual Machine Converter 3.0http://www.microsoft.com/en-us/download/details.aspx?id=42497
② Azure Site Recovery Site to Azure
① Azure Site Recovery Site to Site
③ Azure Site Recovery + InMage(インマージ)
Azure 復旧サービス
137
• システム要件• ゲスト OS
Windows Server 2003 以降 (x86/x64)
RHEL 5/6, CentOS 5/6 (x86/x64)
• VMware vCenter 5.0 以降/ ESX(i) 4.0 以降
ポイント 異種混在環境の保護に対応
VMware ベースのプライベートクラウドの V2V保護物理マシン (Windowsおよび Linux) の P2V 保護アプリケーションの P2P 保護
138
[MA 管理ポータル]
139
更に Hybrid
Automation investments over time
• Automate the creation, deployment, monitoring, and maintenance of resources
• Rich workflow consistency through PowerShell Workflow based runbooks
• One automation solution for Azure, on-premises and Service Providers
• Cloud first investment enables hardened scenarios and capabilities on-premises
141
One Automation Solution for Azure and On PremisesUser Interface
• Web portal
• Access Permissions (RBAC)
Authoring
• Graphical Authoring
• PowerShell Authoring
• Visualize end-to-end orchestration
• Gallery
• Service Administrator can create runbooks to automate all aspects of cloud infrastructure, plan delivery, and
maintenance activities
Runbook Engine
• Highly available
• PowerShell Workflow based engine
Integration
• PowerShell Module based integration
• Use existing PowerShell modules for Microsoft and 3rd party systems
• Create PowerShell modules for additional resources/systems
Tools
• Tools to convert SCO Integration Packs and runbooks
142
RemoteApp Service
Published apps
Microsoft account
Identity options
RDP
Elastic runtime
…
DirSync/Federation (optional)
Persistent user data(50GB per user)
Custom template image or prebuilt with Office
On-premises network
Windows Server Active Directory
Azure Active Directory
Authentication
User
143
RemoteApp Service
Identity options
Authentication
RDP
Domain Joined
On-premises network
Subject to IT policy via GP, System Center, or other enterprise management tools
DirSync
User
Persistent user data(50GB per user)
Elastic runtime
…
Azure VPN
Custom template imageMaintained via Azure Portal
Corporate Apps
Corporate apps
Azure Active Directory
144
145
まとめ
147
© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment
on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.