decode2016振り返り azure...

de:code 2016 振り返りAzure IaaSなどインフラ系 8セッションの

ポイントについて語ります！

Copyright 2016 ITdesign Corporation , All Rights Reserved

1

アイティデザイン株式会社

代表取締役社長知北直宏

‘16/06/23@ de:code2016 振り返り勉強会

はじめにde:code 2016で受講した次のインフラ系の8つのセッションについて、概要や、特に心に刺さったポイントをご紹介します。

1. INF-001 詳説 Azure IaaS ～私はインフラが好きだ～

2. INF-002 Azure IaaS 最新動向

3. INF-003 Azure でのセキュアネットワーキング

4. INF-006 サーバー 1 台、1 ファイルから始める、Azure を活用したバックアップ/DR

5. INF-008 Azure Active Directory 最新動向

6. INF-011 驚愕! Azure リソースマネージャを利用した Infrastructure as Code 実践

7. INF-027 セキュリティマニアックス -サイバー攻撃の手口と防御手法

8. ARC-005 あなたもハマるかもしれない "Azure あるある"

次へ


2

自己紹介知北直宏（ちきたなおひろ）Twitter: @wanto1101

アイティデザイン株式会社代表取締役者社長

福岡で、ITPro、SIerとして、Active Directory、Hyper-V など、マイクロソフトのサーバー製品の提案・構築・移行・サポートなど担当。大手、地場インテグレーターさんの後方支援など。

Microsoft MVP (Cloud and Datacenter Management)

マイクロソフトのホワイトペーパー執筆、イベントスピーカー

コラム執筆「Windows Server 活用のススメ」http://www.bit-drive.ne.jp/wm2003/index.html?mk_type=18

書籍執筆「標準テキストWindows Server 2012 R2

構築・運用・管理パーフェクトガイド」「標準テキストWindows Server 2008 R2構築・運用・管理パーフェクトガイド」その他

次へ


3

2016 年3月に第4版発売!!

INF-001

詳説 Azure IaaS ～私はインフラが好きだ～

次へ


4

日本マイクロソフト株式会社パートナーセールス統括本部パートナーテクノロジーストラテジスト

佐々木邦暢さん

「App Services や SQL Database など、マネージドサービスの使いこなしが Azure 活用のコツ、とよく言われます。だが、ちょっと待ってほしい。私はサーバーを作りたい。ストレージを工夫したいしネットワークにこだわりたい。そしてそれらの「中身」が知りたい。そう、私はインフラが好きだ! そんなあなたはぜひ本セッションへ。データセンターの物理的配置、仮想マシンの内部構造、ロードバランサーの動作原理…雲の向こうで蠢く秘密を解き明かしましょう。」

セッション動画

https://channel9.msdn.com/Events/de-code/2016/INF-001

セッション資料

https://docs.com/decode2016/3392/inf-001-azure-iaas

1



次へ


5

知北の心に刺さったポイント、感じたポイント

1. Azure仮想マシンの物理的配置（データセンターのクラスターとか）から、制限事項などを考える

2. Azure仮想マシンのコンポーネントの内部構造の説明とかいろいろ。楽しい3. プレミアムストレージの使用を前提として計画したほうがいい4. セッション資料の最後にFAQいろいろ5. 仮想マシンの一時ディスクのドライブレターは、最後のデータディスクの次になる

INF-001

詳説 Azure IaaS ～私はインフラが好きだ～1

INF-002

Azure IaaS 最新動向

次へ


6

日本マイクロソフト株式会社クラウド&ソリューションビジネス統括本部 Azure技術部クラウドソリューションアーキテクト

池田祐一さん

「本セッションでは、数ある Azure サービスの中でも引き合いの多いAzure IaaS の最新動向についてわかりやすく解説します。これから主流となっていく Azure IaaS V2 の利点、VM Scale Set など、ここ最近強化された IaaS 周りの新しいテクノロジや、今後のロードマップについてご紹介します。」





2



次へ


7


1. Azure 仮想マシンのサイズが増えてスペック差がわかりにくくなったが、ACU（Azure Compute Unit）で判断するといい（セッション資料参照）

2. プレミアムストレージは性能から考えると、決して高くはない3. プレミアムストレージはディスクが早すぎるため、仮想マシンのサイズによっては追いつかない

4. 仮想マシン V2 から、クラスタを超えてサイズ変更が可能になった5. 仮想マシンV2から、並列デプロイができるようになった6. 仮想マシンV2のVM Scale Setsで、高速なスケール処理が可能7. VM Scale Sets構築時は、「Jump Box」仮想マシンを配置して、

踏み台として管理するといい8. 1つのストレージアカウントの仮想マシンは20台までが目安9. 仮想マシンV1からV2へのマイグレーションツールがリリースされているが、

プレビュー版なので本番環境では使ってはならない

INF-002

Azure IaaS 最新動向2

INF-003

Azure でのセキュアネットワーキング

次へ


8

日本マイクロソフト株式会社クラウド&ソリューションビジネス統括本部第二Azure技術部クラウドソリューションアーキテクト

土居昭夫さん

「仮想ネットワークのセキュリティをどのように実現するか、仮想ネットワークでどこまでできるのか。ARM になってより柔軟に、より安全に (できるように) なった仮想ネットワークについて、従来との差、オンプレミスとの差を交えて解説します。」




https://docs.com/decode2016/2611/inf-003-azure

3


https://docs.com/decode2016/2611/inf-003-azure

次へ


9


1. NSGやUDRなど、Azure仮想ネットワークとそれにまつわる機能の解説。2. サブネット分割は、Excelなどで「箱」を書くとわかりやすい3. サブネット分割の例。24ビットサブネットにして、3オクテット目は連番にしない、管理サブネットは一番最後にする、とか。。。

4. 同じNSGをサブネットとNICに重複して割り当て不可5. NSGでは「タグ」を活用する。LBはIPが変わるためタグで指定されている。6. 既定のルールの無効化は推奨しない。

KMSにアクセスできなくなるなど不具合がでる。7. NSGの診断ログを採取可能8. RBACで特定ユーザーのみにNSGの編集を許可する、なども可能

INF-003

Azure でのセキュアネットワーキング3

INF-006サーバー 1 台、1 ファイルから始める、Azure を活用したバックアップ/DR

次へ


10

日本マイクロソフト株式会社クラウドプラットフォーム技術部テクノロジーソリューションズプロフェッショナル

公森義貴さん

「インターネットさえつながれば、どこからでも、誰でも、クラウドへのバックアップ、DR が可能な時代となりました。サーバー 1 台、1 ファイルから今すぐ開始できます。インフラとしては物理サーバー、VMware を含む仮想ホスト、OS としては RedHat を含む Linux、Windows などヘテロな環境に対応しています。本セッションでは、Azure を活用したバックアップ/DR について、実際の DR 対象システム要件を複数例示しながら徹底解説します。高コストな DR 環境に課題をお持ちの方も必見です。」




https://docs.com/decode2016/5681

4



次へ


11


1. Azure Backup（オンプレミス、Azure Iaas）、Azure Site Recovery、StorSimple、Azure Site Recoveryの解説。

2. 「Azureへの DR弾丸ツアー」！セッション中に、Azure Site Recoveryを使って、東京のvSphere（！）上の仮想マシンを、AzureブラジルリージョンへDR！

3. ・・・IPが変わるので、DNS書き換えなどで対応が必要。4. RPO（Recovery Point Objective）「何秒前のデータまで必要？」、

RTO（Recovery Time Objective）「何秒でシステム再開したい？」でDR要件を整理。短いほどコスト高になる。

5. AzureにはDRに関する機能が多数あり、RPOとRTOのサンプルにそって、適切な機能を紹介。

6. Azure StorageのGRSで、リージョン間複製。DR発動はマイクロソフトの判断

7. 今のところリージョン間DRは発動したことがない？あらかじめARMのテンプレートをエクスポートしておいて、DR発動時にペアのリージョンのVHDで仮想マシンをすぐに作成できるようにするといいかも。ペアのリージョンにあらかじめ仮想ネットワークやNICも作成しておいて。

INF-006サーバー 1 台、1 ファイルから始める、Azure を活用したバックアップ/DR

4

INF-008

Azure Active Directory 最新動向

次へ


12

日本マイクロソフト株式会社クラウド＆ソリューションビジネス統括本部テクノロジーソリューションズプロフェッショナル

須澤英彰さん

「継続的に機能拡張が進められている Azure Active Directory、提供開始から 3 年が経過した現在では、オンプレの Active Directory と併せ、今後の認証基盤を検討するうえで欠かせないものになりつつあります。本セッションでは、Azure Active Directory の機能拡張、その用途に応じた B2E/B2B/B2C などの提供形態のご紹介も含め、今後の Active

Directory がどうあるべきかを解説します。」




https://docs.com/decode2016/7292/inf-008-azure-active-directory-

active-directory

5


https://docs.com/decode2016/7292/inf-008-azure-active-directory-active-directory

次へ


13

INF-008

Azure Active Directory 最新動向5


1. DirSync、Azure AD Syncのサポートは2017/4/13まで2. Azure AD Connect v1.1 は自動アップグレード機能があるため要注意3. AD DSとAzure ADの同期トポロジーの基本はシングルフォレスト/テナント4. Windows Server 2016はPassport認証対応5. Windows Server 2016 のAD FSの機能拡張が多い6. Azure AD ドメインサービス（AAD DS）は、Azure ADにKerberos、LDAP、グループポリシーなどの機能を追加したもの？（従来のAD DSとはいろいろと異なる？）

7. Azure AD B2B で外部組織ユーザーの招待が可能8. Azure AD B2C で大規模、コンシュマー向けID管理が可能9. ATA で AD DS に対する不正なアクティビティや攻撃を検出可能10. Windows Server 2016 AD DS と MIM 2016 で特権管理が強化可能11.これからの Active Directory は「オンプレのAD」＋「クラウドのAD」

INF-011驚愕! Azure リソースマネージャを利用した Infrastructure as Code 実践

次へ


14

日本マイクロソフト株式会社クラウド＆ソリューションビジネス統括本部 Azure 技術部クラウドソリューションアーキテクト

勇大地さん

「企業戦士諸君、数十ページにわたる環境構築手順書作成や手順通りのインフラ構築作業はしんどいですよね。あげく、正しく設定されている保証は何もないなんて・・・今回、皆様にご紹介するのは「Azure リソースマネージャのテンプレート機能」です。そこのあなた! クラウド時代に乗り遅れないためにも Azure での Infrastructure as Code を学び、手順書地獄から抜け出しましょう!」




https://docs.com/decode2016/3828/inf-011-azure-infrastructure-as-

code

6


https://docs.com/decode2016/3828/inf-011-azure-infrastructure-as-code

次へ


15


1. ARMではJSON形式のテンプレートを使って仮想マシンデプロイなど可能。2. ARMテンプレートの基本、応用の解説。3. 「GitHub Quick Start Template」のRedHat用Simpleテンプレートを

書き換えてCentOS用にするデモ。。。4. 「GitHub Quick Start Template」で要望に近いテンプレートを作成し、なければポータルで作って、カスタマイズしてから、エクスポートする。

5. Test-AzureRmResourceGroupDeploymentでテンプレート構文の検証可能。

6. NSGでアクセス制御。7. RBACでARMテンプレートへのアクセス制御も可能？

INF-011驚愕! Azure リソースマネージャを利用した Infrastructure as Code 実践

6

INF-008

セキュリティマニアックス -サイバー攻撃の手口と防御手法-

次へ


16

日本マイクロソフト株式会社マイクロソフトテクノロジーセンターセキュリティアーキテクト

蔵本雄一さん

「近年のサイバー攻撃では、情報漏えいだけでなく、ユーザー ID やパスワードといった資格情報を狙った攻撃も目立ちます。攻撃者は高い権限の資格情報を狙って攻撃を行うことで、より重要度の高いシステムへの侵入を試みます。本セッションでは、攻撃者目線から見た際のインフラへのサイバー攻撃の流れを実際の画面を見ながら理解し、Windows

10 や ATA といったマイクロソフトの製品やテクノロジを利用した防御方法について解説します。」

7

次へ


17


1. 見てて楽しいデモ、聞いて楽しいトーク（登壇の勉強になった）。

2. 「怪しいメールは開かないでください」という社内への注意喚起は無理がある？

3. 攻撃者はActive Directoryドメインの制圧を狙う。48時間で制圧される？4. クライアント、サーバー、ドメインコントローラー、といった順番で攻撃5. 社内PCのローカル管理者パスワードが同じだと、かなり危険マイクロソフトのLAPSでローカル管理者パスワードのランダム化が可能

6. ドメインの管理は、専用アカウント、専用PCで。7. ATA、ATP、Azure RMS、OMS、Windows 10など、マイクロソフトの最新

のテクノロジー、製品でセキュリティアップ！8. OSやアプリケーションの脆弱性対策（パッチあて）はやはり重要9. あれこれ多段でセキュリティ対策していると、攻撃者があきらめる

INF-008

セキュリティマニアックス -サイバー攻撃の手口と防御手法-7

ARC-005

あなたもハマるかもしれない "Azure あるある"

次へ


18

日本マイクロソフト株式会社クラウド & ソリューションビジネス統括本部第二 Azure 技術部クラウドソリューションアーキテクト

吉松龍輝さん

「エンタープライズ企業のクラウド導入が加速する中で、マイクロソフトでは CSA (Cloud Solution Architect) と呼ばれるアーキテクトが Azure

を導入するお客様の技術支援を行っています。お客様が Azure を活用しようと考えたとき、さまざまな課題に直面します。「IaaS と PaaS をどう使い分ければ良いのか?」「権限はどのように管理するのか?」など、どのお客様でも直面する "Azure あるある" について、CSA の観点から傾向と対策を解説します。」


https://channel9.msdn.com/Events/de-code/2016/ARC-005



8

https://channel9.msdn.com/Events/de-code/2016/ARC-005


次へ


19


1. 実話の“Azure あるある”話。「コスト」、「人（ID）」、「アーキテクチャ」。

2. クラウド利用のコストを正しく試算するには、「パイロットテスト」がオススメ。

3. Azureの階層構造（契約アカウント、サブスクリプション、リソースグループ）単位で、コスト管理してみる。「タグ」の活用。事業部やシステムなど、コスト計算の単位でリソース分割する。

4. 組織内のIDは「一人につき一つ」が原則。5. 自社、他社（協力会社）、顧客、それぞれのID管理、連携手法。6. Azure AD B2Bで協力会社のメンバーを自社に招待。MFAを活用。7. Azure AD B2Cで顧客（コンシュマー）のID管理。8. Microsoftアカウントの組織内での利用は非推奨。組織アカウントで。9. AD DSとAzure ADの連携、使い分け。10.クラウドと従来の仮想化技術は似たアーキテクチャだが、構築時の進め方

は異なる。クラウドはネットワーク設計、サーバー設計、ミドルウェア設計を並行実施して、あとでマージ、など。

11.ビジネスの成長に合わせてスケール可能な設計にする。

ARC-005

あなたもハマるかもしれない "Azure あるある"8

まとめ＋α比較的すぐにセッション動画や資料が一般公開されますが、あの盛り上がり、雰囲気は参加しないとわかりません。

（もちろん私は来年も参加します）

de:code 会場併設のEXPO会場もいろいろ見ることができて、楽しいです。

そして、マイクロソフトの大型イベントでは、必ずサポートチームの方々による「よろず相談」コーナーがあります。普段のちょっとした疑問を投げかけるにはいい場かと。

次へ


20

decode2016振り返り azure...

Technology