Virtual Machines

トラステッド起動の仮想マシン

• 仮想マシンを立ち上げる際に、マルウェアからの攻撃を防いでくれる機能
• マルウェアが仕込まれたイメージの使用や、マルウェアが仕込まれたミドルウェアやソフトウェアのインストールなど、起動時に攻撃に晒される可能性がある
• 無料で使用可能
• 互換性のあるマシンイメージが限定されることには注意

Azure Spot

• AWSでいうスポットインスタンス
• 通常より安くVMを利用可能
• Azure側の状況に応じてインスタンスが削除される
• ↑削除された場合は手動で立ち上げ直すか、他のサービスと連携させて自動復旧させる必要あり
• ↑検証環境や中断しても問題ないような処理向け

一時ストレージ

• ”ページ”と”スワップファイル”を保存するためのもの
• メモリが足りなくなった場合に、一時的に処理を待避させたりできる

ストレージのホストでの暗号化

• 物理サーバー（ホスト）の機能を用いた暗号化
• 物理的にデータディスクが盗まれた場合や、物理サーバーを管理しているAzure職員が不正にアクセスした場合などに効果を発揮する
• OSレベルの暗号化はデフォルトで付随

高速ネットワーク

• 無料
• 物理サーバの仮想スイッチをスキップする（なんかよくわからんが処理が一部スキップされるっぽい）
• ネットワークインターフェース（NIC）から直接VMに通信が転送されるので高速になる

Microsoft Defender for Cloud

• Basicプラン（無料）
• ↑ベストプラクティスに沿った構成になっているか検証してくれる
• ↑沿っていない場合、コンソールに推奨事項が表示される

システム割り当てマネージドID

• リソースごとに割り当てられるID
• 他のリソースにアクセスする際に、Azureロールベースで認証が行われる
• ↑コード内に認証情報を保持する必要がなくなる
• ↑専用のライブラリを使用して、認証をリクエストし、以降は発行されたトークンを用いて通信を行う

ゲストOSの更新プログラム

• 「重大」または「セキュリティ」に分類されるOSパッチを自動で適用してくれる
• イメージの規定値：Linux系のOSの場合選択可。パッチ適用の際に「可用性優先の更新」が適用されない
• Azure調整済み：Windows系、Linux系のOSで選択可。「可用性優先の更新」に基づいてパッチが適用される
• VMが1つだけの場合はパッチ適用に伴う再起動により、一時的にサービスが停止する可能性あり

アラート

• Azure Monitorと連携して、各種条件に応じたアラートを発してくれる
• 有料
• 「推奨されるアラートルール」を選択することで、VMの基本的なヘルスチェックが可能
• ↑CPU使用率、利用可能なVM数、メモリの使用率など
• ↑1ヶ月あたりの料金を試算して表示してくれる。試作時は0.7$/月

ブート診断

• VM起動時のログなどを収集してくれる
• デバッグに役立つ
• 「Azureマネージドストレージ アカウント」を使用することで、ログを保存するストーレジ作成に必要なアカウントの作成時間が省略されるため、公式推奨
• 有料。保存されたログのサイズに応じて課金。試作時は0.05$/GB・月

OSのゲスト診断

• VMインスタンス内で稼働するOSのメトリクスを取得、監視できる
• 基本は物理サーバーのOS（ホストOS）のメトリクスしか取得、監視できない
• ↑インスタンス全体としてメトリクスを監視したい場合は基本機能だけで事足りる
• ↑インスタンス内で稼働しているアプリケーションごとにメトリクスを監視したい場合はOSのゲスト診断が必要