AZ104試験勉強
hashito背景
AZ104を受験するに際し、学習した内容をここに記載しておきます。
なお、著者はAZ900を取得済み。
範囲
公式のドキュメントを確認すると下記の部分が範囲らしい。
Azure アイデンティティおよびガバナンスの管理 (15-20%)
ストレージの作成と管理 (15-20%)
Azure 計算資源の展開と管理 (20-25%)
仮想ネットワークの構成と管理 (25-30%)
Azure 資源の監視とバックアップ (10-15%)
Azure ポリシー
ユーザに対して権限の制限をできる。
Azureポリシーはリソースグループ、サブスクリプション、管理グループに紐付ける事ができる
イニシマチブ
Azureポリシーをまとめたもの。
hashito役割ベースのアクセス制御
(RABC ロールベースアクセスコントロール)
役割を作成し、その役割に対してアクセス制御を行う方法。よくあるやつだね。
ロック
リソースに対して、ロック設定ができる。削除ロックと読み取り専用ロックもある。
Azureブループリント
プレビュー版機能で、ロール・ポリシー・ARMテンプレート、リソースグループなどをテンプレート化できる。ARMの展開方法もテンプレート化できるような感じだと思う。
サブスクリプションガバナンス:
リソースにタグ付けしよう(わかりやすいから)
アクセスコントロールをしっかり定義しよう。
サブスクリプション単位で制限をかけよう
タグ:
すべてのリソースに紐付けできる。
これで検索ができる。
ポリシーで必ずつけるように設定もできる。
Azureモニター
ログをワークスペースに集めてみせる機能。
アクティビティログ:リソースに何した?
メトリックス:Performanceをみる
アラート:どのリソースがどうなったか
Azureサービスヘルス
Azureが正常かどうか確認できます。
コンプライアンスの条件と要件
HIPAA、GDPR、ISO、NIST とかを持っている。
現在、どの基準に準拠しているかもわかる
トラストセンター
日本語だとセキュリティセンターって出るけど間違っています。
マイクロソフトの考えなどがわかる。
サービストラストポータル
コンプライアンスマネージャー
コンプライアンス的に設定しなければならない事がわかる。
(このあたりわかりにくいな…)
いろいろなアジュール
AzureGovernmentサービス
政府や地方自治体用のAzure
AzureChina
マイクロソフトではない会社が管理している。
中国用Azure
Azureジャーマニーサービス
個人情報管理がしっかりしている。
別会社が管理している
AzureAD
①ユーザからどこに行きたいか聞く
②トークンを発行する
サブスクリプション
アプリ単位で分けたりするときに分ける。
管理を分けることができる。
サブスクリプションの購入方法
購入方法:
フリーアカウント(無料)
Pay as(従量課金)
エンタープライズ(先払い)
クラウドソリューション
-> CSPプロバイダから購入する。
管理グループ
管理グループでまとめればルールを利用できる。
ポリシーやブループリントなども使える
管理グループは複数階層可能(下記例)
【管理グループA】→【管理グループB】→【サブスクリプション】→【リソースグループ】
Azure予約
1年固定してくれたら安くするよ
Azureコストマネジメント
どれくらいかかっているかわかります。
テクニカルサポート
ベーシック:サポートなし
デベロップ:メールのみ
スタンダード:電話可能
無料のサポート
MSDN Azureフォーラム
スタック・オーバーフロー
ツイッター
サーバフォルト
Knwlede+ナレッジセンター
SLA
サーバがどれくらい動くかを保証することだよ。
{使った時間 ー 使えなかった時間}で計算される
99.9%=8.76H
99.95%=4.38H
99.99%=52.56m
これ以上の場合はサービスクレジットで返されます。
現金ではない。
(ユーザ時間ーダウンタイム)/ユーザ時間*100
複合の場合は障害率が上がります。
例えばVM(99.95%)-DB(99.99)の構成ではSLAは99.94となりますので注意。
アプリケーションSLA:
回復性:RTP,RPO
高可用性:MTTR,MTBF
(なんだろうか…)
Azureライフサイクル
Azureの機能リリースの手順だよ
①プライベートプレビュー:特定のお客様のみ利用可能
②パブリックプレビュー:すべてのお客様が使える
③GA(一般公開):有料になる。
フォールトレランス
異常性があっても動き続ける。(強い意志)
Azureガバナンス
リソースグループ、ポリシー、ブループリント、管理グループ、コスト
この5つのことを言うよ
hashitoNSGについて
NSG(ネットワークセキュリティグループ)はリージョン内で再利用できます。
NSGの返信は自動でOKです。
Azure Active Directory Identity Protection
AzureADのセキュリティ
Azure infomation Protection
Officeなどを暗号化できるサービス?
ブループリント
テンプレートやポリシーなどをテンプレート化できる
無料で全て使えます。
サブスクリプション間の移動も可能
ダウンタイムもなく移動できる
ピアリングは有料
ストレージはどうリージョン
Devサポート
時間内のみ
Azure App Insights
アプリのパフォーマンス監視機能
hashitoAzureを管理するツール
Azure Portal→Webサイトから操作可能
コマンドラインツール→Azure PowerShell/AzureCLIの二種類が存在する
Azure PowerShell/AzureCLI
コマンドが少し異なるため注意
下記のように少し推測可能
New-AzVM(ps)
az vm create(cli)
Remove-AzVM(ps)
az vm delete(cli)
個人的に完全にCLIのほうが好みだが選択できないらしい。
過去にAzureRMモジュールと言うのがあったがサポートが終了しているらしい。
CLIはUbuntu基準で作られているがCloud Shellで実行する場合PowerShell環境かBash環境か選択できるっぽい
→というかMicrosoftの公式はほとんどBashコマンドなのでそっちが標準なのでしょう。
リソースグループ
全てのリソースが属する母的な存在。
リソースグループを削除すると子もすべて死ぬ。
よくあるのが開発環境/検証環境など、やりたい環境でリソースグループを作成する方法。または営業/運用など役割でリソースグループを分ける方法。
ロック
うっかり消しちゃってテヘペロでは済まない場合が多いため、ロックをかけておきましょう。
ロックには2種類あり、削除だけを禁止するものと設定を変更できなくさせる読み取り専用にするものがあります。
重要なリソースにはロックを
移動
リソースグループは論理的な存在の母であるためダウンタイム無しで別のリソースグループに移動できる。
しかし、意外に移動できないものもいる。
私もPublic IPを移動しようとしたら駄目だった。
名目規則のガイドラインがあるっぽい
私は読んでいないが、この辺っぽい
VM
みんな大好きバーチャルマシン。
仮想的なマシンをマイクロソフトからお借りして、作業を行う。
色々できるが、色々できる分、面倒。
リージョン
リージョンによってできることが制限されるっぽい
あと会社的にどこがいいかが決まることが多い
サイズ
最初は小さめ、あとから大きめにするのがコツ。
サイズ変更時は再起動必須なので気をつけよう。
デプロイのテンプレート化
テンプレートを作成しVMをテンプレート化することで簡単に自動化する事ができる
AzureQuickStart Templates
世界中のエンジニアが作成したテンプレート集、実務ですぐに使えるテンプレートが揃っています。
App Service
AKS
Azure Kubernetes Serviceの略称
利用自体は無料でノード単位で料金が加算される
ストレージ
SharedAccessSignature
保存したデータに対してある程度のアクセス権を付与することができる機能。略称名はSAS
可用性セット:
障害ドメイン:サーバラックを何個に分けるか?
更新ドメイン:サーバを何個に分けるか?
可用性ゾーン:データセンターを分けるか?
AzureDevTestLabs:開発用の安い基盤
ピアリング:仮想ネットワークを接続する。
サイト間接続:オンプレとVPNでつなげること
サイト間接続のやり方
①仮想ネットワークにゲートウェイサブネットを作成
②ゲートウェイサブネットに仮想ネットワークゲイトウェイを作成する
③オンプレミス側にVPNデバイス導入
④ローカルゲイトウェイを作成
⑤仮想ネットワークゲイトウェイとローカルネットワークを接続する
AzureExpressRoute
プライベート専用線(Azure)
ストレージアカウント(最大500TB)
BLOB :よく使うやつ
AzireFiles:SMBプロトコルで使えるのでWindowsの共有フォルダとして接続できたりできるけど、それなりに高い。
テーブル→Key とvaluで管理する
キュー→多分キュー型で管理するやつ
基本用語集
高可用性→落ちても大丈夫
スケーラビリティ→パフォーマンスを維持するためにリソースを追加できたりすること
弾力性→簡単にリソースを追加したりできる感じ
俊敏性→弾力性の速さ(どれくらいの速度でリソース追加できんねん。)
パブリッククラウド・プライベートクラウド
パブリッククラウド利点
規模の経済でたくさん買うと安くなる
CapEX:資本的支出 →物理的な購入
CpEX:運用支出 →運用時の費用
先行投資なしで利用できる
パブリッククラウド:みんな使えるね
プライベートクラウド:完全にその人しか使えない感じ
ハイブリッド:まぜる
リージョン周り
GEOレプリケーション:国がだめになってもクラウドは担保する。
データセンターは500キロ以上離して建築される
Azureは現在、56のリージョンがある
VM可用性セット
VM可用性はノーマルで99.9です。
可用性セット:99.95
可用性ゾーン:99.99
可用性セットでは同一のリージョン内で管理されるため、そこまで上がらない。(サーバ・ラックは選択できるので上がるが・・・)可用性ゾーンのほうが信頼性は高いぞ
ARMテンプレート
アジュールの様々なものはARMというテンプレートで管理されている。こいつをダウンロードしたり配布することで、同じものが簡単にできるんだ。良かったな!
AzureResourcesManager、略してARMです。チップメーカーではないです。
コンピューティングサービス
コンピューティングサービスは色々あるんだぞ。
VM、VMScaleSet、AppService、Functions、AzureContainerInstance、AzureKubernetesService
それぞれ、管理域が異なるため、色々選んで使うと良い。
ネットワーキング
VNET:アドレスをプールする
LB(ロードバランサ)、VPNGW、CDN、APPGWなどもある。
例えばVMを作成するとVNET上に配置され、それをLBに接続して外部に出す感じ。LBにAPPGWをつなげたりWAFをつなげたりもできるっぽい。
データの種類
構造化データ:RDB
半構造化データ:JSON/HTMLなど
非構造化データ:ファイルなんかです。
Azureのストレージサービス
Azureには主に5つのストレージサービスがある。
AzureDesk:VMやAKSなどにマウントされるやつ、こいつだけストレージアカウント下で管理されないので注意、IaaSです
AzureFiles:SMBプロトコル対応の共有フォルダ、IaaSです。
キュー:先入れ後出し、PaaS
Blob:無制限のファイルサービス、PaaS
テーブル:キーバリュー形式のDB、PaaS
AzureのDB
AzureCOSMOS DB:弾力性があってグローバルPBだよ(激オススメっぽかった)
Azure SQL Database、Azure Database Migration(かんたんにクラウド移行できるよ)
他にもMarketPlaceで探してね。あのオラクルの正式イメージなどもも簡単に使えるよ
HadoopベースだったらAzureHDinsightを使えばいいよ。
AzureDataLakeAnalytics→アジュールのから出たデータをわかりやすくしたやつらしい。
機械学習
MLServcie:機械学習学習用のやつでコードを書く必要あり
MLStudio:機械学習学習用のやつでコード不要
Azure IoT(よくわからん)
Azure IoT Hub:デバイスを認証
Azure IoT Central:解析する
Azure SQL Data Warehouse→Azure SynaPseAnalytics
並列でたくさんのデータを解析できたりできるらしい。
サーバレスでやりたい?
AzureFunctions→コードが必要
AzureLogicApps→コードレス
AzureEventGrid→発生イベントの仲介をするやつだね。
全部API方式で提供ができるわよ
CI/CDがやりたい?
AzureDevOpsService
ここが中核の機能で色々できる
AzureDevTestLabs
テスト環境を簡単に提供できる
Azureを管理するとき〜
AzurePortal→サイトのことです。
AzurePowerShell→パワーシェルで動くやつ、cloudshellとコマンド違うので注意してください
AzureClaudShell→bashでも動くしエディタもあるんだって
Azure mobileapp
アイフォンやアンドロイドアプリが関係しているっぽい。詳しくは不明
Azure Advisor
セキュリティやコスト、可用性、パフォーマンスで色々教えてくれる
複数のVMでコストを下げるために稼働が低いものを抽出することも可能
セキュリティ
境界、FW、NSG、WAFとか覚えておけよ
境界保護
境界線を保護する考え方FWとかそんな感じ?
ゼロトラスト
全てのアプリを露出したもので作る考え方
全てのものをActiveDirectoryに繋げば誰がやったかわかるよね♡
WAF
HTTP/HTTPSに特化したセキュリティ
FW
とっても重要でAzureFWはすべてのプロトコルで防御ができる。
DDoS保護
標準で入っていまっせ。
ネットワークセキュリティグループ(NSG)
細かいFW設定ができるやつ。0が最も低いプライオリティです。
ネットワークセキュリティグループはネットワークインターフェースカードに紐付けられて初めて力を発揮する。またはサブネットに接続することもできるんだぞ。
アプリケーションセキュリティグループ(ASGS)
たくさんのネットワークをまとめておくやつ
認証と認可はテストに出ます。
認証とは「誰か?」を識別するものです。
認可とは「何を許可するか」を決める(与える)ものです。
AzureActiveDirectory(AAD)は認証をサポートするものです。シングルサインオン、アプリケーション管理、B2B/B2CのIDサービスです。
AzureSecurityセンター
ってのがあって、どのような基準に準拠しているかを確認できます。問題があれば、問題の表示もできるぞ。
Azure Key Vault
機密情報や秘密鍵などを保存する機能
AzureInformationProtection
データを守るため、管理者の定義した規則を使うやつ。
Azure アドバンススレッドプロテクション
(?)
Azure ポリシー
ユーザに対して権限の制限をできる。
イニシマチブ
Azureポリシーをまとめたもの。
Azureポリシーはリソースグループ、サブスクリプション、管理グループに紐付ける事ができる
アプリケーションゲートウェイ
高性能なロードバランサ。
L4相当の機能があり、トラフィック解析も可能
読み取りロック
"read"、"write"、"delete"、"action"のうち、Read以外のコマンドを拒否する用になる。
そのため、影響規模が大きい
hashitoApp Service
同じプランに割り当てられたサービスはリソースを共有する。
デプロイスロットを利用することで、テスト環境みたいなことができる。
| 機能 | Free | Standard | basic | Premium | Isolated |
|---|---|---|---|---|---|
| アプリ数 | 10 | 100 | 無制限 | 無制限 | 無制限 |
| ディスクサイズ | 1GB | 1GB | 10GB | 50GB | 250GB |
| SLA | ○ | ○ | ○ | ||
| カスタムドメイン | ○ | ○ | ○ | ||
| 自動スケーリング | ○ | ○ | |||
| デプロイスロット | ○ | ○ | |||
| ネットワーク分離 | ○ |
ストレージアカウント
基本機能
- コンテナー(Blob)
- ファイル共有(AzureFiles)
- テーブル
- キュー
種類
StorageV2(汎用v2)
すべての機能は使える。
ただし、PremiumのBlobとFilesは個別のアカウントが必要。
アクセス層のサポートが存在する
Storages(汎用v1)
旧世代ですべて使えるが非推奨
BlockBlobStorage
PremiumのBlobをサポートする
FileStorage
PremiumのFilesをサポートする
冗長性(レプリケーション)
ローカル冗長(LRS):1つのデータセンター内で3回コピー
ゾーン冗長(ZRS):1つのリージョンに3つの可用性ゾーンに3回コピー
地理冗長ストレージ(GRS):1つのリージョンに3つの可用性ゾーンに3回コピー
読み取りアクセス地理冗長ストレージ(RA-GRS):1つのリージョンに3つの可用性ゾーンに3回コピー(障害発生中も読み取り可能)
※Premium以外はRA-GRSを選択できる
Shared Access Signature(SAS)
制限付きアクセス権を作成・管理することができる機能
作成されるURLはサービスごとに異なる
Blob
ホット:頻繁にアクセス
クール:アクセスが頻繁ではない(30日程度保存)
アーカイブ:更にアクセスが頻繁ではない(180日程度保存)
hashitoRecovery Service
- バックアップデータを入れる入れ物
- 同じリージョンのデータしか保存できない
- オンプレのデータも保存可能Microsoft Azure Recovery Service(MARS)エージェントのインストールが必要
- VMとSQL Serverなどが保存できる
Azure Site Recovery
- 大規模災害などで、リージョン内のデータが破損した場合に復旧させる仕組み
- ソースローケーションからターゲットロケーションに展開する
hashito仮想ネットワーク
サブネット
- 仮想ネットワークを分離する機能で最低1つは必要
- VPNやApplication Gatewayなどを利用する場合は専用サブネットが必要
- サブネットの先頭3つと最後の1つのアドレスはAzureで予約されている
ネットワークインターフェイス(NIC)
- グローバルIPをパブリックIPという
- サブネット内のIPをプライベートIPという
- 仮想マシン内からNICのアドレスは変更できない
サービスエンドポイント
- これを使うと、Azure内からのアクセスに制限する事ができる
ネットワークセキュリティグループ(NSG)
- サブネット、またはNICに紐付けるセキュリティ設定
- 初期値で3つの設定が入っているが削除できない
- サービスタグ:Azureで管理しているIPアドレスのグループ
名前解決
- 同じ仮想ネットワーク内であれば解決可能
- 異なる場合は自前のDNSサーバかAzure DNSプライベートゾーンを利用する必要あり
仮想ネットワークリンク
- 自動登録を有効にするとAzureDNSプライベートゾーンに自動的に登録される。
hashitoネットワーク間接続
- 2つの仮想ネットワークを接続できる(1つのネットワークのように扱える)
- アドレス範囲が重複していると行えない
- 仮想ネットワークA-B-Cと接続した場合もA-Cは接続されていないため、通信できない
- VPN接続により接続する方法は「VNet間接続」という名前
- VNet間接続の設定方法は下記
- ゲートウェイサブネットの作成
- VPNゲートウェイの作成
- ローカルネットワークゲイトウェイの作成と設定(S2Sのみ)
- VPN接続の作成
hashito権限
Contributor権限
ほとんどすべての権限を有するロール権限。
他社への権限付与やイメージの共有以外は可能。
自動化スクリプト
?
デプロイメント
デプロイの実行履歴が表示される。
そのため実行時期なども解析する事ができる。
IT サービス マネジメント (ITSM)
アジュール外のサービスを監視するためのサービス
リソースグループの削除
含まれるリソースを停止させる。
削除・読み込み専用のフラグを消す
hashitoリソースプロバイダ
初期はなし。
利用すると自動的に追加。arm料理長なら、コック的な存在
Insights は自動で追加されない
リソースグループ
リージョンが異なる場合も同じリソースグループに追加できる
アカウント管理者とサービス管理者
アカウント管理者(Azureアカウント管理)とサービス管理者(サブスクリプション管理)が存在する。
アカウントの下にサービス管理者が存在する。
一部を除き、リソースグループを移動できる
リソースグループを削除すると中のものもすべて削除される
複数のサブスクリプションを得る利点
- 請求書の分割
- アクセス権の分割
- 作成可能なリソース数(クォーター)の管理
デプロイモデル
クラシックデプロイモデル(ASM:Azure Service Manager)
個別でリソースが存在するため、個別に管理する必要がある。
そのため、管理がめんどくさい
リソースマネージャーデプロイモデル(ARM:AzureResoure Manager)
リソースをグループ化して管理できる。
ロック、タグ、ロールベースのアクセス管理ができる
AD
認証と許可を提供するサービス。
- ID/PassでTGTというチケットを発行する。
- TGTをメンバーサーバに提示するとST(サービスチケット)を発行する
Azure ADはこのサービスのSaaSサービス - ユーザはAzure ADにログインして、チケットを発行する
- SaaSアプリにログインする
AD AzureADの違い
AD DSはケルベロスというプロトコルを利用します。
AzureADは様々なプロトコルを利用します
AD DSはフォレスト及びドメインを構成し管理を行います。
小ドメインを作った場合は信頼関係で結ばれます。
AzureADはテナントという単位で管理され、
サービス単位にテナントを作成します。
AD DSはユーザ、グループなどのオブジェクト階層で管理差r目明日。
AzureADはフラットな機構で管理されます。
Microsoft intuneと共有してポリシー管理をすることができます。
AzureADエディション
Free:ユーザ上限などがある(500000)
Office 365 アプリ:Office365に含まれている。Freeの機能+セルフパスワードリセットなどの機能が含まれている
Premium P1:オンプレ+クラウド向けのサービス 動的グループや条件付きアクセスなどをサポートする。
Premium P2:最上位エディション P1機能と不正アクセス禁止な Identity Proection と時間限定で権限付与可能な Privileged Identity Managmentなどの機能をサポートする
AzureAD主な機能
オブジェクト管理:
ユーザグループなどの管理ができる機能、デバイスの登録なども可能
多要素認証(MFA):
ユーザ名+パスワードのログインを禁止する。
音声通話、SMS、Microsoft Authenticatorあぷり、OATHハードウェアトークン
条件付きアクセス:
特定のポリシー条件に一致するデバイス・デバイスのみのアクセスを許可する機能
特定の機能は特定のデバイスからのみ可能にするなど…
セルフパスワードリセット:
自分でパスワードをリセット可能にする機能。
いろいろな方法がある。
デバイスの登録
Microsoft IntuneなどのMDM(mobile device management)と組み合わせて使える。これを使うと、intuneでもADに登録してあるデバイスを利用できるようになる。
Azure ADデバイス登録
基本的にBYODつまり個人所有のデバイスを登録することを前提としている。
基本的にWindowsへのサインインにローカルのユーザ情報を利用する。
AzureAD参加
設定アプリを利用してユーザーとパスワードを入力すると紐付けられる。
ハイブリッドAzure AD参加
AD DSとAzureADを療法を利用する方法
Azure ADでのテナント構成
Azure ADはテナントで構成されており、テナントは一つの組織を表します。
組織単位でデバイスやグループ、リソースへのアクセス制限を実行します。
現在のテナントはAzure Active Directory の IDカテゴリ内のAzure ActiveDirectoryをクリックすると表示される内容に記載されています。
→hasitozzzgmail.onmicrosoft.com
テナントにサブスクリプションが紐付けられます。
その内容を確認できます。
テナントは新規に作成できます。
B2Cはフェイスブックなどのソーシャルアカウントを利用する場合に選択します。
新しいテナントはサブスクリプションと紐付いていないため、別途紐付けが必要となる(別のサブスクリプション)
ユーザ作成
Azureポータルでユーザを作成できます。
ID:ユーザ名を設定可能です
パスワード、グループとロール、設定では国を指定する事もできます。
ジョブには役職や部署を設定して見やすくすることもできます。(参考情報)
ユーザはCSVから一括で登録することも可能です。
グループは権限をまとめて管理する事ができます。
これにはAD Premiumライセンスが必要です。
セキュリティやOffice365などのグループが存在します。
グループにはメンバーとしてユーザやデバイスを追加して利用します。
これは手動で追加することも可能です。
また動的メンバーシップルールを利用して動的に紐付けることもできます。
これはPremiumのみで可能となっており、部署属性に依存して、設定を一括で変更することも可能です。
部署異動や組織内のルール変更を簡単にすることも可能です。
この変更はSQLのようなクエリにより一括で変更可能となっています。
ロール
ロールという管理権限が用意されており、それを紐付けることにより権限管理が可能になっています。
例えば下記のようなものがあります
グローバル管理者:AzureADに関わる全ての操作が可能
グローバル閲覧者:グローバル管理者が読み取れるすべての情報が参照可能
ユーザ管理者:ユーザ+グループに関する操作が可能
パスワード管理者:既存ユーザへのパスワード変更が可能
ライセンス管理者:ユーザ及びグループに対してライセンス管理が可能
レポート閲覧者:サインイン及び監査レポートを参照可能
ディレクトリ(テナント)の同期
社員が入社した場合に複数に登録するのがめんどくさい。
AD DSを利用する場合はAzure ActiveDirectory connectというツールを使って同期させます。
Azure ADの場合は、Azure Active DirectoryConnectというツールを利用します。
これはWindowsServerにインストールされて管理されます。
また、このソフトウェアは冗長性をもたせることも可能でステージングモードで稼働させることも可能となっています。
ディレクトリ同期を行う場合にAD DSとAzureADでは登録可能な文字などで違いがあるためidFixというツールを使って、違いを吸収します。
クォーター
作成できる台数
あくまでも安全用の機能で、申請すればそれ以上作成可能
Advisor
リソースに対するアドバイスを行う機能
コンサルタントが見るように不要なリソースや新しい機能の提案を指摘する
管理+ガバナンス内のAdvisor機能を選択する。
信頼性、セキュリティ、パフォーマンス、コスト、オペレーションエセレンスの5つのカテゴリが存在する。
Policy
Azureでのルールを策定できる
RBAC
ユーザが何ができるかを定義できる機能
管理グループ
サブスクリプションをグループ化できる機能
複数のサブスクリプションにPolicyやRBACなどの制限を実装できる
作成方法は管理+ガバナンスの管理グループをクリックする。
管理グループも親子関係を作成する事が可能
ロックの継承
上位のサブスクリプションやリソースグループで設定可能
その場合には下位に継承される
コスト
基本的に下記のイメージで決定する。
基本的に仮想マシンの利用時間(分単位)+ストレージデータ量(ディスク容量とトランザクション量)+ネットワークデータ送信量
コストを試算する仕組みがある(料金計算ツール)
コストを確認する仕組みがある(コスト分析)
コストが超過した場合やしそうな場合に通知する仕組みがある(予算)
コストを削減する方法
予約:例えばVMを1年使う契約にすると料金が下がる仕組み
Azureハイブリット特典:ソフトウェアシェアライセンスを購入している場合にOS利用料などが下がる。
VisualStudioサブスクライバー向けのAzureクレジット:サブスクライバーは月単位でクレジット利用が可能
Policy(ポリシー)
ビジネスルールに基づいてAzureを利用したい場合に使える
例えば:
1. 組織独自のコンプライアンス要件(国内サーバのみ利用可能など)
2. 不要なリソース種類や不適切な構成の作成の制限
3. リソース管理の一貫性を高めたい
ポリシーを利用する場合は、下記の手順でできる。
1. 管理+ガバナンスを選択
2. ポリシーをクリック
2. ポリシー定義、または確認
3. イニシアティブ定義の作成(複数のポリシー設定をまとめる方法)
4. 割当設定(適応範囲を設定する)
5. 結果と評価の確認(結果の確認)
代表的なポリシーの例
利用できるリソースの種類制限
許可されていないリソースの制限
許可されている場所の制限
許可されているマシンサイズの制限
ストレージアカウントを許可されているSKUで制限する必要がある
タグとその値をリソースに追加する
イニシアティブ定義
複数のポリシー定義をグループ化する定義
割り当てる場合に一括で紐付けができる
割当設定
イニシアティブ定義やポリシーを管理グループやサブスクリプションに割り当てる。
上位に割り当てられると下位には自動的に継承される
結果と評価確認
適応すると新規作成時はNGとなる。
既存のリソースも「非準拠のリソース」としてリストアップされる。
RBAC
ADのロールとAzureのロールは別もので管理されている。
仮想マシン
OSディスク:OSが入っているディスク
一時ディスク:一時ディスク、キャッシュの保存先として利用される
データディスク:永続化されたディスク
ディスクの種類
Standard HDD:データアクセスは遅い IOPS2000 スループット最大500MB/秒
Standard SSD:IOPS 6000 750MB/s
Premium SSD:IOPS 20,000 900MB/s
Ultra Disk:IOPS 160,000 4,000MB/s
ディスクストレージ
アンマネージディスク:古い方式で、ストレージアカウントを用意して利用する方式、Standard HDDの場合のみgeo冗長ストレージを選択すると2つのリージョンにまたがった6重コピーを作成できる。
マネージドディスク:現状のデフォルト、種類を変更できる。
Windows OS
Windows10のみインプレースアップグレードに対応している。
Window2003以降のみサポートでそれ以前のものはイメージを準備する必要がある。(サポート切れ)ライセンスは、Windows10だけ含まれないが、基本的に含まれている。
→WindowsServer サーバライセンス料は含まれる。インプレースアップグレード非対応
→Windows10ライセンス含まれない、インプレースアップグレードをサポート
leappツール:Linuxをインプレースアップグレードするためのツール
可用性セット:
障害ドメイン:いくつのサーバラックに分散するか?最大3(ラックへの分散数)
更新ドメイン:サーバグループに分散するか?最大20(PC台数)
可用性ゾーン:
データセンターを分けて可用性を保証する仕組み
バーチャルマシンの拡張機能
基本的にBlobにスクリプトを設置して実行する形となる。
カスタムスクリプト拡張機能:
Linuxに対するてシェルスクリプトが実行できる機能
PowerShell DSC拡張機能:
PowerShellによるシステム構成や展開を行う管理プラットフォーム
操作画面について:
上に横並びになっているもの:タブ
左側にリストになっているもの:リソースメニュー
実行コマンドが並んでいるもの:コマンドバー
診断エージェント
Diagnosticsエージェント
仮想マシンに入れるエージェントで状態を監視できる。
テンプレートのエクスポート:
ARMテンプレートをダウンロードして自動化する事ができる。
リモートデスクトップ:
3389ポートで動作している。Windowsリモートデスクトップ
RDPファイルをダウンロードしてそこから接続する。
SSH:
22ポートで動作している
Bastion接続:
PaaSサービスBastionを用い仮想マシンに接続する
ブラウザからリモートマシンに接続する事が可能
スケーリング:
垂直スケーリング(スペックアップ)
水平スケーリング(台数追加)
垂直はダウンタイムが生まれるため、水平が推奨される。
仮想マシンスケールセット:
仮想マシンと似た仕組みだが台数を指定して並行スケーリングが簡単に可能
スケーリングポリシー:CPUしきい値などで動的に上下できる
スケールポリシー:削除する順番を指定できる
アップグレードモード:ローリング、手動、自動などを選択可能
オーバープロビジョニング
大きな数を作成して、不要なのを削除する仕組み
スケールセットモデル:
スペックなどのマシン構成一式の情報
複数の自動スケールプロファイル
例えば、日曜日だけ大きくするなど、変更する事ができる。
指定日プロファイル:特定の日のプロファイル
定期的プロファイル:決まった曜日などのプロファイル
規定のプロファイル:標準的なプロファイル
また、1つの自動スケールプファイル内に複数の構成させることもできる。
例えば、CPUとメモリの条件によって台数を可変させる条件も作成できる。
仮想マシンの名前は変えられないため、再度作成し直す
データディスクはアプリケーションやデータの保存する場所として利用するべきである。
3種類のサーバを最大化する場合は、3つの可用性セットを作成する。これが最も最大化される設定である。
パワーシェルで記載されたスクリプトを実行するためカスタムスクリプト拡張機能を実行するのが適切である。
複数の自動スケール設定が有効になっている場合はすべての条件が整った場合にスケールインする形となっている。
ストレージサービス
冗長性、高可用性
セキュリティ保護
スケーラブル
マネージド
広範なアクセス
種類
Azure Blob Storage:何でも保存できる
Azure Files:何でも保存できてSMBプロトコルをサポート
Azure Queue:メッセージングストアをサポート
Azure Tables Storage:SQLに近いが、データを入れるだけ、キーと属性を保存できる
ストレージアカウント
Standard:基本HDD
Standard汎用v2
すべてのサービスを利用可能。
殆どの場合に推奨される
Premium:基本SSD
PremiumブロックBlob
Premiumパフォーマンスを持つブロックBlobのみ利用できる
Premiumファイル共有
PremiumパフォーマンスをもつAzureFilesのみ利用できる
PremiumページBLOB
PremiumパフォーマンスをもつページBlobのみ利用できる
レプリケーションオプション
ローカル冗長ストレージ(LRS)
同じリージョンで3つのディスクにコピーされる:イレブンナイン
ゾーン冗長ストレージ(ZRS)
可用性ゾーンで同期的にコピーする:トゥエルブナイン
geo冗長ストレージ(GRS)
LRSと同様に3つにコピーされて複数のデータセンターでコピーされる:シックスティーナイン
読み取りアクセスgeo冗長ストレージ(RA-GRS)
GRSでのセカンダリリージョンに常時アクセス可能
geoゾーン冗長ストレージ(GZRS)
ZRSとGRSをあわせた設定:シックスティーナイン
読み取りアクセスgeoゾーン冗長ストレージ(RA-GZRS)
GZRSでのセカンダリーリージョンに常時アクセス可能
Blobの種類
ブロックBlob:ファイル
追加Blob:Blobの最後に追加されるだけのもの
ページBlob:仮想ディスクのバックボーン
アクセス層
ホット:頻繁にアクセスされる
クール:たまにアクセスされる
アーカイブ:リハイドレート(切り替え)が必要な場合がある
(数時間かかる場合もある)
Azure Files
NFSプロトコルやSMBプロトコルなどを利用してOSからマウントすることができる。
サービスレベル
Premium:SSD
トランザクション最適化:HDDでトランザクション単位のコストは安い
ホット:
クール:アクセスコストが低いデータを入れる、トランザクションコストは高い
AzureFileSync
AzureFileを動悸するサービス、1対多でファイル共有の仕組みを実現できる。
下記のようなコンポーネントで利用できる。
ストレージ同期サービス:Azure上のリソース、同期グループを管理する役割。
登録済みサーバー:サーバーとストレージ同期サービス間の信頼関係を表すオブジェクト。
同期エージェント(AzureFileSync):Windowsサーバに入れるアプリ
同期グループ:同期リレーションシップを定義するイブジェクト
クラウドエンドポイント:ファイル共有へのポインターとなるオブジェクトです。
サーバーエンドポイント:WindowsServer上のディレクトリパス
ストレージセキュリティ
RBAC:誰がどれにアクセスできるか制御する
安全な転送:要求がすべてHTTPSのみとなり、HTTPは拒否される。
論理的な削除:削除してもしばらく消えずに残す設定、保存期間は1−365で設定可能
サービスエンドポイント:外部からの接続をブロックして内部のみを許可する事ができる。
Shared Access Signature(SAS):期限付きのアクセスを設定できる
StorageServiceEncrtption(SSE):ストレージそのものを暗号化する機能、現状は自動でONになっており、OFFにできない。
SAS
アクセスに対して下記のことを細かく設定できる。
・利用できるリソース種類(コンテナ、オブジェクトなど)
・リソースに対して可能な操作(削除、書き込み、読み込み)
・可能な期間
・アクセス元IP
・許可されるプロトコル
アカウントSASの設定が可能です。
サービスSASの設定も可能で、アカウントSASよりも細かいい設定が可能です。
SSE
基本的にMicrosoftが管理する、Microsoftマネージドキーで管理されます。
または必要に応じて、カスタマーマネージドキーという独自のキーで管理することもできます。
この場合は、キーヴォルトというサービスでキーを管理します。
AzureStorageExplorer
WindowsやMAC、Linuxなどで使えるソフトで、ストレージ管理ができる。
AzCopy
Windows、MAC、Linuxなどで利用できるコマンドラインツールで、データ転送ファイルコピーなどを利用できる。
import/Exportサービス
デカすぎるファイルは物理的にディスクに入れて郵送可能
USBディスクはサポートされておらずHDDやSSDのみ。
利用するときはジョブを作成しておく必要あり。
作業的には下記のようなイメージ。
1. インポート先を決定
2. WAImportExportツールにてデータをディスクに入れる
3. インポートジョブを作成
4. ドライブの配達先、アカウントを指定
5. ドライブを発送
6. ドライブが処理される
7. ドライブが返送される
仮想ネットワーク
Azure内部DHCPサービスが存在する
IPは4以降から割り振られる
仮想ネットワークは内部のデバイスをすべて削除したあとのみ利用可能
パブリックIPはスタンダードとベーシックが存在する。
スタンダードのほうが可用性ゾーンを利用できる
ネットワークセキュリティグループ
優先度が小さいものから順番に評価される。
初期値では下記の3つが設定される
(受信)
65000 同じネットワークは許可
65001 ロードバランサからのトラフィック許可
65500 他はすべて拒否
(送信)
65000 同じネットワークは許可
65001 インターネットあては許可
65500 他はすべて拒否
サービスタグも指定することができる。
→InternetやVirtualNetworkなど抽象的な対象を設定できる
アプリケーションのセキュリティグループ
複数のルールをグループ化できる
サービスタグをカスタマイズできるようなイメージ
Azure Firewall
アプライアンス型ネットワークファイアウォール
ネットワーク間に設置するファイアウォール
1. ネットワークインフラストラクチャを作成
2. Azure Firewall のデプロイ
3. ルートテーブルの作成とサブネットへの紐付け
4. ファイアウォールの規則作成
パブリックIPを紐付けることも可能
ルートテーブルを設定しないと経由できない
DNAT規則:インバウンドに対して利用する規則、アドレス変換やフィルタができる。
仮想マシンのIPを変換し隠蔽したりできる
Azure DNS
ドメインを購入する事はできない。
あくまでもホスティングするための機能
内部の名前解決、外部の名前解決が可能
プライベートDNSゾーン:仮想ネットワーク内でのDNS解決を設定する事ができる。
ピアリング
2つのネットワークを接続する仕組み
仮想ネットワークピアリング:2つの仮想ネットワークをピアリングする。同リージョン内に存在する必要がある。
グローバル仮想ネットワークピアリング:異なるリージョンをピアリングする方法。
ピアリング特徴
異なるサブスクリプション、テナント間で接続可能
アドレス空間は重複させてはいけない
原則として、双方向で接続する場合は両方の接続が必要
複数接続がある場合、推移しない。各接続に対してつくr必要がある
VPNゲートウェイの共有も可能
ただし、「この仮想ネットワークのゲートウェイまたはルートサーバを使用する」を選択する必要あり。
VPNゲートウェイ
サイト間接続:
最も基本的なVPN接続。オンプレとAzureを接続する場合に利用する。
下記の手順で接続する。
1. 仮想ネットワークとゲートウェイサブネットを作成
2. VPNゲートウェイの作成
3. ローカルネットワークゲートウェイの作成
4. 接続の作成と確認
VPNゲートウェイは専用のサブネットが必要(GatewaySubnet)
ゲートウェイの種類は「VPN」と「ExpressRoute」があり、VPNを選択する。(Expressは独自線)
SKUを選択できる。BASICはテスト用でほかを選択するべき。
パブリックアドレスは必要
ローカルゲートウェイの作成(現地に設置する機材が必要)
対応する表があるのでそちらを参照してください。
共有キーとVPNゲートウェイパブリックIPも必要
クラウド側にもローカル側の機器の情報が必要
可用性の目的でBASIC以外ではアクティブ・アクティブモードを選択できます。
この場合、IPを2つ登録するなどの設定が必要となります。
ポイント対サイト接続:
個別のPCをAzureに接続するための仕組み。最大10000代まで可能
仮想ネットワーク間接続:
Azureの仮想ネットワーク同士を接続するための仕組み。基本的にはピアリングを利用するため、利用はあまりされない。
ExpressRoute
閉域網でAzureとオンプレミスを接続するサービス
プロバイダーなどによってサービスは異なる
仮想ネットワーク以外にもいろいろなサービスにアクセス可能
接続ピアリングに依存する
課金モデルは従量課金と無制限の二種類が存在する
SKUは下記の3種類
ローカル:最も近くのリージョンから接続する。1Gbpsに制限される
Standard:同一の地域に接続可能なSKU、東京の場合は西日本・東日本を選択できる
Premium:世界中全てのリージョンに接続可能、価格は高い
接続方法は下記の3つ
ポイントツーポイントのイーサネット接続:
専用線で直結する方法。日本では利用できない
Cloud Exchangeで同一場所配置(L2接続サービス)
接続ポイントに回線を引き込み済みのプロバイダと契約する。
そのプロバイダから聞きを導入する仕組み。
オンプレネットワークと接続ポイント間での問題などはユーザ側で対応が必要
任意の環境間ネットワーク(L3接続サービス)
L2接続サービスに似ているが、プロバイダの接続線までをWANを利用するためコストが安く済む。
ピアリングは2種類、両方選択することも可能
Azureプライベートピアリング
Azure仮想ネットワークとの接続するピアリング
プライベートIPアドレスで接続可能
Microsoftピアリング
Microsoftの各種サービスに接続可能
導入手順
1. ExpressRoute回線の作成:Azure上で作成
2. ExpressRouteピアリングの構成:接続業者に頼むことも可能
3. ExpressRouteゲートウェイ作成
4. 接続の作成と確認
ダウンした場合に問題が大きいのでサイト間VPN接続の共有をして、問題発生時はそちらを使う形にするとコストが小さくなる。この場合はBASICは複数個のVPNゲートウェイはサポートしていないため、別の契約にする必要がある。
Azure Virtual WAN
大規模拠点間接続サービス、複数のVPNやExpressRouteを管理できる。
BASIC:サイト間VPNのみ フルメッシュ接続不可
Standard:ユーザーVPN、サイト間VPN、ExpressRoute、仮想ハブを経由したハブ接続及びVNet対VNetトランジット フルメッシュ接続可能
システムルート
システムルートが有るおかけげで、仮想ネットワーク内では接続は可能
既定値でいくつかの設定が自動的に追加される
ユーザ定義ルート
1. ルートテーブルの作成:ネットワーキング ルートテーブルから作成
2. ルートの追加:アドレスプレフィックスに宛先、ネクスストホップの種類(仮想アプライアンス>IPアドレス)には経由する宛先を設定する
3. サブネットへの関連付け
サービスエンドポイント
サービスエンドポイントを有効にすると、SQLなどのサービスについて外部を経由せずにAzure内部で通信を完結できる。
サービスエンドポイントはファイアウォールとして動作する
PrivateLink
仮想ネットワーク内から接続できるプライベートエンドポイントを構築できる。
仮想ネットワーク→各種サービスへの接続が仮想ネットワーク内で完結する形の構成にする事ができる。
Azure Load Balancer
負荷分散サービスでレイアー4のロードバランサとして動作します。
任意のTCP/UDPプロトコル
バックエン、ドバックエンドポイント
VM,VMScaleSets
接続は外部または内部
ハッシュは下記
送信元IP、送信元ポート、宛先IPアドレス、送信先ポート、プロトコル
これらのハッシュ値をもとに送信先を決定
ロードバランサーの種類:内部とパブリック、接続先によって異なる設定
フロントエンドIPアドレス:割当が必要
バックエンドプール:負荷分散先のプール
ロードバランサーで使用する規則:負荷分散規則、インバウンドNAT規則がある
正常プローブ:
バックエンド側の死活監視を行うコンポーネント
StandardのみでHTTPSに対応可能
SKU:BASICとStandardが存在する。
BASIC:300台まで可用性セット構成も必要
Standard:有料、99.99 SLAを保証、最大1000の仮想マシンを含めることも可能。可用性ゾーンも可能
セッションの永続化を構成することにより同じサーバで処理することも可能
アウトバウンド規則:Standardのみで可能な規則。送信元を細かく制御できる。例えばIPマスカレード、送信トラフィック許可リストの単純化、デプロイするパブリックIPリソース数の削減
Azure Application Geteway
負荷分散サービスでレイアー7のロードバランサとして動作します。
基本的にはWebサーバ専用のロードバランサです。
URLや追加情報やヘッダーなどによって割当を変換して利用する事が可能
HTTP,HTTPS,HTTP/2およびWebSocket
接続は外部または内部
Webアプリケーションファイアウォール(WAF):攻撃を拒否できる
SecureSocketsLayer(SSL/TLS)ターミナル:SSLなどの証明書にて暗号化可能。HTTP->HTTPSに変換できる
URLベースルーティング:要求されたURLによるルーティングが可能
複数サイトのルーティング:ドメインによるルーティングが可能
バックエンド、バックエンドポイント
VM,VMScaleSets
AzureAppService
任意のIPまたはホスト名
リスナー:
接続要求をチェックするエンティティ
要求に関連付けされた情報を確認して受け取る。
BASIC 1つのドメイン名をマッチングする。
マルチサイトは複数のホスト名をルーティングする。
要求ルーティング(ルール):
リスナートラフィックの転送方法を決定する。
BASICはHTTPをバックエンドに転送される。
パスベースはURLに基づいてバックエンドに転送する。
HTTP設定:バックエンドプロトコルやバックエンドポートの指定
バックエンドプール:負荷分散先のグループ定義
正常性プローブ:バックエンド死活監視
AppService
バックエンドアプリの実行環境を簡単に構築できる。
AppServiceプラン価格レベル
+Free:10個 1GB 自動スケール x デプロイスロット 0 最大インスタンス 0
+Shared:100個 1GB 自動スケール x デプロイスロット 0 最大インスタンス 0
+BASIC:無 10GB 自動スケール x デプロイスロット 0 最大インスタンス 3
+Standard:無 50GB 自動スケール o デプロイスロット 5 最大インスタンス 10
+Premium:無 250GB 自動スケール o デプロイスロット 20 最大インスタンス 30
+lsolated:無 1TB 自動スケール o デプロイスロット 20 最大インスタンス 100
OSを選択できる。Linux or Windows
公開ではコードをデプロイするか、コンテナを実行するかを選べる
デプロイセンターでコンテンツをアップロードできる
デプロイスロットで検証用にコンテンツをデプロイできる
カスタムドメインを利用すれば独自なドメインを利用できる
スケールアップとスケールダウンも可能。
スケールアウトとスケールインも可能。
バックアップ:Standard以上であれば可能。壊れた場合に過去の状態に戻せる。
コンテナ
Azure Container Instances(ACI):
コンテナの稼働用の仕組みを提供するシンプルな仕組み
すぐに起動可能
アクセス範囲をローカルなものか、パブリックなものかを選択できる
柔軟にサイズ変更ができる
データ保存にAzureFilesを利用できる
WindowsとLinuxをサポートする
作成時は下記を行う
イメージソースの選択
サイズを選択する
ネットワークの種類を選択(プライベート・パブリック)
作成されたインスタンス確認
Azure Kubernetes Service(AKS):
コンテナオーケストレーションサービス
ノード:実際に動くVM
ノードプール:ノードを管理するもの
ポッド:インスタンス、複数のコンテナを含めることができる
デプロイメント、マニフェスファイル:指示が記載されたファイル
ネットワーク構成:
kubenet:基本ネットワークモデル
Azure CNI:ネットワークを明示的に指定できる
Azure Backup
仮想マシンなどの保護に利用できるバックアップサービス
ファイル、フォルダー、システム状態の保護:
WindowsOSにAzureBackupエージェント(MARS)を導入する。
仮想マシンの保護
VHDディスクを丸ごとバックアップする
ワークロードの保護
ネットワークにDPMをベースとしたMABSを導入することで、Windowsコンピュータが実行する様々なワークロードデータを保護する
RecoveryServicesコンテナ
バックアップデータの格納先リソース
同じリージョンを選択する必要がある。
仮想マシンのバックアップ
スナップショットがコンテナに保存される。
仮想マシンの復元オプション:
新しいマシンを作成
ディスクを復元
既存の仮想マシンディスクを置換
Azure Site Recovery
サイトのレプリケーションサービス
別リージョンへの移動、オンプレサービスのAzureへの移行などをサポートする。
利用するためにはRecoveryServiceコンテナーを作成する必要がある。
また、素早くセカンダリサーバを起動してフェールセーフ的な動きが可能。
Azure Monitor
サービスやリソース監視を行うための仕組み
下記のデータを収集する
+アプリケーション監視データ:コードのパフォーマンスや機能
+ゲストOS監視データ:オペレーションシステムのデータ
+Azureリソース監視データ:リソース操作に関する監視データ
+Azureサブスクリプション監視データ:サブスクリプションの操作や管理データ、正常性などもみる
+Azureテナント監視データ:ADやテナントレベルのAzureサービスに関する操作データ
Azure Monitorエージェント(AMA):データを収集するエージェント
WindowsAzureDiagnostics(WAD):WindowsのAMA拡張機能
AzureDiagnostics(LAD):LinuxのAMA拡張機能
メトリック:CPUやディスクなどの数値データ
ログ:システム内で発生したイベント情報
アラート
AzureMonitorの機能の一つ。
例えばメトリックがしきい値を超えた場合に対応を行うような機能を実装できる
スコープ:範囲を指定できる
条件:特定のメトリクスが70を超えた場合に通知するなどができる
アクション:通知などの設定が可能 電子メール:1時間に100件以下、SMS5分で1件 音声5分で一件
アラートルール詳細:重要度などを設定できる
ログアナリティクス(AzureMonitorログ)
ログの解析が可能。独立したサービスとなっている
データ量によって課金される
様々なログが集約される。
Azureのアクティビティログ:モニター>アクティビティログを選択
Azureリソース:管理画面の診断設定
仮想マシン:仮想マシンを監視対象に追加する必要あり
オンプレマシン:エージェントをインストールする必要あり、エージェントの管理からプログラムをダウンロードする。ワークスペースIDとキーはコピーしておく。
Network Watcher
ネットワーク関連のトラブルを監視するサービス
仮想マシンの拡張機能で入れる
トポロジ:図解でネットワークを見やすくする。
接続モニタ:
パケットキャプチャも可能