NEW - Center

Download Report

Transcript NEW - Center 

また進化した Azure IaaS
~設計/構築/運用を正しく理解するには~
時間
内容
13:30 – 13:40
ご挨拶 & Tech Fielders 紹介
『また進化した Azure IaaS』
13:40 – 16:45
・デモンストレーション
・仮想マシン、仮想ネットワーク サービス解説
・最新情報
※ 途中休憩あり
休憩
17:00 – 17:30
参加者による情報発信
ライトニングトーク
17:30 – 19:00
Q&A も兼ねた (その場) 懇親会
2
また進化した Azure IaaS
~設計/構築/運用を正しく理解するには~
Microsoft Azure
仮想マシンのはじまり
アプリ開発
システム構成
テスト展開
本番展開
5
ウェブ
(Stateless)
…
コンピュート
(Stateful?)
…
クラウドサービス
という枠組みで
管理単位を広く
データベース
ストレージ
(Stateful)
ファイアウォール(無償):利用するポートのみ開放(明示しないポートはすべて遮断)
ロードバランサ(無償):インターネットエンドポイントによる負荷分散
自動復旧機能(無償):HW や OS 障害時に自動復旧
VIPスワップ(無償):本番環境(Production)とテスト環境(Staging)の動的切替
6
Visual Studio
マシンスペックと台数を指定
ご利用のポート番号を指定
7
http://channel9.msdn.com/Series/Visual-Studio-2012-Premium-and-Ultimate-Overview-JPN/Cloud-Load-Testing-JPN#time=0s
8
http://www.eclipse.org/downloads/
http://msdn.microsoft.com/ja-jp/library/hh690946.aspx
リポジトリ
ビルド
テスト
デプロイ
Apps
Visual Studio Online
運用管理・監視
コーディング / デバッグ
開発者
Azure
Microsoft
Azure
VS から Web サイト作成
アプリケーションの直接展開
リモートデバッグ
ステージング/本番の切替
※ スケールアップ、スケールアウト、スケールダウン、
オートスケールが自由自在
※ Traffic Manager 連携開始
11
Microsoft Azure
IaaS の登場
“誰でも使える IT” を得意とする会社
マイクロソフトが作る先進的操作性
13
14
http://portal.azure.com/
15
http://azure.microsoft.com/en-us/downloads/?fb=ja-jp
16
仮想 DMZ
仮想 自社 DC
インターネット
Azure
LB/FW
Azure
ILB
Azure
VM
VPN
Microsoft Azure
IaaS の基本
※ 知識は 3 か月で陳腐化
※ クラウドは「トライ ファースト」
19
1. 仮想マシン 1台のシステムはこう作る
2. 仮想マシン 2台以上ならこう作る
3. VPN 接続したい場合はこう作る
(注意)
Azure のルールの話ではなく“こう覚えると良い”という勉強法の話です。
Azure について理解した上で、うまくご活用ください。
20
仮想マシン 1 台のシステムな
ら
こう作れる
22
23
保持 (課金継続)
24
パブリック
ポート
タイムアウト:デフォルト4分
~30分まで指定可能に
プライベート
ポート
25
26
仮想マシン 2 台以上なら
こう作る
[社内仮想化基盤]
[Microsoft Azure]
28
テンプレートの持ち込みも可能
29
30
http://azure.microsoft.com/ja-jp/pricing/details/virtual-machines/
31
3
1
2
※ 一歩踏み込んだ理解が必要
32
仮想マシン内のエージェント展開が鍵
構成管理の
自動化促進
マルウェア対策
の埋め込み
33
34
http://msdn.microsoft.com/en-us/library/dn217874.aspx
35
http://docs.octopusdeploy.com/
display/OD/Getting+started
36
http://blogs.msdn.com/b/win
dowsazurej/archive/2014/11/
10/blog-automate-linux-vmos-updates-using-ospatchingextension.aspx
• OS の修正プログラムをインストールする頻度
とスケジュールの指定
• インストールする修正プログラムの指定
• 更新後の再起動処理の構成
37
NICs (max
VM Size
allowed per
(Standard SKUs)
VM)
Large (A3) and
A6
2
Extra Large (A4)
and A7
4
A9
2
D3
2
D4
4
D13
4
38
39
1
ストレージ
アカウント
Azure
VM
Azure
VM
Azure
VM
西日本
Azure ストレージ
東日本
Azure ストレージ
Azure
VM
Azure Hyper-V
物理マシン
ストレージアカウント
による処理
VHD
ファイル
VHD
ファイル
VHD
ファイル
VHD
ファイル
複製
VHD
ファイル
VHD
ファイル
VHD
ファイル
VHD
ファイル
Azure ストレージ サービス
41
• ウィザード任せにしない
• 意味を理解し、ストレージアカウントは自分で作成
※ レプリケーション設定は、特に重要
※ コストにも関係
42
 クライアント(この場合、仮想マシンインスタンス)
からの書き込み要求があった場合、3 つの複製の
作成が完了して初めて「書き込み成功」が返され
ます。
 つまり、『仮想マシン』のディスクは通常の
シンプルボリュームであっても、3本のディスクを
ミラーリングした場合と同等の堅牢性を持ちます。
BLOB ストレージ
 ゲスト OS 上でミラーボリュームを構成すること
はあまり意味がありません。
43
関東
関西
 セカンダリ地域への転送は、プライマリへの書き込みとは非同期に行われます
44
ストレージアカウントに
紐づくデータが確認できる
(デフォルトは vhds の下)
45
Creating and Uploading a Virtual Hard Disk that Contains the Windows Server Operating System
http://www.windowsazure.com/en-us/documentation/articles/virtual-machines-create-upload-vhd-windows-server/?fb=ja-jp
※ 仮想マシンを作る場所に配置
46
イメージ管理
プラットフォーム
イメージ
VM DEPO
Windows Linux Oracle
Blob
ストレージ
VM
作成
仮想マシン
インスタンス
コピー
マイイメージ
手元にある
VHD ファイル
Generalize 済み
イメージ化
Microsoft
Azure
2
クラウド
サービス
クラウドサービス (コンテナ)
仮想マシンの配置を決定する際、
クラウドサービスを作成するか、
既存のクラウド サービスを選択
49
Internet
ServiceName:hogehoge.cloudapp.net
仮想
マシン
Name:
Server1
仮想
マシン
Name:
Server2
Azure 仮想ネットワーク
• 仮想マシンはクラウドサービスでグルーピング可能
• クラウドサービスにはインターネット上から一意に
識別可能なDNS名(Service Name)が付与される
仮想
マシン
Name:
Server3
• 仮想マシンにはホスト名が割り当てられる
• 仮想ネットワークを構成することで、ホスト名を使
用した通信が可能
• オンプレミスとサイト間接続することで、企業ネッ
トワークとの通信も可能
50
http://msdn.microsoft.com/ja-jp/library/windowsazure/jj156007.aspx
51
ServiceName:hogehoge.cloudapp.net
VIP xxx.xxx.xxx.xxx
443
5986
444
5987
445
5988
• 仮想マシン単位にポートを公開することができる
• 公開はローカルポートとパブリックポートの
マッピング方式
443
5986
仮想
マシン
Name:
Server1
443
5986
仮想
マシン
Name:
Server2
443
5986
仮想
マシン
Name:
Server3
クラウドサービス hogehoge
• パブリックポートはクラウドサービス内で
一意である必要がある
※ 例えば Server1 が ローカルポート443を
パブリックポート443で公開したら、他のサーバー
はポート番号を変えて公開しなければならない
• 同じポート番号で公開するには、
「負荷分散セット」を構成するか、異なるクラウド
サービスに所属させる必要がある
52
DNS名:hogehoge.cloudservice.com
VIP xxx.xxx.xxx.xxx
負荷分散セット HTTPS
負荷分散セット FTP
仮想
マシン
Server1
仮想
マシン
Server2
仮想
マシン
Server3
DIP
DIP
DIP
Internal Load Balancer
Azure 仮想ネットワーク
• VIP に負荷分散セットを構成することで、仮想マシン
のロードバランスが可能
• 負荷分散セットはポート単位(例 HTTPS)に定義でき
る
• 同じ負荷分散セットに所属できるのは同じクラウド
サービス内の仮想マシン
• 同じクラウドサービス内にある仮想マシンだからと
いって、強制的に負荷分散セットのメンバーになるわ
けではない(手動で構成する必要がある)
• DIP をロードバランシングするには Internal Load
Balancer を構成する(PowerShell で行う)
VPN GW
53
パブリック
ポート
(ポイント)
各仮想マシンではなく
クラウドサービス単位で
処理が行われる
DNS 名の提供:xxx.cloudapp.net
+
パブリック仮想 IP (VIP)
RDP
(3389)
HTTPS
(443)
仮想マシン A
プライベート
ポート
IMAP
(143)
仮想マシン B
RDP
(3389)
HTTP
(80)
IIS 1
HTTP
(80)
IIS 2
(さらに)
複数のクラウドサービスを
またがる負荷分散は
Traffic Manager を活用
クラウドサービス
54
•
•
※ 対象はクラウドサービス
55
•最上位層 (外部 DNS 名にマッピングされている
Traffic Manager プロファイル) では、パフォー
マンスの負荷分散方法を指定したプロファイルを
構成できます。
•中間層では、Traffic Manager プロファイルの
セットは異なるデータセンターを示し、ラウンド
ロビン負荷分散方法を使用します。
•最下層では、ユーザーのトラフィックが要求する
各データセンター サービス内のクラウド サービ
ス エンドポイントのセットを示します。
56
57
配置制御と
可用性
FC
・
・
・
FC
・
・
・
クラスタ 1
FC
アフィニティ
グループ “AG1”
・
・
・
・
 たとえば、2台の仮想マシンを同一のアフィニティ
グループ”AG1”に配置します。
 この場合、2台は同一クラスタ内に配置されるように、
FC が配置の調整を行います。
 ネットワーク的に近く配置され、通信が高速に行えるよう
になります。
・
・
クラスタ 2
・
・
・
・
・
・
クラスタ 3
しかし、この場合「クラスタ 2」に障害が
発生すると2台が共倒れになるのでは?
59
60
4
4
アフィニティ
グループは
最初に作る
2
クラウドサービス
3
||
1
データセンター (例:東日本 DC)
データセンター (例:北米 DC)
DC 指定
+
近接配置
61
 クラスター内の各ラックは、電源やネットワーク装置が
冗長化され、これら装置の障害が他のラックに影響を
及ぼさないように設計されています。
 このくくりを「障害ドメイン (fault domain)」と呼びます。
障害ドメイン
障害ドメイン
障害ドメイン
ルータ
ルータ
ルータ
FC
 たとえば、2台の仮想マシンを同一の可用性セット “AS1”
でくくります。
 この場合、2台は異なる障害ドメインに配置されるように、
FCが調整を行います。
 いずれかのラック内で障害が発生しても、可用性セット内
の別インスタンスは生き残ることができます。
・
・
・
FC
FC
可用性セット
“AS1” ・
・
・
・
ラック
・
・
・
・
・
ラック
※ 仮想マシン作成後でも変更/追加可能
・
・
・
・
・
・
ラック
62
応用編
64
65
SSD based
milliseconds latencies
up to 32 disks
32TB
50,000 IOPS
66
Azure Files (Preview) で共有フォルダ ~
Azure VM
Azure VM
• 仮想マシン,クラウドサービス
で共有可能
• VM 起動後に net use で接続
SMB 2.1
REST
API
Azure
Files
• 最大
• 5 TB / 共有
• 1 TB / ファイル
• 1,000 IOPS
※ 共有フォルダのための VM は不要に
67
68
69
70
http://azure.microsoft.com/jajp/documentation/articles/store-new-relic-cloud-servicesdotnet-application-performance-management/
71
自動スケール設定
可用性セットに
3 台の仮想マシンを
配置したところ
72
73
74
このプラットフォーム識別子は、
たとえば、ソフトウェアのライセ
ンスが適切に認証されているかを
検出したり、任意の VM データを
そのソースに関連付けて各メト
リックを正しいプラットフォーム
に設定したり、それらのメトリッ
クを追跡して他のユーザーとの間
で関連付けたりする場合などに役
立ちます。
75
アラート
&
操作ログ
76
77
Docker on Linux
Docker Client and Docker Hosts
Docker Hub on Azure (Coming soon)
78
おさらい
“クラウドサービス“ という概念を
隠ぺいする形で仮想マシンを提供
仮想マシン作成のタイミングで、
同一名のクラウドサービスも作成
80
※ 不思議な名前のストレージアカウントを見かけたら、
自動作成された可能性が高い
81
VPN 接続したい場合は
こう作る
Microsoft Azure
<subnet 1>
<subnet 2>
<subnet 3>
DNS
Server
サイト間 VPN
Gateway
自社内データセンター
Static &
Dynamic
Routing
専用の仮想ネットワーク
VPN
デバイス
ローカル サブネット
ポイント対サイト
VPN
社内ユーザーの
インターネット
経由のアクセス
83
Public
internet
Microsoft
Azure
Microsoft
Azure
WAN
Public
internet
84
Property
Static Routing VPN gateway
Dynamic Routing VPN gateway
High Performance VPN gateway
Site-to-Site connectivity (S2S)
Policy-based VPN configuration
Route-based VPN configuration
Route-based VPN configuration
Point-to-Site connectivity (P2S)
Not supported
Supported (Can coexist with site-to-site Supported (Can coexist with site-to-site
connectivity)
connectivity)
Authentication method
Pre-shared key
Maximum Number of Site-to-Site (S2S)
1
connections
Maximum Number of Point-to-Site (P2S)
Not supported
connections
Active Routing Support (BGP)
Not supported
•Pre-shared key for site-to-site
connectivity
•Pre-shared key for site-to-site
connectivity
•Certificates for point-to-site
connectivity
•Certificates for point-to-site
connectivity
10
30
128
128
Not supported
Not supported
Microsoft Azure グローバルサイト:
http://msdn.microsoft.com/en-us/library/azure/jj156075.aspx
日本独自の情報:
http://msdn.microsoft.com/ja-jp/windowsazure/dn132612.aspx
85
Microsoft Azure
<subnet 1>
<subnet 2>
<subnet 3>
DNS
Server
Gateway
Static &
Dynamic
Routing
専用の仮想ネットワーク
リージョン仮想ネットワークの登場
86
仮想ネットワーク内に
最初に仮想マシンを作る際
クラウドサービスを作成して
紐づけを行う
クラウドサービス
データセンター (例:東日本 DC)
87
Microsoft Azure 上の
仮想ネットワーク定義
サイト間 VPN 用
Microsoft Azure へつなぐ
社内ネットワークの定義
仮想マシン内に自動設定さ
れる DNS サーバーの定義
※
ポイント対サイト VPN 用
Microsoft Azure へつなぐ
クライアント用 IP プール
仮想マシン内での利用者による
IP の手動設定が許されていないため、
仮想マシン作成時に DHCP で自動配布
される DNS サーバーの IP アドレスを
ここで指定しておく。
※
AD 環境を構築する場合には強く意識
88
※ Azure が
コントロール
• Set-AzureStaticVNetIP
クラウドサービスに対して実行
Get-AzureVM -ServiceName
StaticDemo -Name VM2 | SetAzureStaticVNetIP -IPAddress
192.168.4.7 | Update-AzureVM
89
90
91
80/443
内部 IP による負荷分散で
自社内のような環境構築
(仮想ネットワーク/クラウドサービス内)
443
443
(例)
443
Web
層
VPN
1433
オンプレミス
1433
DB
層
1433
1433
92
ハイブリッドな
ネットワーク設計
VNet1
西日本
VNet2
米国西部
Azure バックボーンで災害対策
VNet1
西日本
VNet2
東日本
インターネット
日本 本社
米国 支社
オンプレミス
93
North
Europe
West
Europe
London
Amsterdam
94
DNS 設定
(とサービス選択)
96
サイト間 VPN
設定
98
99
自動
作成
クリック
Azure 側でグローバルな
IP アドレスを提供
100
http://msdn.microsoft.com/ja-jp/library/windowsazure/dn133801.aspx
101
102
Gateway SKU ExpressRoute
Throughput*
S2S
Throughput*
Max
Tunnels
Default
500 Mbps
100 Mbps
10
Performance
1000 Mbps
200 Mbps
30
* Subject to traffic conditions and application behavior
103
104
ポイント対サイト
VPN 設定
この状態からスタート
管理ポータル ウィザードを使用した
ポイント対サイト VPN の構成
http://msdn.microsoft.com/jajp/library/windowsazure/dn133792.aspx
※ このページの通りに証明書の作成と
登録をするだけ
(違いは証明書につける名前程度)
106
これで準備完了
クライアントにインストールする
VPN 用パッケージが
ダウンロード可能に
107
108
おさらいと
応用
S2S VPN トンネル
仮想ネットワーク
ゲートウェイ
110
111
Port 443
への ACL 登録
(PowerShell)
実運用ではカスタムドメインを取得して
DNSのCNAMEでマッピング
https:/xxx.cloudapp.net (SSL)
209.xxx.0.0/16
ロード
バランサ
HTTPS Proxy
オンプレミス
データセンター
ユーザ
VPNルータ
SharePoint
フロントエンド
(Large)
SharePoint
アプリケーション
(Large)
Microsoft Azure
ゲートウェイ
仮想ネットワーク
LAN
IPSec VPN
Active Directory
ドメイン コントローラ
Active Directory
ドメイン コントローラ
(Medium)
SharePoint
サーチサービス
(Large)
SQL Server
(A6)
112
Cloud Service
Front End (App) Tier
Virtual
Network 1
Internet
Subnet ACL 10.0.0.4
Middle (Logic) Tier
Virtual
Network 2
Subnet ACL 10.0.0.5
Virtual
Network 3
Backend (Database) Tier
On-Premises Datacenter
VPN ACL 10.0.0.6
113
Grouping of Network traffic rules as
security group
Security groups associated with
Virtual machines or virtual subnets
Internet
Microsoft
Azure
Controlled access between machines
in subnets
Controlled access to and from
Internet
Network traffic rules updated
independent of Virtual machines
Virtual Network
114
Hybrid Cloud
Azure Site Recovery (ASR)
Azure Backup Services
※ OS の標準機能
116
有事の際以外は、
基本的な運用に
変化なし
いざという時
クラウドが
サポート
117
東京データセンター
APサーバー
VPN接続
Microsoft Azure
データ同期
DBサーバー
(仮想)
APサーバー
(仮想)
実現パターン
DBサーバー
(仮想)
APサーバー
(仮想)
アクティブスタンバイ環境を
クラウド内に構築
大阪 DR サイト
AlwaysOnに
よるデータ同期
データ同期
DBサーバー
実現パターン
アクティブスタンバイ環境を
自社DRサイト内に構築
DBサーバー
APサーバー
118
※ OS の標準機能
※ 小規模でも
できる災害対策
東京オフィス
大阪オフィス
119
日々
定期的
テスト用の
N/W に接続
120
Windows Server
Hyper-V
121
ーーー
122
・最適なコストで高度な災害対策システムを構築可能
・2 つのシナリオを利用可能
Microsoft Azure
Site Recovery
制御のみの利用
Microsoft Azure
Site Recovery
災対サイトとして利用
Hyper-V
レプリカ
メイン
サイト
Windows
Server
本番
サイト
災対
サイト
Windows
Server
災対
サイト
メイン
サイト
Windows
Server
123
124
125
2
1
126
SAN
Replication
Take advantage of SAN
Replication capabilities
provided by enterprise
storage partners, across
both FC & iSCSI storage
Supports asynchronous
replication for flexibility or
synchronous replication for
the lowest RPO/RTO
On-premises to On-premises protection
Microsoft Azure
Site Recovery
Communication
Channel
Integration with SAN via
Partner
SMI-S – VMM will discover
and enumerate existing
Integration
storage.
VMM provides
comprehensive SAN
management capabilities
within console
Windows
Server
Primary
Site
SAN Replication
Windows
Server
Recovery
Site
127
EMC
With Preview
NetApp
HP
HDS
Fujitsu
Dell
Huawei
IBM
With Preview
With Preview
In Development
In Development
In Development
In Development
In Development
VMAX
VNX & VNX/e
FAS (8.2 C-MODE)
3PAR
VSP
Eternus
Compellent
OceanStor
XIV
128
(Microsoft Azure そっくりな)
Azure Pack で作る IaaS
仮想マシン サービス
利用者画面
130
[応用] 仮想マシン ロール
サービス込みの
仮想マシンイメージを展開
131
仮想ネットワーク サービス
物理非依存のオーバーレイネットワークで
マルチテナントなサービスを実現
利用者が自由に
ネットワークを作成可能
132
ネットワークサービスと VPN 接続
BGP による
マルチサイト
VPN も
VPN
直接ルーティング
133
利用者画面
System Center ベースの
自社内クラウド基盤
※ ベースが同じ
仮想マシンのテンプレートに
災害対策を事前設定するだけ
IT 担当者
Azure への複製は自動化
134
既存の環境をどうする?
Hyper-V & System Center にしたい
と思っていただけたなら!!
Microsoft Virtual Machine Converter 3.0
http://www.microsoft.com/en-us/download/details.aspx?id=42497
136
Azure 復旧サービス
② Azure Site Recovery Site to Azure
① Azure Site Recovery Site to Site
③ Azure Site Recovery + InMage
(インマージ)
137
•
システム要件
• ゲスト OS
 Windows Server 2003 以降 (x86/x64)
 RHEL 5/6, CentOS 5/6 (x86/x64)
• VMware
 vCenter 5.0 以降/ ESX(i) 4.0 以降
ポイント
 異種混在環境の保護に対応
VMware ベースのプライベートクラウドの V2V 保護
物理マシン (Windows および Linux) の P2V 保護
アプリケーションの P2P 保護
138
[MA 管理ポータル]
139
更に Hybrid
Automation investments over time
•
•
•
•
Automate the creation, deployment, monitoring, and maintenance of resources
Rich workflow consistency through PowerShell Workflow based runbooks
One automation solution for Azure, on-premises and Service Providers
Cloud first investment enables hardened scenarios and capabilities on-premises
141
One Automation Solution for Azure and On Premises
User Interface
• Web portal
• Access Permissions (RBAC)
Authoring
• Graphical Authoring
• PowerShell Authoring
• Visualize end-to-end orchestration
• Gallery
• Service Administrator can create runbooks to automate all aspects of cloud infrastructure, plan delivery, and
maintenance activities
Runbook Engine
• Highly available
• PowerShell Workflow based engine
Integration
• PowerShell Module based integration
• Use existing PowerShell modules for Microsoft and 3rd party systems
• Create PowerShell modules for additional resources/systems
Tools
• Tools to convert SCO Integration Packs and runbooks
142
Elastic runtime
…
RDP
User
Persistent user data
(50GB per user)
Published apps
Custom template image or
prebuilt with Office
RemoteApp Service
Authentication
Microsoft
account
On-premises network
Identity options
Azure Active
Directory
DirSync/Federation
(optional)
Windows Server
Active Directory
143
Elastic runtime
…
Domain
Joined
Subject to IT policy via
GP, System Center, or
other enterprise
management tools
Azure VPN
RDP
Corporate Apps
User
Persistent user data
(50GB per user)
Corporate apps
Custom template image
Maintained via Azure Portal
RemoteApp Service
Authentication
Identity options
Azure Active
Directory
DirSync
On-premises network
144
145
まとめ
147
© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment
on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.