「AzureのIaaSで構築する、シンプルなWebサーバ環境」に参加。
3月6日
Azure Antenna 公式ハッシュタグ #aajp
下調べ
- 色のアジュールのRGB
RGB (0, 127, 255)
- 公式アイコン
RGB (48, 122, 207)
え?
準備
https://azure.microsoft.com/ja-jp/free/ にアクセス。
「既にサブスクリプションをお持ちのようです。」の画面。
HandsonについてはLinuxサーバーでの実施となります。
目的
Azureを知る Azureに慣れると Azureに〜
持ち帰ること
AzureにでVMを作るなんて簡単だ。
MS
Word, OS -> クラウド
- ミッション
ビルゲイツ、スティーブバルマー 「Empower every person and every organization on the planet to achieve more.(地球上のすべての個人とすべての組織が、より多くのことを達成できるようにする)」
PaaSからスタートした。ので辛い時期があった。
レスポンしビリティ(管理の責任)が違う。
オンプレミス、IaaS、PaaS、SaaS
ユーザー管理 ⇦ ⇨ ベンダー管理
オンプレミス・・・捨ててもまだお金が残る、償却して捨て去るまで クラウド・・・必要な分だけの費用
|Security| |IaaS | PaaS| |Storage Service|
セキュリティクラウドセキュリティゴールドマーク、日本初 MSとNTT東日本だけ
日本初のクラウドセキュリティ ゴールドマークを取得 - News Center Japan
普通のデータセンターよりも強化されている
- データの保全性
ティア化ではない、3多重化
アクセス権・・・MCIO インフラストラクチャオペレータ
解約後、壊れた・・・NIST800−88 準拠のデータ消去と物理はき
サイバークライムセンター 日本は品川の31F MS
働き方改革で席がない。 支社・・・福岡、大阪(席ある)
Tech Seller・・お客さんと直接やりとり
インシデントの可視化 (英: incident) は、事故などの危難が発生するおそれのある事態 ・・1日500MB
DDoSプロテクション・・・チェック入れるだけ
- SAP HANA
メモリ 8TB 20TB
x サップ o エスエーピー
IaaS:36リージョン+6が公開
- トラフィックマネージャ
リージョン固定されない、お客さんに近いのを返す
中国・・・法整備的にMSができない。Azureの仕組みだが販売運用が違う。
大西洋横断海底ケーブル 160 Tbps
・New Cross Pacific 持ち合い ジョイントベンチャーで 投資額で決まる Googleとか
・PaaS
IaaS以外はPaaSと言っても差し支えない
Redis Cache サービス コンテナ 動画配信 Push通知
機能から探すー>やりたいことから探す のアプローチがいい。
Storage:LRSデータセンター内での冗長性 Locally Redundant Storage (LRS)
geo redundancy storage (GRS)
GRS-RA
SLA・・・Agreementを決める。99.95% 返金 Azureは全てのサービスにSLAが設定されている。 SLAとは、Service Level Agreementの略で、サービスを提供事業者とその利用者の間で結ばれるサービスのレベル(定義、範囲、内容、達成目標等)に関する合意サービス水準、サービス品質保証などと訳されます。
Hyper-V(ハイパーV、はいぱーぶい)は、マイクロソフトが提供するハイパーバイザベースのx64向け仮想化システムで、1台のコンピュータ(サーバ)で複数の仮想機械を実現する
セキュリティーテストができる。 Kali Linux ペネトレーションテスト
Bitnami F5
- 事例
SEVEN BANK 北國バンク・・インターネットバンキング
Azureに
かつてASM
ARM・・Azure Resource Manager
ASM・・Azure Service Manager
アブスクリプション(アカウント)
ツリー状に。
PaaSだろうがIaaSだろうがリソースグループを最初に作る
VMの基本:様々な仮想マシン
○v2
ハイパースレッドを使ってない。
AWS・・・仮装CPUに対して1コア
Dv2・・・ハイパースレッド有効になった。
今はLが一番早い GPUを搭載したシリーズ
F・・・計算能力の最適化、SSDをマウントできる
140種類がある。
Ls・・NAS、ストレージの最適化シリーズ
GPUシリーズ・・NCいっぱい並べて、仮装グラフィックボード
AI向け
A、H・・・HPC(high-performance computing)向け、ノード間通信 InfiniBand(インフィニバンド)とは、非常に高いRAS(信頼性・可用性・保守性)を持つ基幹系・HPC系のサーバ/クラスター用高速I/Oバスアーキテクチャ及びインターコネクトのこと。
保険の数値計算・・今43歳、5年に一度事故る、事故った時の怪我などをシミュレーション
VMの基本:VMの構成リリース
仮装NIC、ルート仮想OSディスク、(リソースとしては不可視)テンポラリディスク
VNetの基本:仮装ネットワーク関連機能
Network Secure Gateway
VNet同士で通信はできないが
10.0.0.0/24 ↑↓ 普通できない 1.12.25.0.0/24
VNetピアリングでできる
サブネットマスク セグメントを分ける。
NSG・・・簡易なファイアーウォールがある
仮装NICをつけられる。
- 外部からVM
NSG2が評価、次にNSG1、その後で通信できる。
- VMから外部
別のフィルターがある。
IPアドレス、ポート
SSHの22が空いている。
Windowsは3389(RDP(Remote Desktop Protocol))だけ空いてる
UDR(User Defined Route)
大半の人は通信の順番
わらかない人は通信の流れを意識してない人が多い。
Azure上のNICの設定、IP転送
ファイヤーウォール製品・・アプライアンス
TCP dumpで確認できる。 wireshirk
subnetのとらえ方
================================== /24・・・・ ・・・・256個 /25 /25・・・ ・・・・128個 /26 /26 /26 /26 ・・・・64個 /27 /27 /27 /27・・・32個 ==================================
Vnet・・・自体にお金かからない UDR、NSGも。 外に行く通信だけ。
仮想NICの性能目標はドキュメントに記載があります。 VMのサイズによって、追加できる数、性能に違いがあります。
数字になってないのは話せない。
・負荷分散されたVM
・n層アプリケーション カサンドラ
・複数地域のアプリケーション
MSでのVMとは?
VM On Virtual Network + Network security Features
Azureは ソフトウェアでなってる。クラウドなので冗長しない。
ハンズオン
Virtual Network Subnet VM・・・一番小さいやつ CentOS-based 7.4 Rogue Wave Software(Open Logicという会社名が今はサービス名。サポートをする会社)
yum-update apt-getとかは普通先にやるが、時間かかるので割愛。
リソースグループの作成
- Resource groupsでまず作る
-> 今お気に入り(favorite)にあるけど、追加したいなら星マークで追加する。
- 既定のディレクトリ
お気に入りにあるが。基本入っているResource リフレッシュすることで、作ったのがでる。
仮想ネットワークの作成
virtual(日本語は「仮想」)で検索。 Virtual network(日本語は「仮想マシン」)を選択する。
Address space、Address range
10.255.255.0/24
にする。
Nameを決める時に、接頭辞vnet-
重要
Use existing
サービスエンドポイント ・・・SQLサーバー、外のインターネットには出ない。Azure内で閉じた通信。
VNet + Subで許可するかどうか
クラウドシェル
PowerShellも使える。
最初の時は生成があるので作る。少し時間かかる。
_>
ってアイコンを選択
ssh-keygen -f ./antennakey
この時パスフレーズ入れない。
antennakey
と antennakey.pub
を作る。
自分のローカルマシンにコピペ。
Macはcommand+c, command+vでいいが、 WindowsはShift+c?, Shift+Insert
CentOS 7.4が最新
SSDではなくHDDにしないとお金かかる。
SSH 公開キーがMS推奨! もし、パスワードの場合は12文字以上
[B1S Standard]
H-Basic安い。1ヶ月2000円。
可用性セット・・同じラックだが、違うハイパーバイザ (hypervisor) がセットされる。
SLAとは、Service Level Agreementの略で、サービスを提供事業者とその利用者の間で結ばれるサービスのレベル(定義、範囲、内容、達成目標等)に関する合意サービス水準、サービス品質保証などと訳されます。
Offした時は課金されないが、OSなどのストレージは課金される。
課金は時間表示さが、実際は分単位でやっている。
今のお金見る。
通知はベルのマークで見られる。
sshログイン
クラウドシェルで(ローカルマシンでもできる)
ssh -i ./antennakey antenna@104.41.179.182
ローカルの時はエラー出るので権限を弱くする
chmod 0600 ./antennakey
httpdのインストール
sudo yum install httpd -y
管理者のsudoのための権限が入っている。
-y
はyesの確認のスキップ。
sudo vim /var/www/html/index.html
- Apacheの起動する。
sudo systemctl start httpd
- プロセスの確認
sudo systemctl start httpd
curlでコンテンツ確認
curl -X GET http://localhost/index.html
*アクセスできない
curl -X GET http://104.41.179.182/index.html
ネットワークブレード
仮想ネットワークはOK ロードバランサーはOK AllInBoundはダメにしてる
ホワイトリスト型 1000番号までに開けないとダメ
1NSGあたり400まで
まとめ
Vnetを作って、サブネットを作ってネットワーク セキュリティ グループ
複数のサブネットを作ることはできない
Q and A
ブチザッキ Azureのトップクラスの人
- 優先順位を使うケースは?
ぶっちゃけない。 全部フィルターをやるので。 ICMP・・・pingを打つコマンド。TCPかUDPかANYの指定しかない。ICMPを明示的に設定できない。「pingは嫌だ。」の時はANYに含まれるので
TCP, UDPは先 ANY ALLOW どうしても最後にPing 100-4096しか作れないので、4094, 4095
エンドポイント ・・・public同士もバックボーンを通る。
Border Gateway Protocol(ボーダ・ゲートウェイ・プロトコル、略称 : BGP) 必ずこのピアリング、BGP
バックボーン・・・物理的な線を通る
タッピングされるんじゃないの?
AWSは暗号化しないと
ActiveDirectoryはシンガポールのサポートになる。
DDoS対策 Akamai(Prolexic)
DDoSプロテクションのベーシック・・・数の暴力に対する仕組み。タダです。自動。
DDoSプロテクション、スタンダードが今後できる。
- VNetが多層、ハブVNet
ピアリング
バッティングするとBGPがおかしくなる
お互いにNATをかませることで通信ができる、ただし制限ができる。
ピアリング(peering)とは、一対の通信機器同士やネットワーク同士が互いに相手を認識・承認し、相互に通信を行える状態にすること
- 作者: 久森達郎、真壁徹、大田昌幸、藤本浩介、佐藤直生、安納順一、松崎剛、高添修,日本マイクロソフト株式会社
- 出版社/メーカー: 日経BP社
- 発売日: 2017/11/17
- メディア: 単行本
- この商品を含むブログ (1件) を見る
Microsoft Azure実践ガイド (impress top gear)
- 作者: 真壁徹,松井亮平,水谷広巳,横谷俊介
- 出版社/メーカー: インプレス
- 発売日: 2017/12/15
- メディア: 単行本(ソフトカバー)
- この商品を含むブログ (2件) を見る