Windows Server 2012 Community Day 2013 年 12 月 MVP とコミュニティ スピーカーが語る「Windows Server 2012 R2 "仮想化 Deep Dive!"」 ■内容: "クラウド OS" としてさらに進化した Windows Server 2012 R2。 このセッションでは、パブリック クラウドの Windows Azure + Windows Server 2012 R2 の概要と、Azure 上でのバーチャル マシンを使いこなすにあたっての勘所を紹介していきます。

1. Windows Server 2012 Community Day 2013 年 12 月
MVP とコミュニティ スピーカーが語る「Windows Server 2012 R2 "仮想化 Deep Dive!"」
Windows Server 2012 R2 Hyper-V
と Windows Azure 勘所
Keiji KAMEBUCHI
pnop Inc.
Japan Windows Azure User Group

2. 自己紹介
{
"name" : "Keiji KAMEBUCHI",
"corporation" : "pnop Inc.",
"mail" : "kamebuchi@pnop.co.jp",
"web" : "http://buchizo.wordpress.com/",
"twitter" : "@kamebuchi",
"facebook" :
"https://www.facebook.com/keijikamebuchi"
buchizo
Senior Fellow
KeijiKamebuchi
@kamebuchi
}
2

3. Goal
• Windows Azure を知る
• Windows Azure 全般
– 仮想マシン （今日の主題）
– 仮想ネットワーク
– その他のサービス
• Windows Azure の勘所（主にWindows Server を中心に）
• Windows Azure を使う
• 得手不得手を知る
• 使いどころを抑える
3

4. 大事なお知らせ
• このセッションは 2013/12/14 時点の情報を基にしています
• 最新情報はWebで❕
4

5. Windows Azure 概要
• Microsoft が提供するクラウド プラットフォーム
• IaaS / PaaS / SaaS / Network ...
• Microsoft が管理・運用するデータセンター上で稼働するパブリック クラウド
• 従量課金 / スケーラブル / ネットワークアクセス / リソース共有 / セルフサービス
• “Windows Azure”はブランド名（誤解を恐れずに言うと）
• Microsoftのパブリック クラウドなサービス群の総称のようなもの
• 逆輸入的なのもある
• Microsoft自身が内部的にいろいろ利用中
– Office 365（認証基盤）とかSharePoint Online（の一部）とか
5

6. 6

7. データセンター／CDN
※2013年12月現在
7

8. 祝：日本リージョン
8

9. サブリージョン
• 例:東日本と西日本のサブリージョン
• ※位置はわからないので適当です
> 500 miles
9

10. データセンター
•
第3世代 (左)
•
•
•
•
•
例：シカゴ
PUE1.22
1,800～2,000 サーバー / 1コンテナ
220 コンテナ = 550,000 サーバー
第4世代 (2012～) (右)
• 例：バージニア
• PUE1.13
出典: Microsoft Partner Technical Days より
10

11. データセンター内の物理サーバー
クラスター
FC
ラック
FC
ラック
Fabric
Controller
クラスター
11

12. 物理サーバーと仮想サーバー
コンピューティング
クラスター
ストレージ
サービス
Elastic
FC
ラック
FC
ラック
Fabric
Controller
12

13. アフィニティグループ
• 同一クラスター内に設定されたグループ
• グループ内のレイテンシがMinになるように配置できる
クラスター
FC
ラック
FC
ラック
Fabric
Controller
アフィニティグループ
13

14. 障害ドメインと可用性セット
• 耐障害性を高めるためのセット
• 電源・ネットワークなど異なる系統になるように配置できる
– ※なので、少なくとも2インスタンス以上ないと意味がない
障害ドメイン
FC
ラック
FC
ラック
可用性セット
障害ドメイン
14

15. 冗長化と地域間複製
• 例:東日本と西日本のサブリージョン
• ※何度も言いますが、位置はわからないので適当です
> 500 miles
Windows Azure Storage
地域間複製
15

16. 複製先での読み取りアクセス [Preview]
• 複製先のストレージの内容を参照できるようになりました
• ※要Preview申込み
• プライマリ
• accountname.<service>.core.windows.net
• セカンダリ
• accountname-secondary.<service>.core.windows.net
16

17. Windows Azure 仮想マシン
• Windows Azure上で稼働させることができるHyper-V Guest OS
• Windows Server 2008 R2 SP1 , Windows Server 2012 , Windows
Server 2012 R2
• Ubuntu Server, Cent OS, openSUSE, SUSE Linux Enterprise
• アプリケーション込のイメージも提供
– SharePoint Server 2013 Trial, SQL Server 2008 R2 SP2, SQL Server 2012
SP1, SQL Server 2014 CTP2, BizTalk Server 2013, Oracle Database 12c /
11g, Oracle WebLogic Server 12c / 11g, Visual Studio 2013
* 言語は英語。言語パックを追加することで日本語化は可能。アプリケーションはそれぞれの対応が必要。
17

18. Windows Azure 仮想マシン : インスタンスサイズ
• 標準インスタンス
サイズ
CPU コア数
メモリ
ネットワーク帯域
データディスク数*1
その他
XS (A0)
共有
768 MB
5 Mbps
1 (1x500)
Temporary: 20 GB
S (A1)
1
1.75 GB
100 Mbps
2 (2x500)
Temporary: 70 GB
M (A2)
2
3.5 GB
200 Mbps
4 (4x500)
Temporary: 135 GB
L (A3)
4
7 GB
400 Mbps
8 (8x500)
Temporary: 285 GB
XL (A4)
8
14 GB
800 Mbps
16 (16x500)
Temporary: 605 GB, NUMA
• メモリ集中型インスタンス
サイズ
CPU コア数
メモリ
ネットワーク帯域
データディスク数*1
その他
A5
2
14 GB
500 Mbps(?) *2
4 (4x500)
Temporary: 135 GB
A6
4
28 GB
1000 Mbps
8 (8x500)
Temporary: 285 GB, NUMA
A7
8
56 GB
2000 Mbps
16 (16x500)
Temporary: 605 GB, NUMA
*1 追加可能なデータディスク数（1TB/個）、カッコ内は1ディスクあたりの最大IOPS
*2 公称値見つからず。
18

19. Windows Azure 仮想マシン : ライセンス
• Windows Serverライセンス および Windows Server CALは不要
• 料金に含まれています
• OfficeおよびクライアントOSをWindows Azure 仮想マシンで実行することは許
可されていません
• ライセンスモビリティでも対象外
• ふれたくない部分
• リモートデスクトップサービスは？
– SPLAでRDS CALがあればWindows Azure上でRDSを利用してホステッドソリューションを提供可能
• VLの一部として所有しているRDS CALは？
– 使えません。RDS SAL（サブスクライバーアクセスライセンス）のみ許可されています
• Ask Microsoftの中の人!
19

20. Windows Azure 仮想マシン : システム構成
• Hyper-V 世代1と同等
• 仮想マシン上は通常の
Windowsと変わらない
20

21. Windows Azure 仮想マシン : ディスク構成
• Cドライブ … OS領域（イメージに含まれる） 永続化される
• VHDX不可, 容量固定, GEN1, ～127 GB
• Dドライブ … 一時領域
• Windows Azureが割り当て、永続化されない
• 障害ドメイン切り替わり時等でフラッシュ
• 速度は早め
• その他 … データディスク
•
•
•
•
ユーザーが接続させる
永続化される
実体のVHDはStorage（Page Blob）
VHDX不可, 容量固定, GEN1, 1 GB ～ 1023GB
• ホストキャッシュ
• OS領域
– Read Only / Read Write (既定)
• データディスク
– None （既定）/ Read Only / Read Write
21

22. Windows Azure 仮想マシン : ディスク構成
• Copy等
• OSのマスターイメージ
• ギャラリーから選択 or ユーザーが用意
Windows Azure Storage
Hyper-V ホスト
22

23. Windows Azure 仮想マシン : エンドポイント
• 仮想マシンとの外部通信を行うポート設定 （外部からのInbound)
•
•
•
•
ロードバランサ経由 / または Direct Server Return (DSR)
TCP / UDP
IPアドレスによるACL
課金されない
データセンター
Cloud Service
• Outbound
• TCP / UDPのみ
– ICMPはNG
• 課金される
仮想マシン#1
• OSのファイアウォールとは別
• 負荷分散セット
• 同一クラウドサービス内で利用するポートの設定
• 負荷分散
仮想マシン#2
• DSRは特殊 （AlwaysOnでは必須）
• クラウドサービス内での通信
• ICMPもOK
Public Port
Private Port
23

24. Windows Azure ネットワークサービス
• 仮想ネットワーク（VNET）
• Windows Azure の仮想マシンなどが配置されるネットワーク
• Traffic Manager
• 複数のクラウドサービス（仮想マシン含む）で負荷分散が行えるサービス
– 同一データセンターやデータセンター間でも可能
– 分散方法は フェイルオーバー ／ ラウンドロビン ／ パフォーマンス から選択
– ※パフォーマンスはクライアントに近いロケーションに接続される
• カスタムドメイン名はCNAMEのみ可
• Site to Site VPN
• 仮想ネットワークとOn-PremiseのネットワークをVPN接続（L2TP）
• 要件を満たすVPN機器もしくはRRASがVPNゲートウェイとして利用可能
• 1:1
• Point to Site VPN
[Preview]
• 仮想ネットワークとクライアントPCをVPN接続（SSTP）
• 1:n
24

25. Windows Azure ネットワークサービス
On-Premise
L2TP
VPNゲートウェイ
Cisco / Juniper
RRAS
VPNゲートウェイ
仮想ネットワーク
クライアントPC
• Site to Site VPNの要件
•
•
•
SSTP
L2TP / IKE v1
AES 128, 256
SHA1, SHA2
• VPN接続 検証済みルーター一覧
•
http://msdn.microsoft.com/ja-jp/windowsazure/dn132612.aspx
プロビジョニングされ
ると課金対象
•
仮想ネットワーク内
• DHCPで配布
• DNSはAzure内部用 または 仮想ネ
ットワークで指定 または 個別に指定
（作成時にPowerShellで指定）
25

26. Windows Azure Backup
• Windows Server 2008 R2 ～ Windows Server 2012 R2 の
正式なバックアップ環境
• Windows Azure上に”安全に”データを保護
• ファイルシステムのみ
• バックアップ先としてクラウド（Windows Azure）を利用
• Windows Server Backup や System Center 2012 R2 Data
Protection Manager との組み合わせ
• システム状態の保護
• グループ全体の統合バックアップ
26

27. Windows Azure Backup
On-Premise
• D2C (D2O?)
• D2C (D2O?)
Backup
Windows
Server
仮想マシン
(Windows Server)
Data Protection Manager
• D2D2C
(D2D2O?)
27

28. Windows Azure Hyper-V Recovery Manager [Preview]
• プライベート クラウドの自動レプリケーションと回復
• System Center Virtual Machine Manager 2012と連携
• プライベートクラウドの監視（保護）
• 復旧計画の構成
Hyper-V Recovery Manager
Virtual Machine Manager
Hyper-V Host
Virtual Machine Manager
• レプリケーション
• フェイルオーバー
Hyper-V Replica
28

29. 計画／導入 : OS
• 仮想マシンをどう用意するか
• Windows Azureのギャラリーから … 用意されたイメージをベースにする
• 自前の基イメージから … Hyper-V（またはWindows Azure）で作成したVHDをベース
にする
– sysprepして一般化していることが前提
• 自前のVHDをそのまま利用 … Hyper-Vで作成したVHDをそのまま使う
• 自前VHDの場合の注意点
• DHCPにする
• RemoteDesktopまたはRemotePowerShellを有効にする
– ファイアウォールの設定も忘れずに
• VHDX不可, 容量固定, 世代1, ～127 GB (OS Diskの場合）
– GB未満が出ないように (MB単位があるVHDは不可 例:P2VしたVHDなど）
29

30. 計画／導入: VHDのポータビリティ
Upload
Template or
OS Image / Data Disk
転送料:なし
On-Premise
VHD ファイルへ変換
VHDX ファイル
テンプレートからコピー
Hyper-V
VHD
P2V
物理HDD
物理サーバー
そのまま起動
VHD ファイル
そのままマウント
仮想マシン
インスタンス
Azure Storage
/ ギャラリー
Downlaod
Template or
OS Image / Data Disk
転送料:課金対象
今の状態を「キャプチャ」
してテンプレート化
sysprep済みイメージ
30

31. 計画／導入: その他
• ネットワーク帯域
• Upload / Download しすぎに注意
– VHDのUploadしてるとすぐに…
– バックアップやシステムでどれぐらいの通信を行うか事前にある程度把握しましょう
• 課金にも絡みます
• ネットワーク構成
• 仮想ネットワークは作成後、変更しにくい
– サブネットの追加、DNSサーバーの変更は可能
• ネットワークの設計はよく考えて
– サブネット、ルーティング、VPNなど
• ルーティングの自由度はほぼ無い
• 名前解決とIPアドレスは要注意
– 静的IPアドレスは未サポート
• IPアドレス決め打ちアプリなど要注意（デプロイするまでIPアドレスが決まらない）
– ADDSなどはループバックアドレス（127.0.0.1）を仮想マシン作成時に指定するなど工夫が必要
31

32. 計画／導入: その他
• サポートされない機能
•
•
•
•
•
•
Hyper-V
DHCP Server
リモート アクセス (直接アクセス)
Rights Management サービス
Windows 導入サービス
BitLocker ドライブ暗号化 (オペレーティ
ング システム ハード ディスク上 – データ
ディスク上で使用可能)
• Windows Server フェールオーバー クラ
スタリング (SQL Server AlwaysOn
http://support.microsoft.com/kb/2721672/ja
•
•
•
•
•
•
•
•
Availability Group を除く)。
インターネット記憶域ネーム サーバー
マルチパス I/O
ネットワーク負荷分散
Peer Name Resolution Protocol
SNMP サービス
SAN 用ストレージ マネージャー
Windows インターネット ネーム サービス
無線 LAN サービス
32

33. 計画／導入
• エンドポイントとACL
• 負荷分散するかどうか
• ACLを設定するか
• エンドポイント無しというのもアリ
– VPN接続でグローバルには公開しない
– ただしパブリック クラウド上に存在する
• FQDN（ xxx.cloudapp.net ）はグローバルで一意
– CNAMEなども検討
• グローバルIPアドレスは非永続的
– クラウドサービスが存在している間は固定
33

34. 計画／導入
• パフォーマンス
• インスタンスサイズの特性を把握
– メモリ容量なのかCPUコア数なのか
– ネットワーク帯域の制限も考慮
• ディスクのIOPS
– データディスクを複数束ねる／ホストキャッシュの設定／Geo-Replication／アフィニティグループ
– テンポラリディスクの活用
• 稼働時間とスケール
• 夜間など業務時間外にシャットダウンしてコストカットなど
– スクリプトを使って自動化
– スケールイン・スケールアウトなど
• インスタンスが増減しても問題なく稼働するか？
34

35. 管理／運用
• Windows Azure Pack (Private Cloud)
• SCCM
• System Center 2012 Configuration Manager サポート有
– http://support.microsoft.com/kb/2889321/
– http://blogs.technet.com/b/systemcenterjp/archive/2013/12/04/3615696.
aspx
• SCOM
• System Center 2012 SP1
• System Center Management Pack for Windows Azure
– http://www.microsoft.com/en-us/download/details.aspx?id=38414
35

36. 管理／運用
• RDP
• 普通に利用可能（要エンドポイント or VPN）
• RSAT (Remote Server Administration Tools)
• 要VPN
• 通常の設定で利用可能
• PowerShell
• OSの管理 … RemotePowerShellが利用可能（要エンドポイント(TCP/5986) or VPN）
– Enter-PSSession -ComputerName <servername>.cloudapp.net -UseSSL -Credential(Get-Credential)
– ※エンドポイント（インターネット経由)でつなぐ場合はSSL証明書を取得して信頼されたルートCAに.cerを登録し、信頼するようにしておく
• Windows Azure および 仮想マシンの管理
– Windows Azure PowerShell Cmdlet
– http://msdn.microsoft.com/ja-jp/library/windowsazure/jj156055.aspx
36

37. 管理／運用
• 証明書の配置場所
37

38. 管理／運用
• Windows Azure Cross Platform Command Line
38

39. 管理／運用
• Windows Azure 側のメンテナンス
• ホストのUpdateによりメンテナンスが発生する場合がある
– 数分程度のシャットダウンが発生（顧客のサービスのダウンの可能性）
– 基本的に（現状）2インスタンス以上の可用性セットを使った冗長化が必須（SLA対象）
• アップグレードドメインが異なっていればメンテナンスは交互に行われる
• ホストのUpdateによるメンテナンスはUncontrollable
– いつ落ちてもいいような構成を検討しましょう
39

40. 管理／運用
• 管理者
• 初期の管理者アカウント = サブスクリプション契約したMicrosoftアカウント
• 追加の管理者アカウント（Co-Admin） = 10 アカウントまで
– 細かな権限設定は不可 （全員同じレベル）
– Microsoftアカウント または 対象サブスクリプションの Windows Azure Active Directory
アカウント
• 委任を考える際は注意が必要
– 例: プロジェクト毎にサブスクリプションを作る 等
• 証明書
• 秘密鍵付き証明書の取り扱いに注意
40

41. 法律
• 準拠法と管轄裁判所は日本
• “本契約は日本の法律を準拠法とします。本契約の強制履行を求めて提訴する場合は、
東京地方裁判所に提起しなければなりません。上記にかかわらず、いずれの当事者も、知
的財産権の侵害に関する差止請求を行う場合には、任意の適切な管轄裁判所において
行えるものとします。”
– http://www.windowsazure.com/ja-jp/support/legal/subscriptionagreement/
• 国外に持ち出してはいけないデータは？
• 日本リージョン（データセンター）で解決 ;-)
41

42. 法律
• 米国愛国者法（パトリオット法）
• パトリオット法自体は米国政府がユーザー・データにアクセスする為の方途ではない
• 対象は米国に「存在がある」企業（情報の所在は関係が無い）
• “Microsoftを含むどの事業者でも、請求を受けた場合にはまずお客様に連絡をして許可
を求めるように対応するのが一般的”
• USAパトリオット法とクラウド・サービスの利用 質疑応答（翻訳）
– http://www.insideprivacy.com/resource_center/Covington%20Cloud%20In
fo%20and%20Patriot%20Act_Japanese.pdf
• http://ayakotan.wordpress.com/2013/06/03/usa-patriot-act-andazure/
42

43. 法律
•ポイント
•日本法人でOK
•他の法律（輸出規制など）にも注意
•日本リージョンで大部分の懸念点が解決するかも
43

44. セキュリティ／コンプライアンス
• 侵入テストなど
第三者機関による監査/認証
• GFS/Azureに対してはMSが担当
• ユーザーのアプリケーションは自己責任
• 実施するなら事前に申請しましょう
アプリケーション / サービス
クラウドサービス / 仮想マシン
アプリケーションに関わる部分は
自己責任
Global Foundation Services (GFS)
44

45. セキュリティ／コンプライアンス
• ISO/IEC 27001:2005 監査および認証
• JIS Q 27001:2006
• SOC 1 および SOC 2 SSAE 16/ISAE 3402 認証
• Cloud Security Alliance の Cloud Controls Matrix (CSA CCM)
• Federal Risk and Authorization Management Program
(FedRAMP)
• HIPAA Business Associate Agreement (BAA)
45

46. セキュリティ／コンプライアンス
•ポイント
•サービスに関するセキュリティは自身で担保しましょう
•Windows Azure が提供するサービスについては
Microsoftが責任を持ちます
– 各サービスがどこまでを担っているか
•サービス提供側になるときは尚更
46

47. 課金
• Pay as you go
• 仮想マシン（コンピューティング）
– インスタンスサイズ・数に応じて分単位で課金
– シャットダウンは2種類あるので注意（OS上のシャットダウンと課金が発生しないシャットダウン）
• 仮想ネットワーク
– ネットワーク転送料（データセンターからの送信のみ課金）
– VPNゲートウェイ （利用可能になっている時間で課金）
• Storageなど
– VHDの保存 （Geo-Replicationはサイズ倍＋データ転送料も）
– Backup, Hyper-V Recovery Managerなど
• Windows Azure 料金計算ツール
– http://www.windowsazure.com/ja-jp/pricing/calculator/?scenario=full
47

48. 課金
• 基本はクレジットカード
• 請求書ベースもOK
• 6か月 / 12か月
– 一括払いもアリ
• Enterprise Agreementもあります
• その他ベネフィット
• MSDN Subscription
• BizSpark / DreamSpark
48

49. Preview機能
• よくPreview機能がリリースされます
•
•
•
•
SLA無し
料金（安かったり無料だったり）
サポート無し
P2S VPN / Windows Azure Hyper-V Recovery Manager など
• 誤って本番利用しないように
• 使ってもいいけど自己責任で
49

50. まとめ
• Windows Server 2012 R2 と Windows Azure
• 切っても切れない関係
• Windows Server 2012 R2 も含めて全体を考えればWindows Azure も
そう変わらない
• 制約はどんなものにも付き物です
• 発想を柔軟に
• 実現したいことはなんですか？
50

51. Thank you!
51

52. Q&A （時間があれば）
• このセッションは 2013/12/14 時点の
情報を基にしています
• 最新情報はWebで❕
※Azureは日々進化するのでこの時点から情報が劣化していきます…
質
問
シ
テ
ネ
！
52

53. Appendix
•
Windows Azure Pack
•
•
Windows Azure のトラスト センター
•
•
http://www.microsoft.com/ja-jp/business/enterprise/cp/azure-system/default.aspx
Windows Azure Cross Platform Command Line
•
•
http://msdn.microsoft.com/ja-jp/windowsazure/dn194020.aspx
Windows Azure Backup 評価ガイド
•
•
http://www.windowsazure.com/en-us/documentation/scripts/?fb=ja-jp
Windows Azure 自習書シリーズ - 仮想マシン (IaaS) 編 ※オススメ
•
•
http://www.windowsazure.com/ja-jp/support/legal/sla/
Windows Azure Script Center
•
•
http://ayakotan.wordpress.com/2013/06/03/usa-patriot-act-and-azure/
Windows Azure のSLA
•
•
http://www.windowsazure.com/ja-jp/support/legal/privacy-statement/
米国愛国者法とWindows Azure
•
•
http://www.windowsazure.com/ja-jp/support/legal/subscription-agreement/
Windows Azure のプライバシーに関する声明
•
•
http://www.windowsazure.com/ja-jp/support/trust-center/
Windows Azure 契約
•
•
http://www.microsoft.com/ja-jp/server-cloud/windows-azure-pack.aspx
https://github.com/WindowsAzure/azure-sdk-tools-xplat
VPN接続 検証済みルーター一覧
•
http://msdn.microsoft.com/ja-jp/windowsazure/dn132612.aspx
53