Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Azure Network 概要

3,589 views

Published on

Microsoft Partner Network参加パートナーの皆様向けに作成した、Azure Networkの全体像を説明するためのスライド。各機能の詳細はないが、ネットワーク機能の全体を把握できる。

Published in: Software
  • Earn Up To $316/day! Social Media Jobs from the comfort of home!  http://t.cn/AieXiXbg
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • ♥♥♥
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • accessibility Books Library allowing access to top content, including thousands of title from favorite author, plus the ability to read or download a huge selection of books for your pc or smartphone within minutes ,Download or read Ebooks here ... ......................................................................................................................... Download FULL PDF EBOOK here { http://bit.ly/2m6jJ5M }
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Azure Network 概要

  1. 1. Azure Azure Network 概要 福原 毅 ( tfukuha ) パートナー ソリューション プロフェッショナル パートナー事業本部 日本マイクロソフト株式会社 2019年7月9日 Azure Core Infrastructure - Network
  2. 2. Hidden Slide ご注意: 本スライドは、 Azure Networkの機能概要を紹介するものです。Azure Networkのすべての機能を網羅するものでも、リファ レンス アーキテクチャを紹介するものでもありません。Azure Networkの全体像を把握いただき、お客様への紹介にご活用いた だければ幸いです。 (Level 200) また、本スライドと合わせて、資料末尾に記載のある、Azure ウェビナー をご参照ください。 本スライドは、作成日時点の情報です。製品リリース予定やサービス仕様等の情報は予告なく変更される場合があります。必 要に応じて、 https://docs.microsoft.com/ja-jp/azure/ を参照し、各サービスの詳細、および最新情報をご確認ください。 資料中の参考価格は対象製品・サービスのみの価格例であり、実際の構成により他製品・サービスの費用も別途必要となる 場合があります。実構成にあわせて詳細価格の見積を取得し、ご確認ください。 日付 版 備考 2019年7月9日 Version 1.01 2019年5月以降に一般提供開始となったサービスの記述更新。 2019年4月12日 Version 1.0 公開初版。 !
  3. 3. 内容 はじめに: 仮想ネットワーク概要 Connect: クラウドとの接続 Protect: アプリケーションの保護 Delivery: アプリケーションの配信 Monitor: 監視 Appendix: お勧めのAzure ウェビナー
  4. 4. コア インフラストラクチャー コンピューティング 仮想マシン 可用性セット 仮想マシンス ケール セット メンテナンスの制御 ストレージ Blob Data Lake Gen2 管理ディスク, Files, Data Box, Hybrid Storage ネットワーク 仮想ネットワーク ExpressRoute, CDN, ロードバランサー Traffic Manager 運用管理 Cloud Shell, RBAC Backup, Site Recovery Monitor, Automation, Security Center
  5. 5. 仮想ネットワーク概要 はじめに
  6. 6. Azure Monitor Azure DNS Azure CDN App Gateway Log Analytics Azure上のシステム設計 Network Security Group 可用性セット:A 可用性セット:B 東日本リージョン Network Security Group ※西日本へRA-GRS可能 Azure VM Azure SQL Database Azure Active Directory BLOB Functions
  7. 7. 基本的にこれまでと変わりません
  8. 8. ネットワークサービスの構成要素 9 • DNS • CDN • Virtual Network • Load Balancer • Application Gateway • ExpressRoute • VPN Gateway
  9. 9. 仮想ネットワーク Microsoft Azure 内のユーザー独自のネットワーク 仮想ネットワーク 仮想ネットワーク 仮想マシン 仮想マシン インターネット アクセスは可能 仮想ネットワーク内の 仮想マシン間は自由に アクセス可能 仮想ネットワーク間は 分離しているため、 既定ではアクセス不可 インターネット https://azure.microsoft.com/ja-jp/services/virtual-network/➔
  10. 10. 仮想ネットワークのIPアドレス管理 11 1 つのアドレス空間、 1 つのサブネット(既定) 1 つのアドレス空間、 複数のサブネット 複数のアドレス空間、 複数のサブネット アドレス空間 10.0.0.0/8 サブネット 192.168.2.0/24 サブネット 192.168.1.0/24 サブネット 192.168.1.0/24 サブネット 10.0.0.0/16 アドレス空間 192.168.1.0/16 サブネット 10.0.0.0/16 アドレス空間 10.0.0.0/8 アドレス空間 192.168.1.0/1610.0.0.4~ 192.168.1.4~ 192.168.2.4~ 10.0.0.4~ 192.168.1.4~
  11. 11. Azure仮想マシンへのIPアドレス管理 「パブリック IP アドレス」を利用して仮想マシンに公開アドレスを付与します • ネットワークインタフェースに対して「パブリック IP アドレス」を付与することで、外部アクセス 用の公開アドレスを利用可能です。 • IP アドレスは「動的」または「静的」を定義 することが可能です。 • DNS 名レベル(オプション)を付与するこ とで、DNS 名(例:<ユーザ定義>.<リー ジョン名>.cloudapp.azure.com)を利用 したアクセスも可能です。 • IPv4/IPv6 のどちらも利用可能です 12 ネットワーク インタフェース サブネット1
  12. 12. 複数のNICを仮想マシンに装着可能 DMZを構成したり、仮想アプライアンスを設置可能 仮想マシンに複数の vNIC を装着可能 Windows 以外の OS も含め、Basic SKU 以外の すべてのインスタンスで利用可能 同一VNet内であれば、vNICの着脱が可能 作成可能な vNIC の枚数は、インスタンスサイズごとに 異なる • L (A3) および A6: 2 • XL (A4) および A7: 4 • A9: 2 • D3: 2 • D4: 4 • DS14: 8仮想ネットワーク (VNET) Firewall VM02 DMZ Frontend Backend VM01 NIC の付け替えが可能 https://azure.microsoft.com/ja-jp/documentation/articles/virtual-networks-multiple-nics/
  13. 13. Infiniband - HPC • 低遅延・高帯域なRDMA通信が可能 • Hシリーズ・NC(v1-v3)シリーズ、 ND(v1)シリーズで使える H16rH16r RDMA over Infiniband
  14. 14. 0 10 20 30 40 50 通常のネットワーク VS 高速ネットワーク VS Infiniband 仮想マシンごとの想定ネットワーク帯域幅を使い切るには高速ネットワークが必須 Infinibandでは、高速ネットワークを超える性能が利用可能 レイテンシ [μs]帯域幅 [Gbps] 0 100 200 300 400 500 600 H16rDS5_v2 DS5_v2 DS5_v2 H16rDS5_v2 3.8 3.6 ×15.3 13.5
  15. 15. ネットワークセキュリティグループ(NSG) 仮想ネットワーク上の仮想マシンへのトラフィックを制御 • 送信元 IP アドレス、宛先 IP アドレス、ポート(範囲も可)、 プロトコルを指定して、送受 信両方向の通信を許可・禁 止。 • NSG は「サブネット」全体、 あるいは個々の「ネットワーク インターフェース」に設定可能。 仮想ネットワーク (VNET) Firewall VM VM02VM01 NSG_1 NSG_2 NSG_3 DMZ サブネット Frontend サブネット Backend サブネット https://docs.microsoft.com/ ja-jp/azure/virtual- network/security-overview ➔
  16. 16. ユーザー定義のルート (UDR) • 仮想ネットワーク上の仮想マシンへのトラフィック を制御 • 「ルートテーブル」 はサブネット単位で割り当て • ルーティング情報を定義し、ネットワーク内のトラ フィック制御を行う • アドレスのプレフィックスにより、次のホップ先を 指定 • 0/0 ルートを指定することで、オンプレやアプライ アンスにすべてのトラフィックを強制的にルーティ ング DMZ-Subnet Backend-Subnet 仮想ネットワークVM アプライアンス UDR_1 VM アプライアンス UDR_0 システム ルート
  17. 17. 仮想ネットワークの Peering 複数仮想ネットワークを連結 • 仮想ネットワーク同士を接続し、同一ネッ トワークのように通信することが可能です。 • Azure サブスクリプション間、 Azure リージョン間でデータを転送できま す。 • 仮想ネットワークを数珠繋ぎにしても、隣 の仮想ネットワークにのみ通信が可能です • 例: VNET1 -> VNET2 -> VNET3 で 接続した場合、VNET1 と VNET3は直 接通信できません ⚫複数の仮想ネットワーク間を接続 仮想ネットワーク A 仮想ネットワーク B VNET ピアリング https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual- network-peering-overview
  18. 18. Azure 対外接続全体像とExpressRoute ユーザー インターネット フロントエンド アクセス ・ACL ・負荷分散 ・DNSサービス ・Traffic Manager ・DDoS防御 Azure 仮想ネットワーク ・ネットワーク セキュリティ グループ ・ユーザー定義ルーティング バックエンド接続 ・ポイント対サイト接続 ・サイト対サイト接続 ・ExpressRoute ExpressRoute サイト対サイト ポイント対サイト Microsoft Azure https://azure.microsoft.com/ja-jp/services/expressroute/➔
  19. 19. ネットワークのニーズは、変化している 最良のユーザー体験の創出 パフォーマンス強化のための インサイトと分析 可視化と ネットワーク異常の迅速な警告 豊富なトラフィック分析 分散Webアプリケーションの保護 より洗練された攻撃の出現 大規模なデータのための広帯域接続 Network-as-a-Service – Internet & SDWAN
  20. 20. Azure のネットワーク サービス CDN Front Door Traffic Manager Application Gateway Load Balancer Virtual Network Virtual WAN ExpressRoute VPN DNS Network Watcher ExpressRoute Monitor Azure Monitor Virtual Network TAP DDoS Protection Firewall NSG Web Application Firewall Virtual Network Endpoints
  21. 21. 54 REGIONS WORLDWIDE 100K+ MILES OF FIBER AND SUBSEA CABLE 135+EDGE SITES 200+ExpressRoute Partners
  22. 22. クラウドとの接続 拡散したクラウドとの接続新時代
  23. 23. クラウドへの接続に関するお客様の声 Azureへの接続のために、SDWANとインターネットをどう使えばいいの? 支社・支店のオフィスとの接続のための選択肢は? Azure 仮想ネットワークの特徴的な機能は? Microsoftのグローバルネットワークのメリットを、どうす享受ればいいの?
  24. 24. オンプレミスとAzure VNET間の接続 開発・検証用途ではVPN接続、本稼働用途では帯域の安定したExpressRoute接続を推奨 マイクロソフトピアリング接続 Office 365, Dynamics 365, Azure Public IPs Primary Connection Secondary Connection プライベートピアリング接続 ExpressRoute Circuit
  25. 25. 日本国内でのExpressRoute Microsoft バックボーン Azure 西日本リージョン ExpressRoute接続 お客様サイト Azure 東日本リージョン
  26. 26. グローバル複数リージョンを複数拠点から利用する場合 • ExpressRoute契約には既定で地理的リージョン内(日本の場合は東日本と西日本)への接続が含まれる • 海外リージョンへのユーザ接続や、海外リージョンとの間でのシステム間連携が必要な場合、Premium Add-on を契約することですべてのリージョンへの接続にマイクロソフトバックボーンでの通信が利用可能となる お客様拠点 (香港) お客様拠点 (東京) お客様拠点 (シンガポール) マイクロソフトバックボーン 香港 東京 シンガポール 仮想ネットワーク (香港) Azure 仮想ネットワーク (東日本) Azure 仮想ネットワーク (シンガポール) Azure ユーザ接続 システム間連携 DC間接続を利用しない 場合、通信は有料かつ 通信経路を確保するの はお客様の責任 ユーザから接続先DCの 最寄接続箇所までの 通信経路を確保するの はお客様の責任 香港DC 東京DC シンガポールDC お客様拠点 (香港) お客様拠点 (東京) お客様拠点 (シンガポール) お客様WAN 香港 東京 シンガポール 各DC内のネットワークを接 続するサービスも提供され るが通信は有料 Azure DC間の通信 はすべてバックボーン経 由 ユーザ拠点から最寄の 接続ポイントに接続す ることですべてのDCへ のアクセスがバックボー ン経由に
  27. 27. ExpressRoute Direct 直接接続が可能 • 1Gbps ~ 100Gbps • Q-in-Q / dot1Q サポート Premium Add-on/Global Reachを併用すると、 グローバル環境でのWAN構築が可能 2019年4月 一般提供開始 • https://azure.microsoft.com/ja-jp/updates/expressroute-direct-is-now-available/ • https://docs.microsoft.com/ja-jp/azure/expressroute/expressroute-erdirect-about
  28. 28. ExpressRoute Global Reach • ExpressRoute回線を相互に接続 して、オンプレミス ネットワーク間に プライベートネットワークを構築 • オーストラリア、フランス、香港、アイ ルランド、日本、オランダ、イギリス、 米国で利用可能 • 2019年4月 一般提供開始 • https://azure.microsoft.com/ja- jp/updates/expressroute-global-reach-is-now- available/ • https://docs.microsoft.com/ja- jp/azure/expressroute/expressroute-global-reach VNET 1 Japan West Osaka VNET 2 Japan East Tokyo Osaka Tokyo 10.0.1.0/24 10.0.2.0/24 10.0.3.0/24 10.0.4.0/24 ExpressRoute Global Reach
  29. 29. Global Reach で可能になったこと
  30. 30. ExpressRouteの災害対策向けに可能な冗長化構成 ExpressRoute 1本 + IPSec VPN ExpressRoute 1本 ExpressRoute 2本
  31. 31. ExpressRoute の新たな冗長化構成 同じプアリングの場所から VNET への最大4回線のサポート開始 ExpressRoute では、ExpressRoute 仮想ネットワーク ゲー トウェイに接続されている 1 つのピアリングの場所からの回線 が、最大 4 つまでサポートされるようになりました。これまでは 1 つのピアリングの場所で 1 回線に制限されていました。これ は、Azure Public で一般提供されています。 お客様は、同じピアリングの場所にあるセカンダリ接続および 補助接続を使用して、異なるプライベート ネットワークからの 接続を確保したり、複数のサービス プロバイダーによる冗長性 を提供したりできます。 ExpressRoute での、同じピアリングの場所から VNet への最大 4 回線のサ ポート開始 (2019年6月18日投稿) https://azure.microsoft.com/ja-jp/updates/expressroute-now-supports-up-to-4- circuits-from-the-same-peering-location-into-the-virtual-network/ ExpressRoute の FAQ > 同じ都市圏に複数の ExpressRoute 回線を配置することはできますか。 同じ仮想ネットワークにリンクすることはできますか。 https://docs.microsoft.com/ja-jp/azure/expressroute/expressroute-faqs#can-i-have- multiple-expressroute-circuits-in-the-same-metro-can-i-link-them-to-the-same- virtual-network
  32. 32. Azure Virtual WAN https://azure.microsoft.com/ja-jp/services/virtual-wan/ Hubへ接続するだけで、 • 拠点 – Azure 間、 • 拠点 – 拠点 間を接続 スケーラビリティと高いスループット パートナー エコ システム
  33. 33. Azure Virtual WAN
  34. 34. Virtual WAN Partners Coming soon Ignite 2018 で発表されたパートナー 現在利用可能なパートナー
  35. 35. 仮想ネットワークをコンテナーまで拡張 Azure CNI (高度) ネットワーク NEW!
  36. 36. Azure Container Instancesでの動作 https://docs.microsoft.com/ja-jp/azure/container-instances/container-instances-vnet Storage Cosmos DB SQL Database Service Endpoint
  37. 37. Public IP Prefix X.X.X.X/27 X.X.X.X/27 Allow X.X.X.0 X.X.X.2 X.X.X.3 X.X.X.4 X.X.X.1 Internet Internet Deny Azure リージョン内の IPアドレスプール Public IP prefix A reserved IP range for your public endpoints in Azure • 予約可能なアドレスプリフィクス • リージョンで利用可能なアドレスの 中からPrefixを予約可能 • 2019年5月13日より、一般提供 開始 • https://azure.microsoft.com/ja- jp/updates/public-ip-prefix-general- availability/ • https://docs.microsoft.com/ja- jp/azure/virtual-network/public-ip- address-prefix
  38. 38. Service Endpoint Policies Enhanced VNet security for Azure services WestCentral US and West US2, Azure Storage VNet 1 Account A SERVICE ENDPOINT Account B, … Allow Account A SERVICE ENDPOINT POLICY
  39. 39. Azure DNS – Host DNS Zones with High Availability Our 100% SLA will help meet your reliability and resiliency requirements 新機能 DNS エイリアスレコード • PublicIP アドレスリソースを使うと、IP アドレスが変わっ てしまっても DNS レコードも自動的に更新されるように なる。 • ドメインの頂点と特定のホストを同じトラフィックマネー ジャプロファイルに結びつけられます。(右図) Reliability via Global anycast network 世界中の複数のノードで構成されているので、ノードの障害 が発生した場合でも、信頼性の高い応答を提供します。 Protect Against Zero Day vulnerabilities データ面に独立した技術、多様な技術スタックを持ってい ることで、ゼロデイ攻撃に対して 100% の保護を提供しま す。 0:00 Contoso.com (DNS Zone) MyTMProfile (Traffic Manager Profile) External Endpoint 1 (64.44.44.1) External Endpoint 2 (64.44.44.2) @ IN A Alias MyTMProfile www IN A Alias MyTMProfile
  40. 40. アプリケーションの保護 拡大したサービス群を制御し、クラウドリソースを保護
  41. 41. Azure のDDoS 保護 グローバル ネットワーク向けの設計 大規模な攻撃トラフィックをグローバル に分散 25 Tbps以上のグローバルな軽減能力 継続した監視、学習により、保護シグ ネチャーを改善 ​Microsoftのサービスを保護することで 実証済み 個別のアプリケーションのために保護を チューニング アクティブなトラフィック監視で、プロアク ティブに新たな脅威と攻撃のベクトルを 検出 トラフィック モニター DDoS Protection DDoS Protection Azure Host VFP Per-App Dynamic Mitigation Policies 新たな 攻撃パターン 仮想ネットワーク アプリケーション
  42. 42. Azure DDoS Protection Service Azure DDoS Protection Standard が新たな有償サービスとして登場 標準のBasic (無償)で提供されている DDoS 防御機 能に加え、Standard では以下の機能を提供 • 仮想ネットワークリソースに対して専用のトラフィック監視 および機械学習アルゴリズムを通してチューニングされた 追加の軽減機能を提供 • Azure Load Balancer、Azure Application Gateway、 Azure Service Fabric のインスタンスなど、仮想ネット ワーク内にデプロイされたリソースに関連付けられた パブリック IP アドレスに適用 • 各攻撃から収集されたメトリックに Azure Monitor 経由 でアクセス可能 • 組み込みの攻撃メトリックを使用して、攻撃の開始時と 停止時、およびその攻撃の期間にわたってアラートを構成 可能 https://azure.microsoft.com/ja-jp/services/ddos-protection/➔ • DDoS Attack Analytics • DDoS Rapid Response • Azure Security Center integration
  43. 43. Azure DDoS Protectionを検証するインターフェイス https://docs.microsoft.com/ja-jp/azure/virtual-network/ddos- protection-overview#ddos-protection-standard-mitigation Microsoft は BreakingPoint Cloud と提携して、シミュレーションのために DDoS Protection を有効にしたパブリック IP アドレスに対してトラフィックを生成できるインターフェイス を構築しました。 BreakPoint Cloud シミュレーションを使用して、以下の操作を行うことができ ます。 • Microsoft Azure DDoS Protection Standard が Azure リソースを DDoS 攻撃から保護する方法を検証します • DDoS 攻撃を受けているときにインシデント レスポンス プロセスを最適化します • DDoS コンプライアンスを文書化します • ネットワーク セキュリティ チームのトレーニングを行います
  44. 44. Azure Firewall Cloud native stateful Firewall as a service • トラフィックの集中管理 • ビルトインでの HA とオートスケール • Network、 application トラフィックのフィルタリング • VNet と サブスクリプション に対するポリシーを集中管理 • VNET プロテクション • Outbound, Inbound, Spoke-Spoke & Hybrid Connections トラフィック (VPN and ExpressRoute) の フィルタリング • ログの集中管理 • ストレージアカウントのアーカイブログ、Event Hub のストリー ムログのLog Analytics や SIEM へのログ送付 A first among public cloud providers オンプレミス https://azure.microsoft.com/ja-jp/services/azure-firewall/➔
  45. 45. Azure Firewall のパートナー エコ システム パートナー セキュリティ ポリシー 管理ツールのサポート 標準のAzure REST APIsを使い、パートナー ソリューションを簡単に統合 • 集中管理ソリューション AlgoSaaS Guardian • Azure Kubernetes Service (AKS)のセキュリティ ポリシー管理と連携 Orca
  46. 46. Azure Web Application Firewall 高い可用性とスケーラビリティを備えた、 Azure で管理されたWAF (Application Gatewayのコンポーネント) • Azure Application Gateway のコンポーネントとして提 供されるターンキー ソリューション。OWASP top 10 脆弱 性(SQL Injection, XSS, protocol violation, crawlers / scrapers)から保護 • すぐに使える OWASP Core Rule Set 3.0 / 2.2.9 • Azure Monitor と Azure Security Center へのインテ グレーション • What’s New 自動スケーリング、パフォーマンスの向上、 ゾーン冗長、静的VIPサポート 要求サイズ制限(RequestBody, Multipart)、 除外リストの設定 https://docs.microsoft.com/ja-jp/azure/application-gateway/whats-new
  47. 47. アプリケーションの配信 あらゆるWebアプリケーションを、速く、セキュアで、かつ簡単にスケールさせる
  48. 48. アプリケーション配信に関するお客様の声 どのようにしてアプリケーションをグローバルで利用可能にし、障害から回復させるの? 要求する規模にするために、適切なロードバランス ソリューションをどうピックアップするの? ユーザーのアプリケーション体験を最適化するには、どうしたらいいの?
  49. 49. Azureのアプリケーションをロードバランスする配信スィート リージョン / ゾーングローバル Standard Load Balancer (Public) Traffic Manager Application Gateway Standard Load Balancer (Internal) Front Door
  50. 50. リージョンとオンプレミス リソースにより、クラウドへ移行 グローバル スケールのためのビルディング ブロック ハイブリッド、遠隔地間、ストリーミングWebアプリケーション リージョン間とゾーン冗長で、 グローバルな信頼性とパフォーマンスを最大化 Application Gateway Front Door Load Balancer Load Balancer Traffic Managerグローバル リージョン インターナル グローバル リージョン オンプレミ ス Web Apps Mobile Apps API Apps Logic Apps Functions
  51. 51. 52 Azure Front Door Service Your global entry-point to the cloud https://azure.microsoft.com/ja-jp/services/frontdoor/➔
  52. 52. インテリジェントルーティング 遠隔地、サブネット、フェールオーバー、 遅延と重み付 トラフィック ビュー リアルタイム データに基づく、 対応可能なインサイト 分析とログ パターンを認識し、 脅威を検出 Azure Traffic Manager – DNS ベースのロードバランス Azure と外部のエンドポイント用のスマート トラフィック エンジニアリング What’s new • IPv4 / IPv6 のエンドポイントに対応 • Multi-value レスポンスにより可用性が向上 • カスタムヘッダでマルチテナントエンドポイントへのトラフィックを振り分け • エンドポイントの正常性を示すカスタム HTTP 応答コードを指定 • サブネットルーティング: isp または企業のオフィス向けにカスタマイズされたコンテン ツを配信
  53. 53. Azure負荷分散サービス全体像 Azure サービス 機能 Traffic Manager リージョン間の リダイレクト、 可用性 Application Gateway URL/コンテンツ ベースのルーティング、 負荷分散 Load Balancer リージョン内の スケーラビリティ、 可用性
  54. 54. Azureロードバランサー (1/3) 負荷分散規則、NAT 規則の設定が可能 • ロードバランサーに 公開 IP アドレスを付与した場合、インター ネット上からアクセス可能ですが、仮想ネットワークの内部 IP を付与することも可能。 • ロードバランサ配下に含めるには「負荷分散規則」を作成す る場合と「受信 NAT 規則」が存在。 • 「負荷分散規則」を利用した場合、可用性セットを作成した 複数の仮想マシンを配置。ハッシュ値を用いた負荷分散に 加え、クライアント IP を利用したセッション永続化も可能。 • 「受信 NAT 規則」を利用した場合、公開ポート側一つと単 一のインスタンスをマッピング。この場合、仮想マシンを可用 性セットに含める必要なし。 負荷分散規則:80/tcp 100.64.x.4 100.64.x.5 100.84.x.4 80/tcp 80/tcp 22/tcp 可用性セット 受信 NAT 規則:22/tcp https://azure.microsoft.com/ja-jp/services/load-balancer/➔
  55. 55. Azureロードバランサー (2/3)
  56. 56. Azureロードバランサー(3/3) Standard SKU Basic SKU バックエンド プールのサイズ 最大 1,000 インスタンス。 最大 100 インスタンス。 バックエンド プール エンドポイント VM、可用性セット、仮想マシン スケール セットの組み合わせを含む、単一の仮想ネットワーク内の任意の VM。 単一の可用性セットまたは仮想マシン スケール セット内の VM。 Azure 可用性ゾーン 受信と送信に対するゾーン冗長とゾーン フロントエンド、送信フロー マッピングによりゾーン障害に耐久、ゾーン 間の負荷分散。 / 診断 Azure Monitor、バイト カウンターとパケット カウンターを含む多次元メトリック、正常性プローブの状態、接 続試行 (TCP SYN)、送信接続の正常性 (SNAT 成功および失敗のフロー)、アクティブなデータ プレーン測定。 パブリック ロード バランサーに対する Azure Log Analytics のみ、 SNAT 枯渇アラート、バックエンド プール正常性カウント。 HA ポート 内部ロード バランサー。 / 既定でのセキュリティ保護 既定では、パブリック IP とロード バランサーのエンドポイントに対してクローズ。 トラフィックが流れるためには、 ネットワーク セキュリティ グループを使って明示的にエンティティをホワイトリストの登録する必要があります。 既定でオープン、ネットワーク セキュリティ グループは任意。 送信接続 ルールによるオプトアウトを使用する複数のフロントエンド。VM が送信接続を使用できるためには、送信シナ リオを明示的に作成する 必要があります。 仮想ネットワークサービスエンドポイントには送信接続なしで到達 でき、処理されたデータにはカウントされません。 仮想ネットワーク サービス エンドポイントとして使用できない Azure PaaS サービスなどのすべてのパブリック IP アドレスは、送信接続を介して到達する必要があり、処理 されたデータにカウントされます。 内部ロード バランサーだけが VM に対応しているときは、既定の SNAT によ る送信接続は利用できません。 送信 SNAT プログラミングは、受信負荷分散ルールのプロトコルに基づくトラ ンスポート プロトコル固有です。 単一のフロントエンド。複数のフロントエンドが存在する場合は、ラ ンダムに選ばれます。 内部ロード バランサーだけが VM に対応し ている場合は、既定の SNAT が使われます。 複数のフロントエンド 受信および送信。 受信のみ。 管理操作 ほとんどの操作は 30 秒未満。 一般に 60 ~ 90 秒以上。 SLA 2 つの正常な VM が存在するデータ パスで 99.99 パーセント。 VM SLA で暗黙的に提示。 価格 負荷分散ルール(はじめの5ルール:¥2.8/時間、追加¥1.12/ルール/時間)+ データ処理量 (¥0.56/GB) 無償 https://docs.microsoft.com/ja-jp/azure/load-balancer/load-balancer-overview#skus
  57. 57. Azure Application Gateway Azure で管理されるレイヤー 7 の負荷分散 • Microsoft Azure 側で管理される仮想 アプライアンス。IP アドレス、または FQDN でバックエンドへ転送。 • アプリケーション レベルでの ロードバランシングが可能。 • Cookie アフィニティ • HTTP 負荷分散 • SSL オフロード • WebSocket 対応 • WAF 機能を利用することが可能。 • SQL インジェクション • クロスサイトスクリプティング等 Application Gateway HTTP & HTTPS L7 LB WAF 有効なリクエスト 攻撃リクエスト 攻撃リクエスト https://azure.microsoft.com/ja-jp/services/application-gateway/➔
  58. 58. Application Gateway 自動スケーリング 高いパフォーマンスの自動スケーリングSKU 自動スケーリング パフォーマンスの向上と、5倍のSSL オフロード プロビジョニングと構成更新時間の短縮 回復性の強化 機能強化 Azure Application Gateway Standard v2 および WAF v2 SKU の一般提供 https://azure.microsoft.com/ja-jp/updates/azure-application-gateway- standardv2-wafv2-skus-generally-available/
  59. 59. Azure CDN = マルチCDN • One-Stop サービス • Verizon (S1) Akamai(S2)Microsoft (S3) • 地球規模のスケール、高パフォーマンス、高セキュリティ • キャパシティ管理の簡素化とコスト削減 • 分析用ツール、APIと開発者ツール https://azure.microsoft.com/en-us/documentation/articles/cdn-pop-locations/
  60. 60. CDN POP Multiple CDN POPs Regional Cache 64 GLOBAL METROS 36 COUNTRIES 130+ EDGE SITES and growing! 新しい Azure CDN を追加 動的サイト高速化 ビデオストリーミング最適化 大きなファイルに対する最適化 高速パージ IPv4 / IPv6 カスタムドメイン SSL 自己所有証明書の利用 リージョナル キャッシング Available Partially available Not available
  61. 61. 監視 測定 – 監視 – トラブル シュート – 対応
  62. 62. ネットワーク監視の全体像 Metrics Explorer Traffic Analytics Analyze Dashboards Network Topology Visualize ER Monitor Connection Troubleshoot Monitor & Troubleshoot Connection Monitor VPN Troubleshoot Packet Capture Integrate Respond Alerts Autoscale Event Hubs 3rd PartyLogic Apps Azure Monitor Resource Health Activity logs Virtual Network TAP NSG Flow logs Network Watcher ExpressRoute Monitor
  63. 63. Express Route BitsInPerSecond, BitsOutPerSecond PeeringRouteLog Azure VPN Gateway Gateway S2S Bandwidth Gateway P2S Bandwidth P2S Connection Count Tunnel Bandwidth Tunnel Egress Bytes Tunnel Ingress Bytes Tunnel Egress Packets Tunnel Ingress Packets Tunnel Egress TS Mismatch Packet Drop Tunnel Ingress TS Mismatch Packet Drop GatewayDiagnosticLog TunnelDiagnosticLog RouteDiagnosticLog IKEDiagnosticLog P2SDiagnosticLog Application Gateway Throughput Unhealthy Host Count Healthy Host Count Total Requests Failed Requests Response Status Current Connections ApplicationGatewayAccessLog ApplicationGatewayPerformanceLog ApplicationGatewayFirewallLog Load Balancer Data Path Availability Health Probe Status Byte Count Packet Count SYN Count SNAT Connection Count Allocated SNAT Ports (Preview) Used SNAT Ports (Preview) LoadBalancerAlertEvent LoadBalancerProbeHealthStatus Traffic Manager Queries by Endpoint Returned Endpoint Status by Endpoint ProbeHealthStatusEvents ネットワーク サービスのメトリックと診断ログ Azure DNS Query Volume Record Set Count Record Set Capacity Utilization DDoS Inbound packets DDoS Inbound packets dropped DDoS Inbound packets forwarded DDoS Inbound TCP packets DDoS Inbound TCP packets dropped DDoS Inbound TCP packets forwarded DDoS Inbound UDP packets DDoS Inbound UDP packets dropped DDoS Inbound UDP packets forwarded DDoS Inbound bytes DDoS Inbound bytes dropped DDoS Inbound bytes forwarded DDoS Inbound TCP bytes DDoS Inbound TCP bytes dropped DDoS Inbound TCP bytes forwarded DDoS Inbound UDP bytes DDoS Inbound UDP bytes dropped DDoS Inbound UDP bytes forwarded DDoS Under DDoS attack or not Inbound TCP packets to trigger DDoS mitigation Inbound UDP packets to trigger DDoS mitigation Inbound SYN packets to trigger DDoS mitigation Data Path Availability Byte Count Packet Count SYN Count DDoSProtectionNotifications Azure Firewall AzureFirewallApplicationRule AzureFirewallNetworkRule NSG NetworkSecurityGroupEvent NetworkSecurityGroupRuleCounter
  64. 64. Network Watcher Azure におけるネットワークに関するトラブル シューティング • サブスクリプションごとのネットワーク リソース 利用数、制限値を確認 • NSG のログ • ネットワーク関連リソースの診断ログ • VPN ゲートウェイの接続検証 • Traffic Analytics • ネットワーク トポロジーの視覚化 • 通信の検証 (特定の TCP/IP 通信が通るかどうか) • 次ホップの検証 (UDR の検証等) • 複数適用された NSG のルールを統合して確認 • 仮想マシンに対するパケット キャプチャの取得 https://azure.microsoft.com/ja-jp/services/network-watcher/➔
  65. 65. Network Performance Monitor ネットワークパフォーマンス ネットワークのパフォーマンス、可用性、 使用率をリアルタイムで監視します。 ネットワークトポロジの自動検出。より 高速になったフォールト・アイソレーション。 インテリジェントなアラート インテリジェント, 閾値ベースのアラート 分析と相関 一時的なネットワークの問題を検出します。 過去からのネットワークパフォーマンス特性 を分析します。 ハイブリッドネットワークを計測する単一 のソリューション ExpressRoute、アプリケーションおよび ネットワーク接続の E2E 監視。 https://docs.microsoft.com/ja-jp/azure/expressroute/expressroute-monitoring-metrics-alerts➔
  66. 66. Traffic Analytics 視覚化 – Know Your Network ネットワークのトラフィックの分布を理解する - 仮想ネットワークにアクセスします。ネット ワーク上のアプリケーションとプロトコルを検 出します。 セキュリティ – Find & block malicious traffic vm と不正なネットワーク間のフローを検出 します。インターネットアクセスを試みる通信 とアプリケーションを発見してください。 Optimization – Performance and Capacity 適切な sku にアップグレードするために、 VPN ゲートウェイ sku の使用率の傾向を観 察する
  67. 67. Virtual Network TAP (ご参考までに) エージェント不要! パブリック クラウド初のクラウド スケール TAP • 継続的に、仮想マシンのネットワーク トラフィックをパケット コレクターへ流す • セキュリティ管理者と、仮想マシン 管理者の監視境界を完全に分離 Azure ロード バランサー App 層サブネット Web 層サブネット ネットワーク パケット ブローカー 監視 サブネット VM 運用環境のトラフィック VM ミラーされたトラフィック Virtual Network TAP ツール セキュリティ 運用監視 ネットワーク 運用監視 アプリケーション 運用監視 フォレンジック https://docs.microsoft.com/ja-jp/azure/virtual- network/virtual-network-tap-overview➔
  68. 68. Virtual Network TAP パートナー 69 https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual- network-tap-overview#virtual-network-tap-partner-solutions ➔ “Visibility of network traffic in the Chevron’s cloud is mission critical for security, application, and network monitoring its cloud environment. Microsoft's newly-announced infrastructure level traffic tap (VTAP) functionality is an important element in helping Chevron achieve its cloud security and monitoring objectives. Nubeva, a participant in Chevron Technology Ventures’ Catalyst Program, is adding VTAP support to provide a complete traffic visibility solution to Chevron and others in the industry.” Willie Lee Cloud Enterprise Architect Chevron
  69. 69. まとめ Azure Datacenter Infrastructure Azure Backup Site Recovery Azure Monitor Azure Policy Azure Bluepirnts Log Analytics Azure Migrate Databox Family Compute Storage Networking Linux Virtual Machine Compute/Containers Web/Mobile DevOps/Developer Container Instance Functions Service Fabric Integration IoT Data Services Service Bus Event Grid Logic Apps API Management Management Platform as a Services (PaaS) Security Infrastructure as a Services (IaaS) Disk Storage Managed Disks Windows Virtual Machines Express Route Load Balancer Azure Firewall Virtual WAN Network Watcher Virtual Network VPN Gateway Media Services Content Delivery Network Media/CDN Cognitive Services IoT Hub Stream Analytics Role- based access control Azure Digital Twins Time Series Insights IoT Central IoT Edge Bot Services SQL Data Warehouse Azure Databricks HDInsight AI Machine Learning Studio Machine Learning Service Azure Search Analytics Data Lake Storage Gen2 Mobile Apps Web Apps Logic Apps API Apps Notification Hubs SignalR Service Application Insights Lab Services Azure DevOps SDK SQL Database Data Factory Database for MySQL Cosmos DB Database for PostgreSQL Database for MariaDB Database Migration Service Azure Cache for Redis Azure AD Key Vault Security Center DDoS Protection Multi-Factor Authentication Azure ATP Azure AD for Domain Services Azure AD B2C Cost Management Video Indexer Content Protection Kubernetes Service SQL Data Warehouse Table Storage Microsoft Azure のすべてのサービス 一覧 = https://azure.microsoft.com/ja-jp/services/
  70. 70. Azure ウェビナー Appendix:
  71. 71. おすすめのウェビナー シリーズの一例 • Azure へのお引越しシリーズ (全6回) • Azure はじめの一歩 (全6回) • インフラ モダナイゼーション特集 (全7回) • 一歩先行く Azure Computing シリーズ (全3回) • Windows Server 2019 徹底紹介シリーズ (全4回) https://azure.microsoft.com/ja-jp/overview/webinars/ 200以上のオンデマンド ウェビナーと、随時ライブ ウェビナーを、提供中
  72. 72. Azure へのお引越シリーズ(全6回) 第1回 ファイルサーバー編 1/3 https://info.microsoft.com/JA-AZUREPLAT-WBNR-FY19-10Oct-16-WebinarMovingtoAzureseries-MCW0008867_01Registration- ForminBody.html 第2回 ファイルサーバー編 2/3 https://info.microsoft.com/JA-AZUREPLAT-WBNR-FY19-10Oct-30-MovingtoAzureseries-MCW0009053_01Registration-ForminBody.html 第3回 ファイルサーバー編 3/3 https://info.microsoft.com/JA-AZUREPLAT-WBNR-FY19-11Nov-09-MovingseriestoAzure-MCW0009197_01Registration-ForminBody.html 第4回 データベース編 1/2 SQL Server 2008 サポート終了について https://info.microsoft.com/JA-AZUREPLAT-WBNR-FY19-11Nov-21-SQLServer2008supporttermination-MCW0009442_01Registration- ForminBody.html 第5回 データベース編 2/2 https://info.microsoft.com/JA-AZUREPLAT-WBNR-FY19-12Dec-05-MovingtoAzureseries6times5thDatabase22Webinar- MCW0009693_01Registration-ForminBody.html 第6回 Azure って安心して使えるの? https://info.microsoft.com/JA-AZUREPLAT-WBNR-FY19-12Dec-18-WebinarMovingtoAzureseries-MCW0009912_01Registration- ForminBody.html
  73. 73. Azure はじめの一歩 (全6回) 第1回 クラウドって何? https://info.microsoft.com/JA-AZUREPLAT-WBNR-FY19-10Oct-09-WebinarAzureFirstStepOctober2018-MCW0008796_01Registration-ForminBody.html 第2回 Azureって何? https://info.microsoft.com/JA-AZUREPLAT-WBNR-FY19-10Oct-18-WebinarAzureFirstStepOctober-MCW0008794_01Registration-ForminBody.html 第3回 IaaSって何? https://info.microsoft.com/JA-AZUREPLAT-WBNR-FY19-11Nov-01-WebinarAzurefirstStep-MCW0008795_01Registration-ForminBody.html 第4回 Azure のネットワークってどうなってるの? https://info.microsoft.com/JA-AZUREPLAT-WBNR-FY19-11Nov-14-WebinarAzureFirstStepnovember2018-MCW0009549_01Registration-ForminBody.html (番外編) EOSってなに? ~ Windows Server 2008 / SQL Server 2008 のサポート終了に備えるために ~ https://info.microsoft.com/JA-AZUREPLAT-WBNR-FY19-11Nov-13-WhatisEOS-MCW0009713_01Registration-ForminBody.html 第5回 Azure で運用管理ってどうするの? https://info.microsoft.com/JA-AZUREPLAT-WBNR-FY19-11Nov-28-AzureFirstStep-MCW0009198_01Registration-ForminBody.html 第6回 Azure でコストを下げることはできるの? https://info.microsoft.com/JA-AZUREPLAT-WBNR-FY19-12Dec-14-AzureFirstStep-MCW0009201_01Registration-ForminBody.html
  74. 74. インフラ モダナイゼーション特集 (全7回) 第1回 Microsoft のインテリジェント エッジ テクノロジーをキャッチアップ! https://info.microsoft.com/JA-AzureINFRA-WBNR-FY19-01Jan-10-InfrastructureModernizationSpecialFeature-MCW0010545_01Registration-ForminBody.html 第2回 Microsoft の VDI 戦略! VDI 環境最新化のシナリオ https://info.microsoft.com/JA-AzureINFRA-WBNR-FY19-12Dec-12-InfrastructureModernizationSpecialFeature7timesintotal-MCW0010546_01Registration-ForminBody.html 第3回 Azure Storageを使いこなそう! ~ ファイルサーバー編 ~ https://info.microsoft.com/JA-AzureINFRA-WBNR-FY19-02Feb-04-InfrastructureModernizationFeature-MCW0011244_01Registration-ForminBody.html 第4回 Azure AD と RBAC による Azure リソースのアクセスコントロール https://info.microsoft.com/JA-AzureINFRA-WBNR-FY19-02Feb-21-InfrastructureModernizationSpecialFeature-MCW0011260_01Registration-ForminBody.html 第5回 逆引き Microsoft Azure の仮想ネットワーク機能の使い方 https://info.microsoft.com/JA-AzureINFRA-WBNR-FY19-03Mar-06-Infrastructuredataestate-MCW0011989_01Registration-ForminBody.html 第6回 オンプレミス基盤の最先端! HCI について今知っておくべきこととは? https://info.microsoft.com/JA-AzureINFRA-WBNR-FY19-03Mar-13-InfrastructuredataestateModernizationSpecialFeature-MCW0011915_01Registration-ForminBody.html 第7回 サーバーがなくても大丈夫! Azure Stack を Azure 上で動かしてみませんか? https://info.microsoft.com/JA-AzureINFRA-WBNR-FY19-03Mar-26-Infrastructuredataestate-MCW0011884_01Registration-ForminBody.html
  75. 75. 一歩先行く Azure Computing シリーズ(全3回) 第1回 SLA を軸にした Azure 高可用性設計とは https://info.microsoft.com/JA-AzureINFRA-WBNR-FY19-11Nov-08-AzureComputing- MCW0009127_01Registration-ForminBody.html 第2回 Azure VM どれを選ぶの? https://info.microsoft.com/JA-AzureINFRA-WBNR-FY19-11Nov-20-AzureVMIntensiveCourse- MCW0009132_01Registration-ForminBody.html 第3回 VMSSやコンテナー オーケストレーターで、クラウドのコンピューティング リソー スを使いこなす https://info.microsoft.com/JA-AzureINFRA-WBNR-FY19-12Dec-04-AzureComputing- MCW0009199_01Registration-ForminBody.html
  76. 76. Windows Server 2019 徹底紹介シリーズ (全4回) 第1回 Windows Server 2019 概説 https://info.microsoft.com/JA-AzureINFRA-WBNR-FY19-10Oct-22-WebinarWindowsServer2019- MCW0008998_01Registration-ForminBody.html 第2回 納得! 一緒に使おう Windows Server 2019 & Microsoft Azure https://info.microsoft.com/JA-AzureINFRA-WBNR-FY19-10Oct-31-WindowsServer2019andMicrosoftAzure- MCW0008999_01Registration-ForminBody.html 第3回 Windows Server 2019 の Hyper-Converged Infrastructure の強化 ポイントとは? https://info.microsoft.com/JA-AzureINFRA-WBNR-FY19-11Nov-16-WindowsServer2019-MCW0009249_01Registration- ForminBody.html 第4回 Windows Server コンテナーと Windows Subsystem for Linuxの進化 https://info.microsoft.com/JA-AzureINFRA-WBNR-FY19-11Nov-27-WindowsServer2019FullIntroduction- MCW0009200_01Registration-ForminBody.html 77
  77. 77. © 2019 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

×