Windows Server 2012 Community Day 2013 年 12 月 MVP とコミュニティ スピーカーが語る「Windows Server 2012 R2 "仮想化 Deep Dive!"」 Windows Server 2012 R2 Hyper-V と Windows Azure 勘所 Keiji KAMEBUCHI pnop Inc. Japan Windows Azure User Group
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Windows Server 2012 Community Day 2013 年 12 月MVP とコミュニティ スピーカーが語る「Windows Server 2012 R2 "仮想化 Deep Dive!"」
Windows Server 2012 R2 Hyper-V とWindows Azure 勘所
Keiji KAMEBUCHI
pnop Inc.
Japan Windows Azure User Group
2
自己紹介
{
"name" : "Keiji KAMEBUCHI",
"corporation" : "pnop Inc.",
"mail" : "[email protected]",
"web" : "http://buchizo.wordpress.com/",
"twitter" : "@kamebuchi",
"facebook" :
"https://www.facebook.com/keijikamebuchi"
}
KeijiKamebuchi
buchizo
@kamebuchi
Senior Fellow
3
Goal
• Windows Azure を知る• Windows Azure 全般
– 仮想マシン (今日の主題)
– 仮想ネットワーク
– その他のサービス
• Windows Azure の勘所(主にWindows Server を中心に)
• Windows Azure を使う• 得手不得手を知る
• 使いどころを抑える
4
大事なお知らせ
• このセッションは 2013/12/14 時点の情報を基にしています
• 最新情報はWebで❕
5
Windows Azure 概要
• Microsoft が提供するクラウド プラットフォーム• IaaS / PaaS / SaaS / Network ...
• Microsoft が管理・運用するデータセンター上で稼働するパブリック クラウド
• 従量課金 / スケーラブル / ネットワークアクセス / リソース共有 / セルフサービス
• “Windows Azure”はブランド名(誤解を恐れずに言うと)• Microsoftのパブリック クラウドなサービス群の総称のようなもの
• 逆輸入的なのもある
• Microsoft自身が内部的にいろいろ利用中
– Office 365(認証基盤)とかSharePoint Online(の一部)とか
6
7
データセンター/CDN
※2013年12月現在
8
祝:日本リージョン
9
サブリージョン
• 例:東日本と西日本のサブリージョン• ※位置はわからないので適当です
> 500 miles
10
データセンター
• 第3世代 (左)
• 例:シカゴ
• PUE1.22
• 1,800~2,000 サーバー / 1コンテナ
• 220 コンテナ = 550,000 サーバー
• 第4世代 (2012~) (右)
• 例:バージニア
• PUE1.13
出典: Microsoft Partner Technical Days より
11
データセンター内の物理サーバー
FabricController
ラック
クラスター
ラック
クラスター
FC
FC
ラック
12
物理サーバーと仮想サーバー
FabricController
クラスター
ラック
FC
FC
コンピューティング ストレージ サービス
Elastic
13
アフィニティグループ
• 同一クラスター内に設定されたグループ• グループ内のレイテンシがMinになるように配置できる
FabricController
ラック
クラスター
ラック
FC
FC
アフィニティグループ
14
障害ドメインと可用性セット
• 耐障害性を高めるためのセット• 電源・ネットワークなど異なる系統になるように配置できる
– ※なので、少なくとも2インスタンス以上ないと意味がない
ラック
ラック
FC
FC
可用性セット
障害ドメイン
障害ドメイン
15
冗長化と地域間複製
• 例:東日本と西日本のサブリージョン• ※何度も言いますが、位置はわからないので適当です
地域間複製
> 500 miles
Windows Azure Storage
16
複製先での読み取りアクセス [Preview]
• 複製先のストレージの内容を参照できるようになりました• ※要Preview申込み
• プライマリ• accountname.<service>.core.windows.net
• セカンダリ• accountname-secondary.<service>.core.windows.net
17
Windows Azure 仮想マシン
• Windows Azure上で稼働させることができるHyper-V Guest OS• Windows Server 2008 R2 SP1 , Windows Server 2012 , Windows
Server 2012 R2
• Ubuntu Server, Cent OS, openSUSE, SUSE Linux Enterprise
• アプリケーション込のイメージも提供
– SharePoint Server 2013 Trial, SQL Server 2008 R2 SP2, SQL Server 2012 SP1, SQL Server 2014 CTP2, BizTalk Server 2013, Oracle Database 12c / 11g, Oracle WebLogic Server 12c / 11g, Visual Studio 2013
* 言語は英語。言語パックを追加することで日本語化は可能。アプリケーションはそれぞれの対応が必要。
18
Windows Azure 仮想マシン : インスタンスサイズ
• 標準インスタンスサイズ CPU コア数 メモリ ネットワーク帯域 データディスク数*1 その他
XS (A0) 共有 768 MB 5 Mbps 1 (1x500) Temporary: 20 GB
S (A1) 1 1.75 GB 100 Mbps 2 (2x500) Temporary: 70 GB
M (A2) 2 3.5 GB 200 Mbps 4 (4x500) Temporary: 135 GB
L (A3) 4 7 GB 400 Mbps 8 (8x500) Temporary: 285 GB
XL (A4) 8 14 GB 800 Mbps 16 (16x500) Temporary: 605 GB, NUMA
サイズ CPU コア数 メモリ ネットワーク帯域 データディスク数*1 その他
A5 2 14 GB 500 Mbps(?) *2 4 (4x500) Temporary: 135 GB
A6 4 28 GB 1000 Mbps 8 (8x500) Temporary: 285 GB, NUMA
A7 8 56 GB 2000 Mbps 16 (16x500) Temporary: 605 GB, NUMA
• メモリ集中型インスタンス
*1 追加可能なデータディスク数(1TB/個)、カッコ内は1ディスクあたりの最大IOPS
*2 公称値見つからず。
19
Windows Azure 仮想マシン : ライセンス
• Windows Serverライセンス および Windows Server CALは不要
• 料金に含まれています
• OfficeおよびクライアントOSをWindows Azure 仮想マシンで実行することは許可されていません
• ライセンスモビリティでも対象外
• ふれたくない部分
• リモートデスクトップサービスは?
– SPLAでRDS CALがあればWindows Azure上でRDSを利用してホステッドソリューションを提供可能
• VLの一部として所有しているRDS CALは?
– 使えません。RDS SAL(サブスクライバーアクセスライセンス)のみ許可されています
• Ask Microsoftの中の人!
20
Windows Azure 仮想マシン : システム構成
• Hyper-V 世代1と同等
• 仮想マシン上は通常のWindowsと変わらない
21
Windows Azure 仮想マシン : ディスク構成
• Cドライブ … OS領域(イメージに含まれる) 永続化される• VHDX不可, 容量固定, GEN1, ~127 GB
• Dドライブ … 一時領域• Windows Azureが割り当て、永続化されない
• 障害ドメイン切り替わり時等でフラッシュ
• 速度は早め
• その他 … データディスク• ユーザーが接続させる
• 永続化される
• 実体のVHDはStorage(Page Blob)
• VHDX不可, 容量固定, GEN1, 1 GB ~ 1023GB
• ホストキャッシュ• OS領域
– Read Only / Read Write (既定)
• データディスク
– None (既定)/ Read Only / Read Write
22
Windows Azure 仮想マシン : ディスク構成
• OSのマスターイメージ
• ギャラリーから選択 or ユーザーが用意
Windows Azure Storage
Hyper-V ホスト
• Copy等
23
Windows Azure 仮想マシン : エンドポイント
• 仮想マシンとの外部通信を行うポート設定 (外部からのInbound)• ロードバランサ経由 / または Direct Server Return (DSR)
• TCP / UDP
• IPアドレスによるACL
• 課金されない
• Outbound• TCP / UDPのみ
– ICMPはNG
• 課金される
• OSのファイアウォールとは別
• 負荷分散セット• 同一クラウドサービス内で利用するポートの設定
• 負荷分散
• DSRは特殊 (AlwaysOnでは必須)
• クラウドサービス内での通信• ICMPもOK
仮想マシン#1
仮想マシン#2
Cloud Service
データセンター
Private PortPublic Port
24
Windows Azure ネットワークサービス
• 仮想ネットワーク(VNET)• Windows Azure の仮想マシンなどが配置されるネットワーク
• Traffic Manager• 複数のクラウドサービス(仮想マシン含む)で負荷分散が行えるサービス
– 同一データセンターやデータセンター間でも可能
– 分散方法は フェイルオーバー / ラウンドロビン / パフォーマンス から選択
– ※パフォーマンスはクライアントに近いロケーションに接続される
• カスタムドメイン名はCNAMEのみ可
• Site to Site VPN• 仮想ネットワークとOn-PremiseのネットワークをVPN接続(L2TP)
• 要件を満たすVPN機器もしくはRRASがVPNゲートウェイとして利用可能
• 1:1
• Point to Site VPN [Preview]• 仮想ネットワークとクライアントPCをVPN接続(SSTP)
• 1:n
25
Windows Azure ネットワークサービス
VPNゲートウェイ
On-Premise
VPNゲートウェイCisco / Juniper
RRAS
仮想ネットワーク
クライアントPC
SSTP
L2TP
• Site to Site VPNの要件• L2TP / IKE v1
• AES 128, 256
• SHA1, SHA2
• VPN接続 検証済みルーター一覧
• http://msdn.microsoft.com/ja-jp/windowsazure/dn132612.aspx
• 仮想ネットワーク内
• DHCPで配布
• DNSはAzure内部用 または 仮想ネットワークで指定 または 個別に指定(作成時にPowerShellで指定)
プロビジョニングされると課金対象
26
Windows Azure Backup
• Windows Server 2008 R2 ~ Windows Server 2012 R2 の正式なバックアップ環境
• Windows Azure上に”安全に”データを保護• ファイルシステムのみ
• バックアップ先としてクラウド(Windows Azure)を利用
• Windows Server Backup や System Center 2012 R2 Data Protection Manager との組み合わせ• システム状態の保護
• グループ全体の統合バックアップ
27
Windows Azure Backup
Backup
仮想マシン(Windows Server)
Windows
Server
On-Premise
Data Protection Manager• D2D2C
(D2D2O?)
• D2C (D2O?)
• D2C (D2O?)
28
Windows Azure Hyper-V Recovery Manager [Preview]
• プライベート クラウドの自動レプリケーションと回復
• System Center Virtual Machine Manager 2012と連携
Virtual Machine Manager
Hyper-V Host Hyper-V Replica
Virtual Machine Manager
Hyper-V Recovery Manager
• プライベートクラウドの監視(保護)• 復旧計画の構成
• レプリケーション• フェイルオーバー
29
計画/導入 : OS
• 仮想マシンをどう用意するか
• Windows Azureのギャラリーから … 用意されたイメージをベースにする
• 自前の基イメージから … Hyper-V(またはWindows Azure)で作成したVHDをベースにする
– sysprepして一般化していることが前提
• 自前のVHDをそのまま利用 … Hyper-Vで作成したVHDをそのまま使う
• 自前VHDの場合の注意点
• DHCPにする
• RemoteDesktopまたはRemotePowerShellを有効にする
– ファイアウォールの設定も忘れずに
• VHDX不可, 容量固定, 世代1, ~127 GB (OS Diskの場合)
– GB未満が出ないように (MB単位があるVHDは不可 例:P2VしたVHDなど)
30
計画/導入: VHDのポータビリティ
仮想マシンインスタンス
UploadTemplate or OS Image / Data Disk転送料:なし
DownlaodTemplate or OS Image / Data Disk転送料:課金対象
テンプレートからコピー
そのまま起動
そのままマウント
今の状態を「キャプチャ」してテンプレート化 sysprep済みイメージ
VHD ファイル
Azure Storage/ ギャラリー
Hyper-V
VHDX ファイル
VHD ファイルへ変換
物理サーバー
物理HDD
VHD
P2V
On-Premise
31
計画/導入: その他
• ネットワーク帯域
• Upload / Download しすぎに注意– VHDのUploadしてるとすぐに…
– バックアップやシステムでどれぐらいの通信を行うか事前にある程度把握しましょう
• 課金にも絡みます
• ネットワーク構成
• 仮想ネットワークは作成後、変更しにくい– サブネットの追加、DNSサーバーの変更は可能
• ネットワークの設計はよく考えて– サブネット、ルーティング、VPNなど
• ルーティングの自由度はほぼ無い
• 名前解決とIPアドレスは要注意– 静的IPアドレスは未サポート
• IPアドレス決め打ちアプリなど要注意(デプロイするまでIPアドレスが決まらない)
– ADDSなどはループバックアドレス(127.0.0.1)を仮想マシン作成時に指定するなど工夫が必要
32
計画/導入: その他
• サポートされない機能• Hyper-V
• DHCP Server
• リモート アクセス (直接アクセス)
• Rights Management サービス
• Windows 導入サービス
• BitLocker ドライブ暗号化 (オペレーティング システム ハード ディスク上 – データディスク上で使用可能)
• Windows Server フェールオーバー クラスタリング (SQL Server AlwaysOn
Availability Group を除く)。
• インターネット記憶域ネーム サーバー
• マルチパス I/O
• ネットワーク負荷分散
• Peer Name Resolution Protocol
• SNMP サービス
• SAN 用ストレージ マネージャー
• Windows インターネット ネーム サービス
• 無線 LAN サービス
http://support.microsoft.com/kb/2721672/ja
33
計画/導入
• エンドポイントとACL• 負荷分散するかどうか
• ACLを設定するか
• エンドポイント無しというのもアリ
– VPN接続でグローバルには公開しない
– ただしパブリック クラウド上に存在する
• FQDN( xxx.cloudapp.net )はグローバルで一意
– CNAMEなども検討
• グローバルIPアドレスは非永続的
– クラウドサービスが存在している間は固定
34
計画/導入
• パフォーマンス
• インスタンスサイズの特性を把握
– メモリ容量なのかCPUコア数なのか
– ネットワーク帯域の制限も考慮
• ディスクのIOPS
– データディスクを複数束ねる/ホストキャッシュの設定/Geo-Replication/アフィニティグループ
– テンポラリディスクの活用
• 稼働時間とスケール
• 夜間など業務時間外にシャットダウンしてコストカットなど
– スクリプトを使って自動化
– スケールイン・スケールアウトなど• インスタンスが増減しても問題なく稼働するか?
35
管理/運用
• Windows Azure Pack (Private Cloud)
• SCCM• System Center 2012 Configuration Manager サポート有
– http://support.microsoft.com/kb/2889321/
– http://blogs.technet.com/b/systemcenterjp/archive/2013/12/04/3615696.aspx
• SCOM• System Center 2012 SP1
• System Center Management Pack for Windows Azure
– http://www.microsoft.com/en-us/download/details.aspx?id=38414
36
管理/運用
• RDP
• 普通に利用可能(要エンドポイント or VPN)
• RSAT (Remote Server Administration Tools)
• 要VPN
• 通常の設定で利用可能
• PowerShell
• OSの管理 … RemotePowerShellが利用可能(要エンドポイント(TCP/5986) or VPN)– Enter-PSSession -ComputerName <servername>.cloudapp.net -UseSSL -Credential(Get-Credential)
– ※エンドポイント(インターネット経由)でつなぐ場合はSSL証明書を取得して信頼されたルートCAに.cerを登録し、信頼するようにしておく
• Windows Azure および 仮想マシンの管理– Windows Azure PowerShell Cmdlet
– http://msdn.microsoft.com/ja-jp/library/windowsazure/jj156055.aspx
37
管理/運用
• 証明書の配置場所
38
管理/運用
• Windows Azure Cross Platform Command Line
39
管理/運用
• Windows Azure 側のメンテナンス• ホストのUpdateによりメンテナンスが発生する場合がある
– 数分程度のシャットダウンが発生(顧客のサービスのダウンの可能性)
– 基本的に(現状)2インスタンス以上の可用性セットを使った冗長化が必須(SLA対象)
• アップグレードドメインが異なっていればメンテナンスは交互に行われる
• ホストのUpdateによるメンテナンスはUncontrollable
– いつ落ちてもいいような構成を検討しましょう
40
管理/運用
• 管理者• 初期の管理者アカウント = サブスクリプション契約したMicrosoftアカウント
• 追加の管理者アカウント(Co-Admin) = 10 アカウントまで
– 細かな権限設定は不可 (全員同じレベル)
– Microsoftアカウント または 対象サブスクリプションの Windows Azure Active Directoryアカウント
• 委任を考える際は注意が必要
– 例: プロジェクト毎にサブスクリプションを作る 等
• 証明書• 秘密鍵付き証明書の取り扱いに注意
41
法律
• 準拠法と管轄裁判所は日本• “本契約は日本の法律を準拠法とします。本契約の強制履行を求めて提訴する場合は、東京地方裁判所に提起しなければなりません。上記にかかわらず、いずれの当事者も、知的財産権の侵害に関する差止請求を行う場合には、任意の適切な管轄裁判所において行えるものとします。”
– http://www.windowsazure.com/ja-jp/support/legal/subscription-agreement/
• 国外に持ち出してはいけないデータは?• 日本リージョン(データセンター)で解決 ;-)
42
法律
• 米国愛国者法(パトリオット法)• パトリオット法自体は米国政府がユーザー・データにアクセスする為の方途ではない
• 対象は米国に「存在がある」企業(情報の所在は関係が無い)
• “Microsoftを含むどの事業者でも、請求を受けた場合にはまずお客様に連絡をして許可を求めるように対応するのが一般的”
• USAパトリオット法とクラウド・サービスの利用 質疑応答(翻訳)
– http://www.insideprivacy.com/resource_center/Covington%20Cloud%20Info%20and%20Patriot%20Act_Japanese.pdf
• http://ayakotan.wordpress.com/2013/06/03/usa-patriot-act-and-azure/
43
法律
•ポイント•日本法人でOK
•他の法律(輸出規制など)にも注意
•日本リージョンで大部分の懸念点が解決するかも
44
セキュリティ/コンプライアンス
• 侵入テストなど
• GFS/Azureに対してはMSが担当
• ユーザーのアプリケーションは自己責任
• 実施するなら事前に申請しましょう
Global Foundation Services (GFS)
クラウドサービス / 仮想マシン
アプリケーション / サービス
第三者機関による監査/認証
アプリケーションに関わる部分は自己責任
45
セキュリティ/コンプライアンス
• ISO/IEC 27001:2005 監査および認証• JIS Q 27001:2006
• SOC 1 および SOC 2 SSAE 16/ISAE 3402 認証
• Cloud Security Alliance の Cloud Controls Matrix (CSA CCM)
• Federal Risk and Authorization Management Program (FedRAMP)
• HIPAA Business Associate Agreement (BAA)
46
セキュリティ/コンプライアンス
•ポイント•サービスに関するセキュリティは自身で担保しましょう
•Windows Azure が提供するサービスについてはMicrosoftが責任を持ちます
–各サービスがどこまでを担っているか
•サービス提供側になるときは尚更
47
課金
• Pay as you go• 仮想マシン(コンピューティング)
– インスタンスサイズ・数に応じて分単位で課金
– シャットダウンは2種類あるので注意(OS上のシャットダウンと課金が発生しないシャットダウン)
• 仮想ネットワーク
– ネットワーク転送料(データセンターからの送信のみ課金)
– VPNゲートウェイ (利用可能になっている時間で課金)
• Storageなど
– VHDの保存 (Geo-Replicationはサイズ倍+データ転送料も)
– Backup, Hyper-V Recovery Managerなど
• Windows Azure 料金計算ツール
– http://www.windowsazure.com/ja-jp/pricing/calculator/?scenario=full
48
課金
• 基本はクレジットカード• 請求書ベースもOK
• 6か月 / 12か月
– 一括払いもアリ
• Enterprise Agreementもあります
• その他ベネフィット• MSDN Subscription
• BizSpark / DreamSpark
49
Preview機能
• よくPreview機能がリリースされます• SLA無し
• 料金(安かったり無料だったり)
• サポート無し
• P2S VPN / Windows Azure Hyper-V Recovery Manager など
• 誤って本番利用しないように• 使ってもいいけど自己責任で
50
まとめ
• Windows Server 2012 R2 と Windows Azure• 切っても切れない関係
• Windows Server 2012 R2 も含めて全体を考えればWindows Azure もそう変わらない
• 制約はどんなものにも付き物です
• 発想を柔軟に• 実現したいことはなんですか?
51
Thank you!
52
Q&A (時間があれば)
質問シテネ!
• このセッションは 2013/12/14 時点の情報を基にしています
• 最新情報はWebで❕
※Azureは日々進化するのでこの時点から情報が劣化していきます…
53
Appendix
• Windows Azure Pack
• http://www.microsoft.com/ja-jp/server-cloud/windows-azure-pack.aspx
• Windows Azure のトラスト センター
• http://www.windowsazure.com/ja-jp/support/trust-center/
• Windows Azure 契約
• http://www.windowsazure.com/ja-jp/support/legal/subscription-agreement/
• Windows Azure のプライバシーに関する声明
• http://www.windowsazure.com/ja-jp/support/legal/privacy-statement/
• 米国愛国者法とWindows Azure
• http://ayakotan.wordpress.com/2013/06/03/usa-patriot-act-and-azure/
• Windows Azure のSLA
• http://www.windowsazure.com/ja-jp/support/legal/sla/
• Windows Azure Script Center
• http://www.windowsazure.com/en-us/documentation/scripts/?fb=ja-jp
• Windows Azure 自習書シリーズ - 仮想マシン (IaaS) 編 ※オススメ
• http://msdn.microsoft.com/ja-jp/windowsazure/dn194020.aspx
• Windows Azure Backup 評価ガイド
• http://www.microsoft.com/ja-jp/business/enterprise/cp/azure-system/default.aspx
• Windows Azure Cross Platform Command Line
• https://github.com/WindowsAzure/azure-sdk-tools-xplat
• VPN接続 検証済みルーター一覧
• http://msdn.microsoft.com/ja-jp/windowsazure/dn132612.aspx
Related Documents
