Microsoft Azure の概要と最近のアップデート

Interact x Cloud Samurai 2016 Summer 2016.06.25

JAZUG Kenrtaro Aoki

2

自己紹介

{ "objectType": "User", “displayName”: “Kentaro Aoki", “Twitter": "@kekekekenta", "onPremisesSecurityIdentifier": null,}

3

はじめに

• 2016 年 6 月 24 日段階の最新情報でのご紹介となりますが、今後機能が更新されることがありますので、ご注意願います。

Microsoft Azure• Azure は、様々な用途

に適したコンピュート機能やストレージ機能などを提供するクラウドサービス

Azure Platform Services• コンピュート、ストレージ以外にも、モバイル、分析、サーバ管理、

メディア、 ID 管理など 60 以上のサービスを提供。

ComputeVirtual Machines

Virtual Machine Scale Sets

Cloud ServicesRemoteApp

BatchService Fabric

Azure Container Service

Web ＆ MobileApp Service

Mobile ServicesAPI ManagementNotification Hubs

Mobile EngagementFunctions

Data & Storage

SQL DatabaseDocumentDBRedis Cache

StorageStorSimple

Azure SearchSQL Data WarehouseSQL Server Stretch

Service

AnalyticsHDInsight

Machine LearningStream Analytics

Data FactoryEvent Hubs

Data CatalogPower BI EmbeddedData Lake Analytics

Data Lake Store

NetworkingVirtual NetworkExpressRoute

Traffic ManagerLoad BalancerVPN Gateway

Azure DNSApplication Gateway

Identity & Access Management

Active DirectoryAzure Active

Directory B2CAzure Active

Directory Domain Services

Multi-factor Authentication

Media & CDNMedia Services

CDNDeveloper Services

Visual Studio Team Services

Azure DevTestLabsApplication Insights

HockeyAppDeveloper Tools

Management & Security

Microsoft Azure portalSchedulerOperations

Management SuiteAutomation

Log AnalyticsKey Vault

Security Center

IntelligenceCortana IntelligenceCognitive Services

Internet of Things

IoT SuiteAzure IoT Hub

Event Hubs

Hybrid Integration

BizTalk ServicesService Bus

BackupSite Recovery

6

Azure のサービスが Suite になっているもの

• Cortana Intelligence Suite– データを扱うサービスの集まり

• Microsoft Operations Management Suite– ハイブリッドに Virtual Machine を管理するサービスの集まり

• Azure IoT Suite– 想定された IoT シナリオでデバイスを管理する機能（複数の

サービスが集まって構成されているが、サービスの集まりという感じではない）

Microsoft Azure セキュリティ

• Azure を使うことでインフラのセキュリティを任せることが可能• 業界標準の認証・証明に準拠

Microsoft Azureサービス

Microsoft Azureグローバル・インフラストラクチャ

OS ・アプリケーション

地域によって異なるため詳細はこちらをご確認くださいhttps://www.microsoft.com/en-us/TrustCenter/Security/AzureSecurity

8

アプリケーションプラットフォーム

• Compute や Web & Mobile のサービス

Microsoft Azure

Build on Dev frameworksBuild on Infrastructure

Azure アプリケーション プラットフォーム

LOB アプリ向けSaaS アプリ向けアプリ全般

Virtual Machines

単体サーバにアプリをインストールする

場合

VM Scale Sets

複数サーバで同じアプリを動か

せる場合

Container Service

Docker イメージを利用したアプリを動かす場合

Cloud Services

モノシリック 3 層構造のアプリを開

発する場合

Service Fabric

マイクロサービスベースのアプリを

開発する場合

Power Apps

(preview)

グラフィカルなデザインでアプリを構成する

場合

App Service

テンプレートベースで

Web/ モバイル/API を高速に開発する場合

ワークフローベースのアプリを構成する場合

LogicWeb/

Mobile/API

プログラムスキル有り プログラムスキル無し

既存アプリ / パッケージの利用 新規アプリ開発（クラウドネイティブ）

15:55 から

Room Cで！

10

Cloud Services (1/3)• Cloud Service はアプリケーションを動かす

PaaS 基盤

– Web Role• Web アプリケーションを動かす VM

– IIS が動いている Windows Server

– Worker Role• 負荷のかかる処理などを動かす VM

（昔はこのインスタンスを使える人がかっこよかった）– Windows Server

Cloud Service

Web Role

Worker Role

Storage

11

Cloud Service (2/3)• Queue Based Pattern

Queue-Based Load Leveling Patternhttps://msdn.microsoft.com/en-us/library/dn589783.aspx

12

Cloud Service (3/3)• Priority Queue Pattern

Priority Queue Patternhttps://msdn.microsoft.com/en-us/library/dn589794.aspx

13

Virtual Machines (1/2)• いろいろな OS を動かすこと

ができる仮想サーバ• Virtual Machine は V1 と V2

の 2 種類のサービスが存在する

• 詳しくは、お義父さん™の「 JAZUG(5) 今までの仮想マシンと新しい仮想マシーン！」– https://docs.com/

morishima-masah/5526クラシックは V1

リソースマネージャはV2

16:55 から

RoomBで！

14

Virtual Machine (2/2)• V1 は Cloud Service 利用

– ロードバランサなど定型で構成

• V2 は Resource Group 利用– Azure Resource

Manager のテンプレートでコード化

– AzureAD と RBAC でアクセス制御Cloud Service

Public IP

Resource Group

15

App Service• アプリケーションを素早く

デプロイできるサービス

• Web Apps– 様々な言語で Web アプ

リ実装できる。 .NET, Node.js, Java, PHP, Python

– Webjobs で Queue Based のパターンが可能

API APPS便利な API

WEB APPSスケール可能な

Web アプリケーション

LOGIC APPSSaaS やオンプレミス

のプロセス 自動化

MOBILE APPSiOS や

Android 、 Windowsのモバイルアプリ

15:55 から

RoomCで！

16

割と最近のアプリケーションプラットフォーム

17

VM Scale Sets• 同一の VM をスケールアウトしたりスケールインしたりすること

ができるサービス• Virtual Machine の V2 を使用しているため、 VM を並列で素早く

増減可能• Azure のサービス (Batch 、 Service Fabric 、 Azure Container

Service など）で利用されている

…

Scale SetVNET

Resource Group

18

Container Service• オープンソースの Docker クライア

ントツールを使用できるコンテナホスティングソリューション

• アプリケーションのスケーリングとオーケストレーションは DC/OS やDocker Swarm を利用可能 VM Scale Sets

Container Service

19

Service Fabric• マイクロサービスフレームワーク• ステートフル / ステートレス• ASP.NET Core 1, Node.js Java VM など• Windows Server, Linux• Azure, Azure Stack 、 AWS などで稼働可能• Azure コアインフラ向けに開発

– DocumentDB 、 Event Hubs 、 Power BIなどで利用

• 詳しくは、おーみさんセッション。 Tokyo Jazug Night– https://jazug.doorkeeper.jp/events/47296

VM Scale Sets

Container Service

Service Fabric

モノシリックアプリケーション

マイクロサービスアプリケーション

• マイクロサービスアプリは機能を小さいサービスとして分割

• 複数のサーバ /VM/ コンテナーにわたって作成

• モノシリックアプリは機能レイヤーで分割

• アプリを複数のサーバー /VM/ サーバに配置することでスケールする

アプリ 1 アプリ 2アプリ 1

Service Fabric

21

Service Fabric• Cloud Service との違い

Azure Cloud Services (Web and Worker Roles)

Azure Service Fabric(Stateless, stateful or Actor services)

• VM 毎にロール（ WebRole 、 WorkerRole ）割り当て

• 低密度• 遅いデプロイメントと遅いアップグレード• 遅いスケーリング• 遅い障害回復

• VM 毎に多くのマイクロサービス• 高密度• 速いデプロイメントと速いアップグレード• 速いマイクロサービスのスケーリング• 速い障害回復

ビジネスロジック

ユーザインタフェース

データ

ビジネスロジックユーザインタフェー

スデータ

22

Functions• Azure Functions は、イベントで小規模なコー

ド (“ 関数” ) を実行するサービス– 動的ホスティングプラン

• 関数が実行した時間に応じた料金が発生• リソースの管理はしなくてよい

– App Service プラン• App Service で実行するプラン

• 利用可能言語– Node/JavaScript, C#– F#, Python, PHP, Batch, Bash, PowerShell

Functions• サポートバインディング

Type Service Trigger Input Output

Schedule Azure Functions ✔HTTP (REST or WebHook) Azure Functions ✔ ✔

Blob Storage Azure Storage ✔ ✔ ✔Queues Azure Storage ✔ ✔Tables Azure Storage ✔ ✔

Tables Azure Mobile Apps Easy Tables ✔ ✔

No-SQL DB Azure DocumentDB ✔ ✔Streams Azure Event Hubs ✔ ✔Push Notifications Azure Notification Hubs ✔

24

マネジメントとセキュリティ

Log analytics （ OMS ）

• Windows の Event Log やLinux の Syslog を分析– 検索クエリによる可視

化

対応 Linux ディストリビューションAmazon Linux,　 CentOS,　Oracle Linux,　 Red Hat Enterprise Linux,　 Debian,　 Ubuntu, SUSE Linux Enterprise Server

omsagent(fluentd)

rsyslog

デバイスに書き込まれる前に Log analyticsへログを送信侵入者の形跡削除防止

14:50 から

RoomCで！

16:55 から

RoomDで！

Security CenterAzure VM, Network, SQL などのセキュリティポリシーを管理

– セキュリティを視覚化– 気付かない可能性がある脅威を検出– 検出した脅威の対策を提示– 対策を施す。場合によってはセキュリティソリューションのエコシス

テムと連動

全リソースのセキュリティ視覚化

脅威を選択 対策（実際の設定）

Security Center セキュリティポリシー

• System updates– セキュリティ更新プログラムが適

用されているか確認• Baseline rules

– 推奨される CCE の共通セキュリティ設定の確認

• Endpoint Protection– エンドポイント保護ソリューショ

ンが有効であるか確認（マルウェア対策など）

• Disk Encryption– Azure Disk Encryption でディス

クが暗号化されているか確認。Windows は BitLocker 、 Linuxは DM-Crypt

• Network Security Groups– インバウンド・トラフィック規則

が構成されているか確認• Web Application Firewall

– Web アプリケーションが存在するか確認

• Next Generation Firewall– セキュリティグループの拡張的な

利用• SQL Database

– 監査ログの確認と、透過なデータ暗号化を確認

Security Center 対策例• Web サーバを見つけると WAF を使用した対策が可能

– Azure Security Center 用に設定された BIG-IP を実行• 一般的なアプリケーションの脆弱性からの保護• OWASP Top 10 の脅威と、 L7 DDoS攻撃の防衛• PCI-DSS 要件の遵守

WAFを選択

29

IDENTITY

Azure Active Directory• 単一組織の Azure AD 利用

– 組織内の複数部門の Web アプリ– クラウドを含めた Web アプリ– クラウドだけの Web アプリ

• マルチテナントの Azure AD 利用– 複数組織が利用する Web アプリ

Azure ADWeb アプリ

A社

複数組織が利用するWeb アプリ

（ SaaS 提供するときなど）

A社 B社 C社

Azure AD

Web アプリとの連携に同意

C社のAzureAD テナント全体管理

者

Azure Active Directory• １．異常なアクティビティ（ 1/3 ）

– 不明なソースからのサインイン• テナントに正常にサインインしているが、 Microsoft が認識している匿名のプロキシ IP

アドレスからの接続元である場合のログレポート。悪意の目的で使用される場合があるため。

– 複数のエラー発生後のサインイン• 複数回連続してサインインの試行に失敗した後に、正常にサインインしたユーザーの、失敗したサインイン試行数と成功時のログレポート。ユーザーがパスワードを忘れた場合もあるが、ブルート フォース攻撃の被害者になっている場合があるため。

– 複数の地域からのサインイン• 異なる国から同一ユーザーによる 2 回のサインインがあり、それらの国の間をユーザー

が移動するのが不可能である場合の、サインインの時間間隔、サインインを行った国、それらの国の間の推定移動時間ログレポート。ユーザーがパスワードを共有している場合や、ユーザーがリモート環境を使用している場合があるが、ハッカーが複数の国からそのアカウントにサインインしている場合があるため。

Azure Active Directory• １．異常なアクティビティ（ 2/3 ）

– 疑わしいアクティビティを示す IP アドレスからのサインイン（ Premium ）• 疑わしいアクティビティのサインイン試行の IP アドレスログレポート。疑わしいアク

ティビティは、同じ IP アドレスから短期間のうちに実施された多数のサインインの試行失敗や、疑わしいと見なされる他のアクティビティから識別されます。

– 感染の疑いのあるデバイスからのサインイン（ Premium ）• マルウェア (悪意のあるソフトウェア ) の可能性があるサインイン試行の IP アドレス

ログレポート。マルウェアサーバーへの接続が試みられた IP アドレスを感染の疑いのあるデバイスとして識別されます。

Azure Active Directory• １．異常なアクティビティ（ 3/3 ）

– 不規則なサインイン アクティビティ（ Premium ）• 機械学習アルゴリズムによって、“ irregular” (不規則 ) と識別されたサインインの分

類と場所のログレポート。予期しない場所でのサインイン、予期しない時刻のサインイン、またはそれらの組み合わせにより識別されます。機械学習アルゴリズムでは、イベントが “ irregular (不規則 )” または “ suspicious (疑わしい )” として分類されます。セキュリティ違反は“ suspicious” の可能性が高いです。

– 異常なサインイン アクティビティのユーザー（ Premium ）• 異常なサインイン アクティビティが検出された全てのユーザーアカウントをレポート。他のすべての異常なアクティビティレポートのデータが含まれます。

Azure Active Directory• ２．アクティビティ ログ

– 監査レポート• サインイン先のアプリケーション、使用デバイス、 IP アドレス、場所などのレポート。

– パスワード リセット アクティビティ（ Premium ）• 組織内で行われたパスワード リセットに関するログ。

– パスワード リセット登録アクティビティ（ Premium ）• 組織内で行われたパスワード リセット登録のログ。

– グループ アクティビティ（ Premium ）• ディレクトリ内のすべてのグループ関連アクティビティのログ。

Azure Active Directory• ３．統合アプリケーション

– アプリケーションの使用状況（ Premium ）• ディレクトリと統合された全ての SaaS アプリケーションの利用状況のレポート。ア

クセスパネルをユーザーがクリックした回数に基づきます。

– アカウント プロビジョニングのアクティビティ• 外部アプリケーションにアカウントのプロビジョニングを試行した回数の履歴をレポートします。

– アカウント プロビジョニング エラー• SaaS アプリケーションから Azure AD へアカウントの同期中に発生したエラーをレポートします。外部のアプリケーションにアクセスするユーザーの機能に問題があることが考えられます。

36

インテリジェンス

Cortana Intelligence Suite• データをインテリジェントなアクションに繋げるプラットフォー

ム Intelligence

Dashboards & Visualizations

Information Management

Big Data Stores Machine Learning and Analytics

CortanaEvent HubHDInsight (Hadoop and Spark)

Stream Analytics

Data Sources

Apps

Sensors and devices

Data Intelligence Action

People

Automated Systems

Apps

Web

Mobile

Bots

Bot Framework

SQL Data WarehouseData Catalog Data Lake

Analytics

Data Factory Machine LearningData Lake

Store Blob Store

Cognitive Services

Power BI

データプラットフォーム

• 送られてきたデータを分析してアクションに繋げる

イベント

人間

BI 判断

コンピューティング・機械学習など

ルール 自動化

アクションデータ

39

End-To-End のソリューション

• デバイスの情報を収集して BI で可視化

Event Hub Stream Analytics Power BIDevice

Machine Learning

SQL Database

40

Event Hubs• 秒間数百万件のイベントを受信できるデータ収集サービス

Fieldgatewa

y

Azure Event Hubs

PANDevice

IP NetworkDevice

HTTPS, AMQP

HTTPS, AMQP

Azure SDK

Azure SDK パーティション

リテンション期間

Azure Stream

Analytics

41

Stream Analytics• 大量のデータをリアルタイムに処理するクエリエンジン

Azure Stream

Analytics

SELECT System.Timestamp as Time, DeviceId, CAST(AVG(frompis.Temp) AS float) AS Temp, CAST(AVG(frompis.Pressure) AS float) AS Pressure, CAST(AVG(frompis.Hum) AS float) AS Hum, CAST(AVG(frompis.HiLux) AS float) AS HiLux, CAST(AVG(frompis.LowLux) AS float) AS LowLux INTO powerbiFROM raspisensors TIMESTAMP BY DateGROUP BY DeviceId, TumblingWindow(second, 30)

SQL Database

Storage

Document DB

Event Hub

Power BI

Azure Event Hubs

Azure Machine Learning

42

Machine Learning

①データ読み込み

②データ整形

④アルゴリズムを指定してトレーニング

③学習用とテスト用のデータ作成

⑤トレーニングした結果をもとにスコアリング

⑦Web API

⑥評価

• 人間の代わりに判断しアクションに繋げる機械学習基盤

43

Azure Machine Learning Studio• 主な機能

– Experiments• モデルを作成して評価する

– Datasets• CSV ファイルをインポート

する場合や、 Experimentsから作成する

• Experiments で利用– Web Services

• Experiment の Web　Service を作成

– Trained Models• Experiment で学習した

Train Model

Azure Machine Leaning Studio

Experiments

■■■■

Web Services

■■■■

Datasets

■■■■

Trained Models

■■■■

作成

利用

作成 作成したモデルの API 利用

44

Power BI• Web API インタフェースを持つ BI ツール

HTTPS

HTTPS

SQL

Power BIAPI

45

Cognitive Service• アプリケーションに組み込めるように、視覚、音声、言語、知識

に関する機能の API を提供

Emotion Speaker Recognition

Speech

Custom Recognition

Computer Vision

Face

Video

検索音声 言語 知識視覚

Linguistic AnalysisLanguage Understanding

Bing Spell Check

Entity Linking

Knowledge Exploration

Academic Knowledge

Bing Image SearchBing Video Search

Bing Web Search

WebLM

Text Analytics Recommendations

Bing Autosuggest

Bing News SearchTranslator

https://www.microsoft.com/cognitive-services/en-us/apishttps://www.captionbot.ai/

46

重要なこと

47

サービスの制限、クォータ、制約など

• 各サービスにはクォータなどの制限が存在します• この制限を知ったうえでアーキテクチャデザインをすることが重

要– https://azure.microsoft.com/ja-jp/documentation/articles/

azure-subscription-service-limits/

48

Azure のアプリケーションアーキテクチャの素材

• デザインパターン– https://msdn.microsoft.com/library/dn568099.aspx

• アイコンセット– https://www.microsoft.com/en-us/download/confirmation.

aspx?id=41937

49

最新情報

• 最新の情報を知りたいときは、かめぶちさんの Blog をみてね– ブチザッキ

• https://buchizo.wordpress.com/

50

AZURE STACK

インフラストラクチャ サービスストレージ

BLOB Storage

Azure Files

Premium Storage

コンピューティング

仮想マシン

コンテナー

ネットワーク

Virtual Network

ExpressRoute

Traffic Manager

Application GatewayDNS VPN

GatewayLoad Balancer

プラットフォーム サービス

Web とモバイル

Web Apps

MobileApps

APIManagement

APIApps

LogicApps

NotificationHubs

メディア & CDNContent DeliveryNetwork (CDN)

MediaServices

分析 & IoT

HDInsight MachineLearning

StreamAnalytics

DataFactory

EventHubs

MobileEngagement

システム間連携

BiztalkServices

ハイブリッド接続

ServiceBus

StorageQueues

データ

SQLDatabase

DocumentDB

RedisCache Search

テーブル

SQL DataWarehouse

コンピューティング

CloudServices

Batch Remote App

ServiceFabric

開発者向けサービス

Visual Studio

ApplicationInsights

Azure SDK

チーム プロジェクト

セキュリティと管理

ActiveDirectory

Multi-factorAuthentication

Automation

ポータル

Key Vault

ストア /Marketplace

VM イメージ ギャラリー& VM Depot

ハイブリッド運用

Backup

SiteRecovery

Import/Export

AD PrivilegedID Management

OperationalInsights

Azure AD Connect Health

StorSimple

https://docs.com/takazoe-osamu/2147/20160219-tf-azurestack より

Azure Stack TP1 構成• Auzre Stack のコアな機能は

Service Fabric の上で動いている！

xRPVM

SQLVM

PortalVM

ClientVM

Service FabricCompute RP

Network RP

Storage RP

SQL Server

Portal services

ARM

MuxVM

SLBMux

Service FabricNetwork

Controller

NCVM

Tenant’s VMs

NAT

ADVM

AD

DNS

DHCP

Service FabricACS Services

ACSVM

ACS Blob ServiceSoFS

ReFS CSV

Virtual Disk

Storage Space

Storage Space Direct

VHDVHD

Hyper-V Host vSwitchNIC

NATVM

BGPVMRemote Access

https://docs.com/takazoe-osamu/2147/20160219-tf-azurestack より

53

https://www.facebook.com/jazug.jphttps://www.facebook.com/jazug.jp