Upload
kekekekenta
View
151
Download
7
Embed Size (px)
Citation preview
Microsoft Azure の概要と最近のアップデート
Interact x Cloud Samurai 2016 Summer 2016.06.25
JAZUG Kenrtaro Aoki
2
自己紹介
{ "objectType": "User", “displayName”: “Kentaro Aoki", “Twitter": "@kekekekenta", "onPremisesSecurityIdentifier": null,}
3
はじめに
• 2016 年 6 月 24 日段階の最新情報でのご紹介となりますが、今後機能が更新されることがありますので、ご注意願います。
Microsoft Azure• Azure は、様々な用途
に適したコンピュート機能やストレージ機能などを提供するクラウドサービス
Azure Platform Services• コンピュート、ストレージ以外にも、モバイル、分析、サーバ管理、
メディア、 ID 管理など 60 以上のサービスを提供。
ComputeVirtual Machines
Virtual Machine Scale Sets
Cloud ServicesRemoteApp
BatchService Fabric
Azure Container Service
Web & MobileApp Service
Mobile ServicesAPI ManagementNotification Hubs
Mobile EngagementFunctions
Data & Storage
SQL DatabaseDocumentDBRedis Cache
StorageStorSimple
Azure SearchSQL Data WarehouseSQL Server Stretch
Service
AnalyticsHDInsight
Machine LearningStream Analytics
Data FactoryEvent Hubs
Data CatalogPower BI EmbeddedData Lake Analytics
Data Lake Store
NetworkingVirtual NetworkExpressRoute
Traffic ManagerLoad BalancerVPN Gateway
Azure DNSApplication Gateway
Identity & Access Management
Active DirectoryAzure Active
Directory B2CAzure Active
Directory Domain Services
Multi-factor Authentication
Media & CDNMedia Services
CDNDeveloper Services
Visual Studio Team Services
Azure DevTestLabsApplication Insights
HockeyAppDeveloper Tools
Management & Security
Microsoft Azure portalSchedulerOperations
Management SuiteAutomation
Log AnalyticsKey Vault
Security Center
IntelligenceCortana IntelligenceCognitive Services
Internet of Things
IoT SuiteAzure IoT Hub
Event Hubs
Hybrid Integration
BizTalk ServicesService Bus
BackupSite Recovery
6
Azure のサービスが Suite になっているもの
• Cortana Intelligence Suite– データを扱うサービスの集まり
• Microsoft Operations Management Suite– ハイブリッドに Virtual Machine を管理するサービスの集まり
• Azure IoT Suite– 想定された IoT シナリオでデバイスを管理する機能(複数の
サービスが集まって構成されているが、サービスの集まりという感じではない)
Microsoft Azure セキュリティ
• Azure を使うことでインフラのセキュリティを任せることが可能• 業界標準の認証・証明に準拠
Microsoft Azureサービス
Microsoft Azureグローバル・インフラストラクチャ
OS ・アプリケーション
地域によって異なるため詳細はこちらをご確認くださいhttps://www.microsoft.com/en-us/TrustCenter/Security/AzureSecurity
8
アプリケーションプラットフォーム
• Compute や Web & Mobile のサービス
Microsoft Azure
Build on Dev frameworksBuild on Infrastructure
Azure アプリケーション プラットフォーム
LOB アプリ向けSaaS アプリ向けアプリ全般
Virtual Machines
単体サーバにアプリをインストールする
場合
VM Scale Sets
複数サーバで同じアプリを動か
せる場合
Container Service
Docker イメージを利用したアプリを動かす場合
Cloud Services
モノシリック 3 層構造のアプリを開
発する場合
Service Fabric
マイクロサービスベースのアプリを
開発する場合
Power Apps
(preview)
グラフィカルなデザインでアプリを構成する
場合
App Service
テンプレートベースで
Web/ モバイル/API を高速に開発する場合
ワークフローベースのアプリを構成する場合
LogicWeb/
Mobile/API
プログラムスキル有り プログラムスキル無し
既存アプリ / パッケージの利用 新規アプリ開発(クラウドネイティブ)
15:55 から
Room Cで!
10
Cloud Services (1/3)• Cloud Service はアプリケーションを動かす
PaaS 基盤
– Web Role• Web アプリケーションを動かす VM
– IIS が動いている Windows Server
– Worker Role• 負荷のかかる処理などを動かす VM
(昔はこのインスタンスを使える人がかっこよかった)– Windows Server
Cloud Service
Web Role
Worker Role
Storage
11
Cloud Service (2/3)• Queue Based Pattern
Queue-Based Load Leveling Patternhttps://msdn.microsoft.com/en-us/library/dn589783.aspx
12
Cloud Service (3/3)• Priority Queue Pattern
Priority Queue Patternhttps://msdn.microsoft.com/en-us/library/dn589794.aspx
13
Virtual Machines (1/2)• いろいろな OS を動かすこと
ができる仮想サーバ• Virtual Machine は V1 と V2
の 2 種類のサービスが存在する
• 詳しくは、お義父さん™の「 JAZUG(5) 今までの仮想マシンと新しい仮想マシーン!」– https://docs.com/
morishima-masah/5526クラシックは V1
リソースマネージャはV2
16:55 から
RoomBで!
14
Virtual Machine (2/2)• V1 は Cloud Service 利用
– ロードバランサなど定型で構成
• V2 は Resource Group 利用– Azure Resource
Manager のテンプレートでコード化
– AzureAD と RBAC でアクセス制御Cloud Service
Public IP
Resource Group
15
App Service• アプリケーションを素早く
デプロイできるサービス
• Web Apps– 様々な言語で Web アプ
リ実装できる。 .NET, Node.js, Java, PHP, Python
– Webjobs で Queue Based のパターンが可能
API APPS便利な API
WEB APPSスケール可能な
Web アプリケーション
LOGIC APPSSaaS やオンプレミス
のプロセス 自動化
MOBILE APPSiOS や
Android 、 Windowsのモバイルアプリ
15:55 から
RoomCで!
16
割と最近のアプリケーションプラットフォーム
17
VM Scale Sets• 同一の VM をスケールアウトしたりスケールインしたりすること
ができるサービス• Virtual Machine の V2 を使用しているため、 VM を並列で素早く
増減可能• Azure のサービス (Batch 、 Service Fabric 、 Azure Container
Service など)で利用されている
…
Scale SetVNET
Resource Group
18
Container Service• オープンソースの Docker クライア
ントツールを使用できるコンテナホスティングソリューション
• アプリケーションのスケーリングとオーケストレーションは DC/OS やDocker Swarm を利用可能 VM Scale Sets
Container Service
19
Service Fabric• マイクロサービスフレームワーク• ステートフル / ステートレス• ASP.NET Core 1, Node.js Java VM など• Windows Server, Linux• Azure, Azure Stack 、 AWS などで稼働可能• Azure コアインフラ向けに開発
– DocumentDB 、 Event Hubs 、 Power BIなどで利用
• 詳しくは、おーみさんセッション。 Tokyo Jazug Night– https://jazug.doorkeeper.jp/events/47296
VM Scale Sets
Container Service
Service Fabric
モノシリックアプリケーション
マイクロサービスアプリケーション
• マイクロサービスアプリは機能を小さいサービスとして分割
• 複数のサーバ /VM/ コンテナーにわたって作成
• モノシリックアプリは機能レイヤーで分割
• アプリを複数のサーバー /VM/ サーバに配置することでスケールする
アプリ 1 アプリ 2アプリ 1
Service Fabric
21
Service Fabric• Cloud Service との違い
Azure Cloud Services (Web and Worker Roles)
Azure Service Fabric(Stateless, stateful or Actor services)
• VM 毎にロール( WebRole 、 WorkerRole )割り当て
• 低密度• 遅いデプロイメントと遅いアップグレード• 遅いスケーリング• 遅い障害回復
• VM 毎に多くのマイクロサービス• 高密度• 速いデプロイメントと速いアップグレード• 速いマイクロサービスのスケーリング• 速い障害回復
ビジネスロジック
ユーザインタフェース
データ
ビジネスロジックユーザインタフェー
スデータ
22
Functions• Azure Functions は、イベントで小規模なコー
ド (“ 関数” ) を実行するサービス– 動的ホスティングプラン
• 関数が実行した時間に応じた料金が発生• リソースの管理はしなくてよい
– App Service プラン• App Service で実行するプラン
• 利用可能言語– Node/JavaScript, C#– F#, Python, PHP, Batch, Bash, PowerShell
Functions• サポートバインディング
Type Service Trigger Input Output
Schedule Azure Functions ✔HTTP (REST or WebHook) Azure Functions ✔ ✔
Blob Storage Azure Storage ✔ ✔ ✔Queues Azure Storage ✔ ✔Tables Azure Storage ✔ ✔
Tables Azure Mobile Apps Easy Tables ✔ ✔
No-SQL DB Azure DocumentDB ✔ ✔Streams Azure Event Hubs ✔ ✔Push Notifications Azure Notification Hubs ✔
24
マネジメントとセキュリティ
Log analytics ( OMS )
• Windows の Event Log やLinux の Syslog を分析– 検索クエリによる可視
化
対応 Linux ディストリビューションAmazon Linux, CentOS, Oracle Linux, Red Hat Enterprise Linux, Debian, Ubuntu, SUSE Linux Enterprise Server
omsagent(fluentd)
rsyslog
デバイスに書き込まれる前に Log analyticsへログを送信侵入者の形跡削除防止
14:50 から
RoomCで!
16:55 から
RoomDで!
Security CenterAzure VM, Network, SQL などのセキュリティポリシーを管理
– セキュリティを視覚化– 気付かない可能性がある脅威を検出– 検出した脅威の対策を提示– 対策を施す。場合によってはセキュリティソリューションのエコシス
テムと連動
全リソースのセキュリティ視覚化
脅威を選択 対策(実際の設定)
Security Center セキュリティポリシー
• System updates– セキュリティ更新プログラムが適
用されているか確認• Baseline rules
– 推奨される CCE の共通セキュリティ設定の確認
• Endpoint Protection– エンドポイント保護ソリューショ
ンが有効であるか確認(マルウェア対策など)
• Disk Encryption– Azure Disk Encryption でディス
クが暗号化されているか確認。Windows は BitLocker 、 Linuxは DM-Crypt
• Network Security Groups– インバウンド・トラフィック規則
が構成されているか確認• Web Application Firewall
– Web アプリケーションが存在するか確認
• Next Generation Firewall– セキュリティグループの拡張的な
利用• SQL Database
– 監査ログの確認と、透過なデータ暗号化を確認
Security Center 対策例• Web サーバを見つけると WAF を使用した対策が可能
– Azure Security Center 用に設定された BIG-IP を実行• 一般的なアプリケーションの脆弱性からの保護• OWASP Top 10 の脅威と、 L7 DDoS攻撃の防衛• PCI-DSS 要件の遵守
WAFを選択
29
IDENTITY
Azure Active Directory• 単一組織の Azure AD 利用
– 組織内の複数部門の Web アプリ– クラウドを含めた Web アプリ– クラウドだけの Web アプリ
• マルチテナントの Azure AD 利用– 複数組織が利用する Web アプリ
Azure ADWeb アプリ
A社
複数組織が利用するWeb アプリ
( SaaS 提供するときなど)
A社 B社 C社
Azure AD
Web アプリとの連携に同意
C社のAzureAD テナント全体管理
者
Azure Active Directory• 1.異常なアクティビティ( 1/3 )
– 不明なソースからのサインイン• テナントに正常にサインインしているが、 Microsoft が認識している匿名のプロキシ IP
アドレスからの接続元である場合のログレポート。悪意の目的で使用される場合があるため。
– 複数のエラー発生後のサインイン• 複数回連続してサインインの試行に失敗した後に、正常にサインインしたユーザーの、失敗したサインイン試行数と成功時のログレポート。ユーザーがパスワードを忘れた場合もあるが、ブルート フォース攻撃の被害者になっている場合があるため。
– 複数の地域からのサインイン• 異なる国から同一ユーザーによる 2 回のサインインがあり、それらの国の間をユーザー
が移動するのが不可能である場合の、サインインの時間間隔、サインインを行った国、それらの国の間の推定移動時間ログレポート。ユーザーがパスワードを共有している場合や、ユーザーがリモート環境を使用している場合があるが、ハッカーが複数の国からそのアカウントにサインインしている場合があるため。
Azure Active Directory• 1.異常なアクティビティ( 2/3 )
– 疑わしいアクティビティを示す IP アドレスからのサインイン( Premium )• 疑わしいアクティビティのサインイン試行の IP アドレスログレポート。疑わしいアク
ティビティは、同じ IP アドレスから短期間のうちに実施された多数のサインインの試行失敗や、疑わしいと見なされる他のアクティビティから識別されます。
– 感染の疑いのあるデバイスからのサインイン( Premium )• マルウェア (悪意のあるソフトウェア ) の可能性があるサインイン試行の IP アドレス
ログレポート。マルウェアサーバーへの接続が試みられた IP アドレスを感染の疑いのあるデバイスとして識別されます。
Azure Active Directory• 1.異常なアクティビティ( 3/3 )
– 不規則なサインイン アクティビティ( Premium )• 機械学習アルゴリズムによって、“ irregular” (不規則 ) と識別されたサインインの分
類と場所のログレポート。予期しない場所でのサインイン、予期しない時刻のサインイン、またはそれらの組み合わせにより識別されます。機械学習アルゴリズムでは、イベントが “ irregular (不規則 )” または “ suspicious (疑わしい )” として分類されます。セキュリティ違反は“ suspicious” の可能性が高いです。
– 異常なサインイン アクティビティのユーザー( Premium )• 異常なサインイン アクティビティが検出された全てのユーザーアカウントをレポート。他のすべての異常なアクティビティレポートのデータが含まれます。
Azure Active Directory• 2.アクティビティ ログ
– 監査レポート• サインイン先のアプリケーション、使用デバイス、 IP アドレス、場所などのレポート。
– パスワード リセット アクティビティ( Premium )• 組織内で行われたパスワード リセットに関するログ。
– パスワード リセット登録アクティビティ( Premium )• 組織内で行われたパスワード リセット登録のログ。
– グループ アクティビティ( Premium )• ディレクトリ内のすべてのグループ関連アクティビティのログ。
Azure Active Directory• 3.統合アプリケーション
– アプリケーションの使用状況( Premium )• ディレクトリと統合された全ての SaaS アプリケーションの利用状況のレポート。ア
クセスパネルをユーザーがクリックした回数に基づきます。
– アカウント プロビジョニングのアクティビティ• 外部アプリケーションにアカウントのプロビジョニングを試行した回数の履歴をレポートします。
– アカウント プロビジョニング エラー• SaaS アプリケーションから Azure AD へアカウントの同期中に発生したエラーをレポートします。外部のアプリケーションにアクセスするユーザーの機能に問題があることが考えられます。
36
インテリジェンス
Cortana Intelligence Suite• データをインテリジェントなアクションに繋げるプラットフォー
ム Intelligence
Dashboards & Visualizations
Information Management
Big Data Stores Machine Learning and Analytics
CortanaEvent HubHDInsight (Hadoop and Spark)
Stream Analytics
Data Sources
Apps
Sensors and devices
Data Intelligence Action
People
Automated Systems
Apps
Web
Mobile
Bots
Bot Framework
SQL Data WarehouseData Catalog Data Lake
Analytics
Data Factory Machine LearningData Lake
Store Blob Store
Cognitive Services
Power BI
データプラットフォーム
• 送られてきたデータを分析してアクションに繋げる
イベント
人間
BI 判断
コンピューティング・機械学習など
ルール 自動化
アクションデータ
39
End-To-End のソリューション
• デバイスの情報を収集して BI で可視化
Event Hub Stream Analytics Power BIDevice
Machine Learning
SQL Database
40
Event Hubs• 秒間数百万件のイベントを受信できるデータ収集サービス
Fieldgatewa
y
Azure Event Hubs
PANDevice
IP NetworkDevice
HTTPS, AMQP
HTTPS, AMQP
Azure SDK
Azure SDK パーティション
リテンション期間
Azure Stream
Analytics
41
Stream Analytics• 大量のデータをリアルタイムに処理するクエリエンジン
Azure Stream
Analytics
SELECT System.Timestamp as Time, DeviceId, CAST(AVG(frompis.Temp) AS float) AS Temp, CAST(AVG(frompis.Pressure) AS float) AS Pressure, CAST(AVG(frompis.Hum) AS float) AS Hum, CAST(AVG(frompis.HiLux) AS float) AS HiLux, CAST(AVG(frompis.LowLux) AS float) AS LowLux INTO powerbiFROM raspisensors TIMESTAMP BY DateGROUP BY DeviceId, TumblingWindow(second, 30)
SQL Database
Storage
Document DB
Event Hub
Power BI
Azure Event Hubs
Azure Machine Learning
42
Machine Learning
①データ読み込み
②データ整形
④アルゴリズムを指定してトレーニング
③学習用とテスト用のデータ作成
⑤トレーニングした結果をもとにスコアリング
⑦Web API
⑥評価
• 人間の代わりに判断しアクションに繋げる機械学習基盤
43
Azure Machine Learning Studio• 主な機能
– Experiments• モデルを作成して評価する
– Datasets• CSV ファイルをインポート
する場合や、 Experimentsから作成する
• Experiments で利用– Web Services
• Experiment の Web Service を作成
– Trained Models• Experiment で学習した
Train Model
Azure Machine Leaning Studio
Experiments
■■■■
Web Services
■■■■
Datasets
■■■■
Trained Models
■■■■
作成
利用
作成 作成したモデルの API 利用
44
Power BI• Web API インタフェースを持つ BI ツール
HTTPS
HTTPS
SQL
Power BIAPI
45
Cognitive Service• アプリケーションに組み込めるように、視覚、音声、言語、知識
に関する機能の API を提供
Emotion Speaker Recognition
Speech
Custom Recognition
Computer Vision
Face
Video
検索音声 言語 知識視覚
Linguistic AnalysisLanguage Understanding
Bing Spell Check
Entity Linking
Knowledge Exploration
Academic Knowledge
Bing Image SearchBing Video Search
Bing Web Search
WebLM
Text Analytics Recommendations
Bing Autosuggest
Bing News SearchTranslator
https://www.microsoft.com/cognitive-services/en-us/apishttps://www.captionbot.ai/
46
重要なこと
47
サービスの制限、クォータ、制約など
• 各サービスにはクォータなどの制限が存在します• この制限を知ったうえでアーキテクチャデザインをすることが重
要– https://azure.microsoft.com/ja-jp/documentation/articles/
azure-subscription-service-limits/
48
Azure のアプリケーションアーキテクチャの素材
• デザインパターン– https://msdn.microsoft.com/library/dn568099.aspx
• アイコンセット– https://www.microsoft.com/en-us/download/confirmation.
aspx?id=41937
49
最新情報
• 最新の情報を知りたいときは、かめぶちさんの Blog をみてね– ブチザッキ
• https://buchizo.wordpress.com/
50
AZURE STACK
インフラストラクチャ サービスストレージ
BLOB Storage
Azure Files
Premium Storage
コンピューティング
仮想マシン
コンテナー
ネットワーク
Virtual Network
ExpressRoute
Traffic Manager
Application GatewayDNS VPN
GatewayLoad Balancer
プラットフォーム サービス
Web とモバイル
Web Apps
MobileApps
APIManagement
APIApps
LogicApps
NotificationHubs
メディア & CDNContent DeliveryNetwork (CDN)
MediaServices
分析 & IoT
HDInsight MachineLearning
StreamAnalytics
DataFactory
EventHubs
MobileEngagement
システム間連携
BiztalkServices
ハイブリッド接続
ServiceBus
StorageQueues
データ
SQLDatabase
DocumentDB
RedisCache Search
テーブル
SQL DataWarehouse
コンピューティング
CloudServices
Batch Remote App
ServiceFabric
開発者向けサービス
Visual Studio
ApplicationInsights
Azure SDK
チーム プロジェクト
セキュリティと管理
ActiveDirectory
Multi-factorAuthentication
Automation
ポータル
Key Vault
ストア /Marketplace
VM イメージ ギャラリー& VM Depot
ハイブリッド運用
Backup
SiteRecovery
Import/Export
AD PrivilegedID Management
OperationalInsights
Azure AD Connect Health
StorSimple
https://docs.com/takazoe-osamu/2147/20160219-tf-azurestack より
Azure Stack TP1 構成• Auzre Stack のコアな機能は
Service Fabric の上で動いている!
xRPVM
SQLVM
PortalVM
ClientVM
Service FabricCompute RP
Network RP
Storage RP
SQL Server
Portal services
ARM
MuxVM
SLBMux
Service FabricNetwork
Controller
NCVM
Tenant’s VMs
NAT
ADVM
AD
DNS
DHCP
Service FabricACS Services
ACSVM
ACS Blob ServiceSoFS
ReFS CSV
Virtual Disk
Storage Space
Storage Space Direct
VHDVHD
Hyper-V Host vSwitchNIC
NATVM
BGPVMRemote Access
https://docs.com/takazoe-osamu/2147/20160219-tf-azurestack より
53
https://www.facebook.com/jazug.jphttps://www.facebook.com/jazug.jp