1

Windows Azure Connect

日本マイクロソフト株式会社エバンジェリスト安納 順一http://blogs.technet.com/junichia/Twitter @junichia

ハイブリッドクラウドのネットワーク基盤

2011 年 3 月 4 日 第 1.0 版

2

ご注意

本セッションの情報はベータ版の機能をもとにしています

正式なリリース時には変更される可能性がありますのでご了承ください

3

Agenda

• IT Pro が抱える課題と期待• Windows Azure Connect の概要• Windows Azure Connect の利用シナリオ• まとめ

3

4

IT PRO が抱える課題と期待

5

• 整然と並んだサーバー群• 暗闇に妖しくひかる LED• クールなケーブルタッピング• はたらく自動車

：： 萌えるねぇ

クラウドには萌えがいっぱい

6

真の”萌え”は…ハードウェア投資 ‘ 0’ で得られる高可用性

障害対応• 故障したハードウェアの自動切り替え• 自動複製によるデータ保護• ネットワークロードバランスの自動構成

環境変化への迅速な対応• 容易なスケールアウト、スケールイン• ネットワークの自動構成

ノンストップでのメンテナンス• インスタンスを順次停止してメンテナンスすることによ

り全体としてのサービス停止を防ぐ

6

7

でも…困った現実もある…

既存システムとの統合• すべてがクラウドで動くわけではない

• 新しいクラウドアプリとオンプレミスを結合しなければならない

クラウド上でのビジネスプロセスの表現• 使用中のワークフローエンジンがクラウド上に用意されていない

クラウドへの移行が面倒• 既存方式やテクノロジーを、あまり変えたくない　　

• クラウドアプリの監視が面倒くさい

8

全てパブリッククラウド

移行コストが問題

3 つの選択肢

ハイブリッド全てオンプレミス

従来と変わらない運用

一部をクラウドに移行して両者の良いとこ取り

9

理想的なインフラストラクチャー

ホスター

プライベートクラウド

企業内システム

パブリック クラウド

全ての基盤が “ 1 つの” システムとして協調動作

Secure CloudFederation

10

Secure Cloud Federation

クラウド オンプレミス

データ同期

～ SQL Azure Data Sync ～

アプリケーション間通信

～ AppFabric Service Bus ～

セキュリティ

～ AD FS 2.0 & AppFabric ACS ～

仮想ネットワーク

～ Windows Azure Connect

～

今日のテーマ

11

概要Windows Azure Connect

12

Windows Azure Connect

クラウドとオンプレミス間の仮想ネットワーク接続• Windows Azure アプリから

オンプレミスのリソースを利用• オンプレミスから Windows Azure を管理

企業内システム

プレビュー版提供中

13

Windows Azure Connect

どう使う？

• Windows Azure アプリがオンプレミスの SQL Server にアクセス• Windows Azure アプリを Active Directory ドメインに参加• Windows Azure アプリからファイル サーバーにアクセス• Windows Azure アプリからオンプレミスのプリンターに印刷• Windows Azure アプリ /OS を PowerShell でリモート管理

14

Role

エンドポイント グループ

Windows Azure Connect の仕組み

インスタンス インスタンスインスタンス

「ロール」と「エンドポイントグループ」間を Relay を通して接続既存のネットワークも同時に使用可能

Firewall

RelayAzuer Connectエンドポイントソフトウェア

15

Role

1 つのロールに含まれるすべてのインスタンスが自動的に対象

一部のインスタンスのみを対象にすることはできない

• Windows Azure 上の Web ロール /Worker ロール ※ VM Role が Windows Azure Connect supported か　どうかは現時点で不明

16

エンドポイントグループ• オンプレミスのコンピューター群

– 企業内 PC / Server– 自宅 PC / モバイル PC

• Role と通信したいコンピューターのみグルーピングする• 同時に複数のグループには所属できないが

グループのネストは可能（グループ間の通信が可能）• コンピューター間の通信可否は関係ない（ Azure 上の設定なの

で）

DC SQL Server 開発用 PC

　　　複数のグループに　　　所属することはできない

17

構成パターン①～ 1 : 1 接続

A 社 社内ネットワーク B 社 社内ネットワーク自宅 / モバイル

エンドポイントグループ

Role１

インスタンス インスタンス

Role3

インスタンスインスタンス

Role2

インスタンス

エンドポイントソフトウェア

18

構成パターン②～ n : 1 接続

A 社 社内ネットワーク B 社 社内ネットワーク自宅 / モバイル

Role１

インスタンス インスタンス

Role3

インスタンスインスタンス

Role2

インスタンス

エンドポイントグループ

エンドポイントソフトウェア

19

A 社 社内ネットワーク B 社 社内ネットワーク自宅 / モバイル

Role１

インスタンス インスタンス

Role3

インスタンスインスタンス

Role2

インスタンス

構成パターン③～ 1 : n 接続

エンドポイントグループ

エンドポイントソフトウェア

20

A 社 社内ネットワーク B 社 社内ネットワーク自宅 / モバイル

Role１

インスタンス インスタンス

Role3

インスタンスインスタンス

Role2

インスタンス

構成パターン④～ エンドグループ間 通信

エンドポイントグループ

エンドポイントソフトウェア

Relay

21

構成パターン⑤～インターコネクション

エンドポイントグループ

エンドポイントソフトウェア

A 社 社内ネットワーク B 社 社内ネットワーク自宅 / モバイル

Role１

インスタンス インスタンス

Role3

インスタンスインスタンス

Role2

インスタンス

Relay

22

設計時の留意点 ① • Role 間の通信が可能になるわけではない• コネクションは point to point である（連鎖しない）• 同一サブスクリプション内でのみ使用可能

A 社 社内ネットワーク B 社 社内ネットワーク自宅 / モバイル

Role１

インスタンス インスタンス

Role3

インスタンス インスタンス

Role2

インスタンス

サブスクリプション

23

設計時の留意点 ② ～ Firewall の設定について

エンドポイントRole

インスタンス

• 通信は Windows Firewall により制御される• Azure Connect の設定が完了すると…

Azure Connect Relay 用アダプタが作成される 両者の IPv6 アドレスが設定される 両者の Firewall に Point to Point のポートが開かれ

る

adapter

Relayadapter

adapter

Relayadapter Relay

エンドポイント

adapter

Relayadapter

24

設計時の留意点 ③ ～ ホスト名• Role → エンドポイント

ー エンドポイントのコンピューター名 /FQDN名

• エンドポイント → Role

ー Role のホスト名

25

利用シナリオWindows Azure Connect

26

① ドメインレベル のアクセス管理

　　　　エンドポイント　　　グループ

Active Directory ドメイン

Role

インスタンス インスタンス

DC DC SQL Server File/Print Server

• クラウドへのアクセス管理をドメインレベルで制御• クラウドからのオンプレミス利用• オンプレミスの資格情報で

クラウドアプリケーションを利用

27

② Windows PowerShell による管理

Windows Azure Subscription

Windows Azure VM

Windows PowerShell

Windows Azure VM

WMIWMI

Windows Azure Management API

Windows Azure Management コマンドレット

標準装備のコマンドレット

管理

管理 インスタンスの作

成、再起動、停止証明書の管理 など

オンプレミスと

同様に管理

28

Role グループ

エンドポイントグループ

エンドポイントグループエンドポイントグループ

顧客 A 顧客 B自宅

③ メンテナンスの踏み台

Role インスタンスのリモートデスクトップを経由

エンドポイントグループ

エンドポイントソフトウェア

インスタンスを複数用意しておけば、複数人での操作が可能

29

まとめ

30

IT Pro の責任範囲

サービスの展開

管理 / 監視

Drives

Memory

OS Patches

Networking

Physical Hardware

アーキテクチャの検討

この部分のコストが意外と高い

IT Pro の責任範囲

31

アーキテクトが求められる時代に

IT Pro の責任範囲

Drives

Memory

OS Patches

Networking

Physical Hardware

Cloud の責任範囲

アーキテクチャの検討

サービスの展開

管理 / 監視

増

減

減

求められるスキル• テクノロジー検証• パフォーマンス予測• コスト予測• 経営戦略に即した IT 設計• 開発者との情報交換

32

ハイブリッド クラウド のおさらい

データの同期 アプリケーション間連携

セキュリティ 仮想ネットワーク

SQL Azure Data SyncSQL Azure <-> SQL AzureSQL Server <-> SQL Azureコードレス

AppFabric Service Busビジネスロジックの実装コンポジットアプリケーションへの発展

AD FS 2.0, AppFabric ACS

クレームベースの ID 連携WS-Federation, WS-Trust,SAML 2.0

Windows Azure Connect

オンプレミスとクラウドのセキュアなネットワーク層連携オンプレミスの資源をクラウドから利用 (SQL Server, AD DS … )

33

ハイブリッドクラウドを検討しましょう

• パブリック クラウド至上主義は危険です

• スケール アウト だけがクラウドのメリットではありません

• IT Pro はアーキテクトを目指しましょう

ハイブリッドが IT の世界を広げます！

34

セミナー紹介

AppFabric Access Control Service V2 で実現するシングルサインオンシステム

日時 3 月 11 日 13:00 ～ 18:00場所 MS 品川オフィスセミナールーム（この部屋です） 講師 MS 安納 順一

CTC 富士榮 尚寛 氏

テックフィールダーズセミナー 検索

35