この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。
直近で更新されたAzure情報の中で、より多くのお客様にメリットのある情報をピックアップしてお知らせします。
Microsoft Ignite & Envision 2018が開催されました
盛りだくさんの内容となりますので、隅から隅まで全てを把握しようとすると大変ですがいろいろな発見があります。一端ではありますが下記サイトに情報がございますので、何かのヒントとなれば幸いです。
[Microsoft Ignite 2018 / Envision 2018 発表事項のまとめ【9/29更新】]
Azure Resource Manager (ARM) 仮想マシンの複製方法のご紹介
Azure にて冗長構成を行いたい場合や、同じ構成をもつ仮想マシンを複数台用意したい場合など仮想マシンを複製する場面はあるかと思います。
マイクロソフトのサポートブログにおいても、同一設定の仮想マシンを複製する方法を4パターンに分けて紹介をしています。
2.ディスクのコピーを作成し、コピーしたディスクから仮想マシンを複製する
3.Azure Backup を使用する
4.Virtual Machine Scale Sets を使用する
特にパターン1、4については、既存の仮想マシンが使用できなくなりますので十分に検証を行う必要があります。
| 方法 | 特徴 | 利用シーン | リージョン | 管理 / 非管理 ディスク (複製元の仮想マシン) |
|
| 1 | 一般化された’イメージ’リソースを作成して’イメージ’から仮想マシンを作る | ・既存の VM は使用不可になる ・OS ディスクおよびデータディスクを一括複製できる ・ホスト名を任意に決めて作成できる |
・既存 VM をマスターイメージとして複数の VM を作成したい | 同一リージョンのみ | どちらでも (非管理ディスクの場合は PowerShell 操作が必要 |
| 2 | ディスクのコピーを作成し、コピーしたディスクから仮想マシンを複製する | ・既存の VM は使用可能 ・接続されているディスクごとにコピーする必要がある ・同じホスト名の VM が作成される |
・現在の VM を残したまま VM を複製したい ・別リージョンに VM を複製したい (※非管理ディスクのみ対応) |
非管理 ディスクを利用すればリージョンをまたげる | どちらでも (非管理ディスクの場合は PowerShell 操作が必要) |
| 3 | Azure Backup を使用する | ・既存の VM は使用可能 ・OS ディスクおよびデータディスクを一括複製できる ・同じホスト名の VM が作成される |
・既存の VM を残したまま手軽に VM を複製したい ・コンスタントに VM のバックアップをとりたい |
同一リージョンのみ | どちらでも |
| 4 | Virtual Machine Scale Sets を使用する | ・既存の VM は使用不可になる ・ディスク構成のみならず、すべての構成が一元化する ・Azure 側でホスト名が重ならないよう調整される |
・大量の VM を一度に作成したい ・大量の VM をすべて一元管理したい ・複数の VM に対して負荷分散を行い、冗長性とパフォーマンスを向上したい ・オートスケールをしたい |
同一リージョンのみ | どちらでも (非管理ディスクの場合は PowerShell 操作が必要) |
詳細な方法につきましては、下記、サイトをご確認頂きますようお願いいたします。
(Part.1はパターン1及び2、Part.2はパターン3、4の作成方法となります。)
Azure Firewall 一般提供開始
2018年7月からパブリックプレビューとして公開されていた「Azure Firewall」ですが、2018年9月24日、一般提供が開始されました。
「Azure Firewall」のドキュメントは以下に掲載されています。
Azure Firewallドキュメント
このサービスの特徴・概要をまとめると以下のとおりです。
1.Azure上にデプロイするサービスとしてのステートフル ファイアウォール機能である
2.アプリケーションとネットワークの接続ポリシーを一元的に作成、適用、記録する機能を有する
3.送信元ネットワーク アドレス変換 (SNAT) と宛先ネットワーク アドレス変換 (DNAT) のサポート
4.詳細なログ記録が可能である(Azure Monitor連携)
「Azure Firewall」は公式ドキュメントの図にもあるように、仮想ネットワーク上の「中央のVNET」に配置するよう設定します。
ハブ&スポーク接続での配置
特徴「2」の「接続ポリシーを一元的に作成」という部分で記載のとおり、アクセスを制御する為の以下2種類のルールを設定可能です。
ネットワークルール・・・送信元アドレス、プロトコル、宛先ポート、および送信先アドレスを含むルールを構成できます。
たとえば、サブネットから DNS サーバーの IP アドレスに向かうポート 53 (DNS) 宛てのトラフィックを許可するルールを作成できます。
アプリケーション ルール・・・サブネットからアクセスできる完全修飾ドメイン名 (FQDN) を構成することができます。
たとえば、サブネットから github.com へのアクセスを許可することができます。
TCP/IP通信における L3・L7の両方でのルール投入が可能です。
”FQDNにてフィルタ可能” というのがAzure Firewallの大きな特徴ではないでしょうか。
・他のサービスとの使い分けについて
「Azure Firewall」の概要をチェックすると、既存Azure サービスの「ネットワーク セキュリティ グループ (NSG) 」や「Azure Application Gateway」と機能が重複する部分があり、使い分け方法が気になるかと思いますが、以下にFAQとしてまとめられています。
Azure Firewall に関する FAQ
・手順
実際にデプロイする手順は以下が分かりやすくお勧めです。
チュートリアル: Azure portal で Azure Firewall DNAT を使用して受信トラフィックをフィルター処理する
※本手順の中ではアプリケーションルールを設定していませんが、基本構成ができていればルール追加は簡単です
・注意点
上記の手順でも紹介されていますが、AzureFirewallを利用するにあたっては以下のような注意点があります。
– ユーザ定義ルートの設定が必須である(VNET内部からの通信をAzureFirewallを経由するよう設定しないとフィルタリングされない為です)
-「/25」以上の専用サブネット[AzureFirewallSubnet]が必要である
– アプリケーション ルールのフィルタリングは現在http、httpsのみに限られている
・料金
料金についても紹介します。1ユニット1時間あたり、140円。1か月約、102,200円がAzureFirewall本体分の料金としてかかります。
さらに、データ通信量において送受信データ1GBあたり、\3.36ほどかかります。
環境にもよるかと思いますが、1か月約11万での利用となるでしょうか。
※ ”Azure 料金計算ツール”では価格が表示されていません(2018年10月現在)が、以下のリージョン別利用可能製品一覧には掲載されています。実際に東日本にてデプロイも可能でした。
リージョン別の利用可能な製品
Azure上にデプロイできるサービスとしてのFirewall、これからより便利になっていきそうです。
(←参考になった場合はハートマークを押して評価お願いします)
読み込み中...