今日も今日とてAzureを触っていきます
※この記事は7月25日に書きました
Day4 Azure SQLとPaaS
SQLデータベース(Day3)の続き
- 仮想マシン上のSQL Server Management Studioを選択
- 研修用のコンフィグファイルを仮想マシンのD:¥配下に配置(割当解除でDが消える)
- SQL Server Management Studio上でAzure SQLとローカルのSQLサーバに接続
- データベースを生成したときはDatabase serverの仮想マシンも自動的に作られる
- App servicesやWeb apps等は仮想マシン等のリソースは見えない
- 今ログインしているWindowsアカウント(Window認証)
- 個別でSQL Server上にアカウントを作って認証する(SQL server認証)
※SQL server Management Studio左メニュから該当のDBを選びながら下記のようなクエリを実行
CREATE TABLE dbo.serverlist
(server_name NVARCHAR(50 PRIMARY KEY,
ip_address nvarchar(29));
GO
INSERT INTO dbo.serverlist
VALUES
('server1', '10.10.0.61');
....
SELECT * FROM dbo.serverlist; でテーブルを表示させる
Azure SQL serverを監視してみる
- 左メニュ[SQLデータベース]を選択して監視の項目の[アラート]をクリック
- [メトリックアラートの追加]を選択
- 名前、ソース、条件を選んでいく
- メトリックは今回[Total database size]を選択ししきい値を[1024]とする
- これでアラートルールが作成される
Azure SQLデータベースにユーザを追加する
- SQL Management StudioでAzure SQLデータベースに接続
- 左のエクスプローラから[ログイン]で右クリック
- [新しいログイン]をクリックし下記のTransact-SQLクエリを実行
CREATE LOGIN SalesApp
WITH PASSWORD = 'xxxxxx'
GO
AzureへのSQL移行(発行)
- Sales該当DBから右クリック
- タスク
- Microsoft Azure SQL データベースの配置
- サーバ接続を選択しユーザ情報を入力
- 次へをクリック
- Azure PortalからSalesのDBが見えるかを確認する
Azure PortalからAzure SQL DBの復元
- [SQLデータベース]を選択し、該当のリソース(DB)を選択
- [復元]をクリックして、[OK]で特定のポイントへ復元する 3
PaaSの実装(Azure Cloud Services)
- AzureのPaaSはAzure Cloud Services(旧称:PaaS)と呼ばれている
- Webロール(フロントエンドの機能)、Workerロール(バックエンドの機能)のインスタンスを個別に管理することができる
- 例:Webロールインスタンス10/Wokerロールインスタンス5など
Web App ServiceはRDPによる管理はできないがAzure Cloud Servicesは一部RDPによりカスタマイズも可能
-
App Service
- 任意のデバイス用のスケーラブルなWeb Apps, Mobile Apps, API Apps
-
Azure Cloud Services
- OSのより詳細な制御が可能な可用性と拡張性の高いN階層のクラウドアプリケーション
-
Virtual Machines
- OSの完全な制御が可能なカスタマイズされたWindows/Linux
-
AzureのPaaS系サービスとIaaS v2の接続
- ストレージアカウントやAzure SQL Databaseはサービスエンドポイントにより直接接続してAzureのバックプレーン経由で通信できる
- Azure Web App Serviceは目下、VNet-to-VNet(PaaSで使用されているIaaSv1相当のネットワークとIaaS v2ネットワークとのブリッジによる接続でバックプレーン経由で通信できる
Azure ADについて
- MicrosoftのIDaaS
- Active Directory Domain Service(ADDS)とは全く別物
- ADDSは認証および社内リソースのセキュリティ基盤
- Kerberos認証/グループポリシーオブジェクト(GPO)/組織単位(OU)など
- Azure ADはWeb認証基盤、インターネット経由などWebアプリケーションに必要な認証サービスを提供する
- Azure ADにはADDSのような
- ドメインのメンバーになる
- Kerberos認証プロトコル
- OUやGPOの機能はない
- デバイス登録という機能はあり、これをAzure ADへの参加と表現している
- ADDSのドメイン参加とは別物
- Azure ADの認証プロトコルはSAMLやOAuth(Open ID Connect)、WS-Federation(MSの認証プロトコル)などいわゆるWeb認証プロトコルを利用する
- Active Directory Domain ServiceをAzure上でPaaSとして提供する Azure AD DSとうサービスは存在する、IaaSでドメインコントローラをたてなくてよくなる
ADDSについて
Azure ADについて
- AD DSとは全く別物と考えるのが大前提
- サービス名前だけみるとActive Directory?と勘違いする
- Azure ADはIDソリューションであるhttp(80)/https(443)を使用するサービス向け
- Azure ADはKerberos認証は使わない
- Azure ADはフェデレーションサービスが含まれているので3rd party serviceと連携する
- Facebook等
カスタムドメイン名
自社が保有するドメイン名と連携したい要件に対してカスタムドメインを利用可能
Azure AD PowerShellについて
- Azure AD PowerShellはIaaSおよびPaaSの管理モジュール
- Azureを管理する際に必要、ただしAzure ADそのものを管理する機能はない
- 例:ユーザを作成する等
- Azure Active DirectoryのPowerShellモジュールはAzure AD内にユーザやグループを作成するなどができる
- Azureの管理者のみならずOffice365などMicrosoftのSaaS管理者に必要なモジュール
Azure AD PowerShellのインストールメモ
- 該当サイトから下記のコマンドを取得しPowershellで実行
- Install-Module-Name Azure AD
- 各種設問にyesで答えてインストール開始
Azure Active Directory (Azure AD)
全体管理者のユーザ作成
- Azure ADの全体管理者について
- Azure ADの特定のディレクトリ内にユーザやグループを作る、アカウントオペレータの権限
- Azure ADの特定のディレクトリの管理のみ可能
- 他のディレクトリ管理は勿論、IaaSやPaaSの管理権限はない
- Azure Active Directory
- [ユーザ]を選択し、[新しいユーザ]をクリック
- 名前、ユーザ名を入力していく
- パスワードは初期パスワードなので、変更後のパスワードも準備しておく
- [作成]をクリック
- ユーザができたら[ディレクトリロール]から[ロールの追加]
- 全体管理者を選ぶ
- ブラウザを立ち上げで新規ユーザ(全体管理者)でAzure Portalにログインしてみる
Azure AD Directoryの作成
- リソースの作成
- Identityをクリック
- Azure AD Directoryよりディレクトリの作成をクリック
- 組織名や初期ドメイン名を入力
- 国はIaaSではないので、米国、とざっくりの指定になる
- 作成を押して完了
※この記事は7月25日に書きました