クラウド
メリット
高可用性
- システムやサービスがいつでも利用できること
- 域やデータセンターを跨いで複数のサーバを用意したりバックアップをしておく等
フォールトレランス
- システムを構成する一部に障害があっても正常にサービスを継続できること
ディザスタリカバリ
- 自然災害などの大規模障害から迅速に復旧できること
スケーラビリティ
- 拡張性のあること
- 自由にサーバの台数を増減させたり性能を上げ下げできる
弾力性
- 負荷に応じて自動的に調整できる
機敏性(アジリティ)
- 変化に素早く対応できる
- すぐにデプロイしたり、サーバー起動できたり
データセンター
ジオ
- 国や地域。日本等
- リージョンを集めたもの
リージョン
- データセンターの地理的場所を表す
- 東日本リージョン(Japan East)等 60以上ある
- リージョンには1つ以上のデータセンター
リージョンペア
- 各リージョンは同じジオ内のリージョンとペアになっている
- リージョンペアでバックアップをする
リージョンの選択ポイント
- 地理的に近い方が応答速度が速い
- リージョンごとに異なる価格設定
- 特定のリージョンでしか利用できないサービスが存在する
可用性ゾーン
- データセンターの障害に備える仕組み
- 1つのリージョン内に分離された3つ以上のデータセンターの集合
- ゾーンとは別
可用性セット
- 1つのデータセンターの中でサーバーを分散させる仕組み
- 同じ可用性セットに配置されたサーバーは同時にダウンしないようになっている
- 障害ドメイン:同じ電源やスイッチを共有しているセットで1~3まで選べる
- 更新ドメイン:Azureのメンテナンスリブートの際に影響される更新用の範囲で1~20まで選べる
障害ドメイン
- サーバーラックを分散させるための仕組み
更新ドメイン
- 更新ドメインが分かれていると、同時に再起動をすることを防ぐ
ソブリンリージョン
- コンプライアンス・法的な目的に使用されるリージョン
- Azure Government(アメリカ用), Azure China(中国用)の2つ
Azureリソース
リソース
- 仮想マシンやSQLDB等サービス1つ1つの要素
- サーバー、インスタンスと呼ぶことも
- 一番下の階層
リソースグループ
- リソースを論理的にグループ化してまとめて管理するもの
- 全てのリソースはリソースグループ1つに属する
- リソースグループごとの削除や権限付与が可能
- 分け方は自由
- リソースグループは入れ子構造にできない
- リソースグループの中のリソースのリージョンは別々でもOK
- 後からリソースのリソースグループを変更することはできる
サブスクリプション
- 契約(請求)の単位
- リソースグループの入れ物
- サブスクリプションごとに権限付与も可能
- 後からリソースを別のサブスクリプションに移動することは可能だが、全てできるわけではない
- 移動中のリソースとターゲットのリソースグループがロックされる。
管理グループ
- 複数のサブスクリプションをグループ化して管理するもの
- 管理グループを入れ子にすることは可能
権限・ポリシー
- 上位権限・ポリシーは下位リソースに継承される
権限
- 作成・更新など、リソースの操作に関する権限
- ロールベースのアクセス制御(RBAC)にて設定
ポリシー
- 次のようなルールのこと
- 日本のリージョン以外のリソース作成を禁じる
- 仮想マシンは特定のサイズに限定する
- Azure Policyにて設定
コンピューティングサービス
Virtual Machines
- Windows/Linuxの仮想サーバーを起動するIaaS
- OSイメージはMarket Placeに用意されているものを選択
- 独自にイメージ作成することも可能
- 2つのVMをデプロイすることで、99.99%の可用性が保証される
OSとサイズ
- OSはイメージの選択で決まる
- windows, ubuntu等
- サイズはタイプとシリーズで分類される
- 汎用:CPUとメモリのバランスが取れている
- コンピューティング最適化:CPUの性能が高い
- GPU:グラフィックの性能に特化
- タイプの配下にシリーズがあり、その中にサイズがある
- サイズの命名規則 D4s-v3
- D:シリーズ
- 4:CPUコア数
- s:追加機能
- v3:バージョン
ディスク
- Windows, Linuxが入ったOSディスク
- 用途に応じて追加するデータディスク
- 実態はAzureが管理するマネージドディスクにアクセスして管理する
- ディスクの性能 高性能な順に
- Ultra(99.9%)
- Premium SSD(99.9%)
- Standard SSD(99.5%)
- Standard HDD(95%)
- ディスクの性能を表す用語
- IOSP:1秒あたりに処理できる読み書きの数
- スループット:1秒あたりのデータ転送量
- OSのディスク容量は規定値通り
- データディスクは細かく指定可能
ネットワークインターフェイス
- NICのこと
- プライベートIPアドレスが必ず割り当てられ、仮想マシンにアタッチされる
- 仮想マシン作成時に必ず必要になる
- パブリックアドレスやセキュリティグループの割り当て先になる
パブリックIPアドレス
- グローバルIPアドレスのこと
- 外部からAzureを使用する場合に利用
- インターネット接続が必要なサービスに必要
ネットワークセキュリティグループ(NSG)
- 仮想ネットワーク内の通信を許可・拒否するルールセット
- 下記5つの情報(タプル)を使用する
- 送信元アドレス:ソース
- 宛先IPアドレス:ソースポート範囲
- 送信元ポート番号:宛先
- 宛先ポート番号:宛先ポート範囲
- プロトコル
- サブネット・NICにフィルターをかけられる
仮想マシンスケールセット
- 仮想マシンに自動スケールの機能を兼ね備えたIaaS
- 需要または特定のスケジュールに従って自動的にサーバー台数を増減させることができる
Azure App Service
- HTTPベースのアプリケーションを動かすための環境を提供するPaaS
- 継続的デプロイ等も提供される
- Web特化したものはAzure Web Apps
Azure Functions(関数アプリ)
- 様々なプログラム言語をするためのサーバレス環境
- 実行条件が満たされると処理を実行
- 実行時間・回数によって課金
- 軽量でポータブル、アプリ仮想化
- Azure Functions Core Tools を使用することで、ローカルコンピューター上のコマンドプロンプトまたはターミナルから関数を開発およびテスト可能
Azure Container Insances(ACI)
- Azure上でDockerコンテナーを実行するためのサービス
Azure Kubernetes Service(AKS)
- AzureでKubernetesを実行するためのサービス
- 複数のDockerコンテナを協調して動かすための仕組み
- クラスター, オーケストレーション
Azure Virtual Desktop(AVD)
- 仮想デスクトップ環境を提供するサービス
- Windows10/11/macOS/Android/iOSなどクライアントOSを利用可能
- マルチセッションが可能
- 自動スケール・監視・自動リカバリの機能が備わる
仮想ネットワーキングサービス
仮想ネットワーク(VNet)
- Azure上にプライベートネットワークを構成できる
- プライベートアドレス空間を割り当てて、その中に複数のサブネットに分割する
- サブネットに仮想マシンを配置する
- セキュリティ関連にサブネット分割すると良い
- インターネットに出て行くことも可能
VNetを他の場所と接続する方法
仮想ネットワークピアリング
- 仮想ネットワーク同士を接続するためのサービス
- 別々のVNet同士でピアリングできる
グローバル仮想ネットワーク ピアリング
- 異なるリージョン間で仮想ネットワークを接続する
VPNゲートウェイ
- オンプレミスと暗号化通信(VPN)で接続するための仮想ルータ
- 安価に構築可能
- 接続方法
- サイト間接続:社内ネットワークとの接続
- ポイント対サイト接続:社外からのリモートアクセス等
Express Route
- オンプレミスなどと閉域の専用回線で接続するためのサービス
- インターネットには出ない
- 専門の回線業者と契約が必要
Azure DNS
- インターネット上で利用する
- Azureが提供するパブリックな権威サーバ
Azure プライベートDNS
- VNet内専用
- 仮想ネットワーク上で動作する権威サーバ
エンドポイントの種類
- Azureでは、サービス接続先のURLのこと
パブリックエンドポイント
- Paasのリソースへインターネット経由で接続する時のURL
- 接続先となるパブリックIPアドレスとも言える
サービスエンドポイント
- Vnetからインターネットを経由せずにPaaSのリソースに接続可能
- Azureバックボーンを経由して接続する
- 接続先はパブリックIPアドレス
プライベートエンドポイント
- VNet内からプライベートIPアドレスでPaaSのリソースに接続可能
- Azureバックボーンを経由して接続する
ストレージサービス
Azure Storage
- ストレージを提供するIaaS
- イレブンナイン以上の耐久性
- 常に暗号化してデータを保存
ストレージアカウント
- ストレージアカウント名はユニーク
-
Standard(汎用): 一般的なほとんどのシナリオに推奨
- v1: レガシーで非推奨
- v2: コストが最適化で推奨
-
premium: 低遅延が求められる際に使用
- ブロックBLOB:Blobストレージのみ, LRS/ZRSのみ
- ファイル共有:Filesのみ, LRS/ZRSのみ
- ページBLOB:ページBLOBのみ, LRS/ZRSのみ
ストレージのデータサービス
- BLOB
- txtデータやバイナリデータなどの大量の非構造データを格納するオブジェクトストレージサービス
- 大容量のデータ保存に最適
- 構造としては、ストレージアカウント>コンテナー>フォルダー>BLOB
- ブロックBLOB:ドキュメント・メディアの格納
- 追加BLOB:ログなどの格納
- ページBLOB:Azure仮想マシンに設置されたIaaSディスク,DBストレージはここ
- ファイル(Azure Files)
- SMB/NFSプロトコル/Azure Files REST APIに対応したファイル共有サービス
- Windows, Linux, macOSにマウント可能
- テーブル
- 半構造化データを格納するNoSQLキーバリューストアサービス
- 大容量のデータに高速にアクセスできる
- キュー
- コンポーネント間の非同期通信に使うメッセージングサービス
BLOBストレージのアクセス層
- アクセス頻度、保存期間に基づいてコストを最適化
- ホット:頻繁にアクセスされるデータ向け
- クール:あまりアクセスされず、少なくとも30日以上保管されるデータ向け
- 早期削除料金がかかる
- コールド: 滅多にアクセスされず少なくとも90日以上保管されるデータ向け
- 早期削除料金がかかる
- アーカイブ:滅多にアクセスされず少なくとも180日以上保管されるデータ向け
- 早期削除料金がかかる
- オフライン層
- リハイドレート(ホット/クール/コールドに変更する作業)が必要 15時間くらいかかる
ストレージの冗長オプション
- ローカル冗長ストレージ(LRS)
- もっとも安価
- 一つのゾーン内に3つ配置される
- データセンター・リージョンの障害には耐えられない
- ゾーン冗長ストレージ(ZRS)
- 3のゾーンにまたがって1つずつ配置される
- リージョンの障害には耐えられないが、データセンターの障害に耐えられる
- geo冗長ストレージ(GRS)
- 単一ゾーンに3つと、別リージョンにコピーを保存
- 別リージョンはフェイルオーバーした際にアクセスできるようになる
- RA(読み取りアクセス)の手法もつけられる
- geoゾーン冗長ストレージ(GZRS)
- 3つのゾーンにまたがって1つずつ配置と、別リージョンに3つ配置される
- RAもつけられる
ファイル移動オプション
Azure Storage Explorer
- Azure Storageを操作するためのGUIツール
- Windows, Linux, MacOSにインストールして利用
AzCopy
- Azure Storageを操作するためのCUIツール
- Windows, Linux, MacOSで利用可能
- azcopy [操作] [引数] のように使う
Azure File Sync
- ファイル共有をオンプレミスなどのWindows Serverにキャッシュするサービス
- 一般的なGoogle Driveなどのクラウドストレージサービスと似ている
- オンプレミスなどのファイルサーバーをクラウドに拡張可能
- オンプレミスを複数拠点で共有できる
- バックアップや災害対策にも
データ移行オプション
Azure Migrate
- オンプレミスや他者クラウドからAzureへの移行を支援
- 一元的な窓口となるような管理画面を提供
- 適切なVMサイズの提案等行ってくれる
Azure Data Box
- オンプレミスにある大容量のデータをAzureへ移行
- 専用の物理デバイスを利用してオフラインで移行
- ネットワークが早く、機密データも守られる
- Azureからオンプレミスへ持って行くことも可能
AzureのID, アクセス, セキュリティ
Microsoft Entra ID
管理者アカウント
- Azureを使うにはmicrosoftアカウントが必要
- そのmicrosoftアカウントでログインしたものが管理者アカウント
- 管理者アカウントはMicrosoft Entra IDに登録される
Microsoft Entra IDとは
- クラウドベースのID管理とアクセス管理を提供
- 組織の情報を管理する「入れ物」の役割
- クラウドベースなので新たにサーバーを構築する必要はない
- Azure専用ではないMicrosoft系の共通基盤
- テナントの中にディレクトリが作成され、ディレクトリの中にユーザーやアプリケーションを登録する
- テナントとディレクトリは1対1
認証と承認
- 認証とは
- リソースにアクセスするユーザーを確認するプロセス
- 本人確認
- パスワード、生体情報などにて行われる
- 認証とは
- アクセス権を付与するアクセス可否の設定
- 〇〇の〇〇を許可する等
Microsoft Entra ID と サブスクリプション
- Microsoft Entra IDはサブスクリプションに含まれるわけではない
- それぞれが独立して関連づけられている
- 1つのEntra IDに複数のサブスクリプションに関連づけることも可能
- サブスクリプションは必ず1つのEntraIDと紐付けられるが、後から変更することは可能
- Entra IDが一元管理することが望まれるため
オンプレミスのActive Directory
- Microsoftが展開しているWindows Serverの機能
- クラウドサービスの認証ではなく、社内リソースの認証
- インターネットではなく、 社内ネットワーク
- ゼロトラストベースではなく、ネットワーク境界型のセキュリティモデル
- Azureへ同期することも可能
Microsoft Entra Connect (Health)
- これを使えば、オンプレのADで使われるIDをEntra IDで使用可能に
Microsoft Entraの特権ID管理
- 特権アクセスの管理と制御をするサービス
- 特権ユーザーや特権ロールを必要に応じて付与できる
- 多要素認証 (MFA) チェックを強制することができる
Microsoft Entra Identity Protection
- 異常な位置からのサインイン等、リスクを検知できる
- 多要素認証を設定することができる
- セキュリティリスク発生時の通知やレポートを出すことができる
- ユーザーリスクポリシー: ユーザーパスワードのリセット等が可能
- サインインリスクポリシー:多要素認証(MFA)とアクセス場所(オンプレミスなど)を設定することができる
ユーザーとグループ
- 管理者がユーザーを作成して、基本的にユーザーにログインする
- グループにしてユーザーをひとまとめにして一括でアクセス制御する
Azureの認証方法
シングルサインオン(SSO)
- 一度の認証手続きによって複数のアプリケーションにアクセスできるようになる仕組み
- AWS, GCPなどに対して実現できる
多要素認証(MFA)
-
2つ以上の要素によって認証する仕組み
- ユーザーが知っているもの(パスワード等)
- ユーザーが持っているもの(携帯電話や鍵等)
- ユーザー自身(生体認証等)
- IDに対してMFAを設定する際には、オンプレミスIDをAzureに同期する必要は無い
パスワードレス
-
パスワードを入力せずに認証する仕組み
- 生体認証(Windows Hello for Business)
- 認証アプリ(Microsoft Authenticator)
- FIDO2セキュリティキー
- パスワード漏洩リスクの低減に加え、利便性の向上にも
ロールベースのアクセス制御(RBAC)
- Azureのリソースに対するアクセス権(ロール)を管理するための仕組み
- Role Based Access Control(RBAC)
- 誰に(ユーザーやマネージドID)、何に対して(スコープ)、どんな操作(ロール)を許可するか制御する
- ロールの種類は下記
・所有者:すべての操作を許可
・共同作成者:権限管理以外の操作を許可
・閲覧者:読み取り(閲覧)のみ許可
身元を表すID
- ユーザー
- サービスプリンシパル: アプリケーションに割り当てるID
- マネージドID: 仮想マシンなどAzureリソースに割り当てるID
- マネージドIDを有効にする必要はある
- デバイス: モバイル端末などのハードウェア
セキュリティの考え方
境界型セキュリティ
- ファイアウォールの内側は安全という考え
- 社内ネットワークの中に人・デバイス・アプリを置く
- ネットワークの境界が曖昧になったり、テレワークの普及により変化が
ゼロトラスト
- 何も信頼せずに常に検証するという考え方
- 明示的に確認し、最小特権アクセスを使用し、侵害を想定する
条件付きアクセス
- ユーザーやデバイスの状態に基づいたアクセス制御
- Premium P1以上が必要
- 組織の準拠していないデバイスはブロックしたりできる
- 信頼できない場所からの通信であればブロックすることも可能
多層防御
- 複数のレイヤーごとに異なるセキュリティ対策を実装する戦略
- ユーザー認証・DDos保護・ファイアウォール・データの暗号化などなど
- コンピューティング層:仮想マシンのセキュリティ強化
- ID とアクセス層:MFAの導入、RBAC等
- 境界層:DDoS保護
- ネットワーク層:通信の制限
- アプリケーション層:アプリケーションをセキュリティで保護
- データ層:データへのアクセスの制御
- 物理的なセキュリティ層:データセンターへのハードウェア保護
Microsoft Defender for Cloud
- セキュリティを総合的に管理・可視化するためのサービス
- Azureだけでなく、オンプレや他者クラウドも保護可能
- 基本セキュリティ機能は無料
- 強化されたセキュリティ機能は有料
セキュアスコア
- 現在のセキュリティの状況が数値で可視化できる
- 推奨事項の一覧が表示され、満たすとスコアを上げられる
規制コンプライアンス
- 法律や規則に従うための取り組み
- 違反があれば検出してくれる
- 業界標準への適合状況を可視化してくれる
- Microsoftが用意したガイドライン(Security Benchmark)は無料
Microsoft Defender for Identity
- ユーザーやデバイスを継続的に監視・分析が可能
- 疑わしいユーザーアクティビティ、組織内の悪意のある攻撃を検出するためにも使用
コスト管理
コストに影響を与える要因
- リージョン
- 仮想マシンのサイズや稼働時間
- 停止済み(割り当て解除)にすれば課金ストップ
- OSの操作でシャットダウン(停止済み)だと課金は止まらない
- ディスクの容量や書き込み時間
- 仮想マシンが止まってもディスクは課金され続ける
- パブリックIPアドレスの利用時間
- データ転送の転送量
- インバウンド(Azureへの転送)は無料・アウトバウンド(Azureからの転送)は有料
仮想マシンの割引オプション
- Azure Spot Virtual Machines (スポットVM)
- 未使用リソースを利用することで割引を受けられる
- 単価は変動する
- Azureでリソースが必要になると停止・削除される
- Azure Reserved VM Instances
- 1or3年の利用を予約することで割引を受けられる
- 仮想マシン以外も適用可能
- Azure ハイブリッド特典
- 既存のライセンスを持ち込むことで割引を受けられる
- Windows Server, SQL Server等
コスト管理ツール
料金計算ツール
- Azureサービスごとのコストを計算・見積もりするサービス
- 構成内容に応じた見積もりが可能
総保有コスト(TCO)計算ツール
- オンプレミスからAzureへ移行した際のコストを比較するサービス
- 運用費も加味してコストを算出してくれる
Microsoft Cost Management
- 過去3か月の仮想マシンの使用状況を確認できる
- 過去に実際に使用されたコストを確認するサービス
- Azureポータルのコスト管理と請求から確認
- サブスクリプションを分ける・リソースグループを分ける・タグをつけることで明細分類が可能
- 予算アラートもある
- 請求額が設定した金額以上になった場合にメールで通知
- リソース削除忘れ防止
タグ
- Azureリソースに付与するメタデータ
- 目印、ラベルのようなもの
- 名前と値のペアで登録する
- 複数のタグをつけることが可能
- 子供へタグは継承されない
ガバナンスとコンプライアンス
Microsoft Purview
- 組織の持つデータをまとめて管理・保護するためのサービス
- 統合データガバナンス
- オンプレやAWSのデータをデータマップで可視化したりラベルづけしたりできる
- データを監視・保護する
Azure Policy
- Azureリソースを組織のルールに沿った状態に保つサービス
- ルールに沿ったリソースの作成を強制
- ルール違反のリソースの有無を可視化
- ポリシー定義: 一つ一つのルールのこと
- イニシアチブ定義: 複数のポリシー定義をまとめたもの
- 割り当て: 定義をAzureリソースに対して適用すること
- 既存のリソースが勝手に削除・変更されることは無い
- 親スコープは下のスコープに継承される
- リソースへのタグづけを自動化できる
リソースロック
- リソースが誤って削除されることを防ぐためのサービス
- 削除ロック: リソースの変更はできるが、削除ができなくなる
- 読み取り専用ロック: リソースの変更・削除ができなくなる
- ロックされたリソースの参照は可能
- リソースの削除をするには、ロックを解除する必要がある
- サブスクリプション・リソースグループにも適用可能で、下のスコープに継承される
Service Trust Portal
- Microsoftのセキュリティ、プライバシー、コンプライアンスに関する様々な情報を取得できる、一元管理されたサイト
- 監査レポート、業界や地域特有のコンプライアンス情報、侵入テストや脆弱性評価のレポート等
- 無料で利用可能
トラストセンター
- Microsoftクラウドサービスの全般的なセキュリティやプライバシーポリシーを理解したい場合に使用
- セキュリティポリシー、プライバシーの概要、コンプライアンス標準の紹介。
リソースの管理とデプロイ
Azureポータル
- ブラウザから利用できるGUIのツール
- スマホやタブレットからでもAzureリソースを管理可能
- URLは https://portal.azure.com
AzureCLI/Azure Power Shell
- コマンドラインツール
- Windows, macOS, Linuxにインストールして利用できる
AzureCLI
- 下記のように実行する
az <リソース種別> <動詞>
Azure Power Shell
- 下記のように実行する
<動詞>-Az<リソース種別>
Azure Cloud Shell
- ブラウザから利用できるコマンドの実行環境
- BashかPowerShellのどちらかを選択可能
- よく使われるコマンドラインツールや言語がインストール済
- Azure CLI/ Azure Power Shell/ AzCopy / Java / Python / Git 等
Azure Resource Manager(ARM)
- Azureリソースを管理・デプロイするサービス
- ARMと呼ぶことが多い
- JSON形式のarmテンプレートで管理される
- インフラ構成をコードで管理・デプロイすることで繰り返し作業を効率化する
Azure Arc
- Azure以外のサーバ環境をAzure上で一元管理するためのサービス
- 他者クラウドやオンプレ等を管理できる
- EC2をAzureリソースであるかのように管理可能
Azureの監視ツール
Azure Advisor
- ベストプラクティスに従って推奨事項を表示するサービス
- 下記の5つのカテゴリーがある
信頼性・セキュリティ・パフォーマンス・コスト・オペレーショナルエクセレンス(運用性) - 何かの利用を制限されることは無い
- 推奨事項は既存リソースのみ
- 推奨事項達成のために有償サービスを使用する場合もある
- Microsoft Entra IDは範囲外
Azure Server Health
- 障害や計画メンテナンスなどを把握するためのサービス
Azureの状態
- リージョンごとのAzureサービスの正常性を確認できる
- URLは https://status.azure.com
Service Health
- 使用しているAzureサービス、リージョンの正常性を確認するためのサービス
- サービス全体に影響を及ぼすような障害を検知
- 利用者ごとに最適化された情報を提供
- Azureポータルからアクセス可能
- 4つのイベントの種類がある
- サービスに関する問題: 障害等
- 計画メンテナンス: 可用性に影響する可能性のある将来のメンテナンス
- 正常性の勧告: Azure機能の変更点
- セキュリティアドバイザリ: セキュリティ関連の通知や違反
- アラートを設定することもできる
Resource Health
- 使用しているリソースごとの正常性を確認するサービス
- Azureポータルからアクセス可能
- 正常性の履歴から過去30日間の履歴を確認可能
- 個々のリソース単位の障害を検知
Azure Monitor
- 利用統計情報を収集して分析や監視をするためのサービス
- オンプレやAWSのサーバーも監視可能
- 複数のサービスを統合したサービス
アクティビティログ
- リソースの作成・変更・削除に関するログ
- いつ、誰が、何をしたのかを確認可能
アラート
- アラートルールの作成
- CPUが70%を超えた場合メールを送信する等
- アラートの確認
メトリック
- リソースのパフォーマンスデータをグラフで確認できる
- CPU使用率の推移等
ログ
- 収集されたログをKusto Query Language(KQL)を用いて分析可能
- グラフで分析することも可能
- Azure Monitor Log Analytics(Log Analytics Workspace)
- 各種Azureサービスのログを収集して分析する機能
アプリケーション
- Application Insightsを使用可能
- アプリケーションのパフォーマンスの分析が可能
- サーバーの応答時間等
その他
- ゲートウェイ
- アプリケーションゲートウェイ: Webアプリケーションのトラフィック分散に使用, L7での負荷分散
- ローカルネットワークゲートウェイ: Azureとオンプレを繋ぐ際のゲートウェイ
- 仮想ネットワークゲートウェイ: 仮想ネットワークに設置できる VPN ゲートウェイ装置
- Microsoft Azure Service Bus
- メッセージングやキューイングを提供
- DDoS Protection
- AzureリソースをDDosから守るサービス
- Azure Firewall
- ファイアウォールを提供するサービス
- L3-L7フィルタリング
- Azure Information Protection
- ドキュメントやメールの情報保護サービス
- wordに透かしを自動で追加も可能
- 診断ツールを使用したトラブルシューティングが可能
- Azure Key Vault
- ユーザー名やパスワード等を安全に保存
- ユーザーアカウントのシークレットを格納する
- Azure Logic Apps
- タスク、ビジネスプロセス、ワークフローをスケジュール、自動化、調整するサービス
- PaaS
- Azure SQL Database
- ユーザーがインフラストラクチャを気にすることなくデータをホストできるクラウド型のリレーショナルデータベース
- PaaS
- Azure サポート チケット REST API
- Azure サポートのインシデントやリクエストをプログラムで作成、管理、およびトラッキングするためのインターフェース
- Knowledge Center
- Azureに関する一般的な質問とその回答をまとめたもの
- Azure DevTest Labs
- Azure内にテスト環境を設定することができるサービス
- プライベートクラウド
- 自社内にクラウド基盤を構築し、事業部や子会社で共同利用すること
- パブリッククラウド
- ソフトウェアを他社と共同利用し、柔軟に構築が可能
- ハイブリッドクラウド
- パブリック/プライベートを組み合わせるパターン
- パブリック/オンプレミスを組み合わせるパターン
- AzureとAWS等を組み合わせるパターン
- Azure Cosmos DB
- IoTデータ処理などの最新の高速処理を必要となるアプリ開発に対応するフルマネージドの NoSQL データベース サービス
- Azure Synapse Analytics
- 大きいデータに対して短時間でクエリ結果を得られる
- データウェアハウスを構築するさいなどに使用
- Azure Cache for Redis
- 高速でフルマネージドのインメモリ データ ストア
- Microsoft Entra Domain Services
- マネージドドメインサービス が利用可能
- グループポリシーの作成・管理を行うことができる
- グループポリシーとはドメインに所属するコンピューターの利用環境を制限する機能
- URLの設定等可能に
- SLA(サービスレベルアグリーメント)
- ユーザーがサービスを提供する者との間で、サービスの品質について合意する契約のこと
- Azure Cognitive Service
- 知識がなくても人工知能が使えるサービス
- Azure Machine Learning
- 過去のユーザー行動データを利用した予測分析モデルを構築することができる
- 機械学習モデルをコーディングするための開発プラットフォーム
- Azure Stack
- Azureのサービスをオンプレで実行可能にするサービス
- Microsoft Developer Network(MSDN)
- マイクロソフトの開発者ネットワークであり同社が開発者向けに提供するサービスの総称
- MSDN Platform: 運用スタッフや開発者がアプリケーションをテスト、展開、管理するために利用できる包括的なリソースが用意されている
- Azureの従量課金制のサブスクリプションを利用するとアクセス可能
- MSDNフォーラム: Azureなどのマイクロソフト製品に対する質問ができる
- コンプライアンスマネージャー
- ユーザーがマイクロソフトサービスを利用する際のコンプライアンス遵守にかかる過程全体を支援するサービス
- 仮想アプライアンス
- 一般にネットワーク アプリケーション (ファイアウォールなど) が実行されている仮想マシン
- Azure Databricks
- データ ソリューションを大規模に構築、デプロイ、共有、および保守するための統一されたツール セット
- Apache Spark ベース
- IoT Central
- IoTデバイスを中央管理するためのサービス
- Azure IoT Hub
- 多数の IoT デバイスの安全な通信と監視を提供するメッセージングハブ
- IoT Edge
- データ分析モデルを IoT デバイスに直接導入できるフルマネージドサービス
- Azure IoTソリューションアクセラレータ
- IoTアプリケーションの予知保全やリモート監視などを実装する際に利用するテンプレート
- Azure Sphere
- IoTデバイスに対して通信とセキュリティ機能を提供する
- サポート終了する場合、12ヶ月前に教えてくれる
- Azure Events Hubs
- リアルタイムなデータ分析を行うためのデータパイプラインの構築が可能
- Azure Data Factory
- コードなしのデータ フローでデータ変換を高速化することができる
- サポートプラン
- BasicとDeveloperは電話相談できず、メールのみでの相談
- PremierプランではAzureの専門家によるアドバイザーサービスが利用可能
- Azure CDN(Azureコンテンツデリバリネットワーク)
- グローバルにコンテンツ配信を実施するための、信頼性の高い、高速なコンテンツ配信ネットワークサービス
- Azure Resource Explorer
- Azure SQL Server、Azure SQL Database、Azure SQL Managed Instance のリソースを管理できる
- SQL Data Warehouse
- データウェアハウスとビッグデータ分析のためのツールがまとめられたサービス
- Azure HDInsight
- ビッグデータ分析ツールを利用可能
- Apache Storm、R などのオープンソースの分析フレームワークを使用できる
- ストレージアカウントの最大容量
- 5PiB
- セキュリティプリンシパル
- Azure リソースへのアクセスを要求するユーザー、グループ、サービス プリンシパル、またはマネージド ID を表すオブジェクト
- 1つの仮想マシンのスケールセットに設定可能な仮想マシンの最大数
- 1000
- 無料利用枠について
- 200$
- 超過した場合、アカウントとサービスが無効となるため、有料で利用を継続するかを選択する
- Azure Event Grid
- 発生するイベントを取得して、処理を行うサービス
- 1つのストレージ アカウントあたりのエンティティとメッセージの最大数
- 無制限
- Azureサービス間のデータトラフィックについて
- 異なる可用性ゾーンの場合は有料
- 異なるリージョン間は専用線ではなく、VNet ピアリングなどが利用されている
- Azure MonitorのアラートはEntra IDのグループIDに対しては送信できない
- 既に設定されているAzure の使用制限
- 変更はできない 削除はできる
- Azure SQL Managed Instance
- 共通言語ランタイム(CLR)を利用可能
- 仮想マシンのSLAについて
- 99.95%: 10%
- 99%: 25%
- 95%: 100%
- IDに対してMFAを設定する場合
- フェデレーションソリューションをデプロイすることでMFAを設定することができる
- 同じリージョンであれば、可用性ゾーンによって値段は変わらない
- オンプレミスのActive Directoryにあるユーザーアカウント情報をAzureに移行する方法
- パスワードハッシュ同期(PHS)を利用してアカウント情報を同期
- Azure Front Door
- Webアプリケーションのルーティングを構成する機能
- グローバルな Web アプリを高速にデリバリーする
- グローバルエッジネットワーク
- Microsoft Sentinel
- 脅威を検出するサービス
- Azure Import/Export
- Azure Blob Storage と Azure Files に大量のデータを安全にインポートするサービス
- csvファイルが必要
- Azure Traffic Manager
- DNSレイヤーのルーティングサービス
- Azure Active DirectryのPremium エディションについて
- Microsoft 担当者、Open Volume License プログラム、Cloud Solution Providers プログラムを通じて利用可能
- Premium P1のみ 高度な ID 保護機能と Privileged Identity Management 機能が含まれない
- ホストされる物理マシンをほかのテナントと共有したくない場合
- 専用ホストを使用する
- ホストされる物理マシンのシングルテナントの所有権を有したい場合
- ベアメタルインフラストラクチャ
- Azure Germanyというドイツだけの特別なリージョンがある
- Azure SignalR Service
- リアルタイム Web 機能を簡単に追加できるサービス
- Azure Notification Hubs
- バックエンドからでもあらゆるプラットフォームに対してプッシュ通知を送信するサービス