目標
Azure 900 foundationの合格
そのため、公式のlearnで学んでいて、わからない用語が出たら逐一ここにまとめていく
プロビジョニング
プロビジョニングとは、必要に応じてネットワークやコンピュータの設備などのリソースを提供できるよう予測し、準備しておくことです。供給や設備等の意味を表すプロビジョン(provision)という単語がもととなって派生した言葉です。
スケーラビリティ
拡張性という意味。システムやネットワークなどが、規模や利用負荷などの増大に対応できる度合いのこと。
イベントドリブン
イベントドリブンとは、コンピュータプログラムの開発および実行方式の一つで、利用者や外部の別のプログラムなどが引き起こす出来事に対応する形で処理を記述あるいは実行する方式。
早い話がクリックしたり、ボタンを押したり(イベント)が発生したらドリブン、つまり実行されるということ。
リソース
Azureを使用して管理できるアイテム(インスタンス、データベース、WEBアプリなど)
リソースは必ずリソースグループに属する
リソースとリソースグループには下記の注意点がある
- リソースは一つのリソースグループにしか属せない
- リソースグループは論理コンテナ
- 別のリソースグループに移動することも可能(ただし要件が必要なことも)
- リソースグループはネストできない
- 作る順番としてはリソースグループ→リソース
- リソースグループを削除すると、リソースも全て削除される
アカウント制御について
サブスクリプション
各サブスクリプションは管理ポリシーを適用することができる
ADのようにOUを作ってそこにポリシーを適用する、さらにそのOUに存在する限りはサブスクリプションの内容に依存せず、適用されたポリシーに依存する
管理グループに関する重要な事実(Google翻訳しただけのもの、ニュアンスはわかるね)
- 1つのディレクトリで10,000の管理グループをサポートできます。
- 管理グループツリーは、最大6レベルの深さをサポートできます。 この制限には、ルートレベルまたはサブスクリプションレベルは含まれません。
- 各管理グループとサブスクリプションは、1つの親のみをサポートできます。
- 各管理グループには多くの子を含めることができます。
すべてのサブスクリプションと管理グループは、各ディレクトリの単一の階層内にあります。
コンテナの概念を理解する
コンテナとはアプリケーションが搭載された仮想空間のこと。
なんのことだかさっぱりわからなかったが、結局のところ仮想マシンがなんたるか、がわかれば理解できる。
仮想マシンはサーバーの一部分を切り出し、実際の端末を構築するようなイメージ。
なので、OSもインストールできるし、普通にWindowsもインストールできる。
で、コンテナと仮想マシンは似ていて、仮想マシンのアプリケーションに特化したものがコンテナということになる。
仮想マシンはほぼ通常の端末と同じであるが故、アプリケーションをデプロイするということであれば、使わない機能の方が多いわけだ。
つまりアプリケーションに最適化された仮想マシンがコンテナ、ということになる。
コンテナーとは
コンテナーは仮想化環境です。 1 台の物理ホスト上で複数の仮想マシンを実行するのと同じように、1 台の物理ホストまたは仮想ホストで複数のコンテナーを実行できます。 仮想マシンとは異なり、コンテナーのオペレーティング システムは自分では管理しません。 仮想マシンは、接続して自分で管理できるオペレーティング システムのインスタンスのように見えますが、コンテナーは軽量で、動的に作成、スケールアウト、停止されるように設計されています。 仮想マシンはアプリケーションの需要が増加したら作成して展開できますが、コンテナーは、需要の変化に対応できるように設計されています。 コンテナーを使用すると、クラッシュやハードウェアの中断が発生したら迅速に再起動できます。 最も人気のあるコンテナー エンジンの 1 つは、Azure でサポートされている Docker です。
イメージ
※なんとなくは理解している
特定の記憶領域を丸ごと写し取った複製データ
「イメージを使ってデプロイする」とか使うわけです。
オンプレ→クラウドへの移行のイメージ 超簡略版
オンプレ環境のイメージを作る→イメージを元にVMをプロビジョニング
基本はこれで完成
ネットワークの違い
Azure でネットワークを管理することは、オンプレミス ネットワークで管理するのとはまったく異なります。
ピアリング
仮想ネットワーク同士を通信、接続してくれる仕組み
Distributed Denial of Service (分散型サービス妨害)
インターネットに接続した多数のホストを利用して、特定のネットワークやWebサービスを、 意図的に利用できないようにする攻撃行為です。
仮想化と実際の仮想化導入事例について
ソフトウェアによって複数のハードウェアを統合し、自由なスペックでハードウェアを再現する技術で、限られた数量の物理リソース(CPU、メモリ、ハードディスク、ネットワーク等)を、実際の数量以上のリソース(論理リソース)が稼働しているかのように見せかけること
つまり大前提はハードウェアを所持していること、それをソフトによって統合してしまうこと
仮想化の問題点としては一番はセキュリティ面、それに伴う運用管理コスト
仮想化はそもそも外部からアクセスすることが大前提になってくるため、セキュリティ対策も物理端末とはわけが違う
さらにその点の専門知識が必要だったり、独自の設定が必要だったりと運用管理コストが高くなってしまう
駄菓子菓子。
Microsoftをはじめ、あらゆる企業は仮想化への動きを強めていて、オンプレはいずれなくなる
サーバー仮想化
1台のサーバー上で複数オペレーティングシステムを同時動作させることで、複数の業務システムの処理を可能にする技術です。物理的には1台のサーバーではあるものの、複数のサーバー(論理サーバー)が稼働する仮想的サーバー環境を構築でき、多くのアプリケーションにサーバーリソース(サーバー本体、外部記録装置など)を割り当てることができます。これによって、ひとつの業務システムがサーバーを独占してしまうような無駄がなくなり、サーバーリソースをより有効に活用することができます。
サーバーのハードウェア性能の向上に伴い、サーバー仮想化技術を用いることで、多くの業務処理を行えるようになるだけでなく、既存の複数のサーバーを1台の高性能サーバーに統合することも可能になります。
デスクトップ仮想化
サーバー上に、クライアントPCのデスクトップ環境を構築することで、クライアントPCの管理運用の省力化、セキュリティの向上、情報漏えいの対策などを可能にする技術です。
企業のコンピュータシステムにおいて、これまでは各社員が使用するクライアントPCの1台毎にアプリケーションソフトのインストール、セキュリティソフトの更新、データ監視などを行わなければならず、運用管理に膨大な手間とコストがかかっていました。また、社用PCを紛失した際の情報漏えいの危険性も指摘されています。
デスクトップ仮想化技術を導入することでクライアントPCの運用管理をサーバー側に一元管理することができます。また、外出先・出張先、自宅からでも、モバイルデバイス(PC、スマートフォン、タブレット端末)を使い社内ネットワークにアクセスすることで通常業務PCのデスクトップ環境を利用できるようになります。クライアントPC側にはデータを残さないためセキュリティ管理の面でも安心です。クラウドコンピューティング環境を活かした仮想化技術として注目されています。
ストレージ仮想化技術
業務システムの拡大や取扱いデータ量の増加に応じて、ストレージ装置(ハードディスク等の補助記憶装置)の柔軟な拡張を可能にし、ストレージ装置の導入コストの適正化や集中管理を可能にする技術です。
ストレージ仮想化技術を用いることで、複数台のストレージ装置(物理ストレージ)を統合した仮想的な大容量ストレージ(論理ストレージ)をコンピュータネットワーク上に設けることができます。これによって、業務の成長に合わせたストレージ装置の増強や業務量に応じた記憶領域の分割を柔軟に行えるようになります。また、統合された仮想ストレージを集中で管理することができ、ストレージ装置毎に空き容量を個別に管理する手間などもなくなります。
ネットワーク仮想化技術
既設の物理的なネットワーク(通信回線、ルーター等のネットワーク関連装置)上に複数の異なる論理ネットワークを構築する技術です。
サーバー仮想化技術によって1台のサーバー上に複数の仮想サーバーが設置されると、それらのサーバー間やクライアントPCと接続するためのネットワークも必要になってきます。ネットワーク仮想化技術は、ハードウェア構成やネットワーク設備を変更することなく、ソフトウェア的に複数の論理ネットワークに分割することで、仮想サーバーの増加に応じたネットワークの割り当てを可能にします。これによって、ネットワークへの投資コストを抑制することができ、ネットワーク管理も一元化できるメリットがあります。
VPNゲートウェイ
転送されるデータはすべて、インターネットを通過するときに、プライベート トンネル内で暗号化されます。 各仮想ネットワークにデプロイできるのは 1 つの VPN ゲートウェイのみですが、1 つのゲートウェイを使用して、他の仮想ネットワークやオンプレミス データセンターなどの複数の場所に接続することができます。
VPN ゲートウェイをデプロイする場合は、VPN の種類として、"ポリシーベース" または"ルートベース" のいずれかを指定します。 これら 2 種類の VPN の主な違いは、暗号化するトラフィックを指定する方法です。 Azure では、どちらの種類の VPN ゲートウェイでも、唯一の認証方法として事前共有キーが使用されます。 また、どちらの種類も、バージョン 1 またはバージョン 2 のインターネット キー交換とインターネット プロトコル セキュリティ (IPSec) に依存しています。 IKE は 2 つのエンドポイント間のセキュリティ アソシエーション (暗号化の契約) を設定するために使用されます。 そして、このアソシエーションは IPSec スイートに渡され、それにより VPN トンネル内でカプセル化されるデータ パケットの暗号化と暗号化解除が行われます。
ポリシーベースの VPN
ポリシーベースの VPN ゲートウェイでは、各トンネル間で暗号化する必要があるパケットの IP アドレスを静的に指定します。 この種類のデバイスでは、そのような IP アドレスのセットに対してすべてのデータ パケットが評価され、そのパケットの送信先となるトンネルが選択されます。
Azure のポリシーベースの VPN ゲートウェイの主な機能を次に示します。
- IKEv1 のみのサポート。
- "静的ルーティング" の使用。両方のネットワークからのアドレス プレフィックスの組み合わせによって、VPN トンネルを通じてトラフィックを暗号化および暗号化解除する方法が制御されます。 トンネリングされたネットワークの送信元と送信先はポリシーで宣言され、ルーティング テーブルで宣言する必要はありません。
- ポリシーベースの VPN は、これらを必要とする特定のシナリオで使用する必要があります。たとえば、従来のオンプレミス VPN デバイスとの互換性を保つ場合です。
スコープ
「範囲」の意味
パブリック・ハイブリッド・プライベートクラウドの違い
要するにデータセンターの管理をするかしないかの差で考える
プライベート(オンプレ)はデータセンターの管理をする
ハイブリッドはデータセンターの管理はしつつも、クラウドを導入する
パブリックは当然データセンターの管理はしない
アプライアンス
情報機器や通信機器、コンピュータ応用製品のうち、特定の機能や用途に特化した専用機器などのことを表すことが多い
ネットワークドライブ
ネットワークドライブとは、Windowsのネットワーク機能の一つで、他のコンピュータ上にある共有フォルダにドライブレターを割り当て、あたかも内蔵ストレージのようにアクセスできるようにするもの。
ARMテンプレート
仮想マシンのデプロイなどAzureにおけるデプロイを自動化してくれるテンプレート
Vault
金庫のこと
つまりKey Vaultは証明書を保管するストレージ
ゼロトラスト
基本的にクラウドで管理する場合は、ファイアウォールを設定することができない
そのため、ゼロトラスト、何も信頼しないということをベースにする