本資料の位置付け
- AZ-900 Azure Fundamentals 取得に必要となる知識を、Microsoft Learnの構成に沿った形で整理します
- 本資料は、試験直前に用語を再確認するために利用できる資料という目的で作成しています
- サービス/用語は本資料執筆時(2024/12時点)の内容で記載しています
クラウドの概念
共同責任モデル
- クラウド利用者は「クラウド上の情報とデータ」「クラウド接続用デバイス」「組織内のユーザ管理」について常に責任を負う
- クラウド提供者は「物理データセンター」「物理ネットワーク」「物理ホスト」について常に責任を負う
- 「OS」「ネットワーク制御」「アプリケーション」「IDとインフラストラクチャ」の責任範囲はサービス提供形態によって異なる
| 用語 | 概要 | OS | ネットワーク制御/アプリケーション | IDとインフラストラクチャ |
|---|---|---|---|---|
| IaaS | 基盤(仮想マシンやネットワークなどのインフラ)そのものをサービスとして提供する | 利用者 | 利用者 | 利用者 |
| PaaS | ソフトウェアが動作する土台となるプラットフォームをサービスとして提供する | 提供者 | 共同 | 共同 |
| SaaS | 必要な機能を必要な分だけサービスとして利用できるようにしたソフトウェアの提供形態 | 提供者 | 提供者 | 共同 |
クラウドモデル
| 用語 | 概要 |
|---|---|
| パブリッククラウド | インターネット経由で提供される誰もが利用可能なクラウドサービス。 |
| プライベートクラウド | 特定のユーザーのみを対象としてインターネットまたはプライベートネットワーク経由のいずれかで提供されるクラウドサービス。主にオンプレミスのデータセンター。 |
| ハイブリッドクラウド | プライベートクラウドとパブリッククラウド間でデータとアプリケーションを共有する環境 |
クラウド サービスを使用する利点
| 用語 | 概要 |
|---|---|
| フォールトトレランス | 一部の機器が故障しても機能を保ち、稼動を続行できること。 |
| 高可用性(High Availability) | 提供しているサービスが停止する頻度や時間を極力少なく抑えた状態 |
| 弾力性(elastic) | リクエストの多寡に応じてシステム規模(性能や容量)を自動的に増減すること |
| 機敏性(agility) | 状況の変化に追随してシステム規模の伸縮を実施できること |
| ディザスターリカバリー | 自然/人為的災害後のシステム復旧、被害を最小限化するための予防措置 |
Azureのアーキテクチャとサービス
サービスのライフサイクル
- 一般的に「プライベートプレビュー」→「パブリックプレビュー」→「一般向け提供開始 (GA)」となる
- プレビュー段階ではSLAは設定されない
- プレビュー段階から予告なくサービスが停止することや、GAされずにサービス終了する場合がある
| 用語 | 概要 |
|---|---|
| プライベートプレビュー | 使用するために申請が必要 |
| パブリックプレビュー | Azure Portalなどから誰でも利用ができる |
| 一般向け提供開始(GA) | 本番環境向けに誰でも利用ができる |
コアアーキテクチャコンポーネント
管理インフラストラクチャ
| 用語 | 概要 | 備考 |
|---|---|---|
| リソース | Azureで利用できる管理対象 | 仮想マシン、ストレージアカウント、仮想ネットワークなど |
| リソースグループ | 複数のリソースをまとめて管理する | ・リソースは必ず1つのリソースグループに所属する ・リソースグループを削除するとグループ内の全リソースが削除される |
地理学(geographies)
- VMなどのAzureリソースを作成する際にリージョン(データセンターの地理的なグループ)を指定できる
地理学の単位
| 用語 | 概要 | 対応する高可用性サービス |
|---|---|---|
| Geo(ジオ) | 国や地域。リージョンをまとめたもの | |
| リージョン | 1つ以上のデータセンターが存在する | リージョンペア |
| データセンター | ゾーンに割り当てられる | 可用性ゾーン |
| ゾーン | 複数のラックが存在する | 可用性セット |
| ラック | 電源とネットワーク スイッチを共有するグループ |
特殊なリージョン
| 用語 | 概要 |
|---|---|
| AzureGovernment | 米国政府機関とそのパートナーのみ利用可能な米国のリージョン |
| AzureChina | 中国の現地法人のみ利用可能な中国企業(21Vianet)が運営する中国のリージョン |
コンピューティングおよびネットワークサービス
コンピューティングサービス
| 位置付け | 用語 | 概要 |
|---|---|---|
| IaaS | Azure Virtual Machines(VM) | 仮想マシンを管理 |
| PaaS | Azure Container Instances(ACI) | コンテナの実行環境(フルマネージド型) |
| PaaSオファリング | Azure Container Apps | コンテナのオーケストレーション環境(フルマネージド型) |
| PaaS | Azure Kubernetes Service(AKS) | Kubernetesでコンテナを管理(マネージド型) |
| PaaS | Azure App Service | Webアプリケーションをホストする(フルマネージド型) |
| PaaS | Azure Functions | サーバレスでコードを実行する(フルマネージド型) |
| iPaaS | Azure Logic Apps | ローコードで作成されたタスクやワークフローによる自動化を実現する |
VMのオプション
- スケーリング
- 可用性ゾーンと可用性セットは併用不可。リージョンペアとは併用可能
| 用語 | 概要 |
|---|---|
| Azure 専用ホスト | 仮想マシンをホストするための物理サーバーをサブスクリプションに占有して提供するサービス |
| リージョンペア | ・リージョンペアとは、同じGeo内の別のリージョンとペアが設定されているリージョン ・リージョンペアがサポートされているリージョンでは、geo冗長ストレージ(GRS)が利用できる |
| 可用性ゾーン | ・可用性ゾーンとは、リージョン内の物理的に独立したゾーンを指す ・可用性ゾーンがサポートされているリージョンには、3つの可用性ゾーンが存在する |
| 可用性セット | ・同一ゾーンに配置された仮想マシンが同時にダウンすることを防ぐ論理グループ ・更新ドメイン(同時に再起動が可能なグループ)および障害ドメイン(ラック単位のグループ)を指定できる |
SLA
- Azureリソースごとにサービスの稼働率がSLAで宣言されている
- Azureサービスに障害が発生してSLAが未達となると、サービスごとの未達状況に応じたクレジットがユーザーに提供される
| 対象 | 稼働率 | 備考 |
|---|---|---|
| 可用性ゾーン | 99.99% | 同一リージョン内の2つ以上の可用性ゾーンに配置時 |
| 可用性セット | 99.95% | 同一の可用性セットに2台配置時 |
| 単一のAzure VM | 95%〜99.9% | ディスク種別ごとに異なる Standard HDD=95% Standard SSD=99.5% Premium SSD/Ultra Disk=99.9% |
SLA未達時に提供されるサービスクレジット
単一のAzure VMの場合
| 稼働率 (Premium SSD, Ultra Disk) |
稼働率 (Standard SSD) |
稼働率 (Standard HDD) |
クレジット |
|---|---|---|---|
| 99.9%未満 | 99.5%未満 | 95%未満 | 10% |
| 99%未満 | 95%未満 | 92%未満 | 25% |
| 95%未満 | 90%未満 | 90%未満 | 100% |
仮想ネットワーク
| 位置付け | 用語 | 概要 | 備考 |
|---|---|---|---|
| IaaS | Azure Virtual Network(VNet) | 仮想ネットワークを管理 |
トラフィックの制御
| 対象 | 概要 | 備考 |
|---|---|---|
| 仮想マシン | 仮想マシンはVNetと接続するためのNICを1つ以上保持する | |
| アプリケーションセキュリティグループ(ASG) | 仮想マシン(のNIC)をグループ化する。グループ単位でトラフィック制御が可能 | |
| サブネット | 仮想ネットワーク内のすべての Azure リソースは、仮想ネットワーク内のサブネットにデプロイされる | |
| ネットワークセキュリティグループ | サブネットまたは仮想マシン(のNIC)に関連付けてトラフィックをフィルタリングする。 | ・リソース間のインバウンドとアウトバウンドを許可/拒否するルールが含まれる。 ・ルールでは送信元、送信先、ポート、プロトコルが指定できる。 ・デフォルト設定では全てのインバウンド接続が許可されない |
| Azure Firewall | 複数のサブスクリプションの複数の仮想ネットワークに対するトラフィックをフィルタリングする。 | ・FQDNでアウトバンドトラフィック(HTTP/SQL)をフィルタリングできる。 ・Standard(無料版)とPremium(有料版)が存在する。 |
ルーティング
- 仮想ネットワークのサブネットごとにルートテーブルが自動的に作成され、既定のシステムルートがテーブルに追加される
- 各サブネットには、0 個または 1 個のルート テーブルを関連付けできる
| 用語 | 概要 |
|---|---|
| システムルート | ・自動的に適用されるルーティング経路 ・異なるサブネット間の仮想マシン同士が通信可能となっている ・作成や削除はできないが、ユーザ定義ルート(UDR)で上書きできる |
| ユーザ定義ルート(UDR) | ・ユーザが任意で作成するルーティング |
データ転送の料金
| 対象 | 概要 | 備考 |
|---|---|---|
| インバウンド通信 (インターネット等からAzureへの通信) |
無料 | |
| アウトバウンド通信 (Azureからインターネット等への通信) |
有料 | 他リージョンへの通信も含む |
| リージョン内通信 (イン/アウト双方) |
無料 | 可用性ゾーンを跨いだデータ転送も無料 |
ネットワーク構成
| 用語 | 概要 |
|---|---|
| ネットワーク仮想アプライアンス | UDR利用時にサブネット間のルータとして利用される仮想マシン。一般的にファイアウォールなどが実行される。 |
| 仮想ネットワークピアリング | 2 つ以上の仮想ネットワークをシームレスに接続すること |
| 仮想ネットワークピアリング | 同一のリージョン内の仮想ネットワークを接続すること |
| グローバルピアリング | 異なるリージョン間の仮想ネットワークを接続すること |
| ネットワーク仮想アプライアンス | UDR利用時にサブネット間のルータとして利用される仮想マシン。一般的にファイアウォールなどが実行される。 |
| Azure VPN Gateway | オンプレミスに設置されたVPNデバイスと、仮想ネットワーク上のゲートウェイサブネットに設置された仮想ネットワークゲートウェイ間でVPN接続を確立する。インターネット経由(VPN Gateway)と閉域網経由(Azure ExpressRoute)が利用できる。 |
| ローカルネットワークゲートウェイ | ルーティングの目的でオンプレミスの場所を表す、Azure にデプロイされた特定のオブジェクト |
| 仮想ネットワークピアリング | 2つ以上の仮想ネットワークをシームレスに接続する機能 |
| Azure DDoS Protection | 仮想ネットワーク内のリソースに対して自動的にDDoS攻撃に対する保護を行う。無料で利用可能な「インフラストラクチャ保護」と有料で追加できる「IP保護」および「ネットワーク保護」が存在する |
ストレージサービス
| 位置付け | 用語 | 概要 | 備考 |
|---|---|---|---|
| IaaS | Azure Storage | ストレージを管理 | |
| PaaS | Azure Backup | オンプレミスや仮想マシンのバックアップ・リストアを管理(マネージド型) | |
| PaaS | Azure Files | ファイル共有サービス(フルマネージド型) | SMB, NFS |
| PaaS | Azure Queue storage | メッセージをキューに格納して非同期通信を行うためのサービス | |
| アプリ | Microsoft Azure Storage Explorer | Windows、macOS、Linux で Azure Storageデータの操作を行う |
冗長性オプション
| オプション | プライマリリージョン | セカンダリリージョン | 持続性 |
|---|---|---|---|
| ローカル冗長ストレージ (LRS) | 単一のデータセンターでデータを同期的に3回コピー | なし | 99.999999999%(9が11個) |
| ゾーン冗長ストレージ (ZRS) | 3つの可用性ゾーンにデータを同期的に1回コピー | なし | 99.9999999999%(9が12個) |
| geo冗長ストレージ (GRS) | LRSで同期的に3回コピー | プライマリリージョンから非同期的にコピー後、LRSで同期的に3回コピー | 99.99999999999999%(9が16個) |
| geoゾーン冗長ストレージ (GZRS) | ZRSで同期的に3回コピー | プライマリリージョンから非同期的にコピー後、LRSで同期的に3回コピー | 99.99999999999999%(9が16個) |
データベース
- 価格レベルを変更することでサーバの性能(バースト/CPU/メモリ)を変更することができる
| 用語 | 概要 | 備考 |
|---|---|---|
| Azure Cosmos DB | NoSQLデータベース(フルマネージド型) | マルチリージョン対応 |
| Azure Database for PostgreSQL | PostgreSQL(フルマネージド型) | |
| Azure Database for MySQL | MySQL(フルマネージド型) | |
| Azure SQL Database | SQL Server Enterprise Edition(フルマネージド型) | 共通言語ランタイム(CLR)は利用できない |
| Azure SQL Managed Instance | SQL Server Enterprise Edition(フルマネージド型) | 共通言語ランタイム(CLR)を利用できる |
IoT/ビッグデータ/AI
| 用語 | 概要 |
|---|---|
| Azure IoT Central | IoTソリューション開発用のプラットフォーム(PaaS) |
| Azure IoT Hub | IoTアプリケーションとデバイス間の通信において、中央のメッセージハブとしての役割を担う |
| Azure Sphere | IoTデバイスの開発環境を含む統合的なIoT向けのセキュリティサービス |
| Azure Event Grid | MQTTおよびHTTPを使用したメッセージ配信サービス(フルマネージド型) |
| Azure Synapse Analytics | SQLデータウェアハウス(DWH)、ビッグデータ分析を統合したサービス |
| Azure HDInsight | Apache Hadoop(フルマネージド型) |
| Azure Databricks | Apache Spark(フルマネージド型) |
| Azure Machine Learning | 機械学習プロジェクト開発用のプラットフォーム(PaaS) |
| Azure AIサービス | 事前に学習済みの機械学習データを利用したAIアプリケーション向けのAPIサービス |
DevOps
| 用語 | 概要 |
|---|---|
| Azure DevOps | クラウドおよびオンプレミスの共同開発やCI/CDなどを提供する統合開発プラットフォーム |
| Azure DevTest Labs | ARMテンプレートを利用して開発・テスト環境上に迅速に仮想マシンをデプロイするサービス |
Azureの管理とガバナンス
コスト管理
| 用語 | 概要 |
|---|---|
| 料金計算ツール | Azureを使用するための推定コスト(時間単位または月単位)を計算する |
| 総保有コスト (TCO) 計算ツール | オンプレミスからAzureに移行することで実現可能なコスト削減を見積りする |
| Microsoft Cost Management | ・Azureの利用コストの分析、管理および最適化を行うサービス ・予算アラートを作成し、コストが予算を超えている場合に通知を受け取ることができる ・タグごとにコストを分計して表示することが可能 |
ガバナンスとコンプライアンス
Microsoft Purview
| 用語 | 概要 |
|---|---|
| Microsoft Purview | データの保存場所にかかわらず、組織によるデータのガバナンス、管理、保護に役立つ包括的なソリューションセット |
| Microsoft Purviewコンプライアンスマネージャー | コンプライアンスの遵守度をスコアリングすることでコンプライアンス体制の改善アクションをサポートする |
| Microsoft Purview Information Protection | 機密情報がどこに保存されていても、どこに移動しても、それらの情報の検出、分類、保護を行うサービス |
Azure Policy
| 用語 | 概要 |
|---|---|
| Azure Policy | ・利用可能なAzureリソースの範囲を制限するためのルール(ポリシー定義)を設定する機能 ・「コンプライアンスダッシュボード」を利用してリソースごとやポリシーごとに状態を評価するビューを提供する ・ポリシー定義を新たに作成した場合、適用前に作成済のリソースには影響を与えない(継続して利用可能) |
| ポリシー定義 | リソースのコンプライアンス条件と、条件が満たされた場合に実行する効果が記述される |
| イニシアティブ | 関連するポリシーをまとめてグループ化する手段 |
| スコープ | ポリシー定義/イニシアティブを適用する対象 |
| Azure ロールベースのアクセス制御(RBAC) | ユーザーやグループを対象に、リソース操作やアクセス範囲のスコープを割り当てる |
| サブスクリプション | ・複数のリソースグループに跨ってリソースにポリシーを適用する ・親となる管理グループは1つのみ |
| 管理グループ | ・複数のサブスクリプションに跨ってリソースにポリシーを適用する ・ルート管理グループを最上位として階層構造で管理グループを構成できる(管理グループの親(管理グループ)は1つのみ) |
セキュリティ
| 用語 | 概要 |
|---|---|
| Microsoft Defender for Cloud | 「セキュリティポリシー管理」「セキュリティスコア」「マルチクラウド」「CSPMダッシュボード」などを通じて脅威や脆弱性からAzureリソースを保護する ・Azure以外のリソース(オンプレミス、AWS、GCP)にも適用できる ・有料版は無料版の機能を拡張し、脅威保護機能を追加する |
| Azure Sentinel | ログなどのデータを収集してセキュリティ上の脅威を検出して修復を行う |
リソースロック
- サブスクリプション、リソースグループ、リソースをロックして、ユーザーの不注意による削除や変更から保護できる
- ロックされているリソースを変更・削除したい場合は、先にロックを解除してからリソースを変更・削除する必要がある
- リソースに複数のロックが設定されている場合、強い権限のロックが適用される
| 種別 | 読み取り | 変更 | 削除 |
|---|---|---|---|
| 削除ロック(CanNotDelete) | O | O | X |
| 読み取り専用ロック(ReadOnly) | O | X | X |
セキュリティ・プライバシー・コンプライアンス
| 用語 | 概要 |
|---|---|
| Microsoft Service Trust Portal | Azureのセキュリティ、プライバシー、コンプライアンスに関する情報を提供するポータル |
| Microsoftトラストセンター | (Azureに限らない)Microsoftサービス利用者向けのセキュリティ・プライバシー・コンプライアンスに関する総合情報サイト |
Azureと対話するためのツール
| 用語 | 概要 |
|---|---|
| Azure Portal | ・ブラウザ上で動作する統合コンソール ・CloudShellにアクセス可能 |
| Azure Mobile App | ・モバイルデバイスで動作する統合コンソール ・CloudShellにアクセス可能 |
| Azure Cloud Shell | ・ブラウザ上で動作する対話形式のターミナル ・Azure PowerShellおよびAzure CLIが実行できる |
| Azure PowerShell | ・Azure操作用のPowerShellモジュール ・Windows、macOS、Linux にインストールできる ・PowerShell、Windows PowerShell上で動作する |
| Azure CLI | ・Azure操作用のコマンドラインインタフェース ・Windows、macOS、Linux にインストールできる ・PowerShell、Windows PowerShell、コマンドプロンプト、Unixシェル(Bashなど)上で動作する |
| Windows PowerShell | ・WindowsOSにプレインストールされている標準のシェル |
| PowerShell | ・Windows PowerShellのスタンドアロンインストール ・macOS、Linux、Windows にインストールできる |
Azure環境の監視
| 用語 | 概要 |
|---|---|
| Azure Advisor | 利用中のAzureリソースに対して「信頼性」「セキュリティ」「パフォーマンス」「オペレーショナルエクセレンス(費用対効果)」「コスト」を評価して、推奨事項を提示するガイダンスサービス |
| Azure Service Health | 「Azureの状態」「Service Health」「Resource Health」を包括的に表示するサービス ・Azureの状態: Azureサービスおよびリージョンの正常性のグローバルなビューが提供される ・Service Health: ユーザーが使用しているリージョン内の Azure サービスの正常性を追跡するダッシュボードを提供する ・Resource Health: 個々のAzureリソースが正常に動作しているかどうかを評価する |
| Azure Monitor | ・データソース(監視対象リソース)から収集した監視データを分析し、監視およびアラートするサービス ・データソースにはAzureリソース以外(オンプレミス環境のリソースや別のクラウドのリソースなど)も含めることができる Log Analytics: 収集したログを分析する Application Insights: アプリケーションの正常性とパフォーマンスを監視、評価する アクティビティログ: サブスクリプションレベルのイベントに関する分析情報を提供するプラットフォームログ。リソースの変更や仮想マシンの起動などの情報が含まれる |
その他
Microsoft Entra ID
| 用語 | 概要 |
|---|---|
| Active Directory Domain Service | オンプレミス環境のIDおよびアクセス管理サービス |
| Microsoft Entra ID | クラウドベースの ID およびアクセス管理サービス。Azureなどの Microsoft サービスに認証や認可を提供し、アプリケーションへのアクセスや ID の保護を可能にする |
| Microsoft Entra ID保護 | IDに関するリスク検出や、多要素認証 (MFA) やパスワードの変更を強制するといったセキュリティ保護が可能なサービス |
| Microsoft Entra Domain Services | 「ドメイン参加」「グループポリシー管理」「認証(LDAP, Kerberos, NTLMなど)」のドメインサービスを提供する |
| グループポリシー | ドメインに所属するユーザおよびコンピューターの利用制限をグループ単位で管理する機能 |
| Microsoft Entra参加済みデバイス | ・クラウドおよびオンプレミスのアプリとリソースにアクセス可能となるMicrosoft Entraに参加済みのデバイス。 ・Configuration Manager を利用して Microsoft Entra 参加済みデバイスで組織のアプリケーションを利用できるように設定する必要がある ・Windows 10/11(Home Editionを除く)のデバイスが参加できる |
| Microsoft Entraの登録デバイス | ・ユーザーは個人所有のデバイスを使用して、組織のリソースにアクセスする機能 ・Windows、macOS、iOS、Android、Linuxのデバイスを登録できる |
サポート
| 用語 | 概要 |
|---|---|
| MSDN Platforms | Microsoft 製品に関するソフトウェアの開発者を支援するサービス |
| Microsoft Q&A | Microsoft製品とサービスに関するすべての技術的な質問に対する回答を得るためのポータル |
経理
| 用語 | 概要 |
|---|---|
| CAPEX(Capital Expenditure) | 設備投資などのコスト(資本的支出) |
| OPEX(Operating Expense) | 運用などにかかる継続的なコスト(運用費用) |