はじめに
Azure を始めるにあたりやったことを記載する
契約からスタートして無料試用版で始める
組織で Azure 管理ができるような構成を試すために、カスタムドメインやユーザ・グループ、リソースグループや管理グループ、Azure Policy などの設定・作成を実施する
最後に、作成したリソースグループ配下に、作成したユーザで Virtual Machine を一台作成するまでお試しで実施する
前提
下記アカウント、ドメインを所持ししている
- Microsoft アカウント: 事前所持している (Skypeとかで持っていたもの。無ければ無料で作成する)
- カスタムドメインに設定するドメイン:事前所有している (ここでは Google Domains で購入したものを使用して例としている)
構成
Azure では組織的な管理を行うために、Azure PolicyやManagement Group (管理グループ)やアカウント・ユーザ管理をする Azure Active Directory がある
それら Azure サービスを組み合わせて、下記構成で今回作成する
実施内容
下記順番で構築をする
- Azure 利用開始
- カスタムドメイン設定
- ユーザ作成
- グループ作成
- リソースグループ作成
- リソースグループへのロール付与
- 管理グループ / Tenant Root Group 作成
- Azure Policy 設定
- VM 作成
1. Azure 利用開始
Azure 利用を Microsoft アカウントではじめてログインして開始する
下記 URL かへアクセスしてサインインする
サインインをクリックする
Microsoft アカウントでログインする (所持してなければ無料で作成する)
Azure Portal 画面になる (右上にログインしたアカウント名が表示される。下記画像はグレーでマスク)
※ツアーは不要であれば後で行うをクリック
無料試用版で実施するには、Azure の無料試用版から開始するの下の開始をクリックする
プロフィール入力画面になるので必要事項を入力する (名前などは Microsoft アカウントから反映されてたりする)
電話番号入力後にテキスト メッセージを送信するをクリックする
SMS で確認コードがくるので、入力してコードの確認をクリックする
読み方を入力して、プライバシーに同意をチェックして次へをクリックする
クレジットカード情報入力になるので必要な情報を入力する (従量課金制へ移行しない限り、請求はされない)
クレジットカードへサインアップすると下記画面になるので遷移するのを待機する
下記画面に遷移して完了
2. カスタムドメイン設定
カスタムドメインを設定して、設定したドメインでアカウントを作成する
Azure Active Directoryを選択
カスタム ドメイン名を選択
+ カスタム ドメインの追加をクリック
設定するカスタムドメインを入力してドメインの追加をクリック
TXT レコードで認証する場合は、下記宛先または参照先のアドレスをコピーする
所有しているドメインの管理画面でTXTレコードで上記でコピーしたレコードを作成する
(下記は Google Domains での管理画面での例)
Azure 画面に戻って確認をクリック
レコードが解決できると、確認に成功しました。を表示されて完了
プライマリドメインにする場合は、カスタムドメイン名の画面で対象をクリックして、プライマリにするをクリックしてはいをクリックする
3. ユーザ作成
新規にカスタムドメインでのユーザ作成を実施する
Azure Active Directory -> ユーザー -> 新しいユーザーをクリックする
ユーザーの作成で必要な項目を入力する
プライマリにしていれば、作成したドメインとなっている
設定していない場合は、プルダウンで選択できる
Active Directory の すべてのユーザーで 2アカウント目が指定したユーザー名・ドメインで作成できていることが確認できる
4. グループ作成
ユーザのグループを作成する
Azure Active Directoryの管理にあるグループを選択する
新しいグループをクリックする
グループの種類をセキュリティ、グループ名に設定するグループ名(ここではdevelopers)を設定する
所有者の所有者が選択されていませんをクリックして、所有者を追加して選択をクリックして追加する
次にメンバーのメンバーが選択されていませんをクリックしてメンバーを追加して選択をクリックして追加する
作成をクリックしてユーザグループを作成する
グループが作成完了
5. リソースグループ作成
テストリソースなどを設置するリソースグループを作成する
リソース グループを選択する
+ 作成をクリック
リソース グループにリソースグループ名を入力して(ここではtest-rg01)、リージョンを選択する(ここでは(Asia Paciffic)東日本)
確認及び作成をクリックする
作成される内容を確認して作成をクリックする
下記のようにリソースグループが作成が確認できる
6. リソースグループへのロール付与
作成したリソースグループに作成したアカウント(セキュリティグループ)にロールを割り当てる
作成したリソースグループ(test-rg01)を選択してアクセス制御(IAM)を選択して、ロールの割り当ての追加をクリックする
ロールタブで割り当てたいロール(ここでは共同作成者)を選択して次へをクリックする
追加できたらレビューと割り当てをクリックする
再度内容を確認してレビューと割り当てをクリック
アクセス制御(IAM)でロールの割り当てタブをクリックするとロールの状態が見え、developersが共同作成者に割り当てられたことが確認できる
7. 管理グループ / Tenant Root Group 作成
複数のサブスクリプションを管理する管理グループを試すため、管理グループ・Tenant Root Group を作成する
管理グループを検索して移動する
管理グループの使用を開始しますをクリックする
初回の管理グループ ID と表示名 (ここではinfra)を入力してSubmitをクリックする
構築が完了すると、自動的にTenant Root Group(ルート管理グループ)が作成され、その下に作成した管理グループ(ここではinfara)ができていることが確認できる
作成した管理グループ(infra)をクリックする
作成した管理グループ(infra)へサブスクリプション(Azure subscription 1)を移動する
+ サブスクリプションの追加をクリックする
サブスクリプション(Azure subscription 1)を選択して保存をクリックする
管理グループにサブスクリプションが追加されたことを確認できる
管理グループに戻ると、Tenant Root Group → infra → Azure subscription 1 の階層になったことを確認できる
既定では、ルート管理グループには誰もアクセスできません。 Azure AD 全体管理者は、自分自身を昇格させてアクセス権を取得できる唯一のユーザーです。 ルート管理グループへのアクセス権を取得した全体管理者は、他のユーザーが管理できるように任意の Azure ロールを割り当てることができます。(ドキュメント)
Azure Active Directory でプロバティを開く
Azure リソースのアクセス管理をはいに変更して保存する
管理グループに戻ると、Tenant Root Group へアクセス(クリック)可能になっている
8. Azure Policy
Azure Policy の試験として、ルート管理グループで、許可するリージョン設定を日本に限定する設定をしてみる
Tenant Root Groupでポリシーをクリックする
ポリシーの割り当てをクリックする
ポリシー定義箇所で定義したいポリシー(ここでは許可されている場所)を検索して該当ポリシーを選択して選択をクリックして、次へをクリックする
パラメーター設定画面になるため、プルダウンで設定したい場所(ここでは日本)を入力して該当リージョン(ここでは日本,東日本,西日本)を選択する
パラメーターを確認して、作成をクリックする
ポリシーに許可されている場所が追加されたことが確認できる
VM を作成後に確認すると下記のように許可されている場所が準拠しているになっていることを確認できる
また、次の9. VM 構築で許可していないリージョンを選択するとエラーが表示されることも確認する
9. VM 構築
作成したメンバーアカウント(ここではsuzuyu@xxx.devでログインして VM を作成する
作成の際に、ポリシーで割り当てられているリージョン縛りが効いていることを確認する
作成したアカウントを入力してログインする
Virtual Machinesをクリックする
+ 作成→+ Azure 仮想マシンをクリックする
リソース グループを事前作成していたグループ(test-rg01)を指定して、仮想マシン名(test-vm01)と地域((Asia Pacific)東日本)を入力して、サイズをStandard B1s (1 vcpu、1 GiB メモリ)にして確認および作成をクリックする
(12 か月間無料ではLinux Virtual Machinesで750 時間 B1S Standard レベル)
上記の際に、地域をAzure Policyで許可していないリージョンを選択すると下記のようにエラーが出る
下記確認画面でパラメータを確認して問題なければ作成をクリックする (エラーが出る場合、一度基本タブに戻って再度確認および作成で検証は成功する)
(ネットワーク(VNET)は今回は自動作成をしている)
上記クリック後に SSH キーの作成ポップアップがでるので、秘密キーのダウンロードとリソースの作成をクリックする
([VM ホスト名]_key.pemというファイル名でダウンロードされる)
下記のようにデプロイ画面に遷移するので、「デプロイが完了しました」になったらリソースに移動をクリックする
パブリックアドレスにアサインされているアドレスをコピーする
ダウンロードした SSH キーを使用するために、下記コマンドで権限を変更する
chmod 600 ~/Downloads/test-vm01_key.pem
SSH キーを使用して、作成時に指定したユーザ名と、アサインされたパブリックアドレスを使用してログインする
ssh -i [ダウンロードしたpem] [username]@[vm public ip]
下記実施時の出力例 (初回時のknown hosts登録などは省略している)
% ssh -i ~/Downloads/test-vm01_key.pem azureuser@52.xxx.xxx.xxx
Welcome to Ubuntu 20.04.3 LTS (GNU/Linux 5.11.0-1022-azure x86_64)
* Documentation: https://help.ubuntu.com
* Management: https://landscape.canonical.com
* Support: https://ubuntu.com/advantage
System information as of Sun Dec 5 13:23:14 UTC 2021
System load: 0.0 Processes: 115
Usage of /: 4.7% of 28.90GB Users logged in: 0
Memory usage: 3% IPv4 address for eth0: 10.0.0.4
Swap usage: 0%
1 update can be applied immediately.
To see these additional updates run: apt list --upgradable
Last login: Sun Dec 5 13:22:46 2021 from xxx.xxx.xxx.xxx
To run a command as administrator (user "root"), use "sudo <command>".
See "man sudo_root" for details.
azureuser@test-vm01:~$
以上で、VM 作成テスト完了
まとめ
Azure にて組織的に使うであろう設定の初期設定を試すことができた
個人的に Azure を学習する環境準備を完了した
既定のディレクトリなどデフォルト系は今後変えようと思う (とりあえず試しなのでデフォルトで通せるところはそのままにしている箇所があるので後で変える)
今後 Terraform でのコード化やリソース管理、Azure Policy などの調査を進めていく予定
追記. サブスクリプションアップグレード
サブスクリプションを無料試用版から従量課金へアップグレードしたので追記する
無料試用版を始めてから 30 日経つとメールがくる
サブスクリプションの状態が無効になっているので、アップグレードする
一番下が、従量課金のテクニカルサポートなしのプランなので、Basicを選択してアップグレードを実施する
アップグレードが完了すると状態がアクティブに変わる
以上で、アップグレード完了
参考
[2021.12.25 追記]
下記の Microsoft が配布している Azure利用ガイド がアカウント周りについて非常に参考になる