Upload
naoki-sato
View
2.223
Download
6
Embed Size (px)
Citation preview
5.1兆
Azure Storageのトランザクション数
(2015年3月)
50兆
Azure Storageのオブジェクト数
4.25億
Azure ActiveDirectoryのユーザー数
2000万
SQL Databaseの稼働時間(1日あたり)
85 IXP
1695のネットワークへの4400以上の接続
225万
自社データセンター内の
ファイバーの長さ(キロメートル)
4周
北米のファイバーで地球を巻く
150億
マイクロソフトのクラウドへの投資
(米ドル)
Central US
Iowa
West US
California
North Europe
Ireland
East US
Virginia
East US 2
VirginiaUS Gov
Virginia
North Central US
Illinois
US Gov
Iowa
South Central US
Texas
Brazil South
Sao Paulo
West Europe
Netherlands
China North *
Beijing
China South *
Shanghai
Japan East
Saitama
Japan West
Osaka
India South
Chennai
East Asia
Hong Kong
SE Asia
Singapore
Australia South East
Victoria
Australia East
New South Wales
India Central
Pune
Canada East
Quebec City
Canada Central
Toronto
India West
Mumbai
巨大な L2
ドメイン
HWベースのサービス
単純なツリー設計
すべてのレイヤーでL3
ソフトウェアサービス
Closベースの設計
多様性、手動プロビジョニング
複雑なハードウェア、運用の自動化の欠如
複雑、人的エラー 回復性、自動監視/修復、人の関与が少ない
要件の簡素化、最適化された設計、インフラの統一
プロビジョニングの自動化、統合されたプロセス俊敏性
効率性
可用性
L3L2
ネットワークのルートやリソースを俊敏、動的に割り当てる
物理トランスポートプレーン
制御プレーン
アプリプレーン
スイッチ
コントローラー
Azureフロントエンド
管理プレーン
制御プレーン
専用のハードウェアアプライアンス
スケールと俊敏性を可能にするための適切な抽象化
コモディティハードウェア
抽象化管理、制御、データプレーン
テナントコンピューティング、ストレージ、ネットワークを構成
プログラム検出して反応するのではない
管理 テナントを作成
制御 テナント ACLをスイッチに配管
データ ACLをフローに適用
例: ACL
ユーザー
インターネット
Azure
Virtual Network
フロントエンドアクセス
動的/予約済みパブリック IPアドレス
VMへの直接アクセス、ACLによるセキュリティ
負荷分散
DNSサービス: ホスティング、トラフィック管理
DDoS保護
バックエンド接続性
開発/テストのためのP2S (ポイント対サイト)
セキュアなS2S (サイト間)
接続のためのVPN ゲートウェイ
エンタープライズ級の閉塞網接続のための
ExpressRoute
Backend Connectivity
ExpressRouteVPN Gateways
Virtual Network
BYON (自分のネットワークを持ち込む)
サブネット、セキュリティグループによるセグメント
UDR (ユーザー定義ルート)
によるトラフィックフローの制御
Traffic Manager
DNS
Azure DNSNew
www.contoso.com
トラフィック管理ポリシー
レイテンシ - 「最も近い」サービスにルーティング
ラウンドロビン –すべてのサーバーに分散
フェイルオーバー –プライマリ障害時に
「バックアップ」にルーティング
ネスト –柔軟な複数レベルのポリシー
Azureのパブリック IPアドレスインスタンス (VM)レベルのアクセス、または負荷分散で利用可能
インスタンスレベル IP単一 VMに割り当てられるインターネット IP
既定で全ポート範囲にアクセス可能
特定の VMを対象にしたアクセス
負荷分散 IP (VIP)1つ以上の VMインスタンスに負荷分散されるインターネット IP
ポートリダイレクトが可能
負荷分散、高可用性、自動スケールのシナリオ
インターネット
IP1 IP2
VM1 VM2
LB
MicrosoftAzure
151.2.3.4 (VIP)
131.3.3.3
(インスタンス
レベル IP)
131.3.4.4
(インスタンスレベル IP)
利用シナリオ: 複数の SSLエンドポイント
1つ以上の VMにアクセス
インターネット
IP1
IP3
IP2
IP4
443
443
443
443
443
444
445
446
自分の IPアドレスを保持
既存のサービス向けの IPを予約可能
数秒で、サービス間でIPを移動可能
クラウドサービス 1 クラウドサービス 2
予約済みIPを移動
予約済み IP
インターネット
VMへの FQDN アクセス
Virtual Machines、Cloud Services(Web/ワーカーロール)で利用可能
スケールアウト/イン時の自動 DNS登録/登録解除
Internet
Webrole_IN_1.contoso.cloudapp.net
130.26.5.120
VM インスタンス 1 VM インスタンス 2
2つのVMを持つアプリ
Webrole_IN_0.contoso.cloudapp.net
130.26.10.80
自分のネットワークを持ち込む
プライベート/パブリック IPでサブネットを作成
自分の DNSを持ち込む、またはAzureが提供する DNSを使用
NSG (ネットワークセキュリティグループ)の ACLによるセキュリティ
UDR (ユーザー定義ルート)によるトラフィックフローの制御 Virtual Network
VPN GW
フロントエンド10.1/16
中間層10.2/16
バックエンド10.3/16
インターネット
オンプレミス10.0/16
VPN
ExpressRoute
Azure
インターネット直接接続
カスタムルートで、ネットワーク内のトラフィックフローを制御
サブネットにルートテーブルを指定
任意のアドレス接頭辞に対して、次のホップを指定
全トラフィックをオンプレミスやアプライアンスに強制トンネリングするために、既定のルートを設定
インターネット
フロントエンドサブネット
バックエンドサブネット
VM/アプライアンス
「IPフォワーディング」を行う VM
VMあたり最大 16個の NIC
すべての NICに対するNSGとルート
フロントエンド、バックエンド、管理を分離
VM
NIC2 NIC1 既定
Virtual Network
フロントエンドサブネット
管理サブネット
バックエンドサブネット
インターネット
10.2.2.2210.3.3.33 10.1.1.11
VIP 133.44.55.66
DDoS
保護
Virtual
Network
分離
NSGVM
ファイアウォール
Cloud Services /Virtual Machines インター
ネット
ACL
セキュリティのニーズを満たすために、ネットワークをセグメント化
双方向の 5タプルの ACL
インターネットトラフィック、内部トラフィックを保護可能
DMZサブネットを作成可能
サブネット、VM、NICに関連付け
VMから独立して ACLを更新可能 Virtual
Network
バックエンド10.3/16
中間層10.2/16
フロントエンド10.1/16
VPN GW
インターネット
オンプレミス 10.0/16
Express
Route /
VPN
概要特定のネットワーク機能を実行する VM
セキュリティ (ファイアウォール、IDS、 IPS)、ルーター/VPN、ADC (アプリケーションデリバリコントローラー)、WAN最適化
Linux/FreeBSDベースのプラットフォームが多い
シナリオITポリシーとコンプライアンス –オンプレミスと Azureとの間の一貫性
Azureの機能を補完
Azure Marketplace品質を保証しデプロイを簡素化するAzure Certified Program を通して入手可能
独自のアプライアンス、ライセンスも持ち込み可能
マネージドの仮想アプライアンス
アプリレベルのポリシーを基にした HTTPルーティング Cookieアフィニティ
URL ハッシュ
重み付け (負荷)
SSLターミネーション、キャッシュ 証明書の集中管理
スケーラブルなバックエンドのプロビジョニング
App
Gateway HTTP/HTTPS
• 負荷分散• Cookie アフィニティ
• SSLオフロード
VM
VM
Application
Gateway
Azure Traffic Manager (DNS ロードバランサー)
リージョン 1 リージョン 2
インターネット
Application
Gateway
Application
Gateway
VMVM VM VM
Application
Gateway
VM VM VM
Azureサービス
機能 例
Traffic
Manager
リージョン間のリダイレクト、可用性
http://news.com
apac.news.com
emea.news.com
us.news.com
Load
Balancer
リージョン内のスケーラビリティ、可用性
emea.news.com AppGw1
AppGw2
AppGw2
Application
Gateway
URL/コンテンツベースのルーティング、負荷分散
news.com/topnews
news.com/sports
news.com/images
VM Webサーバー
Azure Virtual Network
インターネット
オンプレミスとの接続
Azure内の Virtual Networkをセキュリティ保護
フロントエンドの負荷分散と配信制御
インターネット
ADC /ロード
バランサー
オンプレミスとの間のトラフィックを最適化
オンプレミス
Microsoft Azure
圧縮/最適化
さまざまな種類のリソースのインスタンスのコンテナー
リソースプロバイダーがリソースインスタンスを管理
リソースインスタンスはリソースグループに属する
リソースグループは管理の単位 –ライフサイクル管理、アクセス制御
テンプレート!!!
リソースグループ
新しい REST API
疎結合のネットワークリソースモデル
ネットワークリソースへの粒度の細かい制御
ネットワークリソースの RBAC(ロールベースのアクセス制御)
ロギング、タグ付けのサポート
高いパフォーマンス、スケーラビリティ
宣言型の管理スタイル
StorageAccount
VirtualMachine
VMExtension
AvailabilitySet
VirtualNetwork
Subnet
NetworkInterfaceCard
PublicIPAddress
LoadBalancer
NetworkSecurityGroup
NetworkSecurityRule
TrafficManager VirtualNetworkGateway
GitHubからクリックしてデプロイできるテンプレートを利用可能
自分のビルド/デプロイを迅速にカスタマイズして自動化
さまざまな管理インターフェイス
• REST API
• PowerShell
• Azure CLI
• SDK (.NET、Node.js、Java)
• Azureポータル
https://azure.microsoft.com/ja-jp/documentation/templates/
StorageAccount
VirtualMachine
VMExtension
AvailabilitySet
VirtualNetwork
Subnet
NetworkInterfaceCard
PublicIPAddress
LoadBalancer
NetworkSecurityGroup
NetworkSecurityRule
TrafficManager
VirtualNetworkGateway DnsZones
<DnsRecordType>
NetworkSecurityGroup
Name
Location
SecurityRules
NetworkSecurityRule
Name
Description
Protocol
SourcePortRange
DestinationPortRange
SourceAddressPrefix
DestinationAddressPrefix
Access
Priority
Direction
Microsoft.Network/networkSecurityGroups
securityRules
宣言型のテンプレートでモデリング -変化する部分をパラメーターとして抽象化
繰り返し可能、予測可能な形で開発/テスト環境を作成
PowerShell、Azure CLI、SDKでリソースを作成
DMZ
App
DB
https://azure.microsoft.com/ja-jp/documentation/templates/301-multi-tier-service-networking/
ExpressRoute
インフラ (保護)
中間層 (フロントエンド/インフラに公開)
フロントエンド –ファイアウォール経由
• フローをアプライアンスにルーティングする、サブネットのUDR
• サブネットを保護するNSG
• セキュリティ、ルーティング、ADCのためのNW仮想アプライアンス
• ExpressRoute、VPNゲートウェイによる、セキュアなオンプレミス接続
インターネット接続
Azure ネットワーキング
新機能 UDR (ユーザー定義ルート)
パブリック IPアドレスの移動
複数の負荷分散 IP
Azure DNS –ドメインホスティング
新しいネットワーク API、PowerShell
新しい JSONベースのテンプレート
ネットワーク仮想アプライアンス
Azure Network Analytics
エンタープライズ対応 グローバルスケール
強力なパートナー
完全なソリューション