5.1兆

Azure Storageのトランザクション数

(2015年3月)

50兆

Azure Storageのオブジェクト数

4.25億

Azure ActiveDirectoryのユーザー数

2000万

SQL Databaseの稼働時間(1日あたり)

85 IXP

1695のネットワークへの4400以上の接続

225万

自社データセンター内の

ファイバーの長さ(キロメートル)

4周

北米のファイバーで地球を巻く

150億

マイクロソフトのクラウドへの投資

(米ドル)

Central US

Iowa

West US

California

North Europe

Ireland

East US

Virginia

East US 2

VirginiaUS Gov

Virginia

North Central US

Illinois

US Gov

Iowa

South Central US

Texas

Brazil South

Sao Paulo

West Europe

Netherlands

China North *

Beijing

China South *

Shanghai

Japan East

Saitama

Japan West

Osaka

India South

Chennai

East Asia

Hong Kong

SE Asia

Singapore

Australia South East

Victoria

Australia East

New South Wales

India Central

Pune

Canada East

Quebec City

Canada Central

Toronto

India West

Mumbai

巨大な L2

ドメイン

HWベースのサービス

単純なツリー設計

すべてのレイヤーでL3

ソフトウェアサービス

Closベースの設計

多様性、手動プロビジョニング

複雑なハードウェア、運用の自動化の欠如

複雑、人的エラー 回復性、自動監視/修復、人の関与が少ない

要件の簡素化、最適化された設計、インフラの統一

プロビジョニングの自動化、統合されたプロセス俊敏性

効率性

可用性

L3L2

ネットワークのルートやリソースを俊敏、動的に割り当てる

物理トランスポートプレーン

制御プレーン

アプリプレーン

スイッチ

コントローラー

Azureフロントエンド

管理プレーン

制御プレーン

専用のハードウェアアプライアンス

スケールと俊敏性を可能にするための適切な抽象化

コモディティハードウェア

抽象化管理、制御、データプレーン

テナントコンピューティング、ストレージ、ネットワークを構成

プログラム検出して反応するのではない

管理 テナントを作成

制御 テナント ACLをスイッチに配管

データ ACLをフローに適用

例: ACL

ユーザー

インターネット

Azure

Virtual Network

フロントエンドアクセス

動的/予約済みパブリック IPアドレス

VMへの直接アクセス、ACLによるセキュリティ

負荷分散

DNSサービス: ホスティング、トラフィック管理

DDoS保護

バックエンド接続性

開発/テストのためのP2S (ポイント対サイト)

セキュアなS2S (サイト間)

接続のためのVPN ゲートウェイ

エンタープライズ級の閉塞網接続のための

ExpressRoute

Backend Connectivity

ExpressRouteVPN Gateways

Virtual Network

BYON (自分のネットワークを持ち込む)

サブネット、セキュリティグループによるセグメント

UDR (ユーザー定義ルート)

によるトラフィックフローの制御

Traffic Manager

DNS

Azure DNSNew

www.contoso.com

トラフィック管理ポリシー

レイテンシ - 「最も近い」サービスにルーティング

ラウンドロビン –すべてのサーバーに分散

フェイルオーバー –プライマリ障害時に

「バックアップ」にルーティング

ネスト –柔軟な複数レベルのポリシー

Azureのパブリック IPアドレスインスタンス (VM)レベルのアクセス、または負荷分散で利用可能

インスタンスレベル IP単一 VMに割り当てられるインターネット IP

既定で全ポート範囲にアクセス可能

特定の VMを対象にしたアクセス

負荷分散 IP (VIP)1つ以上の VMインスタンスに負荷分散されるインターネット IP

ポートリダイレクトが可能

負荷分散、高可用性、自動スケールのシナリオ

インターネット

IP1 IP2

VM1 VM2

LB

MicrosoftAzure

151.2.3.4 (VIP)

131.3.3.3

(インスタンス

レベル IP)

131.3.4.4

(インスタンスレベル IP)

利用シナリオ: 複数の SSLエンドポイント

1つ以上の VMにアクセス

インターネット

IP1

IP3

IP2

IP4

443

443

443

443

443

444

445

446

自分の IPアドレスを保持

既存のサービス向けの IPを予約可能

数秒で、サービス間でIPを移動可能

クラウドサービス 1 クラウドサービス 2

予約済みIPを移動

予約済み IP

インターネット

VMへの FQDN アクセス

Virtual Machines、Cloud Services(Web/ワーカーロール)で利用可能

スケールアウト/イン時の自動 DNS登録/登録解除

Internet

Webrole_IN_1.contoso.cloudapp.net

130.26.5.120

VM インスタンス 1 VM インスタンス 2

2つのVMを持つアプリ

Webrole_IN_0.contoso.cloudapp.net

130.26.10.80

自分のネットワークを持ち込む

プライベート/パブリック IPでサブネットを作成

自分の DNSを持ち込む、またはAzureが提供する DNSを使用

NSG (ネットワークセキュリティグループ)の ACLによるセキュリティ

UDR (ユーザー定義ルート)によるトラフィックフローの制御 Virtual Network

VPN GW

フロントエンド10.1/16

中間層10.2/16

バックエンド10.3/16

インターネット

オンプレミス10.0/16

VPN

ExpressRoute

Azure

インターネット直接接続

カスタムルートで、ネットワーク内のトラフィックフローを制御

サブネットにルートテーブルを指定

任意のアドレス接頭辞に対して、次のホップを指定

全トラフィックをオンプレミスやアプライアンスに強制トンネリングするために、既定のルートを設定

インターネット

フロントエンドサブネット

バックエンドサブネット

VM/アプライアンス

「IPフォワーディング」を行う VM

VMあたり最大 16個の NIC

すべての NICに対するNSGとルート

フロントエンド、バックエンド、管理を分離

VM

NIC2 NIC1 既定

Virtual Network

フロントエンドサブネット

管理サブネット

バックエンドサブネット

インターネット

10.2.2.2210.3.3.33 10.1.1.11

VIP 133.44.55.66

DDoS

保護

Virtual

Network

分離

NSGVM

ファイアウォール

Cloud Services /Virtual Machines インター

ネット

ACL

セキュリティのニーズを満たすために、ネットワークをセグメント化

双方向の 5タプルの ACL

インターネットトラフィック、内部トラフィックを保護可能

DMZサブネットを作成可能

サブネット、VM、NICに関連付け

VMから独立して ACLを更新可能 Virtual

Network

バックエンド10.3/16

中間層10.2/16

フロントエンド10.1/16

VPN GW

インターネット

オンプレミス 10.0/16

Express

Route /

VPN

概要特定のネットワーク機能を実行する VM

セキュリティ (ファイアウォール、IDS、 IPS)、ルーター/VPN、ADC (アプリケーションデリバリコントローラー)、WAN最適化

Linux/FreeBSDベースのプラットフォームが多い

シナリオITポリシーとコンプライアンス –オンプレミスと Azureとの間の一貫性

Azureの機能を補完

Azure Marketplace品質を保証しデプロイを簡素化するAzure Certified Program を通して入手可能

独自のアプライアンス、ライセンスも持ち込み可能

マネージドの仮想アプライアンス

アプリレベルのポリシーを基にした HTTPルーティング Cookieアフィニティ

URL ハッシュ

重み付け (負荷)

SSLターミネーション、キャッシュ 証明書の集中管理

スケーラブルなバックエンドのプロビジョニング

App

Gateway HTTP/HTTPS

• 負荷分散• Cookie アフィニティ

• SSLオフロード

VM

VM

Application

Gateway

Azure Traffic Manager (DNS ロードバランサー)

リージョン 1 リージョン 2

インターネット

Application

Gateway

Application

Gateway

VMVM VM VM

Application

Gateway

VM VM VM

Azureサービス

機能 例

Traffic

Manager

リージョン間のリダイレクト、可用性

http://news.com

apac.news.com

emea.news.com

us.news.com

Load

Balancer

リージョン内のスケーラビリティ、可用性

emea.news.com AppGw1

AppGw2

AppGw2

Application

Gateway

URL/コンテンツベースのルーティング、負荷分散

news.com/topnews

news.com/sports

news.com/images

VM Webサーバー

Azure Virtual Network

インターネット

オンプレミスとの接続

Azure内の Virtual Networkをセキュリティ保護

フロントエンドの負荷分散と配信制御

インターネット

ADC /ロード

バランサー

オンプレミスとの間のトラフィックを最適化

オンプレミス

Microsoft Azure

圧縮/最適化

さまざまな種類のリソースのインスタンスのコンテナー

リソースプロバイダーがリソースインスタンスを管理

リソースインスタンスはリソースグループに属する

リソースグループは管理の単位 –ライフサイクル管理、アクセス制御

テンプレート!!!

リソースグループ

新しい REST API

疎結合のネットワークリソースモデル

ネットワークリソースへの粒度の細かい制御

ネットワークリソースの RBAC(ロールベースのアクセス制御)

ロギング、タグ付けのサポート

高いパフォーマンス、スケーラビリティ

宣言型の管理スタイル

StorageAccount

VirtualMachine

VMExtension

AvailabilitySet

VirtualNetwork

Subnet

NetworkInterfaceCard

PublicIPAddress

LoadBalancer

NetworkSecurityGroup

NetworkSecurityRule

TrafficManager VirtualNetworkGateway

GitHubからクリックしてデプロイできるテンプレートを利用可能

自分のビルド/デプロイを迅速にカスタマイズして自動化

さまざまな管理インターフェイス

• REST API

• PowerShell

• Azure CLI

• SDK (.NET、Node.js、Java)

• Azureポータル

https://azure.microsoft.com/ja-jp/documentation/templates/

StorageAccount

VirtualMachine

VMExtension

AvailabilitySet

VirtualNetwork

Subnet

NetworkInterfaceCard

PublicIPAddress

LoadBalancer

NetworkSecurityGroup

NetworkSecurityRule

TrafficManager

VirtualNetworkGateway DnsZones

<DnsRecordType>

NetworkSecurityGroup

Name

Location

SecurityRules

NetworkSecurityRule

Name

Description

Protocol

SourcePortRange

DestinationPortRange

SourceAddressPrefix

DestinationAddressPrefix

Access

Priority

Direction

Microsoft.Network/networkSecurityGroups

securityRules

宣言型のテンプレートでモデリング -変化する部分をパラメーターとして抽象化

繰り返し可能、予測可能な形で開発/テスト環境を作成

PowerShell、Azure CLI、SDKでリソースを作成

DMZ

App

DB

https://azure.microsoft.com/ja-jp/documentation/templates/301-multi-tier-service-networking/

ExpressRoute

インフラ (保護)

中間層 (フロントエンド/インフラに公開)

フロントエンド –ファイアウォール経由

• フローをアプライアンスにルーティングする、サブネットのUDR

• サブネットを保護するNSG

• セキュリティ、ルーティング、ADCのためのNW仮想アプライアンス

• ExpressRoute、VPNゲートウェイによる、セキュアなオンプレミス接続

インターネット接続

Azure ネットワーキング

新機能 UDR (ユーザー定義ルート)

パブリック IPアドレスの移動

複数の負荷分散 IP

Azure DNS –ドメインホスティング

新しいネットワーク API、PowerShell

新しい JSONベースのテンプレート

ネットワーク仮想アプライアンス

Azure Network Analytics

エンタープライズ対応 グローバルスケール

強力なパートナー

完全なソリューション