More Related Content Similar to Microsoft Azure Overview - Japanses version (20) More from Takeshi Fukuhara (20) Microsoft Azure Overview - Japanses version1. Azure
Microsoft Azure 概要
福原 毅
日本マイクロソフト株式会社
パートナー事業本部
パートナー ソリューション プロフェッショナル
2019年2月6日
政府CIO標準ガイドライン群: “政府情報システムにおけるクラウド サービスの利用に係る基本方針” と、
Microsoft Azure
2. 3
政府CIO標準ガイドライン群: “政府情報システムにおけるクラウド サービスの利用
に係る基本方針” と、Microsoft Azure
インフラストラクチャーのモダナイゼーションに最適なMicrosoft Azure
Infrastructure for every workload
– 多様なワークロードに対応するインフラストラクチャー
• コンピューティング
• ストレージ
• ネットワーク
Hybrid by design
– 生まれながらのハイブリッド
• Azure Stack
• Azure IoT Edge
• Azure Active Directory
本日の内容
Built-in Security & Management
– 標準のセキュリティと運用管理機能
• セキュリティ
• 保護
• 監視
• 構成管理
• ガバナンス
• 移行
5. 政府情報システムにおけるクラウドサービスの利用に係る基本方針
2018年(平成30年)6月7日 - 各府省情報化統括責任者(CIO)連絡会議決定
6
3.1 クラウドサービスの利用検討プロセス (P6より
抜粋)
クラウドサービスの利用に係る検討は、その対象とな
るサービス・業務及び 取り扱う情報を明確化した上で、
クラウドサービスの利用メリットを最大化並びに開発の
規模及び経費の最小化の観点により、表 3-1 のプロ
セスで評価検討するものとする。その結果、いずれのク
ラウドサービスもその利用が著しく 困難である場合、又
はいずれのクラウドサービスの利用メリットがなく、かつ、
クラウドサービスによる経費面の優位性も認められない
場合のみオンプレミス とする。
2.1 クラウド・バイ・デフォルト原則 (P4より抜粋)
政府情報システムは、クラウド・バイ・デフォルト原則、
すなわち、クラウドサービスの利用を第一候補として、そ
の検討を行うものとする。その際、「3.1クラウドサービ
スの利用検討プロセス」に基づき、情報システム化の対
象となるサービス・業務、取扱う情報等を明確化した
上で、メリット、開発 の規模及び経費等を基に、検討
するものとする。 なお、本プロセスは、技術の進展や選
択肢となる新たなクラウドサービスの出現に応じて、各
利用検討の内容や順序は、適宜見直しを行うものと
する。
9. インフラの効率化から、アプリケーションのイノベーションへビジネス価値
時間
効率
イノベーション
PaaS
IaaS
サーバーレス
466% return on investment
$5.91M net present value
80% IT time saved
50% faster service deployment
Statistics based on five-year, risk-adjusted figures for a composite organization constructed from aggregated interviews with eight Microsoft Azure IaaS customers.
Source: “The Total Economic Impact Of Microsoft Azure PaaS,” a commissioned study conducted by Forrester Consulting, June 2016
10. クラウドへの移行戦略全体像
11
クラウドにそのまま
再展開します
• CAPEX の削減
• データセンター スペースの
解放
• 短期間でのクラウドの
投資回収
IaaS
クラウドの利点を高めるために最小
限の変更を加えます
• より迅速かつ短期間での更新
• コードの移植性
• クラウドの効率化
(リソース、スピード、コスト)
コンテナー
PaaS
アプリケーションからサービスへと実質的に
変更/分解します
• アプリのスケールと俊敏性
• 新しいクラウド機能の導入を簡素
化
• テクノロジ スタックの
混合環境
PaaS
サーバーレス
マイクロサービス
クラウド ネイティブなアプローチで新しいコー
ドを作成します
• イノベーションの加速
• アプリ作成期間の短縮
• 運用コストの削減
説明
推進要因
テクノロジ
12. Microsoft Azure の全体ブロック図
多くのサービスをバランスよく実装し、IaaS と PaaS が連携したシステムも構築可能
Azure Datacenter Infrastructure
Azure
Backup
Site
Recovery
Azure
Monitor
Azure
Policy
Azure
Bluepirnts
Log
Analytics
Azure
Migrate
Databox
Family
Compute Storage Networking
Linux
Virtual
Machine
Compute / Containers Web / Mobile DevOps / Developer
Container
Instance
Functions
Service Fabric
Integration IoT Data Services
Service Bus Event Grid
Logic Apps
API
Management
Management Platform as a Services ( PaaS ) Security
Infrastructure as a Services ( IaaS )
Disk
Storage
Managed
Disks
Windows
Virtual
Machines
Express
Route
Load
Balancer
Azure
Firewall
Virtual
WAN
Network
Watcher
Virtual
Network
VPN
Gateway
Media Services
Content Delivery
Network
Media/CDN
Cognitive
Services
IoT Hub
Stream
Analytics
Role- based
access control
Azure
Digital Twins
Time Series
Insights
IoT Central
IoT Edge
Bot
Services
SQL Data
Warehouse
Azure
Databricks
Apache
Spark
AI
Machine
Learning Studio
Machine
Learning Service
Azure
Search
Analytics
Data Lake
Storage Gen2
Mobile Apps
Web Apps Logic Apps API Apps
Notification
Hubs
SignalR
Service
Application
Insights
Lab
Services
Azure DevOps
SDK
SQL
Database
Data Factory
Database for
MySQL Cosmos DB
Database for
PostgreSQL
Database for
MariaDB
Database
Migration Service
Azure Cache
for Redis
Azure AD
Key Vault
Security
Center
DDoS
Protection
Multi-Factor
Authentication
Azure ATP
Azure AD for
Domain Services
Azure AD
B2C
Cost
Management
Video Indexer
Content
Protection
Kubernetes
Service
SQL Data
Warehouse
Table
Storage
14. 15
Azure IP Advantage: 特許の怪物から顧客保護
https://azure.microsoft.com/ja-jp/overview/azure-ip-advantage/
日本経済新聞朝刊 2017年2月9日
業界最高レベルの知的財産保護
イノベーション
無制限の補償により自信を持って構築可能
特許取得により訴訟を抑制し対抗
"Azure IP Advantage のおかげで、知的財産に関するリスクを抑えながら
より自由にクラウドで運用とイノベーションを行うことができています。これほ
ど包括的な特許プランを提供できるのは Microsoft しかいないでしょう。"
Toyota Connected, Inc. 社長、友山茂樹氏
15. Shared Innovation Initiative
イノベーション共有の時代に向けたマイクロソフトの新たな知財戦略 (2018年4月4日発表)
https://news.microsoft.com/ja-jp/2018/04/11/a-new-ip-strategy-for-a-new-era-of-shared-innovation/
16
とになるのではないかという懸念の声が高まっています。
過去において、マイクロソフトが重要な課題や懸念材料
に遭遇した時には、ビジネスの指針となり外部への説明
にもなる規範を作成し、公表することが有効でした。
<中略>新たに公表された Shared Innovation
Principles は、以下の 7 つの領域をカバーします。
1. 既存テクノロジの所有権の尊重
2. 新たな特許と意匠の権利は顧客が所有
3. オープンソースのサポート
4. 新規 IP のマイクロソフトへのライセンスバック
5. ソフトウェアのポータビリティ
6. 透明性と明確性
7. 学習と改善
<前略>この取り組みは、共同開発されたテクノロジと知
的財産(IP)の課題に対応し、お客様が確信を持って
マイクロソフトとの協業を行えるようにするための規範に基
づいています。また、テクノロジによるお客様のビジネスの
成長とマイクロソフトによるプラットフォーム製品の継続的
改良の間の健全なバランスを生み出すことを目標にして
います。
<中略>テクノロジ企業とその顧客のコラボレーションが増
すにつれ、特許などの知的財産の扱いに関する課題が
生まれます。顧客の主要特許を新たなソリューションに適
用するというアプローチがなければ、テクノロジ企業が自ら
の知識に基づいて顧客の市場に参入し、おそらくは顧客
と共に作り出した知的財産を使って、顧客と競合するこ
16. 政府情報システムにおけるクラウドサービスの利用に係る基本方針
2018年(平成30年)6月7日 - 各府省情報化統括責任者(CIO)連絡会議決定
17
1. (3) コミュニケーション系のクラウドサービスについては、クラウド
セキ ュリティ認証等( 「セキュリティクラウド認証等」参照)
を必須とするものとする。業務系のクラウドサービスについて
は、そのインフラ部分において、クラウドセキュリティ認証等と
同等のサービスであることが望ましい。
2. (4) クラウドサービスに保存される利用者データの可用性の
観点から、我が国の法律及び締結された条約が適用され
る国内データセンタと我が国に裁判管轄権があるクラウド
サービスを採用候補とするものとする。ただし、データの保存
性、災害対策等からバックアップ用のデータセンタが海外に
あることが望ましい場合、又は争訟リスク等を踏まえ海外に
あることが特に問題ないと認められる場合はこの限りではな
い。
3.3 Step1:SaaS(パブリック・クラウド)の利用検討と利
用方針 (P8より抜粋)
1)クラウドサービスの選定
1. (1) SaaS(パブリック・クラウド)においては、コミュニケーショ
ン系のク ラウドサービスでは、十分な稼働実績を有し、運用
の自動化、サービスの高度化、情報セキュリティの強化、新
機能の追加等に積極的かつ継続的な投資が行われ、サー
ビス終了のリスクが低い、クラウドサービスを選定するものとす
る。IaaS/PaaS をインフラ部分として構築された業務系 の
SaaS については、少なくとも、そのインフラ部分において、コ
ミュニ ケーション系のクラウドサービスと同等の投資が行われ
ていることが望 ましい。
2. (2) 統一基準に定める「クラウドサービスの利用に関する遵
守事項」を満 たすクラウドサービスを選定するものとする。
17. 政府情報システムにおけるクラウドサービスの利用に係る基本方針
2018年(平成30年)6月7日 - 各府省情報化統括責任者(CIO)連絡会議決定
4.1 セキュリティクラウド認証など (P13より抜粋)
クラウドサービスの情報セキュリティ機能の実態を利用者が個
別に詳細に調査することは困難である。そのため、パブリック・クラ
ウドに関しては、第三者による認証や各クラウドサービスの提供し
ている監査報告書を利用することが重要である。パブリック・クラ
ウドにおいては、以下のいずれかの認証制度の認証を取得し、又
は監査フレームワークに対応していることが推奨される。
1)認定制度
(1) ISO/IEC 27017 による認証取得
https://isms.jp/isms-cls/lst/ind/index.html
(2) JASA クラウドセキュリティ推進協議会 CS ゴールドマーク
http://jcispa.jasa.jp/cs_mark_co/cs_gold_mark_co/
(3) 米国 FedRAMP
https://marketplace.fedramp.gov/#/products?status=Compliant
18. 日本初のクラウド セキュリティ ゴールドマークを取得
Microsoft Azure、Office 365が
情報セキュリティ監査の認定を取得
その他の第三者認証・監査
透明性
お客様データ・プライバシー保護
準拠法・裁判管轄
➢ 準拠法は日本法
➢ 合意管轄裁判所は東京地方裁判所
➢ 日本データセンター開設
東西拠点により災害対策環境も
含めて日本DCを利用可能
➢ セキュリティセンターによる情報公開
➢ ISO/IEC 27018の準拠
• 事業者は、カスタマーの同意なしに個人情報をマーケティングや広告には使ってはいけない
• 事業者は、データの保管場所(国)及び、取扱事業者を公開しなければならない
➢ EU のデータ保護指令の要件を満たすと認定
(世界で最初に認定を受けた企業)
➢ その他対応規格/認証
➢ セキュリティ監査協会(JASA)クラウドセキュリティ推進協議会が制定した 「クラウド情報セ
キュリティ監査制度」において、日本で初めて
「クラウド セキュリティ(CS)ゴールドマーク」を取得
➢ 「クラウド情報セキュリティ監査制度」:クラウドサービスを提供する事業者のサービスのセキュ
リティが、国際的な基準(ISO/IEC 27017)で求められる 水準であることを示すことを目的
とし、サービス提供の実態が、情報セキュリティ マネジメントの基本的な要件を満たしているか
評価する仕組みとして制定
➢ CS ゴールドマークは国際的な基準とされる Service Organization Controls (SOC)2 に
ならぶ、日本で初めての第三者認定制度であり、クラウドサービスの利用者は、CSゴールド
マークを導入時や年次の利用者自身の監査結果として 利用することができます。
➢ 政府調達基準(http://www.nisc.go.jp/active/general/kijun2016.html)に おいても、
セキュリティ監査制度の活用示唆されている
➢ 日本マイクロソフトには、JIS クラウド セキュリティ コントロール標準化専門 委員会幹事や
ISO/IEC JTC 1/SC 27 WG1 および WG4 委員も在籍
西日本 東日本
EU Model Clauses , Data Processing Agreement, ISO 27001, SAS 70, SSAE 16/ISAE 3402, HIPAA BAA,
FISMA, FERPA
➢ 原則
お客様データはお客様のものでありクラウドサービスをお客様に提供する目的にのみ使用
➢ 委託先の管理
• 社員と同等のセキュリティレベル、プライバシー基準を維持
• 下請業者の一覧を公開
➢ 閉域網接続サービスの提供
• Azure :提供中
• Office 365 :提供中
クラウドセキュリティ(CS)ゴールドマーク取得により、Microsoft Azure、Office 365を、日本のお客様が、客観的な基準により安全性・信頼性が確認されたサービスとして、選
択できるようになりました。当社の CSP プログラムなどを活用し Azure や Office 365を活用したクラウドビジネスを推進するパートナー各社にとっても、サプライチェーンとして利用
サービスの安全性・信頼性を客観的にお客様へと証明することが可能となります。
http://jcispa.jasa.jp/cs_mark_co/cs_gold_mark_co/
19. 20
Microsoft Azure は信頼されるクラウド
パブリッククラウドで最多のコンプライアンスに準拠。様々な業界・国ごとのコンプライアンスに準拠。
HIPAA /
HITECH Act
FERPA
GxP
21 CFR Part 11
ISO 27001 SOC 1 Type 2ISO 27018
CSA STAR
Self-Assessment
Singapore
MTCS
UK
G-
Cloud
Australia
IRAP/CC
SL
FISC Japan
New
Zealand
GCIO
China
GB
18030
EU
Model
Clauses
ENISA
IAF
Argentina
PDPA
Japan
CS Mark
Gold
CDSA
Shared
Assessments
Japan My
Number Act
FACT UK GLBA
Spain
ENS
PCI DSS
Level 1 MARS-E
FFIEC
China
TRUCS
SOC 2 Type 2 SOC 3
Canada
Privacy
Laws
MPAA
Privacy
Shield
ISO 22301
India
MeitY
Germany IT
Grundschutz
workbook
Spain
DPA
CSA STAR
Certification
CSA STAR
Attestation
HITRUST IG Toolkit UK
Chin
a
DJCP
ITAR
Section 508
VPAT
SP 800-171
FIPS 140-2
High
JAB P-ATO CJIS
DoD DISA
SRG Level 2
DoD DISA
SRG Level 4
IRS 1075DoD DISA
SRG Level 5
Moderate
JAB P-ATO
ISO 27017
FISC
20. MicrosoftとAWSサービス利用契約における準拠法および管轄裁判所の違い
21
第 7 条: 調停および管轄
1. データ輸入者は、データ主体がデータ輸入者に対して
第三者受益者の権利を行使する場合または本契約条項
に基づく損害補償請求を提起する場合、データ主体に
よる以下の決定を承認することに同意します。
(a) 紛争を、独立した人物またはしかるべき場合は監督当局に
よる調停に付すこと。
(b) 紛争を、データ輸出者の設立国である加盟国の裁判所に付
託すること。
第 9 条: 準拠法
本契約条項は、データ輸出者の設立国である加盟国の法律
に準拠するものとします。
標準契約条項別表 1
データ輸出者:お客様は、データ輸出者です。データ輸出者
は、OST の「データ処理条件」に定義される Online
Service のユーザーです。
“マイクロソフト ボリューム ライセンス オンライン サービス条件” (OST: Online Service
Terms. 日本語/Japanese、2018 年 1 月) https://www.microsoft.com/ja-
jp/Licensing/product-licensing/products.aspxより抜粋
13.4 準拠法 本契約およびサービス利用者とアマゾンの間に生じるす
べての種類の紛争は、抵触法の原則にかかわらず、アメリカ合衆国
ワシントン州法に準拠する。国際物品売買契約に関する国際連合条
約は本契約には適用されない。
13.5紛争 サービス利用者による提供される本サービス内容の利用に
関連する、または AWS が販売もしくは配布する製品もしくはサービ
スに関連する紛争または請求は全て、裁判所ではなく拘束力のある
仲裁により解決される。ただし、サービス利用者は、サービス利用
者の請求が適格要件を満たす場合に少額裁判所 (small claims
court)に申し立てることができる。連邦仲裁法および連邦仲裁規範
が本契約に適用され る。仲裁には判事も陪審員もおらず、仲裁の裁
定に対する裁判所の審査は限定される。しかし、仲裁人は裁 判所と
同様の損害賠償および救済(差し止めによる救済、宣言的救済また
は法定損害賠償を含む)を個別事 案ごとに裁定することができ、裁
判所がそうであるのと同様に本契約の条項に従わなくてはならない。
仲裁 手続きを開始するために、サービス利用者は、アマゾンの登録
代理人である Corporation Service Company(300 Deschutes Way
SW, Suite 304, Tumwater, WA 98501)宛てに、仲裁を要請しサー
ビ ス利用者の請求を説明する書簡を送付しなければならない。
“AWSカスタマーアグリーメント” https://aws.amazon.com/jp/legal/より抜粋
Microsoft Amazon Web Services
23. 24
政府CIO標準ガイドライン群: “政府情報システムにおけるクラウド サービスの利用
に係る基本方針” と、Microsoft Azure
インフラストラクチャーのモダナイゼーションに最適なMicrosoft Azure
Infrastructure for every workload
– 多様なワークロードに対応するインフラストラクチャー
• コンピューティング
• ストレージ
• ネットワーク
Hybrid by design
– 生まれながらのハイブリッド
• Azure Stack
• Azure IoT Edge
• Azure Active Directory
本日の内容
Built-in Security & Management
– 標準のセキュリティと運用管理機能
• セキュリティ
• 保護
• 監視
• 構成管理
• ガバナンス
• 移行
26. Azure IaaSの構成要素
27
コンピューティング
• 仮想マシン
• コンテナ
• ベアメタルサーバ
ストレージ
• ディスク ストレージ
• オブジェクト ストレージ
(Blob)
• ファイル
ネットワーク
• 仮想ネットワーク(VNet)
• ロードバランサ
• Express Route
• VPN Gateway
「コンピュート」とも呼ばれる
CPU・メモリ・一時ディスクによ
る「コンピュート能力」を提供
永続データ、VHDの格納場所
を提供
Azure内、Azure-オンプレ、
Azure-インターネットの接続を
提供
28. Azure コンピューティング サービス の選択肢
29
Virtual Machine / Virtual Machine Scale Sets (VMSS)
Azure (Public Cloud)
Azure Stack
(Private Cloud)
Virtual Machine Extensions
Kubernetes、SCALR、
RightScale, Mesos、Swarm
Service Fabric (Mesh)
App Service
Web
Apps
Mobile
Apps
Apprenda、Cloud Foundry
Jelastic、Marathon、OpenShift
インフラ
IaaS / IaaS+
汎用
コンピューティングPaaS
用途特化型
コンピューティング
PaaS
クラスター
オーケストレーション
API
Apps
Function
Apps
30. 多様なアプリケーション要件に対応
1 vCPU - 960 CPUs
1 GB - 24 TB
4GB - 64TB
最大 160,000 IOPs
30 Gbps Ethernet
100 Gbps InfiniBand
コンピュータの
パフォーマンス
メモリー
ディスク ストレージ
ネットワーク
33. 34
SQL Server や Oracle などの一部のデータベース ワークロードでは、メモリ、記憶域、I/O 帯域幅は大量に必要です
が、コアの数は多くなくてもかまいません。 多くのデータベース ワークロードは、CPU 集中型ではありません。 Azure で
提供される一部の VM サイズでは、VM の vCPU の数を制限してフトウェア ライセンスのコストを抑えながら、同じメ
モリ、記憶域、I/O 帯域幅を維持できます。
制約付きvCPU対応VM
34. Microsoft Azure の利用シナリオ
既存データセンター
仮想マシン
仮想環境
・VMware
・Hyper-V
Azure データセンター
拡張
専用線
OR
VPN
データセンターの拡張
既存データセンターの拡張!
Enterprise Grade
データセンターの機能強化
既存データセンターの強化!
Hybrid
新規事業や新規用途に
既存ビジネスの拡張や AI の活用!
Hyper Scale
強化
既存データセンター
Azure データセンター
ID連携
SSO
災害対策
HybridStorage
バックアップ
Azure データセンター
Web サイト
AI IoT ビッグデータ 機械学習
データベース 認証
動画配信 CDN
B2B, B2C
ビジネス基盤
直近2-3年の SI ビジネス その先のビジネス
43. 仮想マシンの可用性向上
同じ役割の Azure 仮想マシンを同じ 「可用性セット」 に所属させることで、サービスの可用性を向上できる
同じ可用性セット内の Azure 仮想マシンは、別々の障害ドメイン、更新ドメインに配置される
東日本リージョン
クラスター 1
FC
・
・
・
・
クラスター 2
FC
・
・
・
・
クラスター 3
FC
・
・
・
・
障害ドメイン
サーバー
サーバー サーバー
サーバー サーバー
・
・
・
・
ルーターFC
サーバー
障害ドメイン
サーバー
サーバー サーバー
サーバー サーバー
・
・
・
・
ルーターFC
サーバー可用性セット
Web1 Web2
App01 App02
同じ可用性セットに 2 つ以上の Azure
仮想マシンを配置した場合の SLA
99.95 %
Microsoft Azure
44. Microsoft Azure の全体ブロック図
Azure サービスとサービス レベル アグリーメント (SLA)
https://azure.microsoft.com/ja-jp/services/
Azure Datacenter Infrastructure
Azure
Backup
Site
Recovery
Azure
Monitor
Azure
Policy
Azure
Bluepirnts
Log
Analytics
Azure
Migrate
Databox
Family
Compute Storage Networking
Linux
Virtual
Machine
Compute / Containers Web / Mobile DevOps / Developer
Container
Instance
Functions
Service Fabric
Integration IoT Data Services
Service Bus Event Grid
Logic Apps
API
Management
Management Platform as a Services ( PaaS ) Security
Infrastructure as a Services ( IaaS )
Disk
Storage
Managed
Disks
Windows
Virtual
Machines
Express
Route
Load
Balancer
Azure
Firewall
Virtual
WAN
Network
Watcher
Virtual
Network
VPN
Gateway
Media Services
Content Delivery
Network
Media / CDN
Cognitive
Services
IoT Hub
Stream
Analytics
Role- based
access control
Azure
Digital Twins
Time Series
Insights
IoT Central
IoT Edge
Bot
Services
SQL Data
Warehouse
Azure
Databricks
HDInsight
AI
Machine
Learning Studio
Machine
Learning Service
Azure
Search
Analytics
Data Lake
Storage Gen2
Mobile Apps
Web Apps Logic Apps API Apps
Notification
Hubs
SignalR
Service
Application
Insights
Lab
Services
Azure DevOps
SDK
SQL
Database
Data Factory
Database for
MySQL Cosmos DB
Database for
PostgreSQL
Database for
MariaDB
Database
Migration Service
Azure Cache
for Redis
Azure AD
Key Vault
Security
Center
DDoS
Protection
Multi-Factor
Authentication
Azure ATP
Azure AD for
Domain Services
Azure AD
B2C
Cost
Management
Video Indexer
Content
Protection
Kubernetes
Service
SQL Data
Warehouse
Table
Storage
本記載は2019/1時点のもの。最新はこちらとなります。サービスレベルアグリーメントホーム = https://azure.microsoft.com/ja-jp/support/legal/sla/
99.9% ~ 99.99% 99.9% ~ 99.99% 99.9% ~ 99.95%仮想マシンに準ずる 個々のサービスにて規定 99.95% 99.99% 99.95% 99.95% 99.9%
99.9%
99.9%
99.9%
99.9% RTO2h
99.95%
99.9%
仮想マシンに準ずる
仮想マシンに準ずる
99.9%
99.9%
99.9%
99.99%
99.9%
99.9%
99.9%
99.95% 99.9% 99.95%
99.95% 99.9%
99.9%
99.9%99.9%
99.9%
99.9%
99.95%
99.9%
99.9%
99.9%
99.9%
99.95%
99.9%
99.9%
99.9%
99.9%
99.9%
99.99% 99.9%
99.99%
99.99%
99.99%
99.99% ~ 99.999%
この他スループット,一貫性,
レイテンシに関するSLAあり
99.9%
99.9%
99.9% ~ 99.99%
99.9%
99.9%
99.9%
99.9%
99.99%
99.9%
99.9%
45. 46
Windows Virtual Desktop
Microsoft による VDI/RDSH のためのAzureのサービス
• Windows 10 をマルチユーザーで利用でき、
Office 365 ProPlus に最適化
• 展開と管理を行うための最もスケーラブルな
サービス
• デスクトップとアプリの両方を仮想化できる、
最も柔軟なサービス
• Windows 7 の拡張セキュリティ更新プログラム
を無料で使用可能な仮想デスクトップ
• M365のセキュリティと管理と統合
https://azure.microsoft.com/ja-jp/services/virtual-desktop/➔
46. 47
Windows Virtual Desktop
ライセンス
• Windows Virtual Desktop へアクセスするに
は、次のいずれかが必要
• M365 E3/E5
• M365 Business/F1
• Windows E3/E5
• Windows 7, Windows 10, Windows 10
Enterprise Multisession もしくは、
Windows Server 2012 R2 以降を展開する
ためのAzure サブスクリプション
• Azure の compute と storage の費用
https://azure.microsoft.com/ja-jp/services/virtual-desktop/➔
50. 仮想ネットワークのIPアドレス管理
51
1 つのアドレス空間、
1 つのサブネット(既定)
1 つのアドレス空間、
複数のサブネット
複数のアドレス空間、
複数のサブネット
アドレス空間 10.0.0.0/8
サブネット
192.168.2.0/24
サブネット
192.168.1.0/24
サブネット
192.168.1.0/24
サブネット
10.0.0.0/16
アドレス空間 192.168.1.0/16
サブネット
10.0.0.0/16
アドレス空間 10.0.0.0/8
アドレス空間 192.168.1.0/1610.0.0.4~
192.168.1.4~
192.168.2.4~
10.0.0.4~
192.168.1.4~
51. ネットワークセキュリティグループ(NSG)
仮想ネットワーク上の仮想マシンへのトラフィックを制御
• 送信元 IP アドレス、宛先 IP
アドレス、ポート(範囲も可)、
プロトコルを指定して、送受
信両方向の通信を許可・禁
止。
• NSG は「サブネット」全体、
あるいは個々の「ネットワーク
インターフェース」に設定可能。
仮想ネットワーク (VNET)
Firewall VM
VM02VM01
NSG_1
NSG_2
NSG_3
DMZ
サブネット
Frontend
サブネット
Backend
サブネット
https://docs.microsoft.com/
ja-jp/azure/virtual-
network/security-overview
➔
52. Azureロードバランサー
負荷分散規則、NAT 規則の設定が可能
• ロードバランサーに 公開 IP アドレスを付与した場合、インター
ネット上からアクセス可能ですが、仮想ネットワークの内部 IP
を付与することも可能。
• ロードバランサ配下に含めるには「負荷分散規則」を作成す
る場合と「受信 NAT 規則」が存在。
• 「負荷分散規則」を利用した場合、可用性セットを作成した
複数の仮想マシンを配置。ハッシュ値を用いた負荷分散に
加え、クライアント IP を利用したセッション永続化も可能。
• 「受信 NAT 規則」を利用した場合、公開ポート側一つと単
一のインスタンスをマッピング。この場合、仮想マシンを可用
性セットに含める必要なし。
負荷分散規則:80/tcp
100.64.x.4 100.64.x.5 100.84.x.4
80/tcp 80/tcp 22/tcp
可用性セット
受信 NAT 規則:22/tcp
https://azure.microsoft.com/ja-jp/services/load-balancer/➔
53. Azure Application Gateway
Azure で管理されるレイヤー 7 の負荷分散
• Microsoft Azure 側で管理される仮想
アプライアンス。IP アドレス、または FQDN
でバックエンドへ転送。
• アプリケーション レベルでの
ロードバランシングが可能。
• Cookie アフィニティ
• HTTP 負荷分散
• SSL オフロード
• WebSocket 対応
• WAF 機能を利用することが可能。
• SQL インジェクション
• クロスサイトスクリプティング等
Application
Gateway
HTTP & HTTPS
L7 LB
WAF 有効なリクエスト
攻撃リクエスト
攻撃リクエスト
https://azure.microsoft.com/ja-jp/services/application-gateway/➔
54. 55
Azure Front Door Service
Your global entry-point to the cloud
https://azure.microsoft.com/ja-jp/services/frontdoor/➔
56. Azure DDoS Protection Service
Azure DDoS Protection Standard が新たな有償サービスとして登場
標準のBasic (無償)で提供されている DDoS 防御
機能に加え、Standard では以下の機能を提供
• 仮想ネットワークリソースに対して専用のトラフィック監視
および機械学習アルゴリズムを通してチューニングされた
追加の軽減機能を提供
• Azure Load Balancer、Azure Application Gateway、
Azure Service Fabric のインスタンスなど、仮想ネット
ワーク内にデプロイされたリソースに関連付けられた
パブリック IP アドレスに適用
• 各攻撃から収集されたメトリックに Azure Monitor 経由
でアクセス可能
• 組み込みの攻撃メトリックを使用して、攻撃の開始時と
停止時、およびその攻撃の期間にわたってアラートを構成
可能
https://azure.microsoft.com/ja-jp/services/ddos-protection/➔
57. Network Watcher
Azure におけるネットワークに関するトラブル シューティング
• サブスクリプションごとのネットワーク リソース
利用数、制限値を確認
• NSG のログ
• ネットワーク関連リソースの診断ログ
• VPN ゲートウェイの接続検証
• Traffic Analytics
• ネットワーク トポロジーの視覚化
• 通信の検証 (特定の TCP/IP 通信が通るかどうか)
• 次ホップの検証 (UDR の検証等)
• 複数適用された NSG のルールを統合して確認
• 仮想マシンに対するパケット キャプチャの取得
https://azure.microsoft.com/ja-jp/services/network-watcher/➔
58. Azure Firewall
Cloud native stateful Firewall as a service
• トラフィックの集中管理
• ビルトインでの HA とオートスケール
• Network、 application トラフィックのフィルタリング
• VNet と サブスクリプション に対するポリシーを集中管理
• VNET プロテクション
• Outbound, Inbound, Spoke-Spoke & Hybrid
Connections トラフィック (VPN and ExpressRoute) の
フィルタリング
• ログの集中管理
• ストレージアカウントのアーカイブログ、Event Hub のストリー
ムログのLog Analytics や SIEM へのログ送付
A first among public cloud providers
オンプレミス
https://azure.microsoft.com/ja-jp/services/azure-firewall/➔
59. Virtual Network TAP
エージェント不要! パブリック クラウド初のクラウド スケール TAP
• 継続的に、仮想マシンのネットワーク
トラフィックをパケット コレクターへ流す
• セキュリティ管理者と、仮想マシン
管理者の監視境界を完全に分離
Azure
ロード
バランサー
App 層サブネット
Web 層サブネット
ネットワーク パケット
ブローカー
監視
サブネット
VM 運用環境のトラフィック
VM ミラーされたトラフィック
Virtual
Network
TAP
ツール
セキュリティ
運用監視
ネットワーク
運用監視
アプリケーション
運用監視
フォレンジック
https://docs.microsoft.com/ja-jp/azure/virtual-
network/virtual-network-tap-overview➔
60. Virtual Network TAP パートナー
61
https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-
network-tap-overview#virtual-network-tap-partner-solutions➔
64. Azure Storageのポートフォリオ
オンプレミスとクラウドストレージ間の
セキュリティで保護された、
インテリジェントなデータ階層化
ハイブリッド ストレージ
Azure Data Box Edge
Azure File Sync
Avere *
データ転送
Azure へのデータの
移動または移行
Azure Import/Export
Azure Data Box
ディスク ストレージ
Ultra
Premium
Standard
Virtual Machines のための、
信頼性が高く、永続的で、
高パフォーマンスのストレージ
オブジェクト ストレージ
Azure Blobs
Azure Data Lake
バックアップ/障害復旧の
ためのセキュリティで保護さ
れた、一元化された
ストレージ ターゲット
ファイル ストレージ
Azure Files
Azure NetApp Files
クラウドへのファイル共有を
必要とするレガシー
アプリケーションの
リフト アンド シフト
65
68. Azure Storageの冗長化の選択肢
LRS
99.9% の Read / Write
SLA
※クールアクセスレベルでは
99%
リージョン内3レプリカ
ディスク、ノード、ラックレベル
障害への保護
全レプリカがコミットでACK
データ耐久性
99.999999999 (11ナイン)
GRS
99.9% の Read / Write SLA
※クールアクセスレベルでは99%
2リージョン6レプリカ
広域災害の保護
セカンダリへの非同期書き込み
データ耐久性 99.99999999999999
(16ナイン)
RA-GRS
99.99 % の Read SLA
※クールアクセスレベルでは99.9%
GRS + セカンダリの読み取り機能
セカンダリエンドポイントの分離
Zone 1
ZRS
99.9% の Read / Write SLA
※クールアクセスレベルでは99%
3つのゾーンを跨ぐ3つの
レプリカ
ディスク、ノード、ラック、ゾーンレベル
障害への保護
3つのゾーンへの同期書き込み
データ耐久性 99.9999999999
(12ナイン)
Zone 2 Zone 3
※耐久性とSLAは異なります。
オブジェクト ストレージ
69
70. オブジェクト ストレージ (Blob) の利用環境
シナリオに合わせて、適切な利用環境を選択可能
Azure
Storage
Blob
REST APIセンサー
Azure Storage SDK
によるカスタムモジュール
Azure IoT Edge デバイス
Azure Blob
Storage
on IoT Edge
データ処理
エッジ側の
ローカル
blob
記憶域
オブジェクト ストレージ
https://docs.microsoft.com/ja-
jp/azure/iot-edge/how-to-store-data-blob➔
71. ストレージの暗号化
Azure Disk Encryption (ADE) Storage Service Encryption (SSE)
暗号化を行う対象
仮想マシンの OS /データディスク (VHD ファイル)
※ BitLocker (Windows) / DM-Crypt (Linux) を利用
・ストレージアカウント
(ブロック BLOB, ページ BLOB, 追加 BLOB のみ対象)
・管理ディスク(既定でON)
リスク軽減 VHD を不正に読み取られるリスクを軽減
物理ディスクが盗難等にあっても不正にと読み取られるリスクを軽
減 (ダウンロードされた場合は、読み取り時に復号化されるため、第
三者による読み取りが可能)
キーの管理 ユーザー
Microsoft または ユーザ(選択)
ユーザ管理の場合、Azure Key Vaultでキーを管理
パフォーマンスへの
影響
ほぼ無し
[参考] Windows 8 で BitLocker を有効にした場合、
パフォーマンス オーバーヘッドは 10% 未満
無し
暗号化できる
タイミング
随時
随時
※ 有効化した後に作成されたデータのみ暗号化
暗号化可能な構成
詳細は、下記リンク参照
Windows および Linux IaaS VM の Azure ディスク暗号化
– 前提条件
https://docs.microsoft.com/ja-jp/azure/security/azure-
security-disk-encryption
• Standard Storage と Premium Storage
• 汎用ストレージ アカウントと Blob Storage アカウント
• すべての冗長性レベル (LRS、ZRS、GRS、RA-GRS)
• ARM ストレージ アカウント (クラシック以外)
• すべてのリージョンで使用可能
https://blogs.technet.microsoft.com/jpaztech/2016/11/21/azure-disk-encryption-ade-と-storage-service-encryption-sse-のご紹介/
72➔
72. • オンプレミスの Windows Server ファイルを Azure Files (Azure ファイル共有) にレプリケート
• さらにAzure Files 上のデータを別のリージョンにレプリケート
• 頻繁に使用するデータにローカルからすぐにアクセス
• Windows/Mac/Linux からクラウド上のデータに直接アクセス
Azure File Sync によるWindows ServerとAzure Filesとの同期
オンプレ
オンプレ
Agent
Agent
ファイル ストレージ
https://docs.microsoft.com/ja-
jp/azure/storage/files/storage-sync-files-extend-servers➔
73. Azure NetApp Files 概要
ファイル ストレージ
Azure NetApp Files
Delegated
Subnet
Microsoft.NetApp/volumes
10.193.2.0/24
Service Infrastructure
AFF
A700s
AFF
A700s
AFF
A700s
Dedicated Secure Tenancy
SDN Integration
Vnet Injection
Virtual Network
10.193.0.0/20
Azure VM Azure VM
ANF NIC
10.193.2.1
ANF Volume
Export Policy
nfs://10.193.2.1/ignite-netapp-demo-
volume-1
Catalyst 4948-10GE
PS1
PS2
FAN
STATUS MGT
X2-2
45 46 47 4843 4441 4239 4037 3835 3633 3431 3229 3027 2825 2623 2421 2219 2017 1815 1613 1411 129 107 85 63 41 2
CON
X2-1
Catalyst 4948-10GE
PS1
PS2
FAN
STATUS MGT
X2-2
45 46 47 4843 4441 4239 4037 3835 3633 3431 3229 3027 2825 2623 2421 2219 2017 1815 1613 1411 129 107 85 63 41 2
CON
X2-1
https://azure.microsoft.com/ja-jp/services/storage/netapp/➔
74. Azure Data Box Family
オフライン データ転送 オンライン データ転送
Data Box Heavy : 1PB
• 1 回の注文ごとに使用可能な容
量は 800 TB
• 1 回の注文ごとに 1 台のデバイス
• Azure BLOB または Azure Files
をサポート
• データを 10 個のストレージ アカウ
ントにコピー
• 1x1/10 Gbps RJ45、4x40
Gbps QSFP+ インターフェイス
• AES 256 ビット暗号を使用
• 標準の NAS プロトコル
(SMB/NFS) を使ってデータをコ
ピー
Data Box Gateway
• ハイパーバイザーにプロビジョニング
済みの仮想デバイス
• ストレージ ゲートウェイ
• SMB プロトコルまたは NFS プロト
コルをサポート
• Azure BLOB または Azure Files
をサポート
• Hyper-V または VMWare をサ
ポート
Data Box Edge
• AI 対応のエッジ コンピューティング
• Microsoft 提供の物理デバイス
• ストレージ ゲートウェイ
• SMB プロトコルまたは NFS プロト
コルをサポート
• Azure BLOB または Azure Files
をサポート
• 1U シャーシ、2x10 コア CPU、64
GB RAM
• 12 TB ローカル NVMe SSD スト
レージ
• 4x25 GbE ネットワーク インター
フェイス
Data Box:100TB
• 1 回の注文で使用可能な容
量 80 TB
• 1 回の注文ごとに 1 台のデバイ
ス
• Azure BLOB または Azure
Files をサポート
• データを 10 個のストレージ アカ
ウントにコピー
• 1x1/10 Gbps RJ45、2x10
Gbps SFP+ インターフェイス
• AES 256 ビット暗号を使用
• 標準の NAS プロトコル
(SMB/NFS) を使ってデータをコ
ピー
Data Box Disk : 40TB
• 1 回の注文で使用可能な容量
35 TB
• 注文ごとに最大 5 台のディスク
• Azure BLOB をサポート
• 1 つのストレージ アカウントにデー
タをコピー
• USB/SATA II、III インターフェイス
• AES 128 ビット暗号を使用
• Robocopy または同様のツールを
使ってデータをコピー
GA Preview Preview Preview
データ転送
GA
76. Azure Data Box オフライン 転送のシナリオ
✓バックアップ
オフサイトのバックアップストレージとして、スケーラ
ブルでコスト効率の高いAzure ストレージを利
用
✓アーカイブ
コンプライアンス対策としてAzureストレージの階
層(ホット、クール、アーカイブ)を用いた柔軟
なデータ保持
✓ワークロードの移行
サーバーやアプリケーションデータなどをAzureへ
移行
✓ビッグデータ
ビッグデータを移行し、Azureが提供している
様々な分析サービスを利用
✓メディア
オンラインメディアライブラリーを構築し、スケーラ
ビリティの高いサービスを構築
データ転送
https://azure.microsoft.com/ja-jp/services/storage/databox/data/➔
77. Azure Data Box Gatewayを活用したBlobへのデータ転送
Azure Storage
blob, page, file
オンプレミス データ
SMB/NFS 共有
ストレージ ゲートウェイ
Data Box
Edge
Data Box
Gateway
ハイブリッド ストレージ
➔ https://azure.microsoft.com/ja-jp/services/storage/databox/edge/
78. Azure Data Box Gateway 最小要件
仕様 最小要件
サポートするハイパーバイザー
Hyper-V 2012R2 以降
VMware 6 以降
最小CPUコア数 4
最小メモリー 8 GB
OS ディスクサイズ 250 GB
最小データディスクサイズ 2 TB
ネットワークインターフェイス 1以上
ハイブリッド ストレージ
88. ビジネスの都合に応じて最新のテクノロジーを活用
Azure Stack
Azure IaaS | Azure PaaS
Compute | Networking | Storage |
App Service | Functions |
Service Fabric | Container Service
Cloud infrastructure
(統合システム)
Portal | PowerShell | DevOps tools
Azure Resource Manager
Azure
Azure IaaS | Azure PaaS
Cloud infrastructure
Portal | PowerShell | DevOps tools
Azure Resource Manager
開発者
利用者
IT 担当者
継続的/連続性
認証基盤の共通化
89. 90
Azure Resource Manager (ARM)
ARMでは、アプリケーションのインフラとなるリソースを管理するための優れた機能が利用可能
• JSON ファイルを使用した
一貫性のあるデプロイ
• 繰り返して利用可能
• 複数のリソースをまとめて
管理
• リソースグループやリソース
単位でのアクセス制御
• 任意のコメントを追加
• 変更または削除を禁止
90. Infrastructure as code (システム構成のテンプレート化)
• Github にてテンプレートを提供
➢ https://github.com/Azure/AzureStack-QuickStart-Templates
• Azure Stack 利用者ポータルから呼び出し
91. Microsoft Azure と Azure Stack の一貫性
PaaS : Web App、Database as a Service、Blob、Table、Queue、Files ・・・
※ 様からも、提供予定
96. (ご参考までに) Azure IoT Hub概要
エンタープライズに
適した規模と実装
数十億のメッセージ
スケールアップダウン
メエッセージのルーティング
ファイルアップロード
Web Scoketと多重化
Azure Monitor
Azure Resource Health
設定管理
End-to-end
のセキュリティ
デバイス毎の認証
デバイス毎の有効・無効化
TLS
X.509対応
IPアドレスでのホワイトリス
ト/ブラックリスト
共有アクセスポリシー
ファームウェア/ソフトウェア
アップデート
Azure Security Center
Support
デバイスと双方向の
コミュニケーション
数百万台レベルのデバイス接続
様々な言語に対応したSDK
主要プロトコルのサポート
(HTTPS/AMQPS/MQTTS)
テレメトリの送信
コマンドの受信
デバイス管理
デバイスツイン
クエリとジョブ
Azure IoT Hub
Azure IoT Hub
Device Provisioning Service
IoT-scale automated
provisioning
ゼロタッチ
プロビジョニング
プロビジョニング
ワークフローの
一元化
複数のIoTハブ間
の
負荷分散
リプロビジョニング
サポート
TPM + X.509を
サポート
https://azure.microsoft.com/ja-jp/services/iot-hub/➔
100. Azure IoT Edge モジュールの例
Cognitive Service for Azure IoT Edge
Export
https://www.customvision.ai/➔
104. Azure Data Box Edge
Compute + Project Brainwave
Local
Storage
オンプレミスのシステム
FPGA +
Brainwave
最適化されたネットワーク
データ転送 Azure Storage
(Block, Page, and Files)
IoT Edge モジュール
IoT Hub
➔ https://azure.microsoft.com/ja-jp/services/storage/databox/edge/
105. Azure Data Box Edge 仕様
仕様 詳細
ローカルキャッシュ容量 12 TB NVME フラッシュストレージ
クラウド側の容量 10 PB
データ暗号化 AES 256-bit encryption
フォームファクター 1U ラックマウントサーバー, 29.6" deep
CPU 10 コア × 2 CPU
ネットワークインターフェイス 4x25 GbE SFP+
アクセス インターフェイス SMB/CIFS と NFS
機械学習アクセラレーター Brainwave powered Intel FPGA
電源 110/240 (50/60 Hz)
112. ハイブリッド統合認証基盤
クラウド ベースのID管理サービス: Azure Active Directory ( Azure AD )
• Office365、Salesforce.com、DropBox、Concur など、クラウド型 SaaS アプリへのシングル サインオン (SSO) を実現
• 多要素認証、デバイスの登録、セルフサービスのパスワード管理、セルフサービスのグループ管理、特権アカウントの管理、ロール ベースアクセス制御、
アプリの使用状況の監視、機能豊富な監査とセキュリティの監視、アラートなど、一連の ID 管理機能の提供
• Azure AD と既存のWindows Server Active Directory との統合が可能
Azure Active Directory
Windows Server
Active Directory
Azure
Active Directory
Connect
認証と認可
統合認証基盤
SAML, WS-Fed, OpenID Connect, Oauth 2.0 に対応Windows 統合認証, LDAP, フォーム認証 等
113. 標準のAzureサービスによるセキュリティ管理の簡素化
114
Azure Active Directory
多要素認証
ロール ベース アクセス
コントロール (RBAC)
暗号化
( Disks, Storage, SQL )
Azure Key Vault
仮想ネットワーク, VPN,
Network Security Group
Application Gateway
(WAF), Azure Firewall
DDoS Protection
Standard
ExpressRoute
Azure Security Center
Azure Monitor
( Log Analytics )
+ パートナー ソリューション
Azure Active Directory
(Identity Protection)
Confidential
Computing
Microsoft Antimalware
for Azure
Security
management
Data
protection
Network
security
Threat protectionIdentity & access
management
116. Built-in security & management
標準のセキュリティと運用管理機能 Azure Security Center
Azure Backup / Site Recovery
Azure Monitor
Azure Automation
Azure Governance Services
Azure Migrate
117. 政府情報システムにおけるクラウドサービスの利用に係る基本方針
2018年(平成30年)6月7日 - 各府省情報化統括責任者(CIO)連絡会議決定
118
2 基本方針 (P5より抜粋)
コラム:正しいクラウドサービスのみを選択
クラウドサービスの黎明期や成長期には、「クラウド」と名乗ることがビ
ジネス戦略上の必要性となり、クラウドサービスの利用メリットを十分に
享受できない、クラウドサービスも数多く出現した。 従来型の共同データ
センタの単なる延長線上にあるものや、単に仮想化技術を採用しただけ
のものは、本方針におけるクラウドサービスの定義には該当しない。
クラウドサービスとは、前述「クラウドサービスの利用メリット」で記述した
「効率性の向上」、「セキュリティ水準の向上」、「技術革新対応の向
上」、「柔軟性の向上」、「可用性の向上」に寄与するものであるとする
ものである。
特にIaaS/PaaS(パブリック・クラウド)においては、十分な稼働実績
を有し、運用の自動化やサービスの高度化、情報セキュリティの強化、
新機能の追加等に積極的かつ継続的な投資が行われているクラウド
サービス提供者を選定することが重要である。
1.5 クラウドサービスの利用メリット (P3より抜粋)
2)セキュリティ水準の向上
多くのクラウドサービスは、一定水準の情報セキュリティ機能
を基本機能 として提供しつつ、より高度な情報セキュリティ機
能の追加も可能となって いる。また、世界的に認知されたクラ
ウドセキュリティ認証等を有するクラ ウドサービスについては、強
固な情報セキュリティ機能を基本機能として提供している。多
くの情報システムにおいては、オンプレミス環境で情報セキュリ
ティ機能を個々に構築するよりも、クラウドサービスを利用する
方が、その激しい競争環境下での新しい技術の積極的な採
用と規模の経済から、効率的に情報セキュリティレベルを向上
させることが期待される。
119. 120
セキュリティ: Azure Security Center
自動的にセキュリティ監査対象にしてガバナンスを確保し、セキュリティの課題を一元管理
•
•
•
➔ https://azure.microsoft.com/ja-jp/services/security-center/
123. セキュリティ: Azure Security Center
マルウェア対策 - クラッシュ分析によるインメモリ マルウェアとエクスプロイトの検知
実例 :
▪ 不正な PDF.EXE — アンチ ウィルス エンジン が 8% しか検知できなかったフィッシングソフ
トウェアを検知
▪ RemoteIE—ブラウザのメモリに侵入しデータを盗み取るトロイの木馬の検知
▪ Carberp.K—キーロガーによるクレジットカード、認証等を盗み取るトロイの木馬を検知
124
129. • Azure やオンプレミスの仮想マシンおよびファイルを、Azure のストレージにバックアップするサービス
• バックアップは容量無制限、最長 99 年保管可能であり、インフラ管理が不要。クラウド活用によりコスト削減、
物理的なスペースなど保管環境の制約を考慮する不要となる利点
保護: Azure Backup
➔ https://azure.microsoft.com/ja-jp/services/backup/
132. 保護: Azure Site Recovery
Disaster Recovery as a Service
Azure上(またはオンプレミス)の仮想マシン(や物理サーバ)をAzure上の別リージョン(又は別のオンプレミスサイト)に複製し、
災害時の切替をサポートするサービス
Azure Site
Recovery
Azure Site
Recovery
Azure Site
Recovery
➔ https://azure.microsoft.com/ja-jp/services/site-recovery/
136. 監視: Azure Monitorによる統合監視
Metrics
Logs
Application Containers VM Monitoring
Solutions
Insights
Dashboards Views Power BI Workbooks
Visualize
Metrics Explorer Log Analytics
Analyze
Alerts Autoscale
Respond
Event Hubs Ingest &
Export APIs
Logic Apps
Integrate
Azure Monitor
Custom Sources
Application
Operating System
Azure Resources
Azure Subscription
Azure Tenant
➔
https://azure.microsoft.co
m/ja-jp/services/monitor/
143. システムのアップデートステータスを可視化
• Windows, Linux
• Azure, 他クラウド, オンプレミス
アップデート適用
• 適用対象の調整
• 管理画面の統一
• 自動適用
コンプライアンス適合状態の確認
利用料は無料!*
保存したログデータのコストのみ発生
構成管理: Azure Automation
アップデート
可視化
アップデート
適用
コンプライアンス
適合状態の確認
https://azure.microsoft.com/ja-jp/services/automation/➔
146. 147
• 管理対象サーバーの、Windows サービスや Linux デーモンの起動停止、ソフトウェアの導入/更新/削除、指定したファイルの変更などを追跡
• セキュリティ インシデントやシステム障害発生時の原因調査に活用可能
構成管理: Azure Automation ~変更の追跡
152. 153
ガバナンス: Azure Governance Services
クラウドリソースがコンプライアンス準拠していることを保証するネイティブプラットフォーム
Blueprints
ポリシーを再利用可能
な形で定義
ポリシー適合状態維持
しながらデプロイや更新
を実施
Resource Graph
自身のクラウドリソース
を検索、分析
Management Group
組織構造に応じて
階層構造を定義、
グループ化
Cost
利用料を監視、分析
コストを最適化
Policy
リアルタイム統制
コンプライアンス適合
の調査と修復
NEW NEW
Control VisibilityEnvironment ConsumptionHierarchy
https://docs.microsoft.com/ja-jp/azure/governance/➔
153. 154
ガバナンス: アーキテクチャ
開発スピードを損なわず、クラウド環境のコントロールを提供
CRUD
Azure Resource Manager (ARM)
Query
2. Policy-based Control:
リアルタイム統制
コンプライアンス適合の調査と修復
1. Environment Factory:
ポリシーを再利用可能な形
で定義
ポリシー適合状態を維持し
ながらデプロイや更新を実施
Role-based
Access
Policy
Definitions
ARMTemplates
Management Groups
Subscriptions
3. Resource Visibility:
自身のクラウドリソースを検索、分析
159. ガバナンス: Azure Management Groups
サブスクリプション管理モデル
サブスクリプションのグループ化
• 複数のサブスクリプションをグループ化することで管理を
容易に
組織構造を反映
• 組織構造を反映させてグループ化することでサブスクリ
プションとリソースを効果的に管理
ポリシーやアクセスコントロールを全サービス
に適用
• RBAC サポートにより、管理グループに任意の組み込
み RBAC ロールの割り当てが可能。
• 階層内の全てのアクセス許可がその子リソースに継承
https://azure.microsoft.com/ja-
jp/features/management-groups/
➔
160. ガバナンス: Azure Management Groups
サブスクリプション管理モデル
App A
Pre-Prod
App B
Pre-Prod
Shared
services
(Pre-Prod)
App C
Pre-Prod
App A
Prod
App B
Prod
Shared
services
(Prod)
App D
Prod
Prod RBAC + Policy Pre-Prod RBAC + Policy
組織の Management Group
163. 移行: Azure MigrateとDatabase Migration Service
Azure Migrate
シームレスで、包括的なソリューション
移行時のダウンタイムを最小化
複数の移行元から大規模に移行可能
VMware 環境を調査
アプリ全体の依存関係を参照可能
Azure Site Recoveryで、
インフラストラクチャを移行
164. 移行: Azure Migrate
• VMware vSphere Hypervisor上で稼働す
るVMの情報を取得し、評価レポートを作成。
評価結果をもとに、Azureへの移行計画の検
討を進めます。
• Azure VMの推奨サイズ
• Azure VMに必要なStorage数、必要容量
• 仮想マシン間の依存関係を視覚化
• VMwareからAzureへの移行方法の適性を評価
• 基本仮想マシンにエージェントインストール不要
※ 仮想マシン間の依存関係等を把握するためには、
別途エージェントインストールが必要
➔ https://azure.microsoft.com/ja-jp/services/azure-migrate/
170. (ご参考までに) Windows Server 向け Azure ハイブリッド特典
ソフトウェア アシュアランス (SA) 付きの Windows Server ライセンスを使用することでコストを削減
https://azure.microsoft.com/ja-jp/pricing/hybrid-benefit
通常 ハイブリッド特典適用
Windows
従量課金
無償 Linux
従量課金
Windows Server
ライセンス
➔
171. (ご参考までに) Reserved VM Instance (RI)~
仮想マシンの事前予約、年間コミットによる大幅なコスト削減
大幅なコスト削減
従量課金制よりも
最大 82% もお得
柔軟な予約変更と
シンプルな購入プロセス
コスト予測 と
コンピューティング キャパシ
ティーの優先的利用
➔ https://azure.microsoft.com/ja-jp/pricing/reserved-vm-instances/
172. 移行: データベース移行のツールとサービス
データベース移行のための支援ツールと PaaS サービス
移行の検討・計画 移行実施
• 充実したアセスメント
• 機能に対しての推奨事項の提示
• MS / 非 MS 製品をソースとしてサポート
• スケールと信頼性
• Enterprise レベルのセキュリティ
https://azure.microsoft.com/ja-
jp/services/database-migration/➔
173. 移行: Azure Database Migration Service
複数のデータベースソースから Azure への移行を最小限のダウンタイムで実現するPaaS サービス
Data Migration Assistant による、オンプレミスSQL Serverのアセスメント機能
データベース移行のプロセス監視
サポートされているターゲット
• Azure SQL Database
• Azure SQL Database Managed Instance
以前のバージョンの SQL Server
オンプレミス
Azure Database
Migration Service
Azure SQL
Database
Azure SQL Logical Server
SQL Database
Managed Instance
サイト間接続
/ExpressRoute
➀ スクリプトによるスキーマ生成
➁ 一括コピー
VNET 間接続
専用サブネット
共有フォルダー
*.bak ファイル
➀ バックアップ
*.bak ファイル
➂ 復元
➁ アップロード
174. 移行: Azure Database Migration Service
サポートされる移行シナリオ
https://docs.microsoft.com/ja-jp/azure/dms/resource-scenario-status➔
175. 176
(ご参考までに) SQL Server 向け Azure ハイブリッド特典
Azure の特典は、SQL コアの SA (またはサブスクリプション) が有効なお客様にのみ提供
Azure での SQL IaaS および PaaS の実行コストを大幅に削減
SQL IaaS、SQL DB PaaS、Azure Data Factory v2 SSIS の
支払いはAzure の「基本料金」のみ
SQL Server コア ライセンスでのみ利用可能
お客様はオンプレミスで、または Azure で vCore として、
コアを使用可能
ただし、移行をサポートするために、コアは最大 180 日間、
オンプレミスと Azure で同時に使用可能
https://azure.microsoft.com/ja-jp/pricing/hybrid-benefit➔
177. 178
おすすめのウェビナー シリーズ
• Azure へのお引越しシリーズ (全6回)
• Azure はじめの一歩 (全6回)
• 一歩先行く Azure Computing シリーズ (全3回)
• Windows Server 2019 徹底紹介シリーズ (全4回)
https://azure.microsoft.com/ja-jp/overview/webinars/
200以上のオンデマンド
ウェビナーと、随時ライブ
ウェビナーを、提供中
178. 179
第1回 ファイルサーバー編 1/3
https://info.microsoft.com/JA-AZUREPLAT-WBNR-FY19-10Oct-16-WebinarMovingtoAzureseries-MCW0008867_01Registration-
ForminBody.html
第2回 ファイルサーバー編 2/3
https://info.microsoft.com/JA-AZUREPLAT-WBNR-FY19-10Oct-30-MovingtoAzureseries-MCW0009053_01Registration-ForminBody.html
第3回 ファイルサーバー編 3/3
https://info.microsoft.com/JA-AZUREPLAT-WBNR-FY19-11Nov-09-MovingseriestoAzure-MCW0009197_01Registration-ForminBody.html
第4回 データベース編 1/2 SQL Server 2008 サポート終了について
https://info.microsoft.com/JA-AZUREPLAT-WBNR-FY19-11Nov-21-SQLServer2008supporttermination-MCW0009442_01Registration-
ForminBody.html
第5回 データベース編 2/2
https://info.microsoft.com/JA-AZUREPLAT-WBNR-FY19-12Dec-05-MovingtoAzureseries6times5thDatabase22Webinar-
MCW0009693_01Registration-ForminBody.html
第6回 Azure って安心して使えるの?
https://info.microsoft.com/JA-AZUREPLAT-WBNR-FY19-12Dec-18-WebinarMovingtoAzureseries-MCW0009912_01Registration-
ForminBody.html
Azure へのお引越シリーズ(全6回)
180. 181
第1回 SLA を軸にした Azure 高可用性設計とは
https://info.microsoft.com/JA-AzureINFRA-WBNR-FY19-11Nov-08-AzureComputing-
MCW0009127_01Registration-ForminBody.html
第2回 Azure VM どれを選ぶの?
https://info.microsoft.com/JA-AzureINFRA-WBNR-FY19-11Nov-20-AzureVMIntensiveCourse-
MCW0009132_01Registration-ForminBody.html
第3回 VMSSやコンテナー オーケストレーターで、クラウドのコンピューティング リソー
スを使いこなす
https://info.microsoft.com/JA-AzureINFRA-WBNR-FY19-12Dec-04-AzureComputing-
MCW0009199_01Registration-ForminBody.html
一歩先行く Azure Computing シリーズ(全3回)
181. 182
第1回 Windows Server 2019 概説
https://info.microsoft.com/JA-AzureINFRA-WBNR-FY19-10Oct-22-WebinarWindowsServer2019-
MCW0008998_01Registration-ForminBody.html
第2回 納得! 一緒に使おう Windows Server 2019 & Microsoft Azure
https://info.microsoft.com/JA-AzureINFRA-WBNR-FY19-10Oct-31-WindowsServer2019andMicrosoftAzure-
MCW0008999_01Registration-ForminBody.html
第3回 Windows Server 2019 の Hyper-Converged Infrastructure の強化
ポイントとは?
https://info.microsoft.com/JA-AzureINFRA-WBNR-FY19-11Nov-16-WindowsServer2019-MCW0009249_01Registration-
ForminBody.html
第4回 Windows Server コンテナーと Windows Subsystem for Linuxの進化
https://info.microsoft.com/JA-AzureINFRA-WBNR-FY19-11Nov-27-WindowsServer2019FullIntroduction-
MCW0009200_01Registration-ForminBody.html
Windows Server 2019 徹底紹介シリーズ (全4回)
182. © 2019 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be
registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date
of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a
commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of
this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.