Azure:Azure管理者資格に向けての勉強メモ~Azure基本用語をまとめました~
]Azureの認定資格の一つである、Microsoft Azure Administrator(AZ-103、AZ-104)に向けて、基本用語っぽい単語とその意味をまとめていきます。 随時更新中になります。
- Azureの購入形態
- サポート種別
- エリアの概念
- 価格オプション
- リソースの管理
- Iaasモデル
- ネットワーク
- ストレージ
- Azure Virtual Machines
- コンテナ基盤
- データベース
- IoT関連
- 分析基盤
- Azure Cognitive Services
- アプリケーション基盤/開発基盤
- 制御・監視・認証
- そのほか
- 参考サイト
Azureの購入形態
- Azure 無料 アカウント
- 従 量 課金 制 サブスクリプション
- Azureインオープンプラン
- 11200円単位で購入できるプリペイド式ライセンス(追加購入可能)
- 有効期限は12か月
- エンタープライズ契約(EA)
- CSPからの購入
- Visual Studio サブスクリプション
- Azure含むサービスへの年月単位で購入できるサブスクリプション契約
- プランに応じてAzureクレジットが提供され、開発/テスト用途に使用可能
サポート種別
- 基本(無料)
- 開発者($29/月 )
- サードパーティ製ソフトウェア(相互運用性)のサポート
- 構成のガイダンスとトラブルシューティング
- 営業時間中のメールによるテクニカルサポート問い合わせ
- 重大度に対する応答時間
- 重大度C(事業に軽微影響)向けに8営業時間以内
- 標準($100/月)
- 24 時間年中無休のメールと電話によるテクニカル サポート問い合わせ
- 重大度に対する応答時間
- 重大度C(事業に軽微影響)向けに8営業時間以内の応答
- 重大度B(事業に部分影響)向けに4営業時間以内の応答
- 重大度A(事業に重大影響)向けに1営業時間以内の応答
- プロフェッショナルダイレクト($1,000/月)
- プレミア
- 専属 の テクニカルアカウントマネージャー( TAM)
エリアの概念
- ジオ
- 2つ以上のリージョンを含む
- ジオ内のリージョンではペアとなる(一部を除く)
- リージョン
- 1つのジオに所属
- 一部リージョンでは3つ以上のAZゾーンを含む
- リージョンペア
- 同一ジオ内の特定のリージョンのペア(一部リージョンを除く)
- 求められる耐障害性、高可用性を求められる基盤となる
- ペアで同時にメンテナンスが行われないことが保証されている
- AZゾーン
- 1つのリージョンに所属
- 1つ以上のデータセンターを含む
- 1部のリージョンでのみサポートされる
価格オプション
- エンタープライズ 契約( EA)
- 事前に利用料金をコミットすることによる割引
- 期間は1年間
- Azure Reserved VM Instances(予約インスタンス、RI)
- Azure Virtual Machinesに対する利用をコミットすることによる割引
- 期間は1年間、または3年間
- 予約容量
- PaaSサービスに対する利用をコミットすることによる割引
- 対象はAzure SQL Database(仮想コアモデル)、Azure Cosmos DB、AzureSynapse Analytics、Azure Cashe for Redis
- 期間は1年間、または3年間
- Azureハイブリッド特典
- オンプレミスのライセンスを流用することによる割引
- 対象はAzure Virtual Machines、Azure SQL Database(仮想コアモデル)
- Azure 開発/テスト価格
- 開発/テストでの使用に限定
- 対象はWindows Virtual Machines、BizTalk Virtual Machines (Enterprise、Standard) 、Azure SQL Database、SQL Server Virtual Machines (Enterprise、Standard、Web) 、Logic Apps エンタープライズ コネクション、App Service(Basic と Standard) 、Cloud Services 、HDInsight
リソースの管理
リソースグループ
- リソースを論理的にまとめたグループ
- リソースグループを削除すると、リソースグループ内のすべてのリソースも削除される
- ダウンタイムなく内部リソースのグループ移動が可能
- 依存関係にあるリソースは同時に移動する必要がある
- ロック機能・・・リソースグループ(およびリソース)の「削除」または「変更・削除」を防止できる
タグ
- リソースに対してカスタムな情報を付与できる
- 1リソースに最大50個設定可能
Azure Resource Manager (ARM) テンプレート
- デプロイが必要なリソースを定義したJSONファイル
- テンプレートをデプロイすることで、テンプレートに記述されたリソースがデプロイされる
- テンプレートセクション
- parameters・・・テンプレート実行時に読み込みたい値
- varlables・・・テンプレートファイル内で使われる変数
- functions・・・テンプレート内で繰り返し使われる処理の塊
- resources・・・デプロイするリソースを定義
- dependsOnにより依存関係を表現
- 作成済みのリソースから定義をエクスポート可能
- テンプレートセクション
Iaasモデル
- クラシックモデル(V1)
- 別名ASM(Azure Service Manager)
- GUIはクラシックポータル中心での提供
- Resource Managerモデル(V2)
ネットワーク
VNet(仮想ネットワーク)
- 使用するネットワーク空間全体(IPアドレス)を定義
- アドレス範囲の追加または削除が可能
- サブネット・・・VNetのネットワーク空間(IPアドレス)を分割
- サービスエンドポイント・・・AzureサービスへのアクセスをVNet内部に限定することが可能
VNetピアリング
- 同一リージョン内のVNet間を接続
- ピアリングを行う両方のVNetにて接続の作成が必要
- ピアリング設定中にVNetのIPアドレス範囲は変更不可
- 直接ピアリングしたVNet同士のみが通信が可能となる
- グローバルVNetピアリング・・・異なるリージョンのVNet間を接続可能になる
VNet間接続
VPNゲートウェイ
- 暗号化されたトラフィックを送受信するためのゲートウェイ
- 主な使用方法はサイト対サイト(Azure VNet - オンプレミスNW)、ポイント対サイト(Azure VNet - デバイス)、ネットワーク対ネットワーク(Azure VNet - Azure VNet)
- 通常のサブネットと異なる「ゲートウェイサブネット」が必要
- 2種類のVPNタイプ
- VPN
- Express Route
- 2種類のVPNタイプ
- ルートベース
- IKEv2をサポート、推奨
- 各トンネル間で暗号化する必要があるパケットをワイルドカードにより指定
- 動的ルーティングを使用できる
- ポリシーベース
- IKEv1をサポート、非推奨
- 各トンネル間で暗号化する必要があるパケットの IP アドレスを静的に指定
- 静的ルーティングを使用できる
- ルートベース
- 通信要件に応じたSKUを設定
- VPN接続設定
- 指定した接続に対する共有キーを作成する
- VNet対VNet、サイト対サイト、Express Routeを指定可能
ローカルネットワークゲートウェイ
Azure Express Route
- 専用線サービス
NSG(ネットワークセキュリティグループ)
- VNet内のトラフィックをフィルタリングすることができる
- サブネット、NICに対して関連付けして適用
- セキュリティ規則を受信/送信方向個別に設定して使用する
- 既定のルールが一式含まれている(暗黙のDeny含む 優先度65500)
- サービスタグ・・・Azureが管理している特定のIPアドレスのグループ
- アプリケーション セキュリティ グループ
- 特定のアプリケーションで使用されるリソースのネットワークセキュリティグループ
- ネットワークインターフェースをグループ化し、NSG内で送信元またはあて先として指定可能となる
Azure DDoS Protection Basic
- 内部的なL4レイヤまでのDDoS攻撃を検知し、緩和する仕組み
- 共有ネットワーク全体に適用
ロードバランサ―
Azure Load Balancer
- リージョンに配置
- L4ロードバランサ―
- ソース・あて先×IPアドレス・ポートの4項目及びプロトコルを利用
- 2種類のSKU・・・Basic/Standard
- バックエンドプール・・・トラフィックを分散するあて先グループ(仮想マシン、スケールセット)
- 正常性プローブ
- バックエンドプールの状態監視設定
- プロトコル、ポートを指定
- セッション永続化・・・同一セッションのリクエストを同一クライアントへ分散する(クライアントIPまたはクライアントIPとプロトコルを指定可能)
Azure Application Gateway
- L7ロードバランサ―(基本的な特徴はALBと同様)
- リスナー・・・プロトコル、ポート、ホスト、IP アドレスの組み合わせにより構成されるトラフィックの到着先
- ルーティング規則・・・リスナーとバックエンドプールの紐づけ
- Cookieベースのスティッキー セッション
- SSLオフロード
- パス/URLベースのコンテンツルーティング
- WAF機能も利用可能
- スケーリングは手動と自動を設定可能、インスタンスの最大と最小を制限できる
- SKU
- レベル・・・Standard、WAF
- サイズ・・・Small,Medium,Large
Azure Traffic Manager
DNS
Azure DNS
既定の内部DNS
- 名前解決対象は同一VNetおよびインターネット上の公開ホスト
- 任意のレコードの追加は不可
ストレージ
ストレージアカウント
- ストレージサービスを使うための基本設定
- 作成時の指定オプション
- インターネット上で一意の名前を設定
- アカウントの種類
- 汎用v1・・・すべてのストレージの種類(Blob、Files、Table、Queue)をサポートしているが、 すべての機能はサポートしていない
- 汎用v2・・・すべてのストレージの種類とすべての機能をサポート
- Blobストレージ・・・Block Blob、Append Blobを利用できる
- ファイルストレージ・・・Filesをサポート
- パフォーマンス
- レプリケーション
- LRS(ローカル冗長ストレージ)・・・リージョン内の同一データセンターで3つのレプリカ
- ZRS(ゾーン冗長ストレージ)・・・リージョン内の3つの可用性ゾーン(AZ)にわたって計3つのレプリカ
- GRS(地理冗長ストレージ)・・・ペアリージョンにて3つずつ、合計6つのレプリカ、フェールオーバー時はアクセス不可
- RA-GRS(読み取りアクセス地理冗長ストレージ)・・・ペアリージョンにて3つずつ、合計6つのレプリカ、フェールオーバー時の読み取りアクセス可能
- 利用可能ストレージサービス
バックアップサービス
Recovery Servicesコンテナ―
- バックアップデータを格納する入れ物
- 同一リージョンのデータしかバックアップ取得できない
Azure Backup
- クラウド・オンプレミスのデータをバックアップし、リストアすることを可能とするサービス
- スナップショット
- MARS(Microsoft Azure Recovery Services)・・・オンプレミス向けのバックアップのために必要なエージェント
- バックアップポリシー
- バックアップの取得タイミングと周期・頻度および保持期間を指定可能
- デフォルトでは1日1回、30日間保持、保持期間は最大99年
- 復元オプション
- ファイル/フォルダーレベルの復旧も可能
Azure Site Recovery
- データの安全な保護及び短時間での災害復旧を可能にするサービス
- 自動で仮想マシンのバックアップを開始し、レプリカのマネージドディスクにデータを保持
Azure Virtual Machines
- IaaS環境を提供
- サイズの変更には再起動が必要
- 3種類のディスクを接続可能
- OSディスク
- 一時ディスク
- データディスク(オプション)
- 監視・診断機能の有効化・・・ストレージサービスのBlobとTableへ情報を蓄積する
- 可用性セット
- スケールセット
コンテナ基盤
Azure Container Instances
- コンテナ―実行サービス
- コンテナグループ・・・同じホストマシンで実行されるコンテナの集合
Azure Kubernetes Service
- Kubernetesクラスターをデプロイ
- AKS自体は無料であり、AKSのために動いているノードのリソースに基づいて課金
Azure Service Fabric
- マイクロサービスプラットフォームの構築・運用を可能とするサービス
- オーケストレーション、アプリケーションやコンテナのパッケージング、デプロイ、運用機能を提供
- Azure のインフラストラクチャおよび多様な Microsoft サービスを支えるOSS
- Skype for Business、Intune、Azure Event Hubs、Azure Data Factory、Azure Cosmos DB、Dynamics 365、Cortana
- Azure SQL Database、Azure SQL Data Warehouse、Azure Database for MySQL/PostgreSQL
データベース
Azure SQL Database
- データベース最大容量は4TB
- パフォーマンスに基づく購入モデル
- DTUモデル
- CPU使用率、メモリ使用量、ディスクI/Oを組み合わせた値
- 大きい段階にBasic、Standard、Premiumがある
- 仮想コアモデル
- コンピューティング/メモリ/ストレージを独立してスケール可能な新しいモデル
- 大きい段階にGeneral Purpose、Business Critical、Hyper Scaleがある
- DTUモデル
- 複数のセカンダリノードに対するレプリケーション(Premium or Business Critical)
- 自動バックアップ
- 管理ツール
- Azureポータル、Visual Studio
- SQL Server Management Studio、Azure Data Studio
- エラスティックプール・・・プール内の複数のDBがリソースを共有
- Managed Instance・・・オンプレミスのSQL Server互換性100%のDBインスタンス
- アクセスには、Azure内部からはAzure接続の有効化、外部からはDB/SVレベルのFWにおける許可設定が必要
Azure SQL Data Warehouse
- 並列分散データベースサービス
- 制御ノード、コンピューティングノード、ストレージに分かれる
- データベース最大容量は240TB、1TBごとに自動スケール
- パフォーマンスはDWU単位で、DWUを変更すると実行中のクエリは停止する
- データを維持しての一時停止可能
Azure Database for MySQL/PostgreSQL
- 複数の仮想マシンでクラスター構成がとられた基盤上のDB
- 自動バックアップ(7~35日間の保存)
- パファーマンスベースのプラン
- Basic・・・仮想コア1~2、メモリ2GB、ストレージは5GB~1TBのStandard Storage
- 汎用・・・仮想コア2~32、メモリ5GB、ストレージは5GB~4TBのPremium Storage
- メモリ最適化・・・仮想コア2~16、メモリ10GB、ストレージは5GB~4TBのPremium Storage
- 基盤となるサーバに対する課金(データベース単位ではない)
Azure Cosmos DB
- NoSQLデータベースサービス
- 異なるデータモデルの5つのデータベースAPIを提供
- パフォーマンスはRU単位
- 1RUは1KBのドキュメントをID指定で取得した際のコストに相当
- 400RUから、100/秒単位で指定でき、変更可能
- 上限は10000RU/秒または10GB
- RUと容量に基づいて自動でスケールアウト
- パーティション分割を有効化可能
- 有効化時はRUと容量の上限が無制限
- マルチマスター書き込み機能もあり
- RUに基づいた時間単位+格納データ量に基づいて課金
- 地理レプリケーションを構成可能(レプリケーション先に上限なし)
- 書き込みリージョンと読み取りリージョンに分類
- 書き込みリージョンの更新内容の浸透は非同期
- 優先順位を指定して、レイテンシを最小化できる
- 3種類の特別なSLA・・・対RUで指定されたスループット、整合性レベル、レイテンシ
- 5つの整合性レベル・・・強い整合性、有界整合性制約、セッション、一貫性のあるプレフィックス、結果整合性
IoT関連
Azure IoTソリューションアクセラレータ
- 複数のIoTのPaaSサービスおよびコード資産を使用した特定のシナリオ向けのアプリケーション
- OSSなのでカスタマイズ可能
Azure IoT Central
Azure IoT Hub
- IoTデバイスおよびIoTアプリケーションサーバ間のメッセージハブ
- 信頼性が高く、セキュアな通信を提供
Azure IoT Edge
- 処理をエッジデバイスにて実行できるようにするソリューション
- 処理の内容をDockerコンテナ(IoT Edge モジュール)としてエッジ側デバイスにデプロイ
- カスタムコード及びAzure Functions/Azure Stream Analytics/Azure Machine Learningサービスによる処理を実行可能
分析基盤
Azure Data Factory
- ETL (抽出 - 変換 - 読み込み)、ELT (抽出 - 読み込み - 変換)、データ統合等を行うデータ パイプラインクラウド サービス
- クラウドの Spark クラスター(Azure HDInsight)を使用して処理
- パイプライン
- 1 つのタスクを実行するための複数のアクティビティから構成される論理的なグループ
- データ ファクトリには、1 つまたは複数のパイプラインを設定可能
- データフローのマッピング
- データ変換ロジックのグラフを作成して管理
- 再利用可能なデータ変換ルーチンのライブラリを構築し、パイプラインから実行可能
- アクティビティ
- パイプライン内の処理ステップで、3種類に分類(データ移動アクティビティ、データ変換アクティビティ、制御アクティビティ)
- データセット
- データ ストア内のデータ構造
- リンクされたサービス
- 外部リソース(データストアまたはコンピューティングリソース)に接続するために必要な接続情報
- トリガー
- パイプラインの実行をいつ開始するかの定義
- 制御フロー
- パイプラインアクティビティのオーケストレーション
- シーケンスに従うアクティビティの連鎖、分岐、パイプライン レベルでのパラメーターの定義、オンデマンドかトリガーからパイプラインが呼び出される際の引数の受け渡しを含む
- 変数
- パイプライン内での一時的な値の格納、アクティビティ間で値を受渡に使用
Azure Databricks
- Sparkベースの分析プラットフォーム
- クラスターを動的にスケールアップ/ダウン可能
- データ領域としてAzure Blob Storageを使用
Azure HDInsight
リアルタイムデータ処理
Azure Event Hubs
- スケーラブルなパブリッシュ/サブスクライブサービスの提供
- パーティション
- 事前に数を設定する、分散処理の単位
- イベントごとに異なるパーティションにて処理
- 7日間データを保持可能
- スループットユニット
- 容量の単位(1MB/秒または1000イベント/秒が上限)
- 複数の入力元および出力先を指定して処理可能
Azure Stream Analytics
- SQLライクなクエリ言語でサブスクライブ処理を記述
- ストリーミングユニットとして1MB/秒単位でスループットを割当
- 連携先はAzure Event Hubs/Azure SQL Database/Azure Data Warehouse/Azure Cosmos DB/Azure Blob Storage
Azure Machine Learning
- 機械学習モデルの構築・訓練・デプロイを行うサービス
Azure Machine Learning Studio
- データの入出力・クレンジング・アルゴリズムの実行をGIUでブラウザー上にて実施可能
- 各処理のブロックをつなげていくことで処理のパイプラインを構築する
- RやPythonの自作スクリプトも実行可能
- スケーリングやGPUサポートに課題あり
Azure Machine Learning サービス
Azure Cognitive Services
- 資格・音声・言語処理の機能を提供するAPIサービス
- API群は5つのカテゴリに大別される
- Vision
- Computer Vision・・・画像の分析
- Face・・・画像における顔の検出・認証、グループ化
- Content Moderator・・・不適切なコンテンツを自動検出
- Custome Vision・・・カスタマイズ可能な画像認識モデル
- Video Indexer・・・ビデオ内会話のテキスト化、キーワードちゅしゅつ、タグ付け
- Speech
- Speech Services・・・音声認識・合成・翻訳
- Speaker Recognition・・・話者識別・音声認証
- Language
- Bing Spell Check・・・スペルチェック
- LUIS(Language Understanding)・・・文章に対する意図・キーワード抽出
- Text Analytics・・・文章内の感情・トピック分析
- Translator Text・・・機械翻訳
- Knowledge
- QnA Maker・・・Q&Aマッチング
- Search
- Bing Autosuggest・・・検索候補の表示
- Bing Image Search・・・画像検索
- Bing Video Search・・・Web上の動画を検索
- Bing News Search・・・Web上のニュース記事を検索
- Bing Web Search・・・Bingでインデクシングされたドキュメントの検索
- Bing Visual Search・・・類似画像の検索
- Bing Custom Search・・・カスタマイズされた検索サービス
- Bing Entity Search・・・キーワードをもとに、近くの関連エンティティを特定
アプリケーション基盤/開発基盤
Azure App Service
- WEBアプリケーション開発に主に活用できるPaaSソリューション
- Azure Functionsの基盤となっている
- App Serviceプラン
- App Serviceの基盤で、複数のApp Serviceで共有される
- リージョン、スケールカウント、インスタンスサイズ、SKU等を定義
- 複数の価格レベルのプランがあり、使える機能が異なる
- カスタムドメインの利用(Basic以降)
- 自動スケーリング(Basic以降)
- CPU使用率やタイムスケジュールに合わせた自動スケーリングが可能
- デプロイスロット(Standard以降)
- スロット間のアプリケーションはダウンなしで交換可能
- ブルーグリーンデプロイや暖機運転後のデプロイ、デプロイ後即時ロールバック等が可能となる
- App Service Environment(Isolatedのみ)
- App Serviceプランのインフラを仮想ネットワーク上に構築し、通信制御、オンプレミスへのセキュア・高速アクセスを可能とする
- Azure DevOpsによるCI/CD可能
- 1つのスナップショットとして保存可能
Azure Logic Apps
- サービス統合・ワークフロー作成を効率的に実行するソリューション
- デザイナーを使ってGUIでワークフローを実装
- 需要にあわせて自動スケールアップ
- コネクタ・・・利用するデータとサービスへのアクセスを定義し、データへの接続・操作を支援するインターフェース
- トリガー・・・特定のイベントに基づいたワークフローの開始
- アクション・・・ワークフローにおける各ステップ
Azure Functions
- イベント駆動型のサーバーレスプレっとフォーム
- バインド・・・他Azureサービスに容易にアクセスするための機構
- トリガー・・・コードを実行するための条件
- 実行時間に基づく課金
- App Serviceプランベースでの課金も可能
- リポジトリ経由でのコードデプロイが可能
Azure DevOps
- 5つのサービスで構成された、DevOpsのプラクティス(CI/CD、アジャイル開発、アプリ監視)を実行するソリューション
- DevOps Projectという単位にて、DevOpsのためのソリューションを構築
→”サービス”を基盤とする”フレームワーク/ランタイム”を用いたアプリケーションコードのCI/CD環境が構築
制御・監視・認証
サブスクリプションロール
- サブスクリプション上のリソースに対する管理権限
- Azureにて作成済みの利用も、カスタム定義も可能
- 所有者ロール・・・他ユーザーアクセス権の制御権限と、全リソースへのフルアクセス権限
- 共同管理者・・・全リソースへのフルアクセス権限
- 閲覧者・・・全リソースへの読み取り権限
- Azure AD のユーザー、グループ、サービスプリンシパルに対して付与できる
Azure Active Directory
- クラウドベースの認証基盤
- テナント
- ユーザまたはグループに、アクセス許可を付与したロールを割り当てる
- 直接割り当て・・・ユーザに対して直接ロールを割り当て
- グループ割り当て・・・グループに対してロールを割り当てることで、所属する全ユーザにロール割り当て
- ルールベース割り当て・・・ルールベースでグループにユーザを動的に割り当てる機構を備えたグループ割り当て
- ロールの定義
- Id・・・ロールの識別子
- IsCustom・・・カスタムロールかどうかのフラグ
- Desctiption・・・説明
- Actions/NotActions
- 許可/拒否されるアクション
- Company.ProviderName/resourceType/action の形式
- DataActions/NotDataActions
- 許可/拒否されるデータ操作
- アクションがデータ操作に変わった以外はActions/NotActionsと同様
- AssignableScopes
- ロールを適用するスコープ
- 単一または複数のサブスクリプション、特定のリソースグループ、特定のリソースといった設定が可能
- インターネット標準に基づく業界標準のプロトコル(Open ID Connect、SAML、WS-Federation等)を使用
- 課金プランはFree、Basic、Premiumu(P1,P2)、Office365付属
- 必ず管理者を作成して運用する必要がある
- 管理の方法はAzure portal(GUI)、PowerShell(スクリプト)、Azure AD Graph(API)
- フェデレーションにおいては、自身が認証処理を行うパターンも、外部に認証要求を依頼するパターンも可能
- OpenID ConnectとのIDフェデレーション
- Azure ADへの「アプリの登録」
- 認証を挟みたいアプリの種類とサインオンURLを設定
- アプリケーションID=クライアントIDの自動割り当て
- ログイン時の処理
- Azure ADへの「アプリの登録」
- アプリケーション認証基盤に対する認証情報の処理
- 認証処理パターン
- Azure ADの直接参照
- Azure ADのみに認証したIDがあればOK
- アプリケーション独自の認証基盤とAzure AD間でIDフェデレーション
- 認証を行う基盤同士でIDを連携(認証したいIDが両方の基盤に含まれている必要がある)
- Azure ADの直接参照
- Azure ADのユーザ同期API
- Azure AD Graphの差分クエリ
- 初回は全ユーザ、以降は差分のユーザ情報を提供
- 認証処理パターン
- 条件付きアクセス
- コンセント
- アプリケーション間のAPI連携の認証
- 登録したアプリケーションに「必要なアクセス許可」としてアクセス先のアプリケーションAPIを追加
- Azure AD v2エンドポイント・・・Microsoft個人サービスとの連携認証が可能
- アプリケーションギャラリー・・・著名なアプリケーションが登録され、フェデレーションが簡単に完了できる
- オンプレミスActive DirectoryとのIDフェデレーション
- オンプレミスAD側でのセッティング
- フェデレーション用のAD FSを実行
- Webアプリケーションプロキシ(AD FS Proxy)を実行してAD FSと連携
- AD FS Proxyをインターネットからの接続が可能になるよう構成
- Azure AD Connet をインストールし、IDを同期
- Azure AD認証エンドポイントに対して、オンプレミスADのユーザ情報が送られたらオンプレミスADに認証要求を発行する
- オンプレミスAD側でのセッティング
- Azure AD B2B
Azure Policy
- リソースの状態を制御するポリシーの作成、割り当て、管理をすることで、一貫性のあるインフラを維持
- ポリシー定義
- イニシアチブ
- ポリシー定義のグループ
- スコープを指定して、割り当てが可能(サブスクリプション、リソースグループ等)
Azure 管理グループ
- 複数のAzure サブスクリプションをまとめて、アクセス、ポリシーの管理をするためのグループ
- 管理グループ内に管理グループを含むことも可能
Azure Blueprints
- ARMと同様にデプロイに必要な一連のリソースを定義し、一括デプロイをすることができる
Azure Monitor
- クラウド・オンプレミス環境の監視・データ収集・分析を一元的に行えるソリューション
- メトリックとログを収集し、その監視と視覚化を行う
- ログのクエリと分析
- アラートとアクションの設定
- アラートルール
- 通知を発行する基準
- 監視対象のリソースと、シグナルロジック(通知する条件)を定義
- アクショングループ
- 通知方法の設定
- Automation Runbook、Azure Functionといったタイプを指定可能
- アラートルール
Network Watcher
- 仮想ネットワークの監視を行うツール
- リージョンごとに有効化することで利用可能
- 監視ツール
- トポロジ ツール・・・Azure VNetおよびそのリソースと接続・関係がグラフィカルに表示する
- 接続モニター ツール・・・Azure リソース間およびIPアドレスまたはFQSNの接続状態を監視する
- Network Performance Monitor・・・エンドポイント間(VNet間等)における待機時間とパケット廃棄状態を追跡する
- 診断ツール
- IP フロー検証ツール
- 次ホップ ツール
- 仮想マシンから任意の宛先へのパケットの移動経路を検証できる
- セキュリティ グループ ビュー
- パケット キャプチャ ツール
- 接続のトラブルシューティング ツールとは
- VPN トラブルシューティング ツールとは
Multi-Factor Authentication
- 認証のために、2つ以上の要素を用いること
- Azure AD, Microsoft 365 Business, Office 365にて使用可能
そのほか
Azure Stack
- オンプレミスでのAzure機能を利用可能にする物理基盤ごと提供される統合サービス
- 複数のベンダから自社の物理基盤を用いたバージョンの統合サービスが提供
- Azure同様にポータル画面での管理が可能であるが、利用者用と別にStack基盤の管理者用が用意される
- 複数の課金体系
- Azureと連動した従量課金
- EAでの年間サブスクリプション契約
AWSサービスとの対応関係
- 公式ドキュメントに参考になりそうなものがあったので張っておきます。
参考サイト
- 価格の概要 - Azure 価格の仕組み | Microsoft Azure
- Azure Hybrid Benefit—ハイブリッド クラウド | Microsoft Azure
- Azure のサポート プランの比較 | Microsoft Azure
- Webアプリのセッション管理 / Azure Plugin for Eclipseのセッション アフィニティ | S/N Ratio (by SATO Naoki (Neo))
- 推奨される名前付けおよびタグ付け規則 - Cloud Adoption Framework | Microsoft Docs
- Azure Data Factory の概要 - Azure Data Factory | Microsoft Docs
- Azure Service Fabric—マイクロサービスの構築 | Microsoft Azure
- Azure Service Fabric—マイクロサービスの構築 | Microsoft Azure
- Azure DevOps Projects | Microsoft Azure
- テンプレートをデプロイする - Azure portal - Azure Resource Manager | Microsoft Docs
- Azure 仮想ネットワークを作成、変更、削除する | Microsoft Docs
- VNet 対 VNet の VPN Gateway 接続を構成する: Azure portal | Microsoft Docs
- Azure Policy でインフラストラクチャの標準を適用して監視する - Learn | Microsoft Docs