今回のコラムでは、Microsoft Azure を利用される際に、設計として考えるべきことは何があるのかをまとめてみました。
Microsoft Azure を利用すると一口に言っても、そのシーンはさまざまです。例えば、オンプレミスからクラウドへのシステム移行として、ファイルサーバーや Active Directory、ポータルサイトを構築する、他社へのサービス提供として SaaS サービスを構築するなどがあるかと思います。
Microsoft Azure 上でシステム構築をおこなう際に、最低限必要な Active Directory 移行に関してどう考えるかを「仮想マシン」と「仮想ネットワーク」を対象に考えてみました。
どのクラウドサービスでも共通ですが、パブリッククラウドならではの「用語」や「サービスメニュー」、「料金体系」を理解する必要があります。私が Microsoft Azure を触っていた 3 年程前は、書籍やホームページに学習できるような情報があまりなく、情報の入手先は、Microsoft Azure ブログでした。今ですと、Microsoft LEARN で、学習することができますので、初めて触られる方はこちらをご参照ください。
用語を理解していただけるよう、簡単に絵にしてみますと以下のようになります。
Microsoft Azure を利用するためには、サブスクリプションの契約をおこないます。
契約したサブスクリプションで、「仮想マシン」「仮想ネットワーク」「ロードバランサー」などのサービスを利用する場合は、任意のグループに分けて管理します。
例えば、リソースグループ A は社内システム用、リソースグループ B は外部公開サービス用のようにグループを分けて作成します。
サブスクリプション契約の中で、リソースグループやさまざまなサービスを追加し構築をおこなうことが可能ですが、仮想マシンを構築する場合には、個人的には以下の流れがお勧めです。
仮想マシン作成と同時に、事前準備の仮想ネットワークなどの作成もおこなえますが、構築時のタイミングで間違えて作成してしまう可能性があるため、上記順番で作成し、仮想ネットワークから仮想マシンを適切に割り当てていただく方が、オペレーションミスなどもなくなり、安全に構築いただけます。
1. 仮想ネットワークの設計
仮想ネットワークには、「サブネット」と「ゲートウェイサブネット」があります。「ゲートウェイサブネット」は、サブネット間のルーティングや VPN サービスなどを利用し、社内と接続するためのものです。
先述の通り、リソースグループの用途と構築される仮想マシンによって「サブネット」の構成やサブネット間のルーティングを最初に作成します。
構築するシステムとして、「ポータルサイト」「Active Directory」「File Server」があり、以下のような要件があったとします。
■要件
ポータルサイト
・外部ネットワークおよび社内ネットワークから接続したい
Active Directory
・ポータルサイトおよび PC ログインの認証をおこないたい
・外部ネットワークからは切り離したい
・他システムとの連携も柔軟にさせたいため、通信制御できるようにしておきたい
File Server
・ポータルサイトのドキュメント保存、ファイルサーバーとして利用したい
・外部ネットワークからは切り離したい
Active Directory は、接続元 IP やポートによる通信制御をおこなう柔軟性を取り入れるため、今回は 3 つのリソースに分けてみますと、以下のような構成になります。
仮想ネットワークは、柔軟にネットワークを作成することができますが、どのようなネットワーク構成にするか、外部・内部公開および通信制御をどうするかを予め設計したうえで作成することで作り直しが発生しません。
2. 仮想マシンの設計
仮想マシン(Virtual Machines)は、OS ディスク・一時ディスクで構成されており、必要に応じてディスクを割り当てることができます。
料金表から見る内訳は、以下のようになります。
作成される仮想マシンから見ると、以下のように構成されます。
仮想マシンは、インスタンスを変更すると、CPU やメモリーを変動させることができますが、データディスクの容量を削減できないため、予め必要なリソースを現在の状況から確認し割り当てます。
ネットワークと違い仮想マシンは、必要なスペック(インスタンス)の選択とデータディスクの追加により、容易に作成することが可能です。稼働させるシステムによって、データディスクをアプリケーション用やバックアップ用に分けて作成しておくか、または、一時的なストレージとして割り当て、不要になった際に、切り離しを簡単におこなえるように稼働させるシステム(アプリケーション)を利用することで、Azure Resource Manager テンプレートによる仮想マシンの拡張や Azure Automation の Runbook によるシステムの自動化など、楽に管理ができるようになります。
私が検証中に失敗したときは、Active Directory やファイルサーバーを単一リージョンで作成したため、VPN が切断されてしまった際に、Active Directory へ接続できなくなりました。その結果、PC ログインやアクセスができなくなり、原因調査が困難に陥りました。
仮想ネットワークや仮想マシンの作成は、サービス開始で簡易におこなえますが、システム障害に備え、基本設計と運用を考えた設計が大事だと感じました。例えば、Azure で障害が出た際に、異なるクラウド側とどう接続させるか、複数リージョン構成とするかどうかなどを考慮する必要があります。
弊社の SAMS サービスでは、運用設計や監視以外に、システムインテグレーションとして、オンプレミスからのシステム移行の対応もおこなっております。
Active Directory 移行のご要望やファイルサーバーの構築対応、AD + ADFS を利用し Office365 と連携するためにどうすればいいのかなど、パートナー企業様と設計から運用までお客様のインフラ安定稼働を実現するためのお手伝いをさせていただいております。移行を検討中、移行中または移行後の運用対応など、お困りごとがございましたら、お気軽にご相談ください。
by プロダクト&サービス統括部 コンサルティングサービス部 課長代理 今川 裕太