移行後のAzureならではの運用管理テクニック

改めまして、NECマネジメントパートナーの吉田薫です。NECマネジメントパートナーで「System Center」を中心としたトレーニング講師を務めながら、日経コンピュータをはじめ、さまざまな雑誌および書籍に技術記事を寄稿しています。その活動が評価され、お陰様で、12年連続でMicrosoft MVPを受賞できました。受講いただいた皆様、記事をお読みいただいた皆様、ありがとうございました。

前回のどこにも書いてない超ノウハウ！マイクロソフトが禁止しているWindows Server 2003からAzureへの移行「べからず集」はいかがでしょうか？　多くの方にお読みいただいたようで、うれしい限りです。

さて、「プロジェクトリーダーや管理者なら知っておくべきWindows Server 2003からAzureへの移行」コラムの第三回「移行後のAzureならではの運用管理テクニック」をご紹介します。合わせて、関連するテクニカルTipsも紹介します。Microsoft Azureへの移行をお考えの方は、ぜひご参照ください。

仮想ネットワークへの接続

社内システムをMicrosoft Azureへ移行する際、キモとなるのが「仮想ネットワーク」と「サイト間VPN」です。仮想ネットワークは、Azure仮想マシンを配置するネットワークのことで、このネットワークと社内ネットワークをインターネット経由で接続するのが、サイト間VPNです。これにより、ユーザーはまるで社内サーバにアクセスする感覚で、Azure仮想マシンにアクセスできるようになり、使い勝手も変わりません。なお、サイト間VPNでは社内に専用のVPNデバイスの設置が必要です。マイクロソフトでは、Microsoft Azureで利用可能なVPNデバイスの一覧を公開していますので、参考にしてください。この一覧にはWindowsのソフトウェアVPN（RRAS）も含まれていますので、新しいVPNデバイスを購入しなくても、テストすることができます。

なお、サイト間VPNはインターネット経由での接続となりますので、ネットワーク帯域は保証されません。ネットワーク帯域の保証が必要であれば、Microsoft Azureの「ExpressRoute」を検討してください。Express Routeは社内と仮想ネットワークを専用線で接続するサービスで、帯域が保証されます。日本では、IIJに代表されるネットワークプロバイダーより、ExpressRouteを利用したサービスが提供されています。

またMicrosoft Azureでは、サイト間VPNとは別に「ポイント対サイトVPN」もサポートしています。これは、Windows 7やWindows 8.1などのクライアントコンピュータ単体を、VPNで仮想ネットワークへ接続する機能です。ポイント対サイトVPNを活用すれば、各クライアントはどこにいても仮想ネットワークへ接続でき、社内システムを活用することが可能となります。ちなみに、ポイント対サイトVPNではWindowsの標準のVPNソフトウェアを使用するため、別途VPNデバイスを用意する必要がなく、手軽です。

高度なネットワークセキュリティにはエンドポイントACLとネットワークセキュリティグループを活用

セキュリティ対策は、社内サーバでもAzure仮想マシンでも重要です。Azure仮想マシンのOSがWindowsであれば「Windowsファイアウォール」を利用し、ネットワークセキュリティを強化できます。ただし、Windowsファイアウォールは仮想マシン1台ずつに設定していかなければなりませんし、設定を間違えると仮想マシンに接続できなくなり、設定の修正が効かなくなる可能性もあります。

そこでお勧めしたいのが、Microsoft Azureの「エンドポイントACL」と「ネットワークセキュリティグループ」です。エンドポイントACLは、インターネットからのAzure仮想マシンへのアクセスをアクセス元のIPアドレスを基にフィルタリングし、許可または拒否を行います。例えば、社内のIPアドレス範囲を事前に調べて割り当てておけば、社内クライアントからのアクセスだけを許可することができ、セキュリティが向上します。

エンドポイントACLがインターネットからのアクセスを対象とするのに対して、ネットワークセキュリティグループは、VPNによる社内ネットワークからのアクセスにも対応しています。また、送信と受信で別々のフィルタリングルールが設定できるなど、高度な制御が可能です。

これらのセキュリティ機能は、Microsoft Azure側で設定するため、仮想マシン内のOSに依存せず、WindowsでもLinuxでも利用可能です。また、設定ミスにより取り返しがつかなくなる心配もありません。ただし、エンドポイントACLとネットワークセキュリティグループは同時に使用できません。予めご注意ください。

負荷分散は自動スケールと組み合わせよう

例えば、SharePointフロンドエンドを展開する場合、複数のWebサーバを作成し、負荷分散でリクエスト処理を分散することがよくあります。Microsoft Azureでは、Azure側で負荷分散の機能を提供しているため、このような展開を容易に行えます。これは「外部負荷分散」または「内部負荷分散」と呼ばれます。この2つの負荷分散は、機能的には同じです。インターネットからのアクセスに対応するのが外部負荷分散で、VPNによる社内ネットワークからのアクセスに対応するのが内部負荷分散と考えると理解しやすいです。

負荷分散で注意すべきことは課金です。Microsoft Azureは、仮想マシンの稼働時間に合わせて課金されます。そのため、負荷分散ファーム内で実行中のすべての仮想マシンが課金対象となります。これは、システムへの負荷が高くても低くても変わりません。

システムの負荷が大きく変動するような場合は、負荷分散を「自動スケール」と組み合わせて使用しましょう。自動スケールは負荷に合わせて、仮想マシンを自動的に開始またはシャットダウンする機能です。つまり、システムの負荷が高くなると、仮想マシンを開始し、逆に負荷が低くなると仮想マシンをシャットダウンします。Microsoft Azureでは、仮想マシンをシャットダウンしておけば課金対象外となるため、負荷分散ファームの利用料金を抑えることができます。

Operations ManagerはMicrosoft Azure監視の大本命

Microsoft Azureには、標準で監視機能が用意されています。例えば、仮想マシンのプロセッサの使用率、ディスクの読み書き、ネットワークの入出力データ量はAzure管理ポータルの画面上で確認することができます。また、これらの監視データにしきい値を設定して、管理者へ電子メールによるアラート通知を送信できます。

ですが、正直なところMicrosoft Azure標準の監視機能でできることには限界があります。例えば、監視データのカスタマイズができないため、仮想マシンの空きディスクや空きメモリのサイズを確認したり、イベントログのエラーIDをしきい値にしてアラート通知を送信したりすることはできません。

このようなカスタマイズされた監視については、マイクロソフトの別製品であるSystem Centerの力を借りる必要があります。System Centerはシステム運用管理製品群であり、その中の1つである「Operations Manager」はMicrosoft Azureに対応しています。Operations ManagerのエージェントをAzure仮想マシンにインストールすれば、社内のコンピュータと同様にOperations Managerを使用した監視が可能です。また、無料配布されているWindows Server、Active Directory、SQL Serverなどの管理パックをOperations Managerへインポートすることで、OSレベル、アプリケーションレベルでの自動監視が可能となります。

Azureオートメーションで繰り返しの管理操作をラクラク自動化

繰り返しになりますがAzure仮想マシンは稼働時間に基づき課金されます。そのため、夜間や週末など、社内システムへのアクセスが不要な時間帯には、仮想マシンをシャットダウンすることで、利用料金を大幅に軽減することができます。

ただし、管理者が毎回手作業で仮想マシンのシャットダウンと開始を行うのでは逆に管理負荷が増大し、本末転倒です。そこで「Azureオートメーション」を利用します。Azureオートメーションは、その名前のとおり、Microsoft Azure組み込みの自動化ソリューションです。Azureオートメーションは、PowerShellワークフロースクリプトを決められた時間に自動実行してくれます。スクリプトでは、仮想マシンのシャットダウンや開始といったAzureの管理操作も可能です。

Azureオートメーションはスクリプトを記述する必要があるため、スクリプト開発のスキルが必要ですが、System Centerに含まれる「Orchestrator」を利用すれば、Visioのようにアイコンを並べて、矢印で結ぶだけでMicrosoft Azureの管理操作の自動処理が可能で、特別なスクリプトの開発スキルは不要です。Microsoft Azureの管理操作の自動化では、このOrchestratorも要チェックです。

アップデートされたAzureバックアップで仮想マシンを簡単バックアップ

Azure仮想マシンのディスクは、VHDファイルとしてAzureストレージに格納されています。既定でVHDファイルは3つの物理ディスクにミラーリングされています。さらにオプションでAzureデータセンターを跨いた6つの物理ディスクにミラーリングできます。そのため、ディスクの障害対策を検討する必要はありません。

ただし、従業員の操作ミスやプログラムの不具合による予期せぬデータの削除や上書きがあった場合、Microsoft Azureはデータをバックアップしていないため、管理者側でデータをバックアップしておく必要があります。

一番簡単なバックアップ方法は、Azure仮想マシン内でバックアップアプリケーションを実行し、データをバックアップすることです。例えば、Azure仮想マシンのOSがWindowsならば「Windows Serverバックアップ」を利用し、必要なデータをバックアップできます。ただし、この場合はそれぞれの仮想マシンで、バックアップ用のディスクを追加し、バックアップの設定を実施し管理していかなければなりません。

そこでお勧めしたいのが「Azureバックアップ」です。従来のAzureバックアップは、オンプレミスのWindows Serverバックアップのアドオンとして提供され、Windows Serverバックアップが作成したバックアップデータをAzureストレージに保管するものでした。ですが最近のバージョンアップで、Azure仮想マシンのフルバックアップにも対応しました。この機能を使用すると、Azure管理ポータルからAzure仮想マシン全体をスケジュールで簡単にバックアップすることが可能となります。このバックアップは、Azure仮想マシン実行中でも可能です。さらにOSがWindowsの場合、アプリケーションレベルでの整合性がサポートされ、Linuxの場合でも、ファイルレベルでの整合性がサポートされます。

いかがでしょうか？　普段はNECマネジメントパートナーでインストラクターをしています。それでは研修会場でお会いできたらうれしいです。最後までお読みいただきありがとうございました。

※弊社はMicrosoft Azureのトレーニングを行っています。興味がある方は以下をご覧ください。

IT ProのためのMicrosoft Azure早わかり ～仮想マシンサービスを中心に～（2日間）

http://www.neclearning.jp/courseoutline/courseId/MU23B/