カテゴリー: Azure

●Azure Well-Architected Framework（WAF）とは？

システム設計の基本原則。以下5つの柱から構成されている。

①信頼性

②セキュリティ

③コスト最適化

④オペレーショナルエクセレンス

⑤パフォーマンス効率

※④：オペレーション（業務の管理・運用）の効率・向上を目指すことによって、競合他社が真似できない、その企業独自の優位性を保つ状態

また、具体的な設計例については、WAFに基づいたAzureランディングゾーン（Azure Landing Zone：ALZ）というアーキテクチャを定義している。

●Azure DNSとは？

Microsoft Azureが提供しているDNSサービスで、Azureのインフラを使用してドメインを管理し、高い可用性・セキュリティを保ちながら高速な名前解決を行います。Azure DNS 内のDNS ドメインは、Azureのグローバルネットワーク内で分散保存され、名前解決の際は最も近いDNSサーバと通信を行う（IP Anycast）ことで、高い可用性と応答性を持つことが特徴です。

●Azure DNSの種類

①AzureパブリックDNS

・インターネットに接続していれば誰でも利用可能なDNSサーバ

・インターネット上で名前解決を行うための外部向けDNS

・Microsoftのグローバルネットワーク内に分散配置され、高い可用性と応答性を持つDNS

※パブリックDNSとは、インターネット上で名前解決を行うためのDNS

<使用に際しての手順概要>

1.ドメイン購入

補足）

Azure（Microsoft社）は基本的にドメイン販売を行っていないが、Azureで直接管理されるカスタムドメインであるApp Service ドメインは購入可

2.DNSゾーンの作成

3.DNSゾーンの委任

4つのネームサーバー（NS）レコードを親ドメインに登録。この作業を委任と言い、レジストラの管理サイトで行う。

※レジストリとレジストラ

「レジストリ」は登録ドメイン名のデータベースを維持管理する機関であり、「レジストラ」は登録者からドメイン名の登録申請を受け付け、その登録データをレジストリのデータベースに登録する機関

4.レコードセットの作成

必要になるレコードをゾーンに追加すれば、インターネット利用者から名前解決できようになる

②AzureプライベートDNS

・Azure VNET（仮想ネットワーク）内で名前解決を行う内部向けDNS（DNSゾーンと1つ以上のVNetをリンク（関連付け）させる必要がある）

※Azure内のリソースの名前解決を提供するサービスの（VNetにデフォルトでリンクされている”168.63.129.16″を利用するため）のため、オンプレミスの環境から直接参照することはできない

・高い可用性/応答性と、Azureのセキュリティレベルに準じた高い安全性を持つDNS

・独自のカスタムドメイン名を使用できるため、企業や組織のニーズに合わせて仮想ネットワークを構成する場合に最適

・「自動登録」という機能があり、これを使うと手動でAzure VMのレコードセットを作成する必要がなくなります。この設定を有効にしたDNSゾーンにVNetをリンクさせると、そのVNetに接続するVMごとに自動でDNSレコード（AレコードとPTRレコード）が作成される。※1つのプライベートDNSゾーンに登録仮想ネットワークとして構成できるのは1つだけ

※プライベートDNSとは、インターネットではなく、独自のネットワーク内で名前解決を行うためのDNS

<使用に際しての手順概要>

1.プライベートDNSゾーンの作成

2.VNetにリンク（仮想ネットワークリンク作成） ※必要に応じて自動登録を設定

3.レコードセットの作成

●Azure DNSとAzure DNSゾーンの違い（簡単なイメージ）

• Azure DNS = サービス全体（DNSをホスティングする仕組み）※IPアドレス：168.63.129.16
• Azure DNS ゾーン = 各ドメインの設定を管理する単位（”example.com” や “mywebsite.net” のゾーン）

つまり、Azure DNSの中で、各ドメインごとにAzure DNS ゾーンを作成して管理する、という関係。

●用語

• 権威サーバ

あるゾーンの情報を保持し、他のサーバに問い合わせることなく応答を返すことができるサーバのこと。 権威サーバー（権威DNSサーバ）は、自身が管理するゾーン及び委任情報（委任先の権威サーバーに関する情報）を保持し、問い合わせに対して自身が管理している情報のみを答えます

• DNSフォワーダー

DNSクエリを他のDNSサーバに転送する機能を持つDNSサーバです。クライアントからのDNSクエリを受信し、自身で名前解決できない場合に、あらかじめ設定されている別のDNSサーバにクエリを転送します。

• DNSリゾルバ

リゾルバ（resolver）とは、ドメイン名を元にIPアドレスの情報を検索したり、IPアドレスからドメイン名の情報を検索する、名前の解決（name resolution）を行うソフトウェア・プログラム

• Azure DNS Private Resolver

これまで必要だったAzure上にフォワーダーとして機能するDNSサーバを構成する必要がなく、オンプレミスからAzureプライベートDNSへ名前解決要求を転送できる機能。

※とてもわかりやすかったので紹介

Azure DNS Private Resolver とは？

●Azure Filesの作成

ストレージアカウントを作成し、その配下にAzure Filesのリソースを作成します。

1.ストレージアカウントを作成します。

Azureポータルより「ストレージアカウント」と検索し「ストレージアカウント」を押下します。

2.「ストレージアカウント」の画面で「作成」を押下します。

3.「ストレージアカウントを作成する」の画面でサブスクリプション、リソースグループ、ストレージアカウント名、リージョンなど入力をします。

①リージョンにある「Azure拡張ゾーンへのデプロイ」について

クリックすると以下の画面が表示される。Microsoftグローバルネットワークの一部で、物理的に近いところにサービスを置くことで待機時間（スループット）を短くする機能っぽい。

②プライマリサービスについて

ストレージアカウントの種類を選択できる。今回はAzure Filesを選択します。

③パフォーマンスについて

Azureコンソール上の説明の通り。

④冗長性について

ストレージアカウントは想定外の事象（障害等）に備え、データの複数のコピーを常に保存します。冗長性の種類を選択します。

・ローカル冗長ストレージ（LRS）：

プライマリリージョンの単一のデータ センター内で 3 回レプリケートされます。

・geo冗長ストレージ（GRS）：

LRSを使用して、プライマリリージョンの1つの物理的な場所内で、データを同期的に3 回コピーします。その後、プライマリリージョンから何百キロも離れたセカンダリ リージョン内の 1 つの物理的な場所にデータが非同期にレプリケートされます。

・ゾーン冗長ストレージ（ZRS）：

プライマリリージョンの3つのAzure可用性ゾーン間でストレージ アカウントを同期的にレプリケートします。各可用性ゾーンは、独立した電源、冷却装置、ネットワークを備えた独立した物理的な場所です。

・geoゾーン冗長ストレージ（GZRS）：

プライマリリージョン内の3つのAzure可用性ゾーンにコピーされます。さらに、リージョンの災害から保護するためにセカンダリ地理的リージョンにもレプリケートされます。

※参考URL：

https://learn.microsoft.com/ja-jp/azure/storage/common/storage-redundancy

※「リージョンが利用できなくなった場合に、データへの読み取りアクセスを行えるようにします。」はチェックを付けないと、別リージョンのデータ読み取りができなくなるため注意が必要（GRSとGZRSが該当）

すべての入力が完了したら、「次へ」を押下します。

4.詳細、ネットワーク、データ保護、暗号化、タグを入力したら「作成」を押下します。

※詳細タブはアクセス層（ホット/クール/コールド）周りが重要

※ネットワークタブはストレージアカウントにアクセスできるネットワークの制御ができます

※データ保護タブは偶発的に削除してしまったデータの保持期間（日数）を設定できます

※暗号化タブは暗号化の種類（Microsoftマネージドキー：Microsoftが管理、カスタマーマネージドキー：自身で管理）を選択できます

★↑中身の詳細は気が向いたら記載します

5.デプロイが完了したら、「データストレージ」-「ファイル共有」を押下します。

6.「ファイル共有」を押下します。

7.ファイル共有の名前やアクセス層を入力し、「次へ」を押下します。

※アクセス層

8.バックアップの有効化/無効化。有効とする場合にはRecovery Servicesコンテナーの指定やバックアップポリシーを選択します。

9.Azure Filesのファイル共有が作成されました。

●Azure Filesのマウント

作成したAzure Filesのファイル共有にWindowsコンピュータでマウントしアクセスします。

1.事前準備として、ファイル共有にテストファイルをアップロードします。

※この手順は省略します

2.ファイル共有より「接続」を押下します。

3.接続画面が開くので、Windowsタブ内にある「Show Script」を押下し、接続スクリプトを表示させてコピーします。

4.ファイル共有をマウントしたいコンピュータでPowerShellを起動（管理者権限）し、コピーしたスクリプトを実行します。

5.ファイル共有がマウントされていること、またファイル共有内のファイルにアクセスできることを確認します。

●Azure Filesとは？

「ファイル共有」できるストレージサービス。Windows、Linux、macOSなどのコンピュータからAzure Files上の共有フォルダーにマウントしてアクセスすることができる。

●Azure Filesの特徴

①保存データは最低でも3重化されている

②遠隔地との自動複製を含む冗長化・多重化

③従量課金

●Azure File Sync

Azure Filesの拡張機能。オンプレミス上のファイルサーバとAzure Filesを同期させることでファイル共有を効率化するサービス。この機能を使うと、複数拠点にあるファイルサーバの共有フォルダーをAzure FIlesと同期させることで、どの拠点からも同じ最新のファイルにアクセスできるようになる。

★Azure File Syncも気が向いたら触ってみます

①クラウド階層化

オンプレミス上のファイルサーバで増設が難しい場合、ファイル実体をAzure Filesに置き、オンプレ側はポインタのみの構成にできる。

②マルチサイトアクセス

複数の拠点にあるファイルサーバとAzure Filesを同期することで、複数の場所から使用可能とできる。

③DR

オンプレミス上のファイルサーバで障害が発生した場合、Azure Filesから復元できる。

④データのバックアップ

Azure Files上のデータをAzure Backupを使ってバックアップすることができる。結果、オンプレミス上のファイルサーバに負担をかけずにバックアップの取得が可能。

●関連用語

・NFS（ネットワークファイルシステム）

ネットワーク上で効率的にファイルを共有するためのファイルアクセスストレージプロトコル

・SMB（サーバメッセージブロック）

ネットワーク上で効率的にファイルを共有するためのファイルアクセスストレージプロトコル

※NFSとSMBの違いについてChatGPTに聞いてみました

・Azure NetApp Files

大規模で高性能が求められるシステム向けのPaaS型ファイルストレージサービス