Azure

欲しかったものが一発で手に入ったのでうれしくてポスト。 Get-AzureRoleSizeで、仮想マシンのサイズ一覧が手にはいります。 PS C:> Get-AzureRoleSize InstanceSize : A10RoleSizeLabel : A10 (8 cores, 57344 MB)Cores : 8MemoryInMb : 57344SupportedByWebWorkerRoles : TrueSupportedByVirtualMachines : TrueMaxDataDiskCount : 16WebWorkerResourceDiskSizeInMb : 1861268VirtualMachineResourceDiskSizeInMb : 391828OperationDescription : Get-AzureRoleSizeOperationId : 5919eb4d-96de-60d2-9149-caea24fef5caOperationStatus : Succeeded InstanceSize : A11RoleSizeLabel : A11 (16 cores, 114688 MB)Cores : 16MemoryInMb : 114688SupportedByWebWorkerRoles : TrueSupportedByVirtualMachines : TrueMaxDataDiskCount : 16WebWorkerResourceDiskSizeInMb : 1861268VirtualMachineResourceDiskSizeInMb : 391828OperationDescription : Get-AzureRoleSizeOperationId : 5919eb4d-96de-60d2-9149-caea24fef5caOperationStatus : Succeeded InstanceSize : A5RoleSizeLabel : A5 (2 cores, 14336 MB)Cores : 2MemoryInMb : 14336SupportedByWebWorkerRoles : TrueSupportedByVirtualMachines : TrueMaxDataDiskCount : 4WebWorkerResourceDiskSizeInMb : 501760VirtualMachineResourceDiskSizeInMb : 138240OperationDescription : Get-AzureRoleSizeOperationId : 5919eb4d-96de-60d2-9149-caea24fef5caOperationStatus : Succeeded ...

一つ前の投稿でAzureサブスクリプションとAzure Active Directory(以下AAD)まわりで苦労した話を書いたばかりですが、やはりこのあたりで苦労している人は多いらしく、質問がきましたのでせっかくなのでブログで回答してみたいと思います。スクリーンショットもペタペタしながらですね。 Q1. 組織アカウントでサブスクリプションの共同管理者としてポータルを操作する方法 →サービス管理者の権限でどうやったら設定できるのか教えてください 質問はサービス管理者はマイクロソフトアカウントで現状使っているのだけれども、それを組織アカウントに権限を付与し、そのアカウントでAzureポータルを操作したい…ということだと理解しました。 この場合にはユーザーを作成してそこに権限を出してあげればよいです。操作手順…を見る前に1つだけ注意です。Azureサブスクリプションの共同管理者として追加できるのはAzureサブスクリプションの規定のディレクトリのユーザーのみです。ですので、まず最初におこなうことは「どのディレクトリの組織アカウントを共同管理者にすべきなのか」です。特にO365を利用しており、「組織アカウント」が暗黙的にこのO365が参照しているAADディレクトリである場合には、それを規定のディレクトリにまずする必要があります。 質問から早速脱線してしまいますが、先に、現在Azureコンソール上に表示されていないAADディレクトリに接続する方法を紹介しておきます。 まず、サービス管理者でAzureポータルにアクセスします。まだ現在ではクラシックポータルでの操作となります。 まず、Active Directoryを選択します。私の環境ではすでに複数作成および接続済みですが通常ははじめは「規定のディレクトリ」のみが表示されていると思います。 新規からカスタム作成をします。 既存のディレクトリに接続したくても、ここで選択するのは「カスタム作成」です。エントリの作成くらいの意味なんでしょうね。きっと。 ここで、「既存のディレクトリの使用」を選択します。これによって、すでに存在しているディレクトリに接続するわけですね。 このあとの操作ははじめは戸惑うところだとおもいますが、いちどサインアウトして、「ディレクトリの全体管理者として」サインインします。 ここ、ポイントです。 今、AzureポータルにはAzureサブスクリプションの管理者としてアクセスしています。そして次は、Azure Active Directoryディレクトリの全体管理者としてサインインするのです。 つまり、 「Azureサブスクリプションの管理者」と「Azure Active Directoryの管理者」は全くの別物 であり Azure Active Directory内に「Azureサブスクリプションの管理者」に対しての権限を追加し、参照可能とする 操作をこれからしようという画面なわけです。 あとは、単純にウィザード通り進めればよいので省略します…すいません。入るアカウントを間違えないように！ …というわけで、目的のAADディレクトリが接続できたら、次はそのAADディレクトリをAzureサブスクリプションの規定のAADディレクトリとして設定します。 「設定」の項目で「ディレクトリの編集」をクリックします。 ここで、変更可能なディレクトリ一覧(管理ポータル上で接続しているもの)がでてきますので、目的のものを選択してあとは進めていけばOKです。 さて、これでAzureサブスクリプションには目的のAADディレクトリが紐付いているはずですので、そこにユーザーを作成し、それを共同管理者にしていきます。 (ここからが質問への回答) 目的のAADディレクトリを選択します。 ユーザーの追加をクリックします。 組織内の新しいユーザーを作成します。(これが組織アカウントです。) ここに「ロール」がありますが、ここも注意！これはAADディレクトリに対してのロールであり、Azureサブスクリプションのことは何も言っていません。両者は別物です！ あとは一時パスワードの生成等進めていくだけです。 これでソースが「Microsoft Azure Active Directory」のユーザーができました。これが組織アカウントです。 このアカウントをこのAzureサブスクリプションの共同管理者に追加していきましょう！ 「設定」にて「管理者」を選択し、「追加」を行います。 これでnewadmin@windowsadmin.onmicrosoft.comが共同管理者となりました。 サインアウトし、このアカウントで入り直してみます。 はい。これで組織アカウントで共同管理者としてAzureポータルにアクセスできました。 右上のアイコンがきちんと組織アカウントのものになっています。 ...

前回のエントリに引き続き、AzureサブスクリプションとAAD周りの質問への回答です。 Q. 共同管理者権限のMSアカウントをAADの既定ディレクトリと紐付ける方法 → サブスクリプションに紐付いた既定のディレクトリを共同管理者にも操作させたいんですが、どうやったらいいのか教えてください これは、前回の内容が理解できればもう答えが出ている内容ですね。(エントリわけなくてよかったですな・・・） AzureサブスクリプションとAADディレクトリの権限はべつなので、該当のMSアカウントをAADの管理者にしつつ、コンソール上でAADに接続してしまえばよいです。 これはまさに前回のエントリで既存のディレクトリへの接続を行った操作を行えばよいです。 AADはAzureサブスクリプションとは完全に独立して別途存在しているものなので、両者をべつものとして考え、見る、操作させるためには権限が必要と考え…としていくと理解は容易かなと思います。このあたりADのころの信頼関係を結ぶあたりと似てますね。複雑で混乱しやすいあたりも…。

Azureにはサブスクリプションという管理単位が存在します。サブスクリプション単位で管理者を設定したり、課金管理をしたりする事ができます。新しいポータルになってAzure Resource Managerが全面的に採用となりリソースグループ単位でのアクセス制御や課金管理が行えるようになりましたが、それまではサブスクリプション単位での管理が主体でしたので「自分が自由に使って良いサブスクリプション」が用意されていて、その中でのみ利用できる…という状況の人も多いと思います。 私もこの状況でして、その状況でVisual Studio Team Servicesを無償枠の5人を超えたチームで使い出そうとして色々と無駄にはまってしまったのでその記録を残しておきます。 やりたかったのですが断念したのは以下の事です - VSTSにO365で利用しているAADを紐付ける 現在自分のチームに割りあてられているAzureサブスクリプションにVSTSの無償枠を超えた分を課金する もちろんこれは適切に設計されていれば当たり前にできる事ですし、頑張れば今回の私の状況でも実現できたはずです。ですが、色々とやりづらくなってしまったのはAzureサブスクリプションに紐付いている「規定のディレクトリ」が異なっていた事が原因でした。 「規定のディレクトリ」という概念は結構難しいので、少し説明しておきます。 - ディレクトリの実態はAzure Active Directoryのディレクトリです。(ディレクトリのディレクトリ……) Azureサブスクリプションは作成されるときに同時にそれに紐ずくAADディレクトリが生成されます(以前、生成されなかった時期もあったそうです) 1つのAzureサブスクリプションに紐ずくAADディレクトリは1つのみです AzureサブスクリプションとAADディレクトリの関係は1対1の固定的なものではなく後から変更する事ができます AADディレクトリはそれ単体で(事実上)いくつでも無償で作成する事ができ O365の契約をするとO365で利用するその組織専用のAADディレクトリが生成され、O365で利用されます 複数のAzureサブスクリプションの規定のディレクトリを単一のAADディレクトリに設定する事ができます Azureサブスクリプションを削除しても、それに紐付いていたAADディレクトリは削除されません Azureポータルから、AADディレクトリを作成するときには「新規に作成する」のか「既存のものを接続」するのかを選択できます このようにAzureサブスクリプションとAADディレクトリはそれぞれ独立して存在しつつ、くっつけたり、切り離したりする事ができます。 そもそもなぜAzureサブスクリプションにAADディレクトリを紐付ける必要があるのか？というのは正直なところ私にもよくわかりません。ごめんなさい。より正確に言うと「紐付ける必要がある現状の設計は悪い設計なんじゃないの？」と思います。今回はまったのもこのあたりが関係しています。 AzureサブスクリプションとAADディレクトリを紐付けないとできない事を知っている範囲で書いてみます。 - Azureサブスクリプションの管理者は規定のディレクトリのアカウントか、Microsoftアカウントでなければいけない(規定でない別のAADディレクトリのアカウントは管理者に指定できない) Azure Powershellで利用するアカウントはAADのユーザーでないといけない(Microsoft アカウントではだめ) Azure Automationで保存して使用するクレデンシャル(アカウント)はAzureサブスクリプションの規定のディレクトリのアカウントでないといけない(Microsoftアカウントではだめ) おそらく他にも色々とあると思いますが、私が知っているのはこれだけです。 さて、やっとVSTSの話になります。VSTSに限らない話なのですが、Azureポータル上で操作をしている時に何か既存の他のサービスとひも付けたりするときに「現在のアカウント」でアクセスできるものが自動的に表示され、それ以外が選択できないGUIがほとんどです。別のアカウントを入力できるケースのほうがレアですね。ですので、具体例としてVSTSの場合には以下の条件を満たさないと意図する結果にできません。 - 自分が使えるサブスクリプションの規定のディレクトリが、VSTS上で参照したいディレクトリと一致している - そのディレクトリ上に組織アカウントがあり、その組織アカウントがサブスクリプションの管理者である あるAzureサブスクリプションの共同管理者として規定ではないAADディレクトリのユーザーが指定さえできればこのあたり何も問題ないんですけどね。これができないので混乱、苦労します。 そして、Microsoftアカウントはとりあえずどこにでもなんにでも権限つけられちゃうのでそちらのほうが楽に使えちゃうんですよね。でも、他要素認証とか色々企業でコントロールするには組織アカウントを事実上つかわないと色々とやりづらくなってしまうわけで…。このあたりもう少しアーキテクチャ的に改善されて欲しいところです。

Microsoft Azure Fundamentals - Microsoft Virtual Academy 上記のMVAのコンテンツがAzureの管理周りの理解によい感じです。以下のあたりしっかりはっきり理解している人って少ないのではないでしょうか。 複数のサブスクリプションの使い分け - サブスクリプションとAADディレクトリの関係 - サービスの管理者と、ディレクトリの管理者の関係(両者は別物である) 前編英語ではありますが…、いろいろと悩む前にまとまったコンテンツで概念を理解してしまうのが手っ取り早いですね。 願わくばこのあたりがまとまった日本語コンテンツも欲しいところですが…。自分でやるべきか…。

- [Download System Center Management Pack for Microsoft Azure (Technical Preview) from Official Microsoft Download Center](http://www.microsoft.com/en-us/download/details.aspx?id=50013) 待望の新しいAzure管理パックが出てきています。この管理パックの特徴はなんといっても… - AzureのREST APIをキックする方式 - Azure Resource Managerによって標準的な手法で公開されるパフォーマンスデータを取得する - 新しいARM対応サービスに**自動対応**する 「自動対応」がとても嬉しいですね。全部ARMにきちんと寄せていってもらえると思ってますので、Azureの監視は何でもかんでもこれだけでOKになる…はず！

Azure Resource ManagerをいまからやっておけばAzure Stack対応もバッチリ！…ということでAzure Resource Mangerのお勉強を始めています。さらにはInfrastructure as Codeの実現に向けてDesire State Configurationのお勉強も。外側はARMで、VMの中はDCSで…という感じですね。 まず手始めに何から手をつけると良いかな…と探した所、以下のブログが非常にいい感じだったのでここから手をつけてみました。 - [18 Steps for End-to-End IaaS Provisioning in the Cloud with Azure Resource Manager (ARM), PowerShell and Desired State Configuration (DSC) - KeithMayer.com - Site Home - TechNet Blogs](http://blogs.technet.com/b/keithmayer/archive/2015/07/07/18-steps-for-end-to-end-iaas-provisioning-in-the-cloud-with-azure-resource-manager-arm-powershell-and-desired-state-configuration-dsc.aspx) コードで紹介されているので、基本的にそれをコピペすれば動くのですが、せっかくなので全部写経しつつコメント出力を追加したり、いちいち色んな物を選択したり、手動でクレデンシャルを入力したりするのが面倒なのでそこも自動化したり…と、改造しながら楽しんでみました。まだ、DSCでIISを構成するところまで行ってないのですが以下の動作を行わせる所までは全部理解して書いて正常動作を確認するところまでできました。 - クレデンシャル生成 - Azureアカウント追加 - ARMプロバイダ登録 - サブスクリプション選択 - リソースグループ作成 - ストレージアカウント作成 - 仮想ネットワーク作成 - VIPリソース作成 - ロードバランサ作成 - ネットワークセキュリティグループ作成 - NIC作成 - 可用性セット作成 - VM作成 https://gist.github.com/ebibibi/9a0a6830b54f0d3a7400 ...

最近はAzure上で検証を行うことも多くなってきました。凄く便利なのですが、その代わりに課金のことを随分と気にしなくてはいけなくなります。これが結構ストレスなんですよね…。 そこで、とりあえず、特定サブスクリプション内の仮想マシンを毎日定時に強制シャットダウンしてしまうスクリプトをAzure Automationで定期実行することにしました。これでシャットダウンし忘れでもある程度安心ですね。 取り立てて難しいところは何もないですが、検索するとさくっとその目的に使えるものが以下にあったのでそれを流用させてもらうことになりました。 - [Q and A - TechNet Stop Azure Virtual Machine using Azure Automation Runbook](https://gallery.technet.microsoft.com/Stop-Azure-Virtual-Machine-0b1fea97/view/Discussions#content) https://gist.github.com/ebibibi/b6b0c1ce51f42e9548a6 あとは、Azure Automation上への登録とスケジュール設定ですね。 とりあえずこれで、毎日深夜3時に全てのVMが停止されるようになりました。本当は例外処理を入れられるようにしたりなど必要ですが…。まずはこれで良いことにします。 2015/07/17追記 ごめんなさい。もともと公開していたコードだとジョブは成功するものの、正常にVMが停止しないことがわかりました。コードは修正してあります。具体的にはシンプルに以下のように全VMを取得～停止させてしまうロジックにしました。これで正常に停止されることを確認しました。 Get-AzureVM | Stop-AzureVM -Force

Microsoft Virtual Academy(MVA)では無償で良質のコンテンツが多数提供されています。 今回はその中でも特にお勧めのコンテンツを紹介します。 ID管理 まずID関連で超お勧めなのは安納さんの「クラウド時代のActive Directory次の一手シリーズ」です。 - [クラウド時代の Active Directory 次の一手シリーズ ~ 第 1 回 Active Directory の位置づけ](http://bit.ly/1QjvAQu) - [クラウド時代の Active Directory 次の一手シリーズ ~ 第 2 回 Active Directory ドメイン サービスの新しい役割](http://bit.ly/1GPP3rl) - [クラウド時代の Active Direcrory 次の一手シリーズ ~ 第 3 回 Active Directory フェデレーション サービスの役割 解説編](http://bit.ly/1AHn4ZT) - [クラウド時代の Active Direcrory 次の一手シリーズ ~ 第 4 回 Active Directory フェデレーション サービスの役割 構築編](http://bit.ly/1M2dstR) - [クラウド時代の Active Directory 次の一手シリーズ ~ 第 5 回 認証のためのプロキシ Web Application Proxy](http://bit.ly/1FnQusO) - [クラウド時代の Active Directory 次の一手シリーズ ~ 第 6 回 Microsoft Azure Active Directory とは](http://bit.ly/1LVTTmv) 社内でActive Directoryで管理させていたWindows PCをつかってWindows統合認証をしていれば幸せになれる時代はとっくに終ってしまって、これからのクラウド時代で様々なSaaSを効果的に利用しながらID管理もシンプルに保ちつつ、セキュリティも担保していかなくてはいけないのが現在の状況です。ID管理はやっぱり肝です。これらのコンテンツで大きな流れを理解することが出来ます。「フェデレーションってよく聞くけどなんだか難しそう…」という人におすすめです。 ...

Build, IgniteとMicrosoftの大きなイベントが立て続けにあり、新発表がわんさかありましたね。いや、面白いですね。 色々とHotな話があるのですが、個人的に一番衝撃的だったのは「Microsoft Azure Stack」です。オンプレミスでも、ホスティングサービスプロバイダーでも、Azureでも一貫性をもった「Cloud OS」を提供していく…というのはWindows Server 2012のころからのMicrosoftのビジョンですが、いよいよ本格的に具現化していくのだなという印象です。 まず、気になるのは「Windows Azure Packはどうなるの?」という事ですが、冒頭の図によく表されていますね。これはIgniteのセッションの1つであるWindows Azure Pack Roadmap | Microsoft Ignite 2015 | Channel 9のスライドからの引用です。 Microsoft Azure StackはWindows Azure Packとは別物であり、Microsoft Azure Stackが出た後もWindows Azure PackはURによって機能追加が継続される。 ということが読み取れると思います。ただ、あちこちのセッションの動画を見て回ったり、Q&Aでのやりとりを聞いたり…と繰り返しているとちょっと違う印象にもなるところですが。現時点での私の理解は以下です。私の英語力の問題により、誤解や誤りが入っている可能性はあります。また、リリースは随分先になるはずなので、これから変更になる可能性も大いにあると思います。 Microsoft Azure Stackは基本的に今のWindows Server, System Center, Windows Azure Packとは別製品。基盤のOSから一番上のUIまで含んだ単独の製品となる。 - Windows Server 2016の上にMicrosoft Azure Stackをインストールする…というようなことは出来ない。 - Azure Resource Managerという管理層を新たに設け、それによってAzureとAzure Stackとに互換性を持たせる。 - 基本的に「接続先を変更する」という操作だけで切り替えられ、その先がAzureなのかAzure Stackなのかは気にしなくて良くなる。 - リソースはjsonファイルで記述可能であり、デプロイにどどまらず変更も可能。 - Azure上には多数のサービスがあるので、そのうちどのサービスがAzure Stackに乗るのかはビジネス上判断となりこれから決定される。(エラスティックであることが有利なサービスはAzure Stackにはこなかったりするのでしょうね、きっと) - Azure Stackを今すぐ触りたかったら、Azureを触れば良い。Azure StackのPoCはAzureでできる。 個人的には、MicrosoftがAzureで本当に使っているハード(相対的に相当安いはず)まで含めて全部ラックにおさめる形で提供しだしたりすると大変なことになるよなぁと思います。さすがにそこまでは無いかもしれませんが、CPSの例もありますし、似たようなことはDELLさんあたりと組んで行われそうな気もします。 個人的には、Azureも学んでおかないとまずいよなぁと思いながら時間が取れなくて中々…という感じでしたが、もうAzureだのオンプレミスだのを区別する必要もないような世界がもうすぐそこですね。

金曜日の帰りの電車で座席に座れたので、Surfaceを取り出してこのブログを書いています。最近ブログ記事を全然書けていないので書きたいことがたくさんたまっております…。 さて、今回の話題はAzure Active Directory(AAD)です。オンプレミスのActive Directoryは知っていてもAzure上のActive Directoryの事を概念的に理解出来ている人はまだまだ少ないのが現状ではと思います。私が理解しているところをいくつか書いておこうと思います。一部正確ではない表現をあえて書いている部分がありますし、私の理解がそもそも間違っている部分があるかもしれません。ですが、まずはこういう理解から入ると良いだろうと思っています。 - オンプレミスのActive Directory Domain Service(ADDS)と似た名前がついてますし、機能的に同じ部分も一部ありますが、当初の理解のためには「名前は似てるけど現状は完全な別物」という捉え方をするのがよいだろうと思います。(将来的には同じような形に収束するのかもしれません。むしろクラウド上のみで完結する形になるのかもしれません。どういう方向に行くか、ワクワクしながらウオッチする感じです。) - AADはクラウド上にあって、インターネットに公開されていて、インターネット上での外のサービスとの連携を主眼に機能が用意されています。 - AADにはユーザーやグループ等が登録できます。 - O365のユーザー情報はAADに格納されています。例えばExchange OnlineはディレクトリとしてO365のテナント用に用意されたAADを利用しています。 - AADはAzure上のサービスとして存在しているので、いくつでもテナントを作成することができます。 - Microsoftアカウントはマイクロソフトが用意してくれていて全世界に公開されている1つのAADテナントです。 - AADのテナントは開かれているので、AADの1つのテナントに別のAADのテナントのユーザーを登録して権限を付与する…というようなことも可能です。 - AADとオンプレミスのADDSは「ディレクトリ同期ツール」にて同期することが可能です。 同期は基本的にADDSからAADの方向のみです。 - パスワードに関してはAADからADDS方向の同期も実装されてきました。今後も増えていくのかもしれません。 - AADの管理は複数の場所から行えるのですが、一番充実した管理が行えるのはAzureの管理ポータル画面からです。 - O365のAADも1つのAADなので、Azureの管理ポータル画面からO365で利用しているAADを「追加」して管理することができます。 - AADに機能を追加したAzure AD Premiumというサービスがあります。これはAzureの管理ポータルから管理します。O365の管理ポータルからは管理できません。 超簡単なまとめとしてはオンプレミスのID管理はAD DS。クラウドのID管理はAAD。間のID同期はディレクトリ同期ツール。というあたりで良いのかなと思います。 ADFSは?という声が聞こえてきそうですが、一旦ADFSを絡めずに理解するのが良いのではと思います。 ADDSの理解。AADの理解。ADFSの理解。これらを単体で理解した上で、この3つをつなげた時に行える世界の広がりを理解すると感動的だと思います。 もっとちゃんと時間をとって書きたいですね…。

先日、The Microsoft Conference 2014で登壇させていただきました。 その際に使用したプレゼンテーション資料はSlideShareで共有しておきました。Azure Site Recovery自体が素晴らしいものなのでその紹介を中心に、周辺のことをいろいろとしゃべらせていただきました。去年の2013でも登壇させてもらいましたが、その時は3人で10分ずつという配分でしたが、今回は一人で45分。150名程度参加いただいたでしょうか。無事に終わってよかったです。 外でしゃべることは1年前のMicrosoft Conferenceが初めてでした。それから1年、何度も機会をいただき、慣れてきたところもありますが、いまいち「響いている」感じがしていなかったのが正直な所です。The Microsoft Conference 2014の1日目はただの参加者として参加していましたが、その中でも技術的な部分はさておき「面白い」感が足りないと感じました(みなさんすいません)。 そこで、今回はセッションとミニセッション、両方であえてピエロ的に「面白い」要素を盛り込んでみました。単にネタを仕込むというだけではなく、言葉の抑揚だったり、テンポだったりそのあたりもちょっと意識しながら。初めての試みなのでうまくいったかどうだかわかりませんが、私から見る限り「寝ている人」がいなかったのはよかったです。それでも、終わった後にその場で、またその後ブースで「面白かったですよ。」と数名の方からお声掛けいただきました。今後もこの方向性は継続してトライしていきたいと思います。 また、今回のイベントでは、お声がけいただいて、本も読んだし、ブログも読んでくださっているという方がいて、とても嬉しかったです。ブログで記事を書くのはともかく、カンファレンスで喋ったりなどというのはかなり準備含めて消耗するものなのですが継続していきたいなと思います。

Azure Site RecoveryとAzure Backupが日本リージョン(東日本、西日本)で利用可能になっています。どちらも大量のデータを複製、同期するサービスですので、日本リージョンで利用可能になるのは大変嬉しいですね。 - [Azure Site Recovery Available In Japan East and West](http://azure.microsoft.com/en-us/updates/azure-site-recovery-available-in-japan-east-and-west/) - [Azure Backup Available In Japan East and West](http://azure.microsoft.com/en-us/updates/azure-backup-available-in-japan-east-and-west/)

以前ブログ記事でも紹介しましたが、現在Azure Site Recoveryの検証を進めています。 - [Azure Site RecoveryでAzureをDR先に構成可能に | System Center Blog](https://systemcenter.ebisuda.net/2014/06/06/azure-site-recovery%e3%81%a7azure%e3%82%92dr%e5%85%88%e3%81%ab%e6%a7%8b%e6%88%90%e5%8f%af%e8%83%bd%e3%81%ab/) 実際に検証を進める中で、仮想マシンの保護を有効にするまでにいくつかハマったポイントがありましたので共有します。 参考情報 Azure Site Recoveryって何?という方のためにリンクもいくつか貼っておきます。 まずはこちら。概要が良くわかります。 - [Implementing Enterprise-Scale Disaster Recovery with Hyper-V Recovery Manager, Network Virtualization, and Microsoft System Center 2012 R2 | TechEd North America 2014 | Channel 9](http://channel9.msdn.com/Events/TechEd/NorthAmerica/2014/DCIM-B322#fbid=) 以下のブログもASRの概要の理解に役立ちました。 - [Microsoft Azure Site Recovery Preview | Thomas Maurer](http://www.thomasmaurer.ch/2014/06/microsoft-azure-site-recovery-preview/) 具体的な計画や構築ステップに関しては以下のサイトがまとまっています。 - Recovery Manager | Microsoft Azure Technical Documentation Library [http://msdn.microsoft.com/en-us/library/azure/dn440569.aspx](http://msdn.microsoft.com/en-us/library/azure/dn440569.aspx) 保護対象とする仮想マシンには結構制限があります。ここには注意が必要です。 - Prerequisites and support [http://msdn.microsoft.com/en-us/library/azure/dn469078.aspx](http://msdn.microsoft.com/en-us/library/azure/dn469078.aspx) OSはWindows Server 2008以降, CentOS, openSUSE, SUSE, Ubuntu - 64bitOSのみ - OSのディスクサイズは20MB～127GBで1ディスクのみ - データディスクは20MB～1023GB - ネットワークアダプタは1つ、IPアドレスも1つのみ。複数NICがある場合には1つだけ選択することになる。 - 静的IPアドレスはサポートされない。フェールオーバー後にDHCP構成となる。 - iSCSIディスクはサポート対象外。 - 共有VHDディスクはサポート対象外。 - FCディスクはサポート対象外。 - クラスターティスクはサポートされる。 - ディスクフォーマットはVHD, VHDXの両方がサポートされる。 - 第1世代の仮想マシンのみサポートされる。 ハマったポイント1 : 証明書の有効期限 ハマったポイントの1番目は証明書の有効期限です。証明書をアップロードすると、以下のように有効ではないと怒られてしまいました。 ...

先日SCACにAzureサブスクリプションを追加しようとした所、「Service Unavailable」と表示されてしまいました。気がつけば既存の接続に関しても「Service Unavailable」になってしまっています。 もしかしてAzureのアップデートに合わせてSCAC側もアップデートをしないと接続できなくなってしまうのか!?…とちょっと思ってしまいましたが、調べてみたところこの現象は「App Controller Windows Azureプロバイダー」サービスが停止してしまっている場合に発生するとの事でした。 - [Microsoft System Center Suite: Adding an Azure subscription to App Controller - Service Unavailable](http://www.systemcenter.ninja/2013/07/adding-azure-subscription-to-app.html) 確かに、確認してみるとサービスが落ちてしまっていました。 このサービスを起動した所正常に動作するようになりました。 よく考えて見ればサービス仕様が変わったからといって、APIの下位互換性を簡単に切り捨てるわけが無いですね。Microsoftさん疑ってすいませんでした…。

Azure Site Recoveryの情報はみなさんもうチェックされましたでしょうか?かなり前からSystem Centerに注目してやってきておりますがここにきてやっと「System Centerを使ってAzureを連携させることでハイブリッドクラウドの良さが活かせる」機能が発表されましたね。前からずっと「なんでできないんだろう、できたらいいのにな」と思ってましたので「やっと」という表現にさせてもらいます。それだけ待望でしたよ、ということで。 Twitterではリンク紹介してましたが、改めて。 - [Implementing Enterprise-Scale Disaster Recovery with Hyper-V Recovery Manager, Network Virtualization, and Microsoft System Center 2012 R2 | TechEd North America 2014 | Channel 9](http://blogs.technet.com/b/askpfeplat/archive/2014/05/13/how-to-clean-up-the-winsxs-directory-and-free-up-disk-space-on-windows-server-2008-r2-with-new-update.aspx) こちらにPowerPointのスライドも公開されています。 - http://video.ch9.ms/sessions/teched/na/2014/DCIM-B322.pptx ざっと内容を抜粋すると以下のような感じです。私の勝手な解釈も含まれてますので正確じゃないと思います。注意してください。 - 今までのHyper-V Recovery ManagerはSCVMMで管理されたオンプレミスからオンプレミスへの複製(Hyper-V Replica利用)とAzureからの自動化だった。 - 複製対象としてAzureが利用できる。同時に名称が変更になり、Azure Site Recoveryとなる。 - 複製間隔は最短30秒。 - ほんの数クリックで実環境に影響を与えずに構成でき、災害から回復可能となる。 - フェールオーバーでき、フェールバックできる。 - 仮想マシンは当初、VHD(X)のみ複製および同期され、仮想マシンは作成されない状態となる。これにより、コストを抑えられる。 - テストフェールオーバー、あるいはフェールオーバーした段階で仮想マシンが作成され、複製されているストレージのコピーと紐付けられ、起動される。 - テストフェールオーバー時には独立したネットワークに仮想マシンを配置し、同一ネットワーク上にテストクライアントを配置することで完全に独立した環境でフェールオーバー後のテストを実施できる。 - ネットワークはオンプレミスの仮想ネットワークとAzure上の仮想ネットワークを「Map」することで連携可能となる。 - フェールオーバー時には同時にフェールオーバーすべきグループや、グループ毎の依存関係(順番)を指定できる上、追加のステップ(例えば手動でメールを送信するようなタスク)も構成できる。 - リカバリアクションは以下の4つ テストフェールオーバー 本番環境には無影響で仮想マシンをAzure上にリカバリする。 - 仮想マシンは独立した環境に立ちあげられる。 - 予定されたフェールオーバー(Planned Failover) 本番環境で仮想マシンを停止し、差分を送った上でAzure上に仮想マシンを立ち上げる(データロス無し) - 本番環境の操作無しの予定されていないフェールオーバー(Unplanned Failover without primary site operatoins) 本番環境に到達できない場合に仮想マシンをAzure上で立ち上げる。 - データロスがおそらく発生する。 - 本番環境の操作有りの予定されていないフェールオーバー(Unplanned failover with primary site operations) 本番環境の仮想マシンのシャットダウンと差分送信を試みる。 - その上でAzure上で仮想マシンを立ち上げる。 - フェールバックも非常に簡単な操作。 ダウンタイムを少なくすることを優先するか、リソース消費を抑えることを優先するか選択可能。 - フェールオーバー時にはそのレポートをExcel形式でダウンロード可能。 - 複製およびフェールオーバー先は地理的に近い場所を選択可能。 ...

スライド作成、資料作成の際にVisioのステンシルがあると助かります。 以下みつけたいい感じのステンシルへのリンクを紹介します。他にも見つけたら追加しますね。他にもいいものを知っている方がいたら教えて下さい。 - [TechNet System Center 2012 R2 - Virtual Machine Manager (SCVMM) Visio Stencils](http://gallery.technet.microsoft.com/System-Center-2012-R2-7a5f1fcd) - [TechNet System Center 2012 R2 - Data Protection Manager (DPM) Visio Stencils](http://gallery.technet.microsoft.com/System-Center-2012-R2-Data-ef61aa5d) - [TechNet System Center 2012 R2 - Operations Manager (SCOM) Infrastructure Visio Stencils](http://gallery.technet.microsoft.com/System-Center-2012-R2-44552676) - [TechNet System Center 2012 R2 - Operations Manager (SCOM) Application Visio Stencils](http://gallery.technet.microsoft.com/System-Center-2012-R2-0608df9a) - [TechNet System Center 2012 R2-Operations Manager (SCOM) Network Monitoring Visio Stencil](http://gallery.technet.microsoft.com/System-Center-2012-R2-a159ebae) - [TechNet System Center 2012 R2 - Operations Manager (SCOM) APM Visio Stencils](http://gallery.technet.microsoft.com/System-Center-2012-R2-57f8418e) - [TechNet Windows Server 2012 Visio stencil](http://gallery.technet.microsoft.com/Windows-Server-2012-Visio-bcac9141) - [TechNet SCCM 2012 Visio Stencils](http://gallery.technet.microsoft.com/SCCM-2012-Visio-Stencils-166257b0) - [TechNet Hyper-V,SCVMM-Vision Stencil](http://gallery.technet.microsoft.com/Hyper-VSCVMM-Vision-Stencil-3dc18770) - [TechNet Windows Azure Pack & Windows Azure Visio Stencil](http://gallery.technet.microsoft.com/Windows-Azure-Pack-Windows-813d13a8) - [スクリプト Active Directory Visio Stencils 2013 - Directory Services Visio Stencils](http://gallery.technet.microsoft.com/scriptcenter/Active-Directory-Visio-136ad959) - [Visio Stencil 2013 : SharePoint - Lync - Exchange – Windows](http://gallery.technet.microsoft.com/office/Visio-Stencil-2013-1d09cb4d) - [Office Custom Lync Stencil](http://gallery.technet.microsoft.com/office/Custom-Lync-Stencil-f17a902f)

矢継ぎ早に新サービスが登場し続けるのでついていくのも大変な今日このごろですね。ですので、概要把握を素早くできて、もっと深く情報を得る必要があるかどうかの判断ができるレベルの情報が非常に貴重になってきていると思います。そんな中、Hyper-V Recovery Managerの概要把握にピッタリの情報があったので紹介です。 - [#MVPBUZZ CloudOS Roadshow : Microsoft Hyper-V Recovery Manager in #WindowsAzure #Hyperv #SCVMM | mountainss SystemCenter Blog](http://mountainss.wordpress.com/2014/03/12/mvpbuzz-cloudos-roadshow-microsoft-hyper-v-recovery-manager-in-windowsazure-hyperv-scvmm/) SCVMMとHyper-V Recovery Managerとで通信してメタデータ(仮想マシン一覧や稼働状況等)を同期し、必要に応じてAzure側からのキックで切り替えが可能というわけですね。 DR環境を構築して、拠点全体が使用不能になるようなシナリオや拠点間の通信が断絶するようなシナリオまで含めて自動的にサービス継続しようとすると、どうしても2拠点では実装できず、独立した3拠点目が必要になってきます。この点でそこをAzureにかぎらずPublic Cloudでおさえるという方向性はありなんだろうなと思います。 本来であれば複製先をAzureに指定できて、シームレスにAzureに複製できちゃえばいいのですが…、そういう形になるまでにはVHDX形式対応含めてまだまだ課題があるのだと推測します。

Exchange Team BlogにてExchangeのDAGのWitnessのみをWindows Azure上に配置するという話題が有りました。結論は「まだサポートされない」ということで残念ですが、将来的にサポートされるようになりそうな感じですね。 - [Database Availability Groups and Windows Azure - Exchange Team Blog - Site Home - TechNet Blogs](http://blogs.technet.com/b/exchange/archive/2013/08/07/database-availability-groups-and-windows-azure.aspx) DAGにかぎらずですが、きちんとスプリットブレイン状態を防ぎ、稼働しているマシンで稼働させ続けるためにはどうしても3拠点が必要になります。本文中では以下のように書かれています。 You need two well-connected datacenters, in which Exchange is deployed You need a third location that is connected via the network to the other two datacenters The third location needs to be isolated from network failures that affect the other two datacenters 過半数が稼働し通信できていないといけないので、例えば2拠点でDAGを組もうと思っても、結局Witnessをどちらに置くか、という話になり、Witnessが配置された方の拠点がだめになればDAGとしては停止してしまうわけです。で3拠点目があればその問題は解決するのですが、ネットワーク的に完全に分離されていて、安定しているような拠点でできれば地理的にも離れている…というような都合の良い拠点をすぐに用意するのは難しいわけです。そこでAzure上に配置可能ならかなりメリットが出てくる…という話なのですが、まだ無理なようですね。 今後に期待したい所です。

先日、MicrosoftさんでWindows Azureの話を聞いてきてみました。Windows AzureにしてもAWSにしても「大規模になりうる外部公開サービス向け」「通常の社内用サーバー用途としては制限事項が多すぎる、コストも別に安くない」という認識であまり興味がなかったので追っていなかったのですが、最近System Centerを勉強しており、その流れでWindows Azure仮想マシンのことをちょっと勉強しはじめています。 とりあえず簡単に話を聞いてみた感想は以下です。 - 超大規模で作ってる人楽しそう。 - 本気のパブリッククラウドは当たり前だけどよく考えて作られている。感心する。 - Windows Azure仮想マシン IPアドレスがDHCPのみってのは技術的に仕方がないとしてもいただけない。 - SCACでAzureとオンプレミスをシームレスに連携するような宣伝をしているが、実際にはまだそのレベルには遠い。 - 特にネットワーク、IPアドレス周りで色々と小細工やノウハウを貯めないと設計は難しそう。 - 本当は高くないんだろうけど、やっぱり高い印象。 - PaaSとIaaSをVMNETで接続するような構成はうまく使うと素敵なことができそう。 普通にSCVMMとSCACで接続した時にどのような構成、挙動になるのかはよく抑えておかないといけないなと思います。 ただ、やっぱり検証するにもコストが問題になります。会社でやるにしても組織上の問題でコストがかかることは許可してもらえないことばかりだし、個人で契約して検証するには金額が高いし。評価期間は短すぎて…。