Azure Reliability v0.2.21.0630

Transcript

1. Ayumu Inaba Cloud Solution Architect Microsoft Japan Microsoft Azure Reliability

   1

2. Agenda Well-Architected Framework Azure におけるメンテナンス スケールアウトと可用性 バックアップとリストア サービスの接続性 まとめ 2

3. 3

4. 優れたアーキテクチャの必要性 クラウド活用のメリットを最大化するためには、対象クラウドを 理解して使いこなすことが重要 4 高いコスト効率 優れた弾力性 IT管理の簡略化 組み込まれた フォールトトレラン ス

   迅速＆グローバル な展開 クラウドサービスの特徴と設計原則 クラウドサービスの種類と共同責任モデル

5. 5 コスト 最適化 運用の 卓越性 性能 効率 信頼性 セキュリティ アセスメン

   ト ドキュメント リファレンス アーキテク チャ 設計原則 ガイド Azure Advisor パートナー & サービス オ ファー Well-Architected Framework とは ベスト プラクティス・アセス メント・技術ガイダンスを提 供する一連のリソース お客様との長年にわたる数多くの経験に 基づいた Microsoft エンジニアの知見 を集結して一連の基本原則として整備 適用範囲が非常に広く、 Azure エンジニ アは必ず知っておくべきノウハウ集であり チェックリストにもなる 最大公約数的に整備されているため、適 用可否にはお客様やシステムごとに評価・ 判断が必要 5 https://docs.microsoft.com/ja-jp/azure/architecture/framework/

6. クラウド活用時に陥りがちな失敗例 6 ✓ コストや使用状況 を監視していない ✓ 使われていないリ ソースや孤立リ ソースを把握して いない

   ✓ 構造的な課金管 理を行っていない ✓ 問題識別が迅速 に行えていない ✓ 展開の自動化が できない ✓ コミュニケーション の仕組みやダッ シュボードが存在 しない ✓ 期待や事業成果 が不明瞭 ✓ イベントの根本原 因が追えていない ✓ 新規サービスの監 視を行っていない ✓ 現行ワークロード の健全性を監視 していない ✓ スケーリングのた めの設計が無い ✓ 技術やアーキテク チャ選定での的確 なガイダンスが欠 如している ✓ リカバリーに関す る機能や能力が 不明瞭 ✓ データがバック アップされていな い ✓ ワークロードの健 全性を監視してい ない ✓ リカバリーテストを 行っていない ✓ 災害対策を行って いない ✓ アクセス制御を 行っていない ✓ セキュリティ脅威 の検出を行ってい ない ✓ セキュリティ脅威 に対する対応方 針が不明瞭 ✓ 暗号化処理を 行っていない コスト最適化 運用の卓越性 性能効率 信頼性 セキュリティ

7. Well-Architected Framework の使い方 5つの観点から整備されたベストプラクティスに基づき、アセス メントと改善を行う 7 ✓ 運用・開発の両面 でコスト効率に優 れたクラウド環境

   を設計 ✓ 非効率的で無駄 なクラウド支出を 可視化 ✓ DevOps や自動 化により開発と展 開のサイクルを高 速化 ✓ 優れた監視アーキ テクチャを整備し 障害を予兆検知 ✓ 変動する需要に 応じた柔軟なス ケーリングに対応 したアーキテク チャを設計 ✓ 性能とスケーラビ リティを念頭にコ スト効率を維持 ✓ 様々なレベルでの 障害から適切にリ カバリーするため の設計 ✓ 利害関係者や顧 客が要求する時 間内に、障害から 復旧できる設計 ✓ 設計と実装から展 開と運用まで一貫 したセキュリティを 確保 ✓ アプリケーション、 プロセス、組織の 文化にセキュリ ティを組み込む コスト最適化 運用の卓越性 性能効率 信頼性 セキュリティ

8. WAF の適用は継続的な改善のプロセス 設計フェーズ 最新のベストプラクティスを盛り込むことで、リスクを抑え 高品質なアーキテクチャを設計する Ex. 広域災害発生時の業務を支える高可用性アーキテクチャ 構築フェーズ 実装やテストに応じて変化していくアーキテクチャを、定期 的にアセスメントすることで抜け漏れを防ぐ

   Ex. システムが具体化するにつれて見えてくる運用と保守の課題 運用フェーズ ビジネス状況の変化や Azure サービスの進化に合わせ て継続的なシステムの見直しを行っていく Ex. 実稼働後に発生するコストの変動や性能の見直し 8 設計 構築 運用

9. まずは基礎知識を理解する 9 どのフェーズにおいても基礎知 識が非常に重要 各サービスの知識とあわせて設計パターンやガ イダンスを理解しておく Azure Architecture Center Well-Architected

   Framework もこの中の１トピック 全トピックを網羅的にカバーするのは効率が悪 いので、WAF の5つの柱に沿って個々のシステ ム単位で深堀りするとよい MS Learn にも独習コンテンツが提供されている Microsoft Azure Well-Architected Framework の概要 - Learn | Microsoft Docs

10. アセスメントで抜け漏れをチェック 10 ベストプラクティスに照らし合わ せてアーキテクチャを自己評価 Web ベースのツールになっているので任意のタ イミングに誰でも実施可能 質問事項に答えていくことで課題を検出、推奨事 項が提示される Azure

    Well-Architected Review

11. 実行環境データからアドバイスをもらう 11 実行中のワークロードを分析して、 ５つの観点で推奨事項を提示す るサービス Azure Portal を開くとアクセス可能な各リソース に対して推奨事項が表示される Azure

    Advisor 一日一回程度の頻度で自動スキャンされ、チェッ ク項目も随時アップデートされる 既に構築・運用されている環境であれば実データ をもとに見直しが出来るため非常に有用

12. Workshop 判明したリスクや改善点に 対して、ビジネス判断に基 づき優先付け アセスメントや Advisor による評価結果 をもとに改善策を整理 アーキテクチャドキュメントなどを整理しか 関係者を集めて実施する

    各改善策を実施することによるインパクト を評価 優先度を設定し実施の可否を判断し開 発・保守計画に盛り込む 推奨事項すべてに対処する ことが目的ではない 12

13. 役割分担 ＷＡＦ の導入は Ｖ-Team で行う アセスメント、情報収集、ワークショップ開催、改善計 画の立案、変更作業の実施、効果測定など関係者 は多岐にわたる 改善提案に対してやる・やらないを最終的に意思決 定し共有することが非常に重要

    13 IT 組織 各システム 担当 Microsoft パートナー

14. 14

15. Reliability Framework 15 Design Test Monitor 可用性と回復のターゲットを定義してテストする 障害に対する耐性のあるアプリケーションを設計する 対象リージョンで必要な容量およびサービスを利用できることを確認する ディザスター

    リカバリーを計画する 信頼性要件を満たすようにアプリケーション プラットフォームを設計する 信頼性要件を満たすようにデータ プラットフォームを設計する エラーから回復する ネットワークと接続が信頼性の要件を満たしていることを確認する スケーラビリティとパフォーマンスの信頼性を確保する セキュリティ関連のリスクに対処する 運用プロセスを定義、自動化、テストする フォールト トレランスをテストする アプリケーションの正常性を監視して測定する 信頼性の柱についての原則 - Azure Architecture Center | Microsoft Docs

16. 共同責任モデル クラウド利用においてプラットフォームの障害やメンテナンスの リスクはゼロにはできない 16 メンテナンス or 障害 インパクト

17. Design for Failure and Resilience 障害を避けるだけでなく、障害が発生した時 に対応するための仕組みが重要 Data Backup データの破損や削除に備えて、以前の正常な状態に復旧する

    High Availability 障害時にもダウンタイムを極小化し、システムが健全な状態で継続 稼働することを目的とする Disaster Recovery 広域災害においても迅速なシステムを復旧し、業務継続・サービス 提供することを目的とする 17 Original Backup Primary site Secondary site Primary site

18. 18

19. システム影響のある変更は いつでも発生しうる 新たなインスタンスが追加、変更、削 除が24/7で行われる 変更管理は常に自動制御され必要 なタイミングで行われる ワークロードは負荷に応じて自動、或 いは事前予測に基づいてスケールア ウト、スケールインを行う 世界中で新規サービス、ソフトウェア

    が適用される 各リージョンでキャパシティ増強の要 求に合わせて常に通信制御を行いな がら資源追加が行われている

20. プロダクションレベル プロダクションSLA Azure 変更管理の自動化 safe deployment practices (simplification)

21. メンテナンスの種類

22. SLA : Service Level Agreement Azure の有償サービスは原則として SLA を提供している 稼働時間と接続に関する

    Microsoft からのコミットメント 実際の稼働率が SLA 設定値を下回った場合の利用料金に対するクレジットを規定 稼働率の測定や適用の条件については下記を確認 https://azure.microsoft.com/ja-jp/support/legal/sla/ 無償プラン、プレビュー中のサービス、開発・テスト用サブスクリプションは適用外 SLA の A は Availability ではない SLA は基本的に月間稼働率 (%)の数値で表現されるが、 これはあくまでもクレジットを適 用する基準となる閾値であって、可用性の実績値では無い 実績値は公表されてはいないが、信頼性の意味でも第３者による測定値を参考にするとよい https://cloudharmony.com 大規模障害が発生した月などは一時的に実績値が SLA を下回るケースはあるが、多くの 場合は SLA よりもはるかに高い 22

23. SLA : Service Level Agreement SLA は １００％ではない すなわち計画／計画外メンテナンスによるダウンタイ ムは発生することが盛り込み済みのサービスということ

    各サービスは SLA に違反しないように設計・開発・ 運用が行われている 広域災害などの SLA 適用除外とな る条件も存在する これらのリスクに対処するにはユーザーによる対策 が必要ということ 23 仮想マシン の SLA より抜粋、その他の各種諸条件は公式サイトを要確認
24. None

25. メンテナンス手段選択のチャート 計画メンテナンスは極力ワークロードに影響が出ない方式が 自動的に選択される 実行できな い場合 ホストの再起動が 必要な場合 実行できな い場合

26. インプレース ＆ ライブマイグレーション 仮想マシンの再起動を必要としないメンテナンス 一時停止は通常10秒未満（最大30秒）で、RAM 内のメモリ は保持される

27. セルフサービス メンテナンス 仮想マシンの再起動が計画さると 30 日以上前に通知が送 信され、セルフサービス期間が指定される システムの運用スケジュールとメンテナンスのスケジュールを突き合わせて、再起動のタイミン グに問題が無いか確認 問題がある場合には “プリエンプティブなメンテナンス期間”から適切なタイミングを選択し

    て能動的にメンテナンス済みホストに再デプロイすることが可能 27 スケジュールされた メンテナンス期間 セルフサービス期間 再起動可能な 時間帯 再起動可能な 時間帯

28. VM 内メタデータサービスを利用した自律運用 仮想マシン内部のアプリは自身が稼働する仮想マシンに予定 されたメンテナンス情報を取得することが可能 Freeze（保持）、Reboot（再起動）、Redeploy（再配置）といったイベント種別に応じた閉 塞処理等をアプリケーションに組み込む メンテナンスに対して仮想マシンが自律的に対応（閉塞やフェールオーバーなど）することで、 運用の負担を下げることが可能 28 アプリ

    ※イベントは 10 分から 15 分前に通知されるため、人間による手動対応の用途には向いていない

29. SQL Database の予測可能なメンテナンス期間 SQL Database および Managed Instance では計画メ ンテナンスが行われる時間帯を指定することができる

    既定では月曜日から日曜日の現地時刻で午後 5 時から午前 8 時に行われている ほとんどの更新はホットパッチ等により可用性影響はないが、一部は短期間の中断が必要になる この場合メンテナンス中に平均 1.7 回程度のフェイルオーバーと、それに伴う平均8秒程度の中断が発生 運用スケジュールとして問題がある場合には以下を選択できる 平日期間、月曜日から木曜日の現地時刻で午後 10 時から午前 6 時 週末期間、金曜日から日曜日の現地時刻で午後 10 時から午前 6 時 29 ＊ 仮想マシンの様に特定のタイミングでメンテナンスを行う機能ではない ＊ プロキシ接続の場合はゲートウェイメンテナンスの影響は別途発生 メンテナンス期間の 適用対象
30. None

31. シングル VM の障害（計画外メンテナンス） プラットフォーム既定の冗長化と Service Healing による自然回 復に期待する コールドスタンバイ状態のため復旧には一定の時 間が必要

    障害時には完全停止することになるが、最もコスト が抑えられる サービスによっては ＳＬＡ の有無 が異なることに注意 シングルインスタンス SLA が提供されている例 Virtual Machine、 Web App、SQL Database マルチインスタンスが SLA の前提条件の例 Application Gateway 31 Azure Fabric Controller Hyper Visor Host Agent Devices Hyper Visor Host Agent Devices

32. Local Redundant Storage 仮想マシンのディスクは内部的に最低でも 3 つに多重化され ており、データ損失が発生しないように構成されている ストレージ障害が発生してもユーザー影響なく自動的にレプリカの再構成が行われる 32 3重のレプリカ

    ストレージ 障害 OS/データ ディスク

33. ホスト 障害 再デプロイ OS ディスク データディスク 一時ディスク 一時ディスク 仮想マシンに期待できる最低限の回復性 ホスト障害時があっても仮想マシンはデータ損失なく再起動

    前述の Service Healing や Local Redundant Storage を組み合わせて実現 さらに高い可用性や回復性が必要な場合、利用者が自身で仕組みを設計・構築する必要がある そのベストプラクティスがビルトインされたものが PaaS （Managed Service）

34. 可用性、足りてますか？ ここまでは Azure で基本的に備わった可用性の仕組みで、 サービスに組み込まれる形で提供されている さらに高度な要求を満たすためには利用者による設計と実装 が必要になってくる 特に IaaS の場合は

    Azure の特性を踏まえた独自の可用性設計が必要になってくる PaaS の場合は内包された可用性の仕組みを理解して活用していく方針となる 34
35. None

36. マルチインスタンスによる可用性の向上 クラウドにおける可用性向上はスケールアウトが原則 シングルインスタンスの可用性に期待しすぎるのは非常に危険 高価な仮想マシン SKU を使用したとしても SLA は変わらない 一部のPaaS サービスではマルチインスタンスが

    SLA の条件に入っている場合もある 36 a 1-(1-a)^2 1-(1-a)^3 1-(1-a)^3 a=90.000 % a=95.000 % a=99.000 % a=99.900 % N=1 4320 2160 432 43.2 N=2 432 108 4.32 0.0432 N=3 43.2 5.4 0.0432 0.0000432 N=4 4.32 0.27 0.000432 4.32E-08

37. Azure の耐障害性と回復性オプション クラウドにおいても耐障害性の考え方は冗長化による単一障害点の排除である ことは変わらない サービスやリージョンによって利用可能なオプションが異なるため、内容を理解 して設計に組み込でいく 上記に加えてデータバックアップを持つことで論理データ破損にも備える 37 Region Zone

    2 Zone 3 Zone 1 Availability Availability Availability Datacenter Datacenter Data Residency boundary Region 1 Region 2

38. 可用性セット : データセンターレベルの回復性 複数の仮想マシンをデータセン ター内で分散配置して全面停 止を回避する FD : 障害ドメイン ラックレベルでの分散配置、ネットワークや電源系統が

    独立することで同時障害のリスクを軽減 UD : 更新ドメイン ホストマシンレベルでの分散配置、ホスト OS メンテナン スによる同時停止や再起動リスクを軽減 仮想マシンの場合は作成時に 可用性セットを指定して構成 PaaS では内部的にこの可用性セットか後述の ゾーン冗長化が行われている 38 FD0 FD1 FD2 Datacenter

39. 可用性ゾーン : リージョンレベルの回復性 仮想マシンをリージョン内の複数の ゾーンに分散配置することで全面 停止を回避する ゾーン ： １ つ以上のデータセンターの集合体、リー

    ジョン内で物理的に離れた位置に設置される 洪水や暴風雨の影響などによるのデータセンターレベ ルでの障害に備える 可用性セットと組み合わせることはできないが、各ゾー ン自体が FD と UD を兼ね備えたもの 全てのリージョンおよびサービスでゾーン冗長化が利 用できるとは限らないことに注意 例： 西日本リージョン 例： API Management 39 Region Availability Zone 1 Availability Zone 2 Availability Zone 3 Availability Zones をサポートする Azure サービス | Microsoft Docs

40. AZ1 可用性ゾーンを利用した冗長化カテゴリ ゾーン : Zonal インスタンス作成時に配置先のゾーンを明示的に 指定する（ピン止め）ことが出来るサービス 利用者は複数インスタンスを異なるゾーンに配置 例： Virtual

    Machine, Managed Disk (LRS), ILB ASE, Etc… ゾーン冗長化： Zone Redundant 内部的に複数ゾーン横断して配置されるサービス デフォルト設定ではない場合は利用者が明示的にゾーン 冗長化を有効にする 例： Storage Account, SQL Database, Standard Load Balancer, Etc.. 40 AZ2 AZ3 Scale Scale Scale Replicate Replicate Failover

41. Azure Storage の冗長性 41 読み書き 読み取り専用 リージョン A リージョン B

    リージョン A リージョン B リージョン内 リージョン内 （同一データセンター内） データセンター A データセンター B データセンター C • ノードの障害に対応 • データセンターの障害に対応 • リージョンの障害に対応 • リージョンの障害に対応 • 複製先の読み取りアクセスが可能

42. ペアリージョン : 地理的なレベルでの回復性 仮想マシンをペアとなるリージョン に分散配置することで全面停止を 回避する ペアは任意の組み合わせではなく事前に決まってい るもの（通常は同一国内だが例外アリ） リージョン間は 300

    mile 以上の距離を話して配置 するため、広域災害によるリージョンレベルでの障害 に対しても全面停止を回避 ペアリージョンは同時にメンテナンスが行われない （非ペアリージョンは同時メンテがあり得る） ペアリージョンが同時に被災した場合は片方を優先 して復旧する 42 Data Residency boundary Region 1 Region 2 Azure のペアになっているリージョンを使用したビジネス継続性とディザスター リカバリー | Microsoft Docs

43. Region1 マルチリージョン : Geo 冗長オプション 一部のサービスはリージョンを横断した冗長化オプションを提供し ている クロスリージョンのレプリケーションとフェイルオーバーをセットで提供することで RTO を短縮

    ただし非同期レプリケーションであるためデータ損失は発生しうる（RPO > 0） 43 Region2 Region3 RegionN Region1 Region2

44. 日本ジオの例 日本国内では広域災害対策・負荷分散のために東日本・西 日本のペアリージョンを使用することができる ただし必ずしも完全に同一の構成が取れるわけではないことに注意 西日本リージョン 東日本リージョン Availability ゾーン 1 Availability

    ゾーン 2 Availability ゾーン 3 データ回復性境界 - リージョン別の Azure 製品 | Microsoft Azure - Availability Zones をサポートする Azure サービス | Microsoft Docs

45. 非リージョンサービス 特定のリージョンに依存せず、リージョンレベルでの停止が発 生しても利用可能なサービス Traffic Manager や Front Door などグローバル負荷分散サービスは、前述のマルチリー ジョン構成に必要なため特に重要

    45

46. 仮想マシンの可用性における考慮事項 クラスタレベルでの「サービスとしての可用性」を実現するためには、複数の仮想マシン上に 配備されることを意識したソフトウェア構成が必要になる 46 クラスタ 全体の 可用性 Microsoftの 責任範囲 Virtualization

    Compute Storage Network 利用者の 責任範囲 Operating System Middleware Application Virtualization Compute Storage Network Operating System Middleware Application

47. 例）可用性セット Web サーバーファーム 仮想マシンが Web サーバーの場合にはアプリケーションをス テートレスに実装する 前段の負荷分散装置としては Azure Load

    Balancer や Application Gateway といっ た別の Azure リソースが利用可能 47 Load Balancer ないしは Application Gateway HTTP/HTTPS 可用性セット ステートレスに実装されたアプリケーションを配置 ⇒ 任意のサーバーで障害ノードの代替が可能 プローブにより障害ノードを 検知したらクラスタから切り離す

48. 例）可用性セット DB サーバクラスタ 仮想マシンの役割が DB サーバーの場合は、対応したクラス タ用ミドルウェアが必要になることが多い SQL Server の場合には

    Always On Availability Group および Windows Server Failover Cluster などを利用 複数の DB サーバー間でデータ同期を取りつつ、Load Balancer の NAT 機能を利用して 主系への透過的な接続を実現 48 Load Balancer TDS 可用性セット Active Stand-by 主系で永続化されたデータを Always-on の機能によって 同期レプリケーション

49. クラスタソフトウェアによるデータ同期通信 複数の仮想マシンを同一の仮想ネットワークに接続することで アプリケーション間での相互通信が可能 可用性セットないしはゾーンを使用した単一リージョン内配置の場合 複数リージョンを使用する場合は Express Route や VNET Peeringを構成する

    49 WSFC SQL Server Always-on Windows Server WSFC SQL Server Always-on Windows Server データ同期 WSFC SQL Server Always-on Windows Server WSFC SQL Server Always-on Windows Server データ同期

50. 高可用性がビルトインされた PaaS PaaS は可用性セット（ゾーン）を 活用した構成が組まれた状態で 提供される 左記は SQL Databadse の

    Premium および Business Critical サービス レベルのゾーン冗長 可用性アーキテクチャ 高可用性 - Azure SQL Database and SQL Managed Instance | Microsoft Docs 同様のものを仮想マシンで１から 設計・実装・テスト・運用する手間 とコストが省略できるということ 50
51. None

52. Azure VM Backup 仮想マシン全体、特定のフォルダ、アプリケーションデータを バックアップ スケジューリング、世代管理、重複排除などをポリシーで指定 GRS を有効にすることでデータのペアリージョンに退避することができる 52

53. [参考] Azure Backup と Site Recovery Azure 東日本リージョン Recovery Service

    コンテナ 保護対象 VM 内部ストレージ Backup / Restore GRS Azure 西日本 内部ストレージ （アクセス不可レプリカ） Azure 東日本リージョン Recovery Service コンテナ 保護対象 VM Azure 西日本 キャッシュ用ストレージ レプリカディスク レプリケーション テストフェイルオーバー /フェイルオーバー / 移行

54. PaaS にビルトインされたバックアップ機能 SQL Database, Azure Database for MySQL/PostgreSQLの例

55. Replication ≠ Backup Storage アカウント等で実装されているレプリケーションは論 理データ破損に対しては無力 レプリケーションはストレージ装置な破損等によるデータ喪失リスクを軽減することが目的 ミスオペレーションやバグに起因するデータ破壊操作は、ストレージ上は正常なトランザクショ ンとして記録され、レプリカに対してもコミットされる バックアップによって過去の正常なデータに巻き戻せる（リストア）ことが重要

    55 3重のレプリカ 不正なデータ 書き込み 不正データが永続化される 時系列 v1 v2 v3（不正） v4 (=v2) v1 v2 バックアップ リストア

56. Snapshot ＜ Backup 管理ディスク等のスナップショット機能をバックアップの代替と して使う場合は注意が必要 スナップショットはあくまでも「ある時点のデータ状態を保全」する機能でしかない バックアップ運用には通常、定期的な取得、世代管理、古いデータの削除、リストア操作など が要件として求められるが、これらを全て自力で作り込む必要がある 56 時系列

    v1 v2 v4 v1 v2 いつバックアップを取る？ どうやって戻す？ v３ v５ v６ v３ v4 V６ いつまで残す？ どうやって削除する？ 何を基準に管理する？
57. None

58. クラウドサービスは接続できなければ無意味 58 Azure DC 多数のラック 物理サーバ （ホスト） ストレージ ユニット サービスが正常でも接続

    できなければ意味がない （仮想マシンに限らず）各種サービスは作成時 に指定したリージョン内のどこかにデプロイさ れ、ネットワーク接続によって利用可能となる Availability Zone DC DC AZ AZ

59. Azure Regional Network は高度に冗長化済み Regional Network Gateways DC間接続を多重化することえ１つのDC障 害をリージョン全体に波及させない DCの増設による既存リージョンの増強も

    容易になっている Software Defined Network ユーザーには VNET として抽象化され、 かつ構成可能な状態で提供される プラットフォームは頻繁に構成変更が行わ れているが、仮想化されているため影響を 受けない 59

60. Corp Net 利用側から見た接続の冗長性 Azure のサービスが正常に稼働していても、ネットワーク接続 が確立できなければ無意味 業務継続性や災害対策を考慮する上では接続経路の冗長化も考慮すべき 60 業務システム/サービス SLA

    99.99% SLA 99.99%

61. SLA 99.99% SLA 99.99% リトライ（再試行）の重要性 クラウドサービスの利用において一定の確率でエラーが発生 することは正常系として想定しておくべき 多くの SLA は請求月において実際に利用可能な時間の割合で定義されている

    SLA は基本的に 100% ではない＝利用不可能な時間があることが想定されたサービス 時間が解決することが期待できるので、アプリでのリトライ実装は非常に有効 61 期待できる

62. SLA で定義された稼働率の例 代表的な SLA の値とエラーバジェット（月間許容ダウンタイ ム）を整理すると以下のようになる 62 稼働率 月間ダウンタイム SLAの例

    95.000 % ２１６０ 分 Standard HDD Managed Disks を使用する単一インスタンス仮想マシン 99.000 % ４３２ 分 LRS/ZRS/GRS ストレージアカウント Cool アクセスレベルに対する読み取りと 書き込み 99.500 % ２１６ 分 Standard SSD Managed Disks を使用する単一インスタンス仮想マシン 99.900 % ４３.２分 Premium SSD Managed Disks を使用する単一インスタンス仮想マシン LRS/ZRS/GRS ストレージアカウント 非 Cool アクセスレベルに対する読み取り と書き込み 99.950 % ２１.６ 分 Free または Shared レベルの Apps を除くすべての App Service 99.990 % 4.32 分 同じ Azure リージョン内の 2 つ以上の可用性ゾーンにまたがりデプロイした 2 つ以上のインスタンスがある仮想マシン 99.995 % 2.16 分 ゾーン冗長デプロイとして構成されている Business Critical または Premium 層の SQL Database
63. None

64. 障害モード分析 設計段階からシステムに障害復旧を組み込んでいく システムで考えうる障害点を特定し、その影響範囲や回復力を評価する サービス品質要求に応じて対応策や軽減手順を検討、設計にフィードバック 64 Name resolution Cloud Witness Quorum

    Public IP Public IP Zone- redundant Application Gateway DevOps Web tier subnet Business tier subnet Data tier subnet Management subnet Active Directory subnet Azure load balancer standard Azure load balancer standard Virtual network DDoS Protection AD DS server AD DS server VM Jumpbox VM Zone 1 VM Zone 2 VM Zone 3 VM Zone 1 VM Zone 2 VM Zone 3 SQL Server (primary) SQL Server (secondary) Zone 1 Zone 2 Zone 1 Zone 2

65. 障害モード分析 リージョン規模、あるいは複合的な大規模障害や広域災害に 対応するにはマルチリージョン構成を検討 65 Web tier subnet Business tier subnet

    Data tier subnet Management subnet Active Directory subnet Azure load balancer standard Azure load balancer standard Virtual Network DDoS Protection AD DS server AD DS server VM Jumpbox VM Zone 1 VM Zone 2 VM Zone 3 VM Zone 1 VM Zone 2 VM Zone 3 SQL Server (primary) SQL Server (secondary) Zone 1 Zone 2 Zone 1 Zone 2 Failover Internet Traffic manager Region 1 Region 2 Web tier subnet Business tier subnet Data tier subnet Management subnet Active Directory subnet Azure load balancer standard Azure load balancer standard Virtual network DDoS Protection AD DS server AD DS server VM Jumpbox VM Zone 1 VM Zone 2 VM Zone 3 VM Zone 1 VM Zone 2 VM Zone 3 SQL Server (primary) SQL Server (secondary) Zone 1 Zone 2 Zone 1 Zone 2

66. 可用性の目安 過剰品質とならないように現実的な可用性目標を設定する 障害を求めるあまりつい高可用性を追い求めてしまうが、通常はコストとのトレードオフになる 66 Cost + complexity Availability Video delivery,

    broadcast systems ATM transactions, telecommunications systems Batch processing, data extraction, transfer, and load jobs Internal tools like knowledge management, project tracking Online commerce, point of sale 99% 99.9% 99.95% 99.99% 99.999%

67. [参考] 災害対策例の RPO/RTO の目安 種別 方式 RPO/RTO 備考 Web サーバー

    Azure Backup/復元 RPO 1日 RTO > 1時間 Azure Backup にてリージョンをまたがる復元の設定（CRR: Cross Region Restore）を実施し、ペアリージョンに て復元。RTO は目安。 Azure Site Recovery RPO < 60分 RTO < 2時間 アプリケーション整合性で最小60分のストレージの差分同期を行い、フェールオーバー時は、ASR の機能にてフェー ルオーバー。RTO は SLA。 データベー ス データベースのバックアップ/復 元 RPO 1日 RTO > 12時間 データベースの機能のバックアップ及び復元。RTO はソフトウェアのインストールも含めた目安。 Azure Backup/復元 RPO 1日 RTO > 1時間 Azure Backup にてリージョンをまたがる復元の設定（CRR: Cross Region Restore）を実施し、ペアリージョンに て復元。RTO は目安。 Azure Site Recovery RPO < 60分 RTO < 2時間 アプリケーション整合性で最小60分のストレージの差分同期を行い、フェールオーバー時は、ASR の機能にてフェー ルオーバー。RTO は SLA。 SQL Server Always On or ミ ラーリング（同期） RPO > 0秒 RTO > 数秒 SQL Server のクラスタ機能（同期コミット：自動フェールオーバー） SQL Server Always On or ミ ラーリング（非同期） RPO > 数秒 RTO > 数分 SQL Server のクラスタ機能（非同期コミット：手動フェールオーバー） SQL Database の自動フェイ ルオーバーグループ RPO < 5秒 RTO < 1時間 自動フェイルオーバーグループでのフェイルオーバー 〇リージョン全体でのサービスの中断から復旧する https://docs.microsoft.com/ja-jp/azure/architecture/resiliency/recovery-loss-azure-region 〇SQL Server のためにディザスター リカバリーを設定する https://docs.microsoft.com/ja-jp/azure/site-recovery/site-recovery-sql
68. None

69. [参考] ３rd Party Solution 69 Partner Product Solution Key Workloads

    CommVault Backup and DR, Workload and Data Migration, Endpoint Data Protection Veritas NetBackup Veritas BackupExec Backup and DR, Workload and Data Migration, Endpoint Data Protection HPE Data Protector HPE VM Explorer StoreOnce CloudBank Backup and DR NetApp ONTAP Cloud NetApp AltaVault Cloud-Based Appliance Backup and DR, Migration, DevTest Data Domain Cloud Tier EMC Avamar Virtual Edition EMC Data Protection Suite CloudBoost Backup and DR Long-Term Retention Veeam® Cloud Connect™ for the Enterprise Veeam® Cloud Connect™ for Service Providers Veeam® Direct Restore to Azure Backup and DR, Workload and Data Migration, Endpoint Data Protection Quest Rapid Recovery Backup and DR, Archiving Carbonite Endpoint Protection Endpoint Data Protection Spectrum Protect Backup and DR for Windows, Linux, and Unix Actifio Sky Backup and DR, Data Migration, DevTest Rubrik Backup and DR, Workload and Data Migration, Archival, Search Cohesity CloudArchive, CloudTier, CloudReplicate Innovative secondary storage consolidation platform with comprehensive integration with Azure Disks and Blobs

70. Microsoft Confidential ◼ 本資料は情報提供のみを目的としており、本資料に記載されている情報は、本資料作成時点でのマイクロソフトの見解を示したものです。状況等の変化により、内容は変更される場合があります。本資料 に特別条件等が提示されている場合、かかる条件等は、貴社との有効な契約を通じて決定されます。それまでは、正式に確定するものではありません。従って、本資料の記載内容とは異なる場合がありま す。また、本資料に記載されている価格はいずれも、別段の表記がない限り、参考価格となります。貴社の最終的な購入価格は、貴社のリセラー様により決定されます。マイクロソフトは、本資料の情報に対 して明示的、黙示的または法的な、いかなる保証も行いません。 © ２０２０ Microsoft

    Corporation. All rights reserved. Microsoft, Windows, その他本文中に登場した各製品名は、Microsoft Corporation の米国およびその他の国における登録商標または商標です。 その他、記載されている会社名および製品名は、一般に各社の商標です。 70