Azure Stack Hub を導入して分かった10のこと
View Slide
自己紹介松本雄介• 三井情報株式会社• Azure と Azure Stack Hub を担当• Azure Stack Hub を自社に導入して、約2年間運用中• 改善要望を Microsoft 本社の開発チームにフィードバック• Microsoft MVP for Microsoft Azure(2019/05~)
自己紹介Azure Stack Integrated system の情報を発信中• 個人ブログ(aimless.jp)• Azure Stack Advent Calendar 2018• なれる!Azure Stack Operator• Azure Stack Integrated systems を検討・導入する際のポイント
本日のセッションの目的提案と導入、運用の経験に基づいた「リアルな情報」を共有する1. Azure Stack Hub を使ってみて「良い!」と思ったポイント2. Azure Stack Hub を検討する際のポイント3. Azure Stack Hub を運用する際のポイント
本日のセッションのゴール1. 「自分の組織に Azure Stack Hub を導入するとしたら?」を具体的に考えられるようになる
本日のセッションのゴール1. 「自分の組織に Azure Stack Hub を導入するとしたら?」を具体的に考えられるようになる2. Azure Stack Hub の導入費用を来期の予算に計上する
お断り• 本セッションは、Azure Stack Hub に詳しいエンジニア個人の意見を述べたものです• 所属会社の意見を代表するものではありません
「良い!」と思ったポイント地味なものを含む
1.セルフサービスかつオンデマンドセルフサービスは良い• Azure と同じ「セルフサービスかつオンデマンド」な仕組みを標準装備• オンプレミスでも「早く初めて、早く失敗する」を実践できる• “速さこそ有能なのが文化の基本法則”• 「Excel 申請書を提出すると、1週間後に管理者から仮想マシンが提供される」文化は機会損失
2.Azure と使い勝手が同じオンプレミスとパブリッククラウドで一石二鳥を狙う• パブリッククラウドのエンジニアが、オンプレミスにも対応できる• オンプレミスでの経験をパブリッククラウドに生かせるパブリックAzureオンプレミスAzure Stack Hub
3.仮想基盤ではなく IaaS便利な機能がサービスとして標準で組み込まれている• Network Security Group:仮想マシン単位のファイアウォール• Load Balancer:シンプルな負荷分散装置• Table Storage:No SQL データストア• Blob Storage:オブジェクトストレージ
4.自動化しやすいAzure と一貫性のある API がもたらす自動化• Azure Stack Hub は Azure と一貫性のある API を標準装備• オンプレミスで Infrastructure as code を簡単に実践できる• ARM テンプレート• PowerShell• Ansible• Terraform• AKS engine
5.「手元にある」という漠然とした安心感設定を間違えても外部から攻撃を受けにくい• すべての人がパブリッククラウドを必ず正しく設定できるのか?• ファイアウォールや権限の設定を間違えると、知らないうちに外部の悪意あるユーザから攻撃を受ける・・• パブリッククラウドに慣れていない人の第一歩に最適
6.Windows Server のライセンスが明瞭会計オンプレだけど従量課金• ¥5.152/vCPU/時間の従量課金で Windows Server を使える• 小難しいライセンスを気にせず Windows Server を使えるのは便利• Azure と同様、CAL を気にする必要もなし
まとめAzure Stack Hub を使ってみて「良い!」と思ったポイント1. セルフサービスかつオンデマンド2. Azure と使い勝手が同じ3. 仮想基盤ではなく IaaS4. 自動化しやすい5. 「クラウドだけど手元にある」という漠然とした安心感6. Windows Server のライセンスが明瞭会計
検討時のポイント
Azure Stack Hub の機能だけでなくAzure Stack Hub を使う組織の文化にも目を向ける
検討時のポイント:パブリッククラウドという文化との適合率従来の仮想基盤とパブリッククラウドの間には「断絶」がある• 単なる基盤の入替ではなく、パブリッククラウドという文化圏への移行• 従来の仮想基盤の実装・考え方をそのまま引っ越せない可能性があるMicrosoftAzureMicrosoftAzure StackHubHyper-Vパブリッククラウド文化圏 仮想基盤文化圏道が無い!?
検討時のポイント:パブリッククラウドという文化との適合率Azure Stack Hub を使いこなせるかはクラウドとの適合率次第• 適合 = パブリッククラウドの特徴をポジティブ・ネガティブのどちらで捉えるか• パブリッククラウドの特徴の例• 新しいサービスがリリースされ続ける• サービスが改善されつづける• サービスの仕様が明確
検討時のポイント:パブリッククラウドという文化との適合率Azure Stack Hub を使いこなせるかはクラウドとの適合率次第• 適合 = パブリッククラウドの特徴をポジティブ・ネガティブのどちらで捉えるかポジティブ ネガティブ新しいサービスがリリースされ続ける 便利なサービスを増やしてくれる 新しいことを学び続けなければならないサービスが改善され続ける プロバイダが勝手に改善してくれる プロバイダの都合で変化を求められるサービスの仕様が明確 検討事項が少なくて済む サービス仕様にあわせなければならない
検討時のポイント:パブリッククラウドという文化との適合率Azure Stack Hub を使いこなせるかはクラウドとの適合率次第• 「オンプレでもパブリッククラウドしたい!」と思ったら、今すぐ買う• ポジティブでもネガティブでもない中立の場合、落ち着いて買う• 猛烈にネガティブな印象を持った場合、踏みとどまる or 覚悟を決める
適切な費用を算出するためにAzure Stack Hub の周辺にも目を向ける
検討時のポイント:基盤からインターネットへのアクセスAzure Stack Hub の前提条件を踏まえ、セキュリティ担当と調整1. Web プロキシを利用できない2. ワイルドカードな FQDN にアクセスする3. HTTPS 通信に対する SSL Interception(SSL 複号化)は不可
検討時のポイント:基盤からインターネットへのアクセス前提条件と組織の環境を踏まえて、適切な構成・設定を検討するパターン Firewall 透過プロキシ 既存プロキシ連携構成通信経路 ダイレクト 透過 Proxy 経由 多段 Proxy 経由インターネットFirewallインターネットFirewall透過 ProxyインターネットFirewallWeb Proxy透過 Proxy
検討時のポイント:仮想マシンとの通信方法仮想マシンと直接通信したい場合、VPN 接続+ルーティングが必須• 同じネットワークなのに VPN しなければならない• Azure Stack Hub 内に VLAN を引き込むのは無理Azure StackPublic VIPs Virtual NetworkOn-premise認証・運用監視クライアント Dst Nexthop0.0.0.0/0 VPN GWVPN GWVPN 装置
検討時のポイント:仮想マシンとの通信方法仮想マシンと直接通信したい場合、VPN 接続+ルーティングが必須• 高帯域が必要な場合は、IaaS に仮想アプライアンスを立てる• 仮想アプライアンスによってはライセンスが必要Azure StackPublic VIPs Virtual NetworkDst Nexthop0.0.0.0/0 NVANVAOn-premise認証・運用監視クライアント VPN 装置
検討時のポイント:仮想マシンとの通信方法なんでも VPN 経由にしない。パブリッククラウドなデザインにするAzure StackPublic VIPs Virtual NetworkDst Nexthop0.0.0.0/0 Internet認証・運用監視 VPN GWVPN GWOn-premise認証・運用監視クライアント VPN 装置
検討時のポイント:仮想マシンのバックアップ良質なバックアップには、エージェントベースのバックアップが必須• Azure VM Backup(定期的にスナップショットを取る)が未実装• 稼働中の仮想マシンに対するスナップショットが未サポート
検討時のポイント:仮想マシンのバックアップ良質なバックアップには、エージェントベースのバックアップが必須• 使い慣れたバックアップソリューションを採用する• 将来に備えて、Azure Stack Hub のスナップショットを自動取得できるソリューションを検討する
Azure Stack Hub は同じではない
検討時のポイント:運用しやすい OEM ベンダを使うハードウェア周りの運用方法は OEM ベンダごとに違う• Azure Stack Hub のソフトウェア部分はどの OEM ベンダでも一緒。• ソフトウェア部分の運用はとてもシンプル• Azure Stack Hub はハードウェア部分は OEM ベンダごとに異なる• 「ハードウェア周りの運用がシンプルかどうか」が OEM ベンダを選ぶ一つのポイント
まとめAzure Stack Hub を検討する際のポイント7. パブリッククラウドという文化との適合率8. 基盤からインターネットへのアクセス9. 仮想マシンとの通信方法10. 仮想マシンのバックアップ11. 運用しやすい OEM ベンダを使う
運用時のポイント
運用時のポイント:アップデートに伴う設定変更を覚悟するごくまれに、重めのアップデートが入る・・・• Azure Stack は進化し続ける• 進化の過程で既存の設定に対する変更を伴う場合がある• Extension host の導入に伴うサーバ証明書の追加(1808)• バックアップファイルの暗号化方式が文字列から証明書に(1901)• /20のアドレスが追加で必要(1910)• 運用費用の見積もり時に注意
運用時のポイント:Azure Stack Hub の理解者になる最低限の運用は、慣れれば誰にでもできる• アップデートは高度に自動化されている• Microsoft がリモートで障害対応を支援してくれる
運用時のポイント:Azure Stack Hub の理解者になるAzure Stack Hub を効果的に利用するには?• Azure Stack Hub はアップデートとともに進化していく• この進化を正しく理解して、組織に展開できるかどうかがキモ
運用時のポイント:Azure Stack Hub の理解者になる✓ 導入直後は Azure Stack Hub を使いこなせた✓ Azure Stack Hub の進化を組織に展開できていない。もったいない状態Azure Stack Hub のもたらす価値利用できている価値価値時間
運用時のポイント:Azure Stack Hub の理解者になる✓ 導入直後は Azure Stack Hub を使いこなせた✓ Azure Stack Hub の進化を組織に展開できていない。もったいない状態Azure Stack Hub のもたらす価値利用できている価値価値時間Azure Stack Hub のもたらす価値利用できている価値✓ 良き Azure Stack Hub Operator がいる状態✓ Azure Stack Hub の進化を組織に展開できている。Azure Stack Hub を使いこなしている良い状態or価値時間
まとめ
まとめAzure Stack Hub を運用する際のポイント12. アップデートに伴う設定変更を覚悟する13. Azure Stack Hub の理解者になる
kongou_ae
pospome
nagix
orgachem
line_developers_tw
ufried
naohachi89
iamshunta
h1kita
etaroid
smasato
chumajin
bun913
reverentgeek
holman
chrisshort
eileencodes
jakevdp
carmenintech
colly
mraible
thoeni
lynnandtonic
trishagee
marcelosomers