Azure Stack Hub を導入して分かった10のこと / 10 things I learned after installing Azure Stack Hub

Azure Stack Hub を導入して分かった10のこと

自己紹介松本雄介 • 三井情報株式会社 • Azure と Azure Stack Hub
を担当 • Azure Stack Hub を自社に導入して、約2年間運用中 • 改善要望を Microsoft 本社の開発チームにフィードバック • Microsoft MVP for Microsoft Azure（2019/05~）

自己紹介 Azure Stack Integrated system の情報を発信中 • 個人ブログ（aimless.jp） • Azure
Stack Advent Calendar 2018 • なれる！Azure Stack Operator • Azure Stack Integrated systems を検討・導入する際のポイント

本日のセッションの目的提案と導入、運用の経験に基づいた「リアルな情報」を共有する 1. Azure Stack Hub を使ってみて「良い！」と思ったポイント 2. Azure Stack
Hub を検討する際のポイント 3. Azure Stack Hub を運用する際のポイント

本日のセッションのゴール 1. 「自分の組織に Azure Stack Hub を導入するとしたら？」を具体的に考えられるようになる

本日のセッションのゴール 1. 「自分の組織に Azure Stack Hub を導入するとしたら？」を具体的に考えられるようになる 2. Azure
Stack Hub の導入費用を来期の予算に計上する

お断り • 本セッションは、Azure Stack Hub に詳しいエンジニア個人の意見を述べたものです • 所属会社の意見を代表するものではありません

「良い！」と思ったポイント地味なものを含む

１．セルフサービスかつオンデマンドセルフサービスは良い • Azure と同じ「セルフサービスかつオンデマンド」な仕組みを標準装備 • オンプレミスでも「早く初めて、早く失敗する」を実践できる • “速さこそ有能なのが文化の基本法則” •
「Excel 申請書を提出すると、1週間後に管理者から仮想マシンが提供される」文化は機会損失

２．Azure と使い勝手が同じオンプレミスとパブリッククラウドで一石二鳥を狙う • パブリッククラウドのエンジニアが、オンプレミスにも対応できる • オンプレミスでの経験をパブリッククラウドに生かせるパブリック Azure オンプレミス
Azure Stack Hub

３．仮想基盤ではなく IaaS 便利な機能がサービスとして標準で組み込まれている • Network Security Group：仮想マシン単位のファイアウォール • Load Balancer：シンプルな負荷分散装置
• Table Storage：No SQL データストア • Blob Storage：オブジェクトストレージ

４．自動化しやすい Azure と一貫性のある API がもたらす自動化 • Azure Stack Hub は
Azure と一貫性のある API を標準装備 • オンプレミスで Infrastructure as code を簡単に実践できる • ARM テンプレート • PowerShell • Ansible • Terraform • AKS engine

５．「手元にある」という漠然とした安心感設定を間違えても外部から攻撃を受けにくい • すべての人がパブリッククラウドを必ず正しく設定できるのか？ • ファイアウォールや権限の設定を間違えると、知らないうちに外部の悪意あるユーザから攻撃を受ける・・ • パブリッククラウドに慣れていない人の第一歩に最適

６．Windows Server のライセンスが明瞭会計オンプレだけど従量課金 • ¥5.152/vCPU/時間の従量課金で Windows Server を使える •
小難しいライセンスを気にせず Windows Server を使えるのは便利 • Azure と同様、CAL を気にする必要もなし

まとめ Azure Stack Hub を使ってみて「良い！」と思ったポイント 1. セルフサービスかつオンデマンド 2. Azure と使い勝手が同じ
3. 仮想基盤ではなく IaaS 4. 自動化しやすい 5. 「クラウドだけど手元にある」という漠然とした安心感 6. Windows Server のライセンスが明瞭会計

検討時のポイント

Azure Stack Hub の機能だけでなく Azure Stack Hub を使う組織の文化にも目を向ける

検討時のポイント：パブリッククラウドという文化との適合率従来の仮想基盤とパブリッククラウドの間には「断絶」がある • 単なる基盤の入替ではなく、パブリッククラウドという文化圏への移行 • 従来の仮想基盤の実装・考え方をそのまま引っ越せない可能性がある Microsoft Azure Microsoft Azure
Stack Hub Hyper-V パブリッククラウド文化圏仮想基盤文化圏道が無い!?

検討時のポイント：パブリッククラウドという文化との適合率 Azure Stack Hub を使いこなせるかはクラウドとの適合率次第 • 適合＝パブリッククラウドの特徴をポジティブ・ネガティブのどちらで捉えるか
• パブリッククラウドの特徴の例 • 新しいサービスがリリースされ続ける • サービスが改善されつづける • サービスの仕様が明確

検討時のポイント：パブリッククラウドという文化との適合率 Azure Stack Hub を使いこなせるかはクラウドとの適合率次第 • 適合＝パブリッククラウドの特徴をポジティブ・ネガティブのどちらで捉えるか
ポジティブネガティブ新しいサービスがリリースされ続ける便利なサービスを増やしてくれる新しいことを学び続けなければならないサービスが改善され続けるプロバイダが勝手に改善してくれるプロバイダの都合で変化を求められるサービスの仕様が明確検討事項が少なくて済むサービス仕様にあわせなければならない

検討時のポイント：パブリッククラウドという文化との適合率 Azure Stack Hub を使いこなせるかはクラウドとの適合率次第 • 「オンプレでもパブリッククラウドしたい！」と思ったら、今すぐ買う • ポジティブでもネガティブでもない中立の場合、落ち着いて買う •
猛烈にネガティブな印象を持った場合、踏みとどまる or 覚悟を決める

適切な費用を算出するために Azure Stack Hub の周辺にも目を向ける

検討時のポイント：基盤からインターネットへのアクセス Azure Stack Hub の前提条件を踏まえ、セキュリティ担当と調整 1. Web プロキシを利用できない 2. ワイルドカードな
FQDN にアクセスする 3. HTTPS 通信に対する SSL Interception（SSL 複号化）は不可

検討時のポイント：基盤からインターネットへのアクセス前提条件と組織の環境を踏まえて、適切な構成・設定を検討するパターン Firewall 透過プロキシ既存プロキシ連携構成通信経路ダイレクト透過
Proxy 経由多段 Proxy 経由インターネット Firewall インターネット Firewall 透過 Proxy インターネット Firewall Web Proxy 透過 Proxy

検討時のポイント：仮想マシンとの通信方法仮想マシンと直接通信したい場合、VPN 接続＋ルーティングが必須 • 同じネットワークなのに VPN しなければならない • Azure Stack
Hub 内に VLAN を引き込むのは無理 Azure Stack Public VIPs Virtual Network On-premise 認証・運用監視クライアント Dst Nexthop 0.0.0.0/0 VPN GW VPN GW VPN 装置

検討時のポイント：仮想マシンとの通信方法仮想マシンと直接通信したい場合、VPN 接続＋ルーティングが必須 • 高帯域が必要な場合は、IaaS に仮想アプライアンスを立てる • 仮想アプライアンスによってはライセンスが必要 Azure Stack
Public VIPs Virtual Network Dst Nexthop 0.0.0.0/0 NVA NVA On-premise 認証・運用監視クライアント VPN 装置

検討時のポイント：仮想マシンとの通信方法なんでも VPN 経由にしない。パブリッククラウドなデザインにする Azure Stack Public VIPs Virtual Network
Dst Nexthop 0.0.0.0/0 Internet 認証・運用監視 VPN GW VPN GW On-premise 認証・運用監視クライアント VPN 装置

検討時のポイント：仮想マシンのバックアップ良質なバックアップには、エージェントベースのバックアップが必須 • Azure VM Backup（定期的にスナップショットを取る）が未実装 • 稼働中の仮想マシンに対するスナップショットが未サポート

検討時のポイント：仮想マシンのバックアップ良質なバックアップには、エージェントベースのバックアップが必須 • 使い慣れたバックアップソリューションを採用する • 将来に備えて、Azure Stack Hub のスナップショットを自動取得できるソリューションを検討する

Azure Stack Hub は同じではない

検討時のポイント：運用しやすい OEM ベンダを使うハードウェア周りの運用方法は OEM ベンダごとに違う • Azure Stack Hub
のソフトウェア部分はどの OEM ベンダでも一緒。 • ソフトウェア部分の運用はとてもシンプル • Azure Stack Hub はハードウェア部分は OEM ベンダごとに異なる • 「ハードウェア周りの運用がシンプルかどうか」が OEM ベンダを選ぶ一つのポイント

まとめ Azure Stack Hub を検討する際のポイント 7. パブリッククラウドという文化との適合率 8. 基盤からインターネットへのアクセス 9.
仮想マシンとの通信方法 10. 仮想マシンのバックアップ 11. 運用しやすい OEM ベンダを使う

運用時のポイント

運用時のポイント：アップデートに伴う設定変更を覚悟するごくまれに、重めのアップデートが入る・・・ • Azure Stack は進化し続ける • 進化の過程で既存の設定に対する変更を伴う場合がある • Extension
host の導入に伴うサーバ証明書の追加（1808） • バックアップファイルの暗号化方式が文字列から証明書に（1901） • /20のアドレスが追加で必要（1910） • 運用費用の見積もり時に注意

運用時のポイント：Azure Stack Hub の理解者になる最低限の運用は、慣れれば誰にでもできる • アップデートは高度に自動化されている • Microsoft がリモートで障害対応を支援してくれる

運用時のポイント：Azure Stack Hub の理解者になる Azure Stack Hub を効果的に利用するには？ • Azure
Stack Hub はアップデートとともに進化していく • この進化を正しく理解して、組織に展開できるかどうかがキモ

運用時のポイント：Azure Stack Hub の理解者になる ✓ 導入直後は Azure Stack Hub を使いこなせた
✓ Azure Stack Hub の進化を組織に展開できていない。もったいない状態 Azure Stack Hub のもたらす価値利用できている価値価値時間

運用時のポイント：Azure Stack Hub の理解者になる ✓ 導入直後は Azure Stack Hub を使いこなせた
✓ Azure Stack Hub の進化を組織に展開できていない。もったいない状態 Azure Stack Hub のもたらす価値利用できている価値価値時間 Azure Stack Hub のもたらす価値利用できている価値 ✓ 良き Azure Stack Hub Operator がいる状態 ✓ Azure Stack Hub の進化を組織に展開できている。 Azure Stack Hub を使いこなしている良い状態 or 価値時間

まとめ

まとめ Azure Stack Hub を使ってみて「良い！」と思ったポイント 1. セルフサービスかつオンデマンド 2. Azure と使い勝手が同じ
3. 仮想基盤ではなく IaaS 4. 自動化しやすい 5. 「クラウドだけど手元にある」という漠然とした安心感 6. Windows Server のライセンスが明瞭会計

まとめ Azure Stack Hub を検討する際のポイント 7. パブリッククラウドという文化との適合率 8. 基盤からインターネットへのアクセス 9.
仮想マシンとの通信方法 10. 仮想マシンのバックアップ 11. 運用しやすい OEM ベンダを使う

まとめ Azure Stack Hub を運用する際のポイント 12. アップデートに伴う設定変更を覚悟する 13. Azure Stack
Hub の理解者になる

Azure Stack Hub を導入して分かった10のこと / 10 things I l...

Azure Stack Hub を導入して分かった10のこと / 10 things I learned after installing Azure Stack Hub

More Decks by kongou-ae

Other Decks in Technology

Featured

Transcript