Azure Stack Integrated systems を検討・導入する際のポイント / the points when considering and deploying Azure Stack

Azure Stack Integrated systems を
検討・導入する際のポイント

View Slide

自己紹介
松本雄介
• 三井情報株式会社
• Azure, Azure Stack のプリセールス・設計・構築・運用・技術評価に従事
• IaaS と Network が得意分野。PaaS がんばってます
• Azure Stack integrated system を導入して、1年半ほど絶賛運用中
• 日本のお客様のご要望を本社開発チームにフィードバック

View Slide

Demo
Applying hotfix 1.1905.3.48

View Slide

自己紹介
Azure Stack Integrated system の情報を発信中 @kongou_ae
• Azure Stack Advent Calendar
• 網羅的に。全部読んでいただければ Azure Stack の概要はばっちり
• なれる！Azure Stack Operator
• Azure Stack の運用にフォーカスした資料
• 個人ブログ
• 5/30時点で Azure Stack カテゴリのエントリは68個
• Microsoft MVP for Microsoft Azure (2019/5~)

View Slide

セッションの対象とゴール
対象
• Azure Stack Integrated system に興味・関心のある方
• Azure Stack Integrated system の導入を検討する（かもしれない）方
• Azure Stack Integrated system を導入する予定のある方
ゴール
• 2019年6月において、Azure Stack Integrated system を検討・導入するう
えで大事なポイントを理解する

View Slide

もくじ
• Azure Stack Integrated system とは
• 直近のいい感じアップデート
• 今後の予定
• 検討時のポイント
• 導入時のポイント

View Slide

諸注意
Azure Stack という表記
• Azure Stack という記載は Azure Stack Integrated system を表します
• 資料内に Azure Stack HCI は一切登場しません
お断り
• Azure Stack 1905 Update 時点の公開情報をもとにしたセッションです
• 本セッションの内容は、所属組織を代表するものではありません

View Slide

Azure Stack Integrated system とは

View Slide

Azure Stack Integrated system は Azure の拡張機能
• “Azure innovation anywhere”
• Azure と一貫性を持った仕組みがオンプレミスで動作する

View Slide

Azure Portal Azure Stack Portal

View Slide

Compute
Virtual machine
App Service plan
VM scale set
Availability set
Disk
Snapshot
Image
Function
App Service
Web
Network
Virtual network
Load balancer
Public IP address
Network interface
Connection
Virtual network gateway
Local network gateway
DNS zone
Route table
Template
Storage account Service Fabric Cluster
Security
Key vault
Storage
Kubernetes Cluster

View Slide

Compute
Virtual machine
App Service plan
VM scale set
Availability set
Disk
Snapshot
Image
Function
App Service
Web
Network
Virtual network
Load balancer
Public IP address
Network interface
Connection
Virtual network gateway
Local network gateway
DNS zone
Route table
Template
Storage account Service Fabric Cluster
Security
Key vault
Storage
Kubernetes Cluster
• PaaS ではない
• 利用者が ARM テンプレートを使って自分の IaaS としてデプ
ロイする

View Slide

検証済みアプライアンス
• Microsoft と OEM パートナによって、ハードウェア構成と各種パラメー
タが事前に決められている
Host Node
4～16台
HLH
1台
ToR Switch
2台
BMC Switch
1台
検証済み
パラメータ
標準パターン

View Slide

検証済みアプライアンス
• 利用者が自由に決められる範囲はごくわずか
• 認証方式
• 命名関連（内部ドメイン名、外部ドメイン名、サーバのNaming prefix）
• ネットワーク周り（サブネット、BGP ASN）
• 参照するDNSとNTP、syslog

View Slide

Demo
Azure Stack deployment worksheet

View Slide

直近のいい感じアップデート

View Slide

Express Update の導入（1903 Update）
• Full Update
• Host Node の Windows Update を含むアップデート
• 4Nodeだと20時間から40時間ほどかかる

View Slide

Express Update の導入（1903 Update）
• Full Update
• Host Node の Windows Update を含むアップデート
• 4Nodeだと20時間から40時間ほどかかる
• Express Update
• Host Node の Windows Update を含まないアップデート
• 4Nodeだと10時間から20時間ほどで終わる

View Slide

Demo
Full update vs Express update

View Slide

アップデートの想定時間を開示（1903 Update）
• Microsoft の検証環境におけるアップデート時間の実績を公表
• これまで：前回と同様、今回も25時間くらいか？？（根拠なし）

View Slide

アップデートの想定時間を開示（1903 Update）
• Microsoft の検証環境におけるアップデート時間の実績を公表
• これまで：前回と同様、今回も25時間くらいか？？（根拠なし）
• 今：なるほど35時間が目安か
https://docs.microsoft.com/en-us/azure-stack/operator/azure-stack-release-notes-1905

View Slide

内部のドメインコントローラが2台から3台に（1905 Update）
• アップデート・メンテナンス中の可用性が大幅に向上
• これまで：DC×２、ERCS×３
Host Node#1
DC#1
ERCS#1
Host Node#2
DC#2
ERCS#2
Host Node#3 Host Node#4
ERCS#3
Infrastructure Role Instances
クラスタ上で動作
単一サーバ上で動作

View Slide

• これまで：DC×２、ERCS×３
Host Node#1
DC#1
ERCS#1
Host Node#2
DC#2
ERCS#2
ERCS#3
メンテナンス中
単一サーバ上で動作

View Slide

• 1905以降：DC×３、ERCS×３
Host Node#1
DC#1
ERCS#1
Host Node#2
DC#2
ERCS#2
ERCS#3
単一サーバ上で動作 DC#3

View Slide

• 1905以降：DC×３、ERCS×３
Host Node#1
DC#1
ERCS#1
Host Node#2
DC#2
ERCS#2
ERCS#3
メンテナンス中
単一サーバ上で動作 DC#3

View Slide

今後の予定

View Slide

今後の予定
IoT Hub
Event Hub
Stream Analytics
Private Preview

View Slide

今後の予定
IoT Hub
Event Hub
Stream Analytics
Private Preview
⇒Edge シナリオ多め

View Slide

今後の予定
IoT Hub
Event Hub
Stream Analytics
Kubernetes Service
Private Preview In-development
Multi Scale unit
N Series VM (GPU)
Support web Proxy

View Slide

検討時のポイント

View Slide

検討時のポイント
① Azure との適合率を測る
② まずは Connected を検討する
③ Azure と違う部分を理解する
④ 証明書の仕様に注意する

View Slide

検討時のポイント①：Azure との適合率を測る
従来の仮想基盤と Azure Stack の間には「断絶」がある
• 単なる基盤の入れ替えではなく、Azure という文化圏への移行
• 従来の仮想基盤の実装・考え方をそのまま引っ越せない可能性がある
Microsoft
Azure
Microsoft
Azure Stack
Hyper-V
Azure文化圏仮想基盤文化圏
!?

View Slide

https://docs.microsoft.com/ja-jp/azure-stack/operator/azure-stack-customer-journey#planning-phase

View Slide

Azure Stack を使いこなせるかは Azure との適合率次第
• 適合＝ Azure の特徴をポジティブ・ネガティブのどちらで捉えるか
Azure の特徴ポジティブネガティブ
新しいサービスがリリースされ続ける便利なサービスを増やしてくれる新しいことを学び続けなければならない
サービスが改善され続ける Microsoftが勝手に改善してくれる Microsoftの都合で変化を求められる
サービスの仕様が明確検討事項が少なくて済む Azure にあわせなければならない

View Slide

• 適合＝ Azure の特徴をポジティブ・ネガティブのどちらで捉えるか
• Public な Azure を利用して、組織が Azure に適合するかを確認する

View Slide

• 「オンプレでも Azure したい！」とポジティブな場合、今すぐ買う
• Azure の印象が強烈にネガティブな場合、踏みとどまる or 覚悟を決める

View Slide

検討時のポイント②：まずは Connected を検討する
Azure Stack を Azure と連携させるかを決めなけばならない
• Connected vs Disconnected
• Azure Stack の「クラウドらしさ」は Connected で発揮される
• Azure Active Directory による高度な認証
• マルチテナント
• 利用料金の従量課金
• シンプルな運用

View Slide

Connected が必須な部分は基盤側だけ
• Connected が必要なサブネットと接続先の FQDN は決まっている
• テナントの Virtual Machine のインターネット接続は必須ではない
• DMZ 的なネットワークに Azure Stack と踏み台を置くことで、基盤の
Connected と Virtual Machine の Disconnected を両立させる

View Slide

Internet
Intranet
DMZ

View Slide

Internet
Intranet
DMZ
Azure Stack
Public VIP/27
Infra
BMC
Other Public VIPs

View Slide

Internet
Intranet
DMZ
Azure Stack
Public VIP/27
Infra
BMC
Other Public VIPs
Virtual Network

View Slide

Internet
Intranet
DMZ
Azure Stack
Public VIP/27
Infra
BMC
Other Public VIPs
Virtual Network
Bastion

View Slide

検討時のポイント③：Azure と違う部分を理解する
Azure と一貫性はあるが、Azure と全く同じではない
① Azure ではお馴染みのサービスがリリースされていない
② Azure とは仕様がちょっと違う

View Slide

Recovery Service Vault がリリースされていない
• Azure Backup（エージェントレスのスナップショット）が使えない
• エージェント型バックアップで Virtual Machine のデータを保護する

View Slide

新しい VPN Gateway がリリースされていない

View Slide

• 1本あたり 200Mbps 以上のスループットが欲しい場合は NVA を使う
SKU スループット Azure Azure Stack
Basic 100 Mbps 〇〇
Standard 100 Mbps × 〇
Highspeed 200 Mbps × 〇
VpnGw01 650 Mbps 〇 ×
VpnGw02 1 Gbps 〇 ×
VpnGw03 1.25 Gbps 〇 ×

View Slide

• 様々なベンダの仮想アプライアンスが Azure Stack をサポート
• BYOLのみ
• API と連携した冗長化機能が Azure Stack をサポートするか要確認
Barracuda CloudGen Firewall for Azure
Arista vEOS Router
F5 BIG-IP VE
FortiGate NGFW
VM-Series Next-Generation Firewall
Check Point vSEC

View Slide

VPN Gateway がマルチテナント
• Azure Stack 全体で 2Gbps の上限が存在する
• 2 Gbps を超えそうな場合は NVA を使う or システムのデザインを変更
VNet
基盤 GW GW GW GW
VNet
基盤 GW GW
Azure Azure Stack
GW

View Slide

VPN Gateway に頼らないデザインを検討する
• 何が何でも VPN をやめて、高トラフィックな処理を Public Load
Balancer や Public IP address に分散する
Azure Stack
Public VIPs Virtual Network
On-premise
認証・運用監視
クライアント Dst Nexthop
0.0.0.0/0 Internet
認証・運用監視 VPN GW

View Slide

Demo
Infrastructure role instances
for VPN Gateway

View Slide

検討時のポイント③：Virtual Machine の IOPS
Premium Disk の IOPS の仕様が全く違う
• Azure Stack の Virtual Machine で高 IOPS が必要な場合は、SありVMに
たくさんDiskを積んでストライプする
Azure Azure Stack
IOPSの値保証上限・保証なし
インスタンスあたりの上限サイズを大きくすればIOPSも増える Sありタイプ：Disk1本あたり 2300 IOPS
Sなしタイプ：Disk1本あたり 500 IOPS
※Diskの種類・容量は関係ない
Diskあたりの上限容量を大きくすればIOPSも増える

View Slide

ケース①：DS2_v2 に 200GB の Premium SSD を1本マウント
6,400 IOPS
Azure
1,100 IOPS
or ⇒ 1,100 IOPS 保証
Sあり型番
Azure Stack
2,300 IOPS
then ⇒ 2,300 IOPS 上限

View Slide

ケース②：DS12v2 に 31G の Standard HDD を12本ストライプ
12,800 IOPS
Azure
500×12 IOPS
or ⇒ 6,000 IOPS 保証
Sあり型番
Azure Stack
2,300×12 IOPS
then ⇒ 27,600 IOPS 上限

View Slide

ケース②：DS12v2 に 31G の Standard HDD を12本ストライプ
⇒

View Slide

仕様の違いに目を通す
• Azure Stack で仮想マシンを操作する際の考慮事項
• Azure Stack マネージドディスク: 相違点と考慮事項
• Azure Stack ストレージ:相違点と考慮事項
• Azure Stack ネットワークに関する考慮事項
• Azure Stack 上の Azure Monitor

View Slide

検討時のポイント④：証明書の更新を考慮する
公的認証局の証明書 vs 内部認証局の証明書
• 公的証明書の期限は最長でも2年
• 期限を迎える前に証明書を更新して、Azure Stack 上の証明書をローテー
ションしなければならない
• 所謂「5年一括契約」な場合、更新のコストを見込んでおく
• 利用者が単独組織の場合は、内部認証局も選択肢になりうる

View Slide

導入時の注意点

View Slide

導入時のポイント
① 事前の準備をしっかりと
② Azure Stack の理解者を育成する

View Slide

導入時のポイント①：事前の準備をしっかりと
忘れ物をするとデプロイが始まらない＝納期が遅れる
• ドメイン名
• サーバ証明書
• Azure サブスクリプション
• ラック・電源
• DNS、NTPへの到達性
• インターネットへの到達性

View Slide

• ドメイン名
受発注を伴うため時間がかかる
見積取得、社内処理、発注・・・

View Slide

• ドメイン名
ガチ物理のため時間かかる

View Slide

• ドメイン名
他部門作業のため時間がかかる
申請から10営業日・・・

View Slide

導入時のポイント②：Azure Stack の理解者を育成する
Azure Stack の進化を理解する人材を育てる
• 最低限の運用は、慣れれば誰でもできる
• アップデートはボタン一つ
• 障害対応は Microsoft Support が助けてくれる

View Slide

• Azure Stack を効果的に利用するには、Azure Stack への理解が必要
• Azure Stack の進化を理解して、組織に展開できるかどうかがキモ

View Slide

価値
時間
Azure Stack のもたらす価値
利用できている価値
✓ 導入直後には Azure Stack を使いこなせていた
✓ Azure Stack の進化を組織に展開できていない。
もったいない状態

View Slide

価値
時間
✓ 導入直後には Azure Stack を使いこなせていた
✓ Azure Stack の進化を組織に展開できていない。
もったいない状態
価値
時間
✓ 良き Azure Stack Operator がいる状態
✓ Azure Stack の進化を組織に展開できている。
Azure Stack を使いこなしている良い状態
or

View Slide

まとめ

View Slide

まとめ
• 検討時のポイント
① Azure との適合率を測る
② まずは Connected を検討する
③ Azure と違う部分を理解する
④ 証明書の更新を考慮する
• 導入時のポイント
① 事前の準備をしっかりと
② Azure Stack の理解者を育成する

View Slide

Ask the speaker &

View Slide

Azure Stack Integrated systems を検討・導入する際のポイント / the points when considering and deploying Azure Stack

Azure Stack Integrated systems を検討・導入する際のポイント / the points when considering and deploying Azure Stack

kongou-ae

More Decks by kongou-ae

Other Decks in Technology

Featured

Transcript