Ignite で発表された Azure のメリット

このポストは、5 月 4 日に投稿された Azure shines bright at Ignite! の翻訳です。 本日の Ignite では、マイクロソフトのクラウドおよびエンタープライズ部門のコーポレート バイス プレジデントを務める Brad Anderson が、今日のモバイル ファースト、クラウド ファーストの世界においてインテリジェント クラウド プラットフォームに求められる特徴についてご説明しました。その特徴とは、信頼性、柔軟性、統合です。Azure はこれらの性質を備え、急速な革新を遂げているプラットフォームで、過去 12 か月間に 500 を超える数の機能とサービスが追加されています。しかし、Azure の真の強みはその革新的なプラットフォームを活用してお客様やパートナー様が開発しているものにあります。3M (英語) 社では Azure でモバイル アプリケーション開発の時間を短縮し、Heineken (英語) 社はグローバル マーケティング キャンペーンを展開、GE Healthcare (英語) 社は安全で柔軟な医療アプリケーションを提供するなど、Azure を活用して多くのお客様がすばらしい成果を挙げています。 今回は、先日発表した Azure を使用してさらなるイノベーションを推進するための機能、Azure をデータセンターで有効活用する機能、クラウド、オンプレミス、ハイブリッドで一貫したエクスペリエンスを提供する機能の中から主なものをいくつかご紹介します。 データセンターでの Azure の利用 Azure が強力である理由として、ハイパースケールでの運用可能性と、実際に使用していくことによるテクノロジの強化が挙げられます。マイクロソフトは、ハイブリッドに対する信念と、クロスプレミスで高い一貫性を提供するというお約束を実現するべく、お客様が妥協することなくワークロードを実行する場所を柔軟に選択できるように、Azure テクノロジをオンプレミス ソリューションに統合しています。 本日発表された Microsoft Azure…

0

Microsoft Azure のネットワーク セキュリティに関するホワイトペーパーの第 3 版を公開

このポストは、3 月 2 日に投稿された Microsoft Azure Network Security Whitepaper version 3 is now available の翻訳です。 今回更新されたホワイトペーパーでは、お客様が Azure のネイティブなネットワーク セキュリティ機能を使用して情報資産を保護する方法について説明しています。 Microsoft Azure のネットワーク セキュリティに関するホワイトペーパー (第 3 版) の全文はこちらのリンクからダウンロードできます。今回の更新版では 2015 年 1 月時点で利用可能な機能について扱っています。主な内容は下記のとおりです。 お客様のインフラストラクチャをパブリック クラウドで論理的に分離することは、セキュリティを維持するうえでの原則となっています。このため、Azure では分散型の仮想ファイアウォールを使用しています。お客様は論理的に分離された複数のプライベート ネットワークを複数デプロイすることができます。下位レベルで分割されたこのようなネットワークは、通常、次の 2 種類のいずれかに該当します。 デプロイメント ネットワーク: それぞれのデプロイメントはネットワーク レベルで相互に分離されています。あるデプロイメントの中に存在する複数の VM は、プライベート IP アドレスを使用して相互に通信できます。 仮想ネットワーク: 仮想ネットワークは他の仮想ネットワークから分離されています。同一サブスクリプション内に存在する複数のデプロイメントは、同一の仮想ネットワークに配置することができます。この場合、各デプロイメントはプライベート IP アドレスを使用して相互に通信できます。   図 1: 仮想ネットワーク トポロジの例。Azure でホストされている分離された多層型…

1

複数のサブスクリプションによる ExpressRoute 回線の共有

このポストは、11 月 18 日に投稿された Enabling Multiple Subscriptions to Share an ExpressRoute Circuit の翻訳です。 5 月の ExpressRoute の公開以来、ExpressRoute 回線に複数の VNET をリンクすることが可能になりました。ただしこれは、VNET と回線が同じサブスクリプションに属している場合に限られていました。ExpressRoute は現在までに、多くの企業のお客様に導入されています。お客様によっては、ExpressRoute 経由で何百というサイトを Azure に接続しているケースもあります。ExpressRoute の導入に伴い数多くのフィードバックが寄せられましたが、中でも重要なご要望だったのが、複数のサブスクリプション間で単一の ExpressRoute 回線を共有できるようにしてほしいというものでした。企業のお客様の多くが複数のサブスクリプションをご利用になる理由としては、次のようなものがあります。 各サブスクリプションが個別に請求される: 企業では、部門独自の請求ポリシーを設けている場合があるため、各部門で独自のサブスクリプションを作成しています。 各サブスクリプションが個別に管理される:企業では、部門によってセキュリティおよびコンプライアンスの要件が異なる場合があるため、各部門で独自のサブスクリプションを所有し管理する必要があります。 このようなお客様が 1 つのサブスクリプションを使用する ExpressRoute 回線を作成する際には、別のサブスクリプションの VNET も同一の回線へリンクすることが必要となります。今後は、このシナリオがサポートされるようになります。この記事では、シナリオ、要件、ワークフローの詳細についてご説明します。   シナリオ Contoso 社では、各部門で独自の Azure サブスクリプションを所有しています。同社の IT 部門は、ExpressRoute 回線を購入し、オンプレミス ネットワークと Azure 上の IT 部門の VNET を接続しました。さらに営業、マーケティング、エンジニアリングの各部門の VNET…

0

リージョン レベルのスコープへの既存サービスの移行

このポストは、11 月 26 日に投稿された Migrating Existing Services to Regional Scope の翻訳です。 今年 5 月、リージョン仮想ネットワーク (Regional Virtual Network) の一般提供が発表されました。リージョン仮想ネットワークでは、リージョン スケールの Virtual Network や、予約済み IP、内部負荷分散 (Internal Load Balancing)、インスタンス レベルのパブリック IP などの新機能を利用することができます。発表時に、アフィニティ グループに関連付けられている既存のリソースが将来的にはリージョン レベルのスコープに移行される旨をご案内しました。今回は移行の開始時期やその他の詳細についてご説明します。   移行とその影響 移行とは、ある内部システム (クラスター ベース) から別のシステム (リージョン ベース) にネットワーク関連のデータや状態を移動する処理のことです。これは完全にバックエンドの作業であるため、お客様には影響がなく、実行中のサービスにダウンタイムが発生することもありません。Virtual Network (VNET) を移行する場合、この VNET に関連するメタデータと、この VNET 内で実行されているすべてのサービスのメタデータがリージョンのシステムにコピーされます。変更されるのはこの 1 点のみです。サービスは変更されず、中断することなく実行し続けます。   移行が必要な場合 移行が必要となるのは、アフィニティ グループ ベースのシステムに既存のサービスを作成していて、そのサービスを削除してからリージョン レベルのスコープに作成し直すことができず、かつ既存のサービスで次のいずれかの機能を利用する必要がある場合のみです。…

0

クラウドのセキュリティの進化により Microsoft Azure への移行の不安を解消

このポストは、11 月 4 日に投稿された Innovation in Cloud Security Enables Customers to Move to Microsoft Azure with Confidence の翻訳です。 現在、医療や銀行などの規制が厳しい業界でクラウドの導入が加速し、各企業は特にミッション クリティカルなアプリケーションや機密性の高いデータをクラウドに移行しつつあります。このため、クラウドのセキュリティはこれまでにないほど重要性が増しています。こうした中、お客様は「データの保護に関してマイクロソフトのサービスは信頼できるのか」、「Microsoft Azure は我が社のコンプライアンス要件を満たしているのか」、「どのようにすれば仮想ネットワークの安全性を維持できるのか」というような疑問をお持ちです。 Azure では次々と新しいクラウド サービスのリリースを続けていますが、それと同時にデータの保護、脅威からの防御、ネットワーク セキュリティ、ID やアクセスの管理についても技術革新を進めています。Antimalware、Network Security Groups、Roles Based Access Control など、マイクロソフトは今年に入ってから既に数十個の新機能をリリースしており、お客様のセキュリティ要件やコンプライアンス上の課題に対応しています。これらの機能と法務およびコンプライアンスに関する取り組みを併せて、マイクロソフトは、お客様が安心してクラウドへ移行していただけるように、信頼性の高い基盤を提供しています。 データ保護 マイクロソフトはクラス最高レベルの暗号化機能のサポートに取り組んでいます。Azure では、お客様と Azure サービスとの間でインターネットを経由してやり取りされるコンテンツを暗号化する際に、最近強化された TLS/SSL 暗号化スイートや Perfect Forward Secrecy などの業界最先端の機能を既定で使用しています。今年は暗号化機能を拡張し、格納中のデータのセキュリティを保護するためのさまざまなオプションを提供しています。これにより、BitLocker によるデータ ボリュームの暗号化や、Cloud Link (英語) および Trend Micro (英語) が作成したサード パーティ製のソリューションによる高度な暗号化が可能になりました。Azure のデータ保護の詳細については、こちらのホワイトペーパーをご覧ください。…

0

Network Security Groups

このポストは、11 月 4 日に投稿された Network Security Groups の翻訳です。 先日開催された TechEd Europe で、マイクロソフトは、Azure ネットワーク製品群にとって強力な新規サービスとなる Network Security Groups の一般提供の開始を発表しました。Network Security Groups を使用すると、Virtual Network (VNET) 内部のセグメント化や、VNET 内に存在する Virtual Machines (VM) の送受信トラフィックの細かな制御が可能です。また、DMZ (非武装地帯) を構築してデータベース サーバーやアプリケーション サーバーなどのバックエンド サービスの安全を厳重に管理する場合にも役立ちます。 用途とシナリオ 業務ワークフローをクラウドで実現するにあたって、多層アプリケーションを構築することは珍しくありません。通常、Web プロキシ サーバーや DNS サーバーなどのフロントエンド層のエンティティは、インターネットに接続されている DMZ 内に配置されます。アプリケーション サーバーやバックエンド インスタンスなどの他の層の機能は、より高い安全性が求められるため、DMZ からは分離されます。この層では、フロントエンドの特定のインスタンスからのトラフィックのみを受信し、通常はインターネットへの送信接続は行いません。Network Security Groups を使用すれば、このような多層型アプリケーション アーキテクチャを Azure でホストできます。 下図は、多層型アプリケーションのデプロイメント例を示したものです。 Network Security Groups では、Azure…

0

Azure Websites での Virtual Network との統合と Hybrid Connections の使用

このポストは、10 月 30 日に投稿された Using VNET integration and Hybrid connections with Azure Websites の翻訳です。 この記事では、リモートの MySQL データベースと連携する WordPress を Azure Websites で実行する方法について、2 つのセクションに分けてご説明します。最初のセクションでは、Azure Virtual Machines (VM) と Azure Virtual Network (VNET) でデータベースをホストし、VNET との統合と Hybrid Connections を使用して Azure VNET に安全に接続する方法を紹介します。ここでは VNET が既に存在し、その中で VM がプロビジョニング済みであることを前提とします。 2 つ目のセクションでは、オンプレミスのホスト環境でデータベースをホストし、Site-to-Site VPN と VNET との統合の併用によってアクセス可能な状態にする方法を紹介します。ここでも、同じ既存の VNET を使用します。オンプレミスの場合は Hybrid Connections を機能させるうえで VNET…

0

Azure VM での複数の NIC のサポート、Azure へのネットワーク仮想アプライアンスの導入

このポストは、10 月 30 日に投稿された Multiple VM NICs and Network Virtual Appliances in Azure の翻訳です。 TechEd Europe 2014 では、Azure VM での複数のネットワーク インターフェイスのサポートについて発表がありました。また、Azure へのネットワーク仮想アプライアンスの導入に関して重要なパートナーシップを締結したこと (特に Citrix Netscaler および Riverbed のアプライアンス) も発表されました。多くのネットワーク仮想アプライアンスでは複数の NIC が必要となりますが、今回の更新で、Azure VM で複数の NIC を使用できるようになり、ネットワーク トラフィックの管理がより簡単になります。また、フロントエンドの NIC とバックエンドの NIC のトラフィックを分離したり、データ プレーンのトラフィックを管理プレーンの通信と分離したりすることが可能になります。次の図は、1 台の VM で 3 つの NIC を使用する場合の例です。 複数の NIC を持つ VM を作成する方法 以下の説明は、既定の NIC…

1

Azure Load Balancer の新しい分散モード

このポストは、10 月 30 日に投稿された Azure Load Balancer new distribution mode の翻訳です。 Azure Load Balancer はレイヤー 4 (TCP、UDP) 型のロード バランサーで、負荷分散セットに定義されている Cloud Services 内または Virtual Machines の正常なインスタンスの間で受信トラフィックを分散します。 この機能の分散処理アルゴリズムでは、5 つのタプル (送信元の IP、送信元のポート番号、送信先の IP、送信先のポート番号、プロトコルの種類) のハッシュを使用して、利用可能なサーバーにトラフィックをマッピングします。これは、1 つのトランスポート セッションでのみ有効です。同一の TCP セッションまたは UDP セッションのパケットは、負荷分散対象のエンドポイントのうち、同一のデータ センターの IP (DIP) を持つインスタンスに転送されます。クライアントがいったん接続を切断して再接続した場合、または同一の送信元 IP から新しいセッションを開始した場合、送信元のポート番号は変更され、トラフィックは異なる DIP を持つエンドポイントに転送されます。 今回、Source IP Affinity (セッション アフィニティまたはクライアント IP アフィニティとも呼ばれます) という新しい分散モードが導入されました。これにより、Azure Load Balancer…

0

エンタープライズ向けの新しいネットワーク サービス機能とパートナーシップを発表

このポストは、10 月 29 日に投稿された New Networking features and partnerships for Enterprise scenarios の翻訳です。 先日、パブリック クラウド環境やハイブリッド クラウド環境でハイパースケールのエンタープライズ クラス アプリケーションの構築を可能にする Azure ネットワーク サービス関連の発表を行いました。ExpressRoute の機能強化としては、新たな戦略的パートナーシップの締結、オーストラリアの Meet-Me 拠点への展開、マルチサイト ExpressRoute による災害復旧体制の強化、1 本の ExpressRoute 回線の複数サブスクリプションによる共有、4,000 ものルートのサポートを発表しました。また、総合的なセキュリティの強化も行いました。具体的には、マルチティア トポロジでのサブネットの分離を容易にする Network Security Groups、ネットワーク トラフィックをオンプレミスに送り返してポリシー検証を行いコンプライアンス要件に対応させる Site to Site Forced Tunneling、VPN での Perfect Forward Secrecy (PFS) といった機能をサポートしました。マイクロソフトは Azure のネットワーク サービス機能を継続的に強化することを目標としており、その一環として、新たな高パフォーマンス ゲートウェイ、VM の複数の NIC、VPN 操作ログへのアクセス、入れ子状の Traffic Manager…

0