レビューメディア「ジグソー」

インフラ屋さんから見たAzureのご紹介

さて、今回は、Microsoft Azureの活用術ということで、選出していただきましたので、

頑張って書いていこうと思います。

私、偉そうにレビューをしようとしていますが、はっきり言ってAzureに関しては、

全くのド素人とお考えください。

 

MCP試験で必要になってきたこともあり、一度触っておこうというのが応募の動機です。
そのため、間違った解釈や説明があると思いますが、やさしい突っ込みで指摘いただけると

ありがたいです。

 

仕事では、インフラ系SEをしており、ある意味Azureとは商売敵ではありますが、

このレビューで、活用方法を模索して、インフラSE目線でのAzure活用術で

見て行きたいと思います。

 

習うより慣れろの精神で、とりあえずは触って行こうと思います。

ここが一番の問題です。サッとホームページを見た感じでは、Azureは複数のサービスで
構成されているようです。

仮想マシン、ストレージ、サービス、ネットワークなど様々なサービスがあり、全部を
把握できませんが、インフラ屋さん目線で思ったことは

 

ハードウエアの管理から解放され、
     初期コストを抑えて、安定したサーバー環境が利用できる

 

ということで、自社内においていたサーバー機器群をAzureに移設することで、
システム管理者は、ハードウェアの管理から解放され、システムの運用だけに集中できます。
ハードウエアのトラブルに起因する、システム障害はなくなりますね。


早速、Azureを使っていきたいと思いますが、まず気になるのは、
セキュリティではないでしょうか?


社内の重要な情報をクラウド上、インターネットを経由してアップロード、
世界中のAzureデータセンターで複製される。

 

これだけ書くと、危険な雰囲気が漂いますね。

  ・データセンターは日本にもある。

  ・データを格納するデータセンターは選択できる。冗長先もグループ(Geo)で選択可能

  ・データは、Azure内の仮想ネットワークとIPSecによる拠点間VPNで安全に接続可能

  ・データセンター運用担当者は、顧客データには、顧客の承認が必要。ログがとられる

  ・政府機関などからのデータ開示には基本応じない。データ開示は顧客側に依頼する。

  ・第三者機関の監査を定期的に受けている。必要であれば、
  ・レポートを自社の監査に使える

  ・国際情報セキュリティ管理標準ISO27001取得

 

と、いろいろ書いてありますが、以下の文書が非常に参考になりました。
参考資料:http://azure.microsoft.com/ja-jp/community/whitepapers/#security

 

書きだすと長くなりそうなので、セキュリティ、コンプライアンスに関しては
おおむね対応できそうですね。

文書はこのくらいにして、Azureを使うには、まずはアカウントを作る必要があります。
今回は、新規のMicorsoftアカウントと無償評価版でレビューしていきたいと思います。

必要なもの

  ・クレジットカード(必須)

  ・通話可能な携帯電話

  ・外国人から電話がかかっても、驚かない心

1.http://azure.microsoft.com/ja-jp/ へアクセス

 

 

2.右上「無料評価版」をクリック

3.中ぐらいにある「無料で試す」をクリック

 

 

4.下にある、「新規登録」をクリックしてアカウントを作成します。

5.Micorsoftアカウントサインアップ画面
   名前やユーザー名、電話番号などを入力し登録します。 
   ユーザー名に関しては、新規で作っても普段お使いのアドレスでも問題ないようです。

   この辺はWindows8以上をお使いの方や、OneDriveを使っている方なら

   問題ないのではないでしょうか?

 

 

6.Azureサインアップ画面に遷移します。
   (1) 自分の情報を入力します。

   (2) 携帯電話確認では、SMSか電話で確認コードを受け取ります

    私の携帯電話ではSMSを受け取れなかったので、電話を選択しましたが、

    英語で電話がかかってきますので、慌てずに聞きましょう。
    一方的にコードを伝えてきて、電話が切れますので、ご注意ください。

   (3) クレジットカードを登録します。

 

   (4) 確認してチェックを入れ、クリックてください。

7.これで、Azureのアカウントが作成できました。

Microsoft営業さんにも確認しましたが、評価目的であれば、個人が複数アカウントを
作成して何度も評価しても問題ないとのことでした。


ためしに、別のアカウントを、同じ個人情報で登録しましたが、普通に作成できました。

最初にポータルなどを用意するのに多少時間がかかるようで、10分ほどで完了します。

右上の「ポータル」をクリックすると、Azureポータルへ遷移します。

アカウントができたところで、さっそく活用術にいきます。

 

更新: 2014/10/23
Microsoft Azure の活用術 PREMIUM REVIEW

ストレージ、RemoteApp、仮想ネットワークとVPN

私がAzureサービスを見て最初に思い浮かんだのは、ストレージサービスでした。

どこの職場にも、大抵ファイルサーバー、もしくはNASがあると思います。

また、これらのデータは、定期的にバックアップを取っていると思います。

 

ここで、Azureの活用術 一つ目ということで、
Azureストレージをバックアップに使ってみました。

バックアップにAzureを利用する。

 

いろんな機能がある中で、データの疎開先としてはうってつけではないでしょうか。
災害対策で、重要データを疎開する運用を行う会社も多いと思います。

 

Azureサービスには、Backupというサービスもありますが、

これはWindowsServer2012R2もしくは、
SystemCenter2012R2 DataProtectionManagerを使って、Windows7以上、
2008R2以上で、利用可能なようです。

職場で使っているOSや環境にもよりますが、SystemCenterを使えるのであれば、
こちらのほうが、使い勝手はよさそうです。

 

重要なデータがある、バックアップはしておきたい、バックアップ運用をする技術者が
いない、技術者が転勤でいなくなってしまった等、選択肢の一つになりそうです。

 

費用を抑えて、運用も最小で、スモールスタートができる。

Azureストレージでバックアップに使ってみたいと思います。

※ちょっと調べたところ、サードパーティ製ではありますが、
すでに同様のアプリケーションやNASを販売しているようです。

 

ちょっとした手間と時間をかけるだけで、Azureストレージにバックアップが
取れるようになります。


Azureストレージの使い方と、活用術ということで、ご覧下さい。

 

1.データを保存するストレージアカウントを用意します。
   データを保存するための器になる、ストレージアカウントを作ります。
   Azureでは、ほとんどのサービスでこのストレージサービスが使われます。
   複数作成することができますので、用途に分けて作成可能です。

 

  ○気になる費用は?
   ストレージは、保存している容量に対して課金されます。
  http://azure.microsoft.com/ja-jp/pricing/calculator/?scenario=data-management/ 

   上記URLで、シュミレーションもできます

 

   100GBあたり、月額244円~です。
   冗長する方式、ストレージの種類により値段は変わります。

   ストレージアカウントを作るには、Azureポータルから、
   左下の「新規」→「データサービス」→「ストレージ」→「簡易作成」をクリック
   作成画面で、情報を入力します。
    URL:ストレージアカウントの名前になります。
       ストレージにアクセスするためのアドレスにもなるものです。
       任意ですが、一意にする必要があるようです。
    場所/アフィニティグループ:アカウントを作成する場所を選択します。
    レプリケーション:Azureではデータセンター内外でデータを複製して
    冗長構成をとります。最低でもデータセンター内で3つの

    複製がとられますが、その選択になります。
    選択が終わったら、右下のチェックマークをクリックすると作成が始まります。
    

   今作成したストレージアカウントの状態が表示されます。
   右下のアイコンでも作業中なのがわかると思います。

 

   このアイコンは、今作業中のタスクの数と状態が表示されています。

   作成が完了すると、状態が「オンライン」になります。


   ストレージの名前部分をクリックすると、アカウント内のダッシュボードへ遷移します。
   サービスが下に表示され、各エンドポイントと呼ばれる、URLが表示されています。


   このURLがAzureストレージにアクセスするアドレスになります。

   OneDriveやDropBoxのようにドラッグアンドドロップで、
   アップロードというわけにはいきませんが、比較的簡単に、
   ローカルのフォルダーをAzureにコピーが可能です。
   費用さえ考えなければ、容量は使いたい分だけ使うことができます。

2.Azure SDKをインストール
   Azure SDKという、Azureを使うための開発ツールの集まりです。

   ダウンロードは、Azureポータルより、左上の「」記号をクリックして
   メニューを表示し、ダウンロードをクリックします。

   直接リンクも貼っておきます。http://azure.microsoft.com/ja-jp/downloads/

   

   少しスクロールして、下のほうに、コマンドラインツールがあります。
   そこで、「Azureコマンドラインツール インターフェース」→

   「Windowsのインストール」をクリックして、インストーラーをダウンロードします。


   WebPlatformInstallerが起動します。
   「Azure Cross-platform Command Line Tools」が選択されていると
   思いますので、「インストール」をクリックしてインストールを進めてください。

   インストールが完了すると、プログラムメニュー内に、
   「Microsoft Azure Storage Command Line」が利用できるようになります。

   立ち上げてみると、コマンドプロンプトが立ち上がります。
   「azcopy」というコマンドが使えるようになります。

   azcopyは、AzureストレージのBlobへ簡単にコピーを行うコマンドです。
   ローカルからBlob、Blobからローカル、BlobからBlobなど、
   Blobへのファイル操作を支援するツールです。

   

   便利なコマンドなので、覚えておくと便利です。
   Blobタイプを指定して、仮想マシンのアップロードにも使えます。

 

3.コピーの実行

   azcopyを使って、ローカルから、Azureへコピーしてみます。

   Azureストレージへアプリ側から利用するには、「秘密鍵」が必要です。
   秘密鍵は、「アクセスキー」とAzureでは言うようです。
   Azureポータルから、ストレージアカウントのダッシュボードへ行き、
   下部に「アクセスキーの管理」をクリックすると表示されます。

   アクセスキーを控えたら、さっそくコマンドを使ってみます。

 

4.コマンドを実行します。
   やってみること
   ・複数のファイルとフォルダで構成されているローカルの「C:\Test」というフォルダ
   ・Azure上のストレージアカウントのコンテナーにバックアップする
   ・ブロックBLOBでローカルフォルダを、Azureストレージへコピーする

 

   BLOBやコンテナなど聞きなれない文字が出てきました。
    BLOBとは、Binary Large Objectの頭文字で、データベースなどで、
    バイナリ―データを格納するデータ型のことを言います。

 

  BLOBは2種類存在します。まとめるとこんな感じです。
  ブロックBLOB
   ・最大200GB
   ・1ファイルを複数のブロックに分割(1ブロックは最大4MB)
   ・一般的なファイルに適している。
   ・ブロック単位で並列処理ができる。

  ページBLOB
   ・サイズ指定で使用する。最大1TB
   ・1ページ512バイトのページ配列というものに格納する
   ・ランダムアクセスに最適化されている
   ・課金はサイズではなく、使用しているページサイズ分

   

   簡単に考えるとBLOBは1ファイルと考えていいと思います。
   コンテナーとは、フォルダのような役割を持っています。
   BLOBが集まったものがコンテナということになります。 
   コンテナにはアクセス権を設定したりできます。

 

 脱線しましたが、さっそくコピーを実施してみます。

   azcopy C:\Test https://<ストレージアカウント名>.blob.core.wind
                ows.net/<コンテナ名> /Destkey:<アクセスキー> /S
   ※ azcopyでコピーをする際に、コンテナーがない場合自動的に作ってくれるようです。
     これだけです。アクセスキーの分長くなりますが、シンプルですね。

    このコマンドを、バッチファイルなどにして、タスクスケジューラーで定期的に

   実行すれば、バックアップが完成します。
   USBのHDDに定期的にバックアップするのと同じ感覚でできてしまいます。

 

   非常に簡単にデータを、Azureにコピーできましたが、ストレージとの通信には
   秘密鍵となるキーが必要で、一目見ただけでは覚えきれない長さです。
   そして、万が一の内部犯行にも、ログ機能がありますので、追跡も可能です。
   セキュリティ維持のため定期的にアクセスキーを変更することも可能です。

 

   ブロックBLOBで、どのくらいのスループットが出るか手元に約90GBの
   写真フォルダがありますので、これをAzure上にアップロードして検証してみました。

   

   環境
   ・自宅内はすべて1GbpsのLAN
   ・ファイルは自宅内のファイルサーバーに格納されている。
   ・単体のファイルでは、1ファイル1MB~7MBほど。
   ・ファイル数は、約30558ファイル、フォルダ数は1391フォルダあります。

 

   早速やってみた結果ですが、46分ほどかかりましたが、問題なく完了しました。

   ですが、このままだと、約1TBのデータがあった場合、回線状況にもよりますが、
   100GBで約1時間と考えれば、10時間もかかることになり、あまり現実的な
   方法とは言い切れません。

   azcopyには差分バックアップの機能はないので、毎回フルバックアップになります。
   月1回とかであれば、問題にはなりませんが、毎日の運用には厳しそうです。

 

   AzcopyはページBLOBでもコピー可能です。
   ページBLOBを使って、毎日差分を仮想ディスク VHDファイルにコピーし、
   週次もしくは月次で、Azureにアックアップすることを検討してみます。

 

   1.ローカルにVHDを作ります。DiskPartコマンドでさっくりと作成

   2.ローカルPCへマウント

      自動でマウントするのであれば、diskpartコマンドに/sで

      スクリプトファイルをつけてやればマウントできます。

-------------サンプル attachvdisk.txt---------------------------------

select vdisk file="VHDファイルの絶対パス"

attach vdisk

-------------サンプル attachvdisk.txt---------------------------------

   3.ファイルをコピー

(コマンドならRoboCopyコマンドで差分コピー可能です)

   4.VHDをアンマウント

      自動でマウントするのであれば、diskpartコマンドに/sで
      スクリプトファイルをつけてやればマウントできます。

-------------サンプル detachvdisk.txt---------------------------------
select vdisk file="VHDファイルの絶対パス"
detach vdisk
-------------サンプル detachvdisk.txt---------------------------------


   5.AZCopyでページBLOBとして
     (コマンドオプションに /blobtype:pageを付ける)アップロード

 azcopy <VHD格納フォルダ> <ストレージアカウントURL> /destkey:<ストレージキー> /blobtype:page

   上記は、40GBのVHDディスクをアップロードしたときの結果です。

   約4分でアップロードできました。

   回線の状態によるところも大きいですが、

   これだと、日次はマウント、差分コピー、アンマウントになります。
   週次もしくは月次で、Azureにバックアップを実施すればよくなります。

   安価なUSB-HDDへVHDファイルに毎日差分コピーを行って、
   週に1度もしくは、月に1度、AzureへVHDをアップロードする、
   そんな運用も考えられます。

   
   VHDであれば、差分ディスクも可能ですので、アップロード時間も少なくできますね。

 

   VHDアップロードは、元フォルダは触りませんので、業務時間帯に
   アップロードしても、誰にも迷惑かけないので、毎日アップロードしても
   いいかもしれませんね。

   大きなVHDファイル1つなので、アップロードの効率もよさそうです。

  

   参考までに、VHDファイルの全体アップロードですが、Azureはデータセンターから
   見て、受信するデータ(こちらからはアップロード)に関しては、無課金なので、
   安心してアップロードしちゃってください。

 

   ページBLOBの最大容量は1TBなので、大抵のファイルサーバーはいけると思いますが、
   さらに必要であれば、VHDを複数に分割することで、さらに容量を稼げます。

   このように、Azureストレージにバックアップは、データ疎開による災害対策
   としては正解だと思います。

 

   また、企業内で予算を立てて、システムやソリューションを設計する場合、
   バックアップにも気を使い、予算と工数を消費するくらいなら、
   一時バックアップに安価なUSB-HDDを使い、業務時間帯の日中などに、
   Azureへアップロードのような提案をするのもよいのではないでしょうか?

   

   Server OSであれば、Azureバックアップの機能サービスも使えるので、
   サーバー自身のシステムバックアップも使えそうですね。

 

   サードパーティ向けのバックアップソフトもAzureに対応したりと、
   ますます、Azureを活用したバックアップソリューションも
   世の中に出てくると思われます。

 

   実際、仮に10TBの容量をAzureに保存した場合、気になるのは費用です。
   上のほうに書いた、シュミレーションページで、10TBのデータを保存した場合、
   月額いくらになるか、試算してみました。


   10TB使うと、月額51,000ですね。参考までにブロックBlobだと約半額です。
   1GBあたり5.1円の計算です。
   1GBで5.1円なら安いかなぁと思いますが、10TBとなると結構なお値段ですね。

   

   USB HDDの2TBで大体、8000円くらいですので、1GBあたり4~5円くらいを
   考えると、月額で考えるとちょっと高い気がしますが、企業向けの
   ストレージ製品の保守料を考えた場合、比較対象になるのではないでしょうか?

   たしか、エントリクラスのストレージで同じくらいの金額だったと記憶しています。

 

   結局メリットとしては、HW障害から解放される、使った分だけの支払い、
   エントリークラスストレージ以上の信頼性、容量が足りなくてもすぐに増やせる。

   この辺のメリットをどう考えるかですね。

 

話は変わりますが、私の職場でRemoteAppを使ったシステムを展開していることもあり、気になっているサービスがあります。

 

それが、Azure RemoteAppです。ということで、2つ目の活用術

 

RemoteAppというサービスを使ってみたいと思います。

 

これは、リモートデスクトップの親戚みたいなものです。
サーバー上で動作するアプリケーションをクライアントで、あたかも自分の端末で
動いているかのようにする機能で、クライアントはWindowsだけでなく、
AndroidやiOS、Linuxなどでも利用可能です。

Azure RemoteAppサービスは、プレビュー版ですが公開されています。

早速、プレビュー機能ページから利用申請しましたが、一向に利用できる気配が
ありませんでした。

 

そこで、需要があるかどうかわかりませんが、仮想マシンを立ち上げ、
RemoteDesktopServiceの役割を導入し、手元にあるWindowsとAndroidから
使ってみました。

 

これにより、社内システムなどのプログラムをサーバー側で動作させ、
さまざまなクライアントで利用することが可能になります。

 

Windowsマシンなら、ローカルで動かせばいいのでは?と思う方も多いと思いますが、
重要な顧客データなどを扱うプログラムであれば、社外で使っている端末にデータを
抱えさせずに、アプリケーションのみ利用させることができます。

 

BitLockerやリモートワイプなどで、端末を制御できますが、データはクライアントに
あるという事実は変わらず、すべてを把握することはできないと思います。
これがサーバー上だけで動いているのであれば、そこを重点的に監視すればよく、
管理工数も削減できます。

 

RemoteAppでサーバー側でプログラムを動作せることで、他にもメリットが生まれます。
・利用者が全員同じデータを利用でき、また共有できる。
・インターネットにつながる端末であれば、ほとんどの端末で利用可能。
・端末側にはデータを保存しない。
・Webベースのシステムであっても、キャッシュを残さない。
このようなメリットがあります。

 

最低限、必要なものは、
・Server仮想マシン
・ActiveDirectory役割
・RemoteDesktopService役割
・RD接続ブローカー役割
・RDWebアクセス役割
・RDセッションホスト役割

・RDゲートウエイ役割

・RemoteAppで動かすプログラム
こんな感じです。

 

いろいろありますが、Azure側で必要なのは、仮想マシン1台あれば、
すべての役割を1台に突っ込んでも動きます。

 

全部を書ききれないため、現段階では、細かい手順は省略します。
注意点や重要な部分だけ書かせていただきます。
こんなこともできるよということで、やさしく見守ってください。

 

上記をホストするために必要なAzureサービス
・仮想ネットワーク
・仮想マシン(1台~3台)

 

超簡易手順
1.仮想ネットワークを作る
   仮想ネットワーク上の仮想マシン同士が通信するために必要です。
   仮想ネットワークは無料です。
   仮想ネットワーク上に作った仮想マシンにも、グローバルなIPが
   割り当てられるので、RDPによるログインは可能です。


2.ADサーバーを立てる
   仮想マシンをA0あたりで作ってください。
   ネットワークのプライマリDNSは「127.0.0.1」で自分自身を向けてください。
   ADDSをインストールしたら、特別作業は不要です。

 

   仮想マシンを作ったら、仮想ネットワークのDNSサーバーに、作成したADサーバーの
   ホスト名と内部IPアドレスを登録してください。

 

   以降、作成する仮想マシンは、DHCPで割り当てられるDNSサーバーが
   上記のアドレスになります。

3.RemoteDesktopService(RD接続ブローカー)マシンを作る
   仮想マシンをA1~A2くらいで作ってください。

   ・上記ADサーバーへドメインへ参加してください。

    

   ・リモート管理は有効にしてください。

    

   ・ドメイン参加後は、ドメインユーザーでログインしてください。

   ・RemoteDesktopServiceはセッションホストモードで。

 

 

   ・全部の機能を突っ込む場合、クイックセットアップで一気に作ってOKです。
   ・クイックセットアップをすると、自動的に公開アプリケーションが作成されています。
   ・これだけじゃ、つまらないので、適当なアプリケーションも公開設定しておきました。


4.RDゲートウエイを作る 
   仮想マシンをA0で作ってください。
   ドメイン参加してください。

   役割は接続ブローカーで行います。  

 

5.RemoteDesktopService(RD接続ブローカ)での操作
   RDゲートウエイ役割を4.のサーバーにインストールしてください。

   外部アドレスを、仮想マシンのDNS名(xxx.cloudapp.net)に設定

   証明書の作成は、自己証明書ですが、4.の外部DNS名(xxx.cloudapp.net)

   作成した証明書は、クライアントの信頼するルート証明機関へ

   最後に展開プロパティで、ゲートウエイに上記の自己証明書を割り当て

   エンドポイントで、443ポートを解放してください。

あとは、インターネットにつながった、ローカルPCやタブレットから利用します。

 

アドレス:https://<RD接続ブローカーコンピューター名>.cloudapp.net/rdweb

このアドレスで、画面を開くと、ログイン画面になりますので、
ADサーバの作成時に使ったrdsadminユーザーでログインします。

 

公開設定したアプリケーションが表示されるので、クリックするとアプリケーションの
起動が開始され、ADサーバーにインストールしていないアプリケーションが起動します。

 

ここまで動いたら、システムとしては完成です。

 

これによって、Android上でWindowsアプリが利用できます。

 

   Androidでの接続方法は、

   1.GooglePlayより、純正RemoteDesktopClientをインストール

     

   2.RemoteResourceから、「add remote resource」をタップ

    

   3.edit remote resourceで、RDゲートウエイの情報を入力

    


      URLhttps://<RD接続ブローカーコンピューター名>.cloudapp.net/rdweb 

      UserName:ドメイン名\ユーザー名

      Password:パスワード

     最後に「Done」をタップ

   4.証明書がないといわれているので「Manage」をタップしてインストール

     

     ポップアップで確認されるので「Trust Always」をタップ

   5.公開しているアプリケーションが表示されます。

     

   6.アプリケーションをタップすると、全画面ですが起動します。

 

Windows8なMiix2 8で動かしてみました
タブレットでは出るはずない速度でCDMが動いているように見えます。

このように、Windowsアプリケーションをデバイスを問わず動かせてしまいます。

 

難しいセキュリティはちょっと置いておいて、
仮想ネットワークとVPNゲートウエイを組み合わせて、自社のネットワークに接続すれば、
自社内のシステムが使えるモバイル環境も作れてしまいます。

簡易的ながらも、RemoteAppソリューションを構築できました。
自社独自のパッケージを組み込んだ、Azure仮想マシンを作り販売するなど、

 

売り手、買い手ともにメリットが出せると思います。

開発ベンダー側
 メリット
  ・パッケージ単体での販売よりも、企業へ販売しやすい。
  ・ハードウエアに起因する、ソフト保守作業がない。
  ・パッケージのメンテナンスを自社からできる。
  ・ソフト保守作業がやりやすい。
 デメリット
  ・ハードウエアでの売り上げがなくなる。 →  Azureライセンス販売?

                        継続した売上になる?
  ・Cloudに難色を示す企業が多い → 拠点間VPN解決できるので大丈夫?
  ・データセンターのセキュリティ → 文書を読む限りは大丈夫ではないか?

 

利用者側
 メリット
  ・ハードウエアを買わなくてよい。イニシャルを下げることが可能。
  ・サーバーを管理しなくてよい。
  ・何かあっても、ベンダー側にリモートで見てもらえる安心感
  ・拠点間VPNで社内システムのように利用できる
 デメリット
  ・従量制のため、使い続ける限り費用が発生する。 → 保守料と同じ?
  ・インターネット経由のため、回線が遅い。不安定。 → そこまで遅くはない?

 

RemoteAppに限らず、こういうAzureの基盤を使ったソリューションは、
システムを開発、構築、販売まで行う企業にメリットがあるだけでなく、
利用者側にもメリットがあると思います。
デメリットもありますが、ほとんど解決できそうなので、あまり問題ではならないでしょう。

 

もう少し、無料評価の枠が残っていますので、いろいろと使ってみたいと思います。

ちょっと、興味があったので、自宅のネットワークと、Azureの仮想ネットワークを
VPNで接続して、自宅ネットワークとシームレスに使えるようにしました。

IPSecのVPN接続をすることで、セキュアな接続とクラウドを意識しないでクラウド上の
サービスを利用できるようになります。

 

今回は、VPNルーターを用意できなかったので、WindowsServer2012R2のRRAS役割を
利用して接続してみます。

 

導入前の自宅検証などで、役に立ちそうなので書いておきます。
必要なもの
 ・Azure 仮想ネットワーク
 ・Azure VPNゲートウエイ
 ・Azure 仮想マシン1台(確認用)
 ・自宅にWindowsServer2012R2サーバー1台(仮想でも可)
 ・可能であれば固定IP(なくてもIP変わるまでは使えます)
 ・DMZ機能のあるルーター(私はNetGear R7000)
 ・静的ルーティングができるルーター(同上)

 

登場人物が多いのですが、これで一応、接続できましたので、検証目的では使えると思います。

 

早速作っていきます。
1.Azureポータルから、仮想ネットワークを作ります。
   Azureポータルから、仮想ネットワークと仮想マシンを1台作ります。
   仮想ネットワークは自宅と違うセグメントで作ります。
   「新規」→「ネットワークサービス」→
         「仮想ネットワーク」→「カスタム」と選択していきます。

   名前、場所を入力します。

   

   次に、DNSサーバおよびVPN接続で、
   サイト間接続の「サイト間VPNの構成」にチェックを入れます。
   それ以外はデフォルトのままです。

 

   

 

   サイト間接続に名前を登録します。任意で問題ないです。
   VPNデバイスのIPアドレスは、自宅ルーターのグローバルIPアドレスを入力します。
   不明な場合は、診断君:http://taruo.net/e/ などで調べてください。

   アドレス空間には、自宅のローカルアドレス範囲を入力します。

   

   仮想ネットワーク アドレス空間で「ゲートウエイサブネットの追加」をクリックして
   ゲートウエイ用のセグメントを追加します。

   

   これで仮想ネットワーク+サイト間接続ネットワークができました。

 

2.VPNゲートウエイを作成します。
   仮想ネットワークからVPNゲートウエイの作成を行います。

   

   ダッシュボードから、
   画面下の「ゲートウエイの作成」→「動的ルーティング」をクリックします。
   「はい」「いいえ」で「はい」をクリックして作成開始です。

   結構時間がかかりますが、作成されるとこんな感じになります。
   

3.作成している間に、自宅側の作業をします。
   仮想マシンでもいいので、WindowsServer2012R2を一台作ってください。
   検証であれば、評価版でも問題ありません。
   IPアドレスをDHCPではなく、固定にしてください。
   以下RRASサーバーとして説明します。

 

   TechNetやMSDNにはNICを2つ用意するとか、ルーターの位置と置き換える
   ようなことを書いていますが、これから説明する方法でできましたので、
   自宅のネットワーク内にあるServerマシンでOKです。

   役割サービスとして、リモートアクセスとルーティング役割(RRAS)を
   追加してください。

   

   次に、接続インターフェースを作っていきます。Powershellで作ります。

   以下のコマンドレットを、RRASサーバー上で管理者として実行してください。
-----------------------ここから--------------------
Import-Module RemoteAccess

Install-RemoteAccess -VpnType VpnS2S
Add-VpnS2SInterface -Protocol IKEv2 -AuthenticationMethod PSKOnly -NumberOfTries 3 -ResponderAuthenticationMethod PSKOnly -Name <Azureゲートウエイアドレス> -Destination <Azureゲートウエイアドレス> -IPv4Subnet @("<Azure上の仮想ネットワーク範囲CIDR表記>:100") -SharedSecret <共有キー>

Set-VpnServerIPsecConfiguration -EncryptionType MaximumEncryption
Set-VpnS2Sinterface -Name <Azureゲートウエイアドレス> -InitiateConfigPayload false -Force

-----------------------ここまで--------------------

   RRASサービスを再起動します。
    Restart-Service RemoteAccess

 

5.自宅のルーターの設定を変更します。
   DMZ機能があり、外部からのパケットを特定のIPへ転送する機能を有効にし、
   RRASサーバのIPを設定してください

   さらにNATフィルタのようなものがあれば、解除してすべてのパケットを
   転送するようにしてください。

   


   IPSecにはESPというパケットで認証します。
   普通のルータは破棄してしまうので、このパケットをRRASサーバーに
   転送する必要があります。

   合わせて、静的ルートも登録してください。
   Azure上の仮想ネットワークアドレス範囲をRRASサーバーへ転送してください。

   

  

  これですべての準備ができましたので、接続を行います。

 

6.自宅とAzureをVPNで接続する

   たぶん、このころにはVPNゲートウエイが出来上がっていると思います。

   


   自宅側のRRASサーバーで、Azureゲートウエイアドレスのインターフェースが、
   切断状態だと思うので、これを右クリックで「接続」をクリックして接続します。

   


   うまくいくと、状態が接続になり、Azure上のダッシュボードも接続の絵になります。
   

   

   試しにPingを投げると応答があります。
   Azure上のサーバーに共有フォルダを作って、公開設定をすると普通に共有フォルダとして見えました。

 

   速度はそれほど出ませんでしたが、Azureを気にせず、Azure上のサーバーリソースを利用できました。

 

インフラ屋さん目線で、Azureを体験してきました。

レビューというより、サービス紹介としてみていただいたほうがいいと思います。

何書いているんだろうと、思われてしまう内容だと思いますが、
同業のインフラ屋さんやIT技術屋さんには、ソリューションの一部などに適用できそうな内容だったと思います。

 

シーンによっては、これは使えるかも?というのが直感です。

Azureを利用することで、専門の技術者がいない、小さな企業や事務所に大掛かりなサーバー群を導入しなくても、安全にかつ、スピーディーに、そして安価に導入できるサービスだと感じました。

 

業務上、何かシステムの導入を検証するということを指示、命令されたとき、手元にハードウエアもOSもない、予算もない状態で、Azureを無償評価範囲で使えば、サーバーOSで検証ができます。自宅からでも検証できます。

 

オンプレミスで構築するメリットも大きいですが、クラウドに構築するメリットも大きいです。これらを組み合わせ、ハイブリットなシステムを構築することで、よりよいシステムの構築ができるのではないかというのが、私の感想でした。

 

多くの企業では、クラウドに否定的ではありますが、世の中がクラウドに移っていくことで、そ

の流れも変わってくるのではないでしょうか?

 

以上、長文、駄文におつきあいいただきありがとうございました。

 


 

2014/10/23 追記

レビュー後、10/21に無償評価期限が切れたようです。

作成したアカウントのアドレスにも通知が来ていました。

ポータルにもアクセスしてみましたが、同じように警告メッセージで埋め尽くされていました。

仮想マシンも、削除以外はできないようです。
ということで、アカウントが無効になりますが、追加の料金を払えば、復活できるようです。
無料評価で余った、料金も継続して使えるらしいです。

 

 

 

 

28人がこのレビューをCOOLしました!

コメント (0)

ZIGSOWにログインするとコメントやこのアイテムを持っているユーザー全員に質問できます。

YouTube の動画を挿入

YouTube の URL または動画の ID を入力してください

動画の ID が取得できません。ID もしくは URL を正しく入力してください。

ニコニコ動画の動画を挿入

ニコニコ動画の URL または動画の ID を入力してください

動画の ID が取得できません。ID もしくは URL を正しく入力してください。

ZIGSOWリンク挿入

検索対象とキーワードを入力してください

    外部リンクを挿入

    リンク先の URL とタイトルを入力してください

    URL を正しく入力してください。

    画像を挿入(最大サイズ20MB)

    画像を選択してください

    ファイルサイズが20MBを超えています

    別の画像を追加

    ほかのユーザーのレビュー

    ZIGSOW にログイン

    ZIGSOW会員登録(無料)はこちらから