Interact 2019に参加した。その際のメモ

Windows Server 2019 概要 – 高添修氏

・高添さん7月で50歳らしい。若い

リリース周期

・Insider Preview
　2週間に1度リリースされる

・SEMI-ANNUAL CHANNEL
年2回アップデートが必要なモデル
NANOサーバやコアなど

・LONG-TERM SERVICING CHANNEL
　2-3年に1回リリースされるモデル。いわゆるWin2019のこと
　最近は 10/2 Windows Server 2019 提供開始されたが
　ただデータが消えるバグがあったため、一旦提供を停止して11月に再提供された

エディション

・Windows Sever IoT 2019というものがある
　NAS利用などを想定されておりアップデートが発生しないモデル

Admin Center

・サーバマネージャーを起動すると、Admin Centerを推奨される。つまりAdmin Center推し
　・随時データを取得するため、少し遅い
　・データベースは持たないため、冗長化が複雑でなくなる
　・拡張機能を利用して、監視なども実施可能
　・Azure とも連携可能(Azureサブスクリプションを事前に準備する)

Azureとの連携

・オンプレミス製品にAzureと連動する独自のハイブリッド機能が追加されている
　今まではAzureからオンプレミス製品を管理する(オンプレミス製品にAgentをインストールする)といったアプローチだったが
　オンプレミス製品、例えばAdmin CenterからAzureも操作できるようにしようといったアプローチに変わりつつある

AzureでWin 2019を活用しよう

・CAL不要
・ライセンス持ち込み可能

Windows Server 2019 の HCI

・ソフトウェアで実現しているため専用ハードが不要
　ソフトウェアについては、Datacenterエディション費用に含まれるため、最も経済的なHCI
・Azure Stack HCI といって検証済みなハードが販売されている
・ストレージについて、ファイルシステムの下で動作し、ストレージの性能を使い切れる構造となっている

ひよこでもわかるAnsibleによるAzure構成管理 – @hiyoko_taisa氏

・現在の最新バージョンは2.8.1
　・リリースペースが早い
　・2.8からansibleを実行した結果にrescuedやignoredというステータスが増えており、try catchしているか確認できるようになった
・Azure CLoud ShellからもAnsibleを実行可能
・Dynamic Inventoryを指定することで、vCenterのデータを取得してhostsとして利用することが可能
・AWXというAnsibleTowerのアップストリームプロジェクトがある
　・コンテナ環境必須
　・最新機能が提供され、安定したものがAnsibleTowerに取り込まれていく
・各種教材やデモ用サイトが公開されている
　https://github.com/hiyokotaisa/lightbulb-ja

Windows Server 2019 Hyper-V 何が変わったか？ – 樋口勝一氏

・GMOインターネット
　日本で一番長くWindowsでのサービスの研究、開発をしている
・2016と比較すると、変わったところを探すのは難しい
・2019ではWinServer2008/Vistaがサポート対象外になった
・ダイナミックメモリはパフォーマンスが悪いため、あまり利用しないほうが良いかも
・固定メモリは起動時メモリ以上は増加させることができなかったが、それができるようになった
　(固定メモリにすると起動時メモリはグレーアウトされるが、実は閾値判定に利用されていた模様)
・Hyper-Vの検証時はNestedは便利。何階層までできるか試したところ4階層くらいで遅すぎてギブアップした
・vhdxの中にvhdxがあるとディスクIOの負荷が高い。物理ハードディスクのマウントやS2Dを利用することで回避したほうがよい
・KVM上でNestedを実現可能。あまり利用シーンは浮かばないが、Hyper-Vではない環境でWindowsのContainerを利用したいときは有効かも(もしかしたらAWSなどで内部的に利用している？)
・ReFSは重複除去が優秀なので、ファイルサーバやバックアップサーバには有効
・PowerShellにてNAPTなネットワークアダプタを作成することができる。その場合はホストと同じ経路でインターネットにでていく
・VMグループという機能があるが、GMOでは使ってはいない
　グループ化して一斉にストップとスタートをすることができる。ただし、グループ内容はPowerShellからしか確認できない
・ネットワーク設定不要(VMBus)でPowerShellを実行することが可能
・自動チェックポイントはそこまでニーズはなさそう(Windows Server はデフォルト無効とのこと。クライアントでは有効になる)

Hyper-Vでのサービス提供

・Windowsについてメモリが足りないとスワップアウトする。ディスクに書き込むため、そこがボトルネックになる
　最近はディスクをすべてSSDに変更したことで、かなり負荷軽減できた
　それでも1GBプランについては大量にサーバが存在し、負荷となっていたため
　内部的に別ドライブを用意しそこにスワップアウトするようにして、IOPSを制限することによって全体に負荷がかからないようにしている
・テンプレートを用意すると、WindowsUpdateなどメンテナンスが手間となるため、差分ディスクをうまく利用している
　(ここは質問してみたが、理解が追いつかなかった。資料はあるらしいので、探してみる)
　ソフトはPowerShellダイレクトでインストールする
・このように、いろいろ個別に設定したいのであればAzureよりHyper-Vのほうがオススメ。バランス良く利用すべし

Windows Server 2016 および 2019 のStorage Spaces Direct (S2D) – 松本裕志氏

Interact2019 ws2019 s2d_IN05 from Hiroshi Matsumoto

S2Dを利用した仮想マシンの配置方法は2通りある

・そのままvhdxを記憶域スペースに配置する
・Scale-Out File Serverを用意して、そこにvhdxを配置する
　大規模向けに構築することが多いらしい

HCIについて

・構築手順として、フェールオーバークラスターを構築、ストレージプールを作成、ボリュームを作成する
※前提としてRAIDコントローラーカードはディスクとして利用できない
・ローカルストレージで構築するので、障害の切り分けが容易(iSCSIなどだと切り分けが難しくなる)
・Azure Stack HCIがオススメ(Win2019から呼び方が変わっている)
　・世界で19社が認定を受けている
　・某D社ではディスク故障率が低いらしい

Azure Stackとは

・Azureをオンプレミスで実現するものと理解した
　Azureも操作できるため、ハイブリッド環境でメリットがある

2019から変わったこと

・Admin Centerにて管理できる
・NVMeやさらに速いパーシステントメモリを活用可能
　(Intelから出ているパーシステントメモリはメモリスロットに刺すらしい)
・重複除去や圧縮がとても優秀であり、ReFS利用によってvhdファイルは8,9割ほど削減を見込める
　領域は3分の1くらいになる。ただリアルタイムに重複除去するわけではなく、指定したタイミングで重複除去される
　その際はとても負荷がかかるため要注意
・Performance History
　1年間クラスターの稼働状況やハードウェアのデータ状態を監視できる。レスポンスに問題あるディスクなど可視化可能
・Nestedボリュームを利用することで、2ノードの耐障害性が向上した(2ノードであればこの構成がオススメ)
・USB Witness(USB監視)
　クォーラムをUSBに設定できるようになった

その他

・S2Dの設定情報をhtml出力してくれるPowerShellが提供されている(オススメ)

Azureサービスで実現するセキュリティ全体像 – Ai Hayakawa 氏

責任者共有モデルでユーザが責任を負う範囲について説明していく

ID・権限管理

・ID管理はAzureADが担う
・マネージドIDによってトークン発行可能
・Azureリソースに関する権限はRBACを利用する
・仮想マシンごとに権限を設定するよりも、リソースグループごとなどある程度大きなまとまりとして権限付与することがオススメ
・AzureBlueprintsという機能を利用して、特定操作を拒否することができる(許可よりも優先される)

ネットワーク管理

・サブネットがリージョン単位であることがAzureのよいこと(AWSはAZ単位)
・ASG(Application Security Group)を利用することで、特定グループから特定グループにアクセスできるようなNSGを作成可能
・Site to Site VPN は最大1.25Gbps
・PaaSについてはVNET内に配置ができるが、コスト高のため、サービスエンドポイントで特定のVNETからのアクセス制限することがオススメ
・Azure FirewallについてはL3-7まで対応しているため、特定URLでブロックということが可能

データ保護

・データの重要性に応じて保存するデータを暗号化するべし
　クライアントサイド暗号化が良さそうに感じるが、鍵の管理やアプリケーション開発の手間などかかるため、暗号化する場合は使い分けることが大切
・AzureVMについてデフォルトでWindowsはBitlocker、LinuxはDM-Cryptが利用されている

監査ログ

・操作ログはアクティビティログにて保持される
・アクティブティログを長期間保持したい場合、Azure BLOBへアーカイブし、保存期間を設定する
・操作ログとは別にAzureADにてサインインログを取得しておく

モニタリング・ガバナンス

・ワークフロー(申請と設定など)ではなく組み込みポリシーで管理できるようにすることが可能
　Azure Policyなどで実現することが可能