Azure クラウド基礎講座(AZ-900受験バウチャー付き)に参加した

Azure クラウド基礎講座(AZ-900受験バウチャー付き)に参加した。

Azure Technical Trainer(7月からできたらしい)の安納順一氏・(おそらく)小塚大介氏に説明いただいた。
また説明の後にAZ-900を受験することができて、合格した。

気になったことなどをメモしておく。

NISTが定めたクラウドの定義

・オンデマンドセルフサービス
 つまり、稟議や処理などが発生しない。例えば仮想マシンを構築する際に承認作業などは発生しない。
・幅広いネットワークサービス
 どこからでもアクセスでき、必要な人が必要な権限でアクセスできる。
・スピーディな拡張性
 アクセス数に合わせて、スケールや縮小可能である。
・サービスが計測可能であること
 負荷状況や金額の可視化ができる。

クラウドの柔軟性(コスト観点)

・初期投資(CapEx:資本的支出)がビジネスを止めることが多い。クラウドであれば運営支出(OpEx)にて運営可能。
 例えば仮想マシンであればCPUの利用時間だけ金額が発生する。
・リージョンから送信されたデータのみ課金される。(リージョン内のデータ転送は課金されない(VNETピアリングも))

AzureStack

・Azureと同じハードを購入して、オンプレミスにAzureを構築可能。
 これを購入する前に、パブリッククラウドでは本当にダメかを検討すべし。
 (法律の制限にかかって、AzureStackを利用する場合が多いらしい。)

サブスクリプション

・Azureを売るといっても、見えるものはない。そのため使用権を売ることになる。これをサブスクリプションと呼ぶ。
 部門ごとに支払したい場合は複数サブスクリプション契約となる。
・MSの場合は社員につきサブスクリプションを1つ持っているらしい。
・1つのAzureADに複数のサブスクリプションを紐づけることが可能。

リージョン、ゾーン

・東日本には西日本というリージョンペアがあり、これらは太い帯域で接続されている。
・最低3つのデータセンターでリージョンは構成される。
 このときデータセンターをゾーンと呼ぶ。
・障害ドメインに配置することで、仮想マシンは別ラックに配備される。

Azure Resource Manager(ARM)

・APIと考えて問題ない。ARMテンプレートを利用して、Infrastructure as Code が実現される。

ADの位置

・ADはVnet内にセカンダリを構築したほうが認証が高速になる。

Azureストレージサービス

・以下のストレージを利用可能。
 ・Blob Storage :HTTPSで接続する
 ・File Storage :SMBで接続する
 ・Table Storage:スキーマ定義が必要なNoSQLストア
 ・Queue Storage:KBレベルのメッセージを処理するためのストア
・ストレージアカウントごとにアクセスキーが作成される。サービスがストレージにアクセスするためにはキーが必要。
・1秒間に20000IOPSを処理可能。これを超える場合は複数ストレージアカウントを用意する必要がある。
・geo冗長(GRS)をした場合、もしリージョンに障害があった場合、別リージョンにデータは残る。
 アプリなどで利用している場合は、切り替えが必要になる。
・GRSとRA-GRSはLRSを拡張したもの。ZRSを拡張したものは、現在プレビュー版にて存在している。

Azure database services

・Cosmos DBは高額。起動して放置すると大変なことになるかも。

IoT(モノのインターネット)

・正しいデバイスからの正しいデータであれば受け取り、バックエンドのデータベースにデータを保存するのがIoT Hub。
 IoT Hubからその後のデータ分析までのソリューションを提供するのが IoT Central。

ビックデータソリューション

・Azure SQL Data Warehouse :蓄積が目的のデータウェアハウス。
・Azure Machine Learning service:自分で1からすべて解析したい人向けのサービス。
・Azure Machine Learning Studio :コードを記述しなくてもある程度の解析が可能なサービス。

サーバレスコンピューティング

・Azure Logic Apps: コードレス。イメージとしてはフローチャートを作成すれば、プログラムを作成可能。
 Azure Event Gridと併用することで、データベースにあるデータが入れば通知するといった処理が作成可能。
 Azureの各サービスと連携している。

Azure Firewall

・Azure Virtual Networkリソースを保護するステートフルなセキュリティサービス(FaaS)
・よくある使い方は、NSGと違ってFQDNを指定できるため、*.microsoft.comのようなフィルターを作成してWindows Updateのみできるようにする。

Azure AD ID保護

・Identity Protection – リスクに基づく条件付きアクセスポリシー
 ・日本からのアクセスについては緩く、中国からのアクセスについては厳しく制御するなどが可能。
 ・アクセス元のWindowsに最新のパッチが適用されているかどうか。

Azure Advanced Threat Protection(ATP)

・オンプレミスのADのログを吸い上げて、脅威などを監視するセキュリティソリューション。
 普段平日しかアクセスしないユーザが、日曜深夜などにアクセスすると検知されたりするらしい。

Azure Information Protection(AIP)

・もともとRMSと呼ばれていたもの。
・機密性が高い資料について、アクセス制限を付与することができる。
 Aさんは閲覧のみ(印刷やコピーできない)、Bさんは変更できない、などの権限を設定することが可能。
・クレジットカードの番号を含むWORDファイルなど、自動的に透かしを追加することが可能。

ポリシー

・Aさんは東日本リージョンに仮想マシンに作成できる、ただSQL Databaseは利用できない、などポリシーを作成することが可能。
 すでにSQL Databaseを利用していた場合は、リソースはそのまま残る。そして後日、準拠していないリソースとして確認可能。
・サブスクリプションか、リソース単位に割り当てる。
・BlueprintだけはManagement Groupに割り当てることが可能。
 つまり「自社が利用するサブスクリプションはこうでなければならない」といった制御をすることが可能。

ロック

・サブスクリプション、リソースグループ、または個々のリソースレベルでロックを管理することが可能。

RBAC:Role-based Access Control

・Aさんについて仮想マシンのON/OFFできるが、構築や削除はできない、といった定義が可能。