# Azure インフラ管理超実践セミナー MEMO ###### tags: `MS` `セミナー` ## ■ 組織的に Azure を導入・管理するために必要な知識・スキルとは? ### 組織的グラウド導入での悩み * Azure 上に即立ち上げができるものが揃っているので組織としてはスピードが大事 * ただセキュリティ、ガバナンスがトレードオフになることが多い * → どうやっていくか (以下) ### Azure AD (AAD) * Azure を使う上で必須 * Office365 を導入した際にの裏でも自動的に作成される * 自社アプリ、組織の認証基盤で用いられる * オンプレミスと運用する場合、同期、連携を行う ### Azure AD B2B 機能 * ゲスト招待する * ex. お客様環境の運用権限だけもらう * 運用側は所属会社の ID をゲストとして登録してもらう * → ゲスト招待してもらっても自社の Azure AD ポリシー(MFAなど)が効く＝ガバナンス効いている * MS アカウントの招待も可能だが、自身で MFA ON/OFF ができるのでガバナンス上は意味なし ＝ B2B しないほうがよい ### サブスクリプションと Azure AD の関係 * 複数サブスクリプションに対してでも AAD は1つとするべぎ * O365 ある場合、必ずAADが1つある * 後に Azure 導入する場合そこにサブスクリプションを紐付けるべき * 例外. 別 AAD をたてないといけない場合 * 自社 AAD にゲスト追加禁止な場合 * → 中立テナントの考え * 自社ユーザもベンダーも中立テナントに招待する。 * ！中立テナントの管理を誰が行うべきかは要検討 ### CSP 契約のサブスクリプション * サブスクリプションの中身を自由に使わせる場合 * サブスクリプションを払い出すときにどの AAD に紐付けるか決める * 顧客は一時的にテナント管理者権限を CSP に渡す必要がある * → 中立テナントが望ましい場合がある * 複数サブスクリプションの考慮事項 * 基本的には用途別(prod, stg, etc..)でサブスクリプションを分けるべき * テナント跨ぎの VNet ピアリングが可能なので必要に応じて設定 ### Virtual DataCenter とは * ★ ハブ＆スポークの考え方がベース  * DOCS: https://docs.microsoft.com/ja-jp/azure/architecture/vdc/networking-virtual-datacenter ### MVP(実用最小限の製品： minimum viable product) * 必要最低限なんだけど必要な機能が備わっている思想 * → https://docs.microsoft.com/ja-jp/azure/architecture/cloud-adoption/governance/getting-started ### 補足: Tech Summit 2018 / PaaS と VNet の融合 * pdf {%pdf https://eventmarketing.blob.core.windows.net/mstechsummit2018-after/AD03_PDF_TS18.pdf %} * youtube {%youtube AIcVOOI4WAE %} --- ## ■ Azure Monitor のモダンな管理手法 ### 補足: de:code 2019 / DevOpsモニタリング * pdf {%pdf https://eventmarketing.blob.core.windows.net/decode2019-after/decode19_PDF_CD13.pdf %} * youtube {%youtube NuMgLJsjO70 %} ### Azure Monitor のフルスタック統合監視 * アプリからインフラまで一気通貫で状況が把握できる。  * Application Insight * End to End で可視化 *  * クラウドの抽象化レイヤー、コンテナの抽象化レイヤー、k8s の抽象化レイヤーを一気通貫で管理 * → やるためには ログ を集めてこないといけない * ### Azure 側が出力するログ * Activity Logs * リソースに対して外部から実行された書き込み操作。いつ、だれが、なにを、を記録するもの * 90日間分は Azure 基板側に保存される * Diagnotics Logs * Log Analytics ワークスペースが同一サブスクリプションに存在する場合、紐付けでワークスペースに転送される * 各リソースが出力する診断ログ * Log Analytics ワークスペースが同一サブスクリプションに存在する場合、紐付けでワークスペースに転送される * Metrics * 各リソースの状態が数値的に計算された値 ### 管理手法1: ログ出力からの利用シナリオ * ウォームパス: Log Analytics ワークスペース * アラート活用や可視化したい(秒単位ではない) * ログの分析、視覚化、アラートに活用(ウォームパス) * コールドパス: ストレージ * 90日以上保持したい等のアーカイブ * ホットパス: EventHub * リアルタイム処理、他システムへのストリーム * Apache Spark へ回したり ### 管理手法2: VM/インサイト機能 * ディペンデンシーエージェント * アクセス状況からレスポンス等の可視化 * https://docs.microsoft.com/ja-jp/azure/azure-monitor/platform/agents-overview#dependency-agent ### 管理手法3: Application Code * Java などのアプリのパフォーマンス情報を取得 * Instrument Package を使用 * Application Insight がアプリのパフォーマンスと操作に関連するメトリックログを収集して、Azure Monitor Logs へ格納 * 実現方法: アプリ内に既定のコードを追加する * 保存先: アプリケーション毎にストレージが用意される * アプリの可用性テスト * Availability Tests を使用 * 参考資料 * de:code 2019 / Application Insight 基礎と実践 * pdf {%pdf https://eventmarketing.blob.core.windows.net/decode2019-after/decode19_PDF_DT05.pdf %} * youtube {%youtube NbSuANzlQb0 %} --- ## ■ ガバナンスとセキュリティ * ガバナンス: 不要なコストや労力を回避するためのもの。 * 無秩序なクラウド環境を抑える。 * 具体的な管理対象は… * ID と ID のアクセス管理 * ポリシーベースの管理 * コスト管理 ### ひとつの理想の形 * 開発担当も運用担当もポリシーで管理 * 承認されているポリシーなので従来のワークフロー承認などは不要の考え * ポリシーで管理している為、ポリシー準拠されているレポートを見れると楽 * CAF(Cloud Adoption Framework)のアプローチ *  * ビジネスリスクのポリシー決め * やりたいことに対してのポリシー * 戦略ポリシーをリスクベースでつくる ### Azure Governances Services * コンプライアンス準拠を実現のネイティブサービス群 * Azure Policy * 拒否ポリシーベースに決める * デプロイ時に自動的にポリシーをあてることが可能 * Azure Management Group * サブスクリプションの構造管理(組織管理など) * サブスクリプションごとにどうゆう操作ができるか管理する * ポリシー適応を一括に可能 * Blue Print * Policy やリソースのテンプレートを一括でデプロイできる * 組織的に承認されたテンプレートである場合、承認不要でスムーズに構築を進められる * Azure Resource Graph * 存在するリソースの分析 * Cost Management * コスト分析、月間予測 * 課金アラート * ガバナンスのセキュリティ * 考え方としてはクラウドバイデフォルト原則も参考にすると良い * 参考: [CIO補佐官が今明かす、日本政府の「クラウド・バイ・デフォルト」の全貌と実践](https://www.sbbit.jp/article/bitsp/36613)  * 全文 {%pdf https://cio.go.jp/sites/default/files/uploads/documents/cloud_%20policy.pdf %}