このページの本文へ

さとうなおきの「週刊アジュール」 第1回

Azureから新機能が続々、VM、ネットワーク、ストレージのアップデートをまとめて紹介

連載初回から大長編です、Ignite 2017のIaaS新発表にキャッチアップ!

2017年10月06日 13時00分更新

文● 佐藤直生 編集 ● 羽野/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

Azure Virtual Network: Azure Storage/SQL Database/SQL Data Warehouseに対するサービスエンドポイント

 Azure Storage、Azure SQL Database、Azure SQL Data WarehouseといったPaaSサービスは、インターネット経由でアクセスするためのエンドポイントを持っています。これは、多様な環境からのアクセスが可能となる反面、セキュリティ上のリスクと捉えられる場合もあります。

 今回、新たにプレビューとして提供されたAzure Virtual Networkの「サービスエンドポイント」を使うと、Azure Storage、Azure SQL Database、Azure SQL Data Warehouseへのアクセスを特定の仮想ネットワークからのみに制限し、インターネット経由のアクセスを遮断することができます。

 また、Azure Storageでは、Azure SQL Databaseなどで提供されているものと類似のファイアウォール機能も提供されるようになりました。

 詳細は、ブログポスト「Announcing Virtual Network integration for Azure Storage and Azure SQL「Azure SQL Database and Data Warehouse VNET Service Endpoints public preview」「Announcing Preview of Azure Storage Firewalls and Virtual Networks」サービスエンドポイントのドキュメントをご覧ください。

サービスエンドポイント

Azure DDoS Protection

 Azureは、インターネット公開されたエンドポイントを持っているため、DDoS(分散サービス拒否)攻撃を受ける場合が少なくありません。そのため、Azureは、以前から基本的なDDoS保護機能を持っていました。

 今回、Azure DDoS Protection Standardのプレビューを発表しました。これに伴い、これまで提供してきたDDoS保護機能をAzure DDoS Protection Basicと呼ぶようになりました。

 Azure DDoS Protection Basicは、Azureプラットフォームにデフォルトで組み込まれており、無料で有効化されています。トラフィックの常時監視、一般的なネットワーク攻撃のリアルタイム対応などの機能を持っています。

 Azure DDoS Protection Standardは、Azure Virtual Networkの既存の仮想ネットワークに対して有効化でき、追加のDDoS保護機能が提供されます。保護ポリシーは、専用のトラフィック監視と機械学習アルゴリズムでチューニングされます。

 詳細は、ブログポスト「Azure DDoS Protection Service preview」Azure DDoS Protectionのページをご覧ください。

Azure DDoS Protection

Azure Virtual Network: アプリケーションセキュリティグループ、サービスタグ、拡張セキュリティ規則

 Azure Virtual Networkでは、仮想ネットワーク内のサブネットやVMのNICに対して、ネットワークセキュリティグループ(NSG)を指定します。NSGには、ソース/ターゲットIPアドレス、ポート、プロトコルを基に、受信/送信ネットワークトラフィックを許可/拒否するセキュリティ規則の一覧が含まれています。

 今回、NSGを定義を簡素化するための3つの新機能のプレビューが追加されました。アプリケーションセキュリティグループを使うと、VMをグループ化してグループに基づくセキュリティ規則を定義できます。サービスタグは、Microsoftが管理するAzure StorageやAzure SQL DatabaseといったサービスのIPアドレス空間であり、セキュリティ規則の作成を簡素化します。拡張セキュリティ規則は、複数のポート、複数のIPアドレス、サービスタグ、アプリケーションセキュリティグループを組み合わせて、単一のわかりやすいセキュリティ規則を作成できます。

 詳細は、ブログポスト「Azure Networking announcements for Ignite 2017」「Preview 開始の新機能:NSGのサービスタグ“Azure Storage”についての実演」ネットワークセキュリティのドキュメント(拡張セキュリティ規則、サービスタグ、アプリケーションセキュリティグループの各セクション)をご覧ください。

ネットワークセキュリティグループ(NSG)

Azure Virtual Network:グローバル仮想ネットワークピアリング

 Azure Virtual Networkでは、これまで同じAzureリージョンにある複数の仮想ネットワークをピアリングして、異なる仮想ネットワーク内のVM間で直接通信することができました。

 今回、異なるAzureリージョンに存在する仮想ネットワーク間でピアリングする機能が、プレビューとして提供されました。これは、データベースのレプリケーションやDR(災害復旧)などのシナリオで便利でしょう。なお、仮想ネットワーク間の通信は、Microsoftのバックボーンネットワークを通り、インターネットを経由することはありません。

 詳細は、ブログポスト「Azure Networking announcements for Ignite 2017」仮想ネットワーク ピアリングのドキュメントをご覧ください。

グローバル仮想ネットワークピアリング

Azure Virtual Network:最大30Gbpsをサポート

 昨年のIgnite 2016では、高速ネットワーク(Accelerated Networking)によって、最大ネットワークパフォーマンス25 Gbpsを持つVMを発表しました。

 今回、高速ネットワークが強化され、D64 v3、Ds64 v3、E64 v3、Es64 v3、M128msのVMインスタンスで、最大30Gbpsをサポートすることを発表しました。

 詳細は、ブログポスト「Azure Networking announcements for Ignite 2017」高速ネットワークのドキュメントをご覧ください。

Azure Load Balancer:Azure Load Balancer Standard、HAポート

 VMに対する負荷分散を行うAzure Load Balancerでは、今回新たにAzure Load Balancer Standardがプレビューとして提供されました。これに伴い、従来から提供していたAzure Load BalancerはAzure Load Balancer Basicになります。

 Azure Load Balancer Standardは、最大1000VMへのルーティング(Basicでは最大100)、(Azureリージョン内の複数のAZに冗長配置される)ゾーン冗長、複数AZ上のVMへの負荷分散、(TCP/UDPポート番号に関係なくすべてのトラフィックを負荷分散させることができる)HAポートといった追加機能をサポートしています。

 詳細は、ブログポスト「Azure Networking announcements for Ignite 2017」Azure Load Balancer Standardのドキュメントをご覧ください。

Azure Load Balancer Standard

Azure Traffic Manager:リアルユーザー測定、トラフィックビュー

 Azure Traffic Managerは、さまざまなAzureリージョンのエンドポイントへのトラフィックのルーティングを制御できます。

 Azure Traffic Managerのパフォーマンスルーティングでは、エンドユーザーからのリクエストを、エンドユーザーに近いエンドポイントにルーティングします。デフォルトでは、Azure Traffic Managerが管理しているネットワークレイテンシ情報を基に、ルーティング先が決定されます。今回新たにプレビューとして提供される「リアルユーザー測定」を使うと、エンドユーザーの実際のレイテンシを測定し、その情報も活用してルーティング先を決定するようになります。

 Azure Traffic Managerのトラフィックビューは、ユーザーの場所、トラフィック量、レイテンシ、トラフィックパターンを理解できるようにします。

 詳細は、ブログポスト「Azure Networking announcements for Ignite 2017」リアルユーザー測定のドキュメントトラフィックビューのドキュメントをご覧ください。

Azure Traffic Manager

 次は、Azure Storageの新機能を紹介しましょう。

カテゴリートップへ

この連載の記事