Azure ネットワークに関する 2018 年 5 月の発表

  • Article

執筆者: Yousef Khalidi (CVP, Azure Networking)

このポストは、2018 年 5 月 9 日に投稿された Azure Networking May 2018 announcements の翻訳です。

 

今週シアトルで、マイクロソフトの開発者向けイベント Microsoft Build 2018 が開催されています。このイベントには毎年、テクノロジの進化に強い関心を持ち、クラウド アプリの新たな開発手法の習得に熱心な数千人ものソフトウェア プロフェッショナルやプログラマーの皆様が集結されています。ちょうどよいタイミングですので、この記事では、最近発表したネットワーク関連に新しいサービスや機能強化についてお伝えしたいと思います。

ミッション クリティカルなワークロードを Azure に移行する動きは、企業の規模を問わず増えています。そうした中、新たなビジネス チャンスとして考えられるのが、監視によるセキュリティ保護や管理、そして、信頼性やパフォーマンスといった重要分野における Azure 全体のネットワーク エクスペリエンスをよりシンプルにすることです。マイクロソフトは、Azure のネットワーク機能の強化に継続的に取り組んでいます。その一環として、DDoS 対策や Azure サービスへの VNet アクセス、ゾーン対応 Application Gateway、世界規模の CDN サービス、さらに超高速ロード バランサーといった新規サービスの提供を開始しました。これに加えて、お客様がより多くのことを達成できるよう支援する新たなサービスやテクノロジの開発を行い、さらに、負荷の高いワークロードの実行や管理を支援することも重要な取り組みとして行っています。

Azure DDoS Protection

先月、Azure DDoS Protection Standard サービスの一般提供 (英語) が発表されました。この機能は、仮想ネットワーク (VNet) にデプロイされているアプリケーションやリソースに高度な DDoS 攻撃緩和機能を提供するものです。DDoS Protection はアプリケーションやリソースに変更を加えることなく簡単に有効化することが可能で、マイクロソフトが自社の保護に使用しているものと同じ DDoS 対策テクノロジをお客様のサービスでご利用いただけます。専用の監視機能と機械学習により DDoS 対策保護ポリシーを自動的に構成し、お客様のアプリケーションのトラフィック プロファイルを継続的にチューニングして、サービスを完全に保護します。

Azure DDoS

概要については、こちらの入門ビデオ (英語) をご覧ください。また、詳細については、Azure DDoS Protection サービスのドキュメントを参照してください。

VNet サービス エンドポイント

VNet サービス エンドポイントを使用すると、VNet のプライベート アドレス空間を Azure サービスに拡張できます。これにより、ビジネス クリティカルな Azure リソースへのアクセスを VNet 内部からのみに制限し、インターネットからのアクセスを完全に遮断することができます。サービス エンドポイントからのトラフィックの経路は、すべて Azure 内部のみとなります。

今年初めに、マイクロソフトは Azure Storage と Azure SQL Database での VNet サービス エンドポイントの一般提供を発表しました。その後もサービス エンドポイント経由でアクセス可能なサービスの拡張を続けていましたが、今回、「Azure Cosmos DB サービス エンドポイント」の一般提供を発表しました。Azure Cosmos DB では、この種のサービスとしては初めてリージョン間をまたぐアクセス制御がサポートされ、複数のリージョンに存在するサブネットから世界規模で分散されている Azure Cosmos DB アカウントへのアクセスを制限できます。詳細については、VNet サービス エンドポイントのドキュメントを参照してください。

VNet Service Endpoints

VNet サービス エンドポイントが Azure サービスへのアクセスを VNet からのみに制限

Azure DNS の強化

Azure DNS プライベート ゾーンのパブリック プレビューが開始されました。この機能では、カスタム DNS サーバーを使用せずにお客様の VNet で安全かつ確実に名前解決を実行できます。この機能では、DNS ゾーンをお客様の VNet に適用することができます。また、企業名などのカスタム ドメイン名にも柔軟に対応できます。プライベート ゾーンを使用すると、単一の VNet 内の場合と複数の VNet にまたがる場合の両方で名前解決を実行できます。プライベート ゾーンは、単一リージョン内の複数の VNet、また、複数のリージョンや複数のサブスクリプションにまたがる VNet にも適用できます。

ゾーンは、プライベート DNS とパブリック DNS で同じ名前を共有可能なスプリット ホライゾン DNS (英語) として構成できます。これは、ワークロードを運用環境にロールアウトする前に、ローカルのテスト環境で検証する場合に一般的なシナリオです。名前解決が構成済みの VNet のみに限られるため、DNS を悪用したデータ窃盗を防止できます。

DNS

VNet を Registration VNet に指定すると、その VNet 内のすべての仮想マシンのプライベート ゾーンの DNS とレコードを Azure が動的に登録します。プライベート ゾーンの詳細については、概要のドキュメント一般的なシナリオを参照してください。

Azure DNS のメトリックが Azure Monitor 経由で提供され、アラートを構成して生成できるようになりました。詳細については、こちらのドキュメント (英語) を参照してください。

接続の監視

Network Watcher 接続モニターの一般提供が開始されました。この機能では、ある VM から他の VM、FQDN、URI、IPv4 アドレスへの接続と遅延を 1 分単位で監視し、アラートを生成できるため、接続関連の問題をすばやく発見できます。問題の原因がプラットフォームにあるかユーザーの構成にあるかを見極めるための情報を取得し、すばやく特定して修正することができます。

Connection Monitor

詳細については、Network Watcher 接続モニターのドキュメントを参照してください。

Traffic View のパフォーマンス強化

3 月に Traffic View の一般提供が発表されました。この機能では、ユーザー ベースが存在する地域、その地域でのレイテンシ、トラフィック量などの情報が提供されます。Azure ポータルや、Power BI などの分析ツールから視覚的にワークロードの配置を最適化したり、ユーザーのネットワーク エクスペリエンスを把握したりすることができます。詳細については、Traffic View のドキュメントを参照してください。

traffic view

Global VNet Peering

Global VNet Peering の一般提供 (英語) が開始されました。この機能では Azure リージョンをまたいでシームレスに VNet を接続可能で、世界中の VNet をピアリングできます。Global VNet Peering は、1 分もかからず (英語) 構成できます。ピアリングが確立された VNet は 1 つのグローバル VNet のように見え、ピアリングされた VNet のリソースは、マイクロソフトのグローバル ネットワークを通じて互いに直接通信できます。Global VNet Peering を使用して VNet 間でデータを複製することも可能で、リージョン間でデータをコピーすると災害復旧時に便利です。詳細については、VNet Peering のドキュメントを参照してください。

Azure VNet

アプリケーション セキュリティ グループ

アプリケーション セキュリティ グループ (ASG) の一般提供が開始されました。ASG では、ポリシーを一元的に構成し、セキュリティ管理を簡素化することができます。ASG を使用すると、仮想マシンにモニカーを割り当て、これを使用してワークロード、アプリケーション、環境に基づきネットワーク セキュリティ ポリシーをきめ細かく定義できます。これによりゼロ トラスト モデルを実装し、明示的に許可したアプリケーション フローにのみアクセスを制限することができます。詳細については、アプリケーション セキュリティ グループのドキュメントを参照してください。

Application security groups

Azure Application Gateway と WAF の機能強化

サービスとしてのアプリケーション配信コントローラーを提供する Application Gateway と Web Application Firewall (WAF) に、HTTP/2 のサポートとメトリックの機能強化が実装されました。HTTP/2 対応クライアントでは、接続の多重化、およびそれに関連するセキュリティとパフォーマンスの強化というメリットが得られます。Application Gateway からバックエンドへの通信は、引き続き HTTP 1.1 で行われます。

強化されたメトリックでは、総接続数、総要求数、失敗した要求の数、応答のステータス コードの分類のまとめ、正常/異常なホストの数、スループットなどのパフォーマンス カウンターを利用できます。これらの機能強化により、ダッシュボードを構築してアラートを設定し、アプリケーション ワークロードをさらに強力に監視することができます。

また、ゾーン冗長 Application Gateway と静的 VIP の管理プレビューも発表されました。ゾーン冗長 Application Gateway では、Application Gateway インスタンスのデプロイ先として、可用性ゾーンやゾーンを選択できます。静的 VIP では、Application Gateway をいったんシャットダウンし再起動しても、アドレスが確実に維持されます。この管理プレビューにはインフラストラクチャの強化も含まれており、プロビジョニングや更新の所要時間の短縮、1 コアでの 1 秒あたりの SSL 接続数の引き上げなどが実現されています。このプレビューは米国東部 2 で提供されており、対応リージョンは今後拡大される予定です。最新情報については、プレビューに関する発表 (英語) を参照してください。プレビューへの参加をご希望のお客様は、このドキュメントの手順に従ってサインアップをお願いいたします。

Azure CDN from Microsoft

Build では、マイクロソフトがプロバイダーを務める Azure CDN のパブリック プレビューが発表されます。これにより、あらゆる Web コンテンツを、マイクロソフト自身のグローバルな CDN ネットワークで使用および配信できるようになります。この新たなオプションは、Verizon や Akamai がプロバイダーを務める既存のオプションと併せて提供されます。Bing や Office 365 で使用されているものと同じ CDN プラットフォームへのアクセスが提供され、マイクロソフトのグローバル ネットワーク エッジでネイティブに実行されます。

CDN

図 X. マイクロソフトのグローバルなネットワーク

Azure CDN from Microsoft では、マイクロソフトの高速で信頼性の高い anycast ネットワーク全体のネットワーク ハブを使用して、33 か国の 54 のグローバル エッジ POP、および 16 のリージョン キャッシュ用 POP へのアクセスが提供されます。これにより、60 以上の国の CDN POP で、平均 RTT 50 ミリ秒での配信が可能となっています。

Standard Load Balancer

Azure Standard Load Balancer の一般提供が開始され、規模の拡大、VNet 内のすべての VM へのアクセス、可用性ゾーンのサポート、VNet 内でのプライベート IP を使用した負荷分散に対応しました。Standard Load Balancer では、アプリケーションのトラフィックを分散できるバックエンド プールの VM の最大数が、Basic Load Balancer の 10 倍にあたる 1,000 台となっています。

Standard Load Balancer

バックエンド プールには、VNet 内の任意の VM を参加させられるようになりました。また、1 つのバックエンド プールで複数のスケール セット、可用性セット、個別の VM を組み合わせることができます。送信側トラフィックでは、複数のフロントエンドを並列的に使用することが可能なため、送信側の接続数を増やすことができます。このほか、複数のフロントエンドが存在する場合に、どのフロントエンドを使用するかを制御できるようになりました。詳細については、ロード バランサーと送信側接続に関するドキュメントを参照してください。

Standard Load Balancer は、可用性ゾーンの使用を前提に設計されています。1 つの IP アドレスを使用するか、または特定のゾーン内の複数の IP アドレスを使用して、パブリック ロード バランサーや内部ロード バランサーにゾーン冗長フロントエンドを割り当てることができます。ゾーンをまたぐ負荷分散が可能なため、VM がリージョン内のどこにある場合でもトラフィックを配信できます。ゾーン冗長フロントエンドは、すべてのゾーンで同時にサービスが提供されます。詳細については、Standard Load Balancer と可用性ゾーンのドキュメントを参照してください。

内部 Standard Load Balancer に新しい種類の負荷分散ルールが追加され、1 つのプライベート IP アドレスのすべてのポートでフローごとに負荷分散を行えるようになりました。有効な構成を任意の数だけ作成し、ネットワーク仮想アプライアンスやその他の多数のポートにトラフィックを分散する必要があるシナリオに対応することができます。詳細については、高可用性ポートのドキュメントを参照してください。

Standard Load Balancer には Azure Monitor と完全に統合された新しいテレメトリとアラート機能が実装され、そこからトラフィック量、受信側の接続試行回数、送信側の通信量、有効なインバンド データ経路の測定、正常性プローブといったデータが得られます。これらはすべて、Azure Operations Management Suite などのソリューションで使用できます。詳細については、Standard Load Balancer の診断と監視に関するドキュメントを参照してください。

まとめ

企業はワークロードのクラウドに移行する動きを強めており、このことから、よりレベルの高い管理、監視、可用性、ネットワーク セキュリティへのニーズが高まっています。マイクロソフトは今後も引き続き、ネットワーク関連の新サービスの提供、使いやすさの追求、より包括的なソリューションの実現に取り組んでいきます。今後数か月は特に Azure ネットワーク サービスの動向にご注目ください。いつものとおり皆様からのフィードバックもお待ちしています。ぜひお気軽にお寄せください。