secpolo#4 windowsazure security

May 2010 |

|

Windows Azure の最新情報とセキュリティ（配布用）

マクロソフト株式会社 May 2010

May 2010 |

本日の一部内容は…

May 2010 |

スピーカー紹介

ブログでもAzureの話題を提供 http://blogs.itmedia.co.jp/isago/

Twitterフォローはお気軽に http://twitter.com/shin135/

砂金信一郎 [email protected] アーキテクトエバンジェリストマイクロソフト株式会社デベロッパー＆プラットフォーム統括本部クラウドテクノロジー推進部所属

いさご

マクロソフトでクラウドコンピューテゖングを中心とした啓蒙活動を行うエバンジェリスト。東京工業大学出身。日本オラクルで修行を積んだ後、戦略コンサルタントに転身していた時期もあったが、Windows Azureの世界観に魅せられてマクロソフトに参画。自社技術に閉じないスタルが信条。自他共に認めるガンダム好きで、特に戦略シミュレーションものにぐっときます。

May 2010 |

本日のゕジェンダ

Azure を好きになってさわってみたい！と感じてもらうことが本日のゴール

Azureの位置づけ

How to 開発・注意点

賢く使うコツ

Azureの仕組み

セキュリテゖ

運用監視

テスト・障害対応

性能保証

May 2010 |

Azure の位置づけ：柔軟性の高いクラウドプラットフォーム

IaaS/HaaS ハードウェゕを提供

（CPU貸し、デゖスク貸し）

PaaS 開発・実行環境となる

プラットフォームを提供

SaaS 完成品の

ソフトウェゕを提供

ハードウェゕ

OS

ミドルウェゕ

ゕプリケーション

ハードウェゕ

OS

ミドルウェゕ

ハードウェゕ

OS


ミドルウェゕ


May 2010 |

What’s VM Role ?

May 2010 |

今オフゖシャルになっていること

http://blogs.msdn.com/usisvde/archive/2010/03/29/vm-support-in-windows-azure.aspx

May 2010 |

Azure の systeminfo

May 2010 |

May 2010 |

３スクリーン＆クラウド戦略

PC 携帯電話 TV

クライアント

ツー

ルお

よび

クロ

ス

プラ

ット

フォ

ーム

サポ

ート

サーバークラウド

May 2010 |

•••

•••

••

•

自社運用お客様による運用

ホスティッドパートナーによる運用

クラウドマクロソフト

による運用

Windows-based Hosting

Power of Choice 選択の自由

May 2010 |

System Center Cloud

May 2010 |

http://code.msdn.microsoft.com/azurescale

Azure Auto Scale

May 2010 |

Project Sydney

IPv6/IPSec を利用し end-to-end でオンプレミスのサーバーと Windows Azure がセキュアに通信可能

2010年にベータリリース予定

May 2010 |

Content Delivery Network

May 2010 |

エンタープライズ用途に強いWindows Azure Platform

May 2010 |

サービスバス

sb://namespace.servicebus.windows.net/a/b/

TCP/SSL 828

TCP/SSL 808/828

③メッセージ ③メッセージ

NAT ファイアウォール Dynamic IP

①登録 ③ルーテゖング

NLB

クライアントサービス

バックエンドのネーミング・ルーテゖングフゔブリック

フロントエンドノード

フゔゕウォールやNATを超えるクラウド上のサービスバスを介したメッセージルーテゖング

May 2010 |

クラウドを介したID フェデレーションを実現するクレームベースゕクセスコントロールの処理手順

ゕクセスコントロール

サービスネームスペース

Relying Parties (サービスバス、

アプリケーション等) リクエスタ (利用者)

②ルール決定

⑦チェック＆ゕクセス＆授与

Relying Party管理者

NameSpace Azureval

Issuer owner

AccountKey Abcdefg……………

InputCraim [email protected]

May 2010 |

オンプレミスとSync Framework で同期

SQL Server Sync

Provider

Sync Application

SQL Azure Sync

Provider

Sync Orchestrator

Sync Runtime

• 競合の種類

– 同時実行の競合

– 制約の競合

• 競合の解決

– 同期元 Win

– 最新更新 Win(時間比較)

– ユーザー判断等々…

競合

May 2010 |

意外と面倒な「同期」処理の手順（一般論）

基本的な手順 • 接続 • 変更に関する情報 (ナレッジ) の比較と同期箇所の決定 • 競合の検出と解決 • 変更データ送付と適用双方向同期の場合は逆方向で上記手順を繰り返す

May 2010 |

さらに面倒な競合の回避

• 競合の種類 – 同時実行の競合 – 制約の競合

• 競合の解決 – 同期元 Win – 同期先 Win – 最新更新 Win (時間比較) – ユーザー判断等々…

ID 価格

550 1,200

ID 価格

550 1,000

価格の更新価格の更新

都市電話

東京 072-XXXXXX

コンタクト情報の更新

同時実行の競合

制約の競合

May 2010 |

Sample End to End Scenario

App

On-Premises

SQL Server

Cloud

North America

Europe

Asia

SQL Azure

Client Storage

Cached Mode Clients

App

Client Storage

App

Client Storage

North America

Europe

Asia

May 2010 |

上場企業の企業情報開示支援サービス宝印刷株式会社（株式会社日立システムゕンドサービス）

May 2010 |

マイクロソフト本社では約4万人がソフトウエア開発に携わっている。そのうち70％がクラウドに関する仕事に就いている。

今後1年で、その比率は90％に高まるだろう。出典：http://www.microsoft.com/presspass/presskits/cloud/default.aspx

May 2010 |

Bing Map Apps

May 2010 |

Bing Maps と Azure を連携した EUの空気汚染監視サービス

May 2010 |

Windows Azure と SQL Azureを活用して地図とマッシュアップ

SQL Azure

データサービス

Silverlight UI

Bing Maps Control

SMS ゲートウェ

大気・水質観測データ

May 2010 |

世界中にデータセンターを絶賛建設中

Quincy, WA Chicago, IL San Antonio, TX Dublin, Ireland Generation 4 DCs

May 2010 |

The Microsoft Cloud Data Center Infrastructure

May 2010 |

May 2010 |

PDC09会場でのコンテナ実機展示

May 2010 |

Windows Azure を稼働させるモジュラー型データセンター

May 2010 |

Bing の Auto Pilot ゕーキテクチャ世界中のデータセンターに分散された100,000 台規模のサーバー

Web & Structured Data Indices

May 2010 |

フゔブリックコントローラーなど要となる技術は実績の多い Windows 由来

フゔブリックエージェント

フゔブリック：サーバーの集合サーバーごとに複数の VM

Windows Server 2008 (改) Hyper-V

ゕプリに応じてサズを選択

フゔブリックコントローラーフゔブリック内のサーバーと通信

サービスの監視・管理を行う

ゕプリ・VMの展開

May 2010 |

管理の自動化はどこまで？ハードウェゕリソースの変更

ファブリック

コントローラー

コンピューティングストレージ

管理ポータル

windows.azure.com

構成定義（XML）

マイクロソフトデータセンター

May 2010 |

コンピューテゖング機能の耐障害性能対策

停止ドメインハードウェア構成上の単一障害点のあるエリアをドメインとして分割

VM 監視各インスタンスには、ファブリックコントローラとのコミュニケーション用にエージェントが存在

IIS Web ロール Worker

ロール

エージェントエージェント

May 2010 |

フゔブリックコントローラの役割

1: ノード割り当て

停止ドメンで分散

更新ドメンで分散

2: OS とロールのメージを配置

3: 設定

4: ロールの開始

5: ロードバランサーの設定

6: 必要数のロールを維持

停止したロールは自動再起動

ノードが停止した場合は、

別のノードを自動割り当て

停止・更新ドメンにまたがりノードを割り当て

LB

May 2010 |

ストレージ管理の自動化

•Key Valueストゕ

•パーテゖション分割 TABLE

•大容量バナリフゔル

•ブロック転送が可能 BLOB

•ロール間の一時受け渡し領域

•タスク失敗時の挙動に対応 Queue

•クラウド上のNTFSサービス

•ランダムゕクセス対応の BLOB Drive

• HTTP/HTTPS + REST

• 256bit シークレットキーを利用したHMAC-SHA256 署名での認証

• 3つ以上の複製

• 最大容量 100TB

May 2010 |

Table：Key Valueストアスケーラビリティを最優先した汎用ストレージ

Partition Key Document Name

Row Key Version

Property 3 Modification Time

….. Property N Description

福利厚生Doc V1.0 3/21/2007 ….. 2007年度

福利厚生Doc V1.0.6 9/28/2007 2008年度用山田作成中

勤怠Doc V1.0 3/28/2007 2007年度

勤怠Doc V1.0.1 7/6/2007 2008年度用千田作成中

必須

255個までのプロパテゖを持つ

異なるプロパテゖを持ってもよい

プロパテゖ <Name, TypedValue> ペゕが保存

スキーマを持たない

May 2010 |

Windows Azure の利用

コーデゖング

•Visual Studio

•Azure SDK

デバッグ

•Visual Studio

•Azure SDK

•エミュレーショ

ン環境

配置

•Azure ポータル

•API

運用

•Azure ポータル

•ダッシュボード

•API

•ツール

May 2010 |

Visual Studio 経験者であれば .NET開発者はそのままAzureへ

May 2010 |

クラウドで手間のかかるデバッグは、ローカルの開発フゔブリックで軽減

Azureの Hosted Service環境を開発クラゕント側に再現

ローカルでのビルド・実行時に自動的に起動

作業中はタスクトレに常駐

各ロールごとにログの確認ができる

May 2010 |

Coming soon…

?

May 2010 |

シンプルな疎結合 Web ゕーキテクチャ

May 2010 |

WorkerRoleの使いこなしがポント

LB

Storage

80 でHTTP/HTTPS？

管理をゕウトソースしたい？

任意のTCPポートで通信可能

WorkerRole

WorkerRole

バックエンド処理での活用が基本形

May 2010 |

非.NET技術とのインターオペラビリティの高さも Windows Azure の特長の１つ

Web Role

Computation Worker Role

VIP

Load

Bala

ncer

memcached Worker Role

May 2010 |

PHP は IIS の FastCGI で対応。 VisualStudioにテンプレートまである

PHP対応

IISすなわちWebRoleで対応。 Fast CGIの枠組みそのままでPHPもOK

PHP用SDKを使えば拡張性の高い Azure Storage にゕクセスしやすくなる

SQL Server用PHPドラバでSQL Azure を使うこともできる

May 2010 |

ゕクセラレーター for Tomcat と Java SDK / EclipseツールでJava開発

http://code.msdn.microsoft.com/winazuretomcat

May 2010 |

ゕクセラレーター for X 非MS系ミドルの方が動かしやすい罠

May 2010 |

Ruby on Rails にも対応

http://code.msdn.microsoft.com/railsonazure

May 2010 |

ゕプリケーションの移行 Client/Server 型なら Client/Cloud 型もあり？

• Code Far 型（Client/Cloud） – データをクラウドに配置 – オンプレミスのクラゕントから SQL Azure や Azure

Storage へ直接ゕクセス – Windows Form や WPF など操作性のよいクラゕント – オンプレミスのデータとの連携が容易 – 遅延を配慮したンターフェス – データのプリフェッチやキャッシュする仕組みの実装

• Code Near 型 – データとゕプリをクラウドに配置 – Web ゕプリケーション – ゕプリはデータが配置されているのと同じネットワーク

内で動作（SQL Azure への転送量が無料）

May 2010 |

Code Far型の例：ネットマトリックス社の Green Report

【凡例】

Green Report 標準機能

*1 電気メーターとの連携は別途ハードウェゕの購入や連携開発作業が必要となります *2 グラフ出力は別途開発作業が必要となります（将来的には標準機能として提供する予定です。CSVフゔルでの出力は標準機能で可能です）

２ンターネット上のデータベースに格納される

電気メーター、ガスメーター等

1’ 各拠点で使用したエネルギー量を自動でデータ登録する

*1

１各拠点でエネルギー量を調査した後、担当者がデータ入力を行う

工場・店舗・事業所等

エネルギー消費量入力画面

３改正省エネ法で提出が義務づけられている帳票等を出力する

本社

グラフ出力 *2

法定帳票出力（定期報告書等）

WindowsAzure Platform

ンターネット

SQL Azure

出所：ネットマトリックス社サービス説明資料

May 2010 |

SQL Azure への移行における注意事項

• 日付時刻データの取り扱い – すべて UTC（協定世界時）

• サーバー上での SYSDATETIME(), GETDATE()

• UTC は日本より９時間遅れ

– DATEADD(hour, 9, SYSDATETIME()) で対応 – データを日本時間で保存するか UTC で保存するか？

• 既存データは日本時間で保存している場合が多い

• 日本語の取り扱い – 明示的に Japanease_CI_AS など日本語の

指定が必要 • ソートなどに影響

– SQL 文での日本語記述にも "N" プレフゖックスが必要 • INSERT INTO employees VALUES (1, N‘ゕジュール')

May 2010 |

SQL Azure の制限事項 SQL Server ≒ SQL Azure

• 現バージョンでサポートされていない機能 – 分散トランザクション／分散クエリー

– Common Language Runtime （SQLCLR）

– hierarchyid, geography, geometry データ型

– バックゕップ、リストゕ、ゕタッチ

– データベースミラーリング

– サービスブローカー、フルテキスト検索、透過的暗号化、圧縮

– USE ステートメント

– SQL Server 構成オプション（sp_configure など）

• 事前によく確認 – Transact-SQL のサポート状況

• http://msdn.microsoft.com/en-us/library/ee336250.aspx

• http://msdn.microsoft.com/en-us/library/ee336270.aspx

– SQL Azure Guidelines and Limitations • http://msdn.microsoft.com/en-us/library/ee336245.aspx

http://msdn.microsoft.com/en-us/library/ee336250.aspx









May 2010 |

May 2010 |

便利ツール#1ストレージ管理

Harutama氏解説：http://d.hatena.ne.jp/haru-tama/20100115

RESTゕクセス

プログラムからはStorage Client 経由で

ツール経由でFTPやフゔルサーバーのように

May 2010 |

便利ツール#2SQL Azure Manager

http://hanssens.org/post/SQL-Azure-Manager.aspx

SQL Azureの利用

SSMSなどのSQL Server用ツールがあれば、接続文字列の変更でそのまま利用可能

↑がない場合、Click Onceで起動できる SQL Azure Manager が便利

SQL Azureはゕプリから普通のリレーショナルデータストゕとして利用することができる

May 2010 |

便利ツール#3 Computing

http://azureservicesmanager.codeplex.com/releases/view/35069

監視用ゕプリ

管理APIにUIをつけたものやコードから呼び出すものがある

いずれはSystemCenter

May 2010 |

Windows Azure の価格

11.76 円/時間 + 可変のンスタンスサズ

14.70 円/月 0.98 円/10K トランザクション

May 2010 |

「コスト」は包括的に考える必要がある

ハードウェゕ

OS

ミドルウェゕ


カスタマズ

ンテグレーション

サービス運用

ゕプリ改善・保守

ネットワーク

電気代・CO2排出

• Windows Azure の基本利用コストに内包

• CALなどの概念はなく、ユーザー数（ゕカウント数）やデバス数が増えても費用が大きくはねることはない

• 仮想マシンやストレージ容量、データ転送量についてのみ「使った分だけ」課金。すなわち、ゕクセス頻度が低ければコストは低く抑えられる

• 最新鋭の高効率データセンターでの運用により電力消費を大幅に抑制

• 独自に構築するかサードパーテゖーゕプリを調達

• エンタープラズ用途の場合、クラウドを利用しても要件の絞り込み如何では従来の構築要件と変わらない項目もある

• 条件次第でSI’er または ISV に移管可能

May 2010 |

クラウドの真価は（金さえ払えば）無限のスケーラビリテゖ

使用量

コンピューティング

時間

平均

稼働不要な

時期

時間

平均使用料コンピューティング

時間

平均使用量コンピューティング

平均使用量

時間

コンピューティング

May 2010 |

Windows Azure Platform 購買モデル

•

•

•

•

May 2010 |

Windows Azure のインスタンスサイズ

各インスタンスの定義

11.76 円 23.52 円 47.04 円 94.08 円

1 x 1.6Ghz

2 x 1.6Ghz

4 x 1.6Ghz

8 x 1.6Ghz

1.75 GB メモリー 3.5 GB メモリー 7.0 GB メモリー 14 GB メモリー

250 GB ストレージ (インスタンスのストレージ)




May 2010 |

Development Accelerator オファー

6 か月間限りの、通常より 42% - 46% 引きのサブスクリプションオファーを提供オファーは月次ベースの「ユニット」単位で提供 (複数のユニットを購入可能)

超過分は通常の従量課金レートを適用 2010 年 6 月 30 日まで

May 2010 |

初期特別提供 MSDN Premium Core Extended

Windows Azure

コンピューティング時間 (hour) 25 750 750 750

ストレージ (GB/month) 0.5 10 10 10

ストレージトランザクション (times) 10,000 1,000,000 1,000,000 1,000,000

AppFabric トランザクション 100,000 1,000,000 1,000,000 1,000,000

SQL Azure データベース 1 (Web Edition) 3 (Web Edition) 0 1 (Business Edition)

Data Transfers

北米およびヨーロッパ

受信 (GB) 0.5 7.0 7.0 7.0

送信 (GB) 0.5 14.0 14.0 14.0

アジア太平洋

受信 (GB) 0.5 2.5 2.5 2.5

送信 (GB) 0.5 5.0 5.0 5.0

Price 通常価格 (月) \1,345 \12,717 \9,780 \19,759

日本円 (月)

2010 年 1 月からの期間限定特別オファー

May 2010 |

セコロジー#1 タダで使うためにすべきこと

May 2010 |

セコロジー#2 課金は1時間単位の盲点

Azure課金の細則

CPU使用率は関係なく占有したデプロ時間で課金（GAEよりEC2に近い）

Runしてなくてもデプロすれば（削除しない限り）課金発生。ステージングも同じレート

最小単位は1時間。各時の0分から59分のスロットで、1分でもデプロすれば1時間分

May 2010 |

セコロジー#3 面倒な管理はコマンドレットで自動化

http://code.msdn.microsoft.com/azurecmdlets

May 2010 |

$cert = Get-Item cert:\CurrentUser\My\D6BE55AC439FEA8CBEBAFF432BDC0780F1BD00CF $sub = "CCCEA07B-1E9A-5133-8476-3818E2165063" $servicename = 'myservice' $package = "http://myaccount.blob.core.windows.net/publish/MyPackage.cspkg" $label = 'nolabel' $role = '' if ($args.Length -eq 2) { $role = $args[0] $label = $args[1] } if ($args.Length -eq 1) { $label = $args[0] } if ($role -ne '') { Get-HostedService $servicename -Certificate $cert -SubscriptionId $sub | Get-Deployment -Slot Production | Set-Deployment -mode Auto -roleName $role -package $package -label $label | Get-OperationStatus -WaitToComplete } else { Get-HostedService $servicename -Certificate $cert -SubscriptionId $sub | Get-Deployment -Slot Production | Set-Deployment -mode Auto -package $package -label $label | Get-OperationStatus -WaitToComplete }

アップグレードスクリプトの例

May 2010 |

Windows Azure Platform データ転送

May 2010 |

データ転送料のチェックポント

May 2010 |

TCO 分析ツール

May 2010 |

本日のゕジェンダ

Azure を好きになってさわってみたい！と感じてもらうことが本日のゴール

Azureの位置づけ

How to 開発・注意点

賢く使うコツ

Azureの仕組み

セキュリテゖ

運用監視

テスト・障害対応

性能保証

May 2010 |

文化の違い：クラウドvsオンプレミス

• オンプレミス → 『個別対応』『お客様最適』

– コストは割高だが、基本的には「なんでも言うことを聞いてくれる」

– いわば高級料亭・高級レストラン

• クラウド → 『標準化＆仮想化』『規模の経済』

– 個別対応ナシ、そのかわり「早い・安い・上手い」

– いわばフゔーストフード店（「つゆだく」程度のカスタマズのみ）

• しかも、従来のデータセンタとは規模感が全く異なる

– メガデータセンタは「標準化・固定的な均一サービス」にすることでコストを削減している → 個別対応・特別対応はしてくれない

• クラウドを扱う際は、この文化を制約条件として捉える必要がある

May 2010 |

オンプレミスに残すもの不安があればクラウドに持ち出すな！

• パブリッククラウドに持ち出せないもの

– 法律上の制限

– 秘匿性が高いデータ、個人情報データ、会計データ

– 監査を必要とするシステム

– トランザクションの整合性を厳密に保証するシステム

– パフォーマンス（リゕルタム処理）にシビゕなシステム

• オンプレミスとクラウドのハイブリッド

– シームレスに連携するシステムを構築

– データの結合や整合性はゕプリで考慮

PUBLIC CLOUD

May 2010 |

マクロソフトの “クラウドサービス” はセキュゕですか？

May 2010 |

カテゴリー対策内容

機密性

物理的対策

・ 24時間、365日の監視・監視カメラによる監視・モーションセンサーの設置・生体認証による入退出管理・データセンター内への車での乗り入れ禁止・セキュリテゖ境界線突破時のゕラーム通報

ネットワーク対策・ CyberTrust によるセキュリテゖ認定（四半期ごとに実施）・ 9階層にわたるセキュリテゖ対策

情報漏洩対策・サポート/サービスチームは、Secure ID カードもしくは RSH Secure ID Token を利用した認証を行う・データは全て128ビットで暗号化・全通信は HTTPS

完全性データ保存

・ Raid 5+1 によるデータ保存・ Disk to Disk to Disk （ミラーリングで最低4コピー保持）

データバックゕップ・日時バックゕップの実施・ Disk to Disk to Disk バックゕップ

可用性物理的対策

・ジオリダンダント構成・複数の発電機を装備・電源は複数の発電所から2系統・各ラックでの電源2重化・発電機用の燃料は、地震などで道路が寸断された場合には空輸・バッテリーによるバックゕップ・コンピューターコントロールによる空調制御

ネットワーク対策・フルフェルオーバー

運用およびセキュリテゖ管理への対策

May 2010 |

サービス現在将来（6ヵ月以内に対応）

Online Service Delivery Platform

· EU Safe Harbor Seal

· CyberTrustCertification

· ISO 27001

BPOS-S


· CyberTrust Certification

· ISO27001

· FERPA*/HIPAA*

· SAS70 Type II

· GxP Pharma (SharePoint)

· FISMA

BPOS-D



· FERPA*

· HIPAA*

· FIPS 140-2

· TIC Compliance

· ISO 27001 · FISMA

BPOS-Federal (US Only)



· FERPA*/ HIPAA*

· FIPS 140-2

· TIC Compliance

· ISO 27001 · FISMA · ITAR

コンプラゕンス管理のロードマップ

May 2010 |

リスク項目 Windows Azure BPOS

サービス提供者の特権ユーザのゕクセス

・特権ユーザーゕクセスはログに記録、承認された人のみゕクセス可能。・運用については ITIL/MOF、ISO17799ベース。

サービス提供者とのコンプラゕンスの調整

・SAS70 TypeⅡ、ISO27001、CyberTrust等の外部監査あり。・ただし、お客様独自の監査を受け入れることは不可。

データの保管場所・利用時にデータが保管される国を指定可能。

・契約時に初期データが保管されるデータセンター(地域)を指定可能。

データの分離方法・不正侵入に対するモニタリングや、第三者機関によるペネトレーションテスト等を定期的に実施。・BPOSは、Dedicate 型サービスも提供。

障害からの復旧手順・複数のサトにまたがって複製。

・複数のサトにまたがって複製。 • RPO 12h、RTO 24h。

調査への支援・セキュリテゖンシデント（不正ゕクセス等）時には、お客様のニーズに対してログを収集、分析することをポリシーとして定めている。

リスクへの対応（まとめ）

May 2010 |

Windows Azure MMC

May 2010 |

May 2010 |

クラウドの潜在的脅威

May 2010 |

脅威対策 Cross site scripting 出力テキストをエンコード

CSRF ユーザーごとのトークンを隠れフィールドに埋め込む

One-Click Attack ユーザーごとに異なるリクエスト形式を採用

HTTP replay attack SSL Network Eavesdropping SSL or IPSEC Password brute Force ロックアウトポリシーの実装 Repudiation attack 効果的なロギングの実装 File Canonicalization ファイル名の長さと正規化表現による検証

Denial of Service リスエスと数、ファイルサイズの検証適切な例外処理の実装詳細なエラーメッセージを表示しない

Forceful Browsing 認証コントロールデータの暗号化

Man in the middle attack SSL or IPSEC SQL injection LINQ の使用 Response splitting コンテキスト依存のエンコーディング

クラウドの潜在的脅威への対策

May 2010 |

クラウドでは性能保証が原理的に難しい

• Windows Azure コンピュートサービスの場合

– 1 台の物理マシン上に、複数の仮想マシン（VM）がホストされる

– 各 VM は CPU やメモリとはバンドされているが、デゖスク I/O やネットワーク I/O に関しては共用になる → 隣の VM の影響を受ける

• SQL Azure データベースサービスの場合

– 1 台の物理マシン上に、複数のデータベースがホストされている

– コンピュートサービスと異なり、VM 分離などはされていない → 隣のデータベースに対するクエリの影響を受ける

ハードウェア

ユーザ D のアプリ

OS （Windows 2008）

ランタイム／ミドル（ASP.NET + IIS）

ユーザ B のアプリ


ランタイム／ミドル（ASP.NET + IIS）

ユーザ C のアプリ


ランタイム／ミドル（.NET Framework）

仮想マシン（Web Role）

仮想マシン（Web Role）

仮想マシン（Worker Role）

ユーザ D のアプリ


ランタイム／ミドル（.NET Framework）

仮想マシン（Worker Role）

Windows Azure コンピュートサービス

ハードウェア

SQL Azure データベースサービス

ユーザAの DB

ユーザBの DB

ユーザCの DB

ユーザDの DB

ユーザEの DB

ユーザFの DB

May 2010 |

ネットワークもベストエフォート

出典:Submarine Cable Map 2009

May 2010 |

http://highscalability.com/blog/2010/5/26/end-to-end-performance-study-of-cloud-services.html

May 2010 |

多くのノードに分散してデータを保持

可用性のために複製を使う Primary から自動フェルオーバーで最も近い secondary へ

0 2128

1

53 905

6435

5000

5501

A, B C, D, K, L

C, D A, B, E,

F

E, F C, D,G,

H

G, H E, F, I,

J

I, J K, L,G,

H

K, L A, B, I,

J Service Request

f(G) = 4601

X

1

53 905

6435 5501

E, F, H C, D,G,

I, J

I, J, G K, L,E, F, H

K, L A, B,G,

I, J

Service Instance

Service Instance

Service Instance

Service Instance

Service Instance

Service Instance

C, D A, B E, F G H I, J K, L

G

G

Replica Size = 3

C, D A, B, E,F,H

C, D A,B, E, F,

E, F,

C, D, ,

I, J

I, J,

K, L, E, F,

K, L

A, B, ,

I, J

C, D A, B, E, F

E, F C, D, G, H

I, J K, L, G, H

K, L A, B, I, J

Logical Partitions

Service Instances

X

May 2010 |

数万台もサーバーがあれば確率論的にどれかが壊れて当然という前提。

データの読み出しはプラマリのみ

セカンダリノードに非同期で書き込みを行う

プラマリ障害時に昇格するセカンダリは多数決で決定

P

S

S

S

S Write Write

Write Write

Ack Ack Ack Ack

Read Value Write

Ack

64

210

2

30 90

135

180

225

50 76

120

151

103

200

83

98

174 218

250

40 46

17

r-6

r-5

r-4

r6

r5

r4

r7

数万台のサーバーとなると、それぞれのサーバーは全ノードの管理領域を把握しにくい

ノードの離脱、追加を行った際に、管理領域の変更の影響をおさえる仕組みが必要

データ冗長化のイメージ構造化オーバーレイ

冗長故の可用性：障害を前提としたフェイルオーバーの機構

May 2010 |

ゲートウェマスターDB 課金・認証フロントノード群

数百台のサーバーでフゔブリックを構成

サーバーをまたがったレプリケーションDBを作成して同期

SQL Server ンスタンス

… クラウドデータセンター内フゔブリック

サーバー１サーバー２サーバー３

サーバーをまたがったレプリケーションDBを作成して同期

SQL Azure Database のアーキテクチャ

May 2010 |

SQL Azureのデータのバックゕップ • （現時点では未サポート）将来的には SQL Azure 上で、DB の

バックゕップとリストゕが可能になる予定

– 遠隔地のデータセンタへバックゕップすることで、災害対策もできる

abc.database.windows.net

Dev1 Master

xyz.database.windows.net

prod1 Master

prod2 clone prod2 clone

prod2 clone prod2 clone

efg.database.windows.net

DR1 Master prod2 clone prod2 clone

Prod2

複製

複製

複製

CREATE DATABASE abc.prod2clone AS CLONE OF xyz.prod2

South Central US North Central US

May 2010 |

運用監視方法の違い

May 2010 |

Azureの管理と監視

管理

管理ポータル

windows.azure.com

API（PowerShell も）

監視 API を組み合わせて自動化

System Center は、将来予定

監視

ダッシュボード

azure.com の support から

API（PowerShell も）

Windows Server で取得可能なログを取得可能

System Center は、将来予定

May 2010 |

ダッシュボード経由の監視

http://www.microsoft.com/windowsazure/support/status/servicedashboard.aspx



May 2010 |

診断データの取得 • 診断データはンスタンスのローカルストレージで保存

• 診断 API により、オンデマンドもしくは定周期に取得

• 取得されたデータは、Windows Azure ストレージへ

ロール

ロールンスタンス

診断モニター

設定

クオータ

ローカルストレージ

データ収集 (トレース、ログ、

ダンプ)

Windows データ

IIS ログ & 失敗ゕクセスログパフォーマンスカウンター

ベントログ

Windows Azure

ストレージ

May 2010 |

診断データ一覧

データソース既定設定方法フォーマット

トレースログ有効、ローカル保存診断 API、トレースリスナーテーブル

パフォーマンスカウンター

無効診断 API テーブル

イベントログ無効診断 API テーブル

インフラログ有効、ローカル保存診断 API テーブル

IIS ログ有効、ローカル保存診断 API、Web.config ブロブ

IIS 失敗ログ無効診断 API、Web.config ブロブ

クラッシュダンプ無効診断 API、クラッシュ API ブロブ

その他のログ・ファイル

無効診断 API ブロブ

May 2010 |

超高可用性？システムには不向き

• ミッションクリテゖカルなシステムでは、非常に高い可用性目標が掲げられることがある

– 金融系システムや道路交通系システムなど、システム停止が社会的あるいはビジネス的に極めて大きな損失や問題を引き起こす場合

– このような場合には、99.999% などの高可用性目標が掲げられる

• 可用性を上げるほど、システムや運用に対する対策を堅牢にする必要があり、コストがかかる

– このため、実際の業務システムでは、業務要件に併せて「適度な可用性レベル」を選択している

可用性年間ダウンタイム月間ダウンタイム

99.9999% 32秒 2.6秒

99.999% 5分15秒 26秒

99.99% 52分34秒 4分22秒

99.9% 8時間46分 43分

99% 3日15時間 7時間18分

May 2010 |

Windows Azure プラットフォームの SLA

Web を通して接続されているサービス

ンターネットに接続されているロールとの外部接続性

すべての起動中のロールは継続的にモニター

もしロールに不具合があれば Microsoft が検知し正常な状態に起動

ンターネットゲートウェに接続されるデータベース

すべてのデータベースは継続的にモニター

>99.95% >99.9% >99.9% >99.9% >99.9%

ストレージサービスの利用可能 (接続可能) 性

ストレージリクエストのプロセスが成功したかどうか

サービスバスとゕクセスポントのエンドポントは外部接続性を持つ

メッセージ操作リクエストが正常にプロセス完了したかどうか

ンスタンス監視

& 再起動

ストレージ

可用性データベース

可用性

サービスバス &

ゕクセスコントロール

可用性

コンピューテゖング

コネクテゖビテゖ

May 2010 |

テストやデバッグには工夫が必要

ソースコード管理

開発用 PC

ビルドシステム

開発環境（開発チーム）

テストクラゕント

テスト環境（テストチーム）

ビルド番号＝ 1.0.60713.0

ビルド番号＝ 1.0.60714.0

ビルド番号＝ 1.0.60715.0

ビルド番号＝ 1.0.60712.0 テスト対象を

選んで Deploy

バグ追跡データベース

バグ報告バグ報告

テスト結果データベース

テスト実施結果報告

ドロップポント

テスト作業（QA）

Azure の実環境を利用

デバッグ作業

Azure のエミュレータを利用

May 2010 |

テストと障害対応

• A. ゕプリケーションレベルの障害について

– 通常と同様に、集約例外ハンドラからベントログを通じ、監視系へ通知

– ただし、前述したように、ベントログの直接監視ができない → 障害監視をするための仕組みの作り込みが必要

• B. ミドルウェゕ／ハードウェゕレベルの障害について

– 基本的に、マクロソフト側での監視・管理となる（＝監視・管理フリー）

– 障害には Dr. Watson Diagnostic ID が振られ、これを元に障害解析することになる

– しかし、このサポートは基本的に英語（日本ローカルにエンジニゕリソースがないため） → 翻訳などのため問題解決に時間がかかることも考えられる

ンフラ

ゕプリ

ミドル Windows Azure （PaaS）ではマクロソフトが管理

ユーザ側での管理・監視が必要になる

May 2010 |

Azure対応における注意点のまとめ

1. セキュリテゖ

– 各種の法的規制や社内ポリシーとのすり合わせが必要

– 実務レベルでもセキュリテゖ設計の見直しが必要になるケースがある

2. 性能保証

– クラウドはスケーラビリテゖに富むが、原理的に応答性能が保証しにくい

– ネットワーク帯域も問題になりやすい

3. 運用監視

– 現状では、クラウドはオンプレミスとは分けた運用監視が必要

– Azure の 99.9% 可用性で不十分な場合は、ハブリッド化などが必要

4. テストと障害対応

– ラブデバッグ不可、バージョン固定不可、サポートは英語

May 2010 |

May 2010 |

© 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market

conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.

MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

secpolo#4 windowsazure security

Technology