Azureニューポータルに仮想マシンをたてる基本

Azure旧ポータルにおけるエンドポイントは、Azure新ポータルではネットワークセキュリティグループとなります。

初めての方の場合、仮想マシンを立ち上げる前に、割り当てるリソースグループの有無、ネットワークの有無、ファイヤーウォールのネットワークセキュリティグループの有無や構成を事前に考えておいたほうがいいです。

リソースグループは、「ダッシュボード」でメニューの非表示(ハンバーガーの三本線)をクリックして、「リソースグループ」⇒「+追加」より作ります。ネットワークは、「ダッシュボード」でメニューの非表示(ハンバーガーの三本線)をクリックして、「+新規」⇒「ネットワーキング」⇒「仮想ネットワーク」から作ります。「デプロイモデルの選択」は旧ポータルからクラシックの仮想マシンを使っている場合など、Azure内でレガシーな構成を背負ってる様な場合でなければ、新規のアーキテクトを行う場合、全て「Resource Manger」を選択してください。

仮想ネットワークでサブネットも作成した後、VirtualMachines⇒リソースグループを選ぶ⇒該当するネットワークセキュリティグループを選ぶ⇒概要。

受信セキュリティ規則 と 送信セキュリティ規則 に別れる。ここで各種通信プロトコルを設定する。必要に応じて穴をあけていく。デフォルトで、HTTP,HTTPS,SSHの3つの穴が空いている仮想マシンもある。

ネットワークセキュリティーグループ(NSG) は、Azure内のファイヤーウォール、設置できる箇所についての確認は必須。

リソースグループは、Azure内のVirtualMachinesやAppServiceやSQLデーターベースやAzureActiveDirectoryや監視など、各種サービスリソース単位ではなく、任意の様々なリソースを組合せて作る1つのグループ。

仮想マシンの作成

設定で監視のブート診断は、仮想マシン起動(boot)の際のログ。ゲストOSの診断は、仮想マシンのステータスログ。仮想マシンサイズは、Basic A2などで可用性等が必要ない段階であれば、そのまま「OK」でいい。

そして、いくつか進んだ後に概要の画面で「OK」の右「テンプレートとパラメーターのダウンロード」がAzure CLIで一覧の設定を自動化して立ち上げる際に役立つので、ダウンロードしておくと良い。マシンイメージをAzure内に保管しておくのが嫌な人は特におすすめ。テンプレート自体はjsonベース、デプロイファイルはRuby、その他シェルスクリプトやCSファイルやパワーシェルスクリプトのps1など一式がzipでダウンロードされる。

bootで待ち時間が発生する。マシンのスペックにもよると思いますが5分くらいだったと思う。

念のために、「仮想ネットワーク」は仮想マシンを立てるときにリソースグループの中に勝手に?設定される。

仮想マシンのデプロイが終わったら、仮想マシンのネットワークセキュリティグループに進み「サブネット」⇒「+関連付け」より、仮想ネットワークとサブネットを関連付ける。

Azureニューポータルは初期ドメインが自動で割り当てられない

VirtualMachinesで該当の仮想マシンを選択⇒「概要(Overview)」⇒「パブリック IP アドレス/DNS 名ラベル(数字の部分)」をクリック、すると、DNS 名ラベル (オプション) というのが出てくる。

そのなかにhogehogeなどを入力して保存すると、初期ドメインが割り当てられる。

仮想マシンへのSSH接続/プロビジョ二ングの前に設定しておいた方がいい。

旧ポータルでは自動で初期ドメインが割り当てられたが、新ポータルでは割り当てられないので要注意!

独自ドメインの場合、外部DNSネームサーバーを書き換える

「新規」⇒「ネットワーキング」⇒「DNSゾーン」にて独自ドメインのDNSゾーンを作ると、「NSレコード」とゾーンファイルの「SOAレコード」が自動で作られます。

「新規」⇒「ネットワーキング」⇒「DNSゾーン」⇒「+レコードセット」にて、仮想マシンのパブリックIPアドレスなどを調べて「Aレコード」やら「CNAME」やら「MXレコード」やらTTLも必要に応じて設定。仮想マシンへのSSH接続/プロヴィジョ二ングの前に設定しておいた方がいい。仮想マシンを固定IPにしていないと、停止、起動でAレコードのIPアドレスがズレます。再起動であればズレないです。

※仮想マシンのスケールアップ/ダウンを該当の「仮想マシン」⇒「サイズ」にて手動で変更すると、再起動されてサイズが変更されますが、その時もIPアドレスは変わりません。スケールアップ/ダウンを手動で1インスタンスで行う場合、サーバー非稼働時間帯が出来てしまうので要注意です。策としてはスケールアウトで2インスタンス以上で作業を行う事になります。

その後、ポータル「すべてのリソース」の一覧画面へ、その中でDNSゾーンが追加されたことを確認、「概要」に進んでいくと、ネームサーバー1からネームサーバー4まで表示された画面にいける。

独自ドメインをリソースグループ単位で割り当てる事になる、リソースグループの選択をミスるとアウトなので気を付けて!

こちらもDNSゾーンを構成するだけで待ち時間が発生する。

出来上がると、ここでも「テンプレート リンク」ができます。ダウンロードしておくと、以降Azure CLIを使って時間泥棒の削減ができるかも。

出来上がった後に該当のDNSゾーンに進むと、概ね、以下のような感じでネームサーバーを得られる。お名前ドットコムなどで書き換えましょう。

ご参考までに、旧ポータルでは機能名は「カスタムドメイン」あたり。おそらく、01の数字部分が個別に設定するたびに変動する。

AレコードやCNAMEやMXレコードなど、DNSレコード設定もおそらくできます。必要に応じて追記します。

もう一つ参考に、「すべてのリソース」⇒「ネットワークインターフェイス」で該当のものを選ぶ⇒「DNSサーバー」で、DNSサーバーを『仮想ネットワークから継承する』か『カスタム』にするか選択も出来る。

仮想マシンの固定IPアドレス

該当する仮想マシンを選ぶ⇒「パブリック IP アドレス/DNS 名ラベル」⇒「構成」⇒割り当て「静的」⇒「保存」でOKです。多少、料金が発生するはずですので気を付けてください。

Azureから与えられる初期ドメインも使う場合は、「DNS 名ラベル (オプション)」にも入力されている状態で「保存」してください。

プライベートIPアドレスについて

仮想マシンを立ち上げたときに、ネットワークインターフェイスが一緒に作られる。ネットワーク内におけるプライベートIPアドレスは、ネットワークインターフェイスで確認出来る。尚、仮想マシンを停止してもプライベートIPアドレスは変わらないです。

色々な工程で待ち時間が発生

見積や開発環境の構築や検証において、超重要。時間泥棒は売上利益泥棒なり。時は金なり。特に先が見えない検証作業地獄。

クラウドでものすごく便利になったのかもしれないが、工程の至る箇所で待ち時間発生する点は厄介。インフラ系は待ちが長くて多くて困る・・・。

検証作業時は細かい待ち時間が納期に悪影響を与える。待ち時間が大きな足枷。

大量のアカウント管理も発生する

SSHの接続アカウントやら、Linuxユーザーのアカウントやら、DBのアカウントやら・・・、これまた億劫。

セキュリティ対策別途必要

IPS/IDS、仮想マシンのファイヤーウォール(iptables/firewalld)、やWAFのシグネチャの品質を調べながらサードパーティーを入れる人も多いと思います。複雑な環境でなければ、攻撃遮断くんでWAF/IPSの両方を抑えてしまう方が簡単でいいと思います。

Azureセキュリティセンターで、仮想マシンからデータ収集、Storage サービスの暗号化、セキュリティ連絡先の詳細情報の指定(メールアドレスや電話)等々もあり、ドキュメントがたくさんあるので時間かかります。

売りっぱなしの商売っていいなぁ。勝手に読め、勝手にやれ、使ったら金払え!ってうらやましい。

その他

ヘルプとサポートにStackoverflow入ってる・・・。AWSは各種のサービスが独自の名称で発達し過ぎて学習しないと使いにくい。

Azureが旧ポータルだった2~3年前はAWSの方が使いやすかったけど、逆転してる気がする。Azureニューポータルになってから、Azureの方が学習コスト低い様な気がする。

Azure Power Shell ログイン

AzureのニューポータルGUIで操作してきましたが、念のためPowerShellのログイン方法です。

管理者権限でPower Shellを開き、次のコマンドを実行し、Azure Power Shellを入手します。

確認を求められるのでyで2回返事します。環境にもよるかもしれませんが少し待たないとダメです。

セキュリティポリシーの確認

確認でRestrictedとなっていると、PowerShellスクリプトの実行が出来ないので以下のコマンドを実行します。

改めてセキュリティポリシーがRemoteSignedになったことを確認してください。

Azureへのログイン

このあと、画面の指示に従ってPowerShellでAzureにログインできます。

誰かをAzureのリソースグループに招待する方法

「リソースグループ」、「仮想ネットワーク」、「NSG(ネットワークセキュリティグループ)」、「NIC(ネットワークインターフェイス)」、「仮想マシン」、「DNSゾーン」、「ディスク」、「パブリックIPアドレス」など、すべてのリソースで「アクセス制御(IAM)」からメールで招待できます。たとえば、リソースグループを選んで「アクセス制御(IAM)」で「共同作成者」で招待。招待された側がmicrosoftアカウントを持っていなければ、一度アカウントを作る様にメールが届くので指示される通りにマイクロソフトアカウントを作ってもらう。この画面の中でずっとうろついても招待された側の人は永遠にAzureポータルにたどり着けない、必ずログアウトする。そして、改めてMicrosoftAzure新ポータルにググるなどしてログインする。これで無事にリソースを共有できます。

サブスクリプションを丸ごと共有する場合

ポータル⇒「サブスクリプション」⇒「アクセス制御(IAM)」⇒「サブスクリプション管理」⇒「管理」までいくと旧ポータルに飛ぶ。そして、旧ポータルで「追加」⇒「招待する人のメールを入力」⇒該当のサブスクリプションを選ぶ⇒「OK」となる。という事は、しばらく旧ポータルが廃止になることは無さそう。Azureの新ポータルと旧ポータルは長く並行かも。

誰をどのリソースに招待したのか?忘れそう・・・。人数が多いとか、リソースの分配が複雑という場合、カオスになると思うので絶対にメモっておいたほうがいいです。

コメントを残す