Alternative Architecture DOJO #5 イベントレポート前編

今日は２０２０年１１月１８日の１８時からオンラインで開催されたオルターブースさん主催のイベントAlternative Architecture DOJO #5のレポートをします 。Alternative Architecture DOJOといえばマイクロソフトのAzureを中心としたクラウドネイティブをテーマにした勉強会です。今回も９月に行われたマイクロソフトのテックイベントIgniteを受けての開催でサブタイトルはは「Microsoft Ignite Recapを中心にディープなアーキテクチャーをディープな人が語る」オルターブースの小島さんの趣味丸出しのオープニングビデオから始まりました。

このイベントは動画がYoutubeで公開されていますので、このnoteみて興味が出た方は、見てください。特に私の解釈でまとめているのでこちらを見たほうが正確で詳細です

閃光の Azure Update：中の人内藤さん

一番手はマイクロソフトの内藤さんからインフラを中心としたIgniteからのピックアップ。

マイクロソフトと言えばMS365などのイメージがありますが今はプラットフォームを提供する会社でそのプラットフォームを支えるのがAzureでインフラ、サーバレス、エッジデバイス、開発者ツールのサービスを提供しています。

マイクロソフトは９月だけで１９６ものアップデートがありますが、年二回のテックイベントBuildとIgnite周辺に重要なアップデートが行われるので、そのあたりを押さえておくこと、Book of Newsを押さえておくと効率的にキャッチアップできます。

今日は３つのお話です。

Cross-region load balancing

いままでAzureのロードバランシングは特定のリージョン内でしかバランスできなかったのですが、リージョン間のバランシングもできるようになってきました。従来からもTrraficManagerやFront DoorなどもありましたがⅬ４のロードバランサーでもマルチリージョンに対応できるようになりました。プロトコルやリージョンを考えてバランシングできるようになってきました。

料金の最適化に役立つプラン

年間とかで予約することで安くなる「予約インスタンス・予約キャパシティ」やオンプレのOSライセンスを持っている場合に安くなる「ハイブリッド特典」、Windows2008などの古いOSの場合に使える「延長セキュリティ変更プログラム」、空きリソースをベストエフォートで安く利用できる「Spot  Virtual Machines」などお得なプランが強化されました。さらにLinuxの場合でもハイブリッド特典でライセンスコストを訳す利用できるものがあるという事です。

Azureを利用する場合にはインフラ設計も大事ですが料金もしっかりと設計することが非常に重要で、今使っている分のベースは押さえておいて、変動価格を利用したり、スポットインスタンスを利用して賢く使うのが大事です。

Azure Rrivate Link

Azure Rrivate LinkはAzureのPaaSをプライベートIPから利用できるサービスが今年になって急拡大しています。ここで紹介するハマりやすいポイントを紹介します。DNSの名前解決でオンプレのサーバーからAzure上のサービスへアクセスするための名前解決のためにDNSのフォワードを立てるとかいろいろ設定しないといけないということです。

そのほかもインフラ回りのアップデートも紹介しておきます

Azure update flash

アプリケーションエンジニアへのいちおし Azure Update：中の人 平岡さん

内藤さんのセッションはアプリケーション開発が中心のアップデート紹介

App Service

App ServiceのアップデートはApp Serviceのチームブログに詳細が紹介されています。

Knowledge Center | Microsoft Azure

今回のアップデートプレミアムｖ３ SKUに新しいプランがでました。新しいV3のプランはcore数が強化されています。core数を考えると安くなっています。Linuxの場合はさらにお得になっています。内部的にはVirtual Machine が新しくなっています。リザーブドインスタンスが使えるようになっています。さらに開発用途に使うDev/Test用途のプランも用意されました。

Windowsコンテナのサポートでレガシー構成からの.NETアプリケーションの移行ができるようになりました。予約インスタンス利用でさらにお得です。

App Service Environment v3の簡素化によりデブロイ時間やコスト削減が期待できます

・・・その他GitHubアクションのインテグレーションがはいっていたり、Migration Assistant の対象にJava　のTomcatなどが追加などが行われています

Azure Spring Cloud

javaでは一般的になっているSpringの対応が一般提供されました。Kubernetesを意識しなくても利用できるPaaSになっています。残念ながらまだ東日本/西日本では提供されていません。

さまざまなAzureのサービスを連携して利用できます。またSteeltoeで.NETとjavaをAzure Spring Cloud上に共存して使えます。

利用する場合はSpring Cloudのコードのサンプルがあるので参考にしてください。様々な機能の利用のサンプルが得られます。

その他アップデート

APIマネジメント関係ではDaprとの連携、Visual Studio CodeからAzure APIマネジメントのポリシーのデバッグができる用になったり便利な機能が提供されています。

資料は公開されています

アプリケーションエンジニアへのいちおし Azure Update at Microsoft Ignite 2020

逆襲の Azure Well-Architected Framework：釜山さん

Fin-JAWSなどで活躍している釜山さんのセッションです。３台クラウドだけでなくアリババの資格も持っているとのことです。

セキュリティに関して大事なのは最初に守りたいものを定義する。そしてセキュリティは投資であって価値があるものだということです。NISCでも寄稿しています。　

本日のお題　Well-Archtected Framework は課題を抽出するためのフレームワークであって監査ではない。AWSが発祥ですがAzureでも用意されています。略称はW-AまたはWAFです。

目的は価値の創造、最大化を支えることで、その方法は価値の可視化と課題検出、最終的に価値の最大化を実現することです。

WAはこの５つが柱になっています。AzureのWAとAWSのWAは基本的には同じですがAzureはDevOps押し、AWSは自動化押しです。何となく路線が違っています。

W-Aの前にやるべきこととして、自分と組織がモダンになる事、縦割りにならない事、継続的改善の姿勢があります。

Microsoft Assessment

５つのアセスメントがあり、その一つがW-Aです。W-AではAzure Well-Archtectd ReviewとしてWebで提供されています。（英語のみ）

コスト最適化ではDos攻撃を受けた時のオートスケーリングのコストの問題など、コスト監視をしていれば検知できるなど５つの柱は相互関係にあります。

DevOpsの設問が多いです。アプリケーションの作りではなく体制も含めた考え方の設問です。

・・・これらの設問に回答するとさらに詳細の設問が登場します。それを全部説明はできないので４つのポイントに絞って説明します。

セキュアデザインの原則

まず攻撃されることが前提で考えましょう。価値があるものはサイバー攻撃の対象となります。合理的に自動化する、何でもかんでも自動化すると障害があっても気が付けない問題はある。攻撃領域を最小化する、アセスメントするとうっかりポートが開いていたりする。

リスクマネジメントコンプライアンス

リスクを考えずに対策を講じてもうまくいきません。大事なことはリスクの可視化です。モノリシックな組織や環境ではなく必要最小限にする。そして法令や基準規制を忘れないように

構築と実装

クラウドはID周りが狙われやすい。ゼロトラスト＝7IDセキュリティではない。さまざまなレイヤーで実装する。トレーサブルの設計は非常に重要でこれがあると判断が出来、改善につながる

SecOps

責任範囲・対応範囲がしっかりしている。エスアkレーション先の棚卸も大事、すべてのログを見れないので優先順位を考えておく、そして誰にお願いするのかをあらかじめ考えておく、そして実際のセキュリティスキルを上げる事（Redチーム演習など）

まとめ

多角的な視野

アーキテクチャを含むすべてを俯瞰すること

守るべきものをしっかりと定義する

・・・・後半に続きます

Home