Ignite 2016 での Azure ネットワーク関連の発表
執筆者: Yousef Khalidi (CVP, Azure Networking)
このポストは、9 月 26 日に投稿された Azure Networking announcements for Ignite 2016 の翻訳です。
今週、Azure ネットワークのパフォーマンス、可用性、セキュリティの向上や運用に関する情報提供の強化を目的として、複数のサービスや機能の導入が発表されました。マイクロソフトはお客様にパブリック クラウドでさらに簡単かつシームレスにサービスを実行していただけるよう、今後も引き続きイノベーションを進めてまいります。Ignite での Azure 関連の発表については、Jason Zander のブログ記事 (英語) にまとめられていますので、そちらもお読みください。
パフォーマンスの向上
Azure は 9 年以上にわたりマイクロソフトのクラウド規模のデータセンター インフラストラクチャ開発に利用されています。大規模のデータセンターやデータ転送速度の向上に対応するネットワーク インフラストラクチャを構築するためには、ネットワーク テクノロジを根本的に変革することが必要であることをマイクロソフトは早い時期から認識していました。このため、自社開発のハードウェア ソリューションを含め、業界全体で協力して最先端のネットワーク ソリューションの推進と開発に取り組んできました。
今回、世界中のサーバー群全体に向けた革新的な機能強化が発表されました。これにより、ネットワーク帯域幅のパフォーマンスが 33 ~ 50% 向上します。この数字は、NVGRE オフロードなどのハードウェア テクノロジを活用し、ハードウェアのネットワーク処理機能を利用することにより達成されます。Windows および Linux の VM では、前述のようにパフォーマンスが向上するほか、貴重な CPU サイクルをアプリケーションの処理に回すことができます。2016 年中には全世界でのデプロイメントが完了する予定です。完了後には、VM サイズの表を更新してこの新しいパフォーマンスのメリットを反映します。
また、さらなるパフォーマンス向上のために、Accelerated Networking のパブリック プレビューが発表されました。Accelerated Networking を利用することで、最大 25Gbps のスループットが提供され、ネットワーク レイテンシも最大で 10 分の 1 と大幅に短縮されます。アプリケーションは SR-IOV などの次世代のハードウェア テクノロジを活用し、ハイパーバイザーの仮想スイッチを完全にバイパスして VM がハードウェア NIC と直接通信することができます。帯域幅の向上とレイテンシの短縮に加えて、アプリケーションではジッターの低減や 1 秒間に処理できるパケット数 (PPS) の向上といったメリットも得られます。Accelerated Networking により、Azure SQL DB のインメモリ OLTP トランザクションのパフォーマンスは 1.5 倍に向上しました。また、今回のプレビューでは DS15v2 および D15v2 の VM サイズで最大 25Gbps のネットワーク スループットを実現できます。リージョン別の提供状況とプレビューのサインアップ ページへのリンクについては、VM 用の Accelerated Networking (英語) のドキュメントをご確認ください。
さらに、Azure Storage では、これらの新機能と新たに開発されたストレージ専用のオフロード機能によって IOPS を大幅に向上できます。ハードウェアのデータ転送が効率化され、最大で NIC の回線速度での転送が可能になります。Azure Storage へのロールアウトも 2016 年中に完了する予定です。
さらに、Virtual Network Peering (VNet Peering) の一般提供が開始されます。VNet Peering では同一リージョン内の仮想ネットワーク (VNet) が接続され、フルメッシュ型の直接接続を確立できます。ピアリングされた VNet 内の VM は、同一の VNet に所属している場合と同じように相互に通信可能であるため、帯域幅の向上とレイテンシの短縮が実現されます。ゲートウェイ経由のトランジット ルーティングではハブ スポーク型のトポロジがサポートされ、ゲートウェイがない VNet でもピアリング先の VNet のゲートウェイを経由してクロスプレミス接続を確立できます。VNet Peering はサブスクリプション間でも機能するため、サービスの管理を簡素化できます。
この機能により、同一リージョン内の VPN ゲートウェイとネットワーク仮想アプライアンスを統合し、管理を簡素化すると共にコストを削減できます。User-Defined Route (UDR) および Network Security Group (NSG) によって、ピアリングされた VNet 間できめ細かい制御を行うことができます。Vnet Peering では “クラシック” VNet と Azure Resource Manager VNet の共存が可能なため、Azure Resource Manager モデルを段階的に採用する場合にも対応します。
企業のお客様の多くは、マイクロソフトへのプライベート ネットワーク接続に ExpressRoute を利用しています。ExpressRoute は、世界 35 か所以上の電気通信事業者やクラウド エクスチェンジ プロバイダー、サービス プロバイダーから成る大規模なエコシステムによってサポートされています。このたび、最大 10 Gbps のスループットをサポートする ExpressRoute 用の UltraPerformance Gateway SKU (英語) がリリースされます。これにより、既存の ExpressRoute HighPerformance Gateway と比較して速度が 5 倍になり、SLA によって 99.95% の可用性が保証されます。UltraPerformance Gateway を使用すると、さらに多くのネットワーク負荷が高いサービスやワークロードを仮想ネットワークにデプロイできます。
ネットワーク要件が厳しく、リアルタイムで大量のデータにアクセスする必要があるクラウド アプリケーションにとって、このパフォーマンス強化は大きなメリットとなります。ぜひ皆様のワークロードでご利用ください。
IPv6
今回、Azure Virtual Machines でホストされるアプリケーションやサービスに IPv6 ネットワーク接続のネイティブ サポート (英語) が追加されました。モバイル デバイスが爆発的に増加し、膨大な数のモノのインターネット (IoT) デバイスが市場に投入され、新しいコンプライアンス規制に対応する必要が生じている今、IPv6 の需要はかつてないほど高まっています。マイクロソフトは Office 365 などの内部サービスで IPv6 を 3 年以上使用しており、今後はこの機能がすべての Azure のお客様に提供されます。IPv6 を利用した VM へのネイティブ接続は、Windows VM と Linux VM の両方で使用できます。
可用性の向上
運用環境のワークロードには、HighPerformance VPN Gateway SKU 向けの新しいアクティブ/アクティブ仮想プライベート ネットワーク (VPN) ゲートウェイ (英語) が推奨されます。高可用性を確保するには、お客様のオンプレミスの VPN デバイスを含む環境全体を包括的に把握し、複数のサービス プロバイダーを使用してアクティブ/アクティブ VPN ゲートウェイに接続する必要があります。それぞれの VPN ゲートウェイには、2 つのアクティブなインスタンスが存在し、お客様はクロスプレミスの VPN 接続を二重に冗長化して、Azure VNet への VPN 接続の可用性を向上できます。マイクロソフトは、この新しいアクティブ/アクティブ VPN ゲートウェイを検討することをすべてのお客様にお勧めします。
お客様からは、Azure Load Balancer の構成の自由度を高めてほしいというご要望が寄せられています。これを受けて、設計の柔軟性、新しいシナリオへの対応、リソース統合の効率化を実現する機能が複数発表されました。
今回、内部ロード バランサーによる複数の VIP のサポートと、パブリック ロード バランサーと内部ロード バランサーの間でポートを再利用する新しいオプションの一般提供が開始されました。さらに翌週には、ネットワーク インターフェイス カード (NIC) による複数の IP アドレスのサポートと、NIC またはロード バランサーを介して VM 上のすべての NIC にパブリック IP アドレスを付与する機能のプレビューが一部のリージョンで開始されます。これらの機能の提供状況については、サービスの更新情報ページ (英語) を参照してください。
ネットワーク仮想アプライアンス (NVA) の構成の柔軟性も向上しました。ファイアウォール アプライアンスでは、同一のバックエンド マシンを使用して、インターネットに接続するサービスを NIC 1 に、内部の管理サービスを NIC 2 に割り当てることができます。また、お客様またはサービス単位で個別にプライベート IP アドレスのセキュリティを確保することにより、NVA は単一の NIC を使用して複数のサービスをホストできます。個々のIP アドレスに NSG ルールを適用すると、さらにセキュリティを強化できます。
このほか、現在プレビューとして提供されている SQL AlwaysOn での複数のリスナーの設定にも利用できます。また、単一のクラスターで複数の可用性グループをホストして、アクティブなレプリカの数を最適化することもできます。
Azure DNS
このたび、Azure DNS の一般提供が開始されました。今後は、他の Azure サービスと同じ資格情報、API、ツール、課金モデル、サポートを使用して、Azure DNS のドメインをホストしたり DNS レコードを管理したりすることができます。また、Azure DNS では Azure Resource Manager のエンタープライズ クラスのセキュリティ機能を使用できるため、ロール ベースのアクセス制御や詳細な監査ログを利用できます。A、AAAA、CNAME、MX、NS、PTR、SOA、SRV、TXT といった各形式のレコードがサポートされているほか、SLA によって 99.99% の可用性が保証されます。
Azure DNS ではネーム サーバーのグローバル ネットワークを使用して、複数のリージョンにおける障害やネットワーク パーティションが発生した場合にも、非常に高い可用性が実現されます。DNS クエリに対しては、使用可能な最も近くの DNS サーバーが応答するため、可能な限り高速なクエリ パフォーマンスが確保されます。
Azure DNS では、Azure ポータル、Azure PowerShell のスクリプト、クロスプラットフォームの Azure CLI のいずれかを利用して、DNS ゾーンや DNS レコードを管理できます。開発者は Azure DNS の REST API や SDK を使用して、DNS レコードのプロビジョニングをアプリケーション ワークフローの一部として自動化することができます。いずれの場合も、DNS レコードのプロビジョニングが高速に実行されるため、新しい DNS レコードが各ネーム サーバーに反映されるまで待つ必要はありません。お客様も SDK を使用して、DNS レコードのプロビジョニングをアプリケーション ワークフローの一部として自動化できます。
セキュリティの強化
昨年、レイヤー 7 の負荷分散をサービスとして提供するアプリケーション配信コントローラー (ADC)、Application Gateway がリリースされました。このサービスは、地理的なリージョン間での負荷分散に使用される Azure Traffic Manager (DNS ロード バランサー) と、単一リージョン内でのレイヤー 4 の負荷分散に使用される Azure Load Balancer (可用性セット) を補完するものです。この 1 年間、Application Gateway は Web アプリケーションの要件に対応するように強化されてきました。これにより、SSL の終端処理、ラウンドロビン方式の負荷分散、クッキー ベースのセッション アフィニティ、URL パス ベースのルーティング、単一のロード バランサーでの複数の Web アプリケーションのホスト、アクセス ログおよびパフォーマンス ログを利用した高度な診断、WebSocket のサポート、VM スケール セットのサポート、ユーザーが構成可能な正常性プローブの定義などの機能が追加されました。
アプリケーションのセキュリティを強化するという継続的な取り組みの一環として、Application Gateway ではエンドツーエンドの SSL 暗号化とユーザーが構成可能な SSL ポリシーが新たにサポートされました。SSL/TLS を使用して、ユーザー要求からバックエンドまでのエンドツーエンドの通信のセキュリティを確保すると共に、Application Gateway に設定されたルーティング ルールを利用できます。ユーザーからの SSL 要求の終端処理はゲートウェイで実行されます。この処理により、ユーザーが構成したルーティング ルールが適用され、バックエンドに送信される前に要求が再び暗号化されます。また、ユーザーが構成可能な SSL ポリシーにより、古いバージョンの SSL/TLS プロトコルを個別に選択して無効化し、Application Gateway のバックエンド アプリケーションのセキュリティ プロファイルをさらに強化することができます。
さらに高度なセキュリティ機能を提供し、SQL インジェクションやクロスサイト スクリプト攻撃などの一般的な脆弱性から Web アプリケーションを保護するために、Application Gateway サービスの一部として Web Application Firewall (WAF) のパブリック プレビューが発表されます。
Application Gateway WAF では、アプリケーションのセキュリティ管理が簡素化され、Open Web Application Security Project (OWASP、英語) が公開した最も多く確認されている上位 10 種の Web 脆弱性に対する保護機能が事前構成されています。Application Gateway WAF は、保護モードと検出のみのモードのいずれかで実行できます。また、メトリックやアラートのレポートがリアルタイムで提供され、攻撃に備えて Web アプリケーションが継続的に監視されます。近日中には、セキュリティ ルールのカスタマイズと Azure セキュリティ センターとの統合もサポートされる予定です。
ネットワークの監視と診断
クラウドが成熟するにつれて、ネットワーク パフォーマンスだけでなく、可視性や情報についてもオンプレミス ソリューションと同等に提供することが重要になっています。マイクロソフトは、ネットワーク管理を容易にするために、監視機能と診断機能を継続的に強化しています。
以下は以前発表した監視機能と診断機能です。
- Network Security Group のイベントとカウンター
- SLB リソース消費イベントと正常性プローブ
- Application Gateway のパフォーマンス ログとアクセス ログ
- すべてのネットワーク リソースの監査ログ
上記に加えて、今回さらに複数の新機能がリリースされました。
Application Gateway のパフォーマンス メトリックは Azure ポータルで確認できます。これらのメトリックを表示する場合に、追加の構成は不要です。現時点は、経時的なスループット統計情報がサポートされており、近日中にはメトリックがさらに追加されます。
ネットワークをプロアクティブに監視するために、メトリックに対してしきい値に基づくアラートを設定することができます。アラートが発生すると、メール通知を送信したり、サードパーティのメッセージング サービスと統合可能な Webhook を起動したりできます。
ExpressRoute を利用している場合は、ルーティング構成やネットワーク ピアリング統計といった運用に関する情報を確認できます。
また、Network Security Group (NSG) や User-Defined Route の診断機能が強化され、ネットワーク接続に関する複雑な問題を簡単に診断できるようになりました。[Effective routes] ビューには、VM のネットワーク トラフィックに影響を与える User-Defined Route (UDR)、システムおよび BGP ルートがまとめて表示されます。
ネットワーク セキュリティ設定を構成した場合、設定が適切であることを簡単に検証できることが重要です。[Effective security rules] ビューでは、VM や NIC に対して構成されているセキュリティ ルールを簡単で直観的な方法で包括的に把握できます。
今後数か月以内にさらに多数の機能が追加されますので、どうぞご期待ください。
今後の展望
クラウドは現在も進化を続けており、お客様はどんどん負荷が高く複雑なワークロードをデプロイするようになっています。このような進化が続く限り、マイクロソフトの使命や取り組みが終わることはありません。ぜひ新しいサービスや機能をご利用になり、ご意見をお聞かせください。お寄せいただいた貴重なフィードバックは、皆様のニーズに対応する新しいネットワーク テクノロジの開発、強化、デプロイに役立ててまいります。