Azure Administrator

Azure Administrator対策「Azure PowerShellの命名規約」

  • POST
Azure Administrator対策「Azure PowerShellの命名規約」 はじめに AZ-103「Azure Administrator」対策として、Azure PowerShellの 各コマンドを記憶しやすくするため、Azure PowerShellの命名規約を記載する。 Azure PowerShellの命名規 https://docs.microsoft.com/ja-jp/powershell/scripting/developer/cmdlet/approved-verbs-for-windows-powershell-commands?view=powershell-7 類似の動詞 NewとSetとUpdate New 新しいリソースを作成するために使用。 # 仮想マシンを作成 New-AzVm ` -ResourceGroupName "myResourceGroup" ` -Name "myVM" ` -Location "East US" ` -VirtualNetworkName "myVnet" ` -SubnetName "mySubnet" ` -SecurityGroupName "myNetworkSecurityGroup" ` -PublicIpAddressName "myPublicIpAddress" ` -OpenPorts 80,3389 Set 対象のリソースが存在しない場合にリソースを作成、 また、既存のリソースを変更するために使用される # VMを一般化(マシンとユーザーの固有の情報を VM から削除する) Set-AzVM -ResourceGroupName "ResourceGroup11" -Name "VirtualMachine07" -Generalized Update 仮想マシンの状態を最新化する。 仮想マシンオブジェクトに対して変更した内容を、 仮想マシンに反映させる。 RDBにおけるコミットと同じようなものと思われる。 # 仮想マシンオブジェクトにデータディスクを追加 $vm = Add-AzVMDataDisk -VM $vm -Name "myDataDisk" -CreateOption Attach -ManagedDiskId $dataDisk.

Azure Administrator対策「Azure オンプレミスのデータの取り込み」

  • POST
Azure Administrator対策「オンプレミスのデータの取り込み」 はじめに AZ-103「Azure Administrator」対策として、Microsoft Learnなどを要約したものを記載。 Azure Import/Export 物理ディスクドライブから、Azure Blob Storage と Azure Filesに大量のデータをインポートすることができるサービス。 Azureデータセンターにデータをコピーした物理ディスクドライブを送付することで、インポートが行われる。 逆にAzure Blob Storageから物理ディスクにデータを転送し、オンプレミスの拠点に送付することでエクスポートを行うことも可能。 Microsoft 提供のディスク ドライブを使用してデータを転送する場合は、Azure Data Box Diskを使用してデータをAzureにインポート。 https://docs.microsoft.com/ja-jp/azure/storage/common/storage-import-export-service#how-does-importexport-work ディスクドライブ ソリッドステートドライブ (SSD) またはハードディスクドライブ (HDD)に対応。 https://docs.microsoft.com/ja-jp/azure/storage/common/storage-import-export-requirements#supported-hardware 構成 以下の2つの機能が用意されている。 Import/Exportサービス Azure Portalからインポートジョブとエクスポートジョブを作成するGUIツール。 WAImportExportツール インポート、エクスポートを支援するコマンドラインツール。 以下の機能を提供する。 ディスクドライブの配送準備 データをドライブにコピーする ドライブ上のデータを暗号化 インポート作成中に使用されるドライブのジャーナルファイルを生成 エクスポートジョブに必要なドライブの数を特定 データセットCSV インポート、エクスポート対象のファイル、ディレクトリの一覧と、インポート、エクスポート設定を記載したCSVファイル。 https://docs.microsoft.com/ja-jp/previous-versions/azure/storage/common/storage-import-export-tool-preparing-hard-drives-import ジョブ Import/Exportサービスを利用にする場合、‘ Azure Portalなどでインポート、エクスポートジョブを作成する必要がある。 各ジョブは、1つのストレージアカウントに関連付けられる。 インポートジョブ Azure Blobsまたは Azure Filesにデータをインポートするためのジョブ。 手順は以下の通り。 インポートするデータ、必要ドライブ数、インポート先のBlobの場所を決定 WAImportExportツールで、データをディスクドライブにコピー

Azure Administrator対策「リソースへの操作まとめ」

  • POST
Azure Administrator対策「リソースへの操作まとめ」 はじめに AZ-103「Azure Administrator」対策として、Microsoft Learnなどを要約したものを記載。 デプロイ デプロイ履歴の表示 Azureポータルから「リソースグループ」⇒「デプロイ」でデプロイ履歴の一覧が表示できる。 https://docs.microsoft.com/ja-jp/azure/azure-resource-manager/templates/deployment-history?tabs=azure-portal デプロイされた日時を表示 リソース履歴に表示されている最終更新日時から、各リソースがデプロイが行われた日時を表示できる。 デプロイに使用したテンプレートの表示 リソース履歴画面から「対象リソース」 ⇒ 「テンプレート」の順に選択すると、デプロイに使用したテンプレートが表示される https://docs.microsoft.com/ja-jp/azure/azure-resource-manager/templates/export-template-portal Cloud-initを利用したデプロイ Linuxには、Cloud-initというVM作成時にのみ、 パッケージのインストールや、任意のスクリプトを実行し、構築作業を自動化してくれるOSSがある。 AzureポータルからVirtual Maschineをデプロイする際に、詳細タブにあるカスタムデータ欄にcloud-init用構成ファイルを記載すると、 VM作成時にパッケージのインストールや、任意のスクリプトを自動実行することが可能。 https://docs.microsoft.com/en-us/azure/virtual-machines/linux/tutorial-automate-vm-deployment Application Gatewayのデプロイ時間 Application Gatewayはアプリケーション層のロードバランサー。 Application Gateway v1 SKU 最大20分。 Application Gateway v2 SKU 基本的には、約6分。 構成によっては、6分以上かかることもある。 VMのネットワークインターフェースのデタッチ ネットワークインターフェイスをデタッチする場合は、 仮想マシンを先に停止しておく必要がある。 – リソースの移動 リソースを新しいリソースグループまたはサブスクリプションに移動しても、 リソースが配置されるリージョンは変わらない。 https://docs.microsoft.com/ja-jp/azure/azure-resource-manager/management/move-resource-group-and-subscription 仮想マシンを別のサブスリクションまたは、リソースグループに移動 VMは別のサブスリクションまたは、別のリソースグループに移動することができる。 VMを移動するためにVMを停止する必要はなく、起動した状態で移行することができる。 移動が完了するとVMには新しいリソースIDが発行される。 https://docs.microsoft.com/en-us/azure/virtual-machines/windows/move-vm AppServiceを別のサブスリクションまたは、リソースグループに移動 Web アプリをサブスクリプション間で移動する場合には、以下の制約が適用される。 移動先リソースグループに既存のApp Serviceリソースが含まれていてはいけない App Service リソースには次のものがある。 Web Apps

Azure Administrator対策「Azureのリカバリサービス」

  • POST
Azure Administrator対策「Azureのリカバリサービス」 はじめに AZ-103「Azure Administrator」対策として、Microsoft Learnなどを要約したものを記載。 Azure Backup Service Azureや、オンプレミス上のデータをAzureのストレージ上にバックアップするサービス。 https://docs.microsoft.com/en-us/azure/backup/ バックアップ手順 以下の手順で作成を実施。 https://docs.microsoft.com/en-us/azure/backup/backup-azure-arm-vms-prepare エージェントのインストール Azureマーケットプレイスのイメージから作成されたVMではなく、カスタムVMを作成する場合、またはオンプレミスマシンを移行する場合は、エージェントを手動でインストールする必要がある。 Recoveryコンテナーを作成 コンテナーの名称と、リージョン、サブスリクションを設定する。 バックアップポリシーを作成 バックアップの頻度やデータの保持期間を設定する。 Azure VMのバックアップを有効に設定 Azure VMのバックアップを有効に設定するとバックアップが行えるようになる。 バックアップの履歴は⼀覧メニューから確認でき、各バックアップからVMを復元できるようになる。 バックアップを消す場合は、Recoveryコンテナーを削除するのではなくバックアップポリシーを先に変更する必要がある リカバリー手順 以下は仮想マシンのバックアップを実施する場合の手順。 リカバリーする仮想マシンを選択 Azureポータルのブレードから[仮想マシン]をクリック。 仮想マシンのリストから対象の仮想マシンを選択して、ダッシュボードを開く。 バックアップダッシュボードを開く 仮想マシンのメニューで、[バックアップ]をクリックしてバックアップダッシュボードを開く。 ファイルの回復 [バックアップ]ダッシュボードメニューで、[ファイルの回復]をクリックします。 復元ポイントの選択 [復元ポイントの選択]ドロップダウンメニューから、必要なファイルを保持する復元ポイントを選択。 リカバリーソフトのダウンロード 復元ポイントからファイルをコピーするために使用するソフトウェアをダウンロードする。 Windows VMの場合は、[実行可能ファイルのダウンロード] Linux VMの場合は、[スクリプトのダウンロード] リカバリーソフトのパスワードを取得 ファイルの回復メニューからリカバリーソフトを実行するためのパスワードをコピーする。 リカバリーの実施 リカバリーソフトを実行するとリカバリー用のボリュームがマウントされる。 エクスプローラなどを使用して、リカバリーボリュームからファイルをコピーして、復元する。 https://docs.microsoft.com/en-us/azure/backup/backup-azure-restore-files-from-vm 主な利用条件・制限事項 仮想マシンのバックアップ期間の上限は最大99年間 https://azure.microsoft.com/ja-jp/blog/azure-backup-update-new-features-in-iaas-vm-backup-support/ 仮想マシンのバックアップのサポートは、下表の通り↑ 操作 サポート シャットダウン状態/オフライン状態の VM をバックアップする サポート対象 マネージド ディスクへの移行後にディスクをバックアップする サポート対象 リソース グループのロックを有効にした後、マネージド ディスクをバックアップする サポート対象外 ※ Azure Backup は古い復元ポイントを削除できないので、復元ポイントの上限に達するとバックアップが失敗する VM のバックアップ ポリシーを変更する サポート対象 バックアップ ジョブを取り消す スナップショットの処理中に可能 スナップショットがコンテナーに転送されているときは不可能。 別のリージョンまたはサブスクリプションに VM をバックアップする サポート対象外 1 日あたりのバックアップ回数 (Azure VM 拡張機能を使用した場合) 1 日あたり 1 回のスケジュール済みバックアップ。 1 日あたり最大 9 回のオンデマンド バックアップ 1 日あたりのバックアップ回数 (MARS エージェントを使用した場合) 1 日あたり 3 回のスケジュール済みバックアップ。 1 日あたりのバックアップ回数 (DPM/MABS を使用した場合) 1 日あたり 2 回のスケジュール済みバックアップ。 毎月/毎年のバックアップ Azure VM 拡張機能を使用してバックアップする場合以外は、毎日および毎週のみ クロックの自動調整 サポート対象外 ハイブリッド バックアップのセキュリティ機能 セキュリティ機能の無効化は不可能。 コンピューター時間が変更された VM をバックアップする サポート対象外 仮想マシン スケール セット内の Azure VM オーケストレーション モードが 3 に設定されている VM では、バックアップと復元がサポート対象。可用性セットはサポート対象外 https://docs.

Azure Administrator対策「IDの管理」

  • POST
Azure Administrator対策「IDの管理」 はじめに AZ-103「Azure Administrator」対策として、Microsoft Learnなどを要約したものを記載。 Azure Active Directory Azureクラウド上で組織内のユーザアカウントの管理、認証を行うサービス。 Azure AD デバイス ID Azureクラウドにアクセスできるデバイスを設定することが可能。 [Azure Active Directory] > [デバイス] から設定が行える。 https://docs.microsoft.com/ja-jp/azure/active-directory/devices/ 「Azure AD 参加 : Azure AD Join」 以下のような機能を提供するAzure上にアカウント管理サービス。 クラウドと、オンプレミスのデバイス間の双方向のシングルサインオン MDM(モバイルデバイス管理)機能 ※ この設定はWindows10にのみ対応 https://jpazureid.github.io/blog/azure-active-directory/azure-ad-join-vs-azure-ad-device-registration/ デバイス設定の構成 以下の設定項目をもつ。 [ユーザーはデバイスをAzure ADに参加させることができます] デバイスを「Azure AD 参加」に登録させることができるユーザーを選択する。 ※ 既定値は [すべて(All)]で全ユーザがデバイスの登録が作業が可能 [Azure AD 参加済みデバイスの追加のローカル管理者] デバイスに対するローカル管理者権限が付与されるユーザーを選択する。 ここに追加されたユーザーは、Azure ADの"デバイス管理者"ロールが追加される。 [ユーザーはデバイスをAzure ADに登録できます] ユーザーがデバイスをAzure ADに登録できるかどうかを設定する。 ※ Allか、Noneの2択 [デバイスを参加させるには Multi-factor Auth が必要] デバイスが「Azure AD に参加」するときに、 ユーザーが追加の認証要素の提供を求められるようにする設定。 ※ デフォルトは「No」

Azure Administrator対策「サブスクリプションおよびリソースを管理」

  • POST
Azure Administrator対策「サブスクリプションおよびリソースを管理」 はじめに AZ-103「Azure Administrator」対策として、Microsoft Learnなどを要約したものを記載。 サブスクリプション Azure でリソースをプロビジョニングするために使用される論理コンテナーまた、Azureにおける課金の単位。 仮想マシン(VM)やデータベースなどのすべてのリソースの詳細が保持される。 月単位で課金され、請求期間の終了後10日以内に自動的に請求される。 サブスクリプションは以下のような単位で設定することができる。 環境による分割 : 商用、開発、テストなどの個別の環境を設定する必要がある場合 組織構造による分割 : 部門、チーム、またはプロジェクト別に課金を整理する必要がある場合 サブスクリプションの制限 サブスクリプションにはいくつかの制限がある。 ※ 例 サブスクリプションごとの Express Route 回線の最大数は 10。 制限されている値を超えて利用をする場合、Azureポータルからサポートチケットを開いてクォータ(割当て量)の増加を依頼する必要がある。 https://docs.microsoft.com/ja-jp/azure/azure-resource-manager/management/azure-subscription-service-limits タグ タグはリソース、リソースグループ、サブスクリプションを割り当てることで、 それぞれを分類して整理する機能。 タグはタグ名とタグの値からなるキーバリュー形式で設定を行う。 ※ 例 : タグ名「Environment」、タグの値「Production」 主な制約事項 タグ名は大文字と小文字を区別されない ※ リソースプロバイダーは、タグ名に指定した大文字小文字を保持する場合がある タグの値は大文字と小文字が区別される リソースグループおよびサブスクリプションに適用されたタグはリソースに継承されない ※「Azureポリシー」でタグの設定が必要 タグ名は512文字に、タグ値は256文字に制限 ※ ストレージアカウントの場合、タグ名は128文字に制限され、タグ値は256文字に制限 タグ名は、以下の記号を含めることができない :<、>、%、& https://docs.microsoft.com/en-us/azure/azure-resource-manager/management/tag-resources タグごとのコストを表示 Azure portalから[コストの管理と請求] > [コスト管理] > [コスト分析]を指定。

Azure Administrator対策「ストレージの作成と管理」

  • POST
Azure Administrator対策「ストレージの作成と管理」 はじめに AZ-103「Azure Administrator」対策として、Microsoft Learnなどを要約したものを記載。 仮想ハードディスク (VHD) の使用例 オペレーティングシステムストレージ。 オペレーティング システムが格納される。 最大容量は 2,048 ギガバイト (GB) 。 一時ストレージ 各 VM には、ページ ファイルおよびスワップ ファイルに使用される一時 VHD。 Windows VM では既定で D: のラベルが付けられる。 データストレージ 再起動後も保持する必要があるファイル、データベース、およびその他のデータを格納。 最大容量は4,095 GB。 Azure では、Azureストレージアカウントに VHD がページ BLOB として格納される。 次の表は、各種ストレージ アカウントと、それぞれのストレージ アカウントで使用できるオブジェクトを示す。 ストレージアカウントのタイプ ストレージアカウントには以下の種類がある。 種類 該当サービス パフォーマンスレベル アクセス層 レプリケーション 汎用 v2 BLOB ファイル キュー テーブル ディスク Data Lake Gen2 Standard Premium ホット クール アーカイブ LRS GRS RA-GRS ZRS GZRS (プレビュー) RA-GZRS (プレビュー) 汎用 v1 BLOB ファイル キュー テーブル ディスク Standard Premium 該当なし LRS GRS RA-GRS BlockBlobStorage BLOB (ブロック BLOB と追加 BLOB のみ) Premium 該当なし LRS ZRS FileStorage ファイル Premium 該当なし LRS ZRS BlobStorage BLOB (ブロック BLOB と追加 BLOB のみ) Standard ホット クール アーカイブ LRS GRS RA-GRS 専用タイプ( Block blob, FileStorage に比べ、汎用タイプの方がレプリケーションのオプションが豊富

Azure Administrator対策「仮想ネットワークの設定と管理」

  • POST
Azure Administrator対策「仮想ネットワークの設定と管理」 はじめに AZ-103「Azure Administrator」対策として、Microsoft Learnなどを要約したものを記載。 ウェルノウンポート 以下のポートに関連する問題が試験で問われるケースがあるため、各ポートの用途を理解しておく必要がある。 プロトコル ポート 備考 HTTP 80 Webアプリケーションに接続する場合などに利用 HTTPS 443 Webアプリケーションに接続する場合などに利用 SSH 22 仮想マシンへのSSH接続時に使用 DNS 53 DNSサーバへの接続に利用 SMB 445 ファイル共有をマウントする場合に使用 RDP 3389 仮想マシンへのリモートデスクトップ接続時に使用 SQL over TCP 1443 RDBへの接続時に利用 仮想ネットワークの制限事項 仮想ネットワークと異なるリージョンおよびサブスクリプションに属するリソースに、仮想ネットワークを割り当てることはできない。 例えば、仮想ネットワークと異なるリージョンに属するVMやNSGを、仮想ネットワーク上に割り当てることはできない。 ただし、異なるサブスクリプションおよびリージョンに存在する仮想ネットワークに接続することはできる。 https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-network-vnet-plan-design-arm#regions https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-networks-faq#can-a-vnet-span-regions 仮想ネットワークピアリング(VNet ピアリング) Azure上の異なる仮想ネットワーク間を接続させる機能。 ピアリングされた仮想ネットワークは、見かけ上1つのネットワークとして機能する。 グローバルVNetピアリング 異なるリージョンに属する仮想ネットワークの間の仮想ネットワークピアリングのこと。 主な利用条件・制限事項など ピアリング接続の可否に関する制限事項 異なるリージョンの間の仮想ネットワークはピアリング可能

Azure Administrator対策「仮想マシン(VM)の展開と管理」

  • POST
Azure Administrator対策「仮想マシン(VM)の展開と管理」 はじめに AZ-103「Azure Administrator」対策として、Microsoft Learnなどを要約したものを記載。 VM作成の考慮事項 ネットワークの作成 VMに割り当てる仮想ネットワーク(VNet)を指定する。 同じネットワークに属するVMと他のAzureサービスの間では、相互アクセスが可能。 仮想ネットワークは一度設定した後から変更することは困難なので、VMを導入する前にトポロジーを考慮する必要がある。 VNet を他の VNet に接続する場合は、重複しないアドレス範囲を選択する必要がある。 サブネットの作成 作成した仮想ネットワークアドレス空間から、管理しやすいようにサブネットを作成する。 ※ 例 ・10.1.0.0/16 ⇒ VMサブネット ・10.2.0.0/16 ⇒ バックエンドサービス用サブネット ・10.3.0.0/16 ⇒ SQL Server VM用サブネット ※ 各サブネットの先頭から 4 個のアドレスと最後のアドレスは、Azure側で予約されているので、利用できない セキュリティの設定 既定では、サブネット間にセキュリティ境界がないため、各サブネットのサービスは互いに通信可能。 ネットワーク セキュリティ グループ (NSG) を設定して、 サブネット間にネットワークフィルタを設定可能。 VMの名称 Windows VM には最大 15 文字、Linux VM には最大 64 文字の名前を指定することができる。 わかりやすく一貫性のある名前を選択する必要がある。 良い慣例としては、以下のような内容を含ませる。 要素 例 備考 環境 dev、prod リソースの環境名 場所 uw (米国西部)、ue (米国東部) リソースが稼働するリージョンなど 番号 01、02 ナンバリング 製品 Or サービス名 service リソースがサポートする製品、アプリケーションなど ロール sql、web、messaging リソースのロール VMを起動させる場所 場所の選択に関しては、それ以外に次の 2 点を考慮する。