Windows Azure: Backupサービスのリリース、Hyper-V Recovery Manager、仮想マシンの拡張、拡張されたエンタープライズ管理のサポート

~ SATO Naoki (Neo) /さとうなおき

今朝、Windows Azureに対する多数のアップデートをリリースしました。新機能は、次の通りです:

  • Backupサービス: Widnows Azure Backupサービスの一般提供 (GA)
  • Hyper-V Recovery Manager: Windows Azure Hyper-V Recovery Managerのパブリック プレビュー
  • 仮想マシン: 接続済みのディスクの削除、可用性セットの警告、SQL Server AlwaysOnの構成
  • Active Directory: 数百のSaaSアプリケーションのセキュアな管理
  • エンタープライズ管理: Windows Azureをより良く管理するためのActive Directoryの使用
  • Windows Azure SDK 2.2: SDKの大規模なアップデート、Visual Studioツールのサポート

これらの改善すべては現在利用可能になっており、今すぐ使うことができます。詳細は、次の通りです。

Backupサービス: Windows Azure Backupの一般提供 (GA) リリース

本日、Windows Azure Backupサービスを一般提供 (GA) サービスとしてリリースします。このリリースは、運用環境で有効化されており、企業向けのSLAによって支えられ、Microsoftサポートによってサポートされ、運用環境のシナリオで使用する準備ができています。

Windows Azure Backupは、ファイルとフォルダーをバックアップし、クラウドから復旧できるようにする、Windows Server向けのクラウド ベースのバックアップ ソリューションであり、データ損失に対するオフサイトの保護を提供します。このサービスは、IT管理者と開発者に、簡単に復旧可能な方法で任意の場所から事前ハードウェア コストなしで、重要なデータをバックアップし保護するオプションを提供します。

Windows Azure Backupは、Windows Azureプラットフォーム上に構築されており、お客様のデータの格納のためにWindows Azure BLOBストレージを使います。Windows Serverは、ファイルとフォルダーのデータをWindows Azure Backupサービスにセキュアかつ効率的に転送するために、ダウンロード可能なWindows Azure Backupエージェントを使います。Windows Azure Backupサービスは、Windows Server向けのクラウド バックアップを提供することに加えて、System Center Data Protection ManagerとWindows Server Essentialsからクラウドにデータをバックアップする機能も提供します。

すべてのデータは、クラウドに送信される前にオンサイトで暗号化され、お客様が暗号化キーを保持し管理します (これは、データが完全にセキュアに格納され、自分以外に復号できるひとがいないことを意味します)。

作業の開始

Windows Azure Backupサービスの作業を開始するには、Windows Azure管理ポータルでバックアップ コンテナーを新規作成ます。これを行うには、「新規」>「データ サービス」>「復旧サービス」>「バックアップ コンテナー」をクリックします:

1

バックアップ コンテナーを作成したら、自分のWindows Serverをバックアップ コンテナーに登録する方法に関する単純なチュートリアルが表示されます:

2

バックアップしたいサーバーを登録したら、スケジュールされたバックアップを構成し、オプションとして復旧を開始するために、(Microsoft管理コンソール スナップイン、System Center Data Protection Managerコンソール、あるいはWindows Server Essentialsダッシュボードといった) 適切なローカル管理インターフェイスを使えます。これを行う方法についてさらに学ぶために、次のチュートリアルに従ってください:

Windows Azure Backupサービスが提供する主な利点は、次の通りです:

  • 単純な構成と管理。Windows Azure Backupは、ローカル ディスク、あるいはクラウドへのバックアップと復旧のシームレスなエクスペリエンスを提供するために、Windows Serverの使い慣れたWindows Serverバックアップ ユーティリティ、System CenterのData Protection Managerコンポーネント、およびWindows Server Essentialsと統合されています。
  • ブロック レベルの増分バックアップ。Windows Azure Backupエージェントは、ファイルとブロック レベルの変更を追跡し、変更されたブロックだけを転送することで、増分バックアップを実行します。そのため、ストレージと帯域幅のコストが削減されます。特定の時点のバックアップの異なるバージョンは、これらのバージョン間の変更されたブロックだけを格納することで、ストレージを効率的に使います。
  • データ圧縮、暗号化、調整。Windows Azure Backupエージェントは、データをネットワーク上でWindows Azure Backupサービスに送信する前に、サーバー上でデータを圧縮し暗号化するようにします。結果として、Windows Azure Backupサービスは、クラウド ストレージ内に暗号化されたデータだけを格納します。Windows Azure Backupサービスが暗号化キーを入手できないので、結果としてサービス内でデータは決して復号されません。また、ユーザーは、調整を設定し、情報のバックアップや復旧の際のWindows Azure Backupサービスによるネットワーク帯域幅の利用方法を構成できます。
  • クラウドでデータ整合性が確認されます。セキュアなバックアップに加えて、バックアップが完了すると、バックアップされたデータの整合性が自動的に確認されます。結果として、データ転送のために発生する可能性のあるどんな破損も、簡単に識別し、自動的に修正できます。
  • クラウドでのデータ格納に対する、構成可能な保持ポリシー。Windows Azure Backupサービスは、希望の保持範囲を超えたバックアップをリサイクルするために、保持ポリシーを受け入れて実装し、それによって、ビジネス ポリシーを満たし、バックアップのコストを管理します。

Hyper-V Recovery Manager: パブリック プレビューで利用可能に

また、新しいWindows AzureサービスであるWindows Azure Hyper-V Recovery Manager (HRM) のパブリック プレビューを発表できて、興奮しています。

Windows Azure Hyper-V Recovery Managerは、セカンダリの場所にあるSystem Center Virtual Machine Manager 2012 SP1、System Center Virtual Machine Manager 2012 R2 プライベート クラウドのレプリケーションと復旧を調整することで、自分のビジネス クリティカルなサービスの保護に役立ちます。自動化された保護、継続的な非同期レプリケーション、秩序ある復旧によって、Hyper-V Recovery Manager サービスは、正確一貫性があり最少のダウンタイムでの、災害復旧の実装と重要なサービスの復旧に役立ちます。

3

Hyper-V Recovery Managerのシナリオでのアプリケーション データは、常にオンプレミス レプリケーション チャネルで送信されます。(論理クラウド、仮想マシン、ネットワークなどの名前といった) オーケストレーションに必要なメタデータのみが、Windows Azureに送信されます。Windows Azureが送受信するすべてのトラフィックは、暗号化されています。

Windows Azure管理ポータルで「新規」>「データ サービス」>「復旧サービス」>「Hyper-V復旧マネージャー コンテナー」をクリックすることで、今すぐWindows Azure Hyper-V Recoveryを使い始めることができます。Brad Andersonによる9部構成のシリーズ “Transform the datacenter” (データセンターの変革) (英語 / 日本語 (機械翻訳)) で、Windows Azure Hyper-V Recovery Managerに関してさらに読むことができます。Hyper-V Recovery Managerの設定に関してさらに学ぶには、詳細なステップ バイ ステップのガイドに従ってください。

仮想マシン: 接続済みのディスクの削除、可用性セットの警告、SQL Server AlwaysOn

Windows Azureの本日のリリースには、Windows Azure仮想マシンに対する、多数の素晴らしいアップデートが含まれています。改善点は、次の通りです:

1回の操作で、VMインスタンスと接続済みのディスクの両方を削除できる機能

本日のリリース以前は、Windows AzureでVMを削除すると、VMインスタンスは削除されますが、そのVMに接続されていたディスクは削除されませんでした。自分で手動でストレージ アカウントからディスクを削除する必要がありました。本日のアップデートでは、VMの削除時に接続済みのディスクを保持または削除できるようにする、便利なオプションを追加しました:

4

また、1回の操作で、クラウド サービス、そのデプロイ、そのロール インスタンスを削除する機能も追加しました。これは、Webロール/ワーカー ロールで運用/ステージング デプロイを持つクラウドサービス、または、仮想マシンが含まれているクラウド サービスです。これを行うには、Windows Azure管理ポータルでクラウド サービスを選択し、「削除」ボタンをクリックするだけです:

5

可用性セット内に仮想マシンが1つしかない場合の警告

Windows Azure仮想マシンがサポートしている素晴らしい機能の1つに、「可用性セット」の概念があります。「可用性セット」によって、仮想マシンをマッピングできる (Webフロントエンド、データベース サーバーなどの) 層/ロールを定義できるようになります。可溶性セットに仮想マシンをマッピングすると、Windows Azureは複数の仮想マシンを障害ドメインに分離し、サービス操作の際 (障害時やメンテナンス時) に複数の仮想マシンのうち少なくとも1つが常に利用可能であることを保証します。これによって、可用性の高い方法で、アプリケーションをデプロイできるようになります。

一部のお客様が遭遇していた1つの問題は、可用性セットを定義したが、それからその可溶性セットに2つ以上のVMをマッピングし忘れることです (これは、可用性セットを持つ目的にそぐわないものです)。本日のリリースでは、可用性セットに仮想マシンが1つしかデプロイされていない場合に、それを強調するために、Windows Azure管理ポータルで警告が表示されるようになりました:

6

こちらで、仮想マシンの可用性の構成に関してさらに学べます。

SQL Server AlwaysOnの構成

SQL Server AlwaysOn (英語 / 日本語) は、SQL Serverの高可用性とDR (災害復旧) のシナリオを実現するために、Windows Azureで使える素晴らしい機能です。

Windows Azureの本日のリリースでは、「ダイレクト サーバー リターン」エンドポイントがWindows Azure管理ポータルで構成/管理できるようになったことで、SQL Server AlwaysOnの構成がずっと簡単になりました。以前は、これを設定するには、エンドポイント構成を完了するために、PowerShellを使う必要がありました。本日から、「Direct Server Return」チェックボックスをチェックするだけで、これを有効化できます。

7

こちらで (英語 / 日本語)、SQL Server AlwaysOn可用性グループに対するダイレクト サーバー リターンの使い方に関して、さらに学べます。

Active Directory: アプリケーション アクセス拡張

今年の夏に、Windows Azure Active Directory向けのアプリケーション アクセス拡張の初期プレビューをリリースしました。このサービスによって、(Office 365、Salesforce、Workday、Box、Google Apps、GitHubなどの) SaaSアプリケーションや (先週、ASP.NETとVS 2013でリリースした新しいWindows Azure ADサポート (英語 / 日本語) を使って構築されたものを含む) 業務アプリケーションに対して、セキュアにシングル サインオン (SSO) を実装できるようになります。

初期プレビュー以降、SAMLフェデレーション機能を拡張し、新しいパスワード格納システムを統合し、多要素認証サポートをリリースしました (英語 / 日本語)。また、アウトバウンドのアイデンティティ プロビジョニング システムを有効化し、そのシステムを数百の追加のSaaSアプリケーションで動作するようにしました:

8

今月、このサービスが一般提供 (GA) としてリリースされる日付と価格設定に関するアップデート (英語 / 日本語 (機械翻訳)) を公開しました。このブログ ポストでは、今年末までにこのサービスを一般提供 (GA) としてリリースする予定であることを発表しました。また、このサービスの無料層で、次の機能が利用可能であることも発表しました。

  • 統合済みのすべてのSaaSアプリへのSSO – ユーザーは、統合済みの任意のアプリに無料でシングル サインオンできます。フェデレーションとパスワード格納のどちらを使っているかに関わらず、すべてのトップSaaSアプリとアプリケーション ギャラリー内のすべてのアプリにシングル サインオンできます。
  • アプリケーション アクセスの割り当てと削除 – IT管理者は、Windows Azure Active Directory内のユーザーに、Webアプリケーションに対するアクセス権限を割り当ることができ、すべての社員が必要とするSaaSアプリにアクセスできるようにします。そして、ユーザーが退職や転職をする際に、管理者は簡単にアクセス権限を削除でき、データ セキュリティを保証し、知的財産の損失を最小化します。
  • ユーザーのプロビジョニング (およびプロビジョニング解除) – IT管理者は、Box、Salesforce.com、GoToMeeting、Dropboxといったサード パーティSaaSアプリケーションで、自動的にユーザーをプロビジョニングできます。我々は、この関係を築くために、エコシステム内の主要なパートナーと連携しています。これは、もはや複数のシステムで継続的にユーザー情報を更新する必要がないことを意味しています。
  • セキュリティと監査レポート – セキュリティは、我々にとって主な優先事項です。アプリケーション アクセス拡張の無料バージョンでは、標準のアクセス レポートにアクセスできます。これは、どのユーザーがどのアプリケーションを使っているか、いつユーザーがアプリケーションを使っていたか、どこからユーザーがアプリケーションを使っていたかに関する情報を提供します。加えて、たとえば、あるユーザーが同時に複数の場所からログインするといった、異常な使用パターンを警告します。
  • アプリケーション アクセス パネル – ユーザーは、Windows、iOS、Androidを含むあらゆる種類のデバイスからログインします。これらのデバイスすべてが同じように認証を処理するわけではありませんが、ユーザーは気にしません。ユーザーは、好みのデバイスから自分のアプリにアクセスする必要があります。アプリケーション アクセス パネルは、ユーザーが、任意のデバイス、任意の場所から自分のアプリにアクセスして起動できる機能をサポートします。

こちらで (英語 / 日本語 (機械翻訳))、Windows Azure Active Directoryによるアプリケーション管理の計画に関して、さらに学べます。今すぐプレビューを試し、使い始めてください。

エンタープライズ管理: Windows Azureをより良く管理するためのActive Directoryの使用

Windows Azure Active Directoryは、完全にクラウドにホストされたディレクトリ、または、(既存のディレクトリとシームレスに統合できるようにする) オンプレミスのWindows Server Active Directoryソリューションと同期されたディレクトリで、組織を管理できる機能を提供します。

Windows Azureの本日のリリースでは、Windows Azure Active DirectoryをWindows Azureの中心的な管理エクスペリエンスとさらに統合し、さらに高度なエンタープライズ セキュリティ機能を実現します。具体的には:

  1. すべてのWindows Azureアカウントが、そのアカウント向けに作成された既定のWindows Azure Active Directoryを持つようになりました。ディレクトリに希望のユーザーを作成/マッピングし、Windows Azureのリソースを管理する管理権限をそのユーザーに付与できます。
  2. このディレクトリを完全にクラウドでホストすることも、オプションとしてこのディレクトリをオンプレミスのWindows Server Active Directoryと同期することもできます。どちらのオプションも、無料です。後者のアプローチは、サインインしてWindows Azureリソースを管理するために企業のユーザー アイデンティティを使いたい企業に最適です。また、社員が辞職した場合に、その企業のWindows Azureリソースに対するその人のアクセス制御権が、即座に失効されることが保証されています。
  3. サインインして管理操作を実行するためにWindows Azure Active Directory資格情報の使用をサポートするように、Windows Azureサービス管理APIがアップデートされました。本日のリリース以前は、お客さまは、管理操作を実行するために、(対象範囲が個別ユーザーではない) 管理証明書をダウンロードして管理する必要がありました。この管理証明書のアプローチは、引き続きサポートされています (心配しないでください。動作しなくなるものはありません)。しかし、我々は、新しいWidnows Azure Active Directory認証のサポートによって、今後、お客様がリソースを管理するための、さらに簡単でよりセキュアな方法が可能になると考えています。
  4. (同じく本日リリースされる) Windows Azure SDK 2.2リリースには、Windows Azure Active Directoryで認証する、新しいサービス管理APIの組み込みサポートが含まれています。これによって、Visual Studio内で自分のActive Directory資格情報を使って、Windows Azureのアプリケーションやリソースを直接作成して管理できるようになりました。(同じくActive Directoryをサポートする) アップデートされたPowerShellスクリプトと相まって、これによって、Windows Azureによるエンド ツー エンドのエンタープライズ認証のシナリオが可能になります。

これらすべての動作に関する詳細は、次の通りです:

ディレクトリ内のサブスクリプション

本日のアップデートで、既存のすべてのWindows Azureアカウントを、Windows Azure Active Directoryに関連付けました (そして、Windows Azure Active Directoryをすでに持っていない場合は、あなたに代わってそれを作成しました)。

Windows Azure管理ポータルにログインすると、ブラウザーのURIにディレクトリ名が表示されるようになったことに気づくでしょう。たとえば、次のスクリーンショットでは、私が「scottgu」ディレクトリを持っており、その中に私のサブスクリプションがホストされていることが分かるでしょう:

9

Windows Azureにサインインするために、Microsoftアカウント (旧称 Windows Live ID) を使い続けられることに注意してください。Microsoftアカウントは、Windows Azure Active Directoryにうまくマッピングされています。なので、そうしたくない場合は、そのディレクトリ固有のユーザー名を新規作成する必要はありません。前述のシナリオでは、実際には、私の@hotmail.comベースのMicrosoftアカウントを使ってログインしています。このMicrosoftアカウントは、(私に代わって作成された) 「scottgu」アクティブ ディレクトリにマッピングされるようになりました。既定では、すべては以前と同様に動作し続けます。

自分のディレクトリの管理

管理ポータルの左側で「Active Directory」タブをクリックすることで、(既定であなたに代わって作成されたものを含む) Active Directoryを管理できます。これによって、自分のアカウント内のすべてのディレクトリの一覧が表示されます。ディレクトリをクリックすると、ディレクトリに関する一般的なタスクを実行するためのドキュメントとリンクを提供する、作業の開始ページが表示されます:

10

Windows Azure管理ポータルで組み込みのディレクトリ管理サポートを使って、ディレクトリ内のユーザーの追加/削除/管理、多要素認証の有効化、(mycompanyname.com といった) カスタム ドメインのディレクトリへの関連付け、好きな分かりやすい名前へのディレクトリの改名を行えます (これを行うには、「構成」タブをクリックするだけです)。また、「ディレクトリ統合」タブを使って、オンプレミスのActive Directoryと自動的に同期するように、ディレクトリを設定することもできます。

既定では、ディレクトリ内のユーザーが、ログインしてWindows Azureベースのリソースを管理するための管理者権限を持っていないことに注意してください。ログインしてWindows Azure内のリソースを管理するためには、依然として、サブスクリプションの共同管理者権限を明示的にユーザーに付与する必要があります。管理ポータルの左側の「設定」をクリックし、それからその中の「管理者」タブをクリックすることで、これを行えます。

Visual Studioとのサインイン統合

新しいWindows Azure SDK 2.2リリースをインストールしている場合、管理証明をダウンロードする必要なしに、Visual Studioから直接Windows Azureに接続できるようになりました。これを行うために、サーバー エクスプローラーの「Windows Azure」アイコンを右クリックし、「Windows Azureへの接続」コンテキスト メニューを選択できるようになりました:

11

これを行うと、サインインしたいユーザー名の電子メール アドレスの入力を促されます (このアカウントが、サブスクリプションの共同管理者権限を持つ、自分のディレクトリ内のユーザーであることを確認してください):

12

電子メールとして、Microsoftアカウント (Windows Live ID)、またはActive Directoryベースの組織アカウントを使えます。どの種類の電子メール アドレスを入力したかによって、ダイアログで適切なログイン プロンプトが表示されます:

13

サインインすると、Visual Studioサーバー エクスプローラーに、自分が管理する権限を持つWindows Azureのリソースが自動的に表示され、使い始められることに気づくでしょう:

14

管理証明書のダウンロードは、不要です。認証のすべては、自分のWindows Azure Active Directoryを使って処理されました!

複数のディレクトリにわたるサブスクリプションの管理

本日のアップデートでは、Windows Azureアカウントにすでに複数のディレクトリと複数のサブスクリプションを持っている場合、サブスクリプションからディレクトリへの優れた既定のマッピングを作成するように、最善を尽くします。我々が行ったサブスクリプションからディレクトリへの既定のマッピングが好きではない場合は、Windows Azure管理ポータルの左側ナビゲーションの「設定」をクリックし、その中の「サブスクリプション」タブを閲覧できます:

15

サブスクリプションをアカウント内の異なるディレクトリにマッピングしたい場合は、一覧からサブスクリプションを選択し、それから「ディレクトリの編集」ボタンをクリックして、どのディレクトリにマッピングするかを選択するだけです。サブスクリプションの異なるディレクトリへのマッピングには数秒しかかからず、サブスクリプション内のリソースのリサイクルや動作停止を引き起こすことはありません。サブスクリプションからディレクトリへのマッピング プロセスをセルフ サービスにしたので、あなたは常に完全な制御を持ち、好きなようにマッピングできます。

ディレクトリとサブスクリプションによるフィルタリング

Windows Azure管理ポータルでは、サブスクリプションでポータル内のリソースをフィルタリングできます (サブスクリプションを表示/非表示にできます)。また、複数のディレクトリ テナントにマッピングされたサブスクリプションを持っている場合は、ディレクトリ テナントでサブスクリプション一覧をフィルタリングできるようにする、フィルター ドロップダウンも表示されるようになりました。このフィルターは、Windows Azureアカウント内に複数のディレクトリにマッピングされた複数のサブスクリプションを持っている場合にだけ、利用可能です:

16

Windows Azure SDK 2.2

また、本日、Windows Azure SDKのメジャー アップデートもリリースします。Windows Azure SDK 2.2リリースは、次の新機能を含む、いくつかの素晴らしい新機能を追加します:

  • Visual Studio 2013のサポート
  • Visual Studioでの、統合されたWindows Azureサインインのサポート
  • Visual Studioでの、クラウド サービスのリモート デバッグ
  • Visual Studioでの、SQLデータベース向けのファイアウォール管理のサポート
  • MSDNサブスクライバー向けの、Visual Stduio 2013 RTM VMイメージ
  • Windows Azure Management Libraries for .NET
  • Windows Azure PowerShellコマンドレットとスクリプト センターのアップデート

すぐに、これらすべてのさらなる詳細に関するフォローアップ ブログ ポストを投稿する予定です。

追加のアップデート

また、前述のアップデートに加えて、本日のリリースには多数の追加の改善が含まれています:

  • 自動スケール: より高度な日時ベースのスケジューリングのサポート (異なる日付に対する異なる規則の設定)
  • 自動スケール: 0個の仮想マシンにスケールできる機能 (開発/テストのシナリオで非常に便利)
  • 自動スケール: モバイル サービスの自動スケール規則の、時間ベースのスケジューリングのサポート
  • 操作ログ: サービス バスの管理操作向けの、監査のサポート

本日、Windows Azure SDKのメジャー アップデート (Windows Azure SDK 2.2) をリリースしました。このSDKには多数の良い点があるので、間もなくこのSDKに関する2つ目のブログ ポストを公開します! :-)

まとめ

Windows Azureの本日のリリースによって、多数の素晴らしい新シナリオが可能になり、ずっと高度なエンタープライズ認証機能を可能にします。

もしWindows Azureアカウントをまだ持っていない場合は、無料評価版に登録して、これらの機能すべてを今すぐ使い始めることができます。それから、Windows Azureデベロッパー センターにアクセスして、アプリの構築方法についてさらに学んでください。

関連情報

Published by SATO Naoki (Neo) /さとうなおき

Azure Technologist at Microsoft