Windows Azure: 新しい仮想マシン、Active Directory、多要素認証、ストレージ、Webサイト、使用制限の改善

~ SATO Naoki (Neo) /さとうなおき

今週、Windows Azureに対するいくつかの素晴らしいアップデートをリリースしました。新機能は、次の通りです:

  • コンピューティング: 新しい2CPUコア、14GB RAMのインスタンス
  • 仮想マシン: Oracleソフトウェア イメージのサポート、停止している仮想マシンに対する管理操作
  • Active Directory: より高度なディレクトリ管理と、多要素認証の一般提供 (GA)
  • 使用制限: 使用制限のリセット、使用制限に達した場合に仮想マシンが削除されない
  • ストレージ: 新しいストレージ クライアント ライブラリ 2.1のリリース
  • Webサイト: IPとドメインの制限のサポート

これらの改善すべては現在利用可能になっており、今すぐ使い始めることができます。詳細は、次の通りです。

コンピューティング: 新しい2CPU、14GB RAMのインスタンス

今週、Windows Azure向けの新しいメモリー集約型インスタンスをリリースしました。A5と呼ばれるこの新しいインスタンスは、2CPUコアと14GB RAMを持ち、仮想マシン (Windows、Linux) とクラウド サービスで使用可能です。

1

この新しいA5インスタンスを、今すぐ使い始めることができます。料金に関する追加情報については、Windows Azure Webサイトの料金詳細ページのクラウド サービス仮想マシン セクションをご覧ください。

仮想マシン: Oracleソフトウェア イメージのサポート

今年の夏に、MicrosoftとOracleとの間の戦略的提携 (英語 / 日本語) と、Windows Azure仮想マシンでのOracleソフトウェアの稼働に対応する予定であることを発表しました。

本日から、Windows上のOracle Database、Oracle WebLogic Server、Java Platform SEの多様な組み合わせを実行する、Oracleソフトウェアのライセンスが含まれた、事前構成済みの仮想マシン イメージをデプロイできるようになりました。すぐにデプロイできるこれらのOracleソフトウェア イメージによって、エンタープライズ アプリケーションの開発、テスト、デプロイ、簡単なスケーリングのために、費用対効果の高いクラウド環境の迅速なプロビジョニングが可能になります。Windows Azure管理ポータル内の標準の「仮想マシンの作成」ウィザードで、イメージを簡単に選択できるようになりました:

2

プレビュー期間中、標準のWindows Server仮想マシンの料金への追加料金なしに、これらのイメージを提供します。プレビュー期間終了後、これらのOracleイメージは、月間の総稼働時間 (分単位) をベースに課金される予定です。Oracleのライセンス モビリティによって、Oracleソフトウェアのライセンスをすでに持っているOracleの既存顧客には、Windows Azure上にそのライセンスをデプロイする柔軟性もあります。

Windows Azure上のOracleについてさらに学ぶには、windowsazure.com/oracle にアクセスし、Oracleイメージのウォークスルー ドキュメント (英語 / 日本語 (機械翻訳)) をお読みください。

仮想マシン: 停止している仮想マシンに対する管理操作

今週のリリースから、停止している/割り当て解除されている仮想マシンに対して、管理操作を実行できるようになりました。以前は、VMサイズの変更、ディスクの接続や切断、エンドポイントやロード バランサー/可用性セットの設定といった操作を実行するためには、仮想マシンが実行中である必要がありました。停止している仮想マシンに対して、起動する必要なしに、これらすべてを実行できるようになりました。

3

Active Directory: 複数のディレクトリの作成と管理

今週のリリースから、単一のWindows Azureサブスクリプションにおいて、Windows Azure Active Directoryの複数のディレクトリを作成し管理することができるようになりました (以前は、1つのディレクトリだけがサポートされており、一度作成すると削除できませんでした)。これは、開発/テストのシナリオ、異なるディレクトリ テナントを持ちたい場合、異なるオンプレミスのドメインやフォレストを同期したい場合に、便利です。

Active Directoryの新規作成

Active Directoryの新規作成は、本当に簡単になりました。管理ポータルで、「新規」>「アプリケーション サービス」>「Active Directory」>「ディレクトリ」を選択するだけです:

4

入力を求められたら、ディレクトリ名、既定のドメイン名 (たとえば yourcompanyname.com など、任意の好きなカスタム ドメインに後で変更可能)、使用する国または地域を構成します:

5

数秒で、無料ですぐに使える、Windows Azureにホストされた新しいActive Directoryが作成されます:

6

完全にクラウド内で自分のWindows Azure Active Directoryを実行し管理することも、オンプレミスのActive Directoryと同期することもできます。後者によって、オンプレミス ユーザーのすべてをクラウド内のActive Directoryに自動的に同期できるようになります。後者のオプションは非常に強力で、オンプレミス ディレクトリでユーザーを追加、削除したときに、それがクラウドにも自動的に反映されます。

Windows Azure Active Directoryを使って、クラウドで稼働しホストされているカスタム アプリケーションに対するIDアクセスを管理できます (VS 2013では、Windows Azure上のこのSSOの構築を本当に簡単にする、ASP.NETの新機能があります)。また、Windows Azure Active Directoryを使って、Office 365、Salesforce.com、その他の人気の高いSaaSソリューションといった、クラウド ベースのアプリケーションへのIDアクセスをセキュアに管理できます。

追加の新機能

単一のWindows Azureサブスクリプション内での複数ディレクトリ作成の対応に加えて、今週のリリースには、Windows Azure Active Directoryの管理エクスペリエンスに対する、いくつかの追加のユーザビリティ拡張もあります:

  • 今週のリリースで、作成後にディレクトリ名を変更する機能を追加しました (以前は、作成時の名前を変更できませんでした)。
  • ディレクトリ管理者が、自分がメンバーである他のディレクトリから、ユーザーを追加できるようになりました。これは、たとえば、非運用環境で開発/テスト中のアプリケーションで共同作業する必要がある他のメンバーが、自分の運用ディレクトリにいるシナリオで便利です。ユーザーは、最高で20ディレクトリまでのメンバーになることができます。
  • Windows AzureにアクセスするためにMicrosoftアカウントを使い、別のディレクトリを管理するために異なる組織アカウントを使っている場合、自分のMicrosoftアカウントでこの2番目のディレクトリを管理できたら便利だと思うでしょう。今回のリリースで、既存のActive Directoryを管理するようにMicrosoftアカウントを構成することを、簡単にしました。たとえ、Microsoftアカウントがすでにディレクトリを管理していて、2番目のディレクトリの管理者アカウントがWindows Azureサブスクリプションを持っていなくても、これを構成できるようになりました。これは、Office 365や他のMicrosoftサービスの登録中に2番目のディレクトリの管理者アカウントが作成された場合に、よくあるシナリオです。
  • 今回のリリースでは、開発者が自分のWindows Azure ADに追加済みのシングル テナント アプリケーションを削除できる機能も追加島しました。アプリケーションを削除するには、アプリケーションが追加されたディレクトリを開き、「アプリケーション」タブをクリックし、コマンド バーの「削除」をクリックします。「構成」タブで外部アクセスが「オフ」に設定されているときにだけ、アプリケーションを削除可能です。

いつものように、これらの新しいAzure ADのエクスペリエンスで素晴らしいと思うものがある場合や、あなたをイライラさせるものがある場合は、TechNetのフォーラムに投稿することで我々にお知らせください。

Active Directory: 多要素認証サービスの一般提供 (GA)

今週のリリースで、素晴らしい新サービスであるWindows Azure多要素認証 (Multi-Factor Authentication / MFA) サービスの一般提供 (GA) をリリースできて興奮しています。Windows Azure多要素認証は、Windows Azure、Office 365、Intune、Dynamics CRM、およびWindows Azure Active Directoryをサポートする任意のサード パーティ クラウド サービスに対するユーザー アクセスのセキュアな管理を簡単にする、マネージド サービスです。クラウド内で開発しホストしている自分のカスタム アプリケーションに対するアクセスをセキュアに制御するために、これを使うこともできます。

また、Windows Azure多要素認証を、オンプレミスのシナリオで使うこともできます。オプションとして、Windows Server Active Directory向けの新しい多要素認証サーバーをダウンロードし、オンプレミス アプリケーションを保護するためにそれを使うことができます。

作業の開始

多要素認証を有効化するには、Windows Azure管理ポータルにサインインし、「新規」>「アプリケーション サービス」>「Active Directory」>「多要素認証プロバイダー」を選択し、「簡易作成」オプションを選択します。サービス作成時に、自分のWindows Azure Active Directoryを指定し、2つの課金モデル (ユーザーごとの料金、認証ごとの料金) のうちの1つを選択できます:

7

一度作成すると、Active Directoryの「多要素認証プロバイダー」セクションに、Windows Azure多要素認証サービスが表示されます:

8

それから、自分のActive Directoryの「ユーザー」タブに進み、「多要素認証の管理」ボタンをクリックすることで、自分のディレクトリ内のどのユーザーで多要素認証が有効化されているかを管理できます:

9

自分のディレクトリ内のユーザーに対して多要素認証を有効化すると、ユーザーがアプリやサービスへのログインするときに、追加の確認を提供するために、モバイル アプリ、電話、テキスト メッセージを介した確認を含む、多様な2次認証テクニックを使うことができます。この管理と追跡は、あなたに代わってWindows Azure多要素認証サービスによって自動的に処理されます。

さらに学ぶ

Windows Azure多要素認証に関する6分間の動画で、本日のリリースに関してさらに学ぶことができます。

さらに学ぶための追加の動画とチュートリアルは、次の通りです:

多要素認証で、アプリケーションやシステムをさらにセキュアにし始めましょう! そして、多要素認証フォーラムで、我々にフィードバックや機能リクエストをお知らせください。

課金: MSDNサブスクリプションでの使用制限のリセット

MSDNのお客様としてWindows Azureに登録すると、MSDNサブスクライバー向けのWindows Azureサブスクリプションが自動的に作成されます。このサブスクリプションでは、大幅な割引料金と、Windows Azureの任意のリソースに対して使用できる無料の (毎月12,500円相当の)「MSDNクレジット」が有効化されます。先週、この詳細に関してブログを書きました (英語 / 日本語 (機械翻訳))。

既定では、MSDNサブスクライバー向けのWindows Azureサブスクリプションは、いわゆる「使用制限」付きで作成されます。使用制限は、もしMSDNクレジットのすべてを使い切った場合にも、課金されないことを保証します。(課金が0円以上にならないことを保証するために) 無料クレジットのすべてがなくなった際に、サブスクリプションが自動的に一時停止されます。

オプションとして、無料クレジット以上に使用し、無料クレジットを超える超過分の料金を支払いたい場合には、使用制限を解除できます。ですが、先週までは、一度使用制限を解除すると、次の請求期間で使用制限を再有効化する方法がありませんでした。今週のリリースから、次のことが可能になりました:

  • 現行の請求月に対してのみ、使用制限を解除 (一度限りの急増であることを知っている場合には理想的)
  • 今後より高い使用量が継続する見込みの場合、無期限に使用制限を解除
  • すでに無効化済みの場合、次の請求期間以降、使用制限をリセット/再有効化

使用制限を有効化/リセットするには、Windows Azure管理ポータル上部の「サブスクリプション」ボタンをクリックし、それからその中の「サブスクリプションの管理」リンクをクリックします:

10

これによって、(自分のアクティブなWindows Azureサブスクリプションのすべてを一覧表示する) Windows Azureサブスクリプション管理ページが表示されます。サービスをどれだけ使用しているかを示す使用量データを含む、アカウントの詳細を確認するために、MSDNサブスクライバー向けのWindows Azureサブスクリプションをクリックします:

11

ここでは、私の個人的なサブスクリプションに関する使用量データを確認できます。最近、多数の講演を行っており、今月は無料の150ドル (12,500円) クレジットを使い切って、超過分は23.64ドルとなっています。使用制限を無効化していたので、このサブスクリプションで0ドルを超えて使用できました (これは、赤くハイライトした文字列に示されています)。

(10月3日に始まる) 次の請求期間に対して使用制限を再適用したい場合は、「使用制限のオプションを変更する場合は、ここをクリックしてください」リンクをクリックすることで、それが可能になりました。これによって、次の請求期間以降の使用制限の再有効化を本当に簡単にするダイアログが表示されます:

12

使用制限を有効化/無効化するこの新しい柔軟性によって、皆さんがMSDN特典をさらに活用できるようになり、不注意で何を行って想定外で料金を支払う必要が出てくることがない、という自信を持てることを期待しています。

課金: サブスクリプションの一時停止によって、もはや仮想マシンが削除されなくなりました

今週、使用制限の再確立のサポートに加えて、MSDN (またはBizSpark、無料評価版) のサブスクリプションが使用制限を引き起こした場合に、もはや稼働中の仮想マシンが削除されなくなる、という改善を行いました。

以前は、一時停止されたサブスクリプションにデプロイされていた仮想マシンは、使用制限に達すると削除されていました (データ ドライブは保持されていましたが、仮想マシン インスタンス自体は削除されていました)。現在は、サブスクリプションが無効化されると、そこにデプロイされていた仮想マシンは、(課金の発生なしに仮想マシンの停止を可能にする) 最近導入された停止/プロビジョニング解除状態に移行するだけです。

これによって、新しいクレジットが適用されたり、サブスクリプションが有料サブスクリプションに変換された際に、以前接続されていたディスクやエンドポイントのすべてとともに、仮想マシンを迅速に再起動できるようになります。結果として、お客様は、使用制限に達した際に自分の仮想マシンを失うことを心配する必要はありません。即座に自分の仮想マシンを再起動することで、迅速にビジネスを再開できます。

ストレージ: 新しい.NETストレージ クライアント ライブラリ 2.1リリース

今月、.NET向けのWindows Azureストレージ クライアント ライブラリのメジャー アップデートをリリースしました。新しい2.1リリースには、多数の素晴らしい新機能が含まれています:

  • パフォーマンスの改善
  • 非同期 Task<T> のサポート
  • テーブル向けの IQueryably<T> のサポート
  • バッファー プーリングのサポート
  • .NETトレースの統合
  • BLOBストリームの改善
  • さらに多数…

さらに学ぶために、Windows Azureストレージ チームによる、ストレージ クライアント ライブラリ2.1リリースに関するこの詳細なブログ ポストをご覧ください (英語 / 日本語 (機械翻訳))。NuGetを使って、即座にストレージ クライアント ライブラリ2.1リリースをインストールし、使い始めることができます。

Webサイト: IPとドメインの制限のサポート

また、今月、IISのIPとドメインの制限機能を、Windows Azure Webサイトで使用可能にしました。これは、最近有効化された動的IPアドレス制限 (DIP) 機能と組み合わせて使うこともできる、追加のセキュリティ オプションを提供します (“Configuring Dynamic IP Address Restrictions in Windows Azure Web Sites” (Windows Azure Web サイトで動的 IP アドレス制限を構成する) (英語 / 日本語))。

開発者は、自分のWebサイトへのアクセスを許可/禁止する、一連のIPアドレスとアドレス範囲を制御するために、IPとドメインの制限を使えます。Windows Azure Webサイトでは、Webサイト内のweb.configファイルを使って、開発者がこの機能を有効化/無効化し、その挙動をカスタマイズできます。

IISのIPとドメインの制限機能の概要については、こちらをご覧ください (英語 / 日本語 (機械翻訳))。各構成要素/属性の完全な説明については、こちらをご覧ください (英語 / 日本語 (機械翻訳))。

次の構成例は、ipAddress属性とsubnetMask属性の組み合わせで指定されたアドレス範囲からのアクセスだけを許可する、ipSecurity構成を示しています。allowUnlistedfalseに設定すると、開発者によって明示的に指定された個別のアドレスやアドレス範囲だけが、WebサイトへのHTTPリクエスト発行を許可されます。add子要素でallowed属性をtrueに設定すると、IPアドレスとサブネットの組み合わせが、Webサイトへのアクセスを許可されたアドレス範囲を定義します。

<system.webServer>
  <security>
    <ipSecurity allowUnlisted="false" denyAction="NotFound">
      <add allowed="true" ipAddress="123.456.0.0" subnetMask="255.255.0.0"/>
    </ipSecurity>
  </security>
</system.webServer>

許可されたIPアドレス範囲外のアドレスからWebサイトにリクエストが発行された場合、denyAction属性に定義されているように、HTTP 404 Not Foundエラーが返されます。

最後に、ついになるDIPR機能と同様に、Windows Azure Webサイトは、IPとドメインの制限モジュールが「見る」クライアントIPアドレスが、HTTPリクエストを発行しているインターネット上のクライアントの実際のIPアドレスであることを保証しています。

まとめ

本日のリリースには、さらに優れたクラウド ソリューションの構築を可能にする、多数の素晴らしい機能が含まれています。もしWindows Azureアカウントをまだ持っていない場合は、無料評価版に登録して、これらの機能すべてを今日から使い始めることができます。それから、Windows Azure開発者センターにアクセスして、アプリの構築方法についてさらに学んでください。

関連情報

Published by SATO Naoki (Neo) /さとうなおき

Azure Technologist at Microsoft