【初心者入門】Microsoft Azureを始める その2 仮想マシン作成3 ディスク編

Azure
スポンサーリンク

こんにちは! やましー@データ活用クラウドエンジニア(@yamashi18041) です。

仮想マシン作成時の設定項目は大きく6項目あります。

  • 「基本」の項目
  • 「ディスク」の項目
  • 「ネットワーク」の項目
  • 「管理」の項目
  • 「詳細」の項目
  • 「タグ」の項目

今回の記事では仮想マシン作成時における「ディスク」の項目を解説したいと思います。

「基本」の項目については前回の記事で解説しています。

この記事では以下のような読者を想定しています。

  • Azureの仮想マシンを立てたことがあるけどもう少し細かく知りたい
  • Azureの仮想マシンの設定項目について知りたい
  • Azureの仮想マシンのディスクの選び方を知りたい

逆に仮想マシンはバリバリ使いこなしていますよって方は適当に読み流していただければと思います。

仮想マシンをまだ作ったことがないよ~って方は一度こちらの記事を参考に作成してみることをお勧めします。

スポンサーリンク

仮想マシン作成時のディスク項目の設定項目一覧

今回解説するディスクの設定項目の一覧です。

  • ディスクのオプション
    • OSディスクの種類=ディスクの性能を決定する
      • Ultra Disk :超高性能、高価格
      • Premium SSD:高性能、高価格
      • Standard SSD:そこそこの性能、そこそこの価格
      • Standard HDD:低性能、低価格
    • 暗号化の種類=SSEにおけるキーの在り方を決定する
    • Ultra Disk の互換性を有効にする
  • データディスク
    • 新しいディスクを作成し接続する
    • 既存のディスクを接続
  • 詳細
  • マネージドディスクを使用=マイクロソフトに管理してもらうかどうか
  • エフェメラルOSディスクを使用する
    • いいえ:ストレージのVHDを使う
    • はい:ホストのディスクを使う

ディスクは性能や種類、暗号化といった項目が細かく分かれていて少し複雑です。

できるだけ詳細にわかりやすく説明していきたいと思います。

スポンサーリンク

「ディスクのオプション」項目

「ディスクのオプション」項目では主にOSディスクに関する設定をしていきます。

  • OSディスクの種類
  • 暗号化の種類
  • Ultra Disk の互換性を有効にする

OSディスクの種類

ディスクの種類を選択していきます。

Azureにはディスクが4種類存在します。

  • Standard HDD
  • Standard SSD
  • Premium SSD
  • Ultra Disk
種類名Standard HDDStandard SSDPremium SSDUltra Disk
用途・開発
・バックアップ
・アーカイブ
・WEBサーバー
・低いIOPSのアプリサーバー
・RDB、NoSQLサーバー
・高いIOPSのアプリサーバー
・SAP HANA
・超IOPSが髙いDBサーバー
最大容量32,767GiB32,767GiB32,767GiB65,536BiB
最大スループット500MB/秒60~750MB/秒25~900MB/秒300~2,000MB/秒
IOPS500~2,000500~6,000120~20,0001,200~160,000
バーストなしなし170MB/秒、3,500IOPSなし
レイテンシ2桁ms1桁ms1桁ms1ms未満
OSディスク使用可使用可使用可使用不可
料金凄く安い安い高い凄く高い

OSディスクとして選択できるのはUltra Disk以外の3種類です。

どの種類を選べばよいか迷うかと思います。

クラウドの特性としては途中で変更が可能ということを考えれば、初めに選んだディスクを使用し続けるのではなく、継続的な見直しによって種類を変更することが大切です。

またプレミアムディスク以上のディスクを使用するためには仮想マシンのサイズをプレミアムディスクに対応したものを選択する必要があります。

プレミアムディスク対応のサイズには「s」が付いているので目印にしてください。

  • D2s v3:プレミアムディスク対応
  • D2 v3:プレミアムディスク非対応

OSディスクの容量

OSディスクの容量は仮想マシン作成時に指定はできません。デフォルトで以下のようになります。

  • Windows OS:127GiB
  • Linux:30GiB

ディスクの容量の変更は作成後可能ですが以下の注意点があります。

  • 小さい容量への変更は不可能。大きい容量に変更のみ可能
  • 再起動を伴う

ディスクの詳細な仕様は以下のドキュメントを参照してください。

Azure IaaS VM 用のディスクの種類の選択 - マネージド ディスク - Azure Virtual Machines
Ultra Disks、Premium SSD、Standard SSD、Standard HDD など、仮想マシンで使用できる Azure ディスクの種類について説明します。

ディスクの課金について

ディスクの課金は仮想マシンが起動、シャットダウンしているかどうかにかかわらず、リソースが存在する限り課金されます。

Azureで使用できるディスクには大別すると

  • マネージドディスク
  • アンマネージドディスク

が存在します。アンマネージドディスクは後述しますが、これからAzureの仮想マシンを利用するならばディスクはマネージドディスクを選んでおけばよいかと思います。

マネージドディスクの課金は以下の5つの要素で決定します。

・ディスクの種類(Standard HDDやPremium SSDなど)
・ディスクサイズ(ディスクの容量)
・スナップショット(ディスクをバックアップした際の実際のサイズ)
・送信データ転送
・トランザクション回数

注意事項としてはディスクのサイズは1GiB毎に増やせますが課金は1GiBではないという点です。

ディスクサイズの課金のしきい値は倍々に増えていきます。

例えば65GiBのディスクサイズも128GiBのディスクサイズも料金は同じです。(アンマネージドディスクは56GiB分のみ課金)

また実際に使用した量に対して課金されるわけでもないので注意が必要です。

例えば128GiBのディスクを作成して、実際には30GiBしか使用していなかったとしても128GiB分の料金が発生します。

スナップショットは実際に使った量で課金されますので安心してください。

暗号化の種類

暗号化の種類で選べる項目は

  • (既定)プラットフォームマネージドキーを使用した保存時の暗号化
  • カスタマーマネージドキーを使用した保存時の暗号化
  • プラットフォームマネージドキーとカスタマーマネージドキーを使用した二重暗号化

があります。

ADEを使う場合は一番上のプラットフォームマネージドキーを使用した保存時の暗号化を使用してください。その他組織のセキュリティー要件によってどれを選択するかを検討します。

ユーザーが管理するキー(カスタマーマネージドキー)を使用する場合は事前にキーを安全に保管するためのサービスである「Azure キーコンテナ(Key Vault:英語だとキーボルト)」のリソースとキーや暗号化アルゴリズムのセットを定義した「ディスク暗号化セット」のリソースを作成しておく必要があります。

Azureにおける暗号化は少し複雑なので整理しておきます。

体系で分けると以下のような感じになります。

  • Azure Disk Encryption(ADE):ゲストOS内で暗号化
  • Storage Service Encryption(SSE):ストレージで暗号化
    • サーバー側暗号(Server-side Encryption/SSE):Azureの中で暗号化
      • プラットフォームマネージドキーを使用した保存時の暗号化
        • ホストでの暗号化 (オプション):ホストコンピュータで暗号化
      • カスタマーマネージドキーを使用した保存時の暗号化
        • ホストでの暗号化 (オプション):ホストコンピュータで暗号化
      • プラットフォームマネージドキーとカスタマーマネージドキーを使用した二重暗号化
        • ホストでの暗号化 (オプション):ホストコンピュータで暗号化
    • クライアント側暗号(ディスクの暗号化には関係ない):Azureの外で暗号化
Azureにおけるディスクの暗号化
Azureにおける暗号化を実施する場所

Azure Disk Encryption (ADE)

Azure Disk Encryption(ADE)はWindows VMではBitLocker、Linux VMではDM-Cryptを使用してゲストOS内の機能としてディスクを暗号化します。

サーバーを作成時に指定することはできず、サーバー作成後に暗号化の設定を実施します。実際はゲストハードウェアのメモリ上で暗号化するのでストレージとホスト間も暗号化されています。

Azure Disk Encryptionはユーザーが管理するキーを使用して暗号化が行われます。さらにストレージアカウントからVHDを不正にダウンロードされた際にもVHDの内側で暗号化を実施しているので解読することができません。

ADEはホスト暗号での暗号化と併用はできません。プラットフォームマネージドキーを使用した保存時の暗号化のみ併用が可能です。

Storage Service Encryption(SSE)

Storage Service Encryption(SSE)は仮想マシンのディスクであるVHDファイルはストレージアカウントに保存されていますが、そのストレージアカウントの暗号化機能により暗号化します。

Storage Service Encryptionはプラットフォーム(マイクロソフト)が管理するキー又は(及び)ユーザーが管理するキーを使用して暗号化が行われます。ストレージアカウントからVHDを不正にダウンロードされた際にはストレージアカウントから出てくる際に復号されるので読み取られてしまう可能性があります。

Storage Service Encryptionにはクライアント側暗号とサーバー側暗号(Server-side Encryption(これもSSE))がありますが、仮想マシンのディスクはサーバー側暗号を使います。

クライアント側暗号はAzureの外でデータを暗号化してストレージアカウントに保存する方法のことを言います。ディスクの暗号とは関係がありません。

Storage Service Encryptionにはさらにオプションとして「ホストでの暗号化」を有効にすることができます。

「ホストでの暗号化」は通常ストレージアカウントへデータを入れるときに暗号化しますが、このオプションを有効にすると先にホストコンピューター上で暗号化を行います。ただし暗号化を行うためには一度一時ディスクに書き込むか、又はディスクに対して書き込みキャッシュを有効にしておく必要があります。

「ホストでの暗号化」の利点としては

  • ホストコンピュータ-とストレージアカウントの間でVHDが暗号化されている。(ホスト暗号にかかわらず通信経路は暗号化されていますが)
  • ゲストコンピューターのCPUパワーを使わない(ADEはゲストコンピューターのCPUパワーを使う)

欠点としては

  • ADEと併用ができないこと
  • 全ての仮想マシンのサイズに対応していない
  • 日本リージョンでは使用できない

といったところでしょうか。

暗号化についてより詳しい説明は公式ドキュメントを参照してみてください。

保存時の Azure データの暗号化 - Azure セキュリティ
この記事では、保存時の Azure データの暗号化の概要、全体的な機能、一般的な考慮事項を提供しています。

Ultra Disk の互換性を有効にする

データディスクでUltra Diskを使用したい場合はこちらを「はい」にしてください。

スポンサーリンク

データディスク

仮想マシンに接続するデータディスクを指定します。

仮想マシンを作成するときに一緒にデータディスクも作成したい場合は「新しいディスクを作成し接続する」を選択します。

既に作成済みのディスクを使用する場合は「既存のディスクの接続」を選択します。

「新しいディスクを作成し接続する」を選択した場合は以下のような作成画面が現れます。

「名前」は任意な好きな名前を設定します。基本デフォルトでよいかと思います。

「ソースの種類」は何をもとにディスクを作成するかという項目になります。

以下の3種類から選びます。

  • なし(空のディスク)
  • スナップショット
  • ストレージBLOB

「サイズ」はストレージの種類や容量を決定します。

「暗号化の種類」はSSEの暗号化の種類を選択します。

「共有ディスクを有効にする」は有効にすると複数の仮想マシンから接続が出来るようになります。

Ultra ディスクと Premium SSDのみ対応しています。(2020年11月現在)

ディスクを接続するとこのようになります。「新しいディスクを作成し接続する」を選択した場合でもこの時点ではまだ実際にはディスクのリソースは作成されていませんので安心してください。

LUN

LUNは特に指定する必要はないです。OSから見たときのディスクの接続順序を制御したい場合は設定を変更してください。

ホストキャッシュ

ホストキャッシュとはディスクの書き込みや読み出しについてホストコンピューター上のメモリを使ってデータをキャッシュすることでI/Oを高速化するための機能です。

以下の3種類から選ぶことができます。

  • なし
  • 読み取り専用
  • 読み取り/書き込み

当然ながら書き込みの場合、不慮の事故などによってサーバーの再起動が起きた場合、ディスクに書き込まれていない場合があるので注意が必要です。

なし読み取り専用読み取り/書き込み
OSディスク○(既定)
データディスク○(既定)
一時ディスク××no

OSディスクの場合、仮想マシン作成時には必ず「読み取り/書き込み」になります。

変更したい場合は作成後に変更しなければなりません。そして再起動が必要です。

スポンサーリンク

詳細

詳細では以下の項目を設定します。

  • マネージドディスクを使用
    • ストレージアカウント
  • エフェメラルOSディスクを使用する

マネージドディスクを使用

ディスクをマネージドディスクにするかアンマネージドディスクにするかを決定します。

ディスクの実態はストレージに置かれたVHDファイルなのですが、そのストレージとVHDファイルをユーザーが管理する場合は「いいえ」を選択しアンマネージドディスクにします。

マイクロソフト側で管理してくれるマネージドディスクにする場合は「はい」を選択します。

現在ではアンマネージドディスクを使用する必要性はほとんどありません。

マネージドディスクを使用するときの利点は

  • ストレージアカウントの管理が不要になる
  • スナップショットが容易
  • IOPSの上限がストレージアカウントの上限より高い
  • 可用性セットを使う場合ディスクもマシンにあわせて分散配置となる
  • 自動で3つのレプリカが生成され、自動フェイルオーバーにより高可用性が保たれる

などがあります。詳細はこちらを参考にしてみてください。

Azure Disk Storage の概要 - Azure Virtual Machines
VM を使用するときにストレージ アカウントを管理する Azure マネージド ディスクの概要

ちなみに、可用性ゾーンを使う場合はマネージドディスクのみの使用になります。

エフェメラルOSディスクを使用する

エフェメラルOSディスクとは一時ディスク上にOSをインストールしたディスクです。

前述にもしてある通り、ディスクの実態はVHDですが実はもう一つあります。

それはホストマシンにある一時ディスクと呼ばれるものです。

Windowsの仮想マシンを作成すると「Dドライブ」として表示されているものです。

この一時ディスクにOSをインストールしてCドライブとして使えるようにしたものがエメフェラルOSディスクです。起動が高速で料金もかかりません。

ただし、書き込んだデータは再起動やサイズ変更した際に消えてしまします。

以下にイメージ図を書いて見ました。

Azureのディスクの配置場所

Azureには

  • ストレージアカウントに置いたVHDファイルによるディスク
  • ホストマシン上のディスク

この二つをディスクとして仮想マシンで使用することができます。

ストレージアカウントのマネージドディスクと

ストレージ上のVHDディスクホストマシン上のディスク
アクセス速度比較的低速比較的高速
停止割り当て解除可能不可能
サポートする
VMサイズ
すべて一部(プレミアムディスクを
サポートするサイズ)
データの揮発性ディスク上に書き込まれた
データは消えない
ストレージ上に存在する
ディスク上に書き込まれた
データはデプロイ、再起動又は
サイズ変更に伴い消える
料金有料無料
スポンサーリンク

まとめ

ということでディスクの設定について解説しました。

簡単に設定項目についてまとめておきます。

  • ディスクのオプション
    • OSディスクの種類=ディスクの性能を決定する
      • Ultra Disk :超高性能、高価格
      • Premium SSD:高性能、高価格
      • Standard SSD:そこそこの性能、そこそこの価格
      • Standard HDD:低性能、低価格
    • 暗号化の種類=SSEにおけるキーの在り方を決定する
    • Ultra Disk の互換性を有効にする
  • データディスク
    • 新しいディスクを作成し接続する
    • 既存のディスクを接続
  • 詳細
    • マネージドディスクを使用=マイクロソフトに管理してもらうかどうか
    • エフェメラルOSディスクを使用する
      • いいえ:ストレージのVHDを使う
      • はい:ホストのディスクを使う

ディスクの設定は暗号化による機密性や性能を決定するうえで非常に重要な要素です。ぜひそれぞれの項目について理解をして仮想マシンを構築できるようにしましょう!

次回は「ネットワーク」について解説したいと思います。

最後までご覧いただきありがとうございました。

以上、やましー@データ活用クラウドエンジニア(@yamashi18041)でした。

タイトルとURLをコピーしました