Azure Stack HCI上でゲームを!?できらぁ!!
1K Views
September 27, 24
スライド概要
AVD on Azure Stack HCI を展開してゲームしました
クラウドメインの一兵卒 インフラ全般が好きな人
関連スライド
各ページのテキスト
Azure Stack HCI上で ゲームを!?できらぁ!!
おしながき • 自己紹介 • 経緯について • Azure Stack HCIとは • デモ • 各種機能説明 • コスト • 今後の展望と宣伝
自己紹介 • GMOペパボに 2024-04-01 に転職 • SREとしてEKSとかプライベートk8sクラスターとかをよしよししてます • 最近は新規事業開発も、、、 • 好きやねん、Azure!(業務で使えてなくて悲しい) • League of Legendsというゲームが好きすぎる 個人の検証内容につき所属とは関係ないです でもいずれAzure使わせたいです
経緯について
なぜクラウドでゲームをするのか • 実家に帰省すると早く家に帰ってゲームしたくありませ ん?私はあります。
AVD ゲームできるよね
過去の検証 • 過去に次のような構成をとりました • 詳細は 第48回 Tokyo Jazug Night を見てください
課題 • 如何せん高すぎる • そもそもGPUが載っていないとゲームは難しい • 日本にはまだゲーム向けのGPU搭載VM サイズがない NGads V620 シリーズの仮想マシンを使用してゲームパフォーマンスを向上させる • Windows Serverでゲームすると怒られるらしい • 通常のAVDは高い • 1ユーザー、月180時間利用想定 NC4as T4 v3 128GiB ストレージ Windows10 Enterprise E3 ¥24,258/月 ※為替レートは2024/09/27時点 AzureのGPU搭載VMを安い順に並べる(2023年9月版)
ほな自前で用意するか • ベアボーンキット ¥103,180 • メモリ96GB ¥52,800 • OSディスク1TB ¥9,697 • データディスク2TB ¥17,556 • GPU 8GB ¥77,000 合計 \260,233 勉強できて11か月もあれば元が取れます!やったね!! MS-01 はいいぞ!
Azure Stack HCI とは
そもそもHCIってなんだよ • ハイパーコンバージドインフラストラクチャ • 物理ストレージをソフトウェアでよしなにしましょうよ • 物理ストレージ専用の人的、金銭的コスト削減 Azure Stack HCI ソリューションの概要 Azure Stack HCIって何?
Azure Stack Hub とは違うの? • Azure Stack HubはオンプレミスにAzureを展開する • インターネットとの接続はなくても良いらしい(使ったことはない) • Azure Stack HCIは仮想化されたワークロード(Windows, Linux)をオンプレミスに展開する • あくまでグローバルAzureとの連携が前提 • ワークロードのみをオンプレミスで動かすイメージ • Azure Stack HCIはHyper-Vを動かすOSである グローバル Azure、Azure Stack Hub、および Azure Stack HCI の違い
Windows Server とは違うの? • Azureとの連携がネイティブであり管理はAzure上でできる • VMはAzure Arc VMとして利用可能 Azure Stack HCI と Windows Server の比較 • ホストOSとして利用、検証済みハードウェアの利用が前提 • でないとサポートが受けられません。後述しますがこの検証環境ではゲストOSとし てAzure Stack HCIを展開しますのでサポート外です。 • 検証環境でならOK Azure Stack HCI での入れ子になった仮想化 • 延長セキュリティ更新プログラム (ESU) • Azure Stack HCI 上のサポート終了 SQL VM と Windows Server VM のセ キュリティ更新プログラムを追加料金なしで入手できます。 Azure Stack HCI で利用できる利点 ESU を購入するにはどうすればよいですか? オススメ:VMwareからHyper-Vへの乗り換え【徹底解説】
- https://learn.microsoft.com/ja-jp/azure-stack/hci/concepts/compare-windows-server?view=azs-2406
- https://learn.microsoft.com/ja-jp/azure-stack/hci/concepts/nested-virtualization
- https://learn.microsoft.com/ja-jp/azure-stack/hci/deploy/azure-verification?tabs=azureportal
- https://learn.microsoft.com/ja-jp/lifecycle/faq/extended-security-updates
- https://youtu.be/mLvRlxopYow?si=ZiU41zFvHNPfcMEF
Azure Stack HCI だからこそできること • AVD on Azure Stack HCIが使えます!!!!!! • Azure Virtual Desktop on Azure Stack HCI • Windows Server Azure Editionをオンプレに展開できる • Windows Server Azure Edition VM のデプロイ
今回の構成 • 入れ子になった仮想環境 • AVD on Azure Stack HCI on Windows Server 入れ子になった仮想化の概要
注意点 • Azure Stack HCIの要件 • Active Directory環境が必要(ADのなかであれこれするユーザー必要) • Active Directory ドメインサービスの名前解決ができるDNSサーバー • Azure にAzure Stack HCIを登録できる権限持ちのユーザー必要 Azure Stack HCI バージョン 23H2 のデプロイの前提条件を確認する • Microsoft Entra Private Accessの要件 • クライアント側に専用ソフトをインストールする グローバル セキュア アクセス クライアント • Entra参加、あるいはHybrid Entra参加が必要(Entra登録はダメ) 前提条件 Azure AD 登録 と Azure AD 参加 の違い • AVD on Azure Stack HCI • 使用するアカウントにライセンス(Windows E3など)の割り当てが必要 実質的にAD connectが必要になる(はず)
- https://learn.microsoft.com/ja-jp/azure-stack/hci/deploy/deployment-prerequisites
- https://learn.microsoft.com/ja-jp/entra/global-secure-access/concept-clients
- https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-install-windows-client
- https://jpazureid.github.io/blog/azure-active-directory/azure-ad-join-vs-azure-ad-device-registration/
デモ
各種機能紹介
Microsoft Entra Private Access とは • SaaSなどが普及した今だと従来のネットワーク境界型セキュリティではなくIDによって ネットワーク制御することを目的にしている • プライベートアプリがあるネットワークに接続するためにIDが必要になる。 これによって条件付きアクセスの利用ができる • たとえばIDの侵害によるユーザーリスク(日本からログインした1分後にアメリカからログインがあった) • Intuneのコンプライアンスポリシーを満たさないPCからのアクセス拒否など • IDのライフサイクルに乗せることができる • 退職者、異動者がネットワーク的にも適切に制御できる(はず) ライフサイクル ワークフローを使うタイミング • PIM(Just-in-time特権アクセス)と連携して必要なときにだけプライベートアプリへの接続を許可する Privileged Identity Management (PIM) とグローバル セキュア アクセスを使用してプライベート アプリケーションへのアクセスをセキュリティで保護する AMA: Security Service Edge (SSE)
AD connect とは • オンプレミスおよびクラウドの両方のアプリケーションへのアクセス 権をもつ単一のID(ハイブリッドID)をプロビジョニングする • 要はADとEntraIDのユーザープリンシパルを同期させるソフトウェア • Connect同期とクラウド同期の2パターンある Microsoft Entra Connect とクラウド同期の比較 • クラウド同期でよいと思うがデバイス情報の同期がとれず、 Hybrid Entra参加ができないなど欠点もある Microsoft Entra ハイブリッド参加を構成する • 認証をどこでするかを選べる • パスワードハッシュ同期、パススルー認証、AD FSとのフェデレーション アーキテクチャ図
コスト
ざっくり計算 サービス 必要数 金額 今回の構成 お試し期間 Azure Stack HCI 物理コアごと \1,431/月 6物理コア あり Azure Virtual Desktop 仮想コアごと ¥1.446/時間 12仮想コア あり \1,049/月 Windows 11/10 アクセスユーザーごと ※windows10 Enterprise E3 1年契約 1人 あり (Microsoft E3/E5) Microsoft Entra Suite アクセスユーザーごと ¥1,799/月 1人 あり 1ユーザー 月180時間利用想定 \14,557/月 (通常のAVDより1万以上安い)※すべての為替レートは2024/09/27時点 Azure Virtual Desktop の価格 Microsoft Entra のプランと価格
今後の展望 宣伝
もっとセキュアにしたい • 接続元のPCはちゃんとしたい • せっかくEntra参加とかさせるので条件付きアクセスでリスク分析 とかも入れたい • 接続先のAVDもちゃんとしたい • エンドポイントセキュリティをちゃんとしたい • Intuneでアプリのポリシー配布・コンプライアンスポリシーの配布 • 例えばファイルのローカル保存や、適切なクラウドストレージ以外へのアップロード をブロックするとか • Defender for Server入れたい • 通常のDefenderで検知できない悪意ある動作を検知してネットワークから分 離とか • 秘密度ラベルを使ってファイルの追跡もしたい • そもそもちゃんとゼロトラストを理解したい
ゲームをする道のりは長い • 仮想GPUリソースを利用するために Azure Stack HCIのGPU-Pという機能を使ってみたい パーティション分割を使用して GPU を管理する (プレビュー) • いっそのことOpenStackとかにAzure Arc VMをたてるか? • Intuneを使えばMEPAのクライアントソフトを配布できる • ゲームのインストールもできる説 • MSIX形式でうまくAVDのアプリの配布をすればゲームをインス トールできる説 • 勝手な改変は2次配布になってやばそう 実家でLeague of Legends Minecraft をするために俺の戦 いは続く、、
宣伝 • さまざまなゲームサーバーを提供中 今後も増えてくよ~ • Modとかも入れれるっぽいのでよさそう • ペパボ社員なら優待で1つ無料で利用できるので 僕とマイクラしましょ LOLIPOIP! for Gamers
宣伝 • さすがに動作があれだと宣伝になってなさそうなので、、w
ありがとうございました スペシャルサンクス ・GMOペパボ ・Azure PoC部 個人的大感謝 ・さけみさん ・えびすださん
Appendix • MS-01って不具合ある13世代CPUじゃん • I9-13900Hなので対象外でギリセーフ クラッシュしたIntelの第13世代・第14世代のCPUを交換してくれる?とPC メーカー14社に聞いた結果が公開される • めんどくさそう • JumpStartできるよ jumpstart hcibox