Azure App Service を使っていて App Service Plan のCPUやメモリが100%に張り付いてしまい、スケールアウトもインスタンス数が最大に張り付いたままになってしまい、リソースコストも予想よりかかってしまっている。そんな状況で一度App Service Plan の再起動を行いたいなと思うことはありませんでしょうか。今回はそんなときに簡単に Azure Portal から App Service Plan を再起動させる方法を紹介します。

• Azure Portal の App Service プランの画面には再起動のボタンがない
• App Service Plan のスケールアップを行うとApp Service Plan が再起動される
• App Service Plan 再起動の注意事項
• Azure Rest API からも再起動できる!?

Azure Portal の App Service プランの画面には再起動のボタンがない

Azure Portal の画面上から App Service Plan を再起動しようと思ったら誰もが App Service Plan の画面を確認しますよね。そしてApp Service Planの画面には再起動のボタンがないことを知ります。

App Service Plan 上の各App Service には再起動ボタンがついていますが、ここを再起動しても App Service Plan は再起動されません。

App Service Plan のスケールアップを行うとApp Service Plan が再起動される

実は App Service Plan を再起動させるのは簡単で App Service Plan の価格レベル(SKU)を変更した際に再起動するのでそれを利用します。

一度違う価格レベル(SKU)に変更して、変更が完了したら元の価格レベル(SKU)にすぐに戻すだけです。App Service Plan の100%に張り付いていたCPUなどもとりあえず解消されるのではないでしょうか?

App Service Plan 再起動の注意事項

今回 App Service Pan 再起動方法を紹介しましたが、App Service Plan を再起動することにより、プランに乗っかっているすべてのアプリケーションにがダウンタイムや再起動による影響が発生する可能性があることにご注意ください。そもそもCPUやメモリが100%に張り付いている時点でApp Service Plan のスペックが足りていないか、アプリケーション側で何かしらの異常が発生している可能性もあるため、根本的な解決は別に行う必要があります。とりあえず再起動しても大丈夫な環境で試してみたい場合にお試しください。

Azure Rest API からも再起動できる!?

私は使用したことがないのですが、Azure App Service Plan のRest API で Reboot Worker というApp Service Plan のワーカーマシンを再起動するAPIが用意されているようです。
docs.microsoft.com

Azure Chaos Studio(Preview)にAzure Key Vaultが対応していたので実際に試してみました。

• Azure Chaos Studio で Azure Key Vault の障害が起こせるように(Public Preview)
• 実際にAzure Chaos Studio で Azure Key Vault の障害を起こしてみた
  • KeyVault 障害実験 セットアップ編
  • KeyVault 障害実験 実行編
• Azure Chaos Studio を使用してみて
• Azure Chaos Studio を実際に動かしてみたデモ動画
• 参考URL

Azure Chaos Studio で Azure Key Vault の障害が起こせるように(Public Preview)

2022年3月9日のAzure更新通知に下記のような情報が上がっていました。
パブリック プレビュー:Azure Chaos Studio Key Vault と Classic Cloud Services のフォールト | Azure の更新情報 | Microsoft Azure

Azure Chaos Studio に、Azure Key Vault と Classic Cloud Services 用のフォールトが追加されました。Key Vault Deny Access フォールトは、Key Vault のネットワーク ルールを一時的に変更することで、Key Vault へのすべてのネットワーク アクセスをブロックします。これにより、Key Vault に依存するアプリケーションがシークレット、キー、証明書 (またはそのすべて) にアクセスできないようにすることができます。Classic Cloud Services Shutdown フォールトは、サービス障害をシミュレートして、デプロイを停止します。フォールトの詳細は、フォールト ライブラリで入手できます。また、これらのフォールトは、Azure Resource Manager テンプレートまたは REST API を介して作成された実験で使用することができます。今後数週間のうちに、Azure portal の実験デザイナーを使用してこれらのフォールトを実験に追加できるようになる予定です。

Azure Chaos Studio の障害ライブラリにも追加されていますね。内部的にはKey Vaultのネットワークルールを変更して Key Vaultへのネットワークアクセスをすべて拒否させることで障害を再現してるみたいです。
Chaos Studio の障害およびアクション ライブラリ | Microsoft Docs
今回はそんな Azure Chaos Studio の Azure Key Vault 障害を実際に試してみようと思います。

実際にAzure Chaos Studio で Azure Key Vault の障害を起こしてみた

KeyVault 障害実験 セットアップ編

Azure Chaos Studio の使い方を説明しつつ、セットアップを行っていきます。

Azure Portal で Azure Chaos Studio を選択し、左のブレードで「対象」を選択するとAzure Chaos Studio で障害の対象にすることができるリソースの一覧が表示されます。まずはこちらの画面で対象リソースのターゲットを有効にする必要があります。
対象のリソース(今回は○○-KVと書いてあるkeyvaultのリソース)のチェックボックスをONにして、左上のターゲットを有効にするの中にある「サービス直接ターゲット(すべてのリソース)を有効にする」を選択します。
ちなみに「サービス直接」と「エージェントベース」の2種類がありますが、「サービス直接」はPaaSリソースなどを Azure Chaos Studio から直接操作して障害を起こす方法で、「エージェントベース」はサービスを直接操作するのではなく、VMなどにエージェントを入れて障害を起こす方法です。そのため、Azure Key Vault の場合はサービス直接の方法で障害を起こしますので「サービス直接」が選択されます。
対象のリソースが有効になると上記赤枠の部分が「有効」に変わります。私がためしたときは有効になるまで少し時間がかかり、もう一回有効にする操作をしたら有効に変わりましたが、ただ反映が遅かっただけかもしれません。
リソースが有効になりましたら、続いて左のブレードで「実験」を選択し、「カオス実験(Experiments)」の作成を行います。「作成ボタン」を押すと。「実験作成」画面が開きます。
「基本」タブでは実行するサブスクリプション、リソースグループ、実験の名前、リージョンを入力します。このときリソースグループやリージョンは実験を行うリソースと違う場所にあっても問題ありません。
続いて「実験デザイナー」タブの入力です。こちらでは実際に起こす障害を設定することができます。また、障害は単一で起こすだけではなく、ステップやブランチなどを使ってストーリーベースに設定できます。「アクションの追加」で障害(フォールト)を追加できます。
「フォールト」の欄で発生させたい障害を選択します。今回は「Key Vault Deny Access」です。現状、Azure KeyVaultではこちらの障害のみ対応となりますが、リソースの種類によっては様々な障害の種類を選択できます。パラメーターは障害ごとに異なりますが、今回は「Duration」ということで障害を発生させ続ける時間を入力します。
「ターゲットリソース」には先ほど有効にしたリソースの中で今回選択した障害「Key Vault Deny Access」に対応しているリソースの一覧が表示されます。今回対象にしたいリソースを選択しましょう。
先ほど追加した「Key Vault Deny Access」が反映されてますね。ステップやブランチの設定もできますが、今回は単純に障害を起こしたいだけなのでそのままで作成します。
ここまできたら「確認および作成」に移動し、「作成」をクリックします。これで実験の作成は完了です。続いて作成した「実験」に対象サービスのロールを付与する必要があります。このロールを付与しないと「実験」が各サービスを操作できないため障害を起こすことができません。リソースごとにどの権限を割り振る必要があるかは下記ページに書かれているので確認しましょう。
Chaos Studio でサポートされているリソースの種類とロールの割り当て | Microsoft Docs
Key Vaultの場合は「Key Vault Contributor」の権限が必要そうです。

障害を起こす対象リソースのロールの割り当て画面に移動し、「Key Vault Contributor」を追加します。
メンバーの選択肢に先ほど作成した実験の名前を入力すると、候補に出てくるので追加します。 これで実行の準備は完了です。

KeyVault 障害実験 実行編

「実験」を作成し、ロールの割り振りが完了したら、後は実行するだけです。 まずは Chaos Studio のページから作成した「実験」を選択します。

実行する実験のページを開いたら、左上にある「開始」ボタンをクリックします。
履歴に新しい行が増え実験が動き出します。
ターゲットのAzure Key Vaultのページに向かってみるとシークレットの一覧が表示されなくなっていることが確認できます。

Azure Key Vault のネットワーク設定を見てみると一時的にすべてのネットワークアクセスが無効にされているようです。この間は停止している Azure Key Vault を使ったアプリケーションが動かなくなるため、Azure Key Vaultの障害を疑似的に再現できます。Azure Key Vault はApp Serviceでのアプリケーション設定と連携した接続文字列の格納や、シークレットを格納したり証明書を保存したりと核となる部分ですのでそういったときにどういった影響がでるのかをシミュレーションできますね。

実行が終わるとターゲットとなったAzureリソースは元通りアクセスできるようになってました。お見せした通り、 Azure Chaos Studio は実際にAzureリソースに疑似的な障害を簡単に起こせるので実際にAzure環境でためして、アプリケーションの回復性を向上させていきましょう。

Azure Chaos Studio を使用してみて

Azure Chaos Studio を使わないで障害を再現しようとした場合、全く別のツールを使用したり、購入したりする必要があるため、導入費用や学習コストが発生します。そういった意味でも Azure PaaS リソースを使う身としてはできる限り、マネージドレベルの高い Azure Chaos Studio は求めていた機能が来たなという実感があります。ぜひ、AppServiceやSQL DatabaseなどのPaaSサービスの対応拡充を楽しみにしてます。懸念事項としては現状プレビュー版で無料で使用できるため、費用感が気になるところではありますが、継続的に実行するCIなどにも組み込めたら面白いと思います。

Azure Chaos Studio を実際に動かしてみたデモ動画

以前私が Jazug Night でLT登壇した際に Azure Chaos Studio について紹介した動画です。よろしければこちらもご覧ください。Azure Chaos Studio を使用して Azure VM に障害を起こしてAzure Traffic Manager によるルート変更が行われるかを試しています。

www.youtube.com

登壇時の資料です。

参考URL

docs.microsoft.com

docs.microsoft.com

Azure EA契約(Enterprise Agreement)をしているユーザーが使用することができるポータル画面「Azure EA Portal」の画面と機能を紹介します。

• そもそもEA契約とは？
• Azure EA ポータルの画面、機能一覧
  • 「管理」→ 加入契約情報や管理者の確認、編集を行う画面
    • 加入契約
    • 部門
    • アカウント
    • サブスクリプション
  • 「レポート」→ リソースの使用状況や料金表などを確認、レポート出力できる画面
    • 使用状況の概要
    • サービス使用量レポート
    • 使用状況のダウンロード
    • 料金シート
    • Power BI レポート
  • 「通知」→　最新情報の通知欄
  • 「ヘルプ」→　公式ページへのリンク
• 参考リンク

そもそもEA契約とは？

EA契約とはMicrosoft Azure を使用する契約形態の一つです。この話はとても難しい話ですので今回は割愛します。
一応参考になりそうなページのリンクを貼っておきます。
Azureの4つのライセンス形態と料金 ～Azure CSPを利用するメリット～｜Microsoft Azureコラム｜東京エレクトロンデバイス

Azure EA ポータルの画面、機能一覧

Azure EA ポータルでは下記のような画面があります。

• 「管理」→ 加入契約情報や管理者の確認、編集を行う画面
• 「レポート」→ リソースの使用状況や料金表などを確認、レポート出力できる画面
• 「通知」→　最新情報の通知欄
• 「ヘルプ」→　公式ページへのリンク

今回はそれぞれの画面の役割と機能について実際の画面を使用しながら一つずつ紹介していこうと思います。

「管理」→ 加入契約情報や管理者の確認、編集を行う画面

加入契約情報や登録している部門・アカウント・サブスクリプションの情報を確認、編集することができます。

加入契約

加入契約している情報と管理者の一覧を確認できます。ここでいう管理者とはEAポータルにアクセスできるユーザーのことで管理者の追加、削除や権限の変更もこの画面から行えます。
※表示されている情報は公開用に編集したものです。

右上のアクティブのチェックボックスが初期値でONになっていますが、OFFにすることで契約期間が終了したときの加入情報を確認することもできます。基本的にEA契約は契約期間が決まっているため、過去の加入契約に紐づくに情報やコストを確認するためにはこの画面で加入契約を切り替えないと確認ができないので注意が必要です。

カレントで選択されている契約番号は画面左上で確認できます。情報を表示するレポートのボタンが使えない場合は契約番号を複数持っていて、カレント契約が選択されていない場合があります。その場合は「管理→加入契約→加入契約のリスト」から表示したい契約を選択しましょう。

こちらで表示されている管理者がAzure EAポータルにアクセスできるユーザーです。この画面から管理者の追加、削除、編集が可能です。

管理者の追加画面。コストの通知頻度の設定や読み取り専用かどうかを設定可能。読み取り専用にするとEAポータル上で設定の追加、変更の操作はできなくなります。

部門

部署を追加することでAzureサービスの使用状況やコストについて、部門ごとに管理することができます。

部署追加画面

アカウント

アカウントの管理を行うことができます。上述したEAポータルにアクセスできるユーザーの「管理者」とは別物であることに注意が必要です。「アカウント」はコストに紐づくグループ分けみたいなもののようです。Microsoftの公式ドキュメントによると事業部、昨日チーム、地理的な場所単位で作られる例が挙げられていました。

アカウント追加画面

サブスクリプション

加入契約に紐づくサブスクリプションの表示、作成を行います。ここで表示されていて有効なサブスクリプションがMicrosoft Azure上でサブスクリプションとして利用可能です。
※サブスクリプション名やサブスクリプションのGUIDはランダムで取得したものに変更しています
自分には権限がなかったのでサブスクリプションの追加画面は載せられませんが恐らく、アカウント所有者として追加されたユーザーのみがサブスクリプションの作成を行えます。

「レポート」→ リソースの使用状況や料金表などを確認、レポート出力できる画面

レポートの画面ではコストの使用状況、サービスの使用量、使用状況のファイル出力、料金シートの表示、Power BIレポートでの出力を行うことができます。

使用状況の概要

使用状況の概況では支払いに関する概要情報が表示されます。

通常のAzureサブスクリプションの考え方と違い、EA契約ですと年払いで先に支払い、残高を超過した分は毎月請求される仕組みの方が多いと思います(パートナー企業によって違うかもしれませんが)。こちらの例ですと2017年8月の期首時点で1,000,000円の残高があり、8月に40,000円使ったので、8月の期末残高は960,000円という見方ができます。残高がなくなるとサービス超過分の金額の部分に反映されます。
画像下の「Azureサービス」の部分は選択された月にサービスごとにどれだけ使用して、単価がどれくらいで、どれだけ料金がかかったかが記されています。

サービス使用量レポート

サービス使用量レポートは検索期間の間に「サービス」の「測定単位ごとにどれだけ使用したか」を出力します。よくAzureの料金計算ツールで使用量を予測で入れて見積もったりすると思いますが、その使用量の実際の結果ですね。

使用状況のダウンロード

月ごとの「残高と料金」、「使用状況の詳細」、「Marketplace の料金」、「料金シート」をCSVファイルでダウンロードできます。私はこちらの機能を使うことが今のところ一番多いですね。料金などで細かい項目とかを知りたいときにExcelファイルに変換して集計して使用することが多いです。最近はAzure Portalのコストマネジメント機能もかなり充実してきたので使用することは減ってきましたが。ダウンロードできるファイルの詳細については後日別記事で紹介したいと思います。
こちらの「使用状況の詳細」画面からEAポータルのAPI「Azure Enterprise REST API」で情報を取ってくるのに必要なAPIキーを生成できます。EAポータルAPIを使用することで自信が作成したアプリケーションからEAポータルで表示される情報を取得することが可能になります(その話については後日別記事で紹介できたらと思います)。

料金シート

Azure EA契約では販売パートナーごとにAzureリソースの料金が定められているため公式ページで公開されている料金とは違う可能性があります。そのため、EA契約を行っている方は自身が使用する正確なリソース料金の単価はこちらの料金シートから確認します。

こちらの「料金シートの単価」 × 「サービス使用量」が「実際に課金されるコスト」ですね。

Power BI レポート

Azure Cost Management コネクタ を使用すると、Azureコストを Power BI でレポート表示できるようになります。

「通知」→　最新情報の通知欄

Azure EA契約、EAポータル、コスト関連の通知情報が表示されます。

「ヘルプ」→　公式ページへのリンク

ヘルプ画面のリンクです。下記MS公式ページにリンクされていました。
Azure エンタープライズ ポータルを使い始める | Microsoft Docs
ちなみにEAポータル関連のサポートリクエストはAzureポータルから行うことが可能です。

参考リンク

docs.microsoft.com

ある日、Microsoft Azure Recovery Services(MARS)エージェントを使ったバックアップが動かなくなった。
発生したエラーメッセージで検索しても情報がほとんどなかったので解決方法を共有します。

• 発生した現象
  • バックアップのジョブが一切発生していない状態
  • バックアップを行っているサーバーでエージェントの画面を開くと下記のエラー
  • PowershellでMSOnlineBackupコマンドを実行しても同様のエラーになる
• 原因と解決方法
  • 原因はバックアップ対象マシンのコンピューター名が変わったことが要因
  • 解決方法

発生した現象

バックアップのジョブが一切発生していない状態

バックアップジョブはある日を境に一切動いていなかった。
失敗のジョブが発生しているわけではないのでAzure Backupの通知機能が動かないので注意。

バックアップを行っているサーバーでエージェントの画面を開くと下記のエラー

何も情報が表示されない...

resource not provisioned in service stamp

PowershellでMSOnlineBackupコマンドを実行しても同様のエラーになる

PS C:\Windows\system32> get-obpolicy
get-obpolicy : The current operation failed due to an internal service error "Resource not provisioned in service s
". Please retry the operation after some time. If the issue persists, please contact Microsoft support.
発生場所 行:1 文字:1
+ get-obpolicy
+ ~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Get-OBPolicy], DlsException
    + FullyQualifiedErrorId : ResourceNotYetProvisioned,Microsoft.Internal.CloudBackup.Commands.GetCBPolicyCommand

原因と解決方法

原因はバックアップ対象マシンのコンピューター名が変わったことが要因

Azure BackupのMARSエージェントは初回設定時からバックアップ対象マシンのコンピュータ名を変えてしまうとうまく動作しないらしく、「Resource not provisioned in service stamp」エラーはコンピュータ名を変えてしまったときに発生する事象のようです。

エラーが発生したマシンをしらべてみたところ、 うまく動作しなくなった日からコンピュータ名が変更されていることがわかったのでこれが原因だと断定しました。

解決方法

解決方法は2通りある。

1. コンピュータ名を戻す
2. 新しいコンピュータ名でAzure Backupに再登録する

私は再登録パターンで対応したところ、
うまく動きました。