Azure

はじめに このエントリでは、Active/Passive な FortiGate を Azure 上に構築する手順と、切り替えたときの挙動を説明します。 参考ドキュメント https://aimless.jp/blog/archives/2019-03-21-public-cloud-and-nva/ https://docs.fortinet.com/vm/azure/fortigate/6.2/azure-cookbook/6.2.0/632940/single-fortigate-vm-deployment https://docs.fortinet.com/vm/azure/fortigate/6.2/azure-cookbook/6.2.0/227656/deploying-and-configuring-active-passive-ha-between-multiple-zones 構築の手順 Azure リソースの構築 上記の参考ドキュメントのとおり、FortiGate はシングルゾーン上での冗長化とゾーンをまたいだ冗長化の両方をサポートしています。今回は構築が簡単なシングルゾーン版を前提とします。 ...

はじめに 自分の頭の整理をかねて、Azure の物理構成と IaaS の可用性を向上するための仕組みをまとめます。本エントリでは次の内容に触れます。 ジオ リージョン ゾーン スケールユニット・クラスタ 障害ドメイン 更新ドメイン 可用性セット 可用性ゾーン ローカル冗長ストレージ (LRS) ゾーン冗長ストレージ (ZRS) ジオ冗長ストレージ (GRS) ジオゾーン冗長ストレージ (GZRS) なお、自分のリファレンスを兼ねているので、日本語公式ドキュメントからの引用が多めです。 ...

はじめに Azure Lighthouse が発表されました。自分のリソースの管理を他の AAD に委任できるサービスです。リリースのアナウンスでは MSP がサービス提供するシナリオが強調されていますが、MSP でなくても利用できるサービスです。シンプルな設定で動作を確認した結果をメモします。 ...

サマリ Oracle Cloud を使えば、Express Route Private Peering を安価に試せる 安価な仮想オンプレとして Oracle Cloud を利用できる Oracle Cloud を利用して複数の Express Route Private Peering を用意すれば、Express Route Global Reach を試せる Oracle Cloud 側から見ると、Azure とつなげられるのは us-ashburn-1 のみ Azure 側は eastus だけの認識だったが、どのリージョンであっても Oracle Cloud をサービスプロバイダとして利用できた。そのため、異なるリージョンの Express Route Circuit を安価に用意できる Oracle Cloud を使うと、Express Route Global Reach を利用した疎通確認ができない Oracle Cloud 内の ルート表やセキュリティリストを整えても通信できなかった Azure の Express Route とつなぐ場合、Oracle FastConnect 側の AS 番号が 31898 で固定になってしまう Oracle Cloud 側が Global Reach 経由で AS-PATH に自分の AS 番号の含まれる経路を受信するため、Oracle Cloud が対向の Oracle Cloud の広報した経路を学習しない（はず。Oracle Cloud 側で確認する術がない） 謝辞 Interact 2019の帰り道に「Oracle Cloud を使って Express Route を評価する」というアイディアを共有してくれた @Masayuki_Ozawa に感謝。 ...

サマリ Azure Firewall の Inbound DNAT は 同時に SNAT もする Active/Active な Azure Firewall で非対称ルーティングを避けるためには仕方ない Active/Active であり続ける限り、回避策はない Inbound の SNAT が嫌な場合は、Active/Passive な NVA を利用する 本文 Azure Firewall の 複数の Public IP Address 対応がプレビューになったので DNAT を試しました。 ...

VNet Peering で Hub&Spoke 構成を組んだ場合に、VPG Gateway がどこまで先のアドレスを広報してくれるかを実際に試したのでメモ サマリ VNet Peering を利用した Hub&Spoke 構成の場合、VPN Gateway がアドレスを広報する VNet は次の２つだけ VPN Gateway が存在する VNet VPN Gateway が存在する VNet と直接つながっている VNet VPN Gateway は、VPN Gateway が存在する VNet から 2hop 以上先の VNet のアドレスを広報しない 確認 動作確認で利用した構成は次の通り。10.0.0.0/16側の VNet peering では "Allow gateway transit "を有効化、10.1.0.0/16と10.2.0.0/16側の VNet peering では "Use remote gateway" を有効化しました。 ...

単なるメモなのでさらっと。 サマリ Network Security Group の Virtual Network という Service tag には、UDR で設定したアドレスプレフィックスが自動的に追加される UDR と NSG の設定によっては、意図しない通信が許可される可能性があるので注意 NSG は1つのルールに複数のアドレスを追加できるようになったので、Virtual Network に頼らずサブネットで明示的に許可した方がよさそう ファイアウォール製品のように、自分で独自の Service tag を作れる機能が待ち遠しい Add Custom Tags to NSG Rules 予定済みになってから二年経っているが、実装されるのだろうか・・・ ドキュメントの更新箇所 該当のコミットはこちら ...

はじめに Private Preview であった Azure Image Builder が Public Preview になりました。いわゆる「ゴールデンイメージ」の運用が簡単になるサービスです。Azure のサービスと連携する Packer のマネージドサービスとも言えます。 ...

Microsoft MVP を受賞しました。初受賞です。当ブログにアクセスいただいている方々、日頃からお世話になっている方々に改めて御礼申し上げます。 Microsoft MVP を受賞しました！カテゴリは Microsoft Azure です。引き続き Azure と Azure Stack で情報発信を続けていきますので、よろしくお願いいたしますー。 ...

はじめに Azure Stack 上で利用できる Azure のサービスは、Azure と一貫性がありますが違いもあります。主要な違いと考慮事項は次の URL にまとまっています。ただし、あくまでも主要な部分であってすべての注意点が記載されているわけではありませんのでご留意ください。 ...

はじめに Azure Stack Integrated systems 上の Virtual Machine を Azure の運用管理サービスで運用管理してみます。対象のサービスは次の通りです。 Log Analytics Azure Monitor Azure Monitor for VMs Update Management Security Center 2019年4月現在の Azure Stack Integrated systems にはこれらの運用管理サービスが存在しません。正確に言うと Azure Monitor は存在しますが、サポートするメトリクスが少ない、アラート機能がないなど、その機能は Azure の Azure Monitor に遠く及びません。Azure が提供する運用管理サービスを利用するならば、Azure 一択です。 ...

はじめに PaloAlto が 9.0 で Azure での Active/Passive 方式の冗長化をサポートしました。実装は仮想マシンのIPアドレスを付け替える方式です。 参考：Set up Active/Passive HA on Azure Active/Passive 方式で冗長化された NVA は、オンプレミスのネットワークエンジニアが慣れ親しんだ構成です。これまで IP アドレス付け替え方式で冗長化された NVA を組んだことがなかったので、実際に試してみました ...

はじめに Windows Virtual Desktop が Public Preview になったので、構成を理解するために作ってみました。個人で Microsoft 365 E3 を契約しているので、ライセンス違反にはならないはず。 構成要素 ドキュメントを写経した結果、次のような構成が出来上がりました。写経で作れたので、具体的な手順には触れません。 ...

はじめに 過去に社内で複数回「パブリッククラウドと仮想アプライアンス型ファイアウォール」の話をしてきたので、自分の頭の整理もかねて改めてまとめました。 ...

はじめに Azure Stack Development Kit を独自ドメインでデプロイするために公的なサーバ証明書が必要だったので、Let's Encrypt と Azure DNS を使って作りました。Azure Stack の都合上、サーバ証明書を利用するサーバ自身が Let's Encrypt を利用して自分のサーバ証明書を発行する方式ではなく、一般的な認証局のサーバ証明書を使うときと同じように CSRを作成したうえで認証局に署名してもらう手法を試しました。 ...

はじめに Ansible で Azure の Virtual Machine に対して IaaS VM Backup を有効化するのに苦戦したのでメモ。 モジュールが対応していない？ Azure IaaS VM backup は、Recovery Service Vault によって提供されます。しかし、Azure モジュールには、Recovery Serivce Vault が存在しません。Azure preview モジュールにも Recovery Serivce Vault が存在しません。困りました。 ...

はじめに 運用で利用するスクリプトに確認結果をメール通知する処理を書いている際に、「JSON を投げつけたらメールが飛んでくれる何かがあったら超便利なのになぁ」と閃きました。メールを送るためのライブラリを探したり、メールを送る処理の書き方を Google に聞いたりするのがめんどくさかったが故の閃きです。 ...

はじめに Azure 上のリソースに作った人の名前をタグ付けする仕組み（azure-auto-tagging）を作っています。仕組みに必要な PaaS を Terraform で一発構築する際に困ったことと解決策をまとめます。 Terraform はすべてをサポートしない azure-auto-tagging は、Log Analytics に飛んでくる Activity Log をチェックしてリソースをタグをつけます。Terraform の Azure Provider は Log Analytics の作成をサポートします。 ...

はじめに 本エントリでは Virtual WAN の目玉機能である自動接続に対応したアプライアンスを利用して、ハブアンドスポーク型の IPsec VPN を構築します。 対応アプライアンス Virtual WAN への自動接続に対応しているアプライアンスは次の通りです。 ...

はじめに Azure Virtual Wan が GA しました。Ignite のセッションを見ているだけだと期待値が高くなりすぎてサービスの価値を正しく判断できないので、実際に試しました。ただし、我が家には自動プロビジョニングをサポートするデバイスがありません。そこで、どこのご家庭にもある FortiGate を Azure Virtual WAN に手動で接続しました。目指す構成は次の通りです。 ...