はじめに Ignite 2024 にあわせて、Network Security Perimeter というサービスがパブリックプレビューになりました。複数の PaaS をグルーピングしてグループ内の PaaS 間の通信のみを許可したり、グループ内の PaaS に対して特定の IP アドレスからのアクセスのみを許可できたりします。 ...

はじめに オンプレミスとの S2S VPN および端末との P2S VPN を実現する VPN Gateway には複数のリタイア通知がでています。 Standard and High-Performance VPN Gateway SKUs will be retired on 30 September 2025 Retirement: VpnGw1-5 (Non-AZ SKUs) will be retired on Sep 30, 2026 – gateways will be automatically migrated to AZ SKUs Upgrade to Standard SKU public IP addresses in Azure by 30 September 2025—Basic SKU will be retired 色々なアナウンスが出て少し混乱したので、2024年10月2日時点の公開情報をもとに自分のために整理しました。上記以外の情報元は次の2つです。 ...

はじめに App Service には FTP デプロイという仕組みがあります。 FTP/S を使用した Azure App Service へのアプリのデプロイ この FTP デプロイで利用されるエンドポイントは、App Service を閉域化したい人にとってはイマイチな仕様になっています。このエンドポイントへの通信は IP アドレスによるアクセス制限が効きません、さらに通信をプライベートエンドポイント経由にもできません。もう一つのデプロイ手法である ZIP デプロイで利用されるエンドポイントは、IP アドレスによる通信制限が可能です。さらに通信をプライベートエンド経由にもできます。 ...

はじめに Azure にはサービス正常性という仕組みがあります。この仕組みを利用して、利用者は次の情報を受け取ることができます。 サービスに関する問題 計画メンテナンス 正常性の勧告 セキュリティアドバイザリ 参考：Azure portal を使用してサービス正常性通知を表示する ...

はじめに Azure Arc Gateway という機能がドキュメントに追加されていました。Limited Preview なので Forms から申請が必要です Simplify network configuration requirements through Azure Arc gateway (Limited preview) Azure Arc Gateway は Azure Arc を利用する際に必要となる多数の通信要件を削減できる仕組みです。試した結果をまとめました。 ...

はじめに Build 2024 にあわせて、Log Analytics ワークスペースのレプリケーションがプレビューになりました。 https://learn.microsoft.com/ja-jp/azure/azure-monitor/logs/workspace-replication あるリージョンの Log Analytics ワークスペースに書き込まれたデータを Azure 側で別リージョンの Log Analytics ワークスペースに非同期コピーする機能です。これまでは、Log Analytics ワークスペースに保存するデータをリージョン冗長しようとすると、データを書き込む側で複数のリージョンに書き込む必要がありました。送る側ではなく受け取る側で別リージョンにレプリケーションしてくれるとなると、ストレージアカウントの GRS の様に気軽にリージョン冗長を実現できます。 ...

はじめに Azure 上の仮想ネットワークが VNet ピアリングで接続されている場合、オンプレミスから ExpressRoute 経由で到達できる範囲は限られています。 例えば次の構成を組んだ場合、VNet ピアリングで意図的に設定を追加しない限り、オンプレミスから到達できるのは HubVnet のみです。仮想ネットワークが ExpressRoute 回線に広報するアドレス帯が HubVnet だけだからです。 ...

はじめに VNet 統合した App Service は、アウトバウンド通信を Azure Firewall 経由にできます。この構成にすることで、App Service からインターネットへの送信元 IP アドレスを固定したり、App Service からのインターネットへの通信をホワイトリストで厳密に制御できるようになります。 ...

はじめに Azure Bastion には、Developer という新しい SKU があります。 参考：Azure Bastion とは 従来の Basic や Standard は、お客様仮想ネットワークの中に お客様専用の Azure Bastion を構成するインスタンスが起動します。一方で Developer は、お客様仮想ネットワークの外に存在する共有のインスタンスを利用します。 ...

はじめに Virtual WAN にはトランジット接続の機能があり、次の通信を実現できます Virtual WAN に接続する VNET 間の通信 Virtual WAN に接続する VNET と ExpressRoute 回線間の通信 Virtual WAN に接続する VNET と S2S VPN 間の通信 Virtual WAN に接続する VNET と P2S VPN 間の通信 Virtual WAN に接続する S2S VPN 間の通信 Virtual WAN に接続する S2S VPN と P2S VPN 間の通信 グローバル トランジット ネットワーク アーキテクチャと Virtual WAN ...

はじめに 本エントリは 仮想ネットワーク上での NAT を推奨するものではありません。私の中では、仮想ネットワーク上の NAT は「やらないに越したことはない」手法です。NAT 用仮想マシンの分だけ障害ポイントが増えますし、パフォーマンス上のボトルネックになる可能性もあるからです。また、運用中、特に障害時に「このアドレスは実際はこれだから・・・」という読み替えのコストが発生する点も地味に辛いです。 ...

少し長めのはじめに Azure Arc-enabled servers で利用する Azure Connected Machine Agent には、「通信をプロキシを経由にする設定（proxy.url）」と「プライベートエンドポイントをサポートする宛先への通信（＝プライベート IP アドレスな FQDN）をプロキシ経由から除外する設定（proxy.bypass）が存在します。 ...

はじめに これまでのエントリでは、Virtual WAN の基本的な動作とルーティングの優先順位、ルーティングをいじるためのルートテーブルを取り扱いました Virtual WAN のルーティングと向き合う（基本的な動作とルーティングの優先順位編） Virtual WAN のルーティングと向き合う（ルートテーブル編） ここまでのざっくりとしたまとめは次の通りです。 ...

はじめに 前回のエントリでは、Virtual WAN の基本的な動作とルーティングの優先順位を試しました。 Virtual WAN のルーティングと向き合う（基本的な動作とルーティングの優先順位編） ...

はじめに 今まで漠然と理解していた Virtual WAN のルーティングを、検証環境を組んで実際に試してみました。今回は基本的な動作とルーティングの優先順位を試します。行く行くは、カスタムのルートテーブルやラベル、ルートマップも試したい。 ...

長めのはじめに P2S 接続の Microsoft Entra ID 認証 VPN Gateway の P2S 接続は Microsoft Entra ID によるユーザ認証をサポートしています。証明書の管理が不要になる、条件付きアクセスと組み合わせることで P2S 接続時に MFA を強制できる等、とても便利な機能です。専用のクライアントがサポートする OS が Windows と macOS だけな点に注意は必要ですが、要件さえあえば積極的に使っていきたい機能の一つです。 ...

はじめに Azure には、Application gateway や Azure Firewall など「停止・起動してコストを削減できるものの Azure Portal からは停止・起動できないサービス」があります。Azure PowerShell を利用すればいいのですが、実行するたびにリソース名やリソースグループ名をコマンドラインにコピペするのが面倒です。 ...

はじめに Azure Arc-enabled servers には Azure 側からリモートでサーバを操作するための便利な機能が実装されています。これらの機能を利用して、様々な環境で動作しているサーバ群を Azure 上から統合的に運用管理できることが Azure Arc-enabled servers の一つのメリットです。 ...

はじめに 以前、次のブログを書きました。 Resource Graph のデータを Log Analytics に投入する このブログでは、Resource Graph に記録される変更分析のデータをもとに Azure Monitor でアラートを発火したかったので、Logic Apps を使って Resource Graph のデータを Log Analytics に投入しました。仕方がないので仕組みを自作した形です。 ...

はじめに Azure Help API が一般公開されました。 参考：General Availability : Help API provides access to self-help diagnostics SR を上げる際に選べる自動トラブルシューティングを API で呼び出せるようになったようです。百聞は一見に如かずということで実際に試してみました。 ...