Aimless

Microsoft Azure Attestation による Remote Attestation を試した（AMD SEV-SNP 編）

はじめに Confidential Computing では、アプリケーションが動いている環境が Confidential Computing な環境であることをする検証できる仕組みが必要です。そのための仕組みが Attestation です。Attestation には、Local Attestation と Remote Attestation が存在します。Local Attestation は Confidential Computing で保護された環境の中で、自身の環境が Confidential Computing な環境であることを検証する手法です。Remote Attestation は、Confidential Computing な環境で動作している通信先が本当に Confidential Computing な環境であることを外部から検証する手法です。 ...

Azure Firewall と NVA を多段で併用する

はじめにやってみたことがなかったので、次の構成を試してみました。 VNet 間のルーティングと通信制御のために Azure Firewall を内部ファイアウオールとして利用するインターネットとの通信制御のために NVA を外部ファイアウオールとして利用する構成図は次の通りです。 ...

Azure OpenAI Service を Private Endpoint 経由で利用する

はじめに Azure OpenAI Service は Private Endpoint をサポートしています。ですので、Azure OpenAI Service の特定のドメイン宛ての通信をインターネット経由ではなく閉域網経由にできます。また、ファイアウオールの機能もあるので、インターネットからAzure OpenAI Service の特定のドメイン宛ての通信を拒否することもできます。 ...

Azure Resource Manager から取得した情報を使って Azure Monitor Workbook を作る

はじめに Azure には自分なりのダッシュボードを作るための「Azure Monitor Workbook」という機能があります。この機能を使うと、標準の Azure ポータルには存在しない画面を作れます。次の画面は、私が試しに作った「Azure の仮想マシンと Azure Arc-enabled servers を一覧で見られるダッシュボード」です。標準の Azure ポータルからこれら2つのリソースを見ようとするとページを行き来する必要があるので、一つの画面にまとまっていると意外と便利です。 ...

モダンな Azure Site Recovery を Private Endpoint とプロキシサーバの併用環境で動作させる

はじめに Azure Site Recovery は Private Endpoint を利用して閉域網でデータを複製する構成をサポートしています。プライベートエンドポイントを使用してオンプレミスマシンをレプリケートする ...

Microsoft Defender for Storage のマルウェアスキャンを試した

はじめに Microsoft Defender for Storage のマルウェアスキャンの機能がパブリックプレビューになりました。 Malware Scanning in Defender for Storage Overview of Microsoft Defender for Storage これまでも Microsoft Defender for Storage はハッシュ評価ベースのマルウェア検出をサポートしていました。今回パブリックプレビューになったのは、Microsoft Defenders Antivirus によってマルウェアをスキャンする方式です。 ...

プロキシと Private Endpoint を併用するサーバを Azure Arc-enabled servers に登録する

はじめに Azure Portal を利用すると、サーバを Azure Arc-enabled servers に登録する際に使うスクリプトを生成してくれます。このスクリプトの自動生成機能は次の3つの環境をサポートしています。 ...

Resource Graph のデータを Log Analytics に投入する

背景 Azure サービスの中には、処理の結果を Resource Graph のみに記録するものがあります。例えば Update Management Center はパッチの状態や適用処理の結果を記録します。Change Analysis は検出した変更結果を記録します。 ...

Azure VM Backup のアラートを移行する

はじめに Azure VM Backup には、アラートを設定する方法が4つあります。クラシックアラート Azure Monitor のログアラート Azure Monitor アラート Azure Monitor のメトリクスアラート（プレビュー）昔からなじみのある方法が1つ目のクラシックアラートです。Recovery Service Vault 単位でメールアドレスと Severity を設定すると、バックアップが失敗した際に次のようなメールが届きます。 ...

Azure 上の Windows Server 2019 をインプレースアップグレードする

はじめに Azure 上の Windows サーバはインプレースアップグレードをサポートしていません。ですが、ドキュメントが更新されまして、2016と2019、2022がインプレースアップグレードのサポート対象外から削除されました。 ...

Azure Bastion の共有リンクを定期的に掃除する

Azure Bastion に共有リンクという機能が追加されました。Azure AD による認証なしで特定の仮想マシンにのみ接続できる直リンクを作成する機能です。共有リンクを利用すれば、初期構築やメンテナンスなどの単発の要件で仮想マシンにアクセスするために Azure Bastion を使う人に対して、Azure AD のアカウントを払い出したりゲスト招待したりする必要がなくなります。 ...

Bicep を利用して Azure Arc-enabled servers を Azure Monitor Agent ＋ VM Insights な環境に登録する

はじめに Log Analytics Agent の廃止を踏まえて、Azure Portal をポチポチすることで Azure Monitor Agent 版の VM Insights を有効化できるようになりました。 VM Insights の設定画面ポータルからポチポチできるのはとても便利なのですが、裏で自動的に設定が入るため何が実行されているのかいまいち分かりません。というわけで Bicep を利用して VM Insights を有効化することで、どのような設定が必要なのかを細かく確認しました。 ...

Microsoft Defender for Cloud に複数の連続エクスポートを設定する

はじめに Microsoft Defender for Cloud には、推奨事項やアラートなどの検出結果を Log Analytics や EventHub に送信する連続エクスポートという機能があります。 Microsoft Defender for Cloud データを継続的にエクスポートする ...

Virtual WAN の有効なルートを PowerShell で取得する

はじめに Azure には有効なルート(Effective Routes) という機能が存在します。設定したルーティングではなく実際のルーティングテーブルを確認できる機能です。通信できない際のトラブルシュートで利用されていることが多いと思います。 ...

Azure Computer Gallery の direct shared gallery を利用して、別テナントや別サブスクリプションに仮想マシンのイメージを共有する

はじめに Azure の仮想マシンの自作イメージを共有するサービスである Azure Compute Gallery に direct shared gallery という方式が追加されました。direct shared gallery を利用すると、Azure AD のテナント ID やサブスクリプション ID を指定するだけで自作のイメージを共有できます。 ...

Azure Route Server を利用して Azure Firewall へのデフォルトルートを生成する

はじめに Azure Route Server の NEXT-HOP 属性に関するドキュメントが公開されました。 Next Hop IP support Route Server が NEXT-HOP 属性をサポートすると、実現できる構成が増えます。その一つが Secured Virtual Hub なしで実現する Azure Firewall 向けのデフォルトルートです。Route Server に対してネクストホップが Azure Firewall のプライベート IP アドレスなデフォルトルートを広報すると、Route Server は素直にそのルートを VNet に広報してくれます。その結果、Azure Firewall 向けのデフォルトルートを UDR で設定しなくても、仮想マシンからインターネットへの通信が Azure Firewall に向かいます。 ...

Azure Gateway Load Balancer を FortiGate で試す

はじめに Azure Gateway Load Balancer が GA になりました。 Generally available: Azure Gateway Load Balancer 公式ドキュメントによると、Gateway Load Balancer には次のメリットがあります。 Azure Gateway Load Balancer を使用すると、管理上のオーバーヘッドが増えずに、高度なネットワーク機能を簡単に追加または削除できます。これにより、パブリックエンドポイントへのすべてのトラフィックがアプリケーションの前にアプライアンスに最初に送信されるのを確認するために必要な、ネットワーク内の Bump-in-the-wire テクノロジが提供されます。 NVA を使用するシナリオでは、フローが対称的である点が特に重要です。 Azure Gateway Load Balancer は、バックエンドプール内の特定のインスタンスへのフローの保持性と、フローの対称性を維持します。その結果、手動で構成することなく、追加ネットワーク仮想アプライアンスへの一貫したルートが保証されます。その結果、パケットは両方向に同じネットワークパスを通過し、このキー機能を必要とするアプライアンスはシームレスに機能できます。 ...

Azure CLI を利用して VMware ESXi 上に Azure Arc Resource Bridge を作成する

はじめに VMware vSphere を Azure Arc の管理下に置くためには、Azure Arc Resource Bridge という仕組みを利用して VMware vSphere を Azure Arc に接続する必要があります。docs.microsoft.com に記載されている Resource Bridge をデプロイする手順は、Azure Portal が生成するスクリプトを vCenter と通信できる端末上で実行する形です。詳細は以下の URL の通りです。 ...

Minisforum EliteMini HX90 を使って、自宅に VMware な仮想環境を作った

はじめに以前から「Azure Migrate を評価するために、自由に使える VMware 仮想基盤があったらなー」と思っていたところに、Azure Arc-enabled VMware vSphere が登場したので、決心して自宅に VMware な仮想環境を用意しました。 ...

Private Endpoint と Private DNS Zone の自動連携を Bicep で利用する

はじめに Private Endpoint を利用して通信を閉域化する際には、privatelink.[PaaS の FQDN] のゾーン内に存在する A レコードを Private Endpoint のプライベート IP アドレスに名前解決する必要があります。この名前解決を実現するための一つのオプションが Private DNS Zone です。Azure Portal から Private Endpoint を作ると、Private DNS Zone へのレコードの追加を自動で実施してくれます。 ...