If you configure restricted NSG without "Internet" service tag on Azure Stack, you need to consider 169.254.169.254 and 168.63.129.16. This entry is the summary of my investigation about 169.254.169.254 and 168.63.129.16 on Azure Stack. Environment ASDK 1908 in @syuheiuda 's physical container Ref:https://thinkit.co.jp/article/13243 169.254.169.254 169.254.169.254 is an instance metadata service. A virtual machine needs to access 169.254.169.254 during the deployment process. If the NSG which is attached to the virtual machine blocks the outbound traffic to 169.254.169.254, the deployment of this virtual machine becomes a timeout and fails. ...

新しめの Azure サービスを Ansible で操作しようとすると、対応する Ansible のモジュールが devel ブランチのみに存在することがあります。Root 権限を持っている環境であれば、devel ブランチの Ansible を pip でインストールする方法 のとおりにインストールすることで devel ブランチの Ansible を利用できますが、Cloud Shell の場合は権限が足りないため次のエラーが出てしまいます。 ...

サマリ Lighthouse を使えば、Shared Image Gallary を簡単に異なるテナントに共有できる 2019年10月現在、Ansible で Shared Image Gallary を利用して VM を作る場合は devel ブランチが必要 Shared Image Gallary を異なるテナントに共有する 公式ドキュメントでは、Service Principle を利用して Shared Image Gallary を異なるテナントに共有する方法が公開されています。 ...

はじめに Azure Private Link が Public Preview になりました。 https://azure.microsoft.com/ja-jp/updates/private-link-now-available-in-preview/ Private Link は Private Endpoint と Private Link Service の2つで構成されています。本エントリでは、Private Link Service を利用して別テナントにシステムを公開する方法に触れます。想定しているユースケースは、「Azure 上でサービスを運用しているサービスプロバイダが Azure の利用者に対して Private EndPoint 経由でサービスを公開する」です。 ...

はじめに このエントリでは、Active/Passive な FortiGate を Azure 上に構築する手順と、切り替えたときの挙動を説明します。 参考ドキュメント https://aimless.jp/blog/archives/2019-03-21-public-cloud-and-nva/ https://docs.fortinet.com/vm/azure/fortigate/6.2/azure-cookbook/6.2.0/632940/single-fortigate-vm-deployment https://docs.fortinet.com/vm/azure/fortigate/6.2/azure-cookbook/6.2.0/227656/deploying-and-configuring-active-passive-ha-between-multiple-zones 構築の手順 Azure リソースの構築 上記の参考ドキュメントのとおり、FortiGate はシングルゾーン上での冗長化とゾーンをまたいだ冗長化の両方をサポートしています。今回は構築が簡単なシングルゾーン版を前提とします。 ...

Introduction Microsoft and Red Hat support that Red Hat Enterprise Linux 7.1 (and later) runs on Azure Stack. https://access.redhat.com/articles/3413531 https://docs.microsoft.com/ja-jp/azure-stack/operator/azure-stack-supported-os#linux But there is not the image of Red Hat Enterprise Linux in Azure Staack Marketplace at this moment. So Azure Stack Operator needs to create the custom image of Red Hat Enterprise Linux and need to add this image to Azure Stack Marketplace. Microsoft publishes the following document to add the custom image of Red Hat Enterprise Linux. But this procedure is so hard because this procedure requires us many manual operations. ...

はじめに Microsoft と Red Hat は Red Hat Enterprise Linux 7.1 以降を Azure Stack 上で動作させることをサポートしています。 https://access.redhat.com/articles/3413531 https://docs.microsoft.com/ja-jp/azure-stack/operator/azure-stack-supported-os#linux ただし、2019年9月現在の Azure Stack Marketplace には Red Hat Enterprise Linux のイメージが存在しません。そのため、Azure Stack Operator が Red Hat Enterprise Linux のイメージを作成して Azure Stack に登録する必要があります。 ...

はじめに 自分の頭の整理をかねて、Azure の物理構成と IaaS の可用性を向上するための仕組みをまとめます。本エントリでは次の内容に触れます。 ジオ リージョン ゾーン スケールユニット・クラスタ 障害ドメイン 更新ドメイン 可用性セット 可用性ゾーン ローカル冗長ストレージ (LRS) ゾーン冗長ストレージ (ZRS) ジオ冗長ストレージ (GRS) ジオゾーン冗長ストレージ (GZRS) なお、自分のリファレンスを兼ねているので、日本語公式ドキュメントからの引用が多めです。 ...

Introduction Azure stack requires users to apply patch and update(P&U) continually. If your Azure Stack is not in the latest three versions, Microsoft doesn’t support your Azure Stack. So it is so important that Azure Stack Operator notice the release of new Azure Stack. This blog explains how to check the new Azure Stack. The type of P&U Microsoft and OEM vendor release new Azure stack. The new Azure Stack is three types as follows. ...

Introduction Azure Stack Operator needs to collect the log of App Service Resource Provider in trouble. But Admin Portal doesn't provide this capability. So Azure Stack Operator needs to log in the controller VMs such as CN01-VM. I don't use RDP to collect these logs and want to manage the general operation with only the Admin portal and Admin API. To realize my dream, I searched the REST API of App Service Resource Provider. ...

Microsoft released on-demand diagnostic log collection in 1907 update. So we can collect Get-AzureStackLog in the admin portal. This feature is so useful because we don't need to use PEP to collect Get-AzureStackLog. On-demand diagnostic log collection When we use on-demand diagnostic log collection, the admin portal accesses to Rest API. We can also use this API. This blog explans the following operations. Run on-demand diagnostic log collection Check the history of on-demand diagnostic log collection Run on-demand diagnostic log collection The url to run on-demand diagnostic log collection is as follows. And some parameters are needed when you access this endpoint. ...

Azure stack 1907 Update がリリースされました。1907 Update で気になったものをまとめます。 Azure Stack 1907 update Azure Stack 1907 known issues ポータルからの診断ログ取得 参考：On-demand diagnostic log collection 障害時の調査に利用する診断ログを Admin Portal から取得できるようになりました。1907 Update の目玉です。 ...

はじめに Azure Lighthouse が発表されました。自分のリソースの管理を他の AAD に委任できるサービスです。リリースのアナウンスでは MSP がサービス提供するシナリオが強調されていますが、MSP でなくても利用できるサービスです。シンプルな設定で動作を確認した結果をメモします。 ...

サマリ Azure Stack 1906 Updateで、Azure Stack のエンドポイントに TLS 1.2 を強制させられるようになりました。 Configure Azure Stack security controls "Microsoft recommends using TLS 1.2 only policy for Azure Stack production environments."という記載があります。本番環境をお持ちの方は影響を調査したうえで TLS 1.2 を強制しましょう。 環境 ASDK 1906 @物理コンテナ ...

Interact 2019に登壇しました。セッションのタイトルは「Azure Stack Integrated systems を検討・導入する際のポイント」です。セッションに参加いただいた方々、登壇後に質問に来ていただいた方に改めて感謝申し上げます。 ...

サマリ Oracle Cloud を使えば、Express Route Private Peering を安価に試せる 安価な仮想オンプレとして Oracle Cloud を利用できる Oracle Cloud を利用して複数の Express Route Private Peering を用意すれば、Express Route Global Reach を試せる Oracle Cloud 側から見ると、Azure とつなげられるのは us-ashburn-1 のみ Azure 側は eastus だけの認識だったが、どのリージョンであっても Oracle Cloud をサービスプロバイダとして利用できた。そのため、異なるリージョンの Express Route Circuit を安価に用意できる Oracle Cloud を使うと、Express Route Global Reach を利用した疎通確認ができない Oracle Cloud 内の ルート表やセキュリティリストを整えても通信できなかった Azure の Express Route とつなぐ場合、Oracle FastConnect 側の AS 番号が 31898 で固定になってしまう Oracle Cloud 側が Global Reach 経由で AS-PATH に自分の AS 番号の含まれる経路を受信するため、Oracle Cloud が対向の Oracle Cloud の広報した経路を学習しない（はず。Oracle Cloud 側で確認する術がない） 謝辞 Interact 2019の帰り道に「Oracle Cloud を使って Express Route を評価する」というアイディアを共有してくれた @Masayuki_Ozawa に感謝。 ...

サマリ Azure Firewall の Inbound DNAT は 同時に SNAT もする Active/Active な Azure Firewall で非対称ルーティングを避けるためには仕方ない Active/Active であり続ける限り、回避策はない Inbound の SNAT が嫌な場合は、Active/Passive な NVA を利用する 本文 Azure Firewall の 複数の Public IP Address 対応がプレビューになったので DNAT を試しました。 ...

サマリ Azure Stack にはアップデートの成功を通知する機能がない Azure Stack のアップデート結果を確認する方法は API と PEP の2つである 「便りがないのはいい便り」方式で放置するのではなく、Azure Stack のアップデートが成功したことを明示的に知りたければ、API または PEP を利用したスクリプトを自作する必要がある 環境 ハイブリッドクラウド研究会の Azure Stack Integrated systems 1903 ASDK 1905 @物理コンテナ ハイブリッドクラウド研究会のページからハイブリッドクラウド研究会が保有している Azure Stack Integrated system での検証を申し込めます。Azure Stack Integrated system を触ってみたい方はぜひ申請しましょう。ハイブリッドクラウド研究会の検証環境は、利用者だけでなく管理者の参照権限も付与してもらえる太っ腹環境です。 ...

VNet Peering で Hub&Spoke 構成を組んだ場合に、VPG Gateway がどこまで先のアドレスを広報してくれるかを実際に試したのでメモ サマリ VNet Peering を利用した Hub&Spoke 構成の場合、VPN Gateway がアドレスを広報する VNet は次の２つだけ VPN Gateway が存在する VNet VPN Gateway が存在する VNet と直接つながっている VNet VPN Gateway は、VPN Gateway が存在する VNet から 2hop 以上先の VNet のアドレスを広報しない 確認 動作確認で利用した構成は次の通り。10.0.0.0/16側の VNet peering では "Allow gateway transit "を有効化、10.1.0.0/16と10.2.0.0/16側の VNet peering では "Use remote gateway" を有効化しました。 ...

はじめに Azure Stack 1905 Update がリリースされました。本エントリーでは Azure Stack 1905 Update で気になった点をまとめます。ただし、実際に統合システムで確認できていない部分もあるので、一部推測を含みます。 ...