はじめに Azure Stack Hub 1910 Update が配信されました。1910 Update ではデプロイ時に指定するネットワークが変わりました。本エントリではその変更点をまとめます。なお、ネットワーク編としたものの、他の編を書くかどうかは未定です。。。 ...

サマリ Azure Firewall Manager を使ったら、Azure から BGP でデフォルトルートが聞こえてきた。 デフォルトルートが Azure からきこえてきたああああああああ。オンプレからAzure経由でインターネットに行けるのでは。 pic.twitter.com/7jjIW7NCP0 ...

Microsoft Ignite 2019 で発表になった Azure Stack Integrated system 関連のアナウンスをまとめました。 ソース Book of News - Ignite 2019 - Microsoft News Azure Stack Hub extends capabilities on the Edge Now is the time to modernize your datacenter and migrate your applications to Microsoft Azure Stack Building high-value integrated data center solutions for Microsoft Azure Stack Dell EMC Tech Previews: Microsoft Ignite 2019 サマリ Azure Stack Hub への名称変更 Availability of BC/DR foundational pattern for Azure Stack Hub to Azure Stack Hub Event Hubs on Azure Stack Hub (Public Preview) Azure data services (Arc) on Azure Stack Hub (Private preview) Kubernetes on Azure Stack Hub (GA) Windows Virtual Desktop on Azure Stack Hub (Private Preview) GPU サポート（Public preview） マルチスケールユニット（開発中） インフラのコンテナ化（開発中） アップデートの改善（開発中） Azure Stack Foundation - Core Instance Metadata（開発中） cloud-init（開発中） 名称変更 これまで Azure Stack という名称で語られていた Azure Stack Integrated system が、Azure Stack Hub という名前になりました。そして、Azure Stack という単語は、「Azure StaCk HCI」と「Azure Stack Edge（元 Data Box Edge）」「Azure Stack Hub」という3つのソリューションを包括するものに変わりました。Ignite では「Azure Stack Family」や「 Azure Stack Portfolio」という表現が多く使われました。 ...

If you configure restricted NSG without "Internet" service tag on Azure Stack, you need to consider 169.254.169.254 and 168.63.129.16. This entry is the summary of my investigation about 169.254.169.254 and 168.63.129.16 on Azure Stack. Environment ASDK 1908 in @syuheiuda 's physical container Ref:https://thinkit.co.jp/article/13243 169.254.169.254 169.254.169.254 is an instance metadata service. A virtual machine needs to access 169.254.169.254 during the deployment process. If the NSG which is attached to the virtual machine blocks the outbound traffic to 169.254.169.254, the deployment of this virtual machine becomes a timeout and fails. ...

新しめの Azure サービスを Ansible で操作しようとすると、対応する Ansible のモジュールが devel ブランチのみに存在することがあります。Root 権限を持っている環境であれば、devel ブランチの Ansible を pip でインストールする方法 のとおりにインストールすることで devel ブランチの Ansible を利用できますが、Cloud Shell の場合は権限が足りないため次のエラーが出てしまいます。 ...

サマリ Lighthouse を使えば、Shared Image Gallary を簡単に異なるテナントに共有できる 2019年10月現在、Ansible で Shared Image Gallary を利用して VM を作る場合は devel ブランチが必要 Shared Image Gallary を異なるテナントに共有する 公式ドキュメントでは、Service Principle を利用して Shared Image Gallary を異なるテナントに共有する方法が公開されています。 ...

はじめに Azure Private Link が Public Preview になりました。 https://azure.microsoft.com/ja-jp/updates/private-link-now-available-in-preview/ Private Link は Private Endpoint と Private Link Service の2つで構成されています。本エントリでは、Private Link Service を利用して別テナントにシステムを公開する方法に触れます。想定しているユースケースは、「Azure 上でサービスを運用しているサービスプロバイダが Azure の利用者に対して Private EndPoint 経由でサービスを公開する」です。 ...

はじめに このエントリでは、Active/Passive な FortiGate を Azure 上に構築する手順と、切り替えたときの挙動を説明します。 参考ドキュメント https://aimless.jp/blog/archives/2019-03-21-public-cloud-and-nva/ https://docs.fortinet.com/vm/azure/fortigate/6.2/azure-cookbook/6.2.0/632940/single-fortigate-vm-deployment https://docs.fortinet.com/vm/azure/fortigate/6.2/azure-cookbook/6.2.0/227656/deploying-and-configuring-active-passive-ha-between-multiple-zones 構築の手順 Azure リソースの構築 上記の参考ドキュメントのとおり、FortiGate はシングルゾーン上での冗長化とゾーンをまたいだ冗長化の両方をサポートしています。今回は構築が簡単なシングルゾーン版を前提とします。 ...

Introduction Microsoft and Red Hat support that Red Hat Enterprise Linux 7.1 (and later) runs on Azure Stack. https://access.redhat.com/articles/3413531 https://docs.microsoft.com/ja-jp/azure-stack/operator/azure-stack-supported-os#linux But there is not the image of Red Hat Enterprise Linux in Azure Staack Marketplace at this moment. So Azure Stack Operator needs to create the custom image of Red Hat Enterprise Linux and need to add this image to Azure Stack Marketplace. Microsoft publishes the following document to add the custom image of Red Hat Enterprise Linux. But this procedure is so hard because this procedure requires us many manual operations. ...

はじめに Microsoft と Red Hat は Red Hat Enterprise Linux 7.1 以降を Azure Stack 上で動作させることをサポートしています。 https://access.redhat.com/articles/3413531 https://docs.microsoft.com/ja-jp/azure-stack/operator/azure-stack-supported-os#linux ただし、2019年9月現在の Azure Stack Marketplace には Red Hat Enterprise Linux のイメージが存在しません。そのため、Azure Stack Operator が Red Hat Enterprise Linux のイメージを作成して Azure Stack に登録する必要があります。 ...

はじめに 自分の頭の整理をかねて、Azure の物理構成と IaaS の可用性を向上するための仕組みをまとめます。本エントリでは次の内容に触れます。 ジオ リージョン ゾーン スケールユニット・クラスタ 障害ドメイン 更新ドメイン 可用性セット 可用性ゾーン ローカル冗長ストレージ (LRS) ゾーン冗長ストレージ (ZRS) ジオ冗長ストレージ (GRS) ジオゾーン冗長ストレージ (GZRS) なお、自分のリファレンスを兼ねているので、日本語公式ドキュメントからの引用が多めです。 ...

Introduction Azure stack requires users to apply patch and update(P&U) continually. If your Azure Stack is not in the latest three versions, Microsoft doesn’t support your Azure Stack. So it is so important that Azure Stack Operator notice the release of new Azure Stack. This blog explains how to check the new Azure Stack. The type of P&U Microsoft and OEM vendor release new Azure stack. The new Azure Stack is three types as follows. ...

Introduction Azure Stack Operator needs to collect the log of App Service Resource Provider in trouble. But Admin Portal doesn't provide this capability. So Azure Stack Operator needs to log in the controller VMs such as CN01-VM. I don't use RDP to collect these logs and want to manage the general operation with only the Admin portal and Admin API. To realize my dream, I searched the REST API of App Service Resource Provider. ...

Microsoft released on-demand diagnostic log collection in 1907 update. So we can collect Get-AzureStackLog in the admin portal. This feature is so useful because we don't need to use PEP to collect Get-AzureStackLog. On-demand diagnostic log collection When we use on-demand diagnostic log collection, the admin portal accesses to Rest API. We can also use this API. This blog explans the following operations. Run on-demand diagnostic log collection Check the history of on-demand diagnostic log collection Run on-demand diagnostic log collection The url to run on-demand diagnostic log collection is as follows. And some parameters are needed when you access this endpoint. ...

Azure stack 1907 Update がリリースされました。1907 Update で気になったものをまとめます。 Azure Stack 1907 update Azure Stack 1907 known issues ポータルからの診断ログ取得 参考：On-demand diagnostic log collection 障害時の調査に利用する診断ログを Admin Portal から取得できるようになりました。1907 Update の目玉です。 ...

はじめに Azure Lighthouse が発表されました。自分のリソースの管理を他の AAD に委任できるサービスです。リリースのアナウンスでは MSP がサービス提供するシナリオが強調されていますが、MSP でなくても利用できるサービスです。シンプルな設定で動作を確認した結果をメモします。 ...

サマリ Azure Stack 1906 Updateで、Azure Stack のエンドポイントに TLS 1.2 を強制させられるようになりました。 Configure Azure Stack security controls "Microsoft recommends using TLS 1.2 only policy for Azure Stack production environments."という記載があります。本番環境をお持ちの方は影響を調査したうえで TLS 1.2 を強制しましょう。 環境 ASDK 1906 @物理コンテナ ...

Interact 2019に登壇しました。セッションのタイトルは「Azure Stack Integrated systems を検討・導入する際のポイント」です。セッションに参加いただいた方々、登壇後に質問に来ていただいた方に改めて感謝申し上げます。 ...

サマリ Oracle Cloud を使えば、Express Route Private Peering を安価に試せる 安価な仮想オンプレとして Oracle Cloud を利用できる Oracle Cloud を利用して複数の Express Route Private Peering を用意すれば、Express Route Global Reach を試せる Oracle Cloud 側から見ると、Azure とつなげられるのは us-ashburn-1 のみ Azure 側は eastus だけの認識だったが、どのリージョンであっても Oracle Cloud をサービスプロバイダとして利用できた。そのため、異なるリージョンの Express Route Circuit を安価に用意できる Oracle Cloud を使うと、Express Route Global Reach を利用した疎通確認ができない Oracle Cloud 内の ルート表やセキュリティリストを整えても通信できなかった Azure の Express Route とつなぐ場合、Oracle FastConnect 側の AS 番号が 31898 で固定になってしまう Oracle Cloud 側が Global Reach 経由で AS-PATH に自分の AS 番号の含まれる経路を受信するため、Oracle Cloud が対向の Oracle Cloud の広報した経路を学習しない（はず。Oracle Cloud 側で確認する術がない） 謝辞 Interact 2019の帰り道に「Oracle Cloud を使って Express Route を評価する」というアイディアを共有してくれた @Masayuki_Ozawa に感謝。 ...

サマリ Azure Firewall の Inbound DNAT は 同時に SNAT もする Active/Active な Azure Firewall で非対称ルーティングを避けるためには仕方ない Active/Active であり続ける限り、回避策はない Inbound の SNAT が嫌な場合は、Active/Passive な NVA を利用する 本文 Azure Firewall の 複数の Public IP Address 対応がプレビューになったので DNAT を試しました。 ...