【Azure】仮想ネットワーク作成の新UI(詳細版)

『ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 第4版』が2023年1月に出版されました。

クラウドサービスではよくあることですが、本書の執筆後に、仮想ネットワークの作成画面が大きく変わりました。この変更は大がかりなせいか、一斉には切り替わっておらず、現時点でも混在しています。

新しい画面では、オプション設定であるセキュリティ機能を先に指定するなど、他のリソースの作成画面と整合性が取れていないため、このままなくなる可能性もあります。また、さらに別の画面になる可能性もあるのでご注意ください。

基本的な手順は、ヨコヤマ企画: 【Azure】仮想ネットワークの作成(最近増えてきた操作画面) (g20k.jp)で紹介していますが、ここではもう少し丁寧に、書籍での記述に揃えて記述します。「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 第4版」89ページから79ページとあわせてご覧ください。

1. Azureポータルで［＋リソースの作成］をクリックする。
   
2. ［ネットワーキング］－［Virtual network］を選択する。
• ［仮想ネットワーク］と日本語で表示されることもある。
3. ［基本］タブで、以下の項目を指定して［次：セキュリティ］をクリックする。
• ［サブスクリプション］…使用するサブスクリプションを選択する。
• ［リソースグループ］…新規作成または既存のものを使用する。
• ［名前］…仮想ネットワーク名として、自分が区別しやすい名前を指定する。
• ［地域］…リージョン（データセンターの場所）を選択する。
  
4. ［セキュリティ］タブで、以下のセキュリティオプションを指定して［次：IPアドレス］をクリックする。
• ［Azure Bastion］…仮想マシンに接続するための有償サービス。あとから追加することもできるので、ここでは［無効化］を選択する。詳しくは後述する（この章の11）。
• ［Azure Firewall］…Azureファイアウォール（有償）を利用する場合は有功にする。あとから構成することもできる。Azureファイアウォールを構成しなくても、NSGによる基本的なフィルター機能や、DDoS Protection BasicによるDDoS保護機能は無償で提供される。
• ［DDoS Protection Standard］…Azureで分散型拒否攻撃（DDoS）保護機能（有償）を使う場合は［有効化］を選択する。［無効化］を選択した場合は「DDoS Protection Basic」のみが利用される（無償）。DDoS Protection Basicは無効にできない。本書では、DDoS Protection Standardについては扱わない。
  
  
5. ［IPアドレス］タブで、TCP/IPアドレス情報を指定する。既定では10.0.0.0/24のアドレス空間が指定される。変更するには、アドレス空間の画面から[…]をクリックし、[アドレス空間の削除]を選択する。
6. ［IPアドレス空間の追加］をクリックする。
   
7. ［IPアドレス空間の追加］ブレードで、以下のとおりパラメーターを指定して、［追加］をクリックする。

• ［アドレス空間の種類］…IPv4またはIPv6を選択する。

• ［開始アドレス］…IPアドレスのネットワーク番号を入力する。

• ［Address space size］…アドレス空間のサイズを選択する。必ずサブネットに分割して使うため、大きめの範囲を指定する方がよい。後述の手順で作成後の変更も可能。
  

8. IPアドレス空間ができたことを確認し、［+サブネットの追加］をクリックする。
   
   
9. ［サブネットの追加］ブレードで、以下のとおりパラメーターを指定して、［追加］をクリックする。

• ［IPアドレス空間］…作成済みのIPアドレス空間を選択する。

• ［サブネットテンプレート］…Defaultを選択する。その他の選択肢は、サービス固有のサブネットを必要とする場合に指定する。たとえば後述するAzure Bastionには専用のサブネットが必要になる。

• ［名前］…サブネット名を入力する。

• ［開始アドレス］…サブネットの開始アドレスを入力する。

• ［IPアドレスサイズ］…サブネット長を選択する。

• ［NATゲートウェイ］…作成済みのNATゲートウェイを指定できる。本書では扱わない。

• ［ネットワークセキュリティグループ］…作成済みのネットワークセキュリティグループ(NSG)をサブネットに割り当てることができる。

• ［ルートテーブル］…作成済みのルーティングテーブルを指定できる。本書では扱わない。
  

10. IPアドレス空間とサブネットを確認し、［次：タグ］をクリックする。
    
    
    
11. ［タグ］タブで、タグを指定して［次：確認および作成］をクリックする。
    
    
12. ［確認および作成］タブで、内容を確認して［作成］をクリックする。
    
    
    
    

【Azure】仮想ネットワークの作成(最近増えてきた操作画面)

Microsoft Azureの仮想ネットワーク作成画面が、一部のユーザーで変更されています。新しい手順は、他のAzureリソースの作成手順と一貫性がなく、これが全員に広がるかどうかは分かりません。

具体的な手順は以下のとおりです。リソースグループ名やリソース名を含め、構成パラメーターは「Microsoft AzureによるITインフラの拡張」に従いました。テキストとあわせてご覧ください。

1. Azureポータルの検索ボックスでvnetとキーボードから入力し、[仮想ネットワーク]を選択
2. 仮想ネットワークの管理画面に切り替わるので[+作成]をクリック
3. 以下の情報を指定
• サブスクリプション: (既定値)
• リソースグループ: azurelabnn (nnは受講者番号)
• 名前: vnetnn (nnは受講者番号)
• リージョン(地域): Japan East (東日本)
• [次:セキュリティ>]をクリック
4. [次:セキュリティ>]で何も指定せずに[次:IPアドレス>]をクリック
5. […]をクリックして[アドレス空間の削除]を選択し、既定のアドレス空間を削除
   
6. [IPアドレス空間の追加]をクリック
7. 以下の情報を指定
• アドレス空間の種類:  IPv4
• 開始アドレス: 172.16.0.0  (キーボードから入力)
• Address space size: /16  (ドロップダウンリストから選択)
• [追加]をクリック
8. [サブネットの追加]をクリック
• IPアドレス空間:  172.16.0.0/16  (確認のみ)
• サブネットテンプレート:  Default
• 名前: subnet-1 (キーボードから入力)
• 開始アドレス: 172.16.1.0  (キーボードから入力)
• IPアドレスサイズ: /24  (ドロップダウンリストから選択)
• その他の項目は既定値のまま[追加]をクリック
9. IPアドレス空間とサブネットを確認して[確認+作成]をクリック
10. 検証に成功したことを確認して[作成]をクリック

【Azure】Azure Backup(MARSエージェント)によるシステム状態の復元

Azure Backup(MARSエージェント)は、Windows ServerのファイルやフォルダーをAzureのRecovery Servicesコンテナにバックアップするサービスです。システム状態のバックアップも可能ですが、ベアメタル回復の機能はありません。

システム状態の復元は可能ですが、ファイルとして復元されるためOSの回復に使うことはできません。

と、今まで説明してきたのですが、Windows Serverバックアップ(Windows Server標準のバックアップツール)を使うことで復元が可能になっています。

ただし、Windows Serverバックアップを起動するためにはWindows Serverが正常に起動することが必要です。新しいサーバーを構成して、そこに上書きする形で復元することも可能ですが、デバイスドライバーの情報も復元されてしまいます。最近のドライバーは自己診断機能があるのか、互換性のないドラーバーが勝手に起動して不具合を起こすようなことは滅多にありませんが、念のため同じハードウェア構成のマシンに復元してください。

1. Azure BackupでSystem State(システム状態)を別の場所に復元
   この時点で、レジストリなどの情報がファイルとして復元される。
2. 復元した場所を共有(※ポイント1)
3. Windows Serverバックアップで復元作業を開始
4. システム状態の復元を選択し、共有を指定(※ポイント2)

Windows Serverバックアップは、MARSエージェントのバックアップ情報を直接読み取ることができません。そのため、いったん別の場所に復元します。たとえば、復元先にE:\BACKUPを指定した場合、以下の階層が作成されます。

E:\BACKUP\C_vol\Program Files\Microsoft Azure Recovery Services Agent\Scratch\SSBV

復元したファイルを指定するには、ネットワーク共有として指定する必要があるため、復元ファイルを含むフォルダーを共有します(※ポイント1)。

この時指定する共有名は110文字以内に収める必要があります。そこで、上記の例だとSSBVフォルダーを共有します。

たとえばサーバー名が「SERVER」で、SSBVフォルダーを既定値で共有した場合、復元時には以下のように指定します。

\\SERVER\SSBV

Microsoft Learnには具体的な手順が記載されていますが、復元手順はWindows Serverバックアップの別のドキュメントを引き写しただけのようで、フォルダーの指定が適切ではありませんでした。単純に復元先の共有フォルダーを指定するだけではエラーになります。

Windows Server へのシステム状態の復元 - Azure Backup | Microsoft Learn

【Microsoft セキュリティ、コンプライアンス、ID の基礎】Microsoft Defender 、分類管理、アクション

先日「Microsoft セキュリティ、コンプライアンス、ID の基礎 (SC-900T00)」を実施中、積み残した質問があったので、この場で回答しておきます。

●Microsoft Defender for Endpoint

Microsoft Defender for Endpointは、次のいずれかのボリュームライセンス製品が必要です。

• Windows 10 Enterprise E5
• Windows 10 Education A5
• Microsoft 365 A5 (M365 A5)
• Microsoft 365 E5 Security
• Microsoft 365 A5 Security
• Microsoft Defender for Endpoint

単独のライセンスもありましたが、直販はなく代理店扱いのようです。
検索結果によると1ライセンスあたり月額570円でした。

●ファイルの分類

オンプレミスのファイル分類管理(FCI: File Classification Infrastructure)は、以下の2つのステップで動作します。

1. ファイルの内容や保存先フォルダーに基づいて、ファイルのプロパティにラベルを追加
2. ファイルのラベルに基づいてアクションを実行(ファイルの移動、暗号化、任意のコマンド)

詳しくは以下のドキュメントを参考にしてください。

• ファイルサーバーリソースマネージャー:分類の管理

クラウドの場合は、フォルダーに基づく分類はなく、ファイル内容に基づいた自動分類と手動分類しかないようです。

分類はMicrosoft 365上で準備しますが、分類結果自体はファイルの属性として保存されるため、デスクトップアプリでも利用できます。

▲SharePoint上に作ったファイルをダウンロードして開いてみました。

具体的な設定手順は、コース「Microsoft Information Protection 管理者 (SC-400T00)」の演習で扱っています。

演習ガイドは以下で公開されていますが(日本語)、サポートはコースの受講者に限られているので、申し訳ありませんがここでの解説はご容赦ください。

GitHub - MicrosoftLearning/SC-400JA-Microsoft-Information-Protection-Administrator

●Microsoft 365 Defenderからのアクション

Microsoft 365 Defender自身にも自動応答はありますが、機能は限定的です。
やはりAzure Sentinelと統合することを想定しているようです。

• データの自動調査とMicrosoft 365 Defender
• Microsoft 365 Defender と Azure Sentinel との統合 (Microsoft 365)
• Microsoft 365 Defender と Azure Sentinel の統合 (Azure Sentinel)
• Azure Sentinel に Office 365 のログを接続する

以上、簡単ですが補足説明でした。

木村泉先生のこと

寡聞にして木村泉先生が昨年お亡くなりになっているのを存じ上げませんでした。一般にはあまり知られていないかもしれませんが、計算機科学界隈で大変有名な方です。たとえは、情報処理学会2011年度功績賞も受賞していらっしゃいます。もしかしたら、ワインバーグ氏の一連の著書の翻訳者として認識している方が多いかもしれません。

大学の時、先生が翻訳された「プログラム書法」を読んで、「そうかコードはこう書くのか」と思っていたら、授業では構造化どころか最適化コンパイラの動きも無視していて失望したものです。

追悼文を読んでいると、先生の最初の著書は3名の共同ペンネームで出版された「計算機科学の発想」だそうで、知りませんでした。
古い本ですが、とても面白い本で、実家から持ち出してきた数少ない書籍です。

木村先生は一度だけ情報処理学会の全国大会でお見かけしたことがあります。というより、座長の名前を知って先生を見に行ったようなものですが。

「FORTRANの可読性を上げるツール」の発表では、当時でも(1985年かな?)もう時代遅れになっていた(でもユーザーは相変わらず多い)言語のせいか質問もなく、木村先生が「そんなツールが出たらFORTRANの寿命がますます延びてみんな困るんじゃないでしょうか」と発言して場内を笑わせてました。

お亡くなりになって、もうすぐ1年だそうですが、改めてご冥福をお祈りいたします。

【書籍】ビクトリア女王は「新刊が出たら教えてくださいね」と言ったので、桜庭にいなさんにもやってもらった

トレノケ雲の会 mod.6「雲の下から(meet the author)」開催レポート で告知した通り、猫写真サークル「まぐにゃむフォト」として、「コミックマーケット(コミケ)97」にサークル参加してきました。ちなみに「技術書典8」は抽選漏れです。

meet the author「ひと目でわかるAzure 基本から学ぶサーバー＆ネットワーク構築 第3版」 from Tetsuya Yokoyama

一番売れたのは新刊の「ふとんねこ」ですが、一番長い時間をかけて撮ったのが「COPYCAT」シリーズで、これもそこそも売れていきました。

コミケ前、「ふとんねこ」ができる前に、このCOPYCATを猫好きだというインディーズアイドル(地下アイドル)の桜庭にいなさんに差し上げました。そして、「新刊が出たら教えてくださいね」と言わせました。

「あ、新刊あります」と、わざとらしく渡したのが「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築」

ひと目でわかるAzure基本から学ぶサーバー＆ネットワーク構築第3版
(マイクロソフト関連書)

桜庭にいなさん、今はLinux系のSEとして働いていらっしゃるようで、ビクトリア女王が数学書をもらったよりはお役に立てるのではないかと思います。

---

【元ネタ】ジョークの解説をするのは野暮ですし、「トレノケ雲の会」のスライドにも入っているのですが、こちらにも書いておきます。

『不思議の国のアリス』を読んだビクトリア女王が「他の本も読みたい」とルイス・キャロルに言ったら『行列式初歩』という数学書が贈呈されたそうです。

ルイス・キャロルの本名はチャールズ・ドジソンで、立派な数学者です。

【Azure】要塞～RDPもSSHも使えないときは～

Microsoft Azureで仮想マシンを管理するには、RDP(Windowsの場合)またはSSH(Linuxの場合)による接続が必要です。

まれに、社内からはRDPもSSHも使えない会社があるようです。そういう会社でクラウドコンピューティングサービス、特にIaaSを勉強するののはほとんど無理だと思うのですが、皆さんどうなさっているのでしょう。

RDPやSSHが使えなくても、HTTPSは通す会社が多いようです。実は、HTTPSが使えれば多くの抜け道があるので何とかなります。RDPやSSHを禁止するのは「セキュリティ上の理由」と説明していただくことが多いのですが、HTTPSを通すのであれば、セキュリティ対策にはそれほど貢献していません。

もっとも、世の中にはアクセス先のIPリストを管理しているところもあるようで、それならセキュリティ上の意味はあります。もっとも、あまり厳しく制限すると今度はインターネットを使う意味がなくなると思いますが。

さて本題です。HTTPSを使ってAzureの仮想マシンにアクセスするのは以下の方法があります。他にも最低2つは思いついたので、皆さんも考えてみてください。

1. ポイント対サイトVPN接続(P2S VPN)
2. クラウドシェル上でのSSHコマンド
3. 要塞ホスト(Bastion Host)

1. ポイント対サイトVPN

仮想ネットワークにVPNゲートウェイを立てて、SSTP接続を行います。SSTPはSSLベースのVPNであり、HTTPSを通すのであれば問題なくつながるはずです。

また、OpenVPNを使うこともできます。OpenVPNはポート番号を自由に設定できるので、HTTPSと同じポートを使ってファイアウォールの制限を回避できる可能性があります。

ポイント対サイトVPNの詳細は、教育コース「Microsoft AzureによるITインフラの拡張」で紹介しているほか、拙著「ひと目でわかるAzure 基本から学ぶサーバー＆ネットワーク構築第3版」でも解説しています。

基本的には管理者を想定しているため、クライアントPCの管理者権限が必要です。

なお、ゲートウェイを作成するには30分ほどかかります。

2. クラウドシェル

Azureの管理ポータルからLinux (Ubuntu) ベースのシェルを起動できます。このシェルからsshコマンドを使ってSSH接続を行います。ただしGUIは使えません。

その場で起動できるので便利ですが、RDPを使って接続することはできません。また、Windowsに接続したい場合は、Windows仮想マシン上でSSHサーバー(デーモン)を起動する必要があります。そのためには初期化時にPowerShellのコマンドを送る必要があり、少々面倒な作業が必要になります。

3. 要塞ホスト

最近正式公開(GA: Generally Available)になった方法で、単に「要塞」と呼ぶようです。英語ではBastion(バスチョン)です。

大ざっぱな手順は以下の通りです。

1. 仮想マシンを作成
2. 仮想マシンを配置した仮想ネットワークに、AzureBastionSubnetという名称のサブネットを作成(現在は、事前に作成しなくてもBastion作成時に追加可能)
3. 要塞(bastion)を、AzureBastionSubnetサブネットを指定して新規作成
   
4. 仮想マシンの[接続]から[要塞]を指定
   要塞ができていない場合は、その場で作成することもできます。
   ここでサブネットの作成もできるようになりました。サブネット名が指定されるのでクリップボードにコピーして貼り付けてください。
   
   要塞の作成には数分かかります。
5. 要塞ができている場合、[接続]からWebブラウザのウィンドウ内でRDPまたはSSH接続が可能になります。
   
   

要塞の料金は、東日本の場合で1時間あたり21.28円プラス帯域使用料です。D2v2仮想マシンより少し安い程度ですね。

ただし「割り当て解除」のような、課金を中断する仕組みはないようです。サブネット名が固定されているなど、どちらかというとVPNゲートウェイに似ています。

おまけ: バスチーユ

ちなみに、bastion(要塞)に対応するフランス語がbastille(バスチーユ)です。

フランス革命勃発の舞台となったバスチーユ牢獄はもともと要塞だったのでそのまま「バスチーユ」と呼ばれるようになったそうです。