Azure データセンターから発生するお客様の VM に対して行われる通信について

Azure をご利用の皆様 6月中旬頃より、お客様の VM に対して、Azure であると見られる IP アドレス (※) から疎通がされるようになったというご報告をいただいております。 弊 Azure サポート チームにて本現象について調査したところ、Azure で開発中の新機能の動作によるものと判明しました。 この場を借りまして、この動作にてご不安なお気持ちとさせてしまいましたユーザー様には、深くお詫びを申し上げます。 (※) Azure データセンターで使われている IP アドレス帯は以下にて公開しています。 Microsoft Azure Datacenter IP Ranges https://www.microsoft.com/en-us/download/details.aspx?id=41653   – 機能の説明 本機能は、Azure の仮想マシンに設定されているエンドポイントの応答性を確認する、生存監視のために行われています。 将来的に、この情報は Azure 管理者様の手で確認が行えるようになり、これまでのような「VM が起動していたか否か」だけでなく、「VM との疎通を行うポートが実際に応答するか否か」という、一歩踏み込んだ形での生存確認が行えるものとなる見込みです。 この機能の実現のため、Azure データセンターの以下の IP アドレスから、オープンしているポートに対してパケットが到達します。 <送信元となる IP アドレスについて> 13.64.128.11 13.64.168.11 13.64.88.11 40.86.112.11 40.86.40.11 13.67.160.11 13.95.160.11 13.78.64.11 40.69.0.11 13.75.0.11 ※…

4

ARM 環境から ARM 環境への仮想マシンの移行方法

こんにちは。Azureサポートチームの小久保です。 本日は、別のサブスクリプションの環境に仮想ネットワーク、仮想マシンを移行する方法をご紹介します。 今回、ご紹介する環境は、Azure リソース マネージャー (以下、ARM) 環境から ARM 環境への移行となっております。 ご参考 Azure サービス マネージャー (以下、ASM) 環境から ASM 環境への移行の場合は以下をご確認ください。 クラシック環境からクラシック環境への仮想マシンの移行方法 http://blogs.technet.microsoft.com/jpaztech/2016/07/11/migration_classic_to_classic/   ASM 環境から ARM 環境への移行の場合は以下をご確認ください。 クラシック環境から ARM 環境への仮想マシンの移行方法 http://blogs.technet.microsoft.com/jpaztech/2016/07/11/migration_classic_to_arm/   利用する場面 開発用のサブスクリプションで作成した仮想マシンを本番環境用のサブスクリプションへ移行したい。 VHD の保存されているストレージ アカウントを移動したい。 ストレージ アカウントをプレミアム ストレージに変更したい。   前提条件 移行を前提としているため、一般化していない (特殊化状態の) 仮想マシンのシナリオをご紹介します。   構成と作業の流れ 仮想マシンの停止 移行先のサブスクリプションに、ストレージアカウントの作成 移行先のサブスクリプションに、仮想ネットワークの作成 AzCopyにて、OS ディスク、データディスクの VHDファイルの移行 ※データディスクが存在しない場合は、OS ディスクのみ移行します。 移行した OS ディスクより、仮想マシンの作成…

3

Windows の IaaS VM のセキュリティ対策 – Sysmon ツールのご紹介

こんにちは、Azure サポート部の石井です。   Azure 上の Windows Server の VM にパブリック IPアドレスを割り振っている場合のセキュリティについて、ご紹介します。 セキュリティでは「多層防御」というキーワードがあるとおり、ひとつだけで完璧なわけではなく、すべてを語ることは難しいですが、 今回は、入れておくと侵入者の痕跡を残すのに便利な “Sysmon” ツールのご紹介となります。 また、一般的なセキュリティに関しての Tips も最後に記載しますので、お役立てください。   [Windows 側で痕跡を残す ”Sysmon” ツールのご紹介] 弊社ツール作成部門である Sysinternals より作成された、公式な無償ツールである、Sysmon というツールをご紹介いたします。 Sysmon ツールをインストールしていただく事で、ログイン・ログオフだけでなく、ファイルの作成・変更、プログラムの起動、ならびにレジストリ変更といった動作がイベント ログに記録されるようになります。また、C: ドライブのシステム ファイルの記録・書き換えも記録されるため、バックドアを仕込むような不正アクセスや、操作の追跡のために役立ちます。   これによって、「誰が何をしたのか」が記録されます。 ウイルスのように、悪意のあるプログラムは、えてして痕跡を消すため、Windows OS 標準のセキュリティのイベント ログについては、特に消去するようなことが想定されます。 本ツールは、イベント ログの独自の箇所にログを記録しますので、その点で削除を逃れられる可能性があり、セキュリティの問題の調査に役立ちます。   Sysmon https://technet.microsoft.com/en-us/sysinternals/dn798348   <負荷などの考慮点について> 原則として、システムに影響しない程度の IO 負荷となります。多数のユーザーが同時に使うような高負荷環境ですと影響が出る可能性があるため、様子を見ながらご利用ください。   <Sysmon のセットアップ手順> 1.上記サイトより、 Sysmon をダウンロードして、 Sysmon.zip…

2

Azure PowerShell スクリプトにて認証画面を出さずログインし、実行したい

※ 2016/11/16 追記 当初の手順にて、Azure Active Directory (AAD) に空のアプリケーションを作る、サービス プリンシパル権限を用いる方法をご紹介しておりましたが、もっとシンプルな方法として、AAD ユーザーを使った自動認証を行うことが可能です。 管理したい Azure サブスクリプションの AAD の既定のディレクトリにユーザーを追加し、サブスクリプションの共同管理者に設定します。 Azure PowerShell スクリプトの導入部分にて、作成した AAD ユーザーの資格情報を記載し、以下 3 行のコマンドを実行します。  $secpasswd = ConvertTo-SecureString “%Key%” -AsPlainText -Force $mycreds = New-Object System.Management.Automation.PSCredential (“%ClientID%”, $secpasswd) Login-AzureRmAccount -Tenant %テナントID% -Credential $mycreds ※%Key% の部分に AAD ユーザーのパスワードを設定します。 ※%ClientID% の部分に、AAD ユーザーのアカウント (UserName@AADName.onmicrosoft.con) を記載します 手順はこれだけです。 上記 3 行のコマンド実行後は、ログイン完了していますので、任意の Azure PowerShell コマンドにてリソースの管理が行えます。 スクリプトにする場合には、AAD…

2

Azure Storage の新しいディスク サイズ – 4 TB までの VHD サイズがサポートされるようになりました

こんにちは、Azure サポート部の石井です。   これまで 1 TB (1023 GB) が上限だった VHD サイズが、4 TB (4095 GB) 上限までサポートされるようになりました。   Announcing large disk sizes of up to 4 TB for Azure IaaS VMs https://azure.microsoft.com/en-us/blog/azure-introduces-new-disks-sizes-up-to-4tb/   本日 6/16 時点では、まだポータル UI からの作成や拡張ができないので、スクリプトで行っていただく必要があります。 来週から月末にかけて、ポータルからも実行ができるように開発が進められています。 <2017/7/11更新> ポータルから 1023 GB 以上への VHD のサイズ変更が行えるようになりました。VM は停止状態で行ってください。   チェックすべき点について、おまとめしました。   FAQ ドキュメントのまとめ   まずはじめに、以下の FAQ ドキュメントの留意点についておまとめしておきます。  …

2

Azure 仮想マシンの時刻同期の仕組み

こんにちは、Azure プラットフォーム サポート部の石井です。   IaaS で VM を構築いただく場合に、Windows と Linux OS によって、時刻同期の仕組みが異なります。 Azure では、仮想化基盤に Hyper-V を採用しています。基本的には、Hyper-V 環境と同じ動きとなりますので Windows と Linux それぞれ、特徴と考慮点をご説明します。

2

SSL 証明書の更新に関するアナウンス

本日、Azure サービスの証明書更新に関する通知がお客様に送信されました。 この通知は日本のお客様に対しても英語で送信されてしまい、すぐに対処が必要なのか、なにかリスクが発生しているのかなどがわかりにくく、ご心配をおかけしてしまっているのではないかと思います。 今回の通知について、米国本社の下記ブログ記事をベースに、日本語版のご案内を以下に用意いたしました。以下の内容にて、ご覧いただけますと幸いです。 参考: Azure TLS Certificates changes

1

ロールベースアクセス制御 (RBAC) 設定時の注意事項

全国のMicrosoft Azureユーザのみなさま、こんにちは! Azure サポートチームの米田です。   既にご存知の方も多いかと存じますが、Microsoft Azureではロールベースのアクセス制御 (RBAC) という機能を使うことで、Azure上のリソースに対する権限を管理することができます。   Azure サブスクリプション リソースへのアクセスをロールの割り当てによって管理する https://azure.microsoft.com/ja-jp/documentation/articles/role-based-access-control-configure/   先日、AzureサブスクリプションにRBAC でアクセス権を追加する場合の動作に変更があり、アクセス権を追加したMicrosoftアカウントに招待メールが送信されるようになりました。この招待メール内のリンクをクリックすることでRBAC設定が有効化されます。もし、RBACの設定したにも関わらず設定が有効化されない、見れるはずのリソースが見れないといった状況になりましたら、まずは下記のような招待メールが通知されていないかご確認をください。   1. Azure ポータル(https://portal.azure.com)からRBAC設定をアカウントに追加します     2. この後、次のような招待メールが送信されています。 <<<招待メール>>> ■送信者 : nvites@microsoft.com ■メールタイトル <Directory 名> has invited you to use their app ■メール本文 : Hello <アカウント名>, <Directory 名> has invited you to access their application. Use this link…

1

特殊化 VHD ファイルから ARM 環境へ仮想マシンをデプロイする Azure PowerShell

こんにちは。Azure サポートチームの小久保です。 特殊化 VHD ファイルから ARM 環境へ仮想マシンをデプロイする Azure PowerShell のサンプルスクリプトをご紹介します。 なお、このサンプル スクリプトは管理ディスクを使用していない環境を想定しています。管理ディスク環境への変更は、このスクリプトで VM を作った後、別途 Azure VM を Azure Managed Disks に移行する をご参照の上、変換していただくと簡単です。 「注意事項」をご確認の上、ご利用をお願いいたします。   注意事項 Azure PowerShell のバージョンは 3.3.0 と 4.0.1 にて検証を行っておりますが、バージョンによってパラメータが異なる可能性があります。 リソース グループ / 仮想ネットワーク / サブネット / 可用性セットは事前に作成されていることを前提としています。 本スクリプトで作成されないリソースは、必要に応じて Azure ポータルなどを利用し、別途作成をお願いいたします。 このスクリプトで作成するネットワーク セキュリティ グループは、仮想マシンのネットワーク インターフェース (NIC) に定義されますので、別途、仮想ネットワークのサブネットに定義する場合には、ポータル UI などから設定してください。(NIC の NSG と仮想ネットワーク サブネットの…

1