SE の雑記

Azure のリソース名のルールとして、次のようなドキュメントが公開されています。

• Azure リソースの省略形の例
• 名前付け規則を定義する

Azure Portal から VM を展開した場合、VM のリソース名が展開後の VM のホスト名として設定されますが、Windows ではコンピューター名の上限が 15 文字となっています。

• コンピューター名の要件はありますか。

はい。 コンピューター名は最大 15 文字の長さまで指定できます。 リソースの名前付けの詳細については、名前付け規則と制約事項に関する記事を参照してください。

• Microsoft.Compute

1-15 (Windows)
1-64 (Linux)
下記の「注意」を参照。

Azure 仮想マシンには、リソース名とホスト名の 2 つの異なる名前があります。 ポータルで仮想マシンを作成すると、両方の名前に同じ値が使用されます。 前の表に記載されている制限事項は、ホスト名に適用されます。 実際のリソース名の最大文字数は 64 文字です。

Windows の場合、15 文字の制限があるため、15 文字を超えるリソース名を設定した場合は 15 文字に省略されてホスト名が設定されます。

名前付け規則を定義する の案として次のような形式が提示されていますが、VM のリソース名でこのルールを適用した場合、15 文字の制限に達する可能性があるのではないでしょうか。

展開後に、ホスト名を表示および変更する の方法で変更することもできるのですが、本投稿では展開時に任意のホスト名を設定した状態で展開をしてみます。

Read the rest of this entry »

事象としては、az bicep install error #25471 となりますが、Bicep を使用するために「az bicep install」を実行すると、ネットワーク環境によっては次のようなエラーが発生することがあります。

Error while attempting to retrieve the latest Bicep version: HTTPSConnectionPool(host=’aka.ms’, port=443): Max retries exceeded with url: /BicepLatestRelease (Caused by SSLError(SSLCertVerificationError(1, ‘[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate in certificate chain (_ssl.c:1006)’))).

Bicep のインストールを実施する際には、最新の情報を「https://aka.ms/BicepLatestRelease」から取得しているのですが、プロキシなどが入っている環境ではこの情報を取得する際にエラーが発生するようです。

Read the rest of this entry »

Azure のハブアンドスポーク構成のネットワークの基本的な構成については次のドキュメントで解説が行われています。

• Hub-spoke network topology in Azure

ハブアンドスポーク構成の場合、ハブ間のネットワークは非推移的 (non-transitive) のため、ハブ間の直接通信はできません。

ハブ間で通信を行う場合、Azure Firewall / Network Virtual Appliance (NVA) / Virtual Network Manager  をハブサイトに配置して、ネットワーク間の接続を行うという構成をとることがあるかと思います。

運用に関連するネットワークとして利用するために、高品質なネットワーク構成 / 管理 / 監視を実現するためには、これらの機能 / リソースを使用したほうが良いかと思います。

Azure Firewall をハブサイトに配置しなくても、Virtual Network Manager を使用することで、ハブ間の接続を容易に設定 / 管理できる状態にしておくことができますが、月額 1 万円程度はかかりますので、個人的な検証目的で常時設定を行っておくと、発生するコストも無視ができなくなってきます。

検証目的でシンプルなハブアンドスポーク構成でスポーク間の接続ができればよいというのであれば、Use Azure VPN Gateway To Route Traffic Between Spoke Networks に記載されているような設定を行うことで、ハブサイトとスポークサイトを VNet ピアリングとルートテーブル (UDR: ユーザー定義ルート) の設定でスポーク間の通信を実現することもできます。

Read the rest of this entry »

Azure Disk Encrption – Key vault secret wrap with key encryption key failed に記載されている内容となります。

OS のイメージとして、Windows Server 2022 (Azure Edition 含む) を使用している環境に対して、Azure Disk Encryption を有効化すると、暗号化に使用されている拡張機能 (AzureDiskEncryption) のインストールで、次のようなエラーが発生し拡張機能のインストールが失敗することがあります。

{"customHtml":{"htmlTemplate":"<code><div><div>拡張機能 ‘AzureDiskEncryption’ (発行元 ‘Microsoft.Azure.Security’ および種類 ‘AzureDiskEncryption’) の処理中に VM から失敗が報告されました。エラー メッセージ: ‘[2.4.0.21] Failed to enable Azure Disk Encryption on the VM with the following exception details:\n Microsoft.Cis.Security.BitLocker.BitlockerIaasVMExtension.BitlockerFailedToSendEncryptionSettingsException: The fault reason was: ‘  0xc142506f  RUNTIME_E_KEYVAULT_SECRET_WRAP_WITH_KEK_FAILED  Key vault secret wrap with key encryption key failed. ‘.\r\n   at Microsoft.Cis.Security.BitLocker.BitlockerIaasVMExtension.WireProtocol.WireProtocolMessage.SendEncryptionSettingsToHost() in C:\\__w\\1\\s\\src\\BitLocker\\BitlockerIaasVMExtension\\WireProtocol\\WireProtocolMessage.cs:line 210\r\n   at Microsoft.Cis.Security.BitLocker.BitlockerIaasVMExtension.BitlockerExtension.SendEncryptionSettingsToHostV3(VmEncryptionSettings vmSettings) in C:\\__w\\1\\s\\src\\BitLocker\\BitlockerIaasVMExtension\\BitlockerExtension.cs:line 1092’。トラブルシューティングの詳細については、<a target=\"_blank\" class=\"msportalfx-ext-link\" href=\"https://aka.ms/VMExtensionADEWindowsTroubleshoot\">https://aka.ms/VMExtensionADEWindowsTroubleshoot</a> を参照してください。 </div></div></code>","viewModel":null}}

Read the rest of this entry »

Azure で IaaS を構築する際に、基本構成として抑えておきたい内容が記載されているドキュメントをまとめてみました。

Read the rest of this entry »

Azure の Application Gateway / Front Door で使用できる Web Application Firewall (WAF) で使用できる Core Rule Set (CRS / マネージドルール) について確認する必要があり、調査する際に参考にした情報をまとめておきたいと思います。

基本的な内容については Azure テクニカルサポートチームから発信されている Application Gateway で利用できる WAF について を確認するとよいかと思います。

Read the rest of this entry »

先人の知恵を借りて自宅に Azure の S2S VPN の検証環境を固定 IPで作成してみる で投稿しましたが、検証目的で Azure と VPN 接続をできるように TP-Link の ER605 を持っています。(過去からの TP-Link の機器についての批評はいろいろありますが、ファームを最新化して、常時起動の機器としてではなく、ネットワーク系の検証を行う場合だけ取り出して使用しています)

これを使用して Azure にハブネットワークを VNET ベースで作成し、Azure / オンプレミスをスポークとして接続した際に調べた内容をメモとして。

Read the rest of this entry »

タイトルの通りですが、SQL Server を Azure VM で動作させる場合のセキュリティ保護についてまとめておきたいと思い投稿を書きました。

自分が確認しておきたかった内容をまとめているものとなり、操作をしていて標準で気づくものは省いていますので、OS 標準の機能や、SQL Server IaaS Agent 拡張機能については記載していません。

Read the rest of this entry »

先日 Azure Database Migration Service を使用した SQL Server から SQL Server on Azure VM への移行で今後期待したい改善 として、Azure DMS についての投稿を書きました。

2023/1/28 時点では、DMS のデフォルトの動作では、移行先のデータベースとして可用性グループに参加させるデータベースを想定して作業を実施した場合、いくつかのポイントがあります。

本投稿では、DMS を使用して移行先のデータベースを可用性グループにする場合のポイントをまとめておきたいと思います。

Read the rest of this entry »

Optional settings for database migration for Always On availability group でフィードバックをしてみたのですが、Azure Database Migration Service (DMS) を使用して、SQL Server から SQL Server on Azure VM に移行をする場合に、今後改善してもらえるとよい点について情報を残しておきたいと思います。

Read the rest of this entry »