Mais conteúdo relacionado
Semelhante a Global Azure Bootcamp 2019@Tokyo資料【ExpressRoute構築でハメられた】 (20)
Global Azure Bootcamp 2019@Tokyo資料【ExpressRoute構築でハメられた】
- 3. 作成者自己紹介
Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved. 3
• 自己紹介
– 岩井 大祐(いわい だいすけ)/ Twitter:@iwai_d
– パーソルテクノロジースタッフ(株)でMicrosoft系プロダクトを
メインに2017年からAzureに関わるおじさんインフラ技術者
– 2018年9月のJAZUG 8周年イベントで(社会人人生初の)登壇
– 会社のブログにて【エンジニアの失敗学】ネタをメインに執筆……開始
【https://persol-tech-s.co.jp/corporate/security/writer/iwai_daisuke/】
• 好きなもの
– ウッドストック
(小さきことは美しい……)
- 4. 簡単な会社紹介
Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved. 4
• パーソルテクノロジースタッフ(株)
– 旧インテリジェンスのエンジニア派遣事業を
旧テンプスタッフ・テクノロジーに統合し、2017年1月に発足
機械設計系チームとIT系チームがあります
※自動車関連や航空機関連、アナログ回路などモノ作りのプロ集団的側面もあります。
– IT系チームには国内で保有者が400人そこそこと言われている
VMware VCAPの有資格者も社員として在籍
– 自社内製でセキュリティサービスの提供もしています
ご縁がありましたらよろしくお願いいたします m(_ _)m
- 10. その前兆は突如やってきた
• 構築自体は一見問題なく進んでいた
– 第1の異変
IaaS VM構築後しばらくしてログオン時に出てきたメッセージ
(WindowsServer2016、マーケットプレイス調達)
……ん?まぁ何かあってKMSサーバと通信できなかったんだな。
とりあえず後で対応しようと思い、一抹の不安を感じつつこの場は
軽く流すことにした
Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved. 10
- 12. その前兆は突如やってきた(3)
• ExpressRouteを共有していた別案件でも……
– AzureVM Backupができないという話を聞いてしまった
• ここまでの状況をサポートに伝えて聞くことに
– 状況を聞いたサポート担当者からの回答
「VMの割り当て解除を行った状態で
AzureVM Backupを取ってみてください」
え?そんな事で変わるのと半信半疑で実行
→成功!!
Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved. 12
賢明な方はお気づきであろうが、割り当て解除状態でのバックアップを試してからサポートに投げていれば……
※当時は構築開始が遅れた上に納期が迫っていて結構テンパっていたという言い訳を……(反省) orz
(Azureどころかパブリッククラウドでの構築が初めてだったのでオンプレ脳が先行していたのも)
- 14. 強制トンネリング?何それおいしいの?
• 神様(=インターネット)教えて!!
– 【Made in container】を発見。ありがたやありがたや
【 https://www.syuheiuda.com/?p=3685 】
(この時は全く気付いていなかったのだが、Azureサポートの中の人でかつ
この件を問い合わせてた際の担当サポートエンジニアだった(記憶が正しければ))
Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved. 14
- 16. もうここまで来たら開けるしかない
• SQL Data Warehouseを試そう
– 簡単な動作確認方法を調べた上で実行
→通信が成立しない!!
Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved. 16
ミミックがあらわれた!
……やっぱそうきましたか……
※当時、サービスエンドポイントは存在していない
- 18. もはや後には引けぬ(苦笑)
• とりあえず動くようにしよう
1. ユーザー定義ルートを設定してKMSとAzure Backupを
稼働状態に持ち込む(ついでに更新手順書も作る羽目に……)
2. SQL Data Warehouseはサポートで教えてもらった
Azure SQL Database接続ポリシーの変更で対応する
【 https://docs.microsoft.com/ja-jp/azure/sql-database/sql-database-connectivity-
architecture 】
Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved. 18
- 21. Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved.
原因と対策……もとい
ExpressRoute構築の
注意点は?
- 23. 今だったらどう考える?
• 根本的要件の見直しは必要
– Azure環境をInternetから完全分離して運用することは非現実的
• UDRを使って運用レベルでどうにかすることはできたが、
あれを継続して運用していくのは絶対無理!!
……よ~く話を聞いてみれば……
– AzureVMからインターネットアクセスできるのは統制上まずい
• その程度ならばAzure Firewallを構成して封じるのが楽だし安価
• さらに、JunpBox用AzureVM作って、RDPなりをそこからのみ
許可するようにしてしまえばアクセス制限もログ取得も楽
Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved. 23
- 25. 良い資料があります
• Tech Summit 2018の資料ですが、一読をお勧め
– 私自身はTech Summit 2日目で真っ先にこのセッションに
行きました(くらう道の中の人とかスゴい方々がゾロゾロいた覚えが……)
Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved. 25
【https://www.event-
marketing.jp/events/mstechsummit/2018/dow
nload/freesess.aspx】
から【ExpressRoute】で検索!!
- 27. Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved.
謝辞
~ いつもお世話になってる
あんなサイトやこんなサイト ~
- 28. 今回もお世話になっております
• くらう道さん【 https://www.cloudou.net/ 】
– Azureの技術要素などなど困ったらまずここ。もはや聖典?
• ブチザッキさん【 https://buchizo.wordpress.com/ 】
– Azureの更新確認などなど定期チェックは欠かせず
• Made in container【 http://www.syuheiuda.com/ 】
– おなじみコンテナ神宇田さんのブログ。丁寧な内容がありがたいです
• JAZUG【 https://www.facebook.com/groups/jazug/ 】
– 2018年3月から本格的にお世話になっております
その他、Qiitaやブログ等で経験を書かれている多くの皆様のおかげです
Copyright © PERSOL HOLDINGS CO., LTD. All Rights Reserved. 28