はじめに

今回は、Azure の ARM テンプレートで DSC を使おうとしたらだいぶハマった箇所があったので備忘です。
検索しても全然情報を見つけられず、エラー内容から原因を推測することもできませんでした。。。

目次

• はじめに
• 目次
• テンプレートと DSC について
  • ARM テンプレート
  • DSC
• ハマったことと解決法
  • やりたかったこと
  • ハマったこと
  • 解決方法
• 終わりに

テンプレートと DSC について

本題に入る前に、JSON テンプレートと DSC についてものすごーーく軽く紹介

ARM テンプレート

ARM テンプレートとは、デプロイしたい Azure のリソース、その設定値などを JSON 形式で書いておく設計図みたいなもの。

それをデプロイするとテンプレート通りのリソースをデプロイしてくれる。
同じ環境を繰り返し作りたいときに便利です。

ARM テンプレートの参考 Docs はこちら。

docs.microsoft.com

DSC

DSC とは PowerShell Desired State Configuration のことを指しており、一言でいえば構成管理ツールです。

ps1 ファイルに"こうあってほしい状態(設定)"を記述しておき、それを実行することで書かれている通りの状態に構成してくれます。
例えば OS の言語を変更したり、追加されたディスクにドライブレターを設定したり、などなど構成の自動化ができるものです。

DSC の参考 Docs はこちら。

docs.microsoft.com

ハマったことと解決法

やりたかったこと

今回は前述の ARM テンプレートと DSC を組み合わせて、 テンプレートのデプロイ時に Azure VM に DSC Extention をインストールし、 DSC 用 PowerShell スクリプトを実行して OS 設定を自動化させるつもりでした。

簡単なイメージは以下です
リソースグループ内に sysprep 済みのイメージと、DSC のスクリプトとモジュールを配置するためのストレージを用意しておいて、ARM テンプレートで VM デプロイ、 DSC 拡張機能でスクリプト & モジュールを持ってきて OS 設定、という流れです。
※スクリプト & モジュールは .zip 化して Blob に配置

テンプレートの DSC Extention 部分はこんな感じ。
.zip ファイルを取ってきて展開して、setupWIndows.ps1 内の setupWIndows 関数をキックします。
そうすると DSC で機能のインストールやら OS の設定やらがいい感じに動いてくれる、はずでした。

ハマったこと

ARM テンプレートでのリソースデプロイが進んでいき、VM のデプロイあたりでエラーが発生します。 エラーは以下の内容です。

Azure ポータル側とスクリプト側で貼りましたが、出ているエラーとしては、「"C:\Packages～\setupWindows.ps1" なんてコマンドはないから実行できないよ」という内容です。
RDP して確認すると示されたパスに setupWindows.ps1 が置かれておらず、要はスクリプト ファイルがないから実行できないということでした。

しかし、スクリプトは間違いなく zip に含めているので、なぜこのエラーが出るのか全く分からず、いろいろ試してみても結果は同じで困っていました。

解決方法

原因としては、スクリプトの中身ではなく "スクリプトとモジュールの zip 圧縮の仕方" でした。

まず、Blob に配置していたファイル群のフォルダ構造は以下のとおりです。

これを圧縮するとき、最上位のフォルダ "setupWindows" を右クリックから zip 化していたのですが、これが原因でした。
この方法で zip 化し配置すると、前述のエラーが発生します。

解決方法は、"setupWindows 配下の 4 アイテムを選択して zip 化する" です。
つまりは、こういうことです。

配置したいスクリプトとモジュールをフォルダでまとめて zip 化するのではなく、 スクリプトとモジュール個々を選択し、それを zip 化、完成した zip を "setupWindows.zip" にリネームしたものを Blob に配置します。

これで前述のエラーは発生しなくなります。

以上が解決方法です。

終わりに

これにハマっていた時は本当にわからず、他に同じようなところで詰まっている方の参考になるかと思い、備忘も兼ねて記事にしました。
(自分の探し方が悪いのでなければ)いくら調べてもこの zip 化の仕方は見つけられなかったですし、エラー内容からこれには辿りつけない。。。

ということで、前回からだいぶ空いてしまいましたが DSC でハマった話でした。 最近はなかなか書く時間を取れていないのですが、少しずつ投稿できればと思います。

はじめに

今回はAzureのShared Image Galleryを利用して、あるAzure ADテナントで作成・登録したイメージ(スナップショット)を使って、別のAzure ADテナントにVMをデプロイしてみたので、方法を紹介します。

目次

• はじめに
• 目次
• Shared Image Gallery概要
• 構成イメージ
• 環境構築
  • VMイメージ(スナップショット)作成
  • Shared Image Gallery準備
  • 招待&権限割り当て
• スクリプト準備
• VMデプロイ
• おわりに

Shared Image Gallery概要

Shared Image Galleryは、2019年5月に一般公開されたサービスです。

azure.microsoft.com

共通の設定を導入したイメージを作成および登録することで、別サブスクリプションや、別のAzure ADテナント内のユーザーがそのイメージを利用してVMをデプロイできます。
加えて、イメージ更新時のバージョン管理までできちゃいます。

一般化された(sysprep済み)イメージ、特殊化された(sysprepなし)イメージのどちらにも対応していますが、投稿時点(2019年12月)では、特殊化されたイメージはプレビュー機能です。

今回はプレビューである、特殊化されたイメージ(OSディスクのスナップショット)を別テナントでデプロイします。
プレビューの制限として、特殊化されたイメージのデプロイはPowerShellかCLIのみ可能(ポータル不可)のため、PowerShellスクリプトでデプロイします。

参考は以下です。

docs.microsoft.com

docs.microsoft.com

構成イメージ

イメージは以下です。
以降では、ギャラリー側をテナント1(サブスクリプション1)、デプロイ側をテナント2(サブスクリプション2)として表記します。

1. サブスクリプション1で、OSディスクのスナップショットを作成します
2. サブスクリプション1で、イメージ(スナップショット)をShared Image Galleryに登録します。
   ※正確にはShared Image Gallery内にイメージ定義を作成、イメージバージョンとして登録ですが、図中では省略します。
3. テナント2のユーザーをテナント1に招待します。
4. 招待したユーザーに対して、ギャラリーの読み取り権限を付与します。
5. スクリプトを用いて、サブスクリプション1のイメージを基に、サブスクリプション2にVMをデプロイします。

sysprep無しのイメージなので、VMがテナントを移動したような動きになります。早速やっていきます。

環境構築

VMイメージ(スナップショット)作成

MSドキュメント内の言葉を借りて「特殊化されたイメージ」記載していますが、つまりはOSディスクのスナップショットを指しています。

VMを停止して、OSディスクのスナップショットを作成します。

データディスクを利用している場合は、併せてスナップショットを取得しておきます。

Shared Image Gallery準備

取得したスナップショットを登録するため、Shared Image Gallery(共有イメージギャラリー)を作成します。

ギャラリーを作成したら、そこに「イメージ定義」を追加します。

項目やタブがたくさんありますが、単に使うだけなら[基本]タブだけ埋めればOKです。
今回は特殊化されたイメージのため[特殊化]を指定します。

最後に、「バージョンの追加」を行います。

ここで、[OSディスクのスナップショット]として最初に作成したスナップショットを選択します。
データディスクがある場合には、LUNと併せて[データディスクのスナップショット]に指定します。

10分ほど待ちイメージバージョンが作成されたら、Shared Image Galleryの準備は完了です。

招待&権限割り当て

イメージを使わせたい別テナントのユーザーに対して、作成したギャラリーの読み取り権限(閲覧者ロール)を付与します。

別テナントのユーザーに権限を付与するには、以下を参考に対象ユーザーを招待しておきます。

docs.microsoft.com

招待後、ギャラリーの[アクセス制御]-[追加]-[ロールの割り当ての追加]を開きます。

[役割]は[閲覧者]を指定し、[選択]に外部テナントのユーザー名を入力します。

表示されたユーザーをクリックし保存します。
[ロールの割り当て]タブを見たときに、閲覧者として追加されていれば準備はOKです。

スクリプト準備

特殊化イメージの利用はプレビューでありPowerShellまたはCLIでのデプロイのみのため、以下のPowerShellスクリプトを用意しました。

$Subscription = "サブスクリプションID"
$ResourceGroup = "リソースグループ名"
$Location = "リージョン名"
$VNetName = "VNet名"
$VmName = "VM名"
$NicName = $VmName + "-NIC"
$GIpName = $VmName + "-IP"
$Image = "イメージバージョンのリソースID"

#サブスクリプションにログイン
Connect-AzAccount
Select-AzSubscription -Subscription $Subscription

# パブリックIP作成
$GIp = New-AzPublicIpAddress -ResourceGroupName $ResourceGroup -AllocationMethod Dynamic -Location $Location -Name $GIpName

# VNet取得
$VNet = Get-AzVirtualNetwork -ResourceGroupName $ResourceGroup -Name $VNetName

# 指定サブネットのNIC作成
$Nic = New-AzNetworkInterface -Name $NicName -ResourceGroupName $ResourceGroup -Location $Location `
  -SubnetId $VNet.Subnets[0].Id -PublicIpAddressId $GIP.Id

# ギャラリーイメージを基にVMデプロイ用Config作成
$VmConfig = New-AzVMConfig -VMName $VmName -VMSize Standard_A1_v2 | `
  Set-AzVMSourceImage -Id $Image | `
  Add-AzVMNetworkInterface -Id $Nic.Id

# VMデプロイ
New-AzVM -ResourceGroupName $ResourceGroup -Location $Location -VM $VmConfig -DisableBginfoExtension

スクリプトは以下のことを行います。

1. 指定サブスクリプションにログイン
2. パブリックIP作成
3. 指定VNetの先頭サブネットに接続するネットワークインターフェース作成
4. 別テナントのギャラリーイメージを基に、VMデプロイ用のConfig作成(サイズはA1v2)
5. Configを基にVMデプロイ

上部の変数に任意の値を指定すればOKですが、$Imageはサブスクリプション1側で取得する値、それ以外はサブスクリプション2側の値になります。

また、$Imageには「イメージバージョンの」リソースIDを指定してください。[プロパティ]からコピーできます。

VMデプロイ

準備ができたらスクリプトを実行し、ギャラリーの読み取り権限を付与したユーザーでログインすれば、テナント1のイメージを利用したVMがデプロイされます。

スクリプト実行結果

デプロイされたVMは、ソースが「共有イメージ」になります。

以上で、Shared Image Galleryを用いて、異なるAzure ADテナントのイメージからVMをデプロイすることができました。

おわりに

一般リリースされれば特殊化イメージでもポータルでデプロイ可能になるとは思いますが、VMをテナント間移動させる方法の1つとして試したため、せっかくならと記事にしました。

Azureでテナントを超えるってなかなか面倒なのですが、そもそも共有する用のサービスなのでやりやすかったです。

ギャラリーを使えば別サブスクリプションへのカスタムイメージの持ち込みも可能であるため、日本語化&社内で定められた設定実施済みのテンプレートを様々なサブスクリプションで利用することなんかもでき、いろいろ使い道のあるサービスではないかと思います。

ユーザーにあまり権限をつけたくない、という方でも安心な読み取り権限だけOKなのもよいです。

気が向いたら一般化イメージでも試してみたいと思います。

はじめに

今回はAzure ADの話です。

先日、Azure ADを新規で作成する機会がありましたが、その際にMFA(多要素認証)を強制されました。

備忘も兼ねて原因と解除方法を紹介します。

目次

• はじめに
• 目次
• MFAの強制
  • 起きたこと
  • 原因
  • 解除方法
• おわりに

MFAの強制

起きたこと

先日、検証環境を用意するため、クレジットカードを用いてサブスクリプションを作成しました。

その後、新規にAzure ADを作成し、既定のディレクトリから新規Azure ADへディレクトリ変更を行いました。

新規Azure ADには社用組織アカウントを招待しており、それでログインしサブスクリプションを使おうとしたところ、MFAの設定画面が表示されました。
社用アカウントは元々MFA必須のため、このときはそれが原因かと思い特に気にしていませんでした。

その後、検証用に新規に作成した組織アカウントすべてでも同様にMFA設定を求められ、さすがに何かしらの力が働いている...と思い調べたところ今回の設定に至りました。

原因

原因はこれ、Azure ADのセキュリティデフォルトでした。

docs.microsoft.com

以下は上記サイトの抜粋です。

Microsoft では、誰もがセキュリティ既定値を利用できるようにしています。 目標は、すべての組織が追加の費用なしで基本レベルのセキュリティを確実に有効にできるようにすることです。 セキュリティ既定値は、Azure portal で有効にします。
---中略---
テナント内のすべてのユーザーは、Azure Multi-Factor Authentication サービスのフォームを使用して多要素認証 (MFA) に登録する必要があります。

ということで、近頃のAzure ADはセキュリティ強化のための設定が既定で有効化されており、それによりMFAがテナント内の全ユーザーに強制されます。

解除方法

今回のような単なる検証用途では都度対応するのが面倒である、そんな方のための解除方法を記します。

Azureポータルにて、[Azure Active Directory]の[プロパティ]を開きます。
一番下にある青文字の[セキュリティ既定値の管理]をクリックします。
セキュリティ既定値の設定が面が開くので[いいえ]を選びます。

理由を問われるため任意に指定し[保存]をクリックします。

通知が表示されれば変更完了です。

これで解除完了です。

おわりに

様々な脅威にあふれる昨今、追加の料金なく、すべてのユーザーに対してMFAを設定しセキュリティを強化できるのは結構すごいことではないでしょうか。

今回は検証環境のため無効としましたが、実環境の場合には、有効としたままの利用も考慮する価値がある設定だと感じます。

ただ、私はこの設定の存在を知らずにいきなりMFAを求められ驚いたので、まずは同じような方に要否関係なく知ってもらえればいいなと思います。

はじめに

今回は、Azureポリシーを用いてリソースの設定値を制限する方法の紹介です。

以前、AutomationにPowerShellスクリプトを登録して特定のNSGルールを検出し、SendGridでメール通知する、という記事を投稿しました。

www.michikusayan.com

これだと結局メールを確認する必要があり面倒で、NSGの作成/変更を検出して何とかしたいなぁと調べたところ、 Azureポリシーで特定の設定値を禁止できそうだったため試してみました。

「ソースIPアドレスがAnyのNSGルールは作成不可」というルールを設定します。

2022/10 追記 : 本記事のポリシーよりももっと柔軟に制御するポリシーを作りました。そっちは以下の記事を参照ください。

www.michikusayan.com

目次

• はじめに
• 目次
• Azureポリシー
  • 概要
  • ポリシーの内容
  • ポリシーの定義、割り当て
  • テスト
  • ポリシー準拠状況の確認
• 料金
• 気になること
• おわりに

Azureポリシー

概要

Azureポリシーは、リソースに対して名前や設定値のルールを与えることができるサービスです。 例として、[ストレージアカウントのSKUはLRSのみとする]、[東日本リージョンのみデプロイ可能]、[タグとして○○を必須とする]などが指定可能であり、それに違反するリソースをデプロイできないよう制御できます。

ポリシーは適用先としてサブスクリプションかリソースグループを選ぶことが可能なため、全体としての制御や、特定のリソースグループ内のみの制御など用途に合わせて利用します。

組み込みで用意されているルールもありますが、今回は該当するものがないため、JSONを記述して作成しています。

以下のサイトを参考にしました。

markgossa.com

ポリシーの内容

今回使用するポリシーはこれです。

{
  "mode": "All",
    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.Network/networkSecurityGroups/securityRules"
          },
          {
            "field": "Microsoft.Network/networkSecurityGroups/securityRules/access",
            "equals": "Allow"
          },
          {
            "field": "Microsoft.Network/networkSecurityGroups/securityRules/direction",
            "equals": "Inbound"
          },
          {
            "field": "Microsoft.Network/networkSecurityGroups/securityRules/sourceAddressPrefix",
             "in": [
                  "*",
                  "Internet"
              ]
          }
        ]
      },
      "then": {
        "effect": "deny"
      }
    },
  "parameters": {
  }
}

policyRuleブロック内に、JSONで条件を記述します。 allOfがand、anyOfがorとしてブロック構造で条件分岐を記述するので、なかなか書きづらいです。

条件と処理部分を日本語で書くと、「"リソースの種類がNSGのルール" かつ "アクセスを許可するルール" かつ "受信ルール" かつ "ソースアドレスが *(Any) または Internetタグ"ならば、拒否する」です。

これで不特定なIPアドレスからの接続を許可するNSGルールを禁止するポリシーとして機能します。

パラメータとして指定したポート番号を使用するルールは拒否、など も可能ですが、ここでは利用していません。

公式ドキュメントにサンプルが紹介されています。

docs.microsoft.com

ポリシーの定義、割り当て

実際にポリシーを作成し適用します。まずは、適用するポリシー(ルール)を定義します。

[定義の場所]ではサブスクリプションを指定します。 その他は任意に指定します。

ポリシー定義に先ほどのJSONを貼り付け、保存します。

[種類]を"カスタム"に変更すると自作ポリシーのみ表示されるため、先ほど作成したポリシーの名前をクリックします。

[割り当て]をクリックします。

[スコープ]や[除外]の欄を用いることで、サブスクリプションの中の特定のリソースグループまたはリソースにのみ ポリシーを適用することや、一部のリソースグループやリソースを適用対象外とすることが可能です。

今回はサブスクリプション全体に適用するのでこのままです。 パラメータがあるポリシーを定義した場合は、パラメータタブにて指定することができます。

修復タブでは、ポリシー用のマネージドIDの作成を指定できます。 ポリシーの作成の仕方によっては、ルールに合致した際に自動設定や自動修正が可能であり、それ用のIDです。 これはそのうち試してみたいですが、今回はそのままにして割り当てを実行。

サービスIDについては以前にちょこっと書いたのでそれ参照。

www.michikusayan.com

これでポリシーの定義と割り当ては完了です。

テスト

早速、適用したポリシーの動作をテストします。

送信元がAnyのNSGルールを追加してみます。

すると。。。

ルールの作成時にエラーが表示され、「ポリシーにより許可されませんでした」とあります。

Azureポリシーを用いて、ルールに合致した設定値を拒否することができました。

もちろん、ソースIPアドレスを指定したルールであれば作成可能です。

ポリシー準拠状況の確認

概要からポリシー名をクリックすると、そのポリシーの適用範囲に存在するリソースについて、 ポリシーの準拠状況や、準拠していないリソース、拒否されたイベント発生数などを確認することができます。

※割り当て後、状況取得にはある程度時間がかかります。

以下は別のポリシーのキャプチャですが、時間が経つとポリシーの準拠していないリソースがどのくらいあるのか表示してくれます。

イベントを発生させたユーザーもわかるので、誰が設定を行おうとしたか、ばっちりわかります。

料金

Azureポリシーの利用料金は発生しないため、好きなだけ使えます。

azure.microsoft.com

気になること

ルールに合致した設定を拒否できるAzureポリシーですが、ちょっと気になる箇所があります。

それは、ユーザーが自分で設定した際は拒否してくれるのですが、システム的に設定される場合は拒否されない、という点です。

例として試したのは、VM作成時の以下の設定です。

このチェック用いると、VMデプロイ時のインターフェースに割り当てられるNSGに対して自動でルールを追加してくれます。 ただし、ソースIPアドレスがAnyなのです。

しかも悲しいことに、今回のポリシーを適用していても、拒否されずにデプロイされてしまいます。

まぁ、以前は警告なくAny許可でしたが、最近は「すべてのIPアドレスからアクセス可能になります」と注意を明記してくれるだけマシになりました。 システム的に防ぎたいところですがダメそうです。。。

このオプションを使ってデプロイすることは防げなさそうなので、自動で修復するようにポリシー側を整備しておくしかないのかなと思います。

おわりに

今回は、Azureポリシーでリソースの設定値を制限する、ということを紹介しました。

組み込みのポリシーで済むようであればそれだけで、費用なく設定が可能です。 もし求めるものがない場合は作成するしかありませんが、記事中で紹介したサンプルページもあるため、それを参考にするのが良いかと思います。

環境全てをポリシーで制御しようと思うとひたすらJSON記述になり大変ですが、これは絶対使わせない！という設定を制御するにはよいかと思います。