Azure

Azure LogAnalyticsワークスペースに様々なログを取り込んでみます。他にも色々とやってますので下記エントリも確認お願いします！ Azure LogAnalyticsワークスペースに様々なログを取り込む(まとめエントリ) | Microsoft Cloud Administrators 今回はNSGのフローログを取り込みます。これはNetwork Watcherという独立したサービスのような仕立てになっています。 設定するには、対象のNSGにて、NSGフローログに移動します。 「NSGフローログの作成」をクリックします。 対象のネットワークセキュリティグループを選択し、保存対象のストレージアカウントを選択します。ストレージアカウントにまずデータが収集され、さらにそれをLog Analyticsワークスペースに送信する形になります。直接Log Analyticsワークスペースに収集するわけではないので注意が必要です。 「Traffic Analyticsを有効にする」にチェックを入れます。これが事実上Log Analyticsワークスペースにデータを送信するという設定です。対象のワークスペースを選択します。 作成します。 作成完了すると、裏側でNetworkWatcherRGというリソースグループにNSGフローログやネットワークウオッチャーが作成されています。(※下記の図は今回作成したもの以外のリソースも存在しています。) ネットワークセキュリティグループの視点でフローログが有効になっているものとなっていないものを一覧で識別することもできます。 ログの参照も含めて、様々なIaaS VMに対してのネットワーク関連の監視は「Network Watcher」というサービスから可能です。このサービスを支える基盤としてLog Analyticsワークスペースが存在しているイメージです。 有効化する対象のリージョンを選択できます。 Network Watcherには色々な機能があります。 NSGフローログを設定してある一覧は「NSGフローログ」から確認可能です。 Network Watcherのトラフィック分析にてログが様々な形に可視化され、見ることが可能です。 いろいろな見方ができて面白いですね。色々とビューはありますが、裏にあるのはすべてAzure Log Analyticsワークスペースに格納されたログです。実際のログはクエリを検索することで確認できます。 このようにログを取り込むところから可視化するところまでが、一つのサービスとなっていて、Azure Log Analyticsワークスペースをほぼ意識しなくてもよいようなものもあり便利ですね。だからこそ混乱する…という面も確かにあるのですが、このように簡単に目的ベースでログを収集してその文脈できちんと可視化してくれるのはとても良いことだと思います。

Azure LogAnalyticsワークスペースに様々なログを取り込んでみます。他にも色々とやってますので下記エントリも確認お願いします！ Azure LogAnalyticsワークスペースに様々なログを取り込む(まとめエントリ) | Microsoft Cloud Administrators 今回は、以前、「カスタムログ」の機能を使って取り込んだApacheのログを解析しやすい形にしたいと思います。カスタムログで取り込む部分に関しては下記のエントリを参照して下さい。 Azure LogAnalyticsワークスペースへのApacheログの取り込み | Microsoft Cloud Administrators さて、取り込んだログを見てみると「RawData」という列にカスタムログの1行がすべて入っている状況です。これをより扱いやすい状態にしたいと思います。 やり方は大きく2種類あって「収集時にデータを解析して新しいプロパティを「カスタムフィールド」を使って定義する」か、「クエリを実行するときにそのクエリ内でデータを複数のフィールドに分けてあげる」かです。今回は後者の方法を試してみます。 LogAnalyticsワークスペースのログの検索、解析にはKustoという言語が使えます。 今回は正規表現でRawDataの中身から値を抽出することにします。すべてのレコードはスペースで区切られており、時間の部分は[]で囲まれていて、リクエストとリファラーとエージェントがダブルクオーテーション("")で囲まれている状況です。これを正規表現で表現します。 @ " ^ ( . ) [ ( . ) ] " " ( . ) " " " " ( . ) " " " " ( . * ) " " " あとは、extendで列を追加し、RawDataの中身をもとに順番に抽出してあげればよいですね。下記のようなクエリにしてみました。 h t t p d _ a c c e s s _ l o g _ C L | e x t e n d h o s t = e x t r a c t ( @ " ^ ( . ) [ ( . ) ] " " ( . ) " " " " ( . ) " " " " ( . ) " " " , 1 , R a w D a t a ) , i d e n t = e x t r a c t ( @ " ^ ( . ) [ ( . ) ] " " ( . ) " " " " ( . ) " " " " ( . ) " " " , 2 , R a w D a t a ) , u s e r = e x t r a c t ( @ " ^ ( . ) [ ( . ) ] " " ( . ) " " " " ( . ) " " " " ( . ) " " " , 3 , R a w D a t a ) , t i m e I n L o g = e x t r a c t ( @ " ^ ( . ) [ ( . ) ] " " ( . ) " " " " ( . ) " " " " ( . ) " " " , 4 , R a w D a t a ) , r e q u e s t = e x t r a c t ( @ " ^ ( . ) [ ( . ) ] " " ( . ) " " " " ( . ) " " " " ( . ) " " " , 5 , R a w D a t a ) , s t a t u s = e x t r a c t ( @ " ^ ( . ) [ ( . ) ] " " ( . ) " " " " ( . ) " " " " ( . ) " " " , 6 , R a w D a t a ) , b y t e s = e x t r a c t ( @ " ^ ( . ) [ ( . ) ] " " ( . ) " " " " ( . ) " " " " ( . ) " " " , 7 , R a w D a t a ) , r e f e r e r = e x t r a c t ( @ " ^ ( . ) [ ( . ) ] " " ( . ) " " " " ( . ) " " " " ( . ) " " " , 8 , R a w D a t a ) , a g e n t = e x t r a c t ( @ " ^ ( . ) [ ( . ) ] " " ( . ) " " " " ( . ) " " " " ( . * ) " " " , 9 , R a w D a t a ) 実行すると、きちんと狙ったところが狙ったプロパティとして抽出されていることがわかります。 ...

Azure LogAnalyticsワークスペースに様々なログを取り込んでみます。他にも色々とやってますので下記エントリも確認お願いします！ Azure LogAnalyticsワークスペースに様々なログを取り込む(まとめエントリ) | Microsoft Cloud Administrators 今回はWindows仮想マシンを使ったVMSSからログを取り込んでみます。以前やったLinux仮想マシンを使ったVMSSとやりたいことは同じです。 VMSS(Virtual Machine Scale Set)のLinux仮想マシンからのログ取り込み VMSSは適当に作成しました。 WindowsにはWindows用のCustom Script Extensionというものが存在してますが、これを利用してエージェントをインストールするのはUACが邪魔をしてうまくいきません。ですので専用の拡張機能を利用する形でよいでしょう。 拡張機能はAzure CLIからインストールします。Azure CLIはどこから使っても構いませんが、今回はAzure管理ポータルからCloud Shellを利用します。 実行するのは下記のコマンドです。 a z v m s s e x t e n s i o n s e t - n a m e M i c r o s o f t M o n i t o r i n g A g e n t - p u b l i s h e r M i c r o s o f t . E n t e r p r i s e C l o u d . M o n i t o r i n g - r e s o u r c e - g r o u p v m s s - n a m e - s e t t i n g s " { ' w o r k s p a c e I d ' : ' ' } " - p r o t e c t e d - s e t t i n g s " { ' w o r k s p a c e K e y ' : ' ' } " ...

LogAnalyticsワークスペースには様々な種類のログを取り込むことが可能です。工夫すれば事実上すべてのログの取り込みが可能です。 シリーズとしてログをあれこれ取り込みまくってみたいと思います。記事を作成したら下記に項目を増やしてリンクしていきます。 ログの取り込み Azure LogAnalyticsワークスペース作成(Azure Monitorログ) - Azure上の仮想マシンからのログ取り込み- Azure外のWidows仮想マシンからのログ取り込み(エージェントインストール編)- Azure外のLinux仮想マシンからのログ取り込み(エージェントインストール編)- Azure Arcと連動したAzure外の仮想マシンからのログ取り込み- エージェントの構成(エージェントから取得するログの設定)- Azure LogAnalyticsワークスペースへのApacheログの取り込み - VMSS(Virtual Machine Scale Set)のLinux仮想マシンからのログ取り込み- VMSS(Virtual Machine Scale Set)のWindows仮想マシンからのログ取り込み - NSGフローログからのログ取り込み(Network Watcher) | Microsoft Cloud Administrators- App Serviceからのログ取り込み- Azure SQL DBからのログ取り込み- Azure Database for MySQLからのログ取り込み- Azure Database for PostreSQLからのログ取り込み- BIG-IP Cloud Editionからのログ取り込み ログの解析 Azure LogAnalyticsのカスタムログで収集した「RawData」を扱いやすくする(クエリ実行時のデータ解析)

Azure LogAnalyticsワークスペースに様々なログを取り込んでみます。他にも色々とやってますので下記エントリも確認お願いします！ Azure LogAnalyticsワークスペースに様々なログを取り込む(まとめエントリ) | Microsoft Cloud Administrators 今回はすでにAzure LogAnalyticsに接続しているLinuxVMに対してApacheを構成し、そのログを取り込んで検索可能となるところまでやってみたいと思います。 対象VMのAzure上での確認 対象のVMはlalinuxvmというlinux vmです。OSはCentOS 7です。 Apacheの導入～動作確認 まずは、VMにSSHでアクセスし、Apacheを導入します。 httpdをインストール s u d o y u m i n s t a l l h t t p d Apacheを起動 s u d o s y s t e m c t l s t a r t h t t p d このままだとNSGにブロックされてアクセスできないのでHTTPポート(TCP/80)をオープンします。 ...

Azure LogAnalyticsワークスペースに様々なログを取り込んでみます。他にも色々とやってますので下記エントリも確認お願いします！ Azure LogAnalyticsワークスペースに様々なログを取り込む(まとめエントリ) | Microsoft Cloud Administrators 今回はAzure上のWindows仮想マシンからログを取り込むように設定します。LogAnalyticsTargetsというリソースグループにテスト用のWindows VM(Windows Server 2019)を用意しました。 ※サーバーに直接はアクセスしませんので、WindowsでもLinuxでも操作は全く同じです。 Azure上の仮想マシンは簡単な操作でログの取り込みができるようになっています。色々とやり方はありますが今回は「1データソースへの接続」の下の「Azure Virtual Machines(VM)」からアクセスします。 自分が権限を持っていて見られる範囲の仮想マシンの一覧と、その接続先のLog Analyticsワークスペースが確認できます。目的のVMをクリックします。 「接続」をクリックします。 ボタンを押すだけで、VMには直接アクセスすることなく、Log AnalyticsワークスペースとVMが紐づき、勝手にログが収集されるようになります。とっても簡単ですね！ あるいは仮想マシンの方から「監視」-「ログ」にてLog Analyticsワークスペースに接続することもできます。 接続するサブスクリプションとLog Analyticsワークスペースを選択して有効化します。 しばらく待ちます。 以上で完了です。 どちらの手法でも裏では仮想マシンにエージェントがインストールされて、仮想マシンのエージェントの動きでログを収集～送信するようになります。 というわけで、これで完了です。とても簡単でした。 どのようなログを送信させるのかはあらかじめLog Analyticsワークスペースで設定しておきます。あるいはあとから設定を変更しても、エージェント側で設定変更を認識して新しい設定に従って動きます。 他のものも色々とログ収集することができます。下記エントリも参考にして下さい。 Azure LogAnalyticsワークスペースに様々なログを取り込む(まとめエントリ) | Microsoft Cloud Administrators

Azure LogAnalyticsワークスペースに様々なログを取り込んでみます。他にも色々とやってますので下記エントリも確認お願いします！ Azure LogAnalyticsワークスペースに様々なログを取り込む(まとめエントリ) | Microsoft Cloud Administrators 今回はAzure外のLinux仮想マシンからのログ取り込みを行いたいと思います。 が、これは非常に簡単なのです…。 接続したい先のLog Analyticsワークスペースの「エージェント管理」で「Linuxサーバー」を選択したうえで、「Linux用エージェントをダウンロードおよびオンボードする」というところでワンライナーをコピーしてください。 あとはこれをそのままあるいはsudoを付けて実行してもらえばおしまいです。非常に簡単ですね。 なぜ、Windowsの方も同じようにしないんでしょうか…。

下記のエントリがまとめエントリになっていますのでそちらも参照下さい。 Azure LogAnalyticsワークスペースに様々なログを取り込む(まとめエントリ) | Microsoft Cloud Administrators Azure内のWindows仮想マシンからのログ取り込みはAzure管理ポータル上で仮想マシンを指定するだけの簡単操作でした。Azure外の仮想マシンに対してはもう少しだけ手間がかかります。とはいえ、それでもとても簡単です。 今回はエージェントを直接VMにインストールする方法です。他にも先にAzure ArcでAzureに接続する方法もありますが、まずは基本としてこちらの方法を抑えておいてもらっても良いと思います。(ですが、色々とAzureを活用するならAzure Arcに接続して管理することをお勧めします。) Log Analyticsワークスペースにてエージェント管理をクリックします。 このページからエージェントもダウンロードできますし、接続するためのワークスペースIDやキーも入手可能です。 今回はオンプレミスのHyper-V上にWindows Server 2019の仮想マシンを用意しました。NAT配下に存在している仮想マシンです。 エージェントのインストーラーを入手し、実行します。 ウィザードをすすめていきます。 「Azureログ分析(OMS)にエージェントを接続する」にチェックを入れます。 ※Azure LogAnalyticsなのか、OMSなのか、Azure Monitorなのか・・・、色々と混乱してしまってますね。 ワークスペースIDとワークスペースキーをAzure管理ポータルから入手して入力します。 これで、構成は完了です！簡単ですね！

Azure LogAnalyticsワークスペースに様々なログを取り込んでみます。他にも色々とやってますので下記エントリも確認お願いします！ Azure LogAnalyticsワークスペースに様々なログを取り込む(まとめエントリ) | Microsoft Cloud Administrators すでに単体の仮想マシンからログを取り込む方法に関しては紹介済みです。 Azure上の仮想マシンからのログ取り込み- Azure外のWidows仮想マシンからのログ取り込み(エージェントインストール編)- Azure外のLinux仮想マシンからのログ取り込み(エージェントインストール編) ですが、VMSSを使って簡単にスケールアウト、スケールインができる環境ではどのようにエージェントインストールとLog Analyticsワークスペースへの接続を実現できるでしょうか？1台づつ接続して個別にインストールしていたのでは大変ですよね。 これは「拡張」を使うことで解決できます。手順を見ていきます。 VMSS作成 まずはVMSSを作成します。自動的にLog Analyticsワークスペースに接続できることを確認するのが目的のため、内容はあまり気にしなくて大丈夫です。Linuxを選択しているところは注意してください。 拡張機能の設定(専用の拡張を使う方法) Azure LogAnalyticsワークスペースに接続するための専用の拡張が存在します。なぜか、Azureポータルからの操作ではこの拡張は表示されませんので注意して下さい。Azure CLIで設定を行います。 下記のコマンドでvmssに拡張のセットが可能です。リソースグループ名、VMSSの名前、ワークスペースID、ワークスペースキーは実際の値に置き換えた上で実行して下さい。 a z v m s s e x t e n s i o n s e t - n a m e O m s A g e n t F o r L i n u x - p u b l i s h e r M i c r o s o f t . E n t e r p r i s e C l o u d . M o n i t o r i n g - r e s o u r c e - g r o u p v m s s - n a m e - s e t t i n g s " { ' w o r k s p a c e I d ' : ' ' } " - p r o t e c t e d - s e t t i n g s " { ' w o r k s p a c e K e y ' : ' ' } " 拡張機能の設定(Custom Script for Linuxを使う方法) もう一つの方法としてCustom Script for Linuxを使う方法も紹介しておきます。Custom Script for Linuxであれば任意のコマンド、スクリプトを使えるので本件に限らず任意のロジックを組み込めます。 ...

Log Analyticsワークスペースに接続しているエージェント(Windows, Linux)からどのようなログを収集するのかはLog Analyticsワークスペースの「エージェント構成」で設定します。 Windowsイベントログ、Windowsパフォーマンスカウンター、Linuxパフォーマンスカウンター、Syslog、IISのログの項目があり、簡単に構成することができます。 Windowsイベントログは収集するログの名前を指定した上でエラー、警告、情報のどれを収集するのかを指定します。 例えば、下記のように設定できます。 Windowsパフォーマンスカウンターも同様に任意のものを追加できます。 「推奨されるカウンター」がありますので、まずはそこから設定し、さらに追加で必要なものを構成すると良いでしょう。 Linuxパフォーマンスカウンターも同様です。推奨されるカウンターから利用すると良いでしょう。 Syslogも簡単に収集設定を行うことができます。 IISのログは収集する、しないの2択です。 以上が、エージェント構成の設定です。 必要なものを集めるように構成すればよいだけなので簡単ですね！

ログを取り込むにはまずAzure LogAnalyticsワークスペースの作成が必要です。 LogAnalyticsを検索します。 LogAnalyticsワークスペースを選択します。 作成します。 サブスクリプション、リソースグループ、インスタンス名、地域を選択して作成します。 作成します。 作成が完了したらリソースに移動します。 今は、わかりやすくガイドしてくれるようになっていますね。Azure管理ポータルがどんどん使いやすくなっていて、とてもありがたいなと思います。 これでLogAnalyticsワークスペースの作成が完了しました。とても簡単でしたね。 あまりにも簡単なので当たり前に思ってしまいがちですが、このようなログの収集基盤を自分たちで作ろうと思ったらどのような検討が必要かを考えると、改めてパブリッククラウドの素晴らしさがわかるんじゃないかと思います。ログなんてどこまで増えるものなのかわかりませんから、「どれだけのログ容量を想定して基盤を作るのか？」「冗長性、耐障害性はどこまでもたせるのか？」「当初から最大容量を見越して基盤を用意すると無駄が多すぎるからどのようにスケールアップ、スケールアウト可能な構成にするか？」「ログの量が大量になってもきちんと検索が可能な性能をどのように担保するか？どのようなデータソースにどのようにデータを保持するか？」などなど、考えだしたらきりがないですし、うまくやるのは至難の業です。 しってますよ。監査対策でログはためてはあるけど、具体的に必要な部分を迅速に取り出すことがほぼ不可能な、そのシステム・・・。 でも、Azure Monitor, Azure LogAnalyticsを使えばこのあたり何も考えなくていいんですもんね～。本当にいい時代になったものです。Azure LogAnalyticsの価格が高いという人がいますが、それは本気で自前で環境をつくったらどうなってしまうのかを知らない人なんだろうなと思います。 というわけで、ワークスペースができましたので次はAzure上の仮想マシンからログを収集するように構成しようと思います。 下記のエントリがまとめエントリになっていますのでそちらも参照下さい。 Azure LogAnalyticsワークスペースに様々なログを取り込む(まとめエントリ) | Microsoft Cloud Administrators

Azure環境を利用している際に「任意の場所からの接続」は禁止して、明確に接続元IPアドレスを制限したいというケースが結構あると思います。もちろん全世界に広くWebサイトを公開するような場合はこれに当てはまらないわけですが、検証用途専用のサブスクリプションを作成しているような場合には事故を防ぐために「もしも任意の場所からの接続を許可するNSGのルールを作ろうとした場合にはそれをブロックしたい」というのはよくある要望です。 これはAzure Policyで実現できます。 Azure Policy の概要 - Azure Policy | Microsoft Docs 規定で定義されているポリシーにはこのようなルールは存在しないので、カスタムポリシーを独自に定義する必要があります。 サンプルも参考にしながら、やはりきちんと構造をしっかりと理解して自分で書けるようになってしまうのが急がば回れだと思います。 とりあえず下記が「NSGのルールとして『任意の場所からの接続』の作成を禁止するPolicyのサンプルです。

こんにちは。またしても告知エントリです…。最近こればっかりになってきてしまいましたね…。 先ほど12月9日(月)の2つのイベントを公開しました！ - [Azure Stack Hubオペレーターの気持ちがわかる勉強会！ - connpass](https://hybridcloud.connpass.com/event/156781/) - [【ハンズオン】【初心者向け】AzureとAzureStackを用いたIaaS,PaaS,FaaS体験 - connpass](https://hybridcloud.connpass.com/event/156765/) ※両方に参加される方は2つ申し込み必要です ※もちろんどちらか1つだけの申し込みもできます テーマはAzure Stack Hub! 毎回好評を頂いているHCCJPの勉強会。第2回ハンズオンと第9回勉強会のテーマはズバリ「Azure Stack Hub」です。 発売から2年、Azure StackからAzure Stack Hubと名称変更、Azure Stack HCI, Azure Stack EdgeとAzure Stackファミリーが増えるなど色々と変化がありましたが、やはりデータセンターに導入できる「本当のクラウド環境」という意味ではAzure Stack Hubは現在でも唯一無二の存在です。そして先進的過ぎてまだまだ正しく理解されていないのが現状です。 今回は概要を理解した上で実際に触って体験いただき、さらにAzure Stack Hubを導入および運用する「Azure Stackオペレーター」のためのノウハウも知ることができる構成となっています。 ハンズオン 今回のハンズオンではAzureおよびAzure StackをもちいてIaaS, PaaS, FaaSの概要を体験してもらいます。 下記のような方を主な対象として考えています。 - クラウド未体験の方 - Azure / Azure Stackをまだ活用できていない方 - Azure Stackに触ってみたい方 - クラウドを利用していたとしても仮想マシンをポータルから手作業で作成している方 - クラウド基盤を活用する方法を体験いただければと思います。 ※第1回ハンズオンの内容と基本的に同一ですので、第1回に参加された方は是非サポート役に回っていただければと思います。 ハンズオンサポートはHCCJPの幹事企業関係者の方に限らずどなたでもボランティアとして参加いただけます。サポートの方は実際のハンズオンには参加いただかずサポートに専念して頂く形になりますのでその点はご了承ください。 ハンズオン実施は先着10名様のみ可能ですのでお早めにお申し込みください。 勉強会 今回の勉強会はAzure Stack Hubの概要にとどまらず、実際の導入を経験し、現在進行系で運用を行っているエンジニアだからこそできる話をMKI松本さんにしていただきます。 実際に運用してみてどうなのかという生の声も聞けます。いつもどおり匿名での質問も可能ですので普通のセミナーでは聞けないあんな事やこんな事を聞いちゃってください。 さらに、皆さんが聞きたい話を伝えたいという松本さんの心意気があり、HCCJPのFacebookグループ(https://www.facebook.com/groups/hybridcloud/)にて「聞きたいこと」を事前に伝えることができます。リクエストに必ず答えられるわけではありませんが、是非リクエストをいただければと思います。 懇親会 懇親会は勉強会会場から移動時間30秒のJBS社員専用カフェLucy’sです。おしゃれで美味しくて安いと評判のLucy’sで一人2800円で飲み放題もついてきます。会費(2800円)は当日現金で集金させていただきます。 ...

Microsoft Ignite 2019はじまりましたね。私は現地で参加しております。 いつもどおりIgniteに合わせて沢山のアナウンスがなされていますね。主要なものがすべてまとまったPDFがMicrosoftさんから出てますのでそちらを紹介です。 https://news.microsoft.com/wp-content/uploads/prod/sites/563/2019/11/Ignite-2019-Book-of-News.pdf 去年はこれをざっくりと全部日本語に訳して記事にしたのですが、数十時間かけてものすごく苦労して翻訳した割に全然見に来る人もいなかったので、今年はオリジナルのリンクをはるだけでおしまいにします！ 個人的にはAzure Arcが大変素敵だなと思います。今すぐできる表面的な機能だけをみて「大したこと無い」という評価をする人も多く出そうですが、きちんとARMの世界にAzure外のリソースを取り込んでいこうという姿勢はすごいなと思います。さすがMicrosoft。構想が壮大です。

前回の記事「 Azure Portalにアクセスする際の動きをFiddlerで確認 – その１ クラウドIDを使った一番シンプルなパターン | Microsoft Cloud Administrators 」の続きです。 今度はクラウドIDが別AzureADテナントに招待されその別Azure ADテナントに紐付いているAzureサブスクリプションにアクセスする際の動きを確認してみます。 注意：このエントリの内容は「正確さ」に関しては保証しません。自分で実際に試してみて、挙動をみて、考えて、自分の既存の知識や経験、他のドキュメント等と照らし合わせた上で自分の現段階の考えを書いています。ご注意ください。 クラウドIDがテナントをまたいで招待されているパターン 今回は前回と同じwindowsadmin.onmicrosoft.comというAADに紐づくAzureサブスクリプションに対して別AzureADテナントwindowsadmin2.onmicrosoft.com上に存在するaccesstest2@windowsadmin2.onmicrosoft.comからアクセスをしたときの挙動を見てみます。 サブスクリプションは前回利用したものと同じです。紐付いているディレクトリはwindowsadmin.onmicrosoft.comです。 新規に別のAzure ADを作成しました。ディレクトリ名はwindowsadmin2.onmicrosoft.comです。 ユーザーとしてaccesstest2@windowsadmin2.onmicrosoft.comを作成しています。 accesstest2@windowsadmin2.onmicrosoft.comはwindowsadmin.onmicrosoft.comに招待してあります。 サブスクリプションへの権限も付与してあります。 実際の挙動 https://portal.azure.com/にアクセスします。 サインインを求められます。 アカウント名を入力します。 パスワードの入力を求められます。 サインインの状態を維持するかどうかを質問されます。 windowsadmin2.onmicrosoft.comディレクトリを利用してAzure管理ポータルにアクセスしました。サブスクリプションが該当ディレクトリには存在していないと表示されています。 ディレクトリをWindowsadmin.onmicrosoft.comに切り替えます。 Azure管理ポータルへのアクセスが完了しました。 Fiddlerに記録されたデータを含めた挙動 Fiddlerで動きを見ると、はじめの方の挙動は完全に同一になっています。その後、Azure管理ポータルにアクセスしたあとでAADテナントを明示した認証、認可が走っていることがわかります。 何度もAzure管理ポータル上でディレクトリの切り替えを行うと、そのたびにlogin.microsoftonline.comへのAADテナントを明示したアクセス(認証～トークン取得)が行われていることが確認できます。

皆さんこんにちは。胡田です。毎日暑いですね。みなさんお体にお気をつけください。 さて、今回はAzure Portalにアクセスする際の動きをFiddlerで確認してみようと思います。 Azure Portalにアクセスするためには皆さん御存知の通りAzure ADで認証される必要があります。マイクロソフトアカウント利用する場合には「Azure ADで認証」と書いてしまうのは少々正確ではないかもしれませんが、ここでは組織アカウントのみ考えることにします。 このとき、ユーザーとしてはAzure PortalのURL(https://portal.azure.com/)を入力してAzure Portalにアクセスするわけですが、Azure ADで認証する必要があるためリダイレクトされる動きになります。さらに、アクセスしようとしているAzure Subscriptionの紐付いているAzure ADが、ユーザーが存在しているAzure ADとは異なる構成もとれます。このようなときにどのようにブラウザが遷移しているのかをきちんと確認しようというのがこのエントリの趣旨です。 Fiddlerを使うことでHTTP/HTTPSの通信を生で記録、確認することができますので、テストした時点での正確な動きを確認することが可能です。 構成パターンはかなり多数ありますので相当複雑にもなりうるのですが、まずはシンプルなところから何パターンか見ていきたいと思います。 注意：このエントリの内容は「正確さ」に関しては保証しません。自分で実際に試してみて、挙動をみて、考えて、自分の既存の知識や経験、他のドキュメント等と照らし合わせた上で自分の現段階の考えを書いています。ご注意ください。 クラウドIDを使った一番シンプルなパターン まずは下記のような一番シンプルなパターンを見ていきましょう。 AADとしてwindowsadmin.onmicrosoft.comが存在します。 windowsadmin.onmicrosoft.com上にaccesstest@windowsadmin.onmicrosoft.comというアカウントを作成します。このアカウントはクラウド上に存在するアカウントであり、フェデレーション等は構成されていません。 windowsadmin.onmicrosoft.comをディレクトリとして構成された「MVP特典(Visual Studio Ultimate with MSDN)」というAzureサブスクリプションが存在します。 #なんだかひどいサブスクリプション名ですが、管理しているサブスクリプションが大量にあるのできちんと区別しやすい愚直な名前にしております…。 「MVP特典(Visual Studio Ultimate with MSDN)」 上でaccesstest@windowsadmin.onmicrosoftのアカウントに閲覧権限(Reader)を割り当てアクセス可能にしてあります。 実際の挙動 PC上でChromeをシークレットモードで開き、URLにhttps://portal.azure.com/を入力します。 URLがhttps://login.microsoftonline.com/となり認証を求められます。 ユーザー名を入力します。 次にパスワードの入力を求められます。パスワードを入力して「サインイン」をクリックします。 サインインの状態を維持するかどうかを聞かれます。この質問には今後も含めてこの検証内ではすべて「いいえ」で回答します。(テスト目的のため) Azure管理ポータルにアクセスできました。 Fiddlerに記録されたデータを含めた挙動 PC上でChromeをシークレットモードで開き、URLにhttps://portal.azure.com/を入力します。 このときhttps://portal.azure.com/の画面は表示されずすぐに画面が遷移しますがその様子が見て取れます。 1行目ではProxy接続でHTTPSを扱うためにHTTP1.1のCONNECTメソッドが利用されています。 参考URL： Re: Newbie Questions - Google グループ - CONNECT - HTTP | MDN - HTTPSとCONNECTメソッド - ITの窓辺から 2,3行目ではportal.azure.comおよびその配下のJavascriptを取得しています。実際にはJavascriptによってまず認証を行うためのページに遷移させられています。 ...

サブスクリプションを他の人から転送してもらった等の理由で 「自分はサブスクリプションのアカウント所有者だが、Azureサブスクリプションには何も権限を持っていない」という状況が生まれることがあります。 この場合、自分で自分をサービス管理者として設定することでAzureの権限を保持することができます。 https://account.azure.com/Subscriptionsに移動します。 自分が保持しているアカウントに紐づくサブスクリプションの一覧が表示されます。 Azure管理ポータルからは権限がなく見えない状態のサブスクリプションをクリックします。 「サブスクリプション詳細の編集」をクリックします。 「サービス管理者」を自分のアカウントに設定します。 この操作によりしばらく時間がたつとAzure管理ポータル上でもサブスクリプションを管理可能となります。

先日HCCJPにてハンズオンイベントを開催しました。ハンズオン資料作成、ハンズオン講師等務めさせてもらいました。 ざくっと概要を理解するものとしてはそんなに悪く無いできだと思いますのでよろしければ参考にしてみてください。 ※Azureの理解という観点でみると「Azure, Azure Stackで同じ概念、操作でできるもの」に引っ張られすぎている感は否定できませんけれども。 https://gitpitch.com/hccjp/hybridcloudhandson1

#この投稿は下記３つのブログにクロスポストしています。 https://diary.ebisuda.net/- https://windowsadmin.ebisuda.net/- https://cloud.ebisuda.net/ 今日はお休みの日ですが、Interact 2019にて登壇させてもらってきました。 休日のコミュニティイベントへの参加も解禁しましたが、今回はさらに長男と次女をつれていきました。そして私と一緒に登壇させました。 長男はきちんと自己紹介できましたが、次女は恥ずかしがって私の後ろに隠れてしまいました。そして結局、事前にはなにも教えておかずにその場で「こうやって」って操作をさせて、MinecraftのサーバーをAzure上に展開してもらいました。 どうやら結局なんだかよくわかっていなかったようですが、それでも楽しかったようなので良かったです。 セッションは参加してくれた人に何度も笑ってもらいました。それがよかったです。笑いもなにもない真面目なITのセッションって本当にくらーい感じになってしまうのでそういうのは好きじゃないんです。なんでも楽しいのがいいですよね！ 資料はSlideshareにアップロードしておきましたので、よろしければご覧くださいませ。 ** あなたも「違いが分かる人」になりましょう！ ～ Azure, AzureStack, AzureStack HCI ～ ** from Masahiko Ebisuda

#この投稿は下記３つのブログにクロスポストしています。 - [https://diary.ebisuda.net/](https://diary.ebisuda.net/) - [https://windowsadmin.ebisuda.net/](https://windowsadmin.ebisuda.net/) - [https://cloud.ebisuda.net/](https://cloud.ebisuda.net/) 今日はお休みの日ですが、Interact 2019にて登壇させてもらってきました。 休日のコミュニティイベントへの参加も解禁しましたが、今回はさらに長男と次女をつれていきました。そして私と一緒に登壇させました。 長男はきちんと自己紹介できましたが、次女は恥ずかしがって私の後ろに隠れてしまいました。そして結局、事前にはなにも教えておかずにその場で「こうやって」って操作をさせて、MinecraftのサーバーをAzure上に展開してもらいました。 どうやら結局なんだかよくわかっていなかったようですが、それでも楽しかったようなので良かったです。 セッションは参加してくれた人に何度も笑ってもらいました。それがよかったです。笑いもなにもない真面目なITのセッションって本当にくらーい感じになってしまうのでそういうのは好きじゃないんです。なんでも楽しいのがいいですよね！ 資料はSlideshareにアップロードしておきましたので、よろしければご覧くださいませ。 ** あなたも「違いが分かる人」になりましょう！ ～ Azure, AzureStack, AzureStack HCI ～ ** from Masahiko Ebisuda