Azure DNS でゾーンの委任を試してみる


年末年始は Office 365 のテナント引っ越しとか、どこのご家庭にもあるドメコンを整理していたのですが、Azure DNS 周りも多少いじったのでメモ程度に。

App Service ドメイン (Preview) で Azure ポータルからドメインが買える

つい先日まで知らなかったんですが、Azure で独自ドメインも買えるそうで、shuda.org を検証用に購入しました。(裏側は GoDaddy ?)

最近お名前.com の広告メールが多すぎでイライラしていたので、今後はこっちでいいかもしれません。

 

[詳細管理] をクリックすると、secureserver.net なるドメインのサイト (GoDaddy 系?) に飛びます。

Azure DNS を使うために、レジストラ側で NS レコードを作成しようとしたら、すでに Azure DNS を向いています。

 

App Service ドメインで独自ドメインを買うと、自動的に Azure DNS も作ってくれるんですね。便利。

 

ということで、shuda.org が Azure DNS に委任されたので、Azure 上で管理ができるようになりました。

nslookup すると、当然ですが NS レコードは Azure DNS のサーバー群を返しますし、Azure DNS 上に適当なレコードを作ればクライアント端末から名前解決できるようになっています。

(ちなみに豆知識ですが、203.0.113.0/24 などは RFC5737 でドキュメントにおける例示用の IP アドレス帯として予約されています)

C:\Users\Syuhei>nslookup
既定のサーバー: setup.netvolante.jp
Address: 192.168.0.1

> set type=NS
> shuda.org
サーバー: setup.netvolante.jp
Address: 192.168.0.1

権限のない回答:
shuda.org nameserver = ns4-08.azure-dns.info
shuda.org nameserver = ns1-08.azure-dns.com
shuda.org nameserver = ns2-08.azure-dns.net
shuda.org nameserver = ns3-08.azure-dns.org

ns1-08.azure-dns.com internet address = 40.90.4.8
ns1-08.azure-dns.com AAAA IPv6 address = 2603:1061::8
ns2-08.azure-dns.net internet address = 64.4.48.8
ns2-08.azure-dns.net AAAA IPv6 address = 2620:1ec:8ec::8
ns3-08.azure-dns.org internet address = 13.107.24.8
ns3-08.azure-dns.org AAAA IPv6 address = 2a01:111:4000::8
ns4-08.azure-dns.info internet address = 13.107.160.8
ns4-08.azure-dns.info AAAA IPv6 address = 2620:1ec:bda::8

> set type=A
> www.shuda.org
サーバー:  setup.netvolante.jp
Address:  192.168.0.1

権限のない回答:
名前:    www.shuda.org
Address:  203.0.113.1

サブドメインも Azure DNS に委任してみる

ドメインの管理をしていると、shuda.org だけではなく、corp.shuda.org のようにサブドメインを Azure DNS で管理したい場面もあると思うので、実際に試してみます。

既に作成済みの shuda.org とは別に、新たに corp.shuda.org の DNS ゾーンを作成します。

 

この状態では corp.shuda.org は Azure DNS に委任されていませんので、shuda.org に corp という NS レコードを作成し、新規作成した corp.shuda.org 側のネームサーバーを指定します。

(corp.shuda.org のネームサーバー x4 をメモ)

(shuda.org 側に corp という NS レコードを作成)

 

この状態で NS レコードを引くと Azure DNS に委任されていることが確認できます。

C:\Users\Syuhei>nslookup
既定のサーバー: setup.netvolante.jp
Address: 192.168.0.1

> set type=NS
> corp.shuda.org
サーバー: setup.netvolante.jp
Address: 192.168.0.1

権限のない回答:
corp.shuda.org nameserver = ns2-06.azure-dns.net
corp.shuda.org nameserver = ns3-06.azure-dns.org
corp.shuda.org nameserver = ns4-06.azure-dns.info
corp.shuda.org nameserver = ns1-06.azure-dns.com

ns1-06.azure-dns.com internet address = 40.90.4.6
ns1-06.azure-dns.com AAAA IPv6 address = 2603:1061::6
ns2-06.azure-dns.net internet address = 64.4.48.6
ns2-06.azure-dns.net AAAA IPv6 address = 2620:1ec:8ec::6
ns3-06.azure-dns.org internet address = 13.107.24.6
ns3-06.azure-dns.org AAAA IPv6 address = 2a01:111:4000::6
ns4-06.azure-dns.info internet address = 13.107.160.6
ns4-06.azure-dns.info AAAA IPv6 address = 2620:1ec:bda::6

 

最後に corp.shuda.biz 側に console.corp.shuda.biz などのレコードを登録してみます。

 

これでサブドメイン (corp.shuda.biz ゾーン) も Azure DNS に委任が完了して、クライアント端末上で console.corp.shuda.org も名前解決ができることが確認できました。

C:\Users\Syuhei>nslookup
既定のサーバー: setup.netvolante.jp
Address: 192.168.0.1

> set type=A
> console.corp.shuda.org
サーバー: setup.netvolante.jp
Address: 192.168.0.1

権限のない回答:
名前: console.corp.shuda.org
Address: 203.0.113.2

 

Azure DNS といっても、結局は普通の DNS と同じなので何も難しいことはないですね。

App Service や Traffic Manager とも組み合わせていろいろ遊びましょう。


[Advent Calendar 2017 Day16] ネットワーク構成図を自動で生成したい


Microsoft Azure Tech Advent Calendar 2017 の 16 日目です。

 

タイトルの通り、Azure のネットワーク構成図を自動生成したいなーと思って、PowerShell を少し書いてみました。

数時間で走り書きした感じなので、まだ VNET と Gateway、Connection ぐらいしか描画できていませんが、今後に期待ということで。

いつぞやの Get-SubscriptionDetails と同様に Get コマンドで各種リソースの情報を取得して、無理やり SVG を生成している感じです。

Azure のアイコンは SVG でも提供されているので、年末年始の暇な時期にでも VNet Peering やら ExpressRoute を含めて実装をして、一通り出来上がったら見た目も改善しようと思います。

ということで、インフラ野郎や Azure Infrastructure as Code 隊の皆さんも、冬の夜長は PowerShell を書いてみてはいかがでしょうか。


クラシック環境のネットワーク構成変更


Azure クラシック ポータルのリタイアが続きますが、10/5 からはネットワークも新ポータルのみになりました。

クラシック環境のネットワークは xml で定義されているので、マルチサイトと VPN を張る際に編集が必要になったりしますが、私の知る限り新ポータルに xml のエクスポート・インポートの UI がありませんので、Azure PowerShell でやる方法をメモっておきます。

# エクスポート
Get-AzureVNetConfig -ExportToFile "<XMLファイルのパス>"

# インポート
Set-AzureVNetConfig -ConfigurationPath "<XMLファイルのパス>"

Application Gateway の証明書更新


Application Gateway の証明書更新の手順が公式のドキュメントとして用意されていないので、中の人として GitHub に PR を投げたにもかかわらず 3 カ月たっても Approve してもらえないんで、こっちに手順だけメモっておきます。

https://github.com/ShuheiUda/azure-docs.ja-jp/blob/66c94ab4ff9ffee63bfc5fa90b03f6de3513c250/articles/application-gateway/application-gateway-update-ssl-certificate-arm.md

 

Azure PowerShell から以下のような感じでサクっとやりましょう。

# Azure アカウントにログインします。
Login-AzureRmAccount
# アカウントのサブスクリプションを確認します。
Get-AzureRmSubscription

# 使用する Azure サブスクリプションを選択します。
Select-AzureRmSubscription -Subscriptionid "サブスクリプション ID"

# 既存の Application Gateway の構成情報を取得します。
$appgw = Get-AzureRmApplicationGateway -Name "<Application Gateway 名>" -ResourceGroupName "<リソース グループ名>"

# 既存の証明書名と同一の名称で、更新する証明書ファイルを設定します。
$appgw = Set-AzureRmApplicationGatewaySslCertificate -Name "existing certificate name" -ApplicationGateway $appgw -CertificateFile "<更新する証明書のフルパス>" -Password "<証明書のパスワード>"

# Set-AzureRmApplicationGateway コマンドを使用して、新しい構成を保存します。
Set-AzureRmApplicationGateway -ApplicationGateway $appgw

Intel NUC の BIOS 更新でハマった件


みんな大好き Intel マザーで AMT の脆弱性が報告されてるので、今更ですが夏休みのタイミングで我が家の機材一式の BIOS を更新。

  • DQ57TM
  • DQ77MK
  • DC53427HYE x4
  • NUC5I5MYHE x4

我が家は全部 vPro / AMT 対応機なので、SA-00075 はモロに影響ありな訳です。

インテル マネージャビリティー・ファームウェアの重大な脆弱性について
https://www.intel.co.jp/content/www/jp/ja/architecture-and-technology/intel-amt-vulnerability-announcement.html

Intel Active Management Technology, Intel Small Business Technology, and Intel Standard Manageability Escalation of Privilege
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr&_ga=2.100311194.504127720.1505920245-97146741.1505920245

2017/05 以降にリリースされた最新版の BIOS を拾ってきて、readme に Intel ME の更新ってなってるのを確認して地道に適用するだけ。

 

ただ、DC53427HYE だけは F7 で BIOS 更新に失敗するし、exe 版の Express BIOS update もエラーだの失敗してるのに Success とか表示するしで酷い目にあったのでメモ。

黄色いジャンパーを抜いて、BIOS 復元モードで解決。

https://downloadcenter.intel.com/download/26795/NUCs-BIOS-Update-RKPPT10H-86A-?product=74483

https://downloadmirror.intel.com/26795/eng/NUC-BIOS-Update-Readme.pdf

https://www.intel.com/content/www/us/en/support/boards-and-kits/000005532.html

ひと段落したら完成間近のコンテナに移設しましょうかね。


RDCMan でサムネイル画面のまま操作できるようにする


みんな大好き RDCMan でサムネイル画面のまま操作できないもんかと思って調べてみたら、ちゃんと出来るみたいだったのでメモ。

サムネイル画面のサイズは [Tools] – [Client Area] から [Thumbnail Unit Size] で設定。4K モニターなら FullHD で 4 画面とか、もう少し小さくて 9 画面でもいいかも。

 

肝心のサムネイル画面のまま操作する設定は、グループのプロパティとかで、[Allow thumbnail session interaction] のチェックを入れるだけ。

 

というわけで、無事できました。これは楽だ。