【Azure】reserved instanceの購入
TODO
こちらのページのPurchase an Azure RIから購入できる。 free accountでは無理 Azure Reserved Virtual Machine Instances | Microsoft Azure
【Azure】VMのbackup
backupをportalから作成
Recovery vaultを作る
Recovery vaultというのが必要。これは、backupのrecovery pointを保持してくれたり、各種機能を提供するコンポーネント。
Backup center(検索窓から) > 上のバーにある(+vault)を選択
名前を決めて作る。 Resource Groupとregionはbackupを作りたいvmと同じにする。(新しく作ったresource groupだとvmが表示されなかった。)
Backup policy を作る
backup centerのoverviewで上のバーから+ backupを選択
vaultと対象のvmを選択し、 その後、どれくらいbackupを保持するかなどの情報を入力して完成。
インスタンスリストアとは
Azure Backup のインスタンスリストア機能とは | SBテクノロジー (SBT)
スナップショットを削除せずにrestore時にそのまま利用できる。 スナップショットのストレージ分の料金がかかる。
Azure のインスタント リストア機能 - Azure Backup | Microsoft Docs
すぐバックアップを取る方法
VMのbackupメニューからbackup nowを押す。 backup centerのBackup instancesからinstanceを選択してbackup nowを押す。
vaultからbackup itemを消す方法
Soft delete for Azure Backup - Azure Backup | Microsoft Docs
vaultを試しに作って消そうとしてもいつまでもbackup itemが残り続けて消せないことがある。 その場合は、vaultのsoft deleteを無効にしてから消す必要がある。 soft deleteでどれだけdeleteしてもvaultを消すことはできない。
やり方は、 vaultの詳細ページ > Settingの中のproperties > Security Settings > Soft DeleteをDisabledにする。 そして対象のbackup itemをdeleteする。 一回softdeleteしてしまった場合は、Undeleteしてもう一度deleteする必要がある。
参考
Quickstart - Back up a VM with the Azure portal - Azure Backup | Microsoft Docs
【Azure】VMに対してIPアドレス制限をかける
セキュリティ事故を起こさないためにVMにsshできるIPアドレスを制限したい
Network Security Group(NSG)を作る
検索窓にnetwork security groupsと入力して、移動します。
Createから生成します。(ルールは後で変更)
作ったNSGをクリックします。
subnetにつけたい場合は、SettingsのSubnetsを選択し、Associateを選択すると任意のsubnetに紐付けすることができます。
数秒(20秒くらい?)経過すると、今までsshでアクセスできていたNSGを紐付けたsubnet内のVMにアクセスできなくなっています。
他とのコンボ
元々VMを作成したときにsshでのアクセスを有効にすると、NetworkInterfaceに対してNSGが元々ついていて、port22に対する全てのアクセスが許可されている状況になります。
このとき先ほどsubnetにつけたNSGに同様にport22へのアクセスを許可するルールを追加すると、実際にアクセスできるようになります。
逆にいうと、どちらかでport22への許可のルールがないだけでも対象のVMへのアクセスはできません。
参考
Filter network traffic - tutorial - Azure portal | Microsoft Docs
【Azure】Public IPを既存のVMにアタッチする
開発時にPublic IPを既存のVMにアタッチしたりデタッチしたりしたかった。
Public IPのアタッチ
Public IPは作っておきます。
Quickstart: Create a public IP address - Azure portal - Azure Virtual Network | Microsoft Docs
Public IPをつけたいVMの画面 -> Networking > つけたいNetwork Interface > IP configurationへ移動します。
ipconfigをクリックすると、設定画面に移ります。 Public IP AddressをDisassociateからAssociateに変えて、あらかじめ作っておいたIPを選択します。 SaveするとPublic IPがアタッチされます。
Public IPのデタッチ
デタッチしたいIPアドレスのOverviewに行って、Dissociateをクリック
Dissociate a public IP address from an Azure VM | Microsoft Docs
参考
【Azure】Fortinet FortiGate Next-Generation Firewallを作る
Fortinet FortiGate Next-Generation Firewallの作り方
Create a resourceから検索する。
Tips
- usernameとpasswordは、sshでログインしたり、httpsでログインしたりするときに使います。
- Prefixに入力した文字列は、自動生成されるコンポーネントのPrefix(文字列の先頭)に付与されるようになります。NICやVirtualMachin, Diskなどです。
- FortigateのVM自体はライセンスがなくても作ることができます。Protectedにwebserverやdbなどを配置してどのような動きをするのか事前に調査したかったので、今回はライセンスなしで設定しました。
VNetについて
VNetは自動生成することができます。3つのVMを作成することができ、Protectedに色々配置することになります。
自動生成でない場合、自分で作った3つのsubnetを指定することができます。 この場合、ExternalとInternalは何もコンポーネントがないものを利用します。
Accelerated Networkは、パフォーマンス向上のためにつけておくと良いと思っています。特に今回はFWなので。 Accelerated Networking overview | Microsoft Docs
自動生成のVNetの注目点
自動生成した場合、 public inbound ports(22) + public IPのVirtual MachineをProtected subnetにデプロイしても、インターネット経由でssh出来ず、bastionからもアクセスできません。
これはなぜかというと、ルートテーブルがProtected subnetについているためです。 この中で、VirtualNetworkというルールを削除するとbastionができるようになります。 Defaultを外すとsshでインターネット経由で通信できます。
ちなみにこのRouteTableはsubnetを事前に自分で生成した場合はついていようです。