長くエンタープライズ顧客を相手にしていると単純なLift&Shift（オンプレからの移行）もあるけど、サブスクリプション間で移行したいといった要件も出てきますね。慣れている人は「Azure ADテナントが違って」とか「サブスクリプション移行をしたくて」といった言葉が出てきただけで、変な汗が出てくること間違いないｗ（私だけ？汗）

それもそのはずで、契約形態や移行したいシステムリソースによって対応方法もいくつかあり、簡単なものから複雑なもの、リスク込みのものや金かけてでもダウンタイム最小限にしたいものまであるから、といった実情があるからだろう。

例えばこんなパターンが考えられる。

１）EA契約のサブスクリプションからCSP契約のサブスクリプションへ移行したい

２）EA契約同士、もしくはCSP契約同士でサブスクリプションを移行したい

３）無償利用で作ったものをEA契約もしくはCSP契約へ移行したい

４）同じ契約内で異なるサブスクリプションへ移行したい

１～３はそもそもAzure AD テナントが変わる前提で、４）だけ変わらない。あと２のEA契約同士というのは、本社とグループ会社で、というのが多いが、CSP間で、とかはそもそもビジネスの主管を変えるって話になるので技術の前に話し合うべきことが多いことも押さえておこう。まぁ平たく言えば、hogehoge.comで管理されている環境で作ったシステムリソースをfugafuga.comで管理されているシステムリソースへ移行したいのか、hogehoge.comで管理されている環境は変えずに別のサブスクリプションへ移行したいのかって違いがあるということ。

なーんだ、システムリソースはあるんだから契約情報だけ差し替えてくれればオッケーっす！マイクロソフトさんよろ！なーんて考えていると甘い。マイクロソフトはセキュリティの会社と言われているぐらいなので、締結された契約をそんな安易に企業間の都合だけで対応できるようになんて仕組みにしていない。たぶんｗ

とはいえ技術的な側面ではしっかりとお互いの認証を行い双方での疎通が取れる状態にすることはできるので、今回はその１つである「異なるAzure ADテナントの異なるサブスクリプション間のvNET同士をピアリングし、プライベート間で通信できるようにする」ということを試した結果を記事にしておく。

やりたいことは簡単。koiketmp1@outlook.jp（マイクロソフトアカウント）のVMからkoiketmp1@outlook.com（マイクロソフトアカウント）のVMへプライベート接続でデータを送りたい。つまりoutlook.jpとoutlook.comの仮想ネットワーク(vNET)間をプライベートピアリングして接続したい、ということ。

※社員用サブスクは制限かかっているようなのでできまへん。ちーん。

ちなみに以下のオフィシャルサイトを参考にしてほしい。

https://docs.microsoft.com/ja-jp/azure/virtual-network/create-peering-different-subscriptions 

なんだか小難しい手順が書かれているが、簡単に言うと以下となる。

１）Azure ADで「ゲストユーザー招待」を完了させておけ

２）お互いのvNETで相手側のアカウントが操作できるよう

　　「ネットワーク共同作成者」をRBAC(IAM)で相互で設定しておけ

３）ピアリング設定をする際は「リソースID指定」で認証してやれ

ということでやってみよう。

まず「outlook.jp」側のリソースがこれ。

「cent-vnet」という名前のvNETに「cent0001」という仮想マシンが 172.16.0.4 というプライベート用のNiCが付いた状態でいる。

もう片方は「outlook.com」側のリソース。

「cent-vnet2」という名前のvNETに「cent0003」という仮想マシンが 192.168.0.4 というプライベート用のNiCが付いた状態でいる。

とりあえずAzure Portalの左ペインからAzure Active Directoryを選択。

「ユーザー」から「＋新しいゲストユーザー」を選択し、以下メールアドレスを入力して「招待する」を押す。

しばらくすると上で入力されたメールアドレスへ以下のようなゲストユーザー招待のメールが届く。

メール内にある「招待の承諾」を押すことブラウザから認証が走るので、招待された側は自分（outlook.jp側）のアカウントとパスワードを入力して招待を受ける。

この作業はoutlook.jp側からoutlook.com側への招待も同じく実施する。つまりそれぞれ1回ずつ招待し計2回やる。

反映に少し時間がかかるかもしれないが、以下のような画面がAzure Active Directoryのユーザー一覧に出力されることを確認しよう。

※これはoutlook.com側のアカウントでログインした時の画面。koiketmp1@outlook.jpのアカウントがゲストユーザーとして反映されていることが確認できる。

これでとりあえずAzure AD側では双方のアカウントが認識された状態となる。次はそれぞれのvNET（cent-vnetとcent-vnet2）にて、RBAC(IAM)を操作し、お互い「ネットワーク共同作成者」のロールを付与する。つまりお互いがお互いのvNETに対して作成や更新ができる状態にしよう。

outlook.jpとoutlook.com両方のvNETに、以下のようにアクセス制御(IAM)の設定を入れて保存する。

保存が正常に終わると「アクセス制御(IAM)」の「ロールの割り当て」画面に、指定したアカウントとロールが一覧に表示されるので確認しておこう。ちなみにRBAC（あーるばっく）とはRole-Based Access Contolの略で、この「アクセス制御(IAM)」を指します。

双方（outlook.jpとoutlook.comの両方）でのRBACの設定が終われば最後はピアリング。

ここまでで、以下の１）と２）が終わった状態。

１）Azure ADで「ゲストユーザー招待」を完了させておけ

２）お互いのvNETで相手側のアカウントが操作できるよう

　　「ネットワーク共同作成者」をRBAC(IAM)で相互で設定しておけ

３）ピアリング設定をする際は「リソースID指定」で認証してやれ

最後に３）を行うが、先に許可を許す側のvNETの「プロパティ」を選択し、「リソースID」をコピっておこう。

※2画面で別々のアカウントでログインしてやっていると、サインアウトしないといけない部分などがタイミングによってあるので、ここからは1画面でやるのがよい。

お互いのリソースIDをメモ帳などにコピーしたら、vNETの「ピアリング」から「追加」を選ぶ。

Peeringの設定ではピアリングの名前は適当（任意）でOK。リソースIDを知っている、というチェックボックスにチェックを入れる。

先ほどメモ帳でコピーしたリソースIDを、べたっと張り付けるとディレクトリがプルダウンで選択できるようになるため、該当のっディレクトリを選択して「認証」を押す。

上の画面ではoutlook.jp側のアカウントでログインしoutlook.jp側のvNET(cent-vnet)のピアリングを追加する画面。なのでoutlook.com側のリソースIDとディレクトリを指定してあげて認証する。認証が終われば1番下のOKボタンを押す。

以下のように設定したピアリング項目がvNETのピアリング画面に表示されればOK。

※ピアリング状態が「開始済み」なので、まだ片方向でしか設定が完了していないことを示す。双方向でピアリングが確立していると「接続済み」というステータスになるため、現時点ではまだvNET Peeringは終わっていない。

ということで今度はもう片方側でログインして同じようにピアリングの設定を行おう。

こんな感じで「接続済み」ステータスになっていれば万事OK！！！

ちなみにこんなエラーが出てピアリングがうまく行かない時がある。

この場合はピアリング先のアカウントがログイン状態になっている、とか、Azure AD側の反映が遅れている、などの原因が考えられるため、１日おいて片方のアカウントだけでログインしてもう一度設定することをお薦めする。

では最後に仮想マシン間でチェックしよう。

outlook.jp側もoutlook.com側も、どちらのVMからも双方向でpingチェックの通信が通ることが確認できた。ってことでファイルをコピーしてみよう。

172.16.0.4 のVMから192.168.0.4 のVMへ scp でファイルコピー。

すばらしい。

ってことで、異なるアカウント同士で異なるネットワークセグメント間のVM同士を仮想ネットワーク単位でピアリングすることができました。VMイメージのvhdをエクスポートしてインポートしたり、VMを新規作成してデータだけblobへ配置して吸い上げる、Azure Filesで双方でマウントする、などなどいろんな移行方法はあるけど、サーバー間を繋げることでプライベート網を使った接続が簡単にできるので、今後の移行方法の１つとして考えてもらえればと。

タイトルにあることを考えると、大抵以下のサイトに行きつくと思う。

https://docs.microsoft.com/ja-jp/azure/postgresql/concepts-backup

が、なんだかよく読んでいると？？？になってくることもｗ

フルバックアップは毎週で差分バックアップは１日に２回行ってて、でもリストアする時は日時だけじゃなく時分秒まで設定を入れてポイントインタイムリストアできると。。はてｗｗ　復元されたデータのタイミングはどこの静止点になるんだ？と。

オンプレでは主にpg_dumpやpg_dumpallをcronに登録しておいて、決まった日時や曜日、１日に１回、などなどデータベースのダンプバックアップファイルを別のNASへ配置しておき、何か想定外のことが起きればNASにあるdumpファイルから空のPostgreSQLの環境へスキーマ毎復元、みたいなことをやると思います。

が、Azure DB for PostgreSQLでは、「決めらている静止点」での復元になるのか、「選択可能な静止点」での復元なのかが、モヤっとしますね。

ということで試しましょ。

 まずはDB for PostgreSQLをデプロイ。

※USリージョン使っているのに特に意味はないです。

つづいてバックアップ設定。

※デフォではバックアップの保有期間が7日になっていたので、14日に変更。

※今回は同一リージョン内での復元をするのでローカル冗長。

接続元は特定のVMからにしたいのでDB for PostgreSQLに付いているファイアウォール機能を使い、SSL接続は無効に。（手っ取り早く疎通取りたかっただけ）

で、とりあえずDB側の設定は終わりで、続いてクライアント側からは定期的にデータをぶち込むスクリプトを用意。

※パスワードは環境変数でPGPASSWORDに入れてある。

※デバッグ用のechoは無視してOK）

#!/bin/sh

COUNT=1

while :
do
        DATENOW=`date`
        WORD="insert into test values (${COUNT}, '${DATENOW}');"
        psql --host=postgresqltest001.postgres.database.azure.com --port=5432 --username=azure01@postgresqltest001 --dbname=postgres -c "${WORD}"

        echo "${COUNT} , ${DATENOW}"
        echo "${WORD}"
        COUNT=`expr ${COUNT} + 1`
sleep 300
done

ちなみに事前にpostgreSQL 11はインストールしてあるのでpsqlのパスは通ってる前提。

yum -y install https://download.postgresql.org/pub/repos/yum/reporpms/EL-7-x86_64/pgdg-redhat-repo-latest.noarch.rpm

 

yum -y install postgresql11-server postgresql11-contrib

で、DB for PostgreSQLへ接続して放置してあったデータの一覧を見るとこんな感じで見える。

※最初の1,2,1,2,3は何度かリランした残骸なので無視してｗ

こんな感じのデータが約8日間、ずっと5分毎にinsertされまくってる状態。

ということで、2020年3月20日の15:00の時点で復元を試みてみよう。

リストアは簡単。postgreSQLのOverviewにある上段の「復元」タブを押して日付と復元した後の新しいpostgresサーバー名を入力するだけ。

復元が終わるとこんな感じでDB for PostgreSQLのリソース２つ目ができます。

おしおし、ってことで早速DBに登録されている最新レコードが何時何分のものなのか見たくなるのですが、復元した直後の状態はファイアウォール設定がコピーされない状態で復元されるので、再度設定してあげます。

不便じゃーって思う人も多いかもしれませんが、仮にSQLインジェクションが発見されて落ちてしまったDB for PostgreSQLを復元させると、復元と共にまた脆弱性をつつかれる、みたいなことにならないようネットワークレイヤの設定とDB設定は別にされているのかもしれませんね。

おおう、すばらしい。直前まで書き込んでいたデータがちゃんと反映されてますね。あ、ちなみにpostgres側のユーザーやパスワードはリセットされませんので、そのまま今までのものが引き継がれます。

いや、でもたまたま15:00にバックアップ取られていただけでタイミングよかったからじゃね？という小悪魔な自分が囁き始めたので、今度は3月18日の16:50での復元を試してみました。結果は以下。

すんばらしい、よくできている。

てことで、バックアップは設定した直後からバックアップはされますが、保持期間の間であれば任意な時間で復元が可能ということがわかります。 

なんだかsudoに脆弱性が発覚し騒がれつつありますね。

それもそのはず、CVSSのスコアが「7.0」と警告レベルを超えて

重要だぜ、というスコアになっているのと、一部分だけを読むと

rootユーザー権限が乗っ取られる、と解釈できる部分があるから

でしょうね。

参考：https://access.redhat.com/security/cve/cve-2019-14287

いや、そもそもCVSSってなんぞ？スコアって？という方は

以下を参考に。

https://www.ipa.go.jp/security/vuln/CVSS.html

まぁいわゆる脆弱性レベルって一概にいっても様々な軸と捉え方が

あるわけで、そこを包括的にオープンな情報として各機関が軸や

考え方をまとめたスコアですよ、ということ。つまりこのスコアを

本人や企業ががどう扱おうと自由なわけですが、エンジニアとしては

今やるべきなの？後回しでもいいの？スルーしていい？というモノサシ

がほしいですよね。

そういう意味では今回のは重要レベルのスコアなので踊らされてしまう

のも無理はないですが、ちゃんと中身を読むとsudoをuser毎に厳密に

権限管理されている場合、root権限を与えていないuserでもroot権限で

実行できてしまうセキュリティホールが見つかったよ、というもの。

言い方を変えるとsudo = root　という扱いでしか利用されていない

Linux環境であれば何の問題もないわけです。具体的にはこんな感じ。

通常利用

$ sudo -u#${uid} command

　⇒　uidを使ってcommandを実行

問題となった利用方法

$sudo -u#-1 command

もしくは

$sudo -u#4294967295 command

　⇒　-1も4294967295も存在しないuidだが、バグで0と解釈されて

　　　しまい、かつ存在しないuidのためパスワードデータベース

　　　への参照もされずPAMも制御外となる、そしてuid=0はroot

　　　のuidのためroot実行されちゃう、というｗ

で、じゃあどうすんだよ、という話に移る。

今回問題があるsudoのバージョンは1.8.28より前のバージョンが該当

するとのこと。

参考：https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-14287

で、Azure VM(やっとここでAzureな話ｗ）のRhelやCentOSのyum upgrade

/update で対応できるかなー、っと思ったけどまだrepositoryに展開されて

いない模様。

# yum list sudo
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
 * epel: ftp.riken.jp
Installed Packages
sudo.x86_64                                        1.8.23-4.el7                                         @base
#

　※あ、epel-releaseもインストール済でつ。

ということでsudo本家の以下サイトから1.8.28をtar.gzでダウンロードしま

しょ。

https://www.sudo.ws/stable.html

ソースからの展開なのでパッケージ展開と比べてダルいですがコンパイラが

必要なのでgccあたりはあらかじめyum installしておいてください。

tar.gzを展開するとこんな感じ。

./configure、make、make installして反映しましょ。

※rootアカウントが利用するsudoはデフォで/bin/sudoになってます。

　このソースからmake installで展開されるのは/usr/bin/sudoのs-linkと

　/usr/local/bin/sudoの実態なので、混乱しないように。

　自分は混乱するので/bin/sudoを/usr/local/bin/sudoの実態を参照する

　ようにS-linkはっておきましたが。

で、例の問題となった脆弱性をつつくコマンドを叩いた結果が以下。

いいね！ちゃんとエラーとなって解釈できているようでつ。

対応方法と対応した後の確認までの記事があまり見つからなかったので

敢えてこの記事を書きましたが、もう一度言っておくとsudo = rootと

いうシンプルな扱いをされている環境では対応の至急性はないです。

repositoryに反映されたら定期的にyum upgradeかけてるし問題なす！

な話です。

ちなみに今回はCentOS(ディストリビューションはRHELと同様）で

試しましたが、JPCERT CCが各ディストリビューション毎の記事を

まとめられていたので、ご参考まで。

https://www.jpcert.or.jp/newsflash/2019101601.html

いじょ

タイトルで、ある程度何やろーとしているか想像できる方は

きっともうAzureの初心者ではなさそうですね。

そしてやろうとしたけどなんだかうまくいかねぇーって泣きそうな

顔してる方もいらっしゃるかと思うので疎通とった記事をまとめて

おきますかね。

今回の記事でやりたいことは以下です。

やりたいのは、特定のログを定期的にチェックし、閾値を超えて検知

された場合は、一次処理を行った上でメールで終わったよ通知したい、

というものです。

①、ここは純粋にLog Analytics(Azure Monitor Logs)のワークスペースへVMに

　　入っているomsagentからのログを飛ばすだけ。

②、Log Analyticsのワークスペースで検索したクエリ（Kusto）から、特定の

　　ログを抽出し、その件数を閾値にアラートルールを作成。

③、アラートルールではAzure Automationアカウントに登録してある

　　Powershell Runbookを実行するように指定。

④、Runbook内に登録したPowershellでは、特定のAzure VMのステータスを

　　確認。

⑤、VMステータスをメール本文に入れてSendGridへ送信。

⑥、管理者（ここでは私）がメールの通知を受け取ってハッピー。

この①～⑥を自動実行（定期実行）したいわけですね。

ということでAzure上で必要なコンポーネントを並べると以下です。

● Azure Log Analytics (Azure Monitor Logs)

● Azure Monitor

● Azure Automation

● Powershell スクリプト

● SendGrid

じゃ早速いってみましょー。

今回疎結合された単体テストができるよう進めているので、以下の

２系統で進めます。

１系統：Automation powershell runbookの動作（④～⑥）

２系統：Log Analytics (Azure Monitor Logs) とAzure Monitorの設定（①～③）

まず最初に準備するのはAzure MarketPlaceにあるSendGridです。

ここは単純にFreeプラン（無償）でアカウント作ってパスワード設定

するだけなので割愛します。

※smtp serverと587 submissionポート接続用にユーザー名とパスワード

　はどこかにメモっておいてね。(SMTP認証するんで）

次にAzure Automationを用意しておきましょ。Azutomationアカウント名

は任意で作成しておいてください。

最初にやるべきは「Azure モジュールの更新」！！

これをやっておかないと、1.2.1といった超絶古いバージョンのpowershell

モジュールを使った処理がAuzre Automation側で実行されるので

1.2.1の記載をしなければ動かないです。また、ローカルPCで動いてる

hogehoge.ps1が5.7.1とかのバージョンで動作していると、動かないん

だけどー？って事態になります。（結構落とし穴ｗ）

更新するとこんな感じです。（１０分ぐらいで終わります）

最新すぎるだろ！って突っ込みはスルーして進めますｗ

続いてRunbookを開いてPowershellをコネコネしていきます。

Runbookの作成、から、powershellを選びます。

Python2やグラフィックpowershell ワークフローなんかも選べます。

※Python3マダー

で、ぶちこむPowerShellはこんな感じ。

powershell/automationpowershell.ps1 at master · akkoike/powershell · GitHub

入れる変数の説明だけ少し。

$rg_name = ""
$target_vm_name = ""

 　　ポンチ絵でいう④の部分です。対象となるVM名とRG名を入れましょう。

# Setting for E-mail
$SmtpServer = 'smtp.sendgrid.net'
$Port = 587
$UserName = ''
$Password = ''
$MailFrom = ''
$MailTo = ''
$Encode = 'UTF8'
$Subject = 'テストメール from runbook'

　　メールの設定です。MailFromは確実にエラーメールが届くように

　　存在するメールアドレスを入れないとRFC的にしばかれます。

じゃテストウィンドウからテスト実行しましょ。

ロードして実行されて宛先のメールアドレスにTest Mailという件名のメールが

届いたでしょうかね。本文には対象としたVMの稼働状態を示す文字列が１行だけ

記載されているはず。

※メールこないんだがー、って時は、runbookが正常に終わったのかどうかを

　確認してください。正常に終わっててこない場合は、メールの問題か

　宛先アドレス側で設定されているスパムフィルタの問題などが考えられる

　かな。SendGridポータルで確認してください。

ここまでうまくできれば、１系統は終わり。

最後にAutomationのrunbookの画面で「公開」を押しておきます。

※「開始」ではない点注意です。開始は単体で実行してみる、という意味合い

　です。

続いて２系統目に入ります。

リソース追加からLog Analyticsと検索し、WorkSpaceを１つ作成します。

対象VMのログ設定がまだされていない場合は以下のように設定します。

ここではazure01とcentlog001というVM名の２つがLog Analytics WorkSpaceへ

ログを取り込む設定がされていることがわかります。

※しばらくほっておくと左ペインの「ログ」からHeatbeatなどのログが飛んで

　きていることがわかります。また、対象VMを選択した後、Azure Portalから

　該当のVMへ自動的にエージェントをインストールしてくれます。

　LinuxVMならomsagentというプロセスが上がります。

ではログ検索にいきましょう。

ここでは単純に「今から10分前までのデータでHeartbeatで出力されたレコード」

を一覧で出しています。

Splunkでもそうですが、Log AnalyticsでもKusto（くすと）と呼ばれる

専門の言語をつかって検索クエリをかける必要があります。

Heartbeat

| where TimeGenerated > ago(10m)

※Heartbeatテーブルの中でTimeGeneratedの時間が10分前のもの、という

　指定です。

Linuxのログだとsyslogやカスタムログでも構造的にシンプルな構造に

入っていますが、Windows ServerのAuditlogsやActivityLogsなんかは

ツリー形式で登録されていたりします。

その場合は、mv-expandやprojectという関数を使って整形するとよいです。

例

AuditLogs
| where OperationName == "Add group"
| where TimeGenerated > ago(365d)
| extend localtime = TimeGenerated+9h
| mv-expand TargetResources
| mv-expand InitiatedBy
| project DisplayName = TargetResources.displayName , InitiatedBy.user.userPrincipalName

※AuditLogsテーブルの中で、OperationNameがAdd Groupになっている

　レコードを対象に、JSTで365日前までのデータを対象にする。

　ツリー構造になっているレコード（>TargetResourcesみたいな表示)に

　なっているものは、TargetResourcesとInitiatedByの２つをmv-expandで

　１行に整形し、project関数を使って表示したいdisplaynameとuserPrincipal

　Nameの項目だけを出力する、という命令。（わけわからんよねｗ）

ま、今回はここは難しいクエリにせずにHearbeatの件数を閾値に

アラートルールを設定しましょ。

 ログ検索した画面の右上にNew alert ruleというボタンがあるので、そこを

クエリ結果が出た状態のままクリックします。

「条件」を押すと、先ほどかけたクエリがそのまま適用された状態に

右側へブレードが移ります。

基準では、このクエリが出力された結果の”行数”が1以上の場合、っと設定

しています。

最後の評価基準では、このクエリをかける対象範囲を今から30分前までの

データを対象とし、５分間隔で定期実行する、という設定の意味です。

完了を押して、次のアクショングループの設定にいきます。

ここでは１系統目で用意していたRunbook powershellを指定していきます。

特に迷うところはない、かな。

最後に「アラートの詳細」で、「アラートルール名」と「説明」を

適当に入力して、「最後にアラートルールの作成」ボタンを押します。

以上です。５分間隔で以下のようなメールが飛び続けますｗ

停止するときは以下のようにLog Analytics WorkSpaceの画面で

「警告」＞「アラートルールを管理します」「無効化」で停止しましょう。

今回はテスト的に疎通を取ることに注力しましたが、いくらでも応用はできます。

VMのステータスを見て、VMを起動、停止するもよし、VM以外のリソースを

コントロールする処理をPowerShellで記載すれば、とあるログの結果から一次処理

を実行する、といったことができます。

また、今回はAutomation Runbook Powershellで行いましたが、アクショングループ

を設定する際にAzure Functionを呼び出すこともLogic Appsを呼び出すことも

できます。このあたりは好みで。

あとLog AnalyticsではHeartbeatテーブルを対象にしましたが、Linuxであれば

rsylogd経由のFacilityに対して独特のログを飛ばし、その独特のログの件数を

閾値に処理を行う、といったことや、Azure VM OS内の個別のログファイルを

対象（カスタムログ）にLog Analytics WorkSpaceへ飛ばすこともできます。

「ログから、とある処理を自動実行したいんだけど」

といった状況があれば、上記は１つの解決策ですね。べんりやね～～♪