はてなブックマーク

はじめに 自分の頭の整理をかねて、Azure の物理構成と IaaS の可用性を向上するための仕組みをまとめます。本エントリでは次の内容に触れます。 ジオ リージョン ゾーン スケールユニット・クラスタ 障害ドメイン 更新ドメイン 可用性セット 可用性ゾーン ローカル冗長ストレージ (LRS) ゾーン冗長ストレージ (ZRS) ジオ冗長ストレージ (GRS) ジオゾーン冗長ストレージ (GZRS) なお、自分のリファレンスを兼ねているので、日本語公式ドキュメントからの引用が多めです。 物理構成 ジオ ジオとは、Azure のサービスを利用できる地域の総称です。Azure は複数のジオで構成されています。 ジオのイメージ 次の URL でジオの一覧を確認できます。 https://docs.microsoft.com/ja-jp/azure/best-practices-availabili

BGP対応のAzure VPN GatewayをPowerShellでデプロイするで作成したBGP対応のVPN GatewayをFortiGateと接続します。FortigateとAWSをIPSecで接続したことがあれば、同じイメージで対応できます。動作確認で利用したFortiGateはFortiGate 50B（v4.0 MR3 Patch 14）です。古いモデルで申し訳ない。 FortiGateを設定する上で注意点が3つあります。具体的には次のとおりです。 IPsecのパラメータをそろえる VPN GatewayのプライベートIPアドレスに対するルーティングを追加する eBGP Multihopを有効にする IPsecのパラメータをそろえる IPsecは機器間のパラメータが異なるとつながりません。FortinetはFortiGateとAzureをIPsec接続するためのドキュメント（I

2017年の振り返りエントリです。2017年をだらだらと振り返りながらエントリを書いていたら、2018年になってしまいました。今年もよろしくお願いします。 仕事 クラウドエンジニアへの社内転職 自らの意思で、オンプレミスのネットワーク運用チームのリーダーから、AWSとAzureのエンジニアに社内転職しました。ネットワークエンジニアとしてのキャリアは8年でいったん終了です。 ネットワークエンジニアの私にとって、パブリッククラウドは「興味のある技術領域」でした。パブリッククラウドに対する自己研鑽は単なる素振りでした。しかし、異動によってパブリッククラウドは「業務で取り扱う技術領域」になりました。興味のあることが業務になったので、仕事のモチベーションを維持しやすかったです。さらに、「興味のある技術領域」と「業務で取り扱う技術領域」が一致したので、自己研鑽によるインプットとアウトプットが仕事の自分

はじめに TerraformのMicrosoft Azure ProviderがAzure CLI認証に対応しました。サービスプリンシパルを作らなくてもTerraformが動きます。 AzureRM delegated user access? Authenticating to Azure Resource Manager using the Azure CLI AWS Providerの$HOME/.aws/credentials認証と似た機能です。Microsoft Azure Providerは$HOME/.azure/配下に保存されている情報を利用します。 動作確認 Azure Cloud Shellで試しました。Azure Cloud Shellは、起動した時点でAzure CLIの認証が完了しています。しかもAzure Cloud ShellのコンテナはデフォルトでTerra

背景 asciidoctor-pdfで画像入りのPDFを作り始めたものの、センタリングやサイジングなどMarkdownには存在しない記法が覚えられません。asciidocは高機能ですが、使いこなせなければ意味がない。 というわけで、公式のユーザガイドから使いそうなものをまとめました。 実践 画像の種類 インラインとブロックがあります。違いはコロンの数です。 区分 記法

背景 時代はHTTPSだということで、GitHub Pagesで公開している本ブログをHTTPS化しました。 実践 ホスティング先の選定 GitHub Pages＋CloudFlareではなく、Netlifyを使うことにしました。 高機能ホスティングサービスNetlifyについて調べて使ってみた Netlifyは最強の静的ウェブサイトホスティングサービスかもしれない デプロイプロセスの整備 このブログは、CircleCIを中心としたデプロイプロセスで運営されています。Netlifyには、GitHubと連携しHogoを自動ビルトする機能があります。ですが、この機能を使うと、RedPenによる文書チェックが行われません。 そこで今回は、CircleCIのリリース先をGitHub PagesからNetlifyに切り替えることにしました。Netlifyにはnetlify-cliというCLIツールが

はじめに RedPenにスペルチェック機能を追加するの続きです。CircleCI上でRedPenを動かしてみました。 RedPenを利用したスペルチェックがローカル環境で動くことを確認しました。JavaScriptでチェック項目を拡張できるのがいいですね。次はスペルチェック用辞書の単語を増やした上で、CircleCI上で動作させてみようと思います。 コンテナの仕込み CircleCIのコンテナでRedPenを動かさなければなりません。RedPenはJava 1.8が必要なのでcircle.ymのmachineの箇所に追加します。また、RedPenそのものをダウンロードしなければなりませんので、dependenciesの箇所でアーカイブのダウンロードと展開、削除を行います。 machine: timezone: Asia/Tokyo java: version: oraclejdk8 dep

UTM製品は、SSLによって暗号化されている通信の中身を見てUTM処理を行うものがあります。イマイチ振る舞いが分からなかったので、いろいろと調べました。きっとこんな感じだろレベルであり、あってるかどうかは不明です。なお、絵を描く気力はなかったです。 SSL通信の流れ クライアントとサーバ間で、SSLのセッションとコネクションを確立するまでの流れは以下の通りです。 クライアントとサーバ間で暗号化方式のネゴシエーションを行う。 サーバは、クライアントにサーバ証明書（とCA中間証明書）を送る。 クライアントは、受信したサーバ証明書を検証する。（検証プロセスは後述） クライアントは、サーバ証明書からサーバの公開鍵を取り出す。 クライアントは、共通鍵の元を作る。 クライアントは、サーバの公開鍵を利用して、共通鍵の元を暗号化する。 クライアントは、暗号化した共通鍵の元をサーバへ送る。 サーバは、暗号化

minimalでインストールしたCentOS6.6にBitnami Redmineをインストールしました。今後のために手順をメモしておきます。 Bitnami Redmineのインストール インストーラをダウンロードして実行権限をつけて実行するだけ。簡単です。Bitnamiシリーズは、ドリルではなく穴が欲しい人向けですね。 プラグインのインストール 本体がすんなりインストールできたので、プライグイン（redmine_knowledgebase）もインストールしました。Bitnami Consoleの存在を知らなかったため、インストールディレクトリ配下の実行ファイルを直接叩いています。 Bitnami Consoleを使う 環境変数を設定してくれる便利なスクリプトがありました。。。インストールディレクトリは以下のuse_redmineです。実行するとインストールディレクトリ配下のソフトへのパ

本エントリーは、Wordを満足に使いこなせない私が、Wordよりも気軽にドキュメントを書く方法を試行錯誤した結果のメモです。せめて内部用のドキュメントくらいは気軽に書きたいのです。 概要図 試行錯誤した結果、下図のような構成になりました。人がやることは、WindowsのターミナルエミュレータからSSH経由でreSTファイルを編集する事だけです。あとは全自動でいい感じな見た目のPDFファイルがChromeに表示されます。 …Wordでいいじゃね？とは思いますが、気のせいだと思います。 Sphinxを使って、文書の内容と見た目を分離する ドキュメント作成のめんどくさいところは、想定読者向けに見た目を整える必要があることです。自分が読むだけならメモ帳でいいですが、ドキュメントとして想定読者が存在する場合、ドキュメントの第一印象は見た目が9割。 そうはいっても、ドキュメントの最終的な価値は内容で決

Public DNSって何？ このエントリーでは、以下の2つの条件を見たすDNSサーバをPublic DNSと呼びます。 代表的なPublic DNSは、Public DNSという名称を広めたGoogle Public DNSです。 ネットワーク的な制限がかかっておらず、誰からのアクセスも受け入れるキャッシュDNSサーバ サービス提供者が、誰でもアクセスしてよいと謳っているキャッシュDNSサーバ 129.250.35.250/251はPublic DNSなのか？ 以下のように、NTT Americaが有している129.250.35.250/251をPublic DNSと記載するエントリーが散見されます。 Public DNS 「8.8.8.8」「129.250.35.250」は本当に速いのか？ 無料で安全なDNSサービスの一覧 また、以下のようなWebアクセスが早くなるという話を信じて、自

きっかけ DNSプリフェッチをHTML側で大量に書いておくと、DNSサーバー側にアクセス不能攻撃が出来るBINDの脆弱性とかあったな。 / “DNSプリフェッチでウェブページの読み込み速度をスピードアップ | 海外SEO情報ブログ” http://t.co/hvDIfAxouu — 齊藤貴義 (@miraihack) 2014, 5月 22 思いつき ブラウザに大量のDNSプリフェッチを実施させることで、経路上のNAT箱の送信元ポートを枯渇させ、DoS状態にする。 テスト環境 DNSプリフェッチが大量に記載されたウェブページを用意します。 unboundのlocal-zone機能を利用して”local.”に対するDNS問い合わせを自分で答えるようにします。ただし、問い合わせに対して素直に答えてしまうと、NAT装置が速やかにセッションをクローズし、送信元ポートをリリースしてしまう可能性がある

tremaのお勉強をする為に、openvswitchに複数のサーバがぶら下がる環境が欲しかったので、自宅のESXi5.1（5.1.0,838463）上にKVMを構築しました。その際に仮想マシンのVT-x有効化にハマったのでメモしておきます。 単純に仮想マシンの設定で「intel VT-xを使用する」的なオプションにチェックをしても、仮想マシン側ではVT-xが有効になりません。仮想マシン（Ubuntu12.10）上の表示結果は下記の通りです。 @kvmhost:~$ grep vm /proc/cpuinfo flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts mmx fxsr sse sse2 ss syscall nx rdtscp lm constant_

Catalsyt2960シリーズといえばL2SWの代名詞ですが、最近のIOSとフィーチャセットによっては、ちょいとしたL3SWとしても利用可能なので遊んでみました。今回利用した機種は、Catalyst 2960S-24TS-Lです。 ①SDMテンプレードの変更が必要 ぷちL3SWに出来るのはLAN-BASEだけですが（LAN-Liteは不可）、そのままでは肝心の「ip routing」コマンド自体が入りません。「sdm prefer lan-routing」コマンドからの再起動でSDMテンプレートを切り替える必要があります。 ②スタティックルートは16個まで 17個目を入れようとすると「16個しか入れられねーよﾊﾞｰｶ」みたいなエラーメッセージが出ます。 ③InterfaceVlanがたくさん作れる＆HSRPがしゃべれる ただのC2960だとIPアドレスの振れるInterfaceVlanは

@stereocatさんのエントリーを見て自分もルータにフルルートを注入したくなったので、RouteViews+bgpdump+exabgpで試してみました。 経路情報の準備 route-views6.oregon-ix.netが公開しているIPv6のMRTデータを利用します。 bgpdumpのインストール @stereocatさんのエントリーを見ながら粛々と実施します。 exabgpの準備 これも@stereocatさんのエントリーを見ながら粛々と実施します。なおCentOS5.8のyumでインストールされるpython2.4だとエラーが出て動かなかった為、別途2.6をソースからインストールしました。 コンフィグ作成スクリプトの実施 MRT形式のデータをbgpdumpで変換しただけではexabgpのコンフィグに必要な構文になりません。そこで、スクリプトでbgpdumpの変換結果をexab

#nwstudy vol2にustreamで参加しました。現地参加したかったのですが、懇親会分の費用が捻出できず諦めました。。ケーブル配線のプロがテクを披露したり、配線つっこみLTがあったりとレイヤ0が盛り上がった勉強会だったと思います。 良い機会なので、レイヤ0に関する自身の教訓をエントリーにしたいと思います。 ケーブル配線で注意すべきたった一つの事は、「他の機器のスペースを横切って配線しない」事です。この原則さえ守ればそれなりの配線が出来ます。 実践①：スイッチのケーブルは横に流す これかなり大事。基本中の基本です。スイッチから1U下のスイッチに配線する際にも横に流すくらいの気持ちで！ ボックス型の装置が多いと思うので「横に流す」と表現していますが、実際には「機器に沿って流す」という表現が正しいです。シャーシ型のスイッチでモジュールを縦に挿すタイプ（Nexus7010やBrocade

「データセンタのラックなんてどれも似たようなもんだ」と思っていたのですが、色々なラックを見た結果、考えが変わりました。ラックのちょっとした差が、利用者の印象を大きく左右します。データセンタ事業者としてラック貸しをやるのであれば、機会損失を防ぐためにも、色々な用途に対応出来る万能なラックを提供したいものです。 いずれそんな業務に関わることもあるだろうという事で、考慮したいラック設計のポイントをまとめました。 １：光ケーブルはラック上配線にする コストが安いTwinaxケーブルが使える場面を増やすために、光ケーブルは、ファイバーランナーを使ってラック上配線にした方が良いと思います。 ラック単位、またはPOD単位でシステム拡張するユーザにとって、Top of Rack方式は非常に魅力的です。ToR方式で10Gbpsネットワークを構築しようとした場合、ラック内のスイッチとコアスイッチをTwinax