インフラエンジニアの隙間時間 Infrastructure Engineer's Spare Time
はじめに
- AZ-900レベルの知識、インフラエンジニア微経験でAzureを少し利用したことがある方を対象にしています。
- 今の現場で利用する可能性があり検証をしました。もしPXTから私の後任の方が出る際にご参考になればと思います。
経緯
AzureVMで動くWindowsServerにWindowsUpdate以外の余計なインターネット接続を防いでセキュリティを強化したいとの要望で検証しました。アプリケーションチームの方で問題がありまだ実装していませんが今後する予定です。
WindowsUpdateサービスタグとは
NetworkSecurityGroup(以降NSG)は仮想ネットワーク内のAzureリソース(VMなど)が送受信するトラフィックを許可・拒否するためのサービス。
サービスタグとはNSGで通信を許可・拒否する送信元や送信先をAzureの方で定義しているグループのこと。
WindowsUpdateサービスタグはWindowsOSがUpdateに必要な通信先をAzureでグループ化し、指定できるタグ。
事前準備
- Azureアカウントとリソースグループ
- AzurePowerShell
構成
手順
- ①WindowsUpdate検証用のVMを作る
- Azureポータルへサインインをする。
- PowerShellを立ち上げて以下のコマンドでAzureにサインインする。
#AzurePowerShell Connect-AzAccount - 以下のコマンドで利用するサブスクリプションのIDを確認する。
#AzurePowerShell Get-AzSubscription - 以下のコマンドで手順3で確認してIDを指定してサブスクリプションを設定する。
#AzurePowerShell Set-AzContext -SubscriptionId "サブスクリプションID" - 以下のコマンドでVMを作成する。
#AzurePowerShell New-AzVM ` -ResourceGroupName "okuyama-rg"` -Name "UpdateVM"` -Location "japaneast"` -Image "MicrosoftWindowsServer:WindowsServer:2019-datacenter-gensecond:latest"` -VirtualNetworkName "Test-vnet"` -SubnetName "default"` -SecurityGroupName "UpdateNSG"` -PublicIpAddressName "myPublicIpAddress"` -Size "Standard_B2s"` -OpenPorts 3389 - VMのユーザー名とパスワードを求められるので入力する。
- VMの作成が完了したら、Azureポータルから手順5で指定したNSGを検索して選択。
- 送信セキュリティ規則から追加を選択する。
- 以下の内容で規則を追加する。
- Azureポータルから手順5で作成したVMを検索して選択。
- 接続からRDPファイルのダウンロードを選択してVMにログインする。
- WindowsUpdateを実行して失敗することを確認する。
- 再度NSGの送信セキュリティ規則から追加を選択する。
- 以下の2つの規則を追加する。
- 再度VMからWindowsUpdateを実行して今度は成功するを確認する。
- ブラウザでインターネット接続ができないことを確認する。
以上で終了です。