Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Windows Update を NSG で許可する / Permit the traffic of windows update by NSG

kongou-ae
September 25, 2021
Technology
0
1.4k

Windows Update を NSG で許可する / Permit the traffic of windows update by NSG

kongou-ae

September 25, 2021
Tweet

More Decks by kongou-ae

See All by kongou-ae
Azure Arc で Azure Stack HCI 上の仮想マシンを操作する / operate-virtual-machine-on-AzsHCI-by-Arc
kongou_ae
0
240
Azure Stack HCI に 21H2 機能更新を適用した時の苦労話 / trouble about applying 21h2 update to Azure Stack HCI OS
kongou_ae
0
370
2020年の Azure Stack Hub を振り返る / review-of-Azure-Stack-Hub-in-2020
kongou_ae
0
420
NSG フローログを確認する方法 / how-to-confirm-nsg-flow-log
kongou_ae
1
1.9k
仮想アプライアンス担当者向け Azure ネットワーク/azure network that focus on network virtual appliance
kongou_ae
2
2.1k
Azure のサービスを利用して Windows Server を運用管理する / operation and management of windows server by Azure service
kongou_ae
0
560
Azure Stack Edge を導入した話 / The story about installing Azure Stack Edge
kongou_ae
0
480
Azure Stack Hub を導入して分かった10のこと / 10 things I learned after installing Azure Stack Hub
kongou_ae
0
1.6k
Azure Stack Hub Update at ignite 2019 / Azure Stack Hub Update at ignite 2019
kongou_ae
0
510

Other Decks in Technology

See All in Technology
応用から学ぶ強化学習
nearme_tech
0
180
LLMの普及による機械学習の民主化とMLPdMの重要性 / democratization-of-ml-and-importance-of-mlpdm-by-llm
yuya4
2
2.7k
組織の立ち上げと体制変更の1年
tarappo
2
840
新リリース:microCMSテンプレート
microcms
1
730
Semantic Kernel を使って ChatGPT Plugins をアプリに組み込んでみよう
okazuki
0
130
ABEMAのRenderScript Intrinsics Replacement Toolkit 導入事例
takahana
0
280
CDK + ecspressoでお手軽コンテナ3分クッキング
yoyoyopg
0
130
CloudWatchでバレる 「君、仕事中にyo〇tube観てたよね?」
kadogen_0527
1
300
copilot-cli(Fargate)でRailsを運用するためのTips / JAWS-UG Okayama 2023
interu
1
340
CloudWatch複合アラームでELBの5XXをいい感じに検知しようとしたらうまくいかなかった話 / cloudwatch alarm elb 5xx
gotok365
0
600
ハンズオンで学ぶ! Instana基礎
daihiraoka
1
140
モノリスからの脱却に向けた 物流システムリプレイスの概要紹介 / Towards Decentralized Logistics System Replacement from Monolithic Structure
yumayabe
0
330

Featured

See All Featured
Visualization
eitanlees
130
12k
Building a Scalable Design System with Sketch
lauravandoore
451
31k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
46
15k
Git: the NoSQL Database
bkeepers
PRO
420
60k
The Language of Interfaces
destraynor
149
21k
Designing for humans not robots
tammielis
245
24k
Statistics for Hackers
jakevdp
787
210k
The Invisible Customer
myddelton
113
12k
We Have a Design System, Now What?
morganepeng
38
6.2k
5 minutes of I Can Smell Your CMS
philhawksworth
198
18k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
350
28k
Reflections from 52 weeks, 52 projects
jeffersonlam
341
18k

Transcript

  1. Windows Update を NSG で許可する
    #jazug 2021/09/25

    View Slide

  2. 自己紹介
    松本雄介
    • 三井情報株式会社
    • Azure と Azure Hybrid を担当
    • 提案から運用までの全フェーズを技術的に支援
    • IaaS と Network、Azure Stack Hub が主戦場。PaaS や M365 にも戦場拡大中
    • Azure Stack Hub 歴はそろそろ4年に
    • Microsoft MVP for Microsoft Azure(2019/05~)
    2

    View Slide

  3. 本日のセッションの目的
    NSG の AzureUpdateDelivery サービスタグ を紹介する
    • 旧 feedback.azure.com で熱望されていた機能
    • 2021年8月末にドキュメントに登場
    3

    View Slide

  4. Windows Update と NSG

    View Slide

  5. Windows Update と NSG
    相性が悪い
    • Windows Update:FQDN &ワイルドカードでの通信許可を要求する
    • NSG:IP アドレスでのみ許可できる
    5
    引用:https://social.msdn.microsoft.com/Forums/ja-JP/7b2bf53d-e88f-431b-9efc-9b37ba57a543/windows-update-microsoft-update-12398255093215420808-
    url?forum=jpsccmwsus

    View Slide

  6. Windows Update と NSG
    相性が悪い
    • Windows Update:FQDN &ワイルドカードでの通信許可を要求する
    • NSG:IP アドレスでのみ許可できる
    6
    引用:https://social.msdn.microsoft.com/Forums/ja-JP/7b2bf53d-e88f-431b-9efc-9b37ba57a543/windows-update-microsoft-update-12398255093215420808-
    url?forum=jpsccmwsus
    インターネット上の全 IP アドレスに対して HTTP と HTTPS を許可
    • 自前 NVA で FQDN 制御
    • 自前 Proxy で FQDN 制御
    or
    その結果・・・

    View Slide

  7. Windows Update と NSG
    2017年12月に UserVoice に要望が登場
    7
    引用:https://webcache.googleusercontent.com/search?q=cache:q434BmYhoOoJ:https://feedback.azure.com/forums/217313-networking/suggestions/32260814-add-a-network-
    security-group-tag-for-windows-updat%3Fpage%3D4%26per_page%3D20+&cd=4&hl=ja&ct=clnk&gl=jp

    View Slide

  8. Windows Update と NSG
    2018年9月に Azure Firewall が先に対応・・・
    • FQDN のリストを自動的にメンテしてくれる「FQDN タグ」機能が登場
    • Windows Update の FQDN タグを使うだけで Windows Update を許可できる
    • が、Azure Firewall は安くない・・・サーバ台数が少ない構成だと料金が目立つ
    8
    引用:https://docs.microsoft.com/ja-jp/azure/firewall/fqdn-tags

    View Slide

  9. Windows Update と NSG
    2020年11月、NSG による対応予定に一筋の光が
    9
    引用:https://webcache.googleusercontent.com/search?q=cache:q434BmYhoOoJ:https://feedback.azure.com/forums/217313-networking/suggestions/32260814-add-a-network-
    security-group-tag-for-windows-updat%3Fpage%3D4%26per_page%3D20+&cd=4&hl=ja&ct=clnk&gl=jp

    View Slide

  10. Windows Update と NSG
    10
    引用:https://github.com/MicrosoftDocs/azure-docs/commits/ed6e3c207701705742669bbf7ff01eb5b31e9070/articles/virtual-network/service-tags-overview.md
    そして、時は2021年8月24日
    • AzureUpdateDelivery サービスタグが公開
    • 1054名の悲願、ついに達成
    GitHub のコミットメッセージ

    View Slide

  11. AzureUpdateDelivery の使い方

    View Slide

  12. AzureUpdateDelivery と AzureFrontDoor.FirstParty を併用する
    • AzureUpdateDelivery:Windows Update メタデータサービスへのアクセス
    • AzureFrontDoor.FirstParty:ファイルのダウンロード
    • 「インターネットに HTTP・HTTPSを許可」と比べて、通信できる宛先を限定できる
    AzureUpdateDelivery の使い方
    12
    設定サンプル
    引用:https://docs.microsoft.com/ja-jp/azure/virtual-network/service-tags-overview#available-service-tags

    View Slide

  13. AzureUpdateDelivery の使い方
    Azure Portal 以外で設定する
    13
    # 対象の NSG を取得
    $nsg = Get-AzNetworkSecurityGroup -Name stagtest -ResourceGroupName nsgtest
    # AzureUpdateDelivery への TCP/443 を追加
    $nsg | Add-AzNetworkSecurityRuleConfig -Name update -Description "AzureUpdateDelivery" `
    -Access Allow -Protocol Tcp -Direction Outbound -Priority 100 -SourceAddressPrefix "*" `
    -SourcePortRange * ` -DestinationAddressPrefix AzureUpdateDelivery -DestinationPortRange 443
    # AzureFrontDoor.FirstParty への TCP/80 を追加
    $nsg | Add-AzNetworkSecurityRuleConfig -Name updateDelivery -Description "AzureFrontDoor.FirstParty" `
    -Access Allow ` -Protocol Tcp -Direction Outbound -Priority 110 -SourceAddressPrefix "*" `
    -SourcePortRange * ` -DestinationAddressPrefix AzureFrontDoor.FirstParty -DestinationPortRange 80
    # 対象の NSG を更新
    $nsg | Set-AzNetworkSecurityGroup

    View Slide

  14. AzureUpdateDelivery の使い方
    動作結果
    14
    アップデートを確認できた アップデートを適用できた

    View Slide

  15. 注意点:「Windows Update だけを許可」ではない
    • AzureFrontDoor.FirstParty は CDN なので、AzureFrontDoor.FirstParty に含まれる IP アドレス
    は Windows Update 以外の他の Microsoft サービスでも利用されているはず
    • AzureFrontDoor.FirstParty への通信を許可=他の Microsoft サービスも使っている IP アドレス
    への通信も許可
    「Windows Update だけを許可したい」場合は、FQDN で通信を制御できる仕組みを利用する
    AzureUpdateDelivery の使い方
    15

    View Slide

  16. 振り返り

    View Slide

  17. ふりかえり
    NSG のサービスタグが Windows Update に対応した!
    • AzureUpdateDelivery への TCP/443 と AzureFrontDoor.FirstParty への TCP/80
    • 「Windows Update だけを許可」ではないが、従来の「Internet への HTTP・HTTPS を全許
    可」と比べて宛先を大幅に絞れる点がポイント
    • 2021年9月現在、ポータル以外で設定する必要あり
    17

    View Slide