Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Windows Update を NSG で許可する / Permit the traffic...

kongou-ae
September 25, 2021
Technology
0
1.9k

Windows Update を NSG で許可する / Permit the traffic of windows update by NSG

本方式は非推奨となりました。プロキシサーバやファイアウォールを利用して FQDN で通信を許可する方法、または Azure Firewall の WindowsUpdate サービスタグを使う必要があります。

https://techcommunity.microsoft.com/t5/windows-it-pro-blog/changes-coming-to-the-azure-update-delivery-service-tag/ba-p/4156552
https://learn.microsoft.com/en-us/azure/virtual-network/service-tags-overview
> The Azure Update Delivery service tag used for accessing Windows Updates is marked for deprecation and in the future it will be decommissioned.

kongou-ae

September 25, 2021
Tweet

More Decks by kongou-ae

See All by kongou-ae
Azure Arc で Azure Stack HCI 上の仮想マシンを操作する / operate-virtual-machine-on-AzsHCI-by-Arc
kongou_ae
0
380
Azure Stack HCI に 21H2 機能更新を適用した時の苦労話 / trouble about applying 21h2 update to Azure Stack HCI OS
kongou_ae
0
560
2020年の Azure Stack Hub を振り返る / review-of-Azure-Stack-Hub-in-2020
kongou_ae
0
510
NSG フローログを確認する方法 / how-to-confirm-nsg-flow-log
kongou_ae
1
2.7k
仮想アプライアンス担当者向け Azure ネットワーク/azure network that focus on network virtual appliance
kongou_ae
2
2.9k
Azure のサービスを利用して Windows Server を運用管理する / operation and management of windows server by Azure service
kongou_ae
0
640
Azure Stack Edge を導入した話 / The story about installing Azure Stack Edge
kongou_ae
0
650
Azure Stack Hub を導入して分かった10のこと / 10 things I learned after installing Azure Stack Hub
kongou_ae
0
1.9k
Azure Stack Hub Update at ignite 2019 / Azure Stack Hub Update at ignite 2019
kongou_ae
0
640

Other Decks in Technology

See All in Technology
[CV勉強会@関東 ECCV2024 読み会] オンラインマッピング x トラッキング MapTracker: Tracking with Strided Memory Fusion for Consistent Vector HD Mapping (Chen+, ECCV24)
abemii
0
220
第1回 国土交通省 データコンペ参加者向け勉強会③ - Snowflake x estie編 -
estie
0
130
VideoMamba: State Space Model for Efficient Video Understanding
chou500
0
190
ハイパーパラメータチューニングって何をしているの
toridori_dev
0
140
New Relicを活用したSREの最初のステップ / NRUG OKINAWA VOL.3
isaoshimizu
2
590
Application Development WG Intro at AppDeveloperCon
salaboy
0
180
Lambdaと地方とコミュニティ
miu_crescent
2
370
透過型SMTPプロキシによる送信メールの可観測性向上: Update Edition / Improved observability of outgoing emails with transparent smtp proxy: Update edition
linyows
2
210
Lexical Analysis
shigashiyama
1
150
リンクアンドモチベーション ソフトウェアエンジニア向け紹介資料 / Introduction to Link and Motivation for Software Engineers
lmi
4
300k
隣接領域をBeyondするFinatextのエンジニア組織設計 / beyond-engineering-areas
stajima
1
270
[FOSS4G 2024 Japan LT] LLMを使ってGISデータ解析を自動化したい!
nssv
1
210

Featured

See All Featured
Practical Orchestrator
shlominoach
186
10k
Embracing the Ebb and Flow
colly
84
4.5k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
329
21k
How to Ace a Technical Interview
jacobian
276
23k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
109
49k
Gamification - CAS2011
davidbonilla
80
5k
The Invisible Side of Design
smashingmag
298
50k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
48k
Raft: Consensus for Rubyists
vanstee
136
6.6k
Optimizing for Happiness
mojombo
376
70k
Designing on Purpose - Digital PM Summit 2013
jponch
115
7k
Making the Leap to Tech Lead
cromwellryan
133
8.9k

Transcript

  1. Windows Update を NSG で許可する #jazug 2021/09/25

  2. 自己紹介 松本雄介 • 三井情報株式会社 • Azure と Azure Hybrid を担当

    • 提案から運用までの全フェーズを技術的に支援 • IaaS と Network、Azure Stack Hub が主戦場。PaaS や M365 にも戦場拡大中 • Azure Stack Hub 歴はそろそろ4年に • Microsoft MVP for Microsoft Azure(2019/05~) 2

  3. 本日のセッションの目的 NSG の AzureUpdateDelivery サービスタグ を紹介する • 旧 feedback.azure.com で熱望されていた機能

    • 2021年8月末にドキュメントに登場 3

  4. Windows Update と NSG

  5. Windows Update と NSG 相性が悪い • Windows Update:FQDN &ワイルドカードでの通信許可を要求する •

    NSG:IP アドレスでのみ許可できる 5 引用:https://social.msdn.microsoft.com/Forums/ja-JP/7b2bf53d-e88f-431b-9efc-9b37ba57a543/windows-update-microsoft-update-12398255093215420808- url?forum=jpsccmwsus

  6. Windows Update と NSG 相性が悪い • Windows Update:FQDN &ワイルドカードでの通信許可を要求する •

    NSG:IP アドレスでのみ許可できる 6 引用:https://social.msdn.microsoft.com/Forums/ja-JP/7b2bf53d-e88f-431b-9efc-9b37ba57a543/windows-update-microsoft-update-12398255093215420808- url?forum=jpsccmwsus インターネット上の全 IP アドレスに対して HTTP と HTTPS を許可 • 自前 NVA で FQDN 制御 • 自前 Proxy で FQDN 制御 or その結果・・・

  7. Windows Update と NSG 2017年12月に UserVoice に要望が登場 7 引用:https://webcache.googleusercontent.com/search?q=cache:q434BmYhoOoJ:https://feedback.azure.com/forums/217313-networking/suggestions/32260814-add-a-network- security-group-tag-for-windows-updat%3Fpage%3D4%26per_page%3D20+&cd=4&hl=ja&ct=clnk&gl=jp

  8. Windows Update と NSG 2018年9月に Azure Firewall が先に対応・・・ • FQDN

    のリストを自動的にメンテしてくれる「FQDN タグ」機能が登場 • Windows Update の FQDN タグを使うだけで Windows Update を許可できる • が、Azure Firewall は安くない・・・サーバ台数が少ない構成だと料金が目立つ 8 引用:https://docs.microsoft.com/ja-jp/azure/firewall/fqdn-tags

  9. Windows Update と NSG 2020年11月、NSG による対応予定に一筋の光が 9 引用:https://webcache.googleusercontent.com/search?q=cache:q434BmYhoOoJ:https://feedback.azure.com/forums/217313-networking/suggestions/32260814-add-a-network- security-group-tag-for-windows-updat%3Fpage%3D4%26per_page%3D20+&cd=4&hl=ja&ct=clnk&gl=jp

  10. Windows Update と NSG 10 引用:https://github.com/MicrosoftDocs/azure-docs/commits/ed6e3c207701705742669bbf7ff01eb5b31e9070/articles/virtual-network/service-tags-overview.md そして、時は2021年8月24日 • AzureUpdateDelivery サービスタグが公開

    • 1054名の悲願、ついに達成 GitHub のコミットメッセージ

  11. AzureUpdateDelivery の使い方

  12. AzureUpdateDelivery と AzureFrontDoor.FirstParty を併用する • AzureUpdateDelivery:Windows Update メタデータサービスへのアクセス • AzureFrontDoor.FirstParty:ファイルのダウンロード

    • 「インターネットに HTTP・HTTPSを許可」と比べて、通信できる宛先を限定できる AzureUpdateDelivery の使い方 12 設定サンプル 引用:https://docs.microsoft.com/ja-jp/azure/virtual-network/service-tags-overview#available-service-tags

  13. AzureUpdateDelivery の使い方 Azure Portal 以外で設定する 13 # 対象の NSG を取得

    $nsg = Get-AzNetworkSecurityGroup -Name stagtest -ResourceGroupName nsgtest # AzureUpdateDelivery への TCP/443 を追加 $nsg | Add-AzNetworkSecurityRuleConfig -Name update -Description "AzureUpdateDelivery" ` -Access Allow -Protocol Tcp -Direction Outbound -Priority 100 -SourceAddressPrefix "*" ` -SourcePortRange * ` -DestinationAddressPrefix AzureUpdateDelivery -DestinationPortRange 443 # AzureFrontDoor.FirstParty への TCP/80 を追加 $nsg | Add-AzNetworkSecurityRuleConfig -Name updateDelivery -Description "AzureFrontDoor.FirstParty" ` -Access Allow ` -Protocol Tcp -Direction Outbound -Priority 110 -SourceAddressPrefix "*" ` -SourcePortRange * ` -DestinationAddressPrefix AzureFrontDoor.FirstParty -DestinationPortRange 80 # 対象の NSG を更新 $nsg | Set-AzNetworkSecurityGroup

  14. AzureUpdateDelivery の使い方 動作結果 14 アップデートを確認できた アップデートを適用できた

  15. 注意点:「Windows Update だけを許可」ではない • AzureFrontDoor.FirstParty は CDN なので、AzureFrontDoor.FirstParty に含まれる IP

    アドレス は Windows Update 以外の他の Microsoft サービスでも利用されているはず • AzureFrontDoor.FirstParty への通信を許可=他の Microsoft サービスも使っている IP アドレス への通信も許可 「Windows Update だけを許可したい」場合は、FQDN で通信を制御できる仕組みを利用する AzureUpdateDelivery の使い方 15

  16. 振り返り

  17. ふりかえり NSG のサービスタグが Windows Update に対応した! • AzureUpdateDelivery への TCP/443

    と AzureFrontDoor.FirstParty への TCP/80 • 「Windows Update だけを許可」ではないが、従来の「Internet への HTTP・HTTPS を全許 可」と比べて宛先を大幅に絞れる点がポイント • 2021年9月現在、ポータル以外で設定する必要あり 17