はてなブックマーク

はじめに 自分の頭の整理をかねて、Azure の物理構成と IaaS の可用性を向上するための仕組みをまとめます。本エントリでは次の内容に触れます。 ジオ リージョン ゾーン スケールユニット・クラスタ 障害ドメイン 更新ドメイン 可用性セット 可用性ゾーン ローカル冗長ストレージ (LRS) ゾーン冗長ストレージ (ZRS) ジオ冗長ストレージ (GRS) ジオゾーン冗長ストレージ (GZRS) なお、自分のリファレンスを兼ねているので、日本語公式ドキュメントからの引用が多めです。 物理構成 ジオ ジオとは、Azure のサービスを利用できる地域の総称です。Azure は複数のジオで構成されています。 ジオのイメージ 次の URL でジオの一覧を確認できます。 https://docs.microsoft.com/ja-jp/azure/best-practices-availabili

BGP対応のAzure VPN GatewayをPowerShellでデプロイするで作成したBGP対応のVPN GatewayをFortiGateと接続します。FortigateとAWSをIPSecで接続したことがあれば、同じイメージで対応できます。動作確認で利用したFortiGateはFortiGate 50B（v4.0 MR3 Patch 14）です。古いモデルで申し訳ない。 FortiGateを設定する上で注意点が3つあります。具体的には次のとおりです。 IPsecのパラメータをそろえる VPN GatewayのプライベートIPアドレスに対するルーティングを追加する eBGP Multihopを有効にする IPsecのパラメータをそろえる IPsecは機器間のパラメータが異なるとつながりません。FortinetはFortiGateとAzureをIPsec接続するためのドキュメント（I

2017年の振り返りエントリです。2017年をだらだらと振り返りながらエントリを書いていたら、2018年になってしまいました。今年もよろしくお願いします。 仕事 クラウドエンジニアへの社内転職 自らの意思で、オンプレミスのネットワーク運用チームのリーダーから、AWSとAzureのエンジニアに社内転職しました。ネットワークエンジニアとしてのキャリアは8年でいったん終了です。 ネットワークエンジニアの私にとって、パブリッククラウドは「興味のある技術領域」でした。パブリッククラウドに対する自己研鑽は単なる素振りでした。しかし、異動によってパブリッククラウドは「業務で取り扱う技術領域」になりました。興味のあることが業務になったので、仕事のモチベーションを維持しやすかったです。さらに、「興味のある技術領域」と「業務で取り扱う技術領域」が一致したので、自己研鑽によるインプットとアウトプットが仕事の自分

はじめに TerraformのMicrosoft Azure ProviderがAzure CLI認証に対応しました。サービスプリンシパルを作らなくてもTerraformが動きます。 AzureRM delegated user access? Authenticating to Azure Resource Manager using the Azure CLI AWS Providerの$HOME/.aws/credentials認証と似た機能です。Microsoft Azure Providerは$HOME/.azure/配下に保存されている情報を利用します。 動作確認 Azure Cloud Shellで試しました。Azure Cloud Shellは、起動した時点でAzure CLIの認証が完了しています。しかもAzure Cloud ShellのコンテナはデフォルトでTerra

背景 asciidoctor-pdfで画像入りのPDFを作り始めたものの、センタリングやサイジングなどMarkdownには存在しない記法が覚えられません。asciidocは高機能ですが、使いこなせなければ意味がない。 というわけで、公式のユーザガイドから使いそうなものをまとめました。 実践 画像の種類 インラインとブロックがあります。違いはコロンの数です。 区分 記法

経緯 textlintとRedPenのどちらを使うかを悩み、「会社で使うWindowsのPCにインストールしやすいから」という理由でRedPenを選んでから、数か月がたちました。そんな中、昨日、自分の頭の中に神が降りてきました。 RedPenがWordに対応していなくて困ったが、PandocをかませてWordをmarkdownにすればいいだけだった。 — こんごー@頑張らないために頑張る (@kongou_ae) 2016年4月29日 RedPenはWordファイルに対応していません。ですが、Pandocを使ってWordファイルをMarkdownに変換すれば、RedPenでWordファイルの内容をテストできます。なぜ今まで思いつかなかった。 実践 Pandocはインストーラを使ってインストールします。RedPenはGitHubで配布されている圧縮ファイルをCドライブ直下に展開します。 Pa

背景 時代はHTTPSだということで、GitHub Pagesで公開している本ブログをHTTPS化しました。 実践 ホスティング先の選定 GitHub Pages＋CloudFlareではなく、Netlifyを使うことにしました。 高機能ホスティングサービスNetlifyについて調べて使ってみた Netlifyは最強の静的ウェブサイトホスティングサービスかもしれない デプロイプロセスの整備 このブログは、CircleCIを中心としたデプロイプロセスで運営されています。Netlifyには、GitHubと連携しHogoを自動ビルトする機能があります。ですが、この機能を使うと、RedPenによる文書チェックが行われません。 そこで今回は、CircleCIのリリース先をGitHub PagesからNetlifyに切り替えることにしました。Netlifyにはnetlify-cliというCLIツールが

テストをスキップしたい時もある 下図のようなデプロイメントプロセスでブログを書いています。CircleCIを中心としたプロセスで、それなりに便利なのですが、ブログを公開するためにはRedPenのテストに合格しなければなりません。 RedPenのJavaScript拡張を利用したスペルチェックのロジックがイマイチなのか、前回のエントリ作成時に「Email」を「Gmail」や「Emacs」のスペルミスと判定する悲劇が起きました。 2016-04-18-sending-zabbix-alert-mail-by-gmail.md:17: ValidationError[JavaScript], [spellCheck.js] Emailはスペルミスの可能性があります。Emacsではありませんか？ at line: 管理＞メディアタイプ＞Emailから以下の通り設定します。 2016-04-18-s

気軽にドキュメントを書くシリーズです。 asciidocで書き、asciidoctor-pdfでさくっとPDFにするというソリューションがあるようなので試行錯誤を繰り返した結果、この.adocをこのPDFに変換できるようになりました。 使い方ではまった箇所をメモしておきます。 インストール githubのREADMEに書いてある通り、gemでインストールするだけ。 $ gem install --pre asciidoctor-pdf デフォルトのテーマでPDFに変換する asciidoctor-pdfコマンドを利用します。 $ asciidoctor-pdf basic-example.adoc 自作テーマを利用してPDFに変換する Asciidoctor PDF Theming Guideに記載されている通り、自分なりのテーマを作ることができます。テーマを自作するにあたっては、デフォル

はじめに RedPenにスペルチェック機能を追加するの続きです。CircleCI上でRedPenを動かしてみました。 RedPenを利用したスペルチェックがローカル環境で動くことを確認しました。JavaScriptでチェック項目を拡張できるのがいいですね。次はスペルチェック用辞書の単語を増やした上で、CircleCI上で動作させてみようと思います。 コンテナの仕込み CircleCIのコンテナでRedPenを動かさなければなりません。RedPenはJava 1.8が必要なのでcircle.ymのmachineの箇所に追加します。また、RedPenそのものをダウンロードしなければなりませんので、dependenciesの箇所でアーカイブのダウンロードと展開、削除を行います。 machine: timezone: Asia/Tokyo java: version: oraclejdk8 dep

Lambdaへの切り替え Lambdaがスケジュール実行に対応しました。そこで、サーバレスアーキテクチャを実践すべく、conohaで動いている＠ipv6kumaの機能を、AWSに順次お引越ししています。本日時点で、以下のフルルート数とフルルートグラフのツイートはLambdaでお伝えしています。 2015/10/25の経路数は24457だクマー。昨日と比べて35経路増えたクマ！！ /from Lambda — ブイロクマ (@IPv6kuma) 2015, 10月 25 本日までの経路数をグラフにしたクマ!! https://t.co/Z9jHt6yXnT — ブイロクマ (@IPv6kuma) 2015, 10月 25 Lambdaを監視する さて、Lambdaファンクションを書いていて気になった事があります。それは『Lambdaファンクションが正しく動作している事をどうやって監視するか』

Terraformのroot_block_deviceで躓いたのでメモ。 やりたいこと Terraformを利用して、10Gのルートデバイスと20Gのブロックデバイスを持ったt2.microのインスタンスを起動する やったこと クレデンシャルを記載したtfファイルを作成する リソース作成の処理を記載したtfファイルを作成する 処理で利用する変数ファイルをまとめて定義するtfファイルを作成する terraform実行時に渡す変数をまとめたtfファイルを作成する terraformする。 失敗談 ebs_root_device_nameの値をAMIのルートデバイス名と異なる値にしたところ、root_block_deviceのパラメータが追加のブロックデバイスとして判断されてしまった。 たとえば、Amazon Linuxに対してebs_root_device_nameを指定しないと、デフォルト値

作ったもの kongou-ae/aws2excel AWSの構成情報をxlsxファイルに書き出すスクリプトです。出力されるファイルのイメージはREADMEの画像を参照ください。勢いでやっつけているので、一部サービスにのみ対応しています。最終的にはLambdaで動かしてs3にExcelを吐き出す実装にしたい。 経緯 @ishikawa84g cloud2excel! — 前佛 雅人(M.Zembutsu) (@zembutsu) 2015, 10月 31 @ishikawa84g 残念ながら夢の中のお話です… — 前佛 雅人(M.Zembutsu) (@zembutsu) 2015, 10月 31 @ishikawa84g ごめんなさい…ごめんなさいｗ — 前佛 雅人(M.Zembutsu) (@zembutsu) 2015, 10月 31 自分もワクワクしながらcloud2excelを検索

これまで、Wordの使い方を覚えた方が早いのは理解しつつ、設計書や仕様書といったドキュメントを気軽に書く方法を模索してきました。 これまでの取り組み reST + rst2pdf 方針 reSTとrst2pdfを使ってドキュメントの内容と見た目を分離。 便利ツールの稼働環境をdockerでコンテナにすることで、会社のWindows上での動作を実現。 結果 気軽にドキュメントを書く（Sphinx + rst2pdf + LiveReload + docker） PDF作成ツールのrst2pdfの情報が少なく、見た目を拡張することに限界を感じた。 reSTよりもMarkdownを使いたくなった。 markdown + pandoc 方針 コンテナの利用は継続。 PDF作成ツールとして、rst2pdfの代わりにpandocを利用。これによりMarkdownを利用可能に。 rst2pdfでは実現で

UTM製品は、SSLによって暗号化されている通信の中身を見てUTM処理を行うものがあります。イマイチ振る舞いが分からなかったので、いろいろと調べました。きっとこんな感じだろレベルであり、あってるかどうかは不明です。なお、絵を描く気力はなかったです。 SSL通信の流れ クライアントとサーバ間で、SSLのセッションとコネクションを確立するまでの流れは以下の通りです。 クライアントとサーバ間で暗号化方式のネゴシエーションを行う。 サーバは、クライアントにサーバ証明書（とCA中間証明書）を送る。 クライアントは、受信したサーバ証明書を検証する。（検証プロセスは後述） クライアントは、サーバ証明書からサーバの公開鍵を取り出す。 クライアントは、共通鍵の元を作る。 クライアントは、サーバの公開鍵を利用して、共通鍵の元を暗号化する。 クライアントは、暗号化した共通鍵の元をサーバへ送る。 サーバは、暗号化

Amazon Linuxにナレッジ/ノウハウ情報共有サービスのOSS「Lodge」をインストールしたので手順をメモしておきます。取りあえず動かすことが目的です。 ブラウザから「ec2-xxx-xxx-xxx-xxx.ap-northeast-1.compute.amazonaws.com:3000」にアクセスしてログイン画面が出れば成功です。TCP/3000をセキュリティグループで許可することを忘れずに。 また、TCP/3000でのアクセスは不便だったので、前段にNginx等のリバースプロキシを置いてTCP/80でアクセスできるようにしました。

minimalでインストールしたCentOS6.6にBitnami Redmineをインストールしました。今後のために手順をメモしておきます。 Bitnami Redmineのインストール インストーラをダウンロードして実行権限をつけて実行するだけ。簡単です。Bitnamiシリーズは、ドリルではなく穴が欲しい人向けですね。 プラグインのインストール 本体がすんなりインストールできたので、プライグイン（redmine_knowledgebase）もインストールしました。Bitnami Consoleの存在を知らなかったため、インストールディレクトリ配下の実行ファイルを直接叩いています。 Bitnami Consoleを使う 環境変数を設定してくれる便利なスクリプトがありました。。。インストールディレクトリは以下のuse_redmineです。実行するとインストールディレクトリ配下のソフトへのパ

本エントリーは、Wordを満足に使いこなせない私が、Wordよりも気軽にドキュメントを書く方法を試行錯誤した結果のメモです。せめて内部用のドキュメントくらいは気軽に書きたいのです。 概要図 試行錯誤した結果、下図のような構成になりました。人がやることは、WindowsのターミナルエミュレータからSSH経由でreSTファイルを編集する事だけです。あとは全自動でいい感じな見た目のPDFファイルがChromeに表示されます。 …Wordでいいじゃね？とは思いますが、気のせいだと思います。 Sphinxを使って、文書の内容と見た目を分離する ドキュメント作成のめんどくさいところは、想定読者向けに見た目を整える必要があることです。自分が読むだけならメモ帳でいいですが、ドキュメントとして想定読者が存在する場合、ドキュメントの第一印象は見た目が9割。 そうはいっても、ドキュメントの最終的な価値は内容で決

Public DNSって何？ このエントリーでは、以下の2つの条件を見たすDNSサーバをPublic DNSと呼びます。 代表的なPublic DNSは、Public DNSという名称を広めたGoogle Public DNSです。 ネットワーク的な制限がかかっておらず、誰からのアクセスも受け入れるキャッシュDNSサーバ サービス提供者が、誰でもアクセスしてよいと謳っているキャッシュDNSサーバ 129.250.35.250/251はPublic DNSなのか？ 以下のように、NTT Americaが有している129.250.35.250/251をPublic DNSと記載するエントリーが散見されます。 Public DNS 「8.8.8.8」「129.250.35.250」は本当に速いのか？ 無料で安全なDNSサービスの一覧 また、以下のようなWebアクセスが早くなるという話を信じて、自

xvideosが突然見れなくなった場合はDNSサーバーを変更しようを踏まえて、色々と調べたのでメモ。 アクセス出来ない理由は、『Google Public DNSが、国内？からのwww.xvideos.comに関する問い合わせに対して、正しくないAレコードを返すから』の様に見えます。ただし、なぜそんな動作になるのかは不明。 自分で運用しているキャッシュDNSサーバ on ConoHaで名前解決を行った結果は以下の通りです。複数のAレコードが帰ってきます。本サーバをリゾルバに設定している自PCからxvideos.comへのアクセスは問題ありません。 $ drill www.xvideos.com ;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 6737 ;; flags: qr rd ra ; QUERY: 1, ANSWER: 9, A

exabgpでフルルートを注入してみたのその後です。 上記のエントリーでは、物理のCisco892Jに搭載されているメモリの関係で、IPv6フルルートを食わせました。しかし、手元には仮想メモリが3GもあるIOS XRvが存在します。こうなるとIPv4のフルルートを食わせたくなります。 2年前は、MRTデータをbgpdumpでテキストに吐き出してから、お手製スクリプトを通してexabgpのコンフィグに書き換えました。大変でした。 IPv4のフルルートを扱うにあたって、改めて実現方法を模索したところ、githubにてmrtparseというツールを見つけました。 このツールに含まれている「exabgp_conf.py」を利用すると、特定のMRTデータを利用してexabgpのコンフィグを標準出力してくれます。neighborの設定と経路のNext-hopは「exabgp_conf.py」内にベタ書

きっかけ DNSプリフェッチをHTML側で大量に書いておくと、DNSサーバー側にアクセス不能攻撃が出来るBINDの脆弱性とかあったな。 / “DNSプリフェッチでウェブページの読み込み速度をスピードアップ | 海外SEO情報ブログ” http://t.co/hvDIfAxouu — 齊藤貴義 (@miraihack) 2014, 5月 22 思いつき ブラウザに大量のDNSプリフェッチを実施させることで、経路上のNAT箱の送信元ポートを枯渇させ、DoS状態にする。 テスト環境 DNSプリフェッチが大量に記載されたウェブページを用意します。 unboundのlocal-zone機能を利用して”local.”に対するDNS問い合わせを自分で答えるようにします。ただし、問い合わせに対して素直に答えてしまうと、NAT装置が速やかにセッションをクローズし、送信元ポートをリリースしてしまう可能性がある

勢いだけで、FortiGateのsyslogをパースするためのFluentdプラグインを作りました。fluent-plugin-fortigate-traffic-logです。（命名センスなし） 「ファイアウォールの通信ログを気軽に分析できれば、ユーザへの提案に繋がる何かが生まれそうだなー」と思い、FortiGateのsyslogをFluentd+Elastic Search+kibana3の組み合わせに乗せるべく試行錯誤した結果です。当初は普通のTailインプットプラグインでサポートされている正規表現で頑張るつもりでしたが、FortiGateのsyslogのフォーマットが一定でなかったため、カスタムパーサを作った次第です。 このプラグインでFortiGateのsyslogファイルをインプットして、elasticsearchへアウトプットすると、下図のような形で格納されます。 kibana

tremaのお勉強をする為に、openvswitchに複数のサーバがぶら下がる環境が欲しかったので、自宅のESXi5.1（5.1.0,838463）上にKVMを構築しました。その際に仮想マシンのVT-x有効化にハマったのでメモしておきます。 単純に仮想マシンの設定で「intel VT-xを使用する」的なオプションにチェックをしても、仮想マシン側ではVT-xが有効になりません。仮想マシン（Ubuntu12.10）上の表示結果は下記の通りです。 @kvmhost:~$ grep vm /proc/cpuinfo flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts mmx fxsr sse sse2 ss syscall nx rdtscp lm constant_

Catalsyt2960シリーズといえばL2SWの代名詞ですが、最近のIOSとフィーチャセットによっては、ちょいとしたL3SWとしても利用可能なので遊んでみました。今回利用した機種は、Catalyst 2960S-24TS-Lです。 ①SDMテンプレードの変更が必要 ぷちL3SWに出来るのはLAN-BASEだけですが（LAN-Liteは不可）、そのままでは肝心の「ip routing」コマンド自体が入りません。「sdm prefer lan-routing」コマンドからの再起動でSDMテンプレートを切り替える必要があります。 ②スタティックルートは16個まで 17個目を入れようとすると「16個しか入れられねーよﾊﾞｰｶ」みたいなエラーメッセージが出ます。 ③InterfaceVlanがたくさん作れる＆HSRPがしゃべれる ただのC2960だとIPアドレスの振れるInterfaceVlanは