Azure のアップデートをメモ代わりに興味あるところをザックリとまとめてみる (2022年1月分)
ここ最近、記事書くのを完全にサボっておりました。ボチボチ復活していこうかと思います。近頃、Azure Update が必要なことが多いので、メモ程度に纏めておこうかと思います。すべてのアップデートではないですが、ざっと箇条書き風に纏めていきます。
- New performance and logging capabilities in Azure Firewall
azure.microsoft.com
下記の二点の更新になります。- ファイアウォールのネットワーク ルール名のログ記録
元々、送信元、宛先 IP/ポート、およびアクション (許可または拒否) が表示されました。新しい機能では、ネットワーク ルールのイベント ログには、ポリシー名、ルールコレクショングループ、ルールコレクション、およびルール名ヒットも含まれるので、なんで拒否されているんだっけ?みたいなことがなくなりそう。 - ファイアウォール プレミアム のパフォーマンス向上
ファイアウォール "プレミアム" の最大スループットが 300 % (100 Gbps) 以上向上するようです。 - 上記の機能を試すには、機能フラグを ON にする必要があります。
https://docs.microsoft.com/ja-jp/azure/firewall/firewall-preview#feature-flags- ネットワーク ルール名のログ (プレビュー)
https://docs.microsoft.com/ja-jp/azure/firewall/firewall-preview#network-rule-name-logging-preview - Azure Firewall Premium パフォーマンス ブースト (プレビュー)
https://docs.microsoft.com/ja-jp/azure/firewall/firewall-preview#azure-firewall-premium-performance-boost-preview
- ネットワーク ルール名のログ (プレビュー)
- ファイアウォールのネットワーク ルール名のログ記録
- Azure NetApp Files features
azure.microsoft.com
三点アップデートがありました。- Azure NetApp Files のデュアルプロトコル ボリュームを作成する
https://docs.microsoft.com/ja-jp/azure/azure-netapp-files/create-volumes-dual-protocol - Azure NetApp Files 用に ADDS LDAP over TLS を構成する
https://docs.microsoft.com/ja-jp/azure/azure-netapp-files/configure-ldap-over-tls - SMB3 の暗号化を有効にする
https://docs.microsoft.com/ja-jp/azure/azure-netapp-files/azure-netapp-files-create-volumes-smb#smb3-encryption - あと、よくある質問 "Azure Files との機能比較"
https://docs.microsoft.com/ja-jp/azure/storage/files/storage-files-netapp-comparison - 個人的には、これが早く GA しないかなーと思ってます。
Azure NetApp Files Datastores for Azure VMware Solution is coming soon
https://azure.microsoft.com/en-us/updates/azure-netapp-files-datastores-for-azure-vmware-solution-is-coming-soon/
- Azure NetApp Files のデュアルプロトコル ボリュームを作成する
- Azure Site Recovery support for ZRS Managed Disks
azure.microsoft.com
ASR は、ZRS マネージドディスクをサポートするようになったようです。ZRS マネージドディスクを使用する仮想マシンを選択したセカンダリーリージョンにレプリケートし、保護することができます。プライマリリージョンが ZRS マネージディスクと判断すると、セカンダリリージョンに ZRS マネージディスクを作成するようです。可用性はかなり向上しそうですね。
- Azure Backup releases new updates for hybrid backups
azure.microsoft.com- Resource Guard を使用したマルチユーザー承認 (プレビュー)
https://docs.microsoft.com/ja-jp/azure/backup/multi-user-authorization
バックアップフローに承認という概念を組み込むことができるみたいですね。バックアップを保護するにはいい機能ですね。最近、ランサムウェアでバックアップまでやられたという病院もありました。
www.topics.or.jp
"バックアップ管理者がコンテナーに対して重要な操作を実行する場合は、Resource Guard へのアクセスを要求する必要があります。 バックアップ管理者は、セキュリティ管理者に連絡して、このような操作を実行するためのアクセス権の取得の詳細を確認できます。 これは、Azure Active Directory Privileged Identity Management (PIM) または組織が要求する他のプロセスを使用して行います。"
PIM だと P1 が必要になってしまうのか?
- Resource Guard を使用したマルチユーザー承認 (プレビュー)
- Support for private links available on the new agent
azure.microsoft.com
Azure Monitor Agent の Private Link を使えるようになりました。- Azure Monitor のデータ収集エンドポイント (プレビュー)
https://docs.microsoft.com/ja-jp/azure/azure-monitor/agents/data-collection-endpoint-overview - Azure Private Link を使用して、ネットワークを Azure Monitor に接続する
https://docs.microsoft.com/ja-jp/azure/azure-monitor/logs/private-link-security - Log Analytics から移行しましょう
https://docs.microsoft.com/ja-jp/azure/azure-monitor/agents/azure-monitor-agent-migration
- Azure Monitor のデータ収集エンドポイント (プレビュー)
- Multitasking in the cost analysis preview
azure.microsoft.com
リソースのコストを見る箇所で、タブで切り替えて参照できるようになったみたいです。
- Azure Key Vault increased service limits for all its customers
azure.microsoft.com
リージョンあたりのコンテナーごとに、10 秒間に許可される最大トランザクション数が 4000 に増加されました。あれ、日本語はアップデートされてない...英語は 4000 になってます。
- Azure Kubernetes updates
- FIPS enabled node pool in Azure Kubernetes
azure.microsoft.com
FIPS 140-2 が有効になっている Linux ベースのノード プールを作成できます。セキュリティを強化し、FedRAMP 準拠の一部としてセキュリティを満たすことができるようです。(日本では関係ないですね。) - Ultra disks support on AKS
azure.microsoft.com
Ultra Disk がサポートされました。 - Containerd support for Windows in AKS
azure.microsoft.com
Windows サーバー コンテナーのコンテナー化をサポートするようになりました。これは、Kubernetes バージョン 1.20 以降で使用できます。 - Azure Kubernetes support for upgrade events
azure.microsoft.com
新しいイベントにより、Azure ポータルまたは CLI を使用してアップグレードの状態をより簡単に表示できます。 - Kubernetes version alias support in AKS
azure.microsoft.com
パッチ番号を指定する必要がないようにセットアップを簡略化しています。たとえば、Kubernetes 1.20.1 の代わりに Kubernetes 1.20 を指定できます。正確なパッチ番号を指定しないことで、選択したマイナー バージョンの最も高いパッチ バージョンに自動的に配置されます。
- FIPS enabled node pool in Azure Kubernetes
- Managed Certificate support for Azure API Management
azure.microsoft.com
Azure API Management のマネージド証明書がサポートが、パブリック プレビューになりました。これにより、Azure API Management によってプロビジョニング、管理、自動更新された証明書を使用できます。
- Azure SQL—General availability updates for late January 2022
azure.microsoft.com- バックアップ ストレージの冗長性を構成する
https://docs.microsoft.com/ja-jp/azure/azure-sql/database/automated-backups-overview?tabs=managed-instance#configure-backup-storage-redundancy
既定値は geo 冗長です。 ローカル冗長、ゾーン冗長が選択できるようになった?データベース関連いまいち追えていないので、自信なしです。
- バックアップ ストレージの冗長性を構成する
- Support for managed identity in Azure Cache for Redis
azure.microsoft.com
Redis 用 Azure Cache では、マネージド ID を使用したストレージ アカウント接続の認証がサポートされるようになったようです。IAM で設定するだけになるので、セキュリティも向上しますね。
https://docs.microsoft.com/ja-jp/azure/active-directory/managed-identities-azure-resources/overview#managed-identity-types
- Azure Monitor
- Azure Monitor log alerts new version
azure.microsoft.com - A new and improved alert rule creation experience
azure.microsoft.com
ウィザード形式で設定できるようになりました。ずっと、プレビューポータルで使用していたため、一瞬何が変わったの?と混乱してしまいました笑
- Azure Monitor log alerts new version
- Create multiple data export rules to the same event hub namespace
azure.microsoft.com
LogAnalytics からのデータエクスポートで複数の EventHub に対して、異なるログを送れる感じですかね。- イベント ハブ
https://docs.microsoft.com/ja-jp/azure/azure-monitor/logs/logs-data-export?tabs=portal#event-hub - Azure Monitor の Log Analytics ワークスペースのデータ エクスポート (プレビュー)
https://docs.microsoft.com/ja-jp/azure/azure-monitor/logs/logs-data-export?tabs=portal
早くリリースされるといいですね。
- イベント ハブ
- Azure Static Web Apps enterprise-grade edge
azure.microsoft.com
下記の機能が追加されます。
- Announcing price reductions for Azure confidential computing
azure.microsoft.com
機密性の高い仮想マシンが33%ほど安くなるようです。
azure.microsoft.com
- Load Balancer SKU upgrade through PowerShell script
azure.microsoft.com
PowerShell スクリプトを使用して、Azure ロード バランサーを Basic SKU から Standard SKU にアップグレードできるようになりました。
- Multiple custom BGP APIPA addresses for active VPN gateways
azure.microsoft.com
アクティブ/アクティブ VPN ゲートウェイのすべての SKU が、各インスタンスに対して複数のカスタム BGP APIPA アドレスをサポートするようになりました。自動プライベート IP アドレス指定 (APIPA) アドレスは、VPN 接続の BGP IP アドレスとして一般的に使用されます。
- Azure Site Recovery での Azure Policy のサポート
azure.microsoft.com
特定のサブスクリプションまたはリソース グループに対してディザスター リカバリー ポリシーを作成すると、そのサブスクリプションまたはリソース グループに追加されるすべての新しい VM に対して、自動的に Azure Site Recovery が有効になります。
- Azure Backup - オートメーションの更新 - 2021 年
azure.microsoft.com- Recovery Services CLI の一般提供開始: Azure Backup の CLI コマンドが最新の CLI 標準を使用するように更新され、その一般提供が開始されました。大きな変更は行われておらず、お客様はパブリック プレビュー期間中と同様の方法で、コマンドを使用することができます。また、パラメーター セットの拡張機能 (たとえば、コマンドで ARM ID を直接使用する機能) を利用して、スクリプトの作成エクスペリエンスを簡素化することもできます。
- バックアップ コンテナー ワークロードの PS/CLI サポート: Azure Backup に、バックアップ コンテナーでサポートされているワークロード (PostgreSQL Server の Azure Databases、Azure BLOB、Azure Disk など) に対応した PowerShell と CLI のサポートが含まれるようになりました。
- バックアップ コンテナー ワークロードに対する Terraform のサポートPostgreSQL DB バックアップ、BLOB バックアップ、Disk バックアップ用の Terraform モジュールが公開されました。
- Azure Backup 用の Bicep テンプレート: Bicep は、宣言型の構文を使用して Azure リソースをデプロイするドメイン固有言語 (DSL) です。簡潔な構文、信頼性の高いタイプ セーフ、およびコードの再利用のサポートが提供されます。Azure Backup ユーザーが Bicep のメリットを利用できるように、Azure VM バックアップ、BLOB バックアップ、Disk バックアップ用の Bicep サンプル テンプレートが公開されました。
- PS/CLI での新機能のサポート: アーカイブ ストレージ、CMK のユーザー割り当て ID、マネージド ディスク復元用の MSI 認証など、この期間に一般提供が開始された新機能のほとんどに対し、PS/CLI サポートが追加されました。
- Bicep テンプレートはいいですね。
- Azure Traffic Manager: Additional IP addresses for endpoint monitoring service
azure.microsoft.com
Traffic Manager のエンドポイント監視サービス内に展開されるプローブの数を増加させるようです。正常性プローブの数が増加します。サービスタグ (AzureTrafficManager) を使っていなければ、下記の URL から更新された IP をチェックする必要があります。
https://docs.microsoft.com/en-us/azure/virtual-network/service-tags-overview#discover-service-tags-by-using-downloadable-json-files
- Azure SQL—Public preview updates for early January 2022
https://azure.microsoft.com/ja-jp/updates/azure-sql-public-preview-updates-for-early-january-2022/- Auto-failover groups for Azure SQL Hyperscale now in preview
techcommunity.microsoft.com
アクティブ geo レプリケーショングループと自動フェールオーバー グループを使用する Azure SQL Hyperscale データベースの強制フェールオーバーおよび計画フェールオーバーがサポートされるようです。
- Auto-failover groups for Azure SQL Hyperscale now in preview
- Microsoft Defender for Cloud updates for December 2021
azure.microsoft.com- 一般公開 (GA) 向け Microsoft Defender for Containers プランのリリース
https://docs.microsoft.com/ja-jp/azure/defender-for-cloud/release-notes#microsoft-defender-for-containers-plan-released-for-general-availability-ga
2 年以上前に、Microsoft Defender for Cloud 内の Azure Defender サービスの一環として、Defender for Kubernetes とコンテナー レジストリ用 Defender が導入されました。Microsoft Defender for Containers のリリースに伴い、これらの 2 つの既存の Defender プランを統合しました。 - 一般公開 (GA) 向け Microsoft Defender for Storage の新しいアラートのリリース
https://docs.microsoft.com/ja-jp/azure/defender-for-cloud/release-notes#new-alerts-for-microsoft-defender-for-storage-released-for-general-availability-ga
Microsoft Defender for Storage はこれらのスキャナーを検出するため、それらをブロックし、状態を修復できます。これを検出していた以前のアラートは、"パブリック ストレージ コンテナー の匿名スキャン" と呼ばれていました。 検出された疑わしいイベントをより明確化するために、これを 2 つの新しいアラートに分けました。 これらのアラートは、Azure Blob Storage にのみ関連します。- Publicly accessible storage containers successfully discovered (パブリックにアクセス可能なストレージ コンテナーの検出に成功しました)(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
- Publicly accessible storage containers successfully discovered (パブリックにアクセス可能なストレージ コンテナーのスキャンに失敗しました)(Storage.Blob_OpenContainersScanning.FailedAttempt)
- Microsoft Defender for Storage のアラートの改善
https://docs.microsoft.com/ja-jp/azure/defender-for-cloud/release-notes#improvements-to-alerts-for-microsoft-defender-for-storage
初期のアクセス アラートの精度が向上し、調査をサポートするデータが多く追加されました。脅威アクターは、初期アクセスでさまざまな手法を用いて、ネットワーク内の足がかりを得ようとします。 この段階で動作の異常を検出する Microsoft Defender for Storage の 2 つのアラートは、検知ロジックが改善され、調査をサポートするデータが追加されました。 - ネットワーク層アラートからの 'PortSweeping' アラートの削除
https://docs.microsoft.com/ja-jp/azure/defender-for-cloud/release-notes#portsweeping-alert-removed-from-network-layer-alerts
"Possible outgoing port scanning activity detected (送信ポートのスキャン アクティビティの可能性が検出されました)(PortSweeping)" は、ネットワーク層アラートから削除されました。
- 一般公開 (GA) 向け Microsoft Defender for Containers プランのリリース
アップデートではないですが、下記の記事も気になります。Azure DDoS Protection 優秀な結果を残してますね。
azure.microsoft.com
Microsoft は 1 件の 3.47 Tbps の攻撃を軽減、さらに 2.5 Tbps を超える攻撃も 2 件
昨年 10 月、Microsoft は、Azure に 2.4 テラビット/秒 (Tbps) の DDoS 攻撃があり、Microsoft がその軽減に成功したことを報告しました。その後、Microsoft はより大規模な攻撃を 3 件軽減しています。11 月に、Microsoft は、3.47 Tbps のスループットと、アジアでの Azure のお客様を対象としたパケット レート 3 億 4,000 万パケット/秒 (pps) の DDoS 攻撃を軽減しています。これは、史上最大の攻撃であったと考えています。
Azure Update は一カ月に一回だと、手抜きになるし、またすぐ記事書かなくなりそうなので、週一にしようかな。あ、2/1 から 2/6 の分をもう記事にしないと!(サボる気がするw)
また、スキー場いくので、そろそろレンタルやめてちゃんと道具買おうかな。けど、最近あんまりいかないから、ウェア、グローブとゴーグルだけでもいい気がする。
![DRAGON ゴーグル スペアレンズ ドラゴン スノーボード PXV2 ピーエックスブイツー [1L62~1L66] JAPAN LUMALENS スノー ゴーグル SNOW SPARE LENS (LL_J.SILVER_ION)](https://m.media-amazon.com/images/I/31pqP2jESeL._SL500_.jpg "DRAGON ゴーグル スペアレンズ ドラゴン スノーボード PXV2 ピーエックスブイツー [1L62~1L66] JAPAN LUMALENS スノー ゴーグル SNOW SPARE LENS (LL_J.SILVER_ION)")
