[Elasticsearch] BackupとRestore

Elasticsearchノードのお引越し

先日、KubernetesなインフラにSNS機能を移転したこともあり、残すはElasticsearchサーバだけになりました。分散SNSソフトで使用するElasticsearchはこれまでに取り込んだメッセージなどが蓄積されており、データベースサイズとしてさほど大きくはないのですが、SNS上で使用する検索機能で必要となります。

今までElasticsearchとしての論理バックアップ・論理リストアはやったことがないので試しました。

コマンドライン等書かれている内容は、当方の環境に特化した形のままで記載しています。実際の環境でお試しの際は、ぜひ変動個所については読み替えてくださいますようお願いいたします。

続きを読む

[Azure][Active Directory] Azure AD Connectの暗号化プロトコルをTLS1.2へ強制する

こんなメールがやってきた

ある日のAzureからの通知メール

入院中の時だったのですが、こんなメールが来ました。

You’re receiving this email because you use Azure Active Directory.


[Microsoft Azure]
Update your machines to use TLS 1.2 for Azure AD Connect Agents
You’re receiving this email because you use Azure Active Directory.
We’re continually updating our services to ensure enhanced security and the best-in-class encryption. As a result, starting on October 31, 2019, Azure Active Directory (Azure AD) Connect agents such as the Pass-through Authentication agent and Provisioning agent will only accept TLS 1.2, and we will retire support for TLS 1.0 and 1.1 on this date.
Our records indicate that your organization has installed one of these agents and has servers connecting to Azure AD services using pre-TLS 1.2 protocols. To prepare for this change, make sure that all servers are updated to use TLS 1.2 to maintain connection to the Azure AD service.

Required action
For servers with Azure AD agents installed, use the following steps to ensure TLS 1.2 is enabled by October 31, 2019:
Set these registry keys to enable TLS 1.2 on your Windows Server 2012 R2 or later:

・・・・・・・(中略)・・・・・・

See TLS 1.2 in Office 365
https://support.microsoft.com/help/4057306/preparing-for-tls-1-2-in-office-365 for references and resources

For complete information see:
Azure AD Connect Pass-through Authentication Agent
https://docs.microsoft.com/azure/active-directory/hybrid/how-to-connect-pta-quick-start
Azure AD Connect Provisioning Agent
https://docs.microsoft.com/azure/active-directory/saas-apps/workday-inbound-tutorial#planning-deployment-of-azure-ad-connect-provisioning-agent
If you have questions, please contact usaadapfeedback@microsoft.com.

どうやら、2019年10月いっぱいでTLS1.2以外のAzure AD Connectの接続は行えなくなるようです。我が家のドメインコントローラはWindows Server 2008 R2を、Azure AD ConnectサーバにはWindows Server 2012 R2を使用していますが、システム上Windows Server 2012 R2はTLS1.1以前を使用してAzure ADとの同期をとっているように見受けられます。そこでMicrosoftから上記のようなメールがきたっぽいですね。
というわけで、この記載に従いTLS1.2を有効にし、これでAzure ADとの同期が行えるようレジストリ設定を変更することにしました。備忘録として手順をまとめます。

続きを読む

[Microsoft][Cloud][Network] ローカルブレイクアウト失敗と立て直し

やっぱりトラブる。

前回の記事でやりたいことがやっとできた、めでたしめでたしと行きたかったのだけど、トラブルが起きたことにあとになって気づくと。

ことの発端はAzure ADの同期処理で、あの経路設定を入れてから何故か数日間に渡って同期ができていない。これはなぜか?ということで調べるのだけど、その原因がわからない。わからんなーわからんなーと思って調べてみると、どうも内部サーバセグメントからの発信においてMicrosoftの通信だけがどーしてもうまく外に出られない。Azure PortalにもいけないしOffice Portalにもいけない。

で、よくよく調べて分かったことが以下のようなこと。

OSPFがうまく制御できてないことに気づく。。。

続きを読む

[Tech] misskeyを導入したときの手順

misskeyってなんじゃろか?

SNSを構成できるソフトの一つ。国産とのこと。分散SNSに関してはMastodonなんかが有名だったりするのだけど、それに比べるとmisskeyはかなり機能が豊富で、動作も結構軽快。Githubへのリンクは以下の通りです。

https://github.com/syuilo/misskey

以前構築に挑んでみたけども玉砕した経験があって手を出してなかったのだけど、過日Mastodonインスタンスを消滅させてしまった腹いせに、ついカッとなって構築することにした。(当時はDBにmongoDB使ってたようなのですが、最新版でPostgreSQLに対応するようになったようです)

続きを読む

[Cloud][CDN][Azure][Linux] ブログサイトアクセス制御

こういうことがしたい

と言う図を貼ります。

やりたいこと概要

要は、外部からサイトを閲覧するユーザには、必ずCDN越しに来てもらいたいということです。それを強制するためのアクセス制御について考えました。

続きを読む

PAGE TOP