【Ansible】Ansibleでファイアウォールを設定する
突然ですが、ファイアウォールの管理というのはシステム運用における重要なタスクのひとつとして必ずと言っていいほどあるものだと筆者は考えています。
そして同時に失敗するとネットワーク疎通の断絶という結果になりかねないタスクでもあるため、できれば確実に、それこそ決まった設定を繰り返し行なうのであれば自動化したいものかと思います。
今回はそのファイアウォールの管理をAnsibleから行なう方法と、使用するモジュールについて解説を致します。
はじめに:ファイアウォールの設定に使うモジュール
AnsibleのPlaybookにてファイアウォールの管理を行なう場合は、RHEL(CentOS)であればfirewalld、Ubuntuであればufwというモジュールを使用します。
それぞれ機能はfirewalldコマンドおよびufwコマンドでできることに準じており、モジュールのオプションを用いることで従来のコマンド利用の動きを実装することができます。
例:firewalldモジュールを使用し、デフォルト(public)ゾーンにhttpsサービスでの通信許可と、「work」ゾーンに5432(PostgreSQL)ポートでの通信許可を設定する
主に使用するオプションは許可するサービスやポートを指定するserviceとport、設定した内容を再起動後も保持するか選択するpermanent、その通信を許可するか拒否するか選択するstateの4つです。
serviceに関しては/usr/lib/firewalld/services/または/etc/firewalld/servicesにあるサービスが指定でき、portで指定する場合は対象ポートと通信プトロコル(サービス名ではありません)を上例のように記述します。
permanentとstateは指定必須項目で、permanentはyesを選択することで再起動を挟んでも設定が保持され、stateはserviceやportで指定した通信を許可(enabled)するか拒否(disabled)するかを選択します。
またzoneではルールを設定する対象となるゾーンを指定できます。
初期設定されているゾーンのwork、drop、internal、external、trusted、home、dmz、publicが指定できる他、別途作成したゾーンの指定も可能です。
(ただし、指定する前にゾーンが作成されている必要はあります)
ufwモジュールを使用し、デフォルトポリシーを無効化し、5432(PostgreSQL)ポートの通信を許可する
主に使用するオプションは、ファイアウォールの状態そのものを操作するstate、ルールの許可・拒否を設定するrule、ルールの対象となるポートを指定するportの3つです。
stateオプションをenabledにすることで、ファイアウォールのリロードと有効化が同時に行なわれます。
またpolicy(またはdefault)オプションにてdenyを指定することで、デフォルトポリシーの無効化を行なうことができます。
以上がAnsibleによるファイアウォール管理の方法、およびそれに使用するfirewalldモジュールとufwモジュールの解説になります。 注意点として、Ansibleは基本的にSSHにより管理対象に接続し、処理を行ないます。
ので管理対象のファイアウォールでSSH接続を拒否してしまうと、特別に設定をしていない限り、それ以降のAnsibleによる管理ができなくなります。
また管理を行なうためにはSSH接続を行なえる必要がありますので、PlaybookによってSSHの許可設定を行なうというのはあまり現実的ではありません。
しかしその他の解放・閉塞管理であれば、Playbookを使用して円滑に管理ができるかと思いますので、是非ご活用していただきたいと思います。
以上、お読みいただきありがとうございました。
相場で負けないコツは?失敗例やFXで損するトレーダーの特徴を4つ紹介
教科書通りに行って失敗する一つの例としてRSIの使い方を見てみましょう。
※図はTradingViewより筆者作成
1-2.アナリスト予想を妄信する
1-3.感覚的にトレードする
1-4.FX会社の売買サインでトレードする
2.操作しやすいFX会社は?
学生時代にFX、先物、オプショントレーディングを経験し、FXをメインに4年間投資に没頭。その後は金融業界のマーケット部門業務を目指し、2年間で証券アナリスト資格を取得。あおぞら銀行では、MBS(Morgage Backed Securites)投資業務及び外貨のマネーマネジメント業務に従事。さらに、三菱UFJモルガンスタンレー証券へ転職し、外国為替のスポット、フォワードトレーディング及び、クレジットトレーディングに従事。金融業界に精通して幅広い知識を持つ。証券アナリスト資格保有 。Twitter : @sweetstrader3 / Instagram : @fukuokasho12
最新記事 by 中島 翔 (全て見る)
- 2022.7.4 マーケットレポート【米ISM製造業総合景況指数は大幅悪化へ】 - 2022年7月4日
- 仮想通貨レンディングとは?メリット・デメリット、国内提供会社3社の特徴 - 2022年7月1日
- 2022.7.1 マーケットレポート【PCEデフレーターを受けたインフレ鈍化の期待が高まる】 - 2022年7月1日
- 2022年7月1日 PCEデフレーター発表。インフレ鈍化見られ米国債金利は急低下 - 2022年7月1日
- 2022年6月、米消費者信頼感指数は大幅に悪化。ドル円は137円台へ - 2022年6月30日
おすすめのFX会社・FXサービスは?
72万口座超の大手FXサービス(2021年7月時点)。業界最狭水準のスプレッドに加え、デモ取引も利用可能!
DMM FX
アプリで高機能チャート利用可!最短で1時間後に取引可能、LINEやAIチャットでの問い合わせなどサポートも充実
松井証券 MATSUI FX
レバレッジ1倍、100円からの少額取引が可能。業界最狭水準のスプレッド、28種類のテクニカル指標も利用可
FX投資の人気コラム
FXの最新ニュース
- 2022/7/12022年7月1日 PCEデフレーター発表。インフレ鈍化見られ米国債金利は急低下
- 2022/6/302022年6月、米消費者信頼感指数は大幅に悪化。ドル円は137円台へ
- 2022/6/232022年6月英CPI発表、英ポンドは下落も底堅く推移か。米FRBパウエル議長は利上げ進める発言。
- 2022/6/21今、最も企業の業績にプラスになるのは?マネックス証券「MONEX個人投資家サーベイ」
- 2022/6/172022.06.17 米ドル円は134円まで上昇後急落。 日銀政策会合は政策金利据え置き
学生時代にFX、先物、オプショントレーディングを経験し、FXをメインに4年間投資に没頭。その後は金融業界のマーケット部門業務を目指し、2年間で証券アナリスト資格を取得。あおぞら銀行では、MBS(Morgage Backed Securites)投資業務及び外貨のマネーマネジメント業務に従事。さらに、三菱UFJモルガンスタンレー証券へ転職し、外国為替のスポット、フォワードトレーディング及び、クレジットトレーディングに従事。金融業界に精通して幅広い知識を持つ。証券アナリスト資格保有 。Twitter : @sweetstrader3 / Instagram : @fukuokasho12
2022.02.01 Chromecast(クロームキャスト)の使い方から接続に失敗しない設定方法まで
「YouTubeやNetflix (ネットフリックス)、Amazon Prime Video(プライムビデオ)など、スマートフォンで楽しんでいる動画配信サービスを大画面のテレビで楽しみたい」とか「パソコンの画面をミラーリングしてテレビに映したい」と思ったことはありませんか?スマートフォンを、テレビと直接HDMIケーブルで接続する方法もありますが、動画配信サービスによっては「DRM」というデジタル著作権管理のしくみを採用しており、視聴制限されることがあります。また、テレビと自分が座る位置が離れている場合は、ケーブルが長くなってしまいますのでスマートではありません。
- Chromecast(クロームキャスト)とは?
- Chromecastでスマホやパソコンをテレビとつなげるために必要な機材と環境
- スマートフォンで簡単にできるChromecastの初期設定方法
- Chromecastを使うのは難しくない
Chromecast(クロームキャスト)とは?
↑リーズナブルにストリーミングデバイスの再生環境を手に入れられるChromecast
従来のChromecastはスマートフォンなどでコンテンツを選択しテレビにキャストする仕様で、利用するためにはスマートフォンやタブレット、パソコンなどのデバイスが必要でした。しかし、2020年11月25日に発売されたChromecast with Google TVというデバイスには付属のリモコンがあり、キャストしなくてもコンテンツの視聴や検索ができるようになりました。このリモコンには「Googleアシスタント」ボタンが付いているので、声での情報検索も可能です。
Chromecast with Google TVは4K(60fps)、Dolby Vision、HDR10、HDR10+に対応し、音声形式はDolby Digital、Dolby Digital Plus、Dolby Atmosに対応しているので、テレビの種類によっては、従来モデルよりも高画質・高音質で楽しめるようになっています。
※4K HDRに対応していた従来の「Chromecast Ultra」の販売は終了しています。
Chromecastでスマホやパソコンをテレビとつなげるために必要な機材と環境
必要機材と環境
・Chromecast:Chromecast、Chromecast Ultra、Chromecast with Google TV
・テレビ:HDMI入力端子のあるテレビ(4K視聴の場合は4K対応テレビ)
・パソコンまたはスマートフォン:パソコン(Windows 7以降、Mac OS X 10.ストックオプションの活用方法と失敗例 9以降)、スマートフォン(Android 6.0以降、iOS 10.9以降)
・インターネット:無線LAN、有線LAN(Chromecast Ultraのみ)
Chromecastは、スタンダードな「Chromecast」のほか、高画質の4K Ultra HDやHDRにも対応した「Chromecast Ultra」と、「Chromecast Audio」という音楽専用のデバイスもあります。Chromecast Audioは、オーディオ機器などに接続して使う音楽機能に特化したデバイスなので、スマートフォンやパソコンの画面をミラーリングすることはできません。ですから、スマートフォンやパソコンの画面をテレビに映すために必要な機材としては、ChromecastとChromecast Ultra、Chromecast with Google TVが対象となります。
テレビは、HDMIの入力端子があることが条件です。もちろん、動画配信サービスで4Kコンテンツを楽しむためには、Chromecast Ultra やChromecast with ストックオプションの活用方法と失敗例 ストックオプションの活用方法と失敗例 Google TVであること、4K対応テレビであること、4K対応のサービスを契約していることが条件になります。
スマートフォンやパソコンについては、必要スペックは公開されていません。OSについては、パソコンはWindows 7以降、またはOS X 10.9以降、スマートフォンはAndroid 6.0以降かiOS 12.0以降となっています。
環境としては、インターネット環境が必要です。有線LANに接続可能なのはChromecast Ultraだけですので、Chromecast、Chromecast with Google TVは無線LAN環境が必要となります。ただし、無線LANルーターの設置場所によっては、壁や床によって電波が届かなかったり、周囲の電波と干渉し合ったりすることがあります。もし、無線LANの環境が悪いようであれば、Wi-Fi環境を整えてみてはいかがでしょう。
↑Chromecast with Google TV、Chromecast
スマートフォン版:簡単にできるChromecastの初期設定方法
↑セットアップ画面では、後で必要になるコードも表示される
3. Google Homeのダウンロード
↑Google Homeの検索はカタカナでも可能
4. Google Homeの起動とアカウント登録
ログイン画面ではお手持ちのGoogle アカウントのメールアドレスとパスワードを入力します。お持ちでない場合は、事前にGoogle アカウントを作成しておきましょう。
↑Google Homeを起動
↑Google HomeにGoogleアカウントを登録する
↑Googleアカウントの確認
5. スマートフォンのChromecastとのリンク
↑Bluetoothがオンであればスムーズにセッティングができる
↑Bluetoothがオフだとオンするよう指示が出る
↑Chromecastに接続中の画面が表示される
↑Chromecastに接続されたコードの確認を行う
6. 使用する場所の選択
↑「このデバイスの場所の選択」でChromecastの名称を決める
7. Wi-Fiネットワークの選択
↑スマートフォンと同じWi-Fiに接続する
↑Wi-Fiパスワードを入力する
8. Wi-Fiネットワークへの接続とアップデート
↑パスワードの入力が終わればいよいよChromecastの接続が開始されます
↑Chromecastの接続が完了したらアップデートが開始される
↑アップデート中には商品説明の動画が流れる
↑スマートフォンにもアップデートの状況が表示される
9. Chromecastの準備完了
↑アップデートが完了したら、一度再起動される
↑テレビにこの画面が出ればChromecastの準備はOK
↑スマートフォンでも使用可能の表示が出る
10. Google Homeのオプションと終了
↑セットアップが完了するとGoogle Homeでチュートリアルなどができる
社畜の所業
Office365の機能について解説をしていきたいと思います。このブログの情報をご活用いただければ幸いです。たまに他の情報も取り入れていきたいと思います。
【Office365参考書】DMARC(ディーマーク)について解説
送信ドメイン認証技術である SPF と DKIM の認証結果を用いて、受信サーバーにてメールの送信者を認証を行い、メッセージの信頼性を確認する機能となります。
受信サーバーにて SPF 認証と DKIM 認証の双方に失敗した際に、検疫 (quarantine) や拒否 (reject) など、どのような処理が推奨されるかを送信側がポリシーとして提示することができます。
Exchange Online では受信メールに対し、DMARC 認証が既定で有効になっていますが、受信するメッセージのDMARC 認証に失敗した場合、送信元が p=reject と p=quarantine のどちらを指定していても、スパムとしてマークします。
Exchange Online では、 SPF と DKIM の両方で認証に失敗した場合、なりすましメールの可能性があるとして、 DMARC ポリシーに従って処理されます。
どちらか一方、あるいは両方で認証に成功した場合には、 DMARC 認証に進みます。
SPF あるいは DKIM で正しいとされた送信元ドメイン (Mail From) と、送信者アドレスのドメイン (From) を比較し、一致すれば認証に成功したとして宛先ユーザーにメールが配信されます。
SPF と DKIM の両方の認証に成功したとしても、 DMARC の認証に失敗した場合には、認証失敗となる見込みです。
ロジックとしては以下のとおりです。
4-A. 3 が一致しない場合、受信側の DMARC ポリシーに則ったアクションが実行
4-B. 3 が一致した場合、受信側へメールが配送され受信
DMARC レコードをドメインの TXT レコードに追加することで利用することができます。
以下の 3 つのポリシー設定からメールの処理方法を選択することができます。
None : 何もしない
Quarantine : 受信サーバーで隔離する。迷惑メールフォルダに振り分けられる。
Reject : SMTP層でキャンセルする。拒否する。
Pct : フィルタ処理するメールの割合
rua : 集計レポートの報告先となるメールアドレス
ruf : 失敗レポートの配信先のメールアドレス(インシデントが発生すると生成され、失敗を引き起こした事象やエラーの詳細が含まれている)
Sp : ドメインのサブドメインのポリシー
Aspf : SPFの調整モード
fo : 失敗レポートの送信条件を指定する事が出来ます。
0:全ての認証がpassで無かった場合に失敗レポートを生成する
1:いずれかの認証がpassで無かった場合に失敗レポートを生成する
d:DKIMの署名検証が失敗した場合に失敗レポートを生成する
s:SPFの検証が失敗した場合に失敗レポートを生成する
DMARC が有効であるか確認する方法は、受信したメールヘッダーの [Authentication-results] にて確認することが可能です。
BLOG Azureブログ
【特集:Azureで実践するBCP/DR対策】
クラウドベースの災害復旧サービス
(DRaaS)Azure ストックオプションの活用方法と失敗例 Site Recoveryの概要を知る
- Azure相談センター:ホーム
- Azureブログ
- 【特集】Azureで実践するBCP/DR対策①~Azureブログ~
自然災害の多い日本では、企業の事業継続計画(BCP=Business Continuity Plan)、および災害復旧(DR=Disaster Recovery)対策のために、情報システムを守る仕組みを用意することが求められます。しかし、従来はBCP/DR対策を実施するには、多くの手間とコストがかかるという課題がありました。その解決策として注目されているのが、クラウドベースの災害復旧サービスです。
BCP/DR対策の課題を解決する切り札
そうしたBCP/DR対策の課題を解決するものと期待されているのが、クラウドベースの災害復旧サービスです。最近ではDRaaS(Disaster Recovery as a Service)と呼ばれることもあり、徐々に採用する企業が増えています。そんなDRaaSの代表的なサービスのひとつに、マイクロソフトの「Azure Site Recovery」があります。
Azureを待機系システムとして利用する
Azure Site Recovery は、オンプレミスの現用系システムとデータをクラウドで保護することを目的(ストックオプションの活用方法と失敗例 ※)としたサービスであり、大きく2つのBCP/DR対策方式が利用できます。
※Azure Site ストックオプションの活用方法と失敗例 Recovery はオンプレミスのみでなく、Azure上のシステムとデータを別リージョンにレプリケーション(Azure to Azure のリージョン間レプリケーション)することも可能です。リージョンレベルの障害発生時に備えたBCP/DR対策を考えた場合も、Azure Site Recovery なら対応できます。
1つは、2カ所のオンプレミスサイト間(Site to Site)でBCP/DR対策を行う方式です。これは、2014年1月から提供されてきたサービス(旧称「Azure Hyper-V Recovery Manager」)と同じもので、企業が用意したオンプレミスサイト間でデータのレプリケーションとシステムのフェールオーバーを実行します。Azure Site Recoveryは、オンプレミスサイト間の制御を担当し、レプリケーション設定やフェールオーバーなどが簡単な操作で実行できるようになります。
もう1つは、2014年10月に提供が開始されたオンプレミスサイトとAzure間(Site to Azure)でBCP/DR対策を行う方式です。この方式では、待機系システムとして「Azure 仮想マシン」「Azureストレージ」「Azure仮想ネットワーク」を利用することがポイントになります。企業が遠隔地のデータセンターを用意したり、待機系システムを用意する必要がありません。
Azure Site Recoveryは東日本/西日本リージョンで利用することが可能なので、データを海外に持ち出したくないという企業も安心です。また、データのレプリケーション先とシステムのフェールオーバー先はともに国内になるため、低遅延の通信環境が必要な場合も問題なく利用できます。
Azure Site Recoveryを利用すれば、これまで多大な手間とコストがかかっていたBCP/DR対策を容易に実現できます。次回は、Azure Site Recoveryの使い方・活用方法について紹介します。
photo:Thinkstock / Getty Images
Azureの導入や運用に関するお悩みは SoftbankグループのSB C&Sにご相談ください
「Azureのサービスを提供している企業が多すぎて、どの企業が自社にベストか分からない」
「Azure導入のメリット・デメリットを知りたい」
「Azureがどういう課題を解決してくれるのか知りたい」
など、Azureに関するお悩みならお気軽にお問い合わせください。
中立的な立場で、貴社に最適なソリューションをご提案いたします。
クラウドサーバーご検討中の方必見
お役立ち資料一覧
そのようなお悩みはありませんか?
Azure相談センターでは、上記のようなお悩みを解決する
ダウンロード資料を豊富にご用意しています。
是非、ご覧ください。
コメント