😎

Azure VMからKMSサーバーへの通信状況(2022/8版)

2022/08/03に公開

はじめに

昨日(2022/8/2)に書いた以下の記事で、AzureのKMSサーバーが更改される情報と、その影響について調べました。
https://zenn.dev/tomot/articles/40bd46eb14c479

ただ、今の断面で新旧KMSサーバーや通信許可状況がどうなっているのか気になり、若干検証不足だったので確認してみます。

検証すること

Azure上のVMから、新旧KMSサーバーがちゃんと見えているのか、通信可能なのか?

接続元環境

Azure上に建てたWindowsサーバー(2019)

テストツール

PsPing(Windows Sysinternals)

テスト内容

  • 新旧KMSサーバーのIPアドレス:1688ポート(ライセンス認証用)に向けてPsPingを実行

  • 上記を、NSGで通信許可/不許可の2パターンで実施

NSG設定について

旧KMSサーバーへの通信は、NSGの設定状況に関わらず「暗黙的な許可」となっています。
これは、厳しいルールを入れた場合に、意図せずライセンス認証が失敗してしまうことを防ぐためのようです。
今回は、デフォルト(OutBoundでInternet向けがAllow)と、厳しいNSG(OutBoundでInternet向けをDeny)の2パターンでテストします。
「厳しいNSG」の設定例はこちら。

テスト結果

端的に、結果は下記の通りです。

|宛先|NSG無し(デフォルト)の場合|NSG有り(Outbound-InternetをDeny)の場合|
|---|---|---|---|
|①旧IPアドレス(23.102.135.246)|○|○|
|②新IPアドレス(20.118.99.244)|×|×|
|③新IPアドレス(40.83.235.53)|○|×|

なかなか面白い結果となりました。

分かったコト

新IPアドレス向けの通信②/③の違い

新サーバー向けのIPアドレスは、通信できる先とできない先がありました。おそらく現在構築中/検証中で、受け付け可否が流動的なのかと予想されます。

NSGによる制御の違い

旧IPアドレス向けの通信は、NSGの設定状態に関わらず通信可能でした。これは、「暗黙的な許可」のためで、以前からこの挙動でした。
新IPアドレス向けの通信(③)は、NSGを設定したことで通信不可となりました。中の人でないと正確には分かりませんが、おそらく「暗黙的な許可リスト」に含まれていないためと思われます。

今後の天望

現在、新しいイメージからVMをデプロイすると、新ホスト名向けにライセンス認証にいきますが、名前解決するとCNAMEにより旧ホスト名、IPアドレスに解決されます。
新IPアドレス向けの通信が暗黙的にNSGで許可されるようになってから、新IPアドレスに解決されるようになると想定されますが、いずれにせよ継続的にウォッチして、自環境のライセンス認証が失敗しないよう気を付けていきましょう!

おわりに

今移行中ですよ!ということがしっかり分かる結果となりました。
この手の移行はユーザーの声で延期されたり、進め方が変わったりすることもありますが、気付いた方は予め対策して、変な障害を出さないように気を付けましょう!

Discussion