Azure CLI 2.0 ("az" コマンド) を使って Azure SQL Database のファイヤーウォールを開閉する

2017年 01月 26日

SQL Database の IP アドレスによるアクセス制御

自分は、仕事や趣味で Web アプリなどを作る際、その永続化層として SQL Database ― Azure 上で提供される、サービスとしての SQL Server ― を利用することが多々ある。

そしてこの SQL Database は、セキュリティ機能のひとつとして、予め指定した IP アドレスからのアクセスしか受け付けないようにする "ファイヤーウォール" の機能が付いている。

当然のことながら、普段は同じ Azure 上の App Services に配置してある Web アプリからしかアクセスできないように SQL Database のファイヤーウォールを構成して安全を保つようにしている。

しかし、もちろんのこと、自分の手元の PC から SQL Management Studio などを使って SQL Database に接続する必要に迫られるときもある。

そのような必要が発生したら、その都度、自分の PC (からのアクセス) のグローバルIPアドレスをアクセス許可するよう、SQL Database のファイヤーウォールに規則を追加し、用が済んだらそのファイヤーウォール規則を削除、という運用をしていた。

しかしこのファイヤーウォール規則の追加・削除を、Azure ポータル Web サイト上でぽちぽちやるのは結構めんどくさい。

こういう定型処理は GUI じゃなくて CUI でスクリプト化しておくと便利だ。

Azure CLI

そこで活用するのが、"Azure CLI" と呼ばれる、コマンドラインから呼び出して Azure の諸々の操作を行うプログラムだ。

Azure をコマンドラインから操作するプログラムとしては、まず、Windows PowerShell モジュールとして配布されている「Azure PowerShell」がある。

Get started with Azure PowerShell cmdlets
https://docs.microsoft.com/en-us/powershell/

これに加えて、macOS や各種 Linux ディストリビューションでも使用できるクロスプラットフォーム版がある。

このクロスプラットフォーム版の Azure CLI、現在、第2世代が絶賛開発進行中。

Microsoft Azure CLI 2.0 - Preview
https://github.com/Azure/azure-cli

このブログ記事を書いている時点ではまだプレビュー版で、v.0.1.1b2 がつい先日リリースされたばかりだ。

この Azure CLI の第2世代バージョンであるが、実は、そのつい先日の v.0.1.1b2 がリリースされるまで、SQL Database のファイヤーウォールを操作する機能が未搭載であった。

しかしついに、v.0.1.1b2 の登場によって、Azure CLI 第2世代での SQL Database のファイヤーウォール操作ができるようになったのだ。

ということで早速、Azure CLI 2.0 を使用した、ファイヤーウォールの開閉処理をスクリプト化してみた。

Azure CLI 2.0 のインストール

しかしまずは Azure CLI 2.0 をインストールからである。

この第2世代の Azure CLI は Python で実装されているらしい。
そのため、Pyhon とそのパッケージマネージャである "pip" コマンドが使える状態であれば、下記コマンドを実行することでインストールできる。

> pip install --user azure-cli

これで Azure CLI 2.0 の主要な機能がインストールされ、Azure CLI、すなわち "az" コマンド が使えるようになる。

...使えるようになる、はずだった。

だが、どうも自分の環境では、"--user" オプション付きでインストールされる先のフォルダパスが、Python のインストール時に自動では環境変数 PATH に追加されていなかったようで、コマンドプロンプトで az コマンドを叩いても "'az' is not recognized...." とエラーになってしまった。

そこで環境変数 PATH に、

%APPDATA%\Python\Python36\Scripts

を足すことで、コマンドプロンプトで az が実行できるようになった。

さらにサブコマンドの追加インストール

しかしこれだけでは、残念ながら SQL Database を操作する機能は付いてこないようだった。

そこで、今一度、pip を使って、今度は azurre-cli-sql というパッケージを追加でインストールする。

> pip install --user azure-cli-sql

これで "az" コマンドに、"sql" というサブコマンドが追加され、SQL Database に対する操作 ― ファイヤーウォールの開閉操作も含む ― が可能となった。

あとは、"az sql -h" というように -h スイッチをつけながらサブコマンドに何があるか調べながら進めていくと、すぐに使い方はわかるであろう。

なお、実際に az コマンドを使ってなにか Azure に対する操作を行おうとする際は、予め az login コマンドを実行し、コンソールに表示される指示に従ってログインを済ませておく。

ファイヤーウォール規則を追加・削除するスクリプト例

ファイヤーウォール規則に、自分の PC からのアクセスにおけるグローバル IP を許可する規則を追加する PowerShell スクリプトの例として allow.ps1、規則を削除する PowerShell スクリプト例として deny.ps1 を、下記に開示する。

# allow.ps1



$serverName = "(server name)"

$resourceGroupName = "(resource group name)"

$ruleName = "(rule name)"

$globalIPAddress = curl.exe -s http://inet-ip.info



echo "Global IP Address of this site: $globalIPAddress"



az sql server firewall create --firewall-rule-name $ruleName --server-name $serverName -g $resourceGroupName --start-ip-address $globalIPAddress --end-ip-address $globalIPAddress > $null

az sql server firewall list --server-name $serverName -g $resourceGroupName -o table



pause

# deny.ps1

$serverName = "(server name)"

$resourceGroupName = "(resource group name)"

$ruleName = "(rule name)"



az sql server firewall delete --firewall-rule-name $ruleName --server-name $serverName -g $resourceGroupName %gt; $null

az sql server firewall list --server-name $serverName -g $resourceGroupName -o table



pause

※事情は割愛しますが「PowerShell スクリプトで書くんだったら、はじめから Azure PowerShell 使えばいいのでは?」というツッコミはなしで。

補足: 自 PC からのアクセスでのグローバル IP を知るには?

"自分の PC からのアクセスにおけるグローバル IP" であるが、固定IPアドレスが割り振られた環境であれば、その契約したIPアドレスは自明なので何の問題もないだろう。

しかし モバイル回線でテザリングしている場合など、グローバル側の IP アドレスはころころ変わる環境では、スクリプト中に IP アドレスを記載しておくわけにはいかない。

そこで上記のスクリプト例では、"自分の PC からのアクセスにおけるグローバル IP" を知るために、http://inet-ip.info に HTTP 要求を送る、という方式で実装してみた。

http://inet-ip.info は、HTTP 要求元の IP アドレス文字列を、HTTP 応答で返してくれるというサービスだ。

curl を使って http://inet-ip.info に HTTP 要求を送れば、自分の PC からのアクセスにおけるグローバル IP アドレスが標準出力に表示される、という寸法である。

※自分の環境は、Git for Windows をインストールしており、付属のコマンドにも PATH を通してあるので、curl コマンドをはじめ、多くの Unix コマンドが使えるようになっている。なお、PowerShell では "curl" というコマンドはエイリアスで PowerShell の Invoke-WebRequest コマンドレットが実体になっているので注意。そのため、上記スクリプト例では、拡張子の ".exe" まで指定して curl を呼び出すようにしてある。

まとめ

...ということで、第2世代の Azure CLI でも、ついに SQL Database の操作がいろいろと可能になった。

引き続き、定型処理のスクリプト化に az コマンドの活用の幅を広げていきたいと思う次第。

by developer-adjust | 2017-01-26 23:22 | その他IT系 | Comments(0)