Azureで仮想マシンを立てた後、追加でユーザを作成してみるも、rootになろうとするとsudoでパスワードを聞かれます。
パスワード入力を求められないためには仮想マシン構築時に作成したユーザと同じ設定をすればいいはずなのですが、/etc/sudoersを見ても記載が見当たりません。
でもよくよく見たらincludedirに記載のパスにAzureっぽいファイルがあり、ここに記載がありました。

#/etc/sudoers.d/waagent
------------------------------------
azureuser ALL = (ALL) NOPASSWD: ALL
------------------------------------

/etc/sudoersに書いてみるとか、書く場所はたくさんありますが、設定を統一するためここにファイルを足していくといいでしょう。

AWSもリリースから10年、名前と概要はわかれどまだまだ導入に踏み込めない企業も多いと聞いています。
シイエヌエスではこれまでのエンタープライズ環境におけるシステム構築実績(30年以上!)を活かして、そのような企業様へ円滑なクラウド移行へお役に立てればと考えております。
社内外に対してのAWSハンズオンセミナーを実施し、有識者の育成にも力を入れています。

そんな中、アマゾン ウェブ サービス ジャパン様とのパートナーシップの強化、クラウドの普及に向けた取り組みの一環として、11/17(木)の弊社ビジネスパートナー総会にてAWS亀田様に講演していただくことになりました!
ビジネスパートナー総会には64社のパートナー様をお招きする予定です。
亀田様の講演には今後どういったエンジニアが市場に求められていくことになるかといった内容もあるそうなので、講演後の意見交換も盛り上がりそうです!
講演後、改めてレポートさせていただこうと思います。

AWSのご紹介とクラウドとシステムインテグレーション業界

アマゾン ウェブ サービス ジャパン株式会社
テリトリー アカウント マネージャー /テクニカル セールス
亀田 治伸様


Azure Active Directory(以下AAD)にカスタムドメインを追加し、ARM環境の仮想マシンをドメイン参加させる連載の第3回です。
前回記事でAADでドメインサービスを稼働させました。
今回はVNETピアリングを構成してクラシック環境とARM環境を接続し、ARM環境の仮想マシンをドメイン参加させます。

構成(今回の記事で扱う範囲)

既にカスタムドメインの追加と、そのドメインでのドメイン サービスは稼働している状況です。クラシック環境の仮想マシンであればこのままドメイン参加可能ですが、ARM環境の仮想マシンはネットワーク的に分断されている状況です。
VNETピアリングはARM内の同一リージョン内の仮想ネットワーク同士を接続するのにも使いますが、クラシック環境とARM環境を接続し、クラシック環境からのスムーズな移行のためにも構成するものです。
今回はARM環境の仮想マシンのドメイン参加のための橋渡しとしてVNETピアリングを構成します。

VNETピアリングの構成

VNETピアリングの構成は2016/09でプレビュー段階です。手順は今後変わる可能性があります。構成は新ポータルの方で実施します。

  1. ARM環境側の仮想ネットワークを選択し、[ピアリング] > [+追加]と選択します。

  2. ピアリングの追加画面で、[仮想ネットワークのデプロイモデル]を[クラシック]に変えると、クラシック環境の仮想ネットワークを選択できるようになります。あとはピアリングの名前をつけて[OK]を選択するだけです。

  3. 簡単に構成できました。

ARM環境の仮想マシンのドメイン参加

ドメインサービスが稼働しているクラシック環境と、仮想マシンが稼働しているARM環境が接続されました。仮想マシンのドメイン参加を行います。

  1. OSからDNSサーバのIPとして、AADのドメインサービス向けに払い出されたIPを指定してみます。

    直後、リモートデスクトップが切断され、繋げなくなりました…
    どうもこの手順じゃダメそうです。
    しょうがないので仮想マシンを停止して割り当て解除状態になってもらいました。

  2. [仮想マシン] > [ネットワークインターフェース] > [DNSサーバー]と選択すると、NICに割り当てるDNSサーバを設定できます。

  3. この状態で起動してみると、リモートデスクトップできるようになっていて、DNSサーバの設定も狙い通りされていました。

  4. カスタムドメインへの参加をしてみます。

    ドメイン名にカスタムドメインを指定し、[OK]を選択します。

    無事認証窓が出ました!
    ドメイン サービスとの疎通は成功したようです。

    が、この段階でAzureポータルにログインした時の正しいユーザ/パスワードを指定しても認証をパスしません。

AAD DC Administratorsグループの作成

公式ドキュメントによるとAD DC Administratorsに所属する管理ユーザを作らないといけないようでした。。
Azure AD ドメイン サービス (プレビュー) – “AAD DC 管理者” グループの作成

※ドキュメント的には最初に作る感じに書いてありますが、実際問題ここまでユーザが必要になる場面はなかったので、順序関係はなさそうです。

  1. [ACTIVE DIRECTORY] > [カスタムドメイン名] > [グループ] > [グループの追加]と選択します。

  2. グループ名に[AAD DC Administrators]と入力し、グループタイプはデフォルトのまま[セキュリティ]として✔を選択します。

  3. グループが作成されました。

ユーザの作成

AAD DC Administratorsグループができたので、メンバーとなるユーザを作成します。

  1. [ユーザ] > [ユーザーの追加]と選択します。

  2. ユーザ名とドメインを選択して[→]を選択します。

  3. 名前やロールを定義して、[→]を選択します。
    姓・名は必須ではありません。labcns.topにはメールサーバを置いていないので、連絡用電子メールアドレスは自分のメールアドレスを書いてみました。が、別にメールは飛んできませんでした…単なるADユーザの連絡先として登録されるだけのようです。

  4. [一時パスワードの取得]画面が表示されるので、[作成]を選択します。

  5. 一時パスワードが払い出されるので、コピーしてから[✔]を選択します。

グループへのメンバー追加

作成したazureユーザをAAD DC Administratorsグループに追加します。

  1. [グループ] > [AAD DC Administratos]と選択します。

  2. [メンバーの追加]を選択します。

  3. 追加したいユーザを選択して[✔]を選択します。

  4. メンバーが追加されました。

ARM環境の仮想マシンのドメイン参加(再)

AAD DC Administratorsグループのユーザも作成したので、ドメイン参加に再チャレンジします。

  1. 先ほどと同様、ドメイン名を入力します。
  2. 認証窓にazureユーザ(AAD DC Administrators)を指定し、払い出された一時パスワードを入力します。

  3. 今度はドメインに参加できました!

関連記事

Azure Active Directory(AAD)にカスタムドメインを追加
Azure Active Directory(AAD)でドメインサービスを稼働させる
VNETピアリングを構成し、仮想マシンをドメイン参加させる

Azure Active Directory(以下AAD)にカスタムドメインを追加し、ARM環境の仮想マシンをドメイン参加させる連載の第2回です。
前回記事でAADにカスタムドメインを追加するところまでを書きました。
今回はAADでドメインサービスを稼働させるところを書いていきます。

 

構成(今回の記事で扱う範囲)

AADでドメインサービスを稼働させるには、サーバ群がAADに接続するためのエンドポイントとなるIPを払い出す、仮想ネットワークを構成する必要があります。
まず仮想ネットワークの構成を行い、次にAADでドメインサービスを有効化します。

 

仮想ネットワークの構成

クラシックポータルでの仮想ネットワーク構成をします。

  1. クラシックポータルで、[ネットワーク] > [仮想ネットワークの作成]と選択します。

  2. 仮想ネットワークの名前を付けて、リージョンを選択します。

    このリージョン選択は注意してください。
    Products available by regionを見ていただくとわかりますが、
    2016/09現在、AADのドメインサービスは日本未対応なんです…
    ここに●が付いていないリージョンで仮想ネットワークを選択しても、後の手順でAADのネットワークの候補が空欄のままで、進めません。何故指定できないのか分からず、ハマりました。
    仕方なく東南アジアにしてみました。

  3. DNSサーバおよびVPN接続の画面が出てきますが、特に変更するところはないので→ボタンを選択して先に進みます。

  4. アドレス空間とサブネットを構成します。

    ここにも注意点があって、クラシック環境とARM環境でアドレス空間がバッティングしないようにしてください。
    クラシックポータルだとアドレス空間のデフォルト値は10.0.0.0/8と、大きなアドレス空間が割り当てられています。ARM環境のアドレス空間のデフォルト値は10.0.0.0/16です。
    サブネットの切り直しは再作成するしかないので、いい加減にアドレス空間切っていると後々バッティングで泣かされることになります…
  5. 仮想ネットワークができました!

AADドメインサービスの稼働

前提条件となる仮想ネットワークの構成が済んだので、AADドメインサービスを構成します。

  1. [ACTIVE DIRECTORY] > [labcns.top(カスタムドメイン名)]と選択します。

  2. [構成]を選択します。

  3. 画面の下の方にスクロールしていくと、[ドメイン サービス]があります。ここで、このディレクトリのドメイン サービスを有効にしますか?と聞かれるので、[はい]を選択します。

  4. カスタムドメイン名と仮想ネットワークを選択し、[保存]ボタンを選択すると、ドメイン サービスが有効になります。
    ※仮想ネットワーク作成時にリージョンを間違えると、この画面の仮想ネットワークが空欄のままになり選択できない状態になります。

  5. しばらく待つと、ドメイン サービスにIPアドレスが払い出されます。
    このIPをDNSサーバのアドレスとして設定することで、仮想マシンのドメインへの参加ができるようになります。

次回は、VNETピアリングを構成しARM環境とクラシック環境を接続し、ARM環境の仮想マシンをドメインに参加させます。

 

関連記事

Azure Active Directory(AAD)にカスタムドメインを追加
Azure Active Directory(AAD)でドメインサービスを稼働させる
VNETピアリングを構成し、仮想マシンをドメイン参加させる

Azureの利用を開始した時点で、Azure Active Directory(以下AAD)には既定のディレクトリが作成されます。
このディレクトリに組織のドメインを追加し、ARM環境の仮想マシンをドメイン参加させようとすると、2016/09現在では少々難があります。


Azureはクラシック環境(v1)とARM環境(v2)でNW環境が分断されており、ARM環境にディレクトリサービスを提供するものが無いためです。
勿論、普通にADサーバ立てればいいのですが、AzureのADが既にあるのに、ちょっともったいないですよね…

AADにカスタムドメインを追加し、ARM環境の仮想マシンをドメイン参加させるまでの流れを、これから3回に分けて書いていこうと思います。

  • AADにカスタムドメインを追加
  • AADでドメインサービスを稼働させる
  • VNETピアリングを構成してARM環境の仮想マシンをドメイン参加させる

なお、AADのドメインサービス、VNETピアリングともに2016/09現在ではプレビュー版です。今後大きく変更になる可能性がありますのでご留意ください。

構成

今回構築した構成は下の図のような形です。
赤枠内が今回の記事で書いていく部分になります。

ドメインはお名前.comさんで30円で購入したlabcns.topドメインを使いました。そのドメインのネームサーバとしてAWSのRoute53を使用しました。このDNSは外部DNSとして機能すれば良いので、Azure環境である必要はないです。クラシック環境とARM環境を繋ぐVNETピアリングを構成します。

NameServerの指定

ドメインの取得はお名前.comさんで簡単にできます。
購入が完了すると、ドメインNaviからポチポチとドメインの設定ができます。自由にいろんなレコードを足すべく、NameServerはAWSのRoute53に向けてみます。
NameServerの変更は以下の手順で行います。

  1. [変更する]ボタンを選択

    https://www.cns.co.jp/cri/wp-content/uploads/2016/09/767007ff6db3822035718544193dde19.png
  2. ネームーサーバーの変更(お名前.comサービス→Route53)

    ネームサーバに指定する名前は、Route53のHosted zonesでゾーンを選択したときに表示される名前と揃えます。

    画面に表示されている通り、このネームサーバーの変更には結構時間がかかります。何度か設定してみた感じでは、大体24時間以内には反映されてました。

 

カスタムドメインの追加

ネームサーバの変更が反映されたら、AADにカスタムドメインを追加します。

  1. Azureのクラシックポータルから[ACTIVE DIRECTORY] > [既定のディレクトリ]と選択し、[ドメインの追加]ボタンを選択します。

  2. カスタムドメイン名(labcns.top)を指定して、[追加]ボタンを選択します。今回の構成ではローカルADは存在しないため、[このドメインを構成して、ローカル Active Directoryにシングル サインオンします。]にはチェックしません。

    追加に成功すると、こんな画面が表示されます。

  3. 続いて、ドメイン所有者であることの確認です。
    画面に表示されているTXTレコードもしくはMXレコードを、DNSゾーンに定義して、[確認]ボタンを選択します。

    Route53の設定だと、こんな感じのレコードを作成します。
    [エイリアスまたはホスト名]に記載のある@は無視してかまいません。

  4. DNSサーバ宛にTXTレコードの確認をして、問題なければ下記の画面が表示され、カスタムドメインの登録が完了します。

関連記事

Azure Active Directory(AAD)にカスタムドメインを追加
Azure Active Directory(AAD)でドメインサービスを稼働させる
VNETピアリングを構成し、仮想マシンをドメイン参加させる

 

Azureのネットワーク セキュリティ グループ(NSG)は、サブネットと仮想マシンの両方に適用できます。
それぞれ通信許可(○)、NSG設定なし、通信拒否(×)の3パターンがありますが、特にNSGなしの場合の挙動が気になって実験してみました。
インターネットからのSSHアクセスで実験してます。

パターン サブネット 仮想マシン 結果
1
2 NSGなし
3 × ×
4 NSGなし
5 NSGなし NSGなし
6 NSGなし × ×
7 × ×
8 × NSGなし ×
9 × × ×

まとめ

NSGなしのパターンには注意が必要ですが、他は違和感ないですね。

  • NSGなしは○と同じ扱い
  • アクセス経路がサブネット→仮想マシンだからサブネットの条件は仮想マシンに優先
  • 両方とも通信許可の場合だけ疎通OK

使い分け

大まかな絞り込みはサブネットに対するNSG適用でブラックリスト的に
配置サーバの通信要件の論理和となる通信許可設定を適用。
SSLの強制の有無や内部統制の強度に起因する仮想マシン固有の通信要件については、NSGを仮想マシンに適用し、ホワイトリストでやるといいと思います。

AzureでNATインスタンスを構成します。
構成手順について、クラシックモデルの時は一部PowerShellによる設定が必要でしたが、ARMになってからはAzureポータルだけで完結するようになりました。

NATインスタンスにするVM作成

まずはVMを立てます。OSとしては何ら特別なことをするわけでもないのでよくあるCentOSで構成してみます。

VM構成

    1. [+新規] > 検索欄に[centos]を入力
    2. [CentOS-based 7.2]を選択します。
    3. デプロイモデルは[リソース マネージャー]を選択し、[作成]ボタンを選択します。
    4. 仮想マシンの作成画面が表示されます。

      設定項目と値は下記のようにしてみました。

      項目
      名前 nat01
      VM disk type
      ○ Premium(SSD)
      ● Standard
      ユーザー名
      azure-user
      認証の種類 ○パスワード
      ●SSH鍵
      Password
      SSH public key 公開鍵の中身を貼り付け
      サブスクリプション 無料試用版
      リソースグループ 既存のものを使用
      リソースグループ名 rg_cns
      場所 東日本

    5. VMの性能を決める選択肢が提示されますが、NAT目的だけにしてはちょっとお高いので[すべて表示]。

      F1S Standardが安いですね。
      このFシリーズもDv2シリーズと同じく、2.4 GHz Intel Xeon® E5-2673 v3 (Haswell)を使っているやつで性能良いようです。
      Aシリーズは安いんですけどコアあたりのCPU性能はコレの半分程度です。要注意。
      Virtual Machinesの価格

    6. インスタンスタイプを選択すると、オプション機能の構成画面が表示されます。ネットワーク セキュリティ グループを作成済みのものに切り替えます。


    7. 拡張機能も使うと色々できて嬉しそうです。
      Acronis、 Deep Security、Chef等見慣れたものから、DataDogとかクラウドサービスと連動するものまで。
    8. 一通り設定したので[OK]ボタンを選択します。
    9. 検証に成功したら[OK]ボタンを選択します。
    10. 仮想マシンのデプロイが開始されます。
    11. デプロイが完了すると仮想マシンの概要が表示されます。

VMへのSSH接続

    1. TeraTermでパブリックIPに接続します。
    2. VM作成時に指定した公開鍵に対応する秘密鍵を指定して接続します。
    3. 接続できました!

NATインスタンスとしての設定

VMは出来たので、ここからが本文です。OS設定は勿論行いますが、ネットワークインターフェースに対して、NATインスタンスならではの設定が必要です。

OS設定

    1. まずはIPフォワード設定を実施します。
      sysctl -w net.ipv4.ip_forward=1
      echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.d/ip_forward.conf
      
    2. 続いてファイアウォール設定です。
      systemctl start firewalld
      systemctl enable firewalld
      firewall-cmd --set-default-zone=external
      firewall-cmd --reload
      

静的IP設定

    1. NATインスタンスのIPを静的IPに変更します。
      [すべてのリソース] > [NATインスタンス] > [ネットワーク インターフェース] > [ネットワーク インターフェースの名前]と選択します。
    2. [IP configurations]を選択すると、IP 転送設定画面が表示されるので、IP 転送を[無効]に設定します。次いで名前を選択するとプライベート IP アドレスの設定画面が表示されるので、割り当てを[静的]に設定します。後はそれぞれ[保存]ボタンを選択します。

ルートテーブル設定

    1. [すべてのリソース] > [rt_private](プライベートサブネット向けのルートテーブル)と選択し、続いて[ルート]を選択します。
    2. [+追加]を選択し、NATインスタンス向けのルートを追加します。

      項目
      ルート名 nat
      アドレスプレフィックス 0.0.0.0/0
      次ホップの種類 仮想アプライアンス
      次ホップアドレス NATインスタンスのプライベートアドレス

NAT試験

    1. プライベートセグメントに立てた仮想マシンからインターネットアクセスに成功することを確認します。
      curl -I http://www.cns.co.jp
      HTTP/1.1 200 OK
      

Azureのネットワーク セキュリティ グループを構成します。
一般的な運用で使うであろうSSH,RDP許可設定を追加してみます。
AWSのセキュリティグループと似てますが、この手順ではサブネットへの適用をするので、ネットワークACL的な使い方をしてます。
AWSのネットワークACLと違うのは、ネットワーク セキュリティ グループ(NSG)はステートフルなので、戻りの通信に対して許可設定を入れる必要はありません。

ネットワーク セキュリティ グループの作成

    1. [+新規] > [ネットワーキング] > [ネットワーク セキュリティ グループ]と選択します。

    2. デプロイモデルの選択画面が表示されるので、[リソース マネージャー]を選択して[作成]ボタンを選択します。
    3. ネットワーク セキュリティ グループの設定をして、[作成]ボタンを選択します。


      設定項目と値は、下記のようにしました。
      ダッシュボードへのピン留めは、今回は実施しません。
      なんでもかんでもピン留めするとダッシュボードがぐちゃぐちゃになるので、リソースグループ単位とかにするのがいいと思います。
      項目
      名前 sg_unyo
      サブスクリプション 無料試用版
      リソースグループ ○ 新規作成
      ● 既存のものを使用
      リソースグループ名 rg_cns
      場所 東日本
      ダッシュボードにピン留めする チェックなし
    4. デプロイに成功したら、[すべてのリソース] > [sg_unyo]と選択すると、概要が確認できます。

受信セキュリティ規則の設定

    1. まだ何も設定が無いので、[受信セキュリティ規則] > [+追加]と選択して、受信許可する通信の設定を足します。

      受信セキュリティ規則の設定画面で設定項目を埋めて[OK]ボタンを選択し、必要な規則を追加していきます。

      SSH許可設定

      項目
      名前 SSH
      優先度 100
      ソース ○任意
      ●CIDRブロック
      ○タグ
      発信元 IP アドレス範囲 ※自社のグローバルIPアドレス
      プロトコル ○任意
      ●TCP
      ○UDP
      発信元ポート範囲 *
      宛先 ○任意
      ○CIDRブロック
      ○タグ
      宛先ポート範囲 22
      アクション ○拒否
      ●許可

      RDP許可設定

      項目
      名前 RDP
      優先度 100
      ソース ○任意
      ●CIDRブロック
      ○タグ
      発信元 IP アドレス範囲 ※自社のグローバルIPアドレス
      プロトコル ○任意
      ●TCP
      ○UDP
      発信元ポート範囲 *
      宛先 ○任意
      ○CIDRブロック
      ○タグ
      宛先ポート範囲 3306
      アクション ○拒否
      ●許可
    2. 設定が完了したら、×ボタンで受信セキュリティ規則画面を閉じます。

サブネットへの関連付け

    1. 作成したネットワーク セキュリティ グループをサブネットに関連付けします。[サブネット] > [+関連付け]と選択します。
    2. 仮想ネットワークを選択します。

    3. 続いてサブネットを選択します。
    4. [OK]ボタンを選択します。
    5. サブネットの関連付けがされました。

 

Azureに構築済みの仮想ネットワークに、インターネットからの接続をさせないプライベートサブネットの追加を行います。

プライベートサブネットの追加

まずはプライベートサブネットの追加から始めます。

    1. [すべてのリソース] > [仮想ネットワーク名]と選択します。

    2. [サブネット]を選択します。

    3. サブネットとゲートウェイサブネットがありますが、[+サブネット]を選択します。

    4.  作成するサブネットの情報を入力し、[OK]ボタンを選択します。

      設定項目と値は下記のような内容になります。

      項目
      名前 private
      アドレス範囲(CIDR ブロック) 10.0.1.0/24
      ネットワーク セキュリティ グループ なし
      ルートテーブル なし
    5.  作成されたサブネットが表示されます。

 

ルートテーブルの作成

プライベートサブネットにはインターネットゲートウェイに接続しない、自社LANとのVPN接続があったり等、パブリックネットワークとは異なるルーティング設定をするケースが大半だと思います。
プライベートサブネットに所属するノードへのルーティング設定の元になるルートテーブルの作成を行います。

    1. [+新規] > [ネットワーキング] > [ルートテーブル]と選択します。

    2. ルートテーブルの設定を入力し、[作成]ボタンを選択します。

      設定項目と値は下記のように設定しました。

      項目
      名前 rt_private
      サブスクリプション 無料試用版
      リソース グループ 既存のものを使用
      リソース グループ名 rg_cns
      場所 東日本
      ダッシュボードにピン留めする チェックなし
    3. 結果は通知で確認できます。

    4. [すべてのリソース]を選択すると、作成したルートテーブルが確認できます。

 

ルートテーブルの割り当て

作成したルートテーブルを、プライベートサブネットに適用します。

    1. [すべてのリソース] を選択すると、作成済みの仮想ネットワークが表示されます。

    2. 仮想ネットワーク名を選択すると、設定内容が表示されるので、[サブネット]を選択します。

    3. ルートテーブルを割り当てるサブネット(private)を選択します。

    4. ルートテーブルを選択します。

    5. 割り当てるルートテーブル(rt_private)を選択します。

    6. ルートテーブルが割り当てられたのを確認し、[保存]ボタンを押します。

    7. [すべてのリソース] > [rt_private]と選択すると、サブネットが割り当てられたことがわかります。ただ、現状は何もルーティングがない状態です。

 

プライベートサブネットへは、インターネットから接続できるべきではありません。が、プライベートネットワークもWindows Updateがしたかったり、ウィルスパターンが更新したかったりyumがしたかったりします。
# 内部からはインターネットを使いたい。
そのため、別の記事でNATインスタンスを作成して、ルートテーブルのデフォルトゲートウェイをNATインスタンスに向ける、ということをやろうと思います。

Azureで仮想プライベートネットワークを構成します。
仮想ネットワークは他のサービスを利用する際にインプットとして求められる関係上、早い段階で作成することになります。

    1. [+新規] > [仮想ネットワーク]と選択します。

       

    2.  デプロイモデルの選択だけ入力項目があります。
      以下2つから選択できますが、今回はデフォルトの[リソース マネージャー]を選択し、[作成]ボタンを選択します。
      ・リソース マネージャー
      ・クラシック
      この違いについては、別途記事を書きます。

       

    3.  仮想ネットワークの作成画面になります。

      ネットワーク設定を入力していき、[OK]ボタンを選択します。

      設定項目と値は下記のようにしました。
      項目
      名前 nw_cns
      アドレス空間 10.0.0.0/16
      サブネット名 public
      サブネット アドレス範囲 10.0.0.0/24
      サブスクリプション 無料試用版
      リソースグループ 新規作成
      リソースグループ名 rg_cns
      場所 東日本
      ダッシュボードにピン留めする
    4. 出来上がった仮想ネットワークの情報が表示されます。

       

    5. 画面左上の[Microsoft Azure]を選択するとダッシュボードが表示されます。先ほど作成した仮想ネットワーク名がダッシュボードに表示されているのがわかります。