2016年9月25日 (日)

Juniper SRX320とAWSでVPN接続-その2

今日も昨日の続きです。
最近Arduinoをいじれていないのですが、結局週末は機器には触っている日々です。

VPNは張れてたんですけどね・・・対象となるEC2にpingが届かないんですよ。

これはあっしがBGPを良く分かっていないからだな・・・と言う事で継続で今日はトライアンドエラーです。
結構アレンジしないと駄目なんですね。色々書き換えましたよ・・・。壊した構成を消すのもめんどくさい。それは明日にします。
今日は昼ぐらいから始めたんですが・・・SRXのナレッジ見たりBGPをなんちゃらを今勉強したり・・・格闘しつつ・・・タイムアップ。何かが足りない。
自宅に戻って・・・世界の果てまでイッテQを見てからリモートで会社に潜り込んで、SRXをじ~っと眺めていて、ポリシーにログを取れるようにしたのにログにICMPが乗っかってこないことに少しイライラしていました。
trustからuntrustに抜ける通信を他のセグメントでやってみると記録される。
でも対象のセグメントの記録が残らない。
flairもしかしてtrust to trustか。と思ってポリシーを作ったら・・・ICMP通りましたcrying
実はついさっき、上手くいきましたcoldsweats02
わたくし、結構1時間ぐらいハマっていることから離れるとカンが冴える時あるんですcoldsweats01
でも中々そうなれないのが難しい所・・・despair
一通りの知能を絞りきってからじゃないと、このカンの効果が出ないのも難しい所wobbly
AWSから提供されるコンフィグもBGPの広告が0.0.0.0/0になっているんで、そこもちゃんとアレンジしてやらんといけないってのは日中には分かっていたんでアレンジしたりSRX側のStatic Routeもちゃんと書いてあげることで、AWS側に動的ルートが自動的に追加されていくところもわかりましたが・・・まさかSRXのポリシーとは・・・とほほ。
詳細は、まだVPNを組む機会がまだまだあるのでその時にキャプチャーするとして、とりあえずなんとかなりました。coldsweats01
こうやってハマれるのも本番稼働前の検証環境(ほぼ本番状態だけど)だからだし、ハマっておかないと覚えられない挙動とかもこういう時に確認出来るんでハマるのも悪くないよね。ハマっておくと、いざの本番構築時にハマる時間を少なく出来るしね。
失敗は成功の母とは言いますが、本当にそうだと思います。
あと、これをちゃんとやっておくと手順書型人間にならずに済みます。カンも鋭くなっていくしね。でも昔より検証期間とか勉強期間が設けにくくなったなぁ・・・。
この反復をあと最低6回はやらないといけないので身体に馴染んでくれるでしょうw
ただ、今日は本当はAWS側の作業をメインにしたかったのに全く出来なかったんで・・・うーんどうしよぉbearing

ラッキングする時に便利な道具?

ちょっと息抜き。

サーバーやネットワーク機器をラッキングする時にケージナットを取り付けると思うのですが、指が痛い思いをしている方々結構居るんじゃないでしょうか。マイナスドライバーとかで怪我しちゃったことがある人も居るはず・・・coldsweats01

Img_1565
このアイテムを知っている人居ますか?呼び名が分からないのですが、ケージナットを取り付け・取り外しにとっても便利な道具です。APCのラックを買ったら付いてきたんですよね。売り物としては商売にならないような道具かと思うのですが、ラッキングする人には大変重宝します。
Img_1568
この向きで使います。ガキが内側に向く感じですね。
Img_1569
こんな感じでケージナットをセットして・・・後は金具を引っ張るだけ。そんなに力も必要なく・・・するっと・・・という感じで・・・・。
Img_1567
ケージナットが取り付けできます。作業効率もかなり良いです。サクサク取り付け出来ます。気持ちよくて、余分に取り付けられちゃうsmile
Img_1570
いやぁ・・・ケージナットは外すのが大変なんだよ・・・というのも大丈夫。隙間に差し込んで・・・
Img_1571
押し込むだけ。怪我の心配もないです。ちょっと突っ張るときは中のナットを少し揺さぶっとくと大丈夫。
これ、すごい便利なんですよhappy02
でも名称がわからないし、地味アイテムで紛失しやすい。
もうちょっとコンパクトにしてキーホルダみたいに出来ないかなw
ラッキングで一番の楽しみになること間違い無しww
そういえばラッキングで、多分このコダワリは中々居ないんじゃないかと思って写真ついでに撮っときました。
Img_1572
Img_1573
Img_1574
Img_1575
Img_1576
Img_1577
色々な機器の写真を見せたかったわけではないですw
ネジの+の向きに注目してください。全てキレイに揃えています。
誰も気にしない所に美しさを求める美学は中々理解されるものではないのですが、その道の世界の方々には当たり前だと思ってもらえる部分です。
これ揃えるのも結構難しいんですよ。緩過ぎてもだめ、強すぎてもだめ。ちゃんとトルクが掛かる状態で揃える。
まぁベストを言えばネジも全部種類を揃えたり、もっとコダワリたいんですけどね。
思考や精神論を語ろうとは思っていませんが、モノを言い換えるとプログラミングとかだったら変数の定義とかになるんですかね。
ネーミングの法則とか、モノと限らず色々な場面で、こういった小さな美学やコダワリは生きてくるんじゃないかと思って続けています。
キッカケは高校生の時の電気工事のバイト先での師のシゴキでしたが、一流(プロ)の美学と思って続けています。
コダワリや心がけ・・・持ってますか?ってタイトルと内容が変わってきちゃったんでここらへんでw

2016年9月24日 (土)

Juniper SRX320とAWSでVPN接続

前回のSRX320の記事でBGPがどーちゃらと言っていたので、少しピンと来た人もいるかもしれませんが、実はAWSとのVPN接続を試したかったからです。

しかし・・・SRX320・・・シンドイsad・・・AWS・・・シンドイwobbly

結果的に出来たけどさ~・・・これ運用管理したくないよ?coldsweats02

まずSRX320ですが、冗長化構成(Active/Passive)は従来のSRXシリーズの方法で出来ますのであえて取り上げる事もない・・・かな?
ただ、GUIである程度リダンダント構成が組めるようになっていました。
問題はリダンダントインターフェースの組み方(作法)が私の知る限りでは2通りあるので、どちらを選択するかによると思いますが、rethインターフェースでの組み方でやる場合は結局はCLIが楽です。なんだかんだでrethによる冗長化設定をしておかないと言う事を聞いてくれないので、結果的には・・・GUIとCLIを駆使する事になります・・・。
あとfxp0の動きが中々シックリいかなかったですね・・・フェイルオーバーテストをした時も動きが・・・う”-む・・・なんだろう?!って感じでした。

さて、SRXの冗長化構成でAWSとのVPN接続にすると、AWSが気を利かせてくれる「設定のダウンロード」にある情報ですが・・・このまま投入してしまうと動きません。泣きます。
Awsj01_2
AWSでのVPN接続は「VPN接続の作成」からアプローチすると比較的やりやすいと思います。。。画像はもう基本的な投入が完了してしまっていますが、入力しているのは、RemoteのIP(受け側のVPN機器:今回はSRX320)のグローバルIPを入れて、Remote側のネットワークセグメントと、BGP動的の設定と、VPNの対象とするVPCです(もう文字だけで説明しても分かりづらいよね・・・)。BGPはデフォルトのASNでいきませう。
なので、AWSサイドについてはVPCがあらかた組み終わっていて、何を最初の手順で行えばよいかが分かっていれば・・・カンタン?

Awsj02
問題はSRX側かな・・・画像はVPNウィザードなんですが、これが分かりにくい。今までNetscreenもSRXもこれ使ったことないので余計に分かりづらい。そしてAWSから提供されるのはCLIでの設定情報なんで、ウィザードに当てはめては使えません。

てことでCLIで挑む訳なのですが、リダンダントSRX環境なので一部読み替えて投入しなければなりません。

#set security ike gateway gw-vpn-1a23b567-x external-interface ge-0/0/0.0
こんな感じの設定内容で投入・・・ではなくてここでUntrustにあたるインターフェースを指定しなければならないのと、冗長化時でrethインターフェースの場合はreth0.0とかに書き換えねばならんす(実際には冗長化時は0.0は機器により強制的にfxp0だったりするので注意)。

SRXは0だったり0.0だったり分かりにくいよね。
IPSecの設定ではこのインターフェースの部分を気を付ければOK。

BGP側の設定はzoneに注意。
#set security zones security-zone trust interfaces st0.1
#set security zones security-zone untrust host-inbound-traffic system-services ike
#set security zones security-zone trust host-inbound-traffic protocols bgp

Juniper社会での標準ではtrust/untrustが主流ですが、ここでzone名を変更している場合はそのzoneに合わせて変更しないと駄目です。

それと当たり前の事なのですが、最初のIPSecであればこの程度の読み替えで済みますが、2つ目、3つ目と増やしていくと・・・読み替え範囲が多くなります。

あっしはBGP初心者なんでもうちょっと動きを勉強せねば・・・。

Awsj03
VPNが張れてるかどうかはMonitor画面で確認出来ます。StateがUPになっていますね。AWSはIPSec2本掛けせねばならんので・・・ふぅ。

Awsj04
BGPもちゃんと動いていそうです。にわかインフラエンジニアな私でも出来ましたねsmile

YAMAHA RTXでのBGPの事例は多いので私はやる予定はないのですが(ではなくて海外でも同じことをするのでJuniperを選んだまでで)、Configを見る限りではRTXの方が簡単に見えるんだよなぁ…。RTXって冗長化してBGP廻せるんだっけ?

Awsj05
てことで、AWS側もちゃんとステータスがUPになってBGPルートになりました。

うーん・・・。。。

これって2本分のIPSec通信が掛かるやん?

以前、Meraki MX100でも1本分だけ取りあえずVPN張ったんだけど殆ど無通信(IPSecのみ)で7000円位掛かるんだよね・・・。

sign02

勉強代高いなぁ・・・coldsweats01

とりあえず、SRXは15点台のファームになったけど・・・相変わらずツンツンしている感じでしたcoldsweats01
次はJuniper SRXのSD-WANな部分をやれればと思うんだけど・・・とりあえず遠隔指示書を書かねば・・・。

でも火曜日に納品されて今日にはもうVPN張れてるんだから早いっしょ?(笑)
届いてから構成を考えて・・・金曜日に冗長構成を仮組しておいて、今日環境に投入してAWSの接続まで。ちょこっと試験もしているのでだいたい1日仕事ですね。
これが委託している環境だと、まぁ~メンドクサイっ。これもSIしてもらおうとするとそれもまたメンドクサイ。結局自分でやるのが手っ取り早いのか・・・orz。

誰か安く面倒みてくれないかなぁ・・・。coldsweats01

2016年9月20日 (火)

Juniper SRX320を勢いで・・・

大変ご無沙汰なブログです。少々立て込みが酷くて・・・wobbly

とても先週までシンガポールに居たのかよと思えないぐらい・・・とほほ。
がしかし、シンガポールから興味のあったブツを発注していまして・・・今日届いたのでnote
Srx320
Juniper SRX300シリーズのSRX320です。なんだか結構な難産な製品だった様子で?
これってばjunosバージョンが15.X台なんですよ。今までのSRXとはちゃうくて機能が増えている?
とりあえず画面がなんだか薄いGUIになって色々と視づらいっす。
Setup Wizardはですね、3種類あって、いきなりクラスターを選んでセットアップしています。coldsweats01
相変わらずのクセ。強いクセ。うーん・・・これってどうやって遠隔セットアップ支援しようか悩みますね・・・sad
ちなみにSRX320は6台も買いました・・・。残りの4台は海外拠点に直送っす。
確かゼロタッチ・プロビジョニングがどーとかSD-WANがほにゃらら言っていたんで・・・うーん・・・期待しすぎかな?
Cisco MerakiではSD-WANというか・・・まぁクラウドコントローラーが出来上がっちゃってるんで今更なんですが、Merakiの場合はちょいとBGPやりたいと思っても出来ないもんで、私の場合はルーターは目的用途に合わせて製品を選ぶという事をしているので(言い訳かw)、まぁ使い慣れ(たと思う)しているJuniperが選ばれる訳なんですが・・・。
あとSRX300からの新シリーズからライセンスの体系も変わったみたいで。まだ詳しく読んでもいませんが、市場がSRX200シリーズが入手が困難になってきているというんで頑張って動かしますcoldsweats01
今後気になる部分があればブログに書きたいと思います。

2016年8月29日 (月)

久々にRTXでハマった(^_^;

日曜日は大阪日帰り出張してRTX1210とEX2200Cをやっつけてきたんだけど、RTXで二箇所はまりましたよんdespair

RTXに慣れるとハマるポイントと言いましょうか、回線種別でハマるというか、何かしらベースとなるConfigをコピーするとついうっかりというか。。。

pp回線なのにnatの記述でprimaryにしちゃってたのが原因だったんだけどね。正解はipcpなのに気がつくのが遅かった(^_^;
LAGを疑ったりVRRPを疑ったりVLANを疑ったり遠回りばっかりしちまった。

回線のppは接続済みでルーターからpingで8.8.8.8が通信出来てると、なんでやねんってなるっしょ。

でもping -sa 192.168.1.1 8.8.8.8 とかやるとtimeoutだったのね。んでフィルタが悪さしてるんかなって思ったんよね。

まぁこゆ日もあるよね。

あとはVRRPのトリガー設定が思うように行かなかったのよね。思い込みはいかんですね。

まぁ何とかなってよかった。

2016年8月10日 (水)

RackTablesで自動トポロジー図を描写

お盆ですね。

私は仕事ですね。。。。

うっそでーーーーす!

(あ、1日だけ休み返上しますcoldsweats01

最近ですね・・・私の頭の中のトポロジー図が最近悲鳴をあげてきてまして・・・ちょっと夏バテだけじゃないなと・・・記憶域が崩壊する前に何とかしようかなと思ったのですが、いったいどんだけのトポロジー規模になっているのか・・・書いてみようと思うけど・・・さて何に描写しよう?

Visio? Excel? CAD?

どれも結構大変そうだな・・・sad 変更が入った場合の修正も地獄かも・・・。
何とか出来んもんかなぁ・・・と、ふとRackTablesのデータを活用出来ないのかな?と調べてみました。そしたらあるじゃないですか。

そんな訳で今回は、RackTablesで自動でトポロジー図を作りたい・・・って思って少し情報を漁っていたんですが、公式で紹介されているのがとりあえず手っ取り早く動きました。今、改造中です。

詳しくは「Visualisation with GraphViz」を読んでもらうとして・・・。

まだ試行錯誤中の情報不足ですが・・・既にカオスな状況になりつつあります。

Autotopology
まだごく一部です・・・先が長いっす。ただ、図の方はあくまでも自動生成なので、RackTablesのPORT情報をしっかり入れていっている感じです。対向先が何処に繋がっているかと言うのがしっかりわかっていないと駄目っす。

自動描写はいいとして、どうしてその線をそっちから廻した?みたいなのもあったり・・・。

あ、ちなみに物理的結線と仮想結線の混在なので、経路網の確認程度のレベルです。

インタロップのshow_netのトポロジー図はすごいよねぇ。illustratorかなにかで描かれているんでしたっけ。私もチャレンジしたんですけどね・・・パワポでcoldsweats01

パワポで作るのタイヘンだった。。。A3サイズに収めてなんとか押し込んで・・・。

でもね、結局変更処理が大変になっちゃうの…。

そういえば、IPの事なんか忘れちゃっていいのなら・・・
「openDCIM」なんていうのもあるっすよ。このツールは物理馬鹿仕様になっていて、操作感がいまいちなんだけど、どうでもよいような痒い情報が見られる様になったりします。
物理的な台帳にはむいているかも?

それと、有償製品なので使ったことは無いのだけど、「DEVICE42」なる製品は色々出来そうです。多機能で良さそうなのだけど…あっしには高くて手が出せませんdespair

てことで、いつ完成するか判らないけど暇見て作っていくっス。crying

2016年7月30日 (土)

2011年購入のVAIOノートのリフレッシュ-SSDで生き返る

昨日まで無償アップグレード出来るというWindows10でしたが、皆さんはどうされたんでしょうか。

私は昨日ではなく、1ヶ月前だったか位に自宅のノートPCをWindows7からWindows10にしてしまいました。
まぁ仕事柄なのか、Win10のほうが扱いやすくなってきたもので、Win7には未練もなく、アップグレードしました。
ただ、かなり古いVAIOのノートだったので、やはりドライバー関係は気になりました。なので、ある程度の人柱が出きってからやろうと思っていたので、比較的?スムーズにアップグレードできましたね。音源関係が少しトチ狂った程度でした。
Vaiovpceh2aj01
このVAIOはソニーストアでのカスタマイズモデルにしたんですが、買ったその日から何故かモッサリしたノートPCでした。GEFORCEもイマイチな動きだったし、とにかくディスクが遅くって。今までよく頑張ってきたなぁ・・・。そんなことも有り、以前にメモリの増設だけはやっていたんですが、いよいよディスクの遅さに耐えられん・・・ってことで。
Img_1338
2011年のノートPCですが、CORE-i5だしまだ頑張れるだろうと、PC買い替えではなくてSSD換装にしたという感じです。
買ったSSDは特に当たり障りもないものですが・・・。会社では750EVO使ってます。

換装用にスペーサーが必要になるのと、内蔵HDDのデータ移行用にアクセサリキットも用意。もっと安いのあるんだけど、意外と事故あるんでね。。。
移行ツールで待つこと2時間。交換して起動したら感動した!w
すっごい速くなった~happy02
Photo
IOPSは・・・coldsweats01
でもいいの。ちょー速くなったんだから。
SSDの価格がこなれてくるのを待つこと何年。きっとSSDの信頼性も上がっていることでしょう。
やっと出来ましたよ。
これで、CPUファンが壊れない限りはまた長持ちしてくれるはず?!
SSD換装を思い立ったのが木曜日でオーダーも木曜日。
金曜日にはSSDが届いて、アクセサリキットは土曜朝に届いたので、そこからスタートし、今ここ。みたいな感じなんですが、日本の物流はすごいねぇ~。

2016年7月29日 (金)

定番のリンクアグリゲーションで

梅雨が明けたそうで・・・今更ながら・・・トロントは快適だったなぁ・・と。
Img_1336

さて、箱積みされていた機器達は合間を縫ってセットアップ完了しました。
Photo
いつものパターンですね。過去記事にも殆ど同じ構成のがありました。

「苦渋の選択-オール無線化の是非」
「YAMAHA SWX2200は冒険してもいい頃?」

ほぼ同じですが、RTX1210もリンクアグリゲーションが出来るのでついでにやっておきました。
「HP1810-24GとRTX1200でリンクアグリゲーション」

今回はHP1820で少し使い勝手は違いましたが、やることは一緒っす。
RTX1210でLAG化したことによって、コアスイッチが1台壊れても大丈夫っていう構成になりました。

この構成では、物理だけでは分からない論理な選択肢が結構あります。
まず、コアスイッチはL2かL3かで論理設計が変わってきます。
また、WAN回線がそれぞれのルーターに入っている・・・ということもあり、単なるVRRPだと、Active/Activeなようで、論理的にはActive/Passiveになるので、Active/Activeにするにはどうアレンジするべきか・・・手段も多く、考える事は実は色々とありますです。

あと今回は、RTX1210のVRRPの設定で、今更ながら少し悩みました。
VRRPのシャットダウントリガーとしてpppoeの場合はpp1を指定して接続が切れた場合という条件を入れています。IP提供環境ではGWへの通信をトリガーにしました。

例えば以下の様な場合の時・・・
Rtx1210vrrp
シャットダウントリガーの設定はどうしたらいいのかな・・・。
WANのルーターが死んだ時は共倒れになるので、どちらのRTX1210ももれなくVRRPをシャットダウンしてしまいます。なので、ルータのゲートウェイとしていたバーチャルIPが死んでしまうのですよね。まぁネットに繋がらないのだからゲートウェイのIPを失った所でどうってことないとは思うのですが、なんか気持ち悪いなぁって。coldsweats01

それとこの構成の拠点は、元々はルーターがシングルだったので、今回の変更で、結構Tunnelの設計を作り直さないといけないんですsad 実際の切替時は大忙しですcoldsweats01

あ・・・Yamaha Network Organizer(YNO)使ったら楽になるのかな?!
試そうと思っていて、試す環境準備が整ってなくて忘れてた・・・。でもちょっちお高くないっすか?coldsweats01

2016年7月27日 (水)

HP1820-24G(J9980A)のファームアップグレード

Photo
帰国したら待っていた機器達です・・・despair

この写真の中で扱った事が無いのはHP1820です。HP1810は扱ってましたが、これが後継機らしいですね。
そういえば…もっとPoEって安くならないですかねぇ・・・いい加減フロアスイッチの標準にPoEって言いたいぞよhappy02
でもまぁ頑張ってギガにはしてきたので、良くなっているハズっす。

いきなり話がそれましたが、とりあえず初物という事で…まずやることは・・・ファームアップグレード!happy02

ググって方法を調べると・・・大抵HP1810の記事ばかりですね。。。
まぁ地道にやりまっしょ。まずはファームウェアを入手せねば・・・と探したのですが・・・たどり着くのにちょっと大変でしたcoldsweats01

Hpenet
https://h10145.www1.hp.com/downloads/ProductsList.aspx

ここで、対象機を絞り込んでみた所・・・ふむふむなるほど。
実機は幾つかと言うと・・・
Hp182001
PT01.06ということで、PT1.14に上げられそうです(ベースはLinuxですかぁ・・・)。

Hp182002
メニューのMaintenanceから、Updateを選び、File Typeはそのまま「Backup Code」でファームファイルを選択して、「Bigin Transfer」します(バックアップコードって何よって感じですが)。

書き換えが終わると
Hp182003
リブートするぜい?ってきいてくるので「OK」しまっす。メッセージ的には「バックアップイメージ」という表現になっているので、ほんとかな?って思いますよね。

Hp182004
リブートおわったら、「くりっくひあ―」とおっしゃっています。はいはい。

Hp182005
おお、ちゃんとファームが上がっていますね。

Hp182006
どうやらHP1820からはファームウェアがデュアルイメージという扱いになったようで、ちゃんとバックアップイメージが旧ファームウェアのままになっていますね。

最悪戻れますという事ですね。スマートスイッチにしては良心的ですが・・・さてこのバックアップイメージでのブート方法って緊急時の場合はどうやるんでしょうね?
それか、ある程度はちゃんと動くけど、細部のバグやら不具合が最新版にはあるかもしれないかもしれない場合において、戻れるようにという配慮かな?

最近、オートアップデート系に慣れてきている私には少しだけ煩わしいですが、それでもファームウェアを入手してボタン一つでアップグレードできるのですから楽ですよね。

MIBの提供もあるようなので、snmpwalkも掛けておきましょうかね。

てことで手抜きですが以上っす。

2016年7月26日 (火)

Azureはじめ。。。るまいと思ってたのに

Azure


いやぁ・・・愚痴ブログな最近・・・読者が減るかもcoldsweats01

触るまいと思っていたAzureですが・・・ついに手を出してしまいました・・・。
Googleの時もそうだったんですが・・・

「何から手をつけて良いのかわからない・・・orz」

AWSの初めての時も何処から手をつけるんだって思ったけど・・・
最近触ってきた中でわかった事は・・・AWSは良く出来てるなぁ・・・とcoldsweats01

ただAzureも趣向の違いの部分というかMS製品群の強化はちゃんとされているようで、なるほどなるほどと思いました。

ちょっと書籍買わないと駄目っすね・・・勢いで始められるものではなさそうだ(^^;。
ちょっと検索して資料をみてもUIがガラッと違う参考サイトが・・・。
クラウド系は記録を残すのも難しいね。

あと、softlayerを触れば大御所はコンプですかね。despair

ベアメタルにも興味があるので、とりあえずなんでも試してみまっす。

«冗長可用性による複雑性

IT

  • 小泉 耕二: 2時間でわかる 図解「IoT」ビジネス入門
  • 日経コンピュータ: すぐわかるIoTビジネス200
  • Massimo Banzi: Arduinoをはじめよう 第3版
  • みやた ひろし: インフラ/ネットワークエンジニアのためのネットワーク技術&設計入門
  • 板垣 政樹、 小坂 貴志: プレゼンを100%成功させる!! ITエンジニアの英語
  • 渡辺和彦: ネットワーク仮想化 基礎からすっきりわかる入門書

ITな機器

  • OSOYOO: B00UKXHKXC Arduinoをはじめよう 互換キット UNO R3対応互換ボード 初心者専用実験キット 基本部品セット20 in 1 Arduino sidekick basic kit
  • Juniper Networks: Juniper SRX100H
  • ヤマハ: ヤマハ スマートL2スイッチ 24ポート SWX2200-24G
  • ヤマハ(YAMAHA): ヤマハ ギガアクセスVPNルーター RTX1210

Amazon