Weitere ähnliche Inhalte Ähnlich wie あらためて Azure virtual network (20) Mehr von Kuniteru Asami (14) Kürzlich hochgeladen (11) あらためて Azure virtual network3. 注意事項
このセッションは 2018 年 6 月 15 日 時点の情報を
基にしています
このセッションでは、明記/明言しない限り、
ARM デプロイメント のみを対象とし、
クラシック デプロイメントは考慮しません
6. Azure Virtual Network(VNet / 仮想ネットワーク)とは
Azure Virtual Network とは、Azure のデータセンター内に、
ユーザー固有の分離された仮想的なネットワークの環境
Virtual Network の中に Virtual Machine(仮想マシン)
をはじめとしたサーバーなどのリソースを配置する
デフォルトでは他のネットワークから接続することはできない
TCP, UDP, ICMP による通信
VNet#1 VNet#2
Internet
7. アドレス空間とサブネット
Virtual Network には、1 つ以上のアドレス空間と、
各々のアドレス空間に 1 つ以上のサブネットを割り当てる
VNet#1 VNet#2 VNet#3
・アドレス空間:10.0.0.0/16
サブネット#A:10.0.0.0/24
・アドレス空間:10.0.0.0/8
サブネット#A:10.0.0.0/16
サブネット#B:10.1.0.0/16
・アドレス空間:172.16.0.0/12
サブネット#A:172.16.0.0/24
サブネット#B:172.16.1.0/24
・アドレス空間:192.168.0.0/16
サブネット#C:192.168.0.0/24
※ 図の例ではプライベート IP のみが書かれているが、グローバル IP も利用可能
9. VNet に配置できるリソースの種類
Virtual Network には、以下のリソースを配置することができる
Virtual Machines (NIC)
Virtual Machine Scale Sets
Service Fabric
HDInsight
App Service Environment
Redis Cache
API Management
VPN Gateway
Application Gateway
Azure Kubernetes Service
Azure Container Service Engine と
VNet CNI plugin
Azure Active Directory Domain Services
(クラシックのみ)
Azure Batch
Azure Cloud Services(クラシックのみ)
Azure Load Balancer
Azure SQL Database Managed Instance
10. VNet サービス エンドポイント
一部の Azure PaaS は VNet サービス エンドポイントによって
VNet から直接接続し、また、特定の VNet からのみ受け付けるよ
うにすることができる
Azure SQL Data Warehouse
Azure Database for MySQL
Azure Database for PostgreSQL
Azure Storage
Azure SQL Database
Azure Cosmos DB
※注意
• VNet と 接続する PaaS サービスは、同一のリージョンである必要がある
• VNet サービス エンドポイントとの接続のみに制限すると、Azure のその他のサービスから接続でき
なくなったり、一部の機能が利用できなくなるものもある
11. ルーティング
ユーザー定義ルート (User Defined Route / UDR) により、Azure の既定の
システム ルートを上書きしたり、サブネットのルート テーブルにルー
トを追加することができる
これにより、VNet からインターネットに出ていくパケットを、必ずオ
ンプレミス経由で出したり、セキュリティアプライアンスを経由させ
ることによりセキュリティを担保するなどが実現可能
全てのトラフィックをオンプレミスやセキュリティなどのネット
ワーク アプライアンスに強制トンネリングさせる
カスタムルートで、ネットワーク内のトラフィック フローを制御
Virtual Network のサブネットに対し、ルートテーブルを定義
任意のアドレス接頭辞に対して、次のホップを指定
12. 名前解決
VNet 内のリソースの名前解決をソースに対して提供できるもの
Azure が提供するデフォルトの内部 DNS サーバー
Azure DNS Private Zones
VNet 内および VNet 間のリソースの名前解決を実現する
VNet にリソース (VMs, VPN Gateway など) を追加する前にVNet とゾーン
をリンクする必要がある
VNet 内のリソースを自動で
DNS レコード登録することも可能
ユーザー独自の DNS サーバー
※ VNet 内のリソースが利用する
DNS サーバーは VNet で設定する
通信対象
デフォルト
DNS
Azure DNS
Private Zones
独自 DNS
同じ VNet 内のリソース間 ● ● ●
異なる VNet にまたがるリソース間 ● ●
仮想 VNet 統合による App から
VNet 内のリソース
●
VNet 内のリソース から
オンプレミスのコンピューター
●
オンプレミスのコンピューター
から VNet 内のリソース
●
内部 IP 用 逆引き DNS ●
14. 通信の許可および拒否
ネットワークセキュリティグループ (NSG) により、VNet 内のリ
ソースの通信を制御するファイアウォールを実現する
優先度 名前 ポート プロトコル ソース 宛先 アクション
1000 allow-rdp 3389 TCP 123.123.123.0/24 任意 許可
1010 allow-ssh 22 TCP 123.123.123.0/24 ASG-ftp 許可
65000 AllowVNetInBound 任意 任意 VirtualNetwork VirtualNetwork 許可
65001
AllowAzureLoad
BalancerInBound
任意 任意 AzureLoadBalancer 任意 許可
65500 DenyAllInBound 任意 任意 任意 任意 拒否
条件として指定した以下に
該当するトラフィックを
許可または拒否する
アクセス元
(IP アドレス / タグ / ASG、ポート)
アクセス先
(IP アドレス / タグ / ASG、ポート)
プロトコル (TCP / UDP)
通信の向き (受信 / 送信) の
それぞれに対し、条件を
指定する
VNet のサブネット または
VMs の NICに割り当て
優先度 名前 ポート プロトコル ソース 宛先 アクション
65000 AllowVNetOutBound 任意 任意 VirtualNetwork VirtualNetwork 許可
65001
AllowInternet
OutBound
任意 任意 任意 Internet 許可
65500 DenyAllOutBound 任意 任意 任意 任意 拒否
受信セキュリティ規則
送信セキュリティ規則
15. NSG – デフォルトルール / タグ / ASG
デフォルト ルール
NSG を作成すると、受信/送信規則の
それぞれに対し、いくつかの既定の
ルールが定義される
Application Security Group (ASG)
Virtual Machines (の NIC) を登録し、
ソース/宛先に指定することで
NSG の管理をシンプルにする
VNet に入れる PaaS リソースの
種類によっては、通信を許可し
なければいけない条件がある
サービス タグ
Microsoft が管理するソースおよび宛先に
指定するグループ
VirtualNetwork
AzureLoadBalancer
Internet
AzureTrafficManager
Storage
Storage.リージョン
Sql
Sql.リージョン
AzureCosmosDB
AzureCosmosDB.リージョン
AzureKeyVault
AzureKeyVault.リージョン
16. Azure DDoS Protection
DDoS 攻撃に対する防御
Basic (無料)
常時接続のトラフィック監視および一般的なネットワーク レベル攻撃のリアルタイム
の軽減策によって、Microsoft のオンライン サービスによって使用されるのと同じ防
御を提供
Standard (有料)
Basic サービス レベルに加えて、特に Azure VNet リソースに対してチューニングされ
た追加の軽減機能を提供
保護ポリシーは、専用のトラフィック監視および機械学習アルゴリズムによって
チューニングされる
ポリシーは、Azure Load Balancer、Azure Application Gateway、Azure Service Fabric のイ
ンスタンスなど、仮想ネットワーク内に展開されたリソースに関連付けられたパブ
リック IP アドレスに適用
撃中および履歴の表示のために、Azure Monitor ビューでリアルタイムのテレメトリ
17. Azure DDoS Protection Basic と Standard の違い
機能 Basic Standard
常時監視 ● ●
レイヤー 3/4 のネットワーク攻撃を軽減 ● ●
Application Gateway と組み合わせての レイヤー 7 攻撃からの保護 ● ●
グローバルに展開 ● ●
Azure DNS Zones の保護 ● ●
対象の VNet に適した保護ポリシー ●
ロギング、アラート、テレメトリ ●
SLA ●
19. VNet 外部との接続
Azure リソースとの通信
他の VNet
VNET Peering
Global VNET Peering
VNet to VNet
Site to Site VPN
一部の Azure PaaS サービス
VNet 統合
VNet サービスエンドポイント
Azure App Service
(Point to Site VPN)
オンプレミスとの通信
Point to Site VPN
Site to Site VPN
Azure ExpressRoute
インターネットとの通信
パブリック IP アドレス
パブリック IP アドレスを持たない
リソースからの送信
25. 多くのネットワークの接続
VNet to VNet
BGP なし
Site to Site
VNet to VNet
BGP 不問
VNet to VNet
BGP あり
Site to Site
VNet to VNet
BGP なし
Site to Site
BGP なし
Site to Site
BGP 不問
BGP ありBGP あり Not Global Not Global
Not GlobalNot Global
29. Network Performance Monitor (Log Analytics)
ネットワークの正常性とアプリケーションへのネットワーク接続
性を監視し、ネットワークのパフォーマンスに関する洞察を提供
パフォーマンス モニター
クラウド、ハイブリッド、
オ ン プ レ ミ ス の 環 境 の
ネットワーク監視
サービス エンドポイント
モニター
アプリケーションの到達可能
性をテストし、オンプレミス、
通信事業者ネットワーク、
ク ラ ウ ド / プ ラ イ ベ ー ト
デ ー タ セ ン タ ー の 間 の
パフォーマンス ボトルネッ
クを検出
ExpressRoute モニター
ExpressRoute 経由のブランチ
オフィスと Azure 間の E2E 接
続性とパフォーマンスを監視
30. Azure Network Security Group Analytics (Log Analytics)
Network Security Group の分析
NSG で「ブロック」または「許可」したフロー
該当するルールの数
該当する MAC アドレス
31. Azure Security Center
Azure リソースのセキュリティの状態の分析
潜在的なセキュリティの脆弱性を識別すると、必要な管理を構成する
プロセスを説明する推奨事項を提示する
ネットワークに関連して提示される推奨事項
サブネットまたは仮想マシンでの NSG の有効化
インターネットに接続するエンドポイント経由のアクセスの制限
etc…
検出されるネットワーク関連の脅威
悪意のあるコンピューターとのネットワーク通信
疑わしい着信 RDP ネットワーク アクティビティ
etc…
32. まとめ
Azure Virtual Network とは、Azure 上に独立したネットワークを
作るもの
IaaS である Virtual Machines だけではなく、App Service のような
PaaS のものも VNet に入れることができる
33. pnop 社 Microsoft Azure プロフェッショナルサービス
35
コンサルティング
技術検証
性能検証
PoC, アセスメント
テクニカルライティング
講師 / セミナー登壇
トラブルシューティング
パフォーマンス
チューニング
サポート
開発
環境構築
移行 / ポーティング
オンプレミス → Azure
Linux → Windows
他DB → Azure SQL DB
営業支援
見積支援
×
【お問い合わせ】株式会社 pnop Azure営業部 sales@pnop.co.jp