SlideShare ist ein Scribd-Unternehmen logo

あらためて Azure virtual network

Kuniteru Asami
Kuniteru Asami

JAZUG札幌支部(きたあず) 第18回勉強会 (2018/06/16) でお話しさせていただいたスライドです

Technologie
1 von 34
あらためて Microsoft Azure Virtual Network 2018/06/16 株式会社 pnop / Cloudlive 株式会社 浅見 城輝
♥BEER About me kuniteru.asami Find me Database Azure 2012~ Microsoft Azure
注意事項 このセッションは 2018 年 6 月 15 日 時点の情報を 基にしています このセッションでは、明記/明言しない限り、 ARM デプロイメント のみを対象とし、 クラシック デプロイメントは考慮しません
Agenda Azure Virtual Network とは セキュリティ 外部ネットワークとの通信 Virtual Network の管理 / 監視
Virtual Network
Azure Virtual Network(VNet / 仮想ネットワーク)とは Azure Virtual Network とは、Azure のデータセンター内に、 ユーザー固有の分離された仮想的なネットワークの環境 Virtual Network の中に Virtual Machine(仮想マシン) をはじめとしたサーバーなどのリソースを配置する デフォルトでは他のネットワークから接続することはできない TCP, UDP, ICMP による通信 VNet#1 VNet#2 Internet
アドレス空間とサブネット Virtual Network には、1 つ以上のアドレス空間と、 各々のアドレス空間に 1 つ以上のサブネットを割り当てる VNet#1 VNet#2 VNet#3 ・アドレス空間:10.0.0.0/16 サブネット#A:10.0.0.0/24 ・アドレス空間:10.0.0.0/8 サブネット#A:10.0.0.0/16 サブネット#B:10.1.0.0/16 ・アドレス空間:172.16.0.0/12 サブネット#A:172.16.0.0/24 サブネット#B:172.16.1.0/24 ・アドレス空間:192.168.0.0/16 サブネット#C:192.168.0.0/24 ※ 図の例ではプライベート IP のみが書かれているが、グローバル IP も利用可能
リージョン VNet は複数のリージョンにまたがることはできないため、異なる リージョンのリソースを同じ VNet に所属させることはできない 異なるリージョンのリソースをあたかも同じネットワークにいる かのように扱いたい場合は、後述する Global VNet Peering や VNet to VNet で、それぞれのリージョンの VNet 同士を接続する VNet#1 VNet#2 VNet東日本 西日本 東日本 サブネット東日本 サブネット西日本 VNet西日本
VNet に配置できるリソースの種類 Virtual Network には、以下のリソースを配置することができる Virtual Machines (NIC) Virtual Machine Scale Sets Service Fabric HDInsight App Service Environment Redis Cache API Management VPN Gateway Application Gateway Azure Kubernetes Service Azure Container Service Engine と VNet CNI plugin Azure Active Directory Domain Services (クラシックのみ) Azure Batch Azure Cloud Services(クラシックのみ) Azure Load Balancer Azure SQL Database Managed Instance
VNet サービス エンドポイント 一部の Azure PaaS は VNet サービス エンドポイントによって VNet から直接接続し、また、特定の VNet からのみ受け付けるよ うにすることができる Azure SQL Data Warehouse Azure Database for MySQL Azure Database for PostgreSQL Azure Storage Azure SQL Database Azure Cosmos DB ※注意 • VNet と 接続する PaaS サービスは、同一のリージョンである必要がある • VNet サービス エンドポイントとの接続のみに制限すると、Azure のその他のサービスから接続でき なくなったり、一部の機能が利用できなくなるものもある
ルーティング ユーザー定義ルート (User Defined Route / UDR) により、Azure の既定の システム ルートを上書きしたり、サブネットのルート テーブルにルー トを追加することができる これにより、VNet からインターネットに出ていくパケットを、必ずオ ンプレミス経由で出したり、セキュリティアプライアンスを経由させ ることによりセキュリティを担保するなどが実現可能 全てのトラフィックをオンプレミスやセキュリティなどのネット ワーク アプライアンスに強制トンネリングさせる カスタムルートで、ネットワーク内のトラフィック フローを制御 Virtual Network のサブネットに対し、ルートテーブルを定義 任意のアドレス接頭辞に対して、次のホップを指定
名前解決 VNet 内のリソースの名前解決をソースに対して提供できるもの Azure が提供するデフォルトの内部 DNS サーバー Azure DNS Private Zones VNet 内および VNet 間のリソースの名前解決を実現する VNet にリソース (VMs, VPN Gateway など) を追加する前にVNet とゾーン をリンクする必要がある VNet 内のリソースを自動で DNS レコード登録することも可能 ユーザー独自の DNS サーバー ※ VNet 内のリソースが利用する DNS サーバーは VNet で設定する 通信対象 デフォルト DNS Azure DNS Private Zones 独自 DNS 同じ VNet 内のリソース間 ● ● ● 異なる VNet にまたがるリソース間 ● ● 仮想 VNet 統合による App から VNet 内のリソース ● VNet 内のリソース から オンプレミスのコンピューター ● オンプレミスのコンピューター から VNet 内のリソース ● 内部 IP 用 逆引き DNS ●
セキュリティ
通信の許可および拒否 ネットワークセキュリティグループ (NSG) により、VNet 内のリ ソースの通信を制御するファイアウォールを実現する 優先度 名前 ポート プロトコル ソース 宛先 アクション 1000 allow-rdp 3389 TCP 123.123.123.0/24 任意 許可 1010 allow-ssh 22 TCP 123.123.123.0/24 ASG-ftp 許可 65000 AllowVNetInBound 任意 任意 VirtualNetwork VirtualNetwork 許可 65001 AllowAzureLoad BalancerInBound 任意 任意 AzureLoadBalancer 任意 許可 65500 DenyAllInBound 任意 任意 任意 任意 拒否 条件として指定した以下に 該当するトラフィックを 許可または拒否する アクセス元 (IP アドレス / タグ / ASG、ポート) アクセス先 (IP アドレス / タグ / ASG、ポート) プロトコル (TCP / UDP) 通信の向き (受信 / 送信) の それぞれに対し、条件を 指定する VNet のサブネット または VMs の NICに割り当て 優先度 名前 ポート プロトコル ソース 宛先 アクション 65000 AllowVNetOutBound 任意 任意 VirtualNetwork VirtualNetwork 許可 65001 AllowInternet OutBound 任意 任意 任意 Internet 許可 65500 DenyAllOutBound 任意 任意 任意 任意 拒否 受信セキュリティ規則 送信セキュリティ規則
NSG – デフォルトルール / タグ / ASG デフォルト ルール NSG を作成すると、受信/送信規則の それぞれに対し、いくつかの既定の ルールが定義される Application Security Group (ASG) Virtual Machines (の NIC) を登録し、 ソース/宛先に指定することで NSG の管理をシンプルにする VNet に入れる PaaS リソースの 種類によっては、通信を許可し なければいけない条件がある サービス タグ Microsoft が管理するソースおよび宛先に 指定するグループ VirtualNetwork AzureLoadBalancer Internet AzureTrafficManager Storage Storage.リージョン Sql Sql.リージョン AzureCosmosDB AzureCosmosDB.リージョン AzureKeyVault AzureKeyVault.リージョン
Azure DDoS Protection DDoS 攻撃に対する防御 Basic (無料) 常時接続のトラフィック監視および一般的なネットワーク レベル攻撃のリアルタイム の軽減策によって、Microsoft のオンライン サービスによって使用されるのと同じ防 御を提供 Standard (有料) Basic サービス レベルに加えて、特に Azure VNet リソースに対してチューニングされ た追加の軽減機能を提供 保護ポリシーは、専用のトラフィック監視および機械学習アルゴリズムによって チューニングされる ポリシーは、Azure Load Balancer、Azure Application Gateway、Azure Service Fabric のイ ンスタンスなど、仮想ネットワーク内に展開されたリソースに関連付けられたパブ リック IP アドレスに適用 撃中および履歴の表示のために、Azure Monitor ビューでリアルタイムのテレメトリ
Azure DDoS Protection Basic と Standard の違い 機能 Basic Standard 常時監視 ● ● レイヤー 3/4 のネットワーク攻撃を軽減 ● ● Application Gateway と組み合わせての レイヤー 7 攻撃からの保護 ● ● グローバルに展開 ● ● Azure DNS Zones の保護 ● ● 対象の VNet に適した保護ポリシー ● ロギング、アラート、テレメトリ ● SLA ●
外部のネットワークとの通信
VNet 外部との接続 Azure リソースとの通信 他の VNet VNET Peering Global VNET Peering VNet to VNet Site to Site VPN 一部の Azure PaaS サービス VNet 統合 VNet サービスエンドポイント Azure App Service (Point to Site VPN) オンプレミスとの通信 Point to Site VPN Site to Site VPN Azure ExpressRoute インターネットとの通信 パブリック IP アドレス パブリック IP アドレスを持たない リソースからの送信
Virtual Machines とインターネットとの接続
対オンプレミス接続と VNet 間接続
ExpressRoute による対オンプレミス接続
多くのネットワークの接続 VNet to VNet Site to Site VNet to VNet
多くのネットワークの接続
多くのネットワークの接続 VNet to VNet BGP なし Site to Site VNet to VNet BGP 不問 VNet to VNet BGP あり Site to Site VNet to VNet BGP なし Site to Site BGP なし Site to Site BGP 不問 BGP ありBGP あり Not Global Not Global Not GlobalNot Global
VPN Gateway の可用性向上 双方の冗長化 VNet 間接続のアクティブ/アクティブ構成
Virtual Network の管理 / 監視
Network Watcher Virtual Network に関する分析情報を取得し、トラフィックの フィルタリングやルーティングの問題を診断、接続を監視 パケット キャプチャ NSG のフロー ログ Virtual Machines のネットワーク問題の診断 VPN ゲートウェイ問題の診断
Network Performance Monitor (Log Analytics) ネットワークの正常性とアプリケーションへのネットワーク接続 性を監視し、ネットワークのパフォーマンスに関する洞察を提供 パフォーマンス モニター クラウド、ハイブリッド、 オ ン プ レ ミ ス の 環 境 の ネットワーク監視 サービス エンドポイント モニター アプリケーションの到達可能 性をテストし、オンプレミス、 通信事業者ネットワーク、 ク ラ ウ ド / プ ラ イ ベ ー ト デ ー タ セ ン タ ー の 間 の パフォーマンス ボトルネッ クを検出 ExpressRoute モニター ExpressRoute 経由のブランチ オフィスと Azure 間の E2E 接 続性とパフォーマンスを監視
Azure Network Security Group Analytics (Log Analytics) Network Security Group の分析 NSG で「ブロック」または「許可」したフロー 該当するルールの数 該当する MAC アドレス
Azure Security Center Azure リソースのセキュリティの状態の分析 潜在的なセキュリティの脆弱性を識別すると、必要な管理を構成する プロセスを説明する推奨事項を提示する ネットワークに関連して提示される推奨事項 サブネットまたは仮想マシンでの NSG の有効化 インターネットに接続するエンドポイント経由のアクセスの制限 etc… 検出されるネットワーク関連の脅威 悪意のあるコンピューターとのネットワーク通信 疑わしい着信 RDP ネットワーク アクティビティ etc…
まとめ Azure Virtual Network とは、Azure 上に独立したネットワークを 作るもの IaaS である Virtual Machines だけではなく、App Service のような PaaS のものも VNet に入れることができる
pnop 社 Microsoft Azure プロフェッショナルサービス 35 コンサルティング 技術検証 性能検証 PoC, アセスメント テクニカルライティング 講師 / セミナー登壇 トラブルシューティング パフォーマンス チューニング サポート 開発 環境構築 移行 / ポーティング オンプレミス → Azure Linux → Windows 他DB → Azure SQL DB 営業支援 見積支援 × 【お問い合わせ】株式会社 pnop Azure営業部 sales@pnop.co.jp
http://www.pnop.co.jp/

Empfohlen

サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
ShuheiUda
 
Azure Monitor Logで実現するモダンな管理手法
Azure Monitor Logで実現するモダンな管理手法Azure Monitor Logで実現するモダンな管理手法
Azure Monitor Logで実現するモダンな管理手法
Takeshi Fukuhara
 
Microsoft MVP が語る Azure 移行の勘所
Microsoft MVP が語る Azure 移行の勘所Microsoft MVP が語る Azure 移行の勘所
Microsoft MVP が語る Azure 移行の勘所
Tetsuya Odashima
 
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Trainocate Japan, Ltd.
 
[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?
[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか? [SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?
[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?
de:code 2017
 
Ingress on Azure Kubernetes Service
Ingress on Azure Kubernetes ServiceIngress on Azure Kubernetes Service
Ingress on Azure Kubernetes Service
Toru Makabe
 
Azure Network Security Group(NSG) はじめてのDeep Dive
Azure Network Security Group(NSG) はじめてのDeep DiveAzure Network Security Group(NSG) はじめてのDeep Dive
Azure Network Security Group(NSG) はじめてのDeep Dive
Yoshimasa Katakura
 
現場からみた Azure リファレンスアーキテクチャ答え合わせ
現場からみた Azure リファレンスアーキテクチャ答え合わせ現場からみた Azure リファレンスアーキテクチャ答え合わせ
現場からみた Azure リファレンスアーキテクチャ答え合わせ
Kuniteru Asami
 

Empfohlen

サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
ShuheiUda
 
Azure Monitor Logで実現するモダンな管理手法
Azure Monitor Logで実現するモダンな管理手法Azure Monitor Logで実現するモダンな管理手法
Azure Monitor Logで実現するモダンな管理手法
Takeshi Fukuhara
 
Microsoft MVP が語る Azure 移行の勘所
Microsoft MVP が語る Azure 移行の勘所Microsoft MVP が語る Azure 移行の勘所
Microsoft MVP が語る Azure 移行の勘所
Tetsuya Odashima
 
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Trainocate Japan, Ltd.
 
[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?
[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか? [SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?
[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?
de:code 2017
 
Ingress on Azure Kubernetes Service
Ingress on Azure Kubernetes ServiceIngress on Azure Kubernetes Service
Ingress on Azure Kubernetes Service
Toru Makabe
 
Azure Network Security Group(NSG) はじめてのDeep Dive
Azure Network Security Group(NSG) はじめてのDeep DiveAzure Network Security Group(NSG) はじめてのDeep Dive
Azure Network Security Group(NSG) はじめてのDeep Dive
Yoshimasa Katakura
 
現場からみた Azure リファレンスアーキテクチャ答え合わせ
現場からみた Azure リファレンスアーキテクチャ答え合わせ現場からみた Azure リファレンスアーキテクチャ答え合わせ
現場からみた Azure リファレンスアーキテクチャ答え合わせ
Kuniteru Asami
 
Azure Network 概要
Azure Network 概要Azure Network 概要
Azure Network 概要
Takeshi Fukuhara
 
Azure load testingを利用したパフォーマンステスト
Azure load testingを利用したパフォーマンステストAzure load testingを利用したパフォーマンステスト
Azure load testingを利用したパフォーマンステスト
Kuniteru Asami
 
インフラ野郎AzureチームProX
インフラ野郎AzureチームProXインフラ野郎AzureチームProX
インフラ野郎AzureチームProX
Toru Makabe
 
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
NTT DATA Technology & Innovation
 
M04_失敗しないための Azure Virtual Desktop 設計ガイド
M04_失敗しないための Azure Virtual Desktop 設計ガイドM04_失敗しないための Azure Virtual Desktop 設計ガイド
M04_失敗しないための Azure Virtual Desktop 設計ガイド
日本マイクロソフト株式会社
 
一歩先行く Azure Computing シリーズ(全3回) 第2回 Azure VM どれを選ぶの? Azure VM 集中講座
一歩先行く Azure Computing シリーズ(全3回) 第2回 Azure VM どれを選ぶの? Azure VM 集中講座一歩先行く Azure Computing シリーズ(全3回) 第2回 Azure VM どれを選ぶの? Azure VM 集中講座
一歩先行く Azure Computing シリーズ(全3回) 第2回 Azure VM どれを選ぶの? Azure VM 集中講座
Minoru Naito
 
SCUGJ第22回勉強会:オンプレのL2 NetworkをAzureに延伸? Azure Extended Network
SCUGJ第22回勉強会:オンプレのL2 NetworkをAzureに延伸? Azure Extended NetworkSCUGJ第22回勉強会:オンプレのL2 NetworkをAzureに延伸? Azure Extended Network
SCUGJ第22回勉強会:オンプレのL2 NetworkをAzureに延伸? Azure Extended Network
wind06106
 
3分でわかる Azure Managed Diskのしくみ
3分でわかる Azure Managed Diskのしくみ3分でわかる Azure Managed Diskのしくみ
3分でわかる Azure Managed Diskのしくみ
Toru Makabe
 
Azure App Service Overview
Azure App Service OverviewAzure App Service Overview
Azure App Service Overview
Takeshi Fukuhara
 
Azure 仮想マシンにおける運用管理・高可用性設計のベストプラクティス
Azure 仮想マシンにおける運用管理・高可用性設計のベストプラクティスAzure 仮想マシンにおける運用管理・高可用性設計のベストプラクティス
Azure 仮想マシンにおける運用管理・高可用性設計のベストプラクティス
Yusuke Oi
 
週末趣味のAWS Transit Gatewayでの経路制御
週末趣味のAWS Transit Gatewayでの経路制御週末趣味のAWS Transit Gatewayでの経路制御
週末趣味のAWS Transit Gatewayでの経路制御
Namba Kazuo
 
(Fix)Azure Network Security Group(NSG)のおさらい
(Fix)Azure Network Security Group(NSG)のおさらい(Fix)Azure Network Security Group(NSG)のおさらい
(Fix)Azure Network Security Group(NSG)のおさらい
Yoshimasa Katakura
 
適切な Azure AD 認証方式の選択の決め手
適切な Azure AD 認証方式の選択の決め手適切な Azure AD 認証方式の選択の決め手
適切な Azure AD 認証方式の選択の決め手
Yusuke Kodama
 
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
NTT DATA Technology & Innovation
 
AWS Black Belt Online Seminar コストの観点から見るアカウント管理
AWS Black Belt Online Seminar コストの観点から見るアカウント管理AWS Black Belt Online Seminar コストの観点から見るアカウント管理
AWS Black Belt Online Seminar コストの観点から見るアカウント管理
Amazon Web Services Japan
 
AWS Black Belt Online Seminar AWS Direct Connect
AWS Black Belt Online Seminar AWS Direct ConnectAWS Black Belt Online Seminar AWS Direct Connect
AWS Black Belt Online Seminar AWS Direct Connect
Amazon Web Services Japan
 
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
Shinichiro Kosugi
 
今こそ知りたい!Microsoft Azureの基礎
今こそ知りたい!Microsoft Azureの基礎今こそ知りたい!Microsoft Azureの基礎
今こそ知りたい!Microsoft Azureの基礎
Trainocate Japan, Ltd.
 
AWS EC2 Eメール制限解除 - 逆引き(rDNS)設定 申請手順
AWS EC2 Eメール制限解除 - 逆引き(rDNS)設定 申請手順AWS EC2 Eメール制限解除 - 逆引き(rDNS)設定 申請手順
AWS EC2 Eメール制限解除 - 逆引き(rDNS)設定 申請手順
Amazon Web Services Japan
 
AWS Black Belt Online Seminar 2016 AWS上でのActive Directory構築
AWS Black Belt Online Seminar 2016 AWS上でのActive Directory構築AWS Black Belt Online Seminar 2016 AWS上でのActive Directory構築
AWS Black Belt Online Seminar 2016 AWS上でのActive Directory構築
Amazon Web Services Japan
 
20140927 azure pack_slideshare
20140927 azure pack_slideshare20140927 azure pack_slideshare
20140927 azure pack_slideshare
Osamu Takazoe
 
Azure 仮想マシンとRemoteAppの超概要
Azure 仮想マシンとRemoteAppの超概要Azure 仮想マシンとRemoteAppの超概要
Azure 仮想マシンとRemoteAppの超概要
Daiyu Hatakeyama
 

Weitere ähnliche Inhalte

Was ist angesagt?

M04_失敗しないための Azure Virtual Desktop 設計ガイド
M04_失敗しないための Azure Virtual Desktop 設計ガイドM04_失敗しないための Azure Virtual Desktop 設計ガイド
M04_失敗しないための Azure Virtual Desktop 設計ガイド
日本マイクロソフト株式会社
 
一歩先行く Azure Computing シリーズ(全3回) 第2回 Azure VM どれを選ぶの? Azure VM 集中講座
一歩先行く Azure Computing シリーズ(全3回) 第2回 Azure VM どれを選ぶの? Azure VM 集中講座一歩先行く Azure Computing シリーズ(全3回) 第2回 Azure VM どれを選ぶの? Azure VM 集中講座
一歩先行く Azure Computing シリーズ(全3回) 第2回 Azure VM どれを選ぶの? Azure VM 集中講座
Minoru Naito
 
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
Shinichiro Kosugi
 

Was ist angesagt? (20)

Azure Network 概要
Azure Network 概要Azure Network 概要
Azure Network 概要
 
Azure load testingを利用したパフォーマンステスト
Azure load testingを利用したパフォーマンステストAzure load testingを利用したパフォーマンステスト
Azure load testingを利用したパフォーマンステスト
 
インフラ野郎AzureチームProX
インフラ野郎AzureチームProXインフラ野郎AzureチームProX
インフラ野郎AzureチームProX
 
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
 
M04_失敗しないための Azure Virtual Desktop 設計ガイド
M04_失敗しないための Azure Virtual Desktop 設計ガイドM04_失敗しないための Azure Virtual Desktop 設計ガイド
M04_失敗しないための Azure Virtual Desktop 設計ガイド
 
一歩先行く Azure Computing シリーズ(全3回) 第2回 Azure VM どれを選ぶの? Azure VM 集中講座
一歩先行く Azure Computing シリーズ(全3回) 第2回 Azure VM どれを選ぶの? Azure VM 集中講座一歩先行く Azure Computing シリーズ(全3回) 第2回 Azure VM どれを選ぶの? Azure VM 集中講座
一歩先行く Azure Computing シリーズ(全3回) 第2回 Azure VM どれを選ぶの? Azure VM 集中講座
 
SCUGJ第22回勉強会:オンプレのL2 NetworkをAzureに延伸? Azure Extended Network
SCUGJ第22回勉強会:オンプレのL2 NetworkをAzureに延伸? Azure Extended NetworkSCUGJ第22回勉強会:オンプレのL2 NetworkをAzureに延伸? Azure Extended Network
SCUGJ第22回勉強会:オンプレのL2 NetworkをAzureに延伸? Azure Extended Network
 
3分でわかる Azure Managed Diskのしくみ
3分でわかる Azure Managed Diskのしくみ3分でわかる Azure Managed Diskのしくみ
3分でわかる Azure Managed Diskのしくみ
 
Azure App Service Overview
Azure App Service OverviewAzure App Service Overview
Azure App Service Overview
 
Azure 仮想マシンにおける運用管理・高可用性設計のベストプラクティス
Azure 仮想マシンにおける運用管理・高可用性設計のベストプラクティスAzure 仮想マシンにおける運用管理・高可用性設計のベストプラクティス
Azure 仮想マシンにおける運用管理・高可用性設計のベストプラクティス
 
週末趣味のAWS Transit Gatewayでの経路制御
週末趣味のAWS Transit Gatewayでの経路制御週末趣味のAWS Transit Gatewayでの経路制御
週末趣味のAWS Transit Gatewayでの経路制御
 
(Fix)Azure Network Security Group(NSG)のおさらい
(Fix)Azure Network Security Group(NSG)のおさらい(Fix)Azure Network Security Group(NSG)のおさらい
(Fix)Azure Network Security Group(NSG)のおさらい
 
適切な Azure AD 認証方式の選択の決め手
適切な Azure AD 認証方式の選択の決め手適切な Azure AD 認証方式の選択の決め手
適切な Azure AD 認証方式の選択の決め手
 
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
 
AWS Black Belt Online Seminar コストの観点から見るアカウント管理
AWS Black Belt Online Seminar コストの観点から見るアカウント管理AWS Black Belt Online Seminar コストの観点から見るアカウント管理
AWS Black Belt Online Seminar コストの観点から見るアカウント管理
 
AWS Black Belt Online Seminar AWS Direct Connect
AWS Black Belt Online Seminar AWS Direct ConnectAWS Black Belt Online Seminar AWS Direct Connect
AWS Black Belt Online Seminar AWS Direct Connect
 
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
 
今こそ知りたい!Microsoft Azureの基礎
今こそ知りたい!Microsoft Azureの基礎今こそ知りたい!Microsoft Azureの基礎
今こそ知りたい!Microsoft Azureの基礎
 
AWS EC2 Eメール制限解除 - 逆引き(rDNS)設定 申請手順
AWS EC2 Eメール制限解除 - 逆引き(rDNS)設定 申請手順AWS EC2 Eメール制限解除 - 逆引き(rDNS)設定 申請手順
AWS EC2 Eメール制限解除 - 逆引き(rDNS)設定 申請手順
 
AWS Black Belt Online Seminar 2016 AWS上でのActive Directory構築
AWS Black Belt Online Seminar 2016 AWS上でのActive Directory構築AWS Black Belt Online Seminar 2016 AWS上でのActive Directory構築
AWS Black Belt Online Seminar 2016 AWS上でのActive Directory構築
 

Ähnlich wie あらためて Azure virtual network

VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-
VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-
VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-
SORACOM, INC
 
今、本当に“オープン”が必要なそのワケ ブロケードが考えるNFVの今、SDNへの未来とは?
今、本当に“オープン”が必要なそのワケ ブロケードが考えるNFVの今、SDNへの未来とは?今、本当に“オープン”が必要なそのワケ ブロケードが考えるNFVの今、SDNへの未来とは?
今、本当に“オープン”が必要なそのワケ ブロケードが考えるNFVの今、SDNへの未来とは?
Brocade
 
Aws summits2014 エンタープライズ向けawscdpネットワーク編
Aws summits2014 エンタープライズ向けawscdpネットワーク編Aws summits2014 エンタープライズ向けawscdpネットワーク編
Aws summits2014 エンタープライズ向けawscdpネットワーク編
Boss4434
 

Ähnlich wie あらためて Azure virtual network (20)

20140927 azure pack_slideshare
20140927 azure pack_slideshare20140927 azure pack_slideshare
20140927 azure pack_slideshare
 
Azure 仮想マシンとRemoteAppの超概要
Azure 仮想マシンとRemoteAppの超概要Azure 仮想マシンとRemoteAppの超概要
Azure 仮想マシンとRemoteAppの超概要
 
20141110 tf azure_iaas
20141110 tf azure_iaas20141110 tf azure_iaas
20141110 tf azure_iaas
 
VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-
VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-
VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-
 
今、本当に“オープン”が必要なそのワケ ブロケードが考えるNFVの今、SDNへの未来とは?
今、本当に“オープン”が必要なそのワケ ブロケードが考えるNFVの今、SDNへの未来とは?今、本当に“オープン”が必要なそのワケ ブロケードが考えるNFVの今、SDNへの未来とは?
今、本当に“オープン”が必要なそのワケ ブロケードが考えるNFVの今、SDNへの未来とは?
 
Joint Seminar-Azure Networking 201903-JP
Joint Seminar-Azure Networking 201903-JPJoint Seminar-Azure Networking 201903-JP
Joint Seminar-Azure Networking 201903-JP
 
INF-005_ハイブリッド クラウド環境でのネットワークとセキュリティ ~Azure とのプライベート接続~
INF-005_ハイブリッド クラウド環境でのネットワークとセキュリティ ~Azure とのプライベート接続~INF-005_ハイブリッド クラウド環境でのネットワークとセキュリティ ~Azure とのプライベート接続~
INF-005_ハイブリッド クラウド環境でのネットワークとセキュリティ ~Azure とのプライベート接続~
 
OpenStackやりたい人、必見!ネットワークから見たOpenStack導入のヒント
OpenStackやりたい人、必見!ネットワークから見たOpenStack導入のヒントOpenStackやりたい人、必見!ネットワークから見たOpenStack導入のヒント
OpenStackやりたい人、必見!ネットワークから見たOpenStack導入のヒント
 
Joint seminar azure networking 201904-jp
Joint seminar azure networking 201904-jpJoint seminar azure networking 201904-jp
Joint seminar azure networking 201904-jp
 
ハイブリッドクラウドとして進化するWindows azureのご紹介 day1ハイライト
ハイブリッドクラウドとして進化するWindows azureのご紹介 day1ハイライトハイブリッドクラウドとして進化するWindows azureのご紹介 day1ハイライト
ハイブリッドクラウドとして進化するWindows azureのご紹介 day1ハイライト
 
[AWS Summit 2012] ソリューションセッション#5 AWSで構築する仮想プライベートクラウド
[AWS Summit 2012] ソリューションセッション#5 AWSで構築する仮想プライベートクラウド[AWS Summit 2012] ソリューションセッション#5 AWSで構築する仮想プライベートクラウド
[AWS Summit 2012] ソリューションセッション#5 AWSで構築する仮想プライベートクラウド
 
Aws summits2014 エンタープライズ向けawscdpネットワーク編
Aws summits2014 エンタープライズ向けawscdpネットワーク編Aws summits2014 エンタープライズ向けawscdpネットワーク編
Aws summits2014 エンタープライズ向けawscdpネットワーク編
 
20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public20111109 07 aws-meister-vpc-public
20111109 07 aws-meister-vpc-public
 
20190705 mas ken_azure_stack
20190705 mas ken_azure_stack20190705 mas ken_azure_stack
20190705 mas ken_azure_stack
 
Windows2003サポート終了対策
Windows2003サポート終了対策Windows2003サポート終了対策
Windows2003サポート終了対策
 
【さくらのクラウド】クラウドマスター認定試験終了者向け講習と、上級者への道(Terraform)
【さくらのクラウド】クラウドマスター認定試験終了者向け講習と、上級者への道(Terraform)【さくらのクラウド】クラウドマスター認定試験終了者向け講習と、上級者への道(Terraform)
【さくらのクラウド】クラウドマスター認定試験終了者向け講習と、上級者への道(Terraform)
 
Open contrailのご紹介
Open contrailのご紹介Open contrailのご紹介
Open contrailのご紹介
 
俺的 Ignite Update まとめ 2019
俺的 Ignite Update まとめ 2019俺的 Ignite Update まとめ 2019
俺的 Ignite Update まとめ 2019
 
Azure Virtual WAN 自動化のしくみを妄想してみる
Azure Virtual WAN 自動化のしくみを妄想してみるAzure Virtual WAN 自動化のしくみを妄想してみる
Azure Virtual WAN 自動化のしくみを妄想してみる
 
Azure PaaS とのよりセキュアな接続 - 初級編
Azure PaaS とのよりセキュアな接続 - 初級編Azure PaaS とのよりセキュアな接続 - 初級編
Azure PaaS とのよりセキュアな接続 - 初級編
 

Mehr von Kuniteru Asami

インストールマニアックス振り返り
インストールマニアックス振り返りインストールマニアックス振り返り
インストールマニアックス振り返り
Kuniteru Asami
 

Mehr von Kuniteru Asami (14)

スケールアウトできるManaged RDBMS - Azure Cosmos DB for PostgreSQL
スケールアウトできるManaged RDBMS - Azure Cosmos DB for PostgreSQLスケールアウトできるManaged RDBMS - Azure Cosmos DB for PostgreSQL
スケールアウトできるManaged RDBMS - Azure Cosmos DB for PostgreSQL
 
Understanding Azure Application Gateway
Understanding Azure Application GatewayUnderstanding Azure Application Gateway
Understanding Azure Application Gateway
 
Azure Virtual Machines設計の勘所 | Microsoft Tech Summit 2017
Azure Virtual Machines設計の勘所 | Microsoft Tech Summit 2017Azure Virtual Machines設計の勘所 | Microsoft Tech Summit 2017
Azure Virtual Machines設計の勘所 | Microsoft Tech Summit 2017
 
Introduction of Azure Database for MySQL / PostgreSQL
Introduction of Azure Database for MySQL / PostgreSQLIntroduction of Azure Database for MySQL / PostgreSQL
Introduction of Azure Database for MySQL / PostgreSQL
 
クラウド時代のWordPressプラットフォーム -WordCamp Tokyo 2016-
クラウド時代のWordPressプラットフォーム -WordCamp Tokyo 2016-クラウド時代のWordPressプラットフォーム -WordCamp Tokyo 2016-
クラウド時代のWordPressプラットフォーム -WordCamp Tokyo 2016-
 
OSS/linux on Azureの活用方法と勘所
OSS/linux on Azureの活用方法と勘所OSS/linux on Azureの活用方法と勘所
OSS/linux on Azureの活用方法と勘所
 
実プロジェクトの経験から学ぶazureサービス適用パターン
実プロジェクトの経験から学ぶazureサービス適用パターン実プロジェクトの経験から学ぶazureサービス適用パターン
実プロジェクトの経験から学ぶazureサービス適用パターン
 
CDP 勉強会 - Multiple Datacenter Deployment ガイダンス
CDP 勉強会 - Multiple Datacenter Deployment ガイダンスCDP 勉強会 - Multiple Datacenter Deployment ガイダンス
CDP 勉強会 - Multiple Datacenter Deployment ガイダンス
 
クラウド案件の作り方 for azureしなの4周年
クラウド案件の作り方 for azureしなの4周年クラウド案件の作り方 for azureしなの4周年
クラウド案件の作り方 for azureしなの4周年
 
AzureでOracle
AzureでOracleAzureでOracle
AzureでOracle
 
SMTPサービス SendGridを契約する
SMTPサービス SendGridを契約するSMTPサービス SendGridを契約する
SMTPサービス SendGridを契約する
 
インストールマニアックス振り返り
インストールマニアックス振り返りインストールマニアックス振り返り
インストールマニアックス振り返り
 
PHP on Azure
PHP on AzurePHP on Azure
PHP on Azure
 
第2回JAZUG総会 LT インストールマニアックス・ファイナル
第2回JAZUG総会 LT インストールマニアックス・ファイナル第2回JAZUG総会 LT インストールマニアックス・ファイナル
第2回JAZUG総会 LT インストールマニアックス・ファイナル
 

Kürzlich hochgeladen

Kürzlich hochgeladen (11)

Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
 
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
 
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアルLoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
 
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
 
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
 
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
 
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
 
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイスLoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
 
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
 
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
 
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
 

あらためて Azure virtual network

  • 1. あらためて Microsoft Azure Virtual Network 2018/06/16 株式会社 pnop / Cloudlive 株式会社 浅見 城輝
  • 3. 注意事項 このセッションは 2018 年 6 月 15 日 時点の情報を 基にしています このセッションでは、明記/明言しない限り、 ARM デプロイメント のみを対象とし、 クラシック デプロイメントは考慮しません
  • 4. Agenda Azure Virtual Network とは セキュリティ 外部ネットワークとの通信 Virtual Network の管理 / 監視
  • 6. Azure Virtual Network(VNet / 仮想ネットワーク)とは Azure Virtual Network とは、Azure のデータセンター内に、 ユーザー固有の分離された仮想的なネットワークの環境 Virtual Network の中に Virtual Machine(仮想マシン) をはじめとしたサーバーなどのリソースを配置する デフォルトでは他のネットワークから接続することはできない TCP, UDP, ICMP による通信 VNet#1 VNet#2 Internet
  • 7. アドレス空間とサブネット Virtual Network には、1 つ以上のアドレス空間と、 各々のアドレス空間に 1 つ以上のサブネットを割り当てる VNet#1 VNet#2 VNet#3 ・アドレス空間:10.0.0.0/16 サブネット#A:10.0.0.0/24 ・アドレス空間:10.0.0.0/8 サブネット#A:10.0.0.0/16 サブネット#B:10.1.0.0/16 ・アドレス空間:172.16.0.0/12 サブネット#A:172.16.0.0/24 サブネット#B:172.16.1.0/24 ・アドレス空間:192.168.0.0/16 サブネット#C:192.168.0.0/24 ※ 図の例ではプライベート IP のみが書かれているが、グローバル IP も利用可能
  • 8. リージョン VNet は複数のリージョンにまたがることはできないため、異なる リージョンのリソースを同じ VNet に所属させることはできない 異なるリージョンのリソースをあたかも同じネットワークにいる かのように扱いたい場合は、後述する Global VNet Peering や VNet to VNet で、それぞれのリージョンの VNet 同士を接続する VNet#1 VNet#2 VNet東日本 西日本 東日本 サブネット東日本 サブネット西日本 VNet西日本
  • 9. VNet に配置できるリソースの種類 Virtual Network には、以下のリソースを配置することができる Virtual Machines (NIC) Virtual Machine Scale Sets Service Fabric HDInsight App Service Environment Redis Cache API Management VPN Gateway Application Gateway Azure Kubernetes Service Azure Container Service Engine と VNet CNI plugin Azure Active Directory Domain Services (クラシックのみ) Azure Batch Azure Cloud Services(クラシックのみ) Azure Load Balancer Azure SQL Database Managed Instance
  • 10. VNet サービス エンドポイント 一部の Azure PaaS は VNet サービス エンドポイントによって VNet から直接接続し、また、特定の VNet からのみ受け付けるよ うにすることができる Azure SQL Data Warehouse Azure Database for MySQL Azure Database for PostgreSQL Azure Storage Azure SQL Database Azure Cosmos DB ※注意 • VNet と 接続する PaaS サービスは、同一のリージョンである必要がある • VNet サービス エンドポイントとの接続のみに制限すると、Azure のその他のサービスから接続でき なくなったり、一部の機能が利用できなくなるものもある
  • 11. ルーティング ユーザー定義ルート (User Defined Route / UDR) により、Azure の既定の システム ルートを上書きしたり、サブネットのルート テーブルにルー トを追加することができる これにより、VNet からインターネットに出ていくパケットを、必ずオ ンプレミス経由で出したり、セキュリティアプライアンスを経由させ ることによりセキュリティを担保するなどが実現可能 全てのトラフィックをオンプレミスやセキュリティなどのネット ワーク アプライアンスに強制トンネリングさせる カスタムルートで、ネットワーク内のトラフィック フローを制御 Virtual Network のサブネットに対し、ルートテーブルを定義 任意のアドレス接頭辞に対して、次のホップを指定
  • 12. 名前解決 VNet 内のリソースの名前解決をソースに対して提供できるもの Azure が提供するデフォルトの内部 DNS サーバー Azure DNS Private Zones VNet 内および VNet 間のリソースの名前解決を実現する VNet にリソース (VMs, VPN Gateway など) を追加する前にVNet とゾーン をリンクする必要がある VNet 内のリソースを自動で DNS レコード登録することも可能 ユーザー独自の DNS サーバー ※ VNet 内のリソースが利用する DNS サーバーは VNet で設定する 通信対象 デフォルト DNS Azure DNS Private Zones 独自 DNS 同じ VNet 内のリソース間 ● ● ● 異なる VNet にまたがるリソース間 ● ● 仮想 VNet 統合による App から VNet 内のリソース ● VNet 内のリソース から オンプレミスのコンピューター ● オンプレミスのコンピューター から VNet 内のリソース ● 内部 IP 用 逆引き DNS ●
  • 14. 通信の許可および拒否 ネットワークセキュリティグループ (NSG) により、VNet 内のリ ソースの通信を制御するファイアウォールを実現する 優先度 名前 ポート プロトコル ソース 宛先 アクション 1000 allow-rdp 3389 TCP 123.123.123.0/24 任意 許可 1010 allow-ssh 22 TCP 123.123.123.0/24 ASG-ftp 許可 65000 AllowVNetInBound 任意 任意 VirtualNetwork VirtualNetwork 許可 65001 AllowAzureLoad BalancerInBound 任意 任意 AzureLoadBalancer 任意 許可 65500 DenyAllInBound 任意 任意 任意 任意 拒否 条件として指定した以下に 該当するトラフィックを 許可または拒否する アクセス元 (IP アドレス / タグ / ASG、ポート) アクセス先 (IP アドレス / タグ / ASG、ポート) プロトコル (TCP / UDP) 通信の向き (受信 / 送信) の それぞれに対し、条件を 指定する VNet のサブネット または VMs の NICに割り当て 優先度 名前 ポート プロトコル ソース 宛先 アクション 65000 AllowVNetOutBound 任意 任意 VirtualNetwork VirtualNetwork 許可 65001 AllowInternet OutBound 任意 任意 任意 Internet 許可 65500 DenyAllOutBound 任意 任意 任意 任意 拒否 受信セキュリティ規則 送信セキュリティ規則
  • 15. NSG – デフォルトルール / タグ / ASG デフォルト ルール NSG を作成すると、受信/送信規則の それぞれに対し、いくつかの既定の ルールが定義される Application Security Group (ASG) Virtual Machines (の NIC) を登録し、 ソース/宛先に指定することで NSG の管理をシンプルにする VNet に入れる PaaS リソースの 種類によっては、通信を許可し なければいけない条件がある サービス タグ Microsoft が管理するソースおよび宛先に 指定するグループ VirtualNetwork AzureLoadBalancer Internet AzureTrafficManager Storage Storage.リージョン Sql Sql.リージョン AzureCosmosDB AzureCosmosDB.リージョン AzureKeyVault AzureKeyVault.リージョン
  • 16. Azure DDoS Protection DDoS 攻撃に対する防御 Basic (無料) 常時接続のトラフィック監視および一般的なネットワーク レベル攻撃のリアルタイム の軽減策によって、Microsoft のオンライン サービスによって使用されるのと同じ防 御を提供 Standard (有料) Basic サービス レベルに加えて、特に Azure VNet リソースに対してチューニングされ た追加の軽減機能を提供 保護ポリシーは、専用のトラフィック監視および機械学習アルゴリズムによって チューニングされる ポリシーは、Azure Load Balancer、Azure Application Gateway、Azure Service Fabric のイ ンスタンスなど、仮想ネットワーク内に展開されたリソースに関連付けられたパブ リック IP アドレスに適用 撃中および履歴の表示のために、Azure Monitor ビューでリアルタイムのテレメトリ
  • 17. Azure DDoS Protection Basic と Standard の違い 機能 Basic Standard 常時監視 ● ● レイヤー 3/4 のネットワーク攻撃を軽減 ● ● Application Gateway と組み合わせての レイヤー 7 攻撃からの保護 ● ● グローバルに展開 ● ● Azure DNS Zones の保護 ● ● 対象の VNet に適した保護ポリシー ● ロギング、アラート、テレメトリ ● SLA ●
  • 19. VNet 外部との接続 Azure リソースとの通信 他の VNet VNET Peering Global VNET Peering VNet to VNet Site to Site VPN 一部の Azure PaaS サービス VNet 統合 VNet サービスエンドポイント Azure App Service (Point to Site VPN) オンプレミスとの通信 Point to Site VPN Site to Site VPN Azure ExpressRoute インターネットとの通信 パブリック IP アドレス パブリック IP アドレスを持たない リソースからの送信
  • 25. 多くのネットワークの接続 VNet to VNet BGP なし Site to Site VNet to VNet BGP 不問 VNet to VNet BGP あり Site to Site VNet to VNet BGP なし Site to Site BGP なし Site to Site BGP 不問 BGP ありBGP あり Not Global Not Global Not GlobalNot Global
  • 26. VPN Gateway の可用性向上 双方の冗長化 VNet 間接続のアクティブ/アクティブ構成
  • 28. Network Watcher Virtual Network に関する分析情報を取得し、トラフィックの フィルタリングやルーティングの問題を診断、接続を監視 パケット キャプチャ NSG のフロー ログ Virtual Machines のネットワーク問題の診断 VPN ゲートウェイ問題の診断
  • 29. Network Performance Monitor (Log Analytics) ネットワークの正常性とアプリケーションへのネットワーク接続 性を監視し、ネットワークのパフォーマンスに関する洞察を提供 パフォーマンス モニター クラウド、ハイブリッド、 オ ン プ レ ミ ス の 環 境 の ネットワーク監視 サービス エンドポイント モニター アプリケーションの到達可能 性をテストし、オンプレミス、 通信事業者ネットワーク、 ク ラ ウ ド / プ ラ イ ベ ー ト デ ー タ セ ン タ ー の 間 の パフォーマンス ボトルネッ クを検出 ExpressRoute モニター ExpressRoute 経由のブランチ オフィスと Azure 間の E2E 接 続性とパフォーマンスを監視
  • 30. Azure Network Security Group Analytics (Log Analytics) Network Security Group の分析 NSG で「ブロック」または「許可」したフロー 該当するルールの数 該当する MAC アドレス
  • 31. Azure Security Center Azure リソースのセキュリティの状態の分析 潜在的なセキュリティの脆弱性を識別すると、必要な管理を構成する プロセスを説明する推奨事項を提示する ネットワークに関連して提示される推奨事項 サブネットまたは仮想マシンでの NSG の有効化 インターネットに接続するエンドポイント経由のアクセスの制限 etc… 検出されるネットワーク関連の脅威 悪意のあるコンピューターとのネットワーク通信 疑わしい着信 RDP ネットワーク アクティビティ etc…
  • 32. まとめ Azure Virtual Network とは、Azure 上に独立したネットワークを 作るもの IaaS である Virtual Machines だけではなく、App Service のような PaaS のものも VNet に入れることができる
  • 33. pnop 社 Microsoft Azure プロフェッショナルサービス 35 コンサルティング 技術検証 性能検証 PoC, アセスメント テクニカルライティング 講師 / セミナー登壇 トラブルシューティング パフォーマンス チューニング サポート 開発 環境構築 移行 / ポーティング オンプレミス → Azure Linux → Windows 他DB → Azure SQL DB 営業支援 見積支援 × 【お問い合わせ】株式会社 pnop Azure営業部 sales@pnop.co.jp