マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

≒ Azure Virtual Network (VNET)

詳細

ネットワーク

オーバーレイ・ネットワーク

VPF(Virtual Packet Filtering)と呼ばれる仕組みで実装されている。

アンダーレイ・ネットワーク

オーバーレイ・ネットワーク下で動作する物理ネットワーク。

動作上の問題

  • SNATポートの枯渇問題
    以下の②、③のケースでSNATポートを使用する。
    • ①:仮想マシン(パブリックIPアドレス無し)
    • ②:仮想マシンにパブリックIPアドレスを付与
    • ③:仮想マシンにELB(External Load Balancer)を付与
      SKUがStandardだと、SNATポートを調整可能らしい。
  • Azureサービスの送信元が、パブリックIPアドレスにならない問題
    • 異なるリージョンの場合、インターネットを経由するのでパブリックIP。
    • 同じリージョンの場合、アンダーレイ・ネットワークを経由するのでプライベートIP。

サブネッティング

VNET内をサブネッティングできる。

ルーティング

Gateway Subnet

  • 1VNET、1Gateway Subnetになるので注意

User Defined Route (UDR)

VNETのデフォゲ(ルータ)のルーティング・テーブルの設定

VNETに接続する。

VPN Gateway

Azure ExpressRoute

Azure Peering Service

仮想ネットワーク ピアリング

Azure Private Link / Endpoint

OA-LANとAzureのVNETの分離

インバウンドとアウトバウンド

AzureのGW / LB的なモノ。

Azureのプロキシ的なモノ。

Azureのアウトバウンド設計

FgCF関連

オンプレ延伸の構築

境界型(Hub & Spoke)構成

  • Hubに配置するモノ
    • 各種ゲートウェイと踏み台
    • 若しくは、Azure Bastion
    • DNS/DHCP、運用管理サーバ
    • , etc.
  • 代表的な構成パターン
  • オンプレ延伸型
    Hub & Spoke 構成
  • オンプレ連携型
    以下を除いて、オンプレ延伸型と同じ。
    • Spokeにインバウンド+WAF
  • 浮島型
    以下を除いて、オンプレ連携型と同じ。
    • Hub & Spoke の部分のピアリングを切断。
    • Hubとのデータ連携には、ストレージなどを使用する。

ゼロトラスト型構成

オンプレ延伸型境界型(Hub & Spoke)構成のHubから、
個別のHub & SpokeをAzure Private Link / Endpointで接続。

仮想マシンのIPアドレス

PaaS・SaaSの閉域化

  • PaaSの閉域化
  • VNET Injection
    • VNET上にPaaSを組み込む形で配置する。
    • 使えるサービスが限定的で高価。
    • MSのメンテナンス経路を設定する必要がある。

セキュア化とロックダウン

セキュア化とロックダウン

作業内容の安全性の確認

  • 入力制御(インバウンド)
  • ハードニング(クライアント or サーバ)
  • VNET自体のハードニングではなく、
    配置するモノのハードニングが主。
  • 正しい、DNS設定の維持
    • VNETに適切なDNSサーバーアドレス
    • プライベートDNSゾーンの構成
    • オンプレDNSに静的に登録でも十分なケースが多い。
  • 攻撃検知
    Azure Network Watcher
  • 出力制御(アウトバウンド)
  • ルートテーブルの設定
  • 0.0.0.0 → InternetをFirewallに変更。
    ・オンプレのFirewall
    Azure Firewall
  • 一部のサブネット占有型リソース
    はルートテーブルが変更できない。
  • ルートテーブルの確認
  • VMのNICのプロパティから確認できる。
  • ルートの設定に注意する。
    ・システムルート
     ・0.0.0.0 → Internet
     ・仮想ネットワーク
     ・ピアリング
     ・Azure Service Endpoint
    ・カスタムルート
     ・0.0.0.0 → InternetをFirewallに変更。
     ・Firewallは、IPアドレスまで記載
      (次ホップの種類が仮想アプライアンスだと穴)
  • Azure Service Endpointの注意点
    ・0.0.0.0 → InternetをAzure Firewallに変更していても、
     ルートが追加され、ショートカット・パスを通る様になる。
    ・この対策として、Azure Firewallのサブネットに、
     Azure Service Endpointを追加しココを経由させる。
    ・ポリシーと併用しないと他テナントに抜ける可能性

※ インターネット ≒ パブリック IP、知らないネットワーク回線
  ただし、Peering系を使用すると、パブリック IPでも、不特定ネットワークを通らない。

変更・保守、作業の一覧化

  • VNETの主なメンテナンス作業と、必要な権限付与
    ストレージの場合と異なり、ほぼ、全作業に
    「Network Contributor」ロールが必要。

参考

Microsoft Docs

nakama

FgCF > ゼロトラスト型マルチクラウド IT 環境 > Azure による仮想データセンタ構築手法

※ 体系はコチラ、pwdはコチラ

Azure 仮想ネットワーク基礎

(共通技術 > ネットワーク基盤の構成方法 > Azure 仮想ネットワーク基礎)

IaaS の構成方法


Tags: :インフラストラクチャ, :クラウド, :セキュリティ, :通信技術, :Azure


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2021-03-18 (木) 16:09:09 (222d)