Azureの仮想ネットワーク

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る
  • VPN
  • Azure > Azure Virtual Data Center

目次 †

概要 †

≒ Azure Virtual Network (VNET)

詳細 †

ネットワーク †

オーバーレイ・ネットワーク †

VPF（Virtual Packet Filtering）と呼ばれる仕組みで実装されている。

アンダーレイ・ネットワーク †

オーバーレイ・ネットワーク下で動作する物理ネットワーク。

動作上の問題 †

• 主要な４つの問題
  • IPアドレス固定はOSから行わない。
  • NICは、通常、１枚挿し＋NSG（２枚挿しも可能だが）
  • NLBが動作しない（VPFはNLBと組み合わせ不可能）。
  • VPFはMSCS/WSFCの仮想IPと組み合わせ不可能
    • ILB を利用する。
    • 共有ディスク型クラスタから、
      AlwaysOnなどのレプリケーション型クラスタへ。

• その他の問題
  • ILBのNSGが機能しない問題

• SNATポートの枯渇問題
  以下の②、③のケースでSNATポートを使用する。
  • ①：仮想マシン（パブリックIPアドレス無し）
  • ②：仮想マシンにパブリックIPアドレスを付与
  • ③：仮想マシンにELB(External Load Balancer)を付与
    SKUがStandardだと、SNATポートを調整可能らしい。

• Azureサービスの送信元が、パブリックIPアドレスにならない問題
  • 異なるリージョンの場合、インターネットを経由するのでパブリックIP。
  • 同じリージョンの場合、アンダーレイ・ネットワークを経由するのでプライベートIP。

• 参考
  • サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
    https://www.slideshare.net/ShuheiUda/azure-networking-165852712

サブネッティング †

VNET内をサブネッティングできる。

ルーティング †

Gateway Subnet †

• VPN Gatewayを作成する際の
  VPNルータのVMとIPアドレスが存在するSubnet

• １VNET、１Gateway Subnetになるので注意

User Defined Route (UDR) †

VNETのデフォゲ（ルータ）のルーティング・テーブルの設定

VNETに接続する。 †

VPN Gateway †

Azure ExpressRoute †

Azure Peering Service †

仮想ネットワーク ピアリング †

Azure Private Link / Endpoint †

OA-LANとAzureのVNETの分離 †

インバウンドとアウトバウンド †

AzureのGW / LB的なモノ。 †

Azureのプロキシ的なモノ。 †

Azureのアウトバウンド設計 †

FgCF関連 †

オンプレ延伸の構築 †

• VPN Gateway
• 専用線
  • Azure ExpressRoute
  • Azure Peering Service

境界型（Hub & Spoke）構成 †

• 技術
  • Network Security Group (NSG)
  • 仮想ネットワーク ピアリング

• Hubに配置するモノ
  • 各種ゲートウェイと踏み台
  • 若しくは、Azure Bastion
  • DNS/DHCP、運用管理サーバ
  • , etc.

• Hub Ex
  • Hubに必要なIPアドレスが増えていく。
  • その際、仮想ネットワーク ピアリングでHubを拡張する。

• 代表的な構成パターン

• オンプレ延伸型
  Hub & Spoke 構成

• オンプレ連携型
  以下を除いて、オンプレ延伸型と同じ。
  • Spokeにインバウンド＋WAF

• 浮島型
  以下を除いて、オンプレ連携型と同じ。
  • Hub & Spoke の部分のピアリングを切断。
  • Hubとのデータ連携には、ストレージなどを使用する。

ゼロトラスト型構成 †

オンプレ延伸型 の 境界型（Hub & Spoke）構成のHubから、
個別のHub & SpokeをAzure Private Link / Endpointで接続。

仮想マシンのIPアドレス †

PaaS・SaaSの閉域化 †

• PaaSの閉域化

• VNET Injection
  • VNET上にPaaSを組み込む形で配置する。
  • 使えるサービスが限定的で高価。
  • MSのメンテナンス経路を設定する必要がある。

• Azure Private Link / Endpoint、Azure Service Endpoint
  • VNET上にEndpointを引き込む、機能強化された主要な方法。
  • VNET Injectionと比べ、廉価に使用可能。

• Azure Firewall
  • これは、PaaSへの外向き通信のロックダウン
  • Azure Private Link / Endpoint、Azure Service Endpointでも
    同じ様な課題＆構成があり、Azure Firewallを利用する方法もあるが高価。

• 閉域化の例
  • Azure管理ポータルの閉域化
  • AppService閉域構成テクニカルリファレンス
  • AKSをセキュアに利用するためのテクニカルリファレンス

セキュア化とロックダウン †

セキュア化とロックダウン †

作業内容の安全性の確認 †

• 入力制御（インバウンド）

• 以下を参考にして、VNET接続を行う。
  • 境界型（Hub & Spoke）構成
  • ゼロトラスト型構成

• 攻撃検知（ログ取得・監査・チェック）
  • L3/L4 : AzureのDDoS対策
  • L7 : WAF（Azure Application Gateway）

• ハードニング（クライアント or サーバ）

• VNET自体のハードニングではなく、
  配置するモノのハードニングが主。

• 正しい、DNS設定の維持
  • VNETに適切なDNSサーバーアドレス
  • プライベートDNSゾーンの構成
  • オンプレDNSに静的に登録でも十分なケースが多い。

• 攻撃検知
  Azure Network Watcher

• 出力制御（アウトバウンド）

• ルートテーブルの設定

• 0.0.0.0 → InternetをFirewallに変更。
  ・オンプレのFirewall
  ・Azure Firewall

• 一部のサブネット占有型リソース
  はルートテーブルが変更できない。

• ルートテーブルの確認

• VMのNICのプロパティから確認できる。

• ルートの設定に注意する。
  ・システムルート
  　・0.0.0.0 → Internet
  　・仮想ネットワーク
  　・ピアリング
  　・Azure Service Endpoint
  ・カスタムルート
  　・0.0.0.0 → InternetをFirewallに変更。
  　・Firewallは、IPアドレスまで記載
  　　（次ホップの種類が仮想アプライアンスだと穴）

• Azure Service Endpointの注意点
  ・0.0.0.0 → InternetをAzure Firewallに変更していても、
  　ルートが追加され、ショートカット・パスを通る様になる。
  ・この対策として、Azure Firewallのサブネットに、
  　Azure Service Endpointを追加しココを経由させる。
  ・ポリシーと併用しないと他テナントに抜ける可能性

※ インターネット ≒ パブリック IP、知らないネットワーク回線
　 ただし、Peering系を使用すると、パブリック IPでも、不特定ネットワークを通らない。

変更・保守、作業の一覧化 †

• VNETの主なメンテナンス作業と、必要な権限付与
  ストレージの場合と異なり、ほぼ、全作業に
  「Network Contributor」ロールが必要。

参考 †

Microsoft Docs †

• Azure 仮想ネットワーク トラフィックのルーティング
  https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-networks-udr-overview

• Azure VPN Gateway: 構成設定 > ゲートウェイ サブネット
  https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-about-vpn-gateway-settings#gateway-subnet

nakama †

FgCF > ゼロトラスト型マルチクラウド IT 環境 > Azure による仮想データセンタ構築手法

※ 体系はコチラ、pwdはコチラ

Azure 仮想ネットワーク基礎 †

（共通技術 > ネットワーク基盤の構成方法 > Azure 仮想ネットワーク基礎）

• YouTube?
  https://www.youtube.com/watch?v=SpO_cOaZxdw
• video
  https://nakama.blob.core.windows.net/mskk/2020_10_29_FgCF_AzureNetworkBasis_v0.35.zip
• ppt
  https://nakama.blob.core.windows.net/mskk/2020_10_29_FgCF_AzureNetworkBasis_v0.35_ppt.zip

IaaS の構成方法 †

• VNET, IaaS VM セキュリティベースライン
  • YouTube?
    https://www.youtube.com/watch?v=uB4j8k9N4ag
  • video, ppt
    https://nakama.blob.core.windows.net/mskk/2020_01_17_FgCF_SecurityBaseline(IaaS)_v1.00_SplitVersion.zip

• リファレンスアーキテクチャ（延伸 VNET 版）と構築の要点
  • YouTube?
    https://www.youtube.com/watch?v=KxcieZvAJKo
  • video, ppt
    https://nakama.blob.core.windows.net/mskk/2019_11_07_FgCF_WebDB_ReferenceArchitecture(IaaSVM).zip

• リファレンスアーキテクチャ（隔離 VNET 版）と構築の要点
  • YouTube?
    https://www.youtube.com/watch?v=nX4JZNXTjz4
  • video
    https://nakama.blob.core.windows.net/mskk/2020_12_22_FgCF_IaaS_IsolatedVNET_ReferenceArchitecture_v0.01_movie.zip
  • ppt
    https://nakama.blob.core.windows.net/mskk/2020_12_22_FgCF_IaaS_IsolatedVNET_ReferenceArchitecture_v0.01_ppt.zip

Tags: :インフラストラクチャ, :クラウド, :セキュリティ, :通信技術, :Azure