Azureの仮想ネットワーク ピアリング

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る
  • VPN Gateway
  • Azure ExpressRoute
  • Azure Peering Service
  • 仮想ネットワーク ピアリング
  • Azure Private Link / Endpoint
  • OA-LANとAzureのVNETの分離

目次 †

概要 †

• VNETピアリング
• Azureの仮想ネットワーク同士を、Azureのバックボーン・ネットワークを使用して接続する機能

詳細 †

特徴 †

以下のリソース無しで簡単に接続が可能。 †

• ゲートウェイ・サブネット
• ゲートウェイ（VPN GatewayとかAzure ExpressRoute）

ただし、２ポップ通信ができない。 †

• Spoke同士の接続のためには、
  • 別のピアリングを定義する（メッシュ状になる）。
  • Azure Firewallのパケット・フォワーダを使用する。

• HUB → Spoke → DMZとした時、
  • DMZからHUBへの侵入を抑止できる。
  • ただし、DMZ → HUB直ではない、段階的な攻撃は可能。
  • 故に、Azure Private Link / Endpointの方が安全。

異なるAzureリージョン間でも接続が可能 †

グローバルVNETピアリング

• 同様に、Azureのバックボーン・ネットワークを利用するのでV2Vよりも高速。
• Azure Private Link / Endpointでも可能。

接続方法 †

ポータル †

→ 参考

Iac化 †

• Azure PowerShell → 参考

• Azure CLI → 参考
  参考先はBashでの例だったので、以下、WindowsのCMDでTempファイルを使用する方法。

• IDを取得
  • VNET1

    >az network vnet show --resource-group [既存のRG名] --name [既存のVNET1名] --query id --out tsv > d:\temp_cmd_result.txt
    >set /p vNet1Id= 0<d:\temp_cmd_result.txt
    >del d:\temp_cmd_result.txt
    >echo %vNet1Id%

  • VNET2

    >az network vnet show --resource-group [既存のRG名] --name [既存のVNET2名] --query id --out tsv > d:\temp_cmd_result.txt
    >set /p vNet2Id= 0<d:\temp_cmd_result.txt
    >del d:\temp_cmd_result.txt
    >echo %vNet2Id%

• 接続
  単方向という概念はない模様（必ず双方向定義する）

• VNET1 → VNET2

  >az network vnet peering create ^
  --name [VNET1 → VNET2のVNETピアリング名] ^
  --resource-group [VNET1のRG名] ^
  --vnet-name [VNET1の名称] ^
  --remote-vnet %vNet2Id% ^
  --allow-vnet-access

• VNET2 → VNET1

  >az network vnet peering create ^
  --name [VNET2 → VNET1のVNETピアリング名] ^
  --resource-group [VNET2のRG名] ^
  --vnet-name [VNET2の名称] ^
  --remote-vnet %vNet1Id% ^
  --allow-vnet-access

• 状態確認
  両方の接続が完了すると、peeringState が Initiated → Connected になる。

• VNET1 → VNET2

  >az network vnet peering show ^
  --name [VNET1 → VNET2のVNETピアリング名] ^
  --resource-group [VNET1のRG名] ^
  --vnet-name [VNET1の名称] ^
  --query peeringState

• VNET2 → VNET1

  >az network vnet peering show ^
  --name [VNET2 → VNET1のVNETピアリング名] ^
  --resource-group [VNET2のRG名] ^
  --vnet-name [VNET2の名称] ^
  --query peeringState

参考 †

• 仮想ネットワーク ピアリング(Virtual network peering)を試してみる - Qiita
  https://qiita.com/yamada6667/items/08bc4588bb63816c2fec

• ASCII.jp：「Azure 仮想ネットワーク ピアリング」とは？　概要と設定方法
  https://ascii.jp/elem/000/004/005/4005348/

Microsoft Docs †

• Azure Virtual Network ピアリング
  https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-network-peering-overview

チュートリアル †

VNet ピアリングを使用して仮想ネットワークを接続する

• Azureポータル
  https://docs.microsoft.com/ja-jp/azure/virtual-network/tutorial-connect-virtual-networks-portal
• Azure CLI
  https://docs.microsoft.com/ja-jp/azure/virtual-network/tutorial-connect-virtual-networks-cli
• PowerShell
  https://docs.microsoft.com/ja-jp/azure/virtual-network/tutorial-connect-virtual-networks-powershell

Tags: :インフラストラクチャ, :クラウド, :セキュリティ, :通信技術, :Azure