Azureの仮想ネットワーク
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-戻る
--[[VPN]]
--[[Azure]] > [[Azure Virtual Data Center]]
* 目次 [#x33c76b1]
#contents
*概要 [#q08dbd18]
≒ Azure Virtual Network (VNET)
*詳細 [#o8f4bb58]
**ネットワーク [#ud86d249]
***オーバーレイ・ネットワーク [#k2a330e8]
VPF(Virtual Packet Filtering)と呼ばれる仕組みで実装され...
***アンダーレイ・ネットワーク [#bc92d38f]
[[オーバーレイ・ネットワーク>#k2a330e8]]下で動作する物理...
***動作上の問題 [#lc0ca5af]
-主要な4つの問題
--[[IPアドレス固定はOSから行わない。>Azureの仮想マシン#t9...
--[[NICは、通常、1枚挿し+NSG(2枚挿しも可能だが)>Azur...
--[[NLB]]が動作しない(VPFは[[NLB]]と組み合わせ不可能)。
--VPFは[[MSCS/WSFCの仮想IP>MSCS/WSFC#n52139d2]]と組み合わ...
---[[ILB を利用する。>Azure Load Balancer#t213a6e9]]
---共有ディスク型クラスタから、~
[[AlwaysOn>SQL Server のレプリケーション#d18d57ee]]などの...
-その他の問題
--[[ILBのNSGが機能しない問題>Azure Load Balancer#t213a6e9]]
--SNATポートの枯渇問題~
以下の②、③のケースでSNATポートを使用する。
---①:仮想マシン(パブリックIPアドレス無し)
---②:仮想マシンにパブリックIPアドレスを付与
---③:仮想マシンに[[ELB(External Load Balancer)>Azure Loa...
SKUがStandardだと、SNATポートを調整可能らしい。
--Azureサービスの送信元が、パブリックIPアドレスにならない...
---異なるリージョンの場合、インターネットを経由するのでパ...
---同じリージョンの場合、アンダーレイ・ネットワークを経由...
-参考
--サポート エンジニアが Azure Networking をじっくりたっぷ...
https://www.slideshare.net/ShuheiUda/azure-networking-165...
**[[サブネッティング>Azureのサブネッティング]] [#la8f1b03]
VNET内をサブネッティングできる。
**ルーティング [#n46529f2]
***Gateway Subnet [#q5fe6cc8]
-[[VPN Gateway>#f1a9ab0a]]を作成する際の~
[[VPN]]ルータのVMとIPアドレスが存在する[[Subnet>Azureのサ...
-1VNET、1Gateway [[Subnet>Azureのサブネッティング]]にな...
***User Defined Route (UDR) [#e8a3a7cc]
VNETのデフォゲ(ルータ)のルーティング・テーブルの設定
**[[VNETに接続する。]] [#tacd3237]
***[[VPN Gateway>VNETに接続する。#db7785d4]] [#f1a9ab0a]
***[[Azure ExpressRoute>VNETに接続する。#z5b88ba8]] [#eed...
***[[Azure Peering Service>VNETに接続する。#m6474975]] [#...
***[[仮想ネットワーク ピアリング>VNETに接続する。#z32fda6...
***[[Azure Private Link / Endpoint>VNETに接続する。#v4603...
***[[OA-LANとAzureのVNETの分離]] [#t720bbcb]
**インバウンドとアウトバウンド [#x9102e68]
***[[AzureのGW / LB的なモノ。]] [#s3832c86]
***[[Azureのプロキシ的なモノ。]] [#u55b6612]
***[[Azureのアウトバウンド設計]] [#c7c05285]
**[[FgCF>FgCF (Financial-grade Cloud Fundamentals)]]関連 ...
***[[オンプレ延伸>FgCF (Financial-grade Cloud Fundamental...
-[[VPN Gateway>#f1a9ab0a]]
-専用線
--[[Azure ExpressRoute>#eed1b353]]
--[[Azure Peering Service>#m433106d]]
***[[境界型(Hub & Spoke)構成>FgCF (Financial-grade Clou...
-技術
--[[Network Security Group (NSG)]]
--[[仮想ネットワーク ピアリング>#r87f4aa0]]
-Hubに配置するモノ
--各種ゲートウェイと踏み台
--若しくは、[[Azure Bastion]]
--DNS/DHCP、運用管理サーバ
--, etc.
-Hub Ex
--Hubに必要なIPアドレスが増えていく。
--その際、[[仮想ネットワーク ピアリング>#r87f4aa0]]でHub...
-代表的な構成パターン
--オンプレ延伸型~
Hub & Spoke 構成
--オンプレ連携型~
以下を除いて、オンプレ延伸型と同じ。
---Spokeにインバウンド+WAF
--浮島型~
以下を除いて、オンプレ連携型と同じ。
---Hub & Spoke の部分の[[ピアリング>#r87f4aa0]]を切断。
---Hubとのデータ連携には、ストレージなどを使用する。
***[[ゼロトラスト型構成>FgCF (Financial-grade Cloud Funda...
[[オンプレ延伸型>#t8bd286a]] の [[境界型(Hub & Spoke)構...
個別のHub & Spokeを[[Azure Private Link]] / [[Endpoint>Az...
***[[仮想マシンのIPアドレス>Azureの仮想マシン#t1ce7c44]] ...
***PaaS・SaaSの閉域化 [#u86e0b5e]
-PaaSの閉域化
--VNET Injection
---VNET上にPaaSを組み込む形で配置する。
---使えるサービスが限定的で高価。
---MSのメンテナンス経路を設定する必要がある。
--[[Azure Private Link / Endpoint>#n1e81476]]、[[Azure Se...
---VNET上にEndpointを引き込む、機能強化された主要な方法。
---VNET Injectionと比べ、廉価に使用可能。
--[[Azure Firewall]]
---これは、PaaSへの[[外向き通信のロックダウン>#zd1de1b8]]
---[[Azure Private Link / Endpoint>#n1e81476]]、[[Azure S...
同じ様な課題&構成があり、[[Azure Firewall]]を利用する方...
-閉域化の例
--[[Azure管理ポータルの閉域化>Azureの管理ポータルとARM AP...
--[[AppService閉域構成テクニカルリファレンス]]
--[[AKSをセキュアに利用するためのテクニカルリファレンス]]
***[[セキュア化とロックダウン>#ldfb1cde]] [#m2ea2393]
**セキュア化とロックダウン [#ldfb1cde]
***作業内容の安全性の確認 [#b6ebaa2e]
-入力制御(インバウンド)
--以下を参考にして、[[VNET接続>#tacd3237]]を行う。
---[[境界型(Hub & Spoke)構成>#y5187df6]]
---[[ゼロトラスト型構成>#aed8ad37]]
--攻撃検知(ログ取得・監査・チェック)
---L3/L4 : [[AzureのDDoS対策]]
---L7 : WAF([[Azure Application Gateway]])
-ハードニング(クライアント or サーバ)
--VNET自体のハードニングではなく、~
配置するモノのハードニングが主。
--正しい、DNS設定の維持
---VNETに適切なDNSサーバーアドレス
---プライベートDNSゾーンの構成
---オンプレDNSに静的に登録でも十分なケースが多い。
--攻撃検知~
Azure Network Watcher
-出力制御(アウトバウンド)
--ルートテーブルの設定
---0.0.0.0 → InternetをFirewallに変更。~
・オンプレのFirewall~
・[[Azure Firewall]]
---一部のサブネット占有型リソース~
はルートテーブルが変更できない。
--ルートテーブルの確認
---VMのNICのプロパティから確認できる。
---ルートの設定に注意する。~
・システムルート~
・0.0.0.0 → Internet~
・仮想ネットワーク~
・[[ピアリング>#r87f4aa0]]~
・[[Azure Service Endpoint]]~
・カスタムルート~
・0.0.0.0 → InternetをFirewallに変更。~
・Firewallは、IPアドレスまで記載~
(次ホップの種類が仮想アプライアンスだと穴)
---[[Azure Service Endpoint]]の注意点~
・0.0.0.0 → Internetを[[Azure Firewall]]に変更していても、~
ルートが追加され、ショートカット・パスを通る様になる。~
・この対策として、[[Azure Firewall]]のサブネットに、~
[[Azure Service Endpoint]]を追加しココを経由させる。~
・ポリシーと併用しないと他テナントに抜ける可能性
※ インターネット ≒ パブリック IP、知らないネットワーク回線~
ただし、[[Peering系>#m433106d]]を使用すると、パブリッ...
***変更・保守、作業の一覧化 [#i7344eca]
-VNETの主なメンテナンス作業と、必要な権限付与~
[[ストレージの場合>#t9e31b56]]と異なり、ほぼ、全作業に~
「Network Contributor」ロールが必要。
*参考 [#ea5383fd]
**Microsoft Docs [#gdae352e]
-Azure 仮想ネットワーク トラフィックのルーティング~
https://docs.microsoft.com/ja-jp/azure/virtual-network/vi...
-Azure VPN Gateway: 構成設定 > ゲートウェイ サブネット~
https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-ga...
**nakama [#be515e0f]
FgCF > ゼロトラスト型マルチクラウド IT 環境 > Azure によ...
※ 体系は[[コチラ>FgCF (Financial-grade Cloud Fundamentals...
***Azure 仮想ネットワーク基礎 [#r4c340ad]
(共通技術 > ネットワーク基盤の構成方法 > Azure 仮想ネッ...
--YouTube~
https://www.youtube.com/watch?v=SpO_cOaZxdw
--video~
https://nakama.blob.core.windows.net/mskk/2020_10_29_FgCF...
--ppt~
https://nakama.blob.core.windows.net/mskk/2020_10_29_FgCF...
***IaaS の構成方法 [#zd56347f]
-VNET, IaaS VM セキュリティベースライン
--YouTube~
https://www.youtube.com/watch?v=uB4j8k9N4ag
--video, ppt~
https://nakama.blob.core.windows.net/mskk/2020_01_17_FgCF...
-リファレンスアーキテクチャ(延伸 VNET 版)と構築の要点
--YouTube~
https://www.youtube.com/watch?v=KxcieZvAJKo
--video, ppt~
https://nakama.blob.core.windows.net/mskk/2019_11_07_FgCF...
-リファレンスアーキテクチャ(隔離 VNET 版)と構築の要点
--YouTube~
https://www.youtube.com/watch?v=nX4JZNXTjz4
--video~
https://nakama.blob.core.windows.net/mskk/2020_12_22_FgCF...
--ppt~
https://nakama.blob.core.windows.net/mskk/2020_12_22_FgCF...
----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:セキュ...
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-戻る
--[[VPN]]
--[[Azure]] > [[Azure Virtual Data Center]]
* 目次 [#x33c76b1]
#contents
*概要 [#q08dbd18]
≒ Azure Virtual Network (VNET)
*詳細 [#o8f4bb58]
**ネットワーク [#ud86d249]
***オーバーレイ・ネットワーク [#k2a330e8]
VPF(Virtual Packet Filtering)と呼ばれる仕組みで実装され...
***アンダーレイ・ネットワーク [#bc92d38f]
[[オーバーレイ・ネットワーク>#k2a330e8]]下で動作する物理...
***動作上の問題 [#lc0ca5af]
-主要な4つの問題
--[[IPアドレス固定はOSから行わない。>Azureの仮想マシン#t9...
--[[NICは、通常、1枚挿し+NSG(2枚挿しも可能だが)>Azur...
--[[NLB]]が動作しない(VPFは[[NLB]]と組み合わせ不可能)。
--VPFは[[MSCS/WSFCの仮想IP>MSCS/WSFC#n52139d2]]と組み合わ...
---[[ILB を利用する。>Azure Load Balancer#t213a6e9]]
---共有ディスク型クラスタから、~
[[AlwaysOn>SQL Server のレプリケーション#d18d57ee]]などの...
-その他の問題
--[[ILBのNSGが機能しない問題>Azure Load Balancer#t213a6e9]]
--SNATポートの枯渇問題~
以下の②、③のケースでSNATポートを使用する。
---①:仮想マシン(パブリックIPアドレス無し)
---②:仮想マシンにパブリックIPアドレスを付与
---③:仮想マシンに[[ELB(External Load Balancer)>Azure Loa...
SKUがStandardだと、SNATポートを調整可能らしい。
--Azureサービスの送信元が、パブリックIPアドレスにならない...
---異なるリージョンの場合、インターネットを経由するのでパ...
---同じリージョンの場合、アンダーレイ・ネットワークを経由...
-参考
--サポート エンジニアが Azure Networking をじっくりたっぷ...
https://www.slideshare.net/ShuheiUda/azure-networking-165...
**[[サブネッティング>Azureのサブネッティング]] [#la8f1b03]
VNET内をサブネッティングできる。
**ルーティング [#n46529f2]
***Gateway Subnet [#q5fe6cc8]
-[[VPN Gateway>#f1a9ab0a]]を作成する際の~
[[VPN]]ルータのVMとIPアドレスが存在する[[Subnet>Azureのサ...
-1VNET、1Gateway [[Subnet>Azureのサブネッティング]]にな...
***User Defined Route (UDR) [#e8a3a7cc]
VNETのデフォゲ(ルータ)のルーティング・テーブルの設定
**[[VNETに接続する。]] [#tacd3237]
***[[VPN Gateway>VNETに接続する。#db7785d4]] [#f1a9ab0a]
***[[Azure ExpressRoute>VNETに接続する。#z5b88ba8]] [#eed...
***[[Azure Peering Service>VNETに接続する。#m6474975]] [#...
***[[仮想ネットワーク ピアリング>VNETに接続する。#z32fda6...
***[[Azure Private Link / Endpoint>VNETに接続する。#v4603...
***[[OA-LANとAzureのVNETの分離]] [#t720bbcb]
**インバウンドとアウトバウンド [#x9102e68]
***[[AzureのGW / LB的なモノ。]] [#s3832c86]
***[[Azureのプロキシ的なモノ。]] [#u55b6612]
***[[Azureのアウトバウンド設計]] [#c7c05285]
**[[FgCF>FgCF (Financial-grade Cloud Fundamentals)]]関連 ...
***[[オンプレ延伸>FgCF (Financial-grade Cloud Fundamental...
-[[VPN Gateway>#f1a9ab0a]]
-専用線
--[[Azure ExpressRoute>#eed1b353]]
--[[Azure Peering Service>#m433106d]]
***[[境界型(Hub & Spoke)構成>FgCF (Financial-grade Clou...
-技術
--[[Network Security Group (NSG)]]
--[[仮想ネットワーク ピアリング>#r87f4aa0]]
-Hubに配置するモノ
--各種ゲートウェイと踏み台
--若しくは、[[Azure Bastion]]
--DNS/DHCP、運用管理サーバ
--, etc.
-Hub Ex
--Hubに必要なIPアドレスが増えていく。
--その際、[[仮想ネットワーク ピアリング>#r87f4aa0]]でHub...
-代表的な構成パターン
--オンプレ延伸型~
Hub & Spoke 構成
--オンプレ連携型~
以下を除いて、オンプレ延伸型と同じ。
---Spokeにインバウンド+WAF
--浮島型~
以下を除いて、オンプレ連携型と同じ。
---Hub & Spoke の部分の[[ピアリング>#r87f4aa0]]を切断。
---Hubとのデータ連携には、ストレージなどを使用する。
***[[ゼロトラスト型構成>FgCF (Financial-grade Cloud Funda...
[[オンプレ延伸型>#t8bd286a]] の [[境界型(Hub & Spoke)構...
個別のHub & Spokeを[[Azure Private Link]] / [[Endpoint>Az...
***[[仮想マシンのIPアドレス>Azureの仮想マシン#t1ce7c44]] ...
***PaaS・SaaSの閉域化 [#u86e0b5e]
-PaaSの閉域化
--VNET Injection
---VNET上にPaaSを組み込む形で配置する。
---使えるサービスが限定的で高価。
---MSのメンテナンス経路を設定する必要がある。
--[[Azure Private Link / Endpoint>#n1e81476]]、[[Azure Se...
---VNET上にEndpointを引き込む、機能強化された主要な方法。
---VNET Injectionと比べ、廉価に使用可能。
--[[Azure Firewall]]
---これは、PaaSへの[[外向き通信のロックダウン>#zd1de1b8]]
---[[Azure Private Link / Endpoint>#n1e81476]]、[[Azure S...
同じ様な課題&構成があり、[[Azure Firewall]]を利用する方...
-閉域化の例
--[[Azure管理ポータルの閉域化>Azureの管理ポータルとARM AP...
--[[AppService閉域構成テクニカルリファレンス]]
--[[AKSをセキュアに利用するためのテクニカルリファレンス]]
***[[セキュア化とロックダウン>#ldfb1cde]] [#m2ea2393]
**セキュア化とロックダウン [#ldfb1cde]
***作業内容の安全性の確認 [#b6ebaa2e]
-入力制御(インバウンド)
--以下を参考にして、[[VNET接続>#tacd3237]]を行う。
---[[境界型(Hub & Spoke)構成>#y5187df6]]
---[[ゼロトラスト型構成>#aed8ad37]]
--攻撃検知(ログ取得・監査・チェック)
---L3/L4 : [[AzureのDDoS対策]]
---L7 : WAF([[Azure Application Gateway]])
-ハードニング(クライアント or サーバ)
--VNET自体のハードニングではなく、~
配置するモノのハードニングが主。
--正しい、DNS設定の維持
---VNETに適切なDNSサーバーアドレス
---プライベートDNSゾーンの構成
---オンプレDNSに静的に登録でも十分なケースが多い。
--攻撃検知~
Azure Network Watcher
-出力制御(アウトバウンド)
--ルートテーブルの設定
---0.0.0.0 → InternetをFirewallに変更。~
・オンプレのFirewall~
・[[Azure Firewall]]
---一部のサブネット占有型リソース~
はルートテーブルが変更できない。
--ルートテーブルの確認
---VMのNICのプロパティから確認できる。
---ルートの設定に注意する。~
・システムルート~
・0.0.0.0 → Internet~
・仮想ネットワーク~
・[[ピアリング>#r87f4aa0]]~
・[[Azure Service Endpoint]]~
・カスタムルート~
・0.0.0.0 → InternetをFirewallに変更。~
・Firewallは、IPアドレスまで記載~
(次ホップの種類が仮想アプライアンスだと穴)
---[[Azure Service Endpoint]]の注意点~
・0.0.0.0 → Internetを[[Azure Firewall]]に変更していても、~
ルートが追加され、ショートカット・パスを通る様になる。~
・この対策として、[[Azure Firewall]]のサブネットに、~
[[Azure Service Endpoint]]を追加しココを経由させる。~
・ポリシーと併用しないと他テナントに抜ける可能性
※ インターネット ≒ パブリック IP、知らないネットワーク回線~
ただし、[[Peering系>#m433106d]]を使用すると、パブリッ...
***変更・保守、作業の一覧化 [#i7344eca]
-VNETの主なメンテナンス作業と、必要な権限付与~
[[ストレージの場合>#t9e31b56]]と異なり、ほぼ、全作業に~
「Network Contributor」ロールが必要。
*参考 [#ea5383fd]
**Microsoft Docs [#gdae352e]
-Azure 仮想ネットワーク トラフィックのルーティング~
https://docs.microsoft.com/ja-jp/azure/virtual-network/vi...
-Azure VPN Gateway: 構成設定 > ゲートウェイ サブネット~
https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-ga...
**nakama [#be515e0f]
FgCF > ゼロトラスト型マルチクラウド IT 環境 > Azure によ...
※ 体系は[[コチラ>FgCF (Financial-grade Cloud Fundamentals...
***Azure 仮想ネットワーク基礎 [#r4c340ad]
(共通技術 > ネットワーク基盤の構成方法 > Azure 仮想ネッ...
--YouTube~
https://www.youtube.com/watch?v=SpO_cOaZxdw
--video~
https://nakama.blob.core.windows.net/mskk/2020_10_29_FgCF...
--ppt~
https://nakama.blob.core.windows.net/mskk/2020_10_29_FgCF...
***IaaS の構成方法 [#zd56347f]
-VNET, IaaS VM セキュリティベースライン
--YouTube~
https://www.youtube.com/watch?v=uB4j8k9N4ag
--video, ppt~
https://nakama.blob.core.windows.net/mskk/2020_01_17_FgCF...
-リファレンスアーキテクチャ(延伸 VNET 版)と構築の要点
--YouTube~
https://www.youtube.com/watch?v=KxcieZvAJKo
--video, ppt~
https://nakama.blob.core.windows.net/mskk/2019_11_07_FgCF...
-リファレンスアーキテクチャ(隔離 VNET 版)と構築の要点
--YouTube~
https://www.youtube.com/watch?v=nX4JZNXTjz4
--video~
https://nakama.blob.core.windows.net/mskk/2020_12_22_FgCF...
--ppt~
https://nakama.blob.core.windows.net/mskk/2020_12_22_FgCF...
----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:セキュ...
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
