「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
区分 | MS-DC内(既知の経路で到達する。) | MS-DC外(到達経路を特定できない。) |
1 | 2 | 3 |
ユーザ管理 | ユーザ アプリ | ユーザ・コード | - | PaaS、SaaSへの通信 | 任意のDC外通信 |
ユーザ・コード用 ランタイム&ライブラリ | ・Azure Monitor ・内部パッケージ・リポジトリ ・Azureコンテナ・レジストリ(ACR) | ディストリビュータ提供の ・外部パッケージ・リポジトリ ・外部コンテナ・レジストリ | その他のリポジトリ・レジストリ ・githubusercontent ・Google Storage |
MS管理 | マネージド サービス | CaaS PaaS SaaS 基盤 | 未公開の通信 | XaaS定義の通信 ・Azure Active Directory ・ARM API ・Master API ・MSコンテナ・レジストリ(MCR) ・MSパッケージ・リポジトリ | AKS パッケージ・リポジトリ (Akamai CDN上) | - |
ゲストVM (IaaS) | ・仮想パブリック IP アドレス ・Azure Managed IDエンドポイント | - | ディストリビューションが 使用するパッチ、NTP通信 |
物理DC インフラ | ホストOS (物理HW) | ブラック・ボックス(非公開) |
| ← 暗黙的通信 → | ← 明示的通信 → | ← 比較的安全な通信 → | ← 安全とは考え難い通信 → |
詳細 †
争点 †
通信先のサービスの信頼性 †
マネージド・サービスの基盤系通信 †
マルチテナント・サーバとの通信 †
マルチテナントのケースは、
などを検討する。
MS-DC外のサーバへの通信 †
その他 †
仮想パブリック IP アドレス †
168.63.129.16
- このアドレスが、VNET内のDHCP(やDNS)の機能を提供する。
- 他にも、VMエージェントとの通信に利用されている。
- 別のVNETの名前解決には、
- Hubに自前のDNSを構築するか、
- ローカルDNSゾーンを使用する。
外向き通信のロックダウン †
- NSG
NSGによる送信(インターネット通信)の拒否
- UDR
- UDRによる既定のルート(インターネット通信)の拒否
- NAにルーティングしてのフィルタリング
※ Azureのエッジは、基幹線に近い所に繋がっているので、
オンプレのプロキシ(オンプレを迂回する)より安全。
参考 †
nakama †
※ Azure 仮想ネットワーク基礎中の
「隔離型 VNET 環境からの外部通信設計の整理方法」にも同様のトピックが含まれる。
Tags: :インフラストラクチャ, :クラウド, :セキュリティ, :通信技術, :Azure