「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -戻る --[[VPN]] --[[Azure]] > [[Azure Virtual Data Center]] * 目次 [#x33c76b1] #contents *概要 [#q08dbd18] ≒ Azure Virtual Network (VNET) *詳細 [#o8f4bb58] **[[サブネッティング>Azureのサブネッティング]] [#la8f1b03] VNET内をサブネッティングできる。 **ルーティング [#n46529f2] ***Gateway Subnet [#q5fe6cc8] -[[VPN Gateway>#f1a9ab0a]]を作成する際の~ [[VPN]]ルータのVMとIPアドレスが存在する[[Subnet>Azureのサブネッティング]] -1VNET、1Gateway [[Subnet>Azureのサブネッティング]]になるので注意 ***User Defined Route (UDR) [#e8a3a7cc] VNETのデフォゲ(ルータ)のルーティング・テーブルの設定 **[[VNETに接続する。]] [#tacd3237] ***[[VPN Gateway>VNETに接続する。#db7785d4]] [#f1a9ab0a] ***[[Azure ExpressRoute>VNETに接続する。#z5b88ba8]] [#eed1b353] ***[[Azure Peering Service>VNETに接続する。#m6474975]] [#m433106d] ***[[仮想ネットワーク ピアリング>VNETに接続する。#z32fda6e]] [#r87f4aa0] ***[[Azure Private Link / Endpoint>VNETに接続する。#v4603461]] [#n1e81476] ***[[OA-LANとAzureのVNETの分離]] [#t720bbcb] **インバウンドとアウトバウンド [#x9102e68] ***[[AzureのGW / LB的なモノ。]] [#s3832c86] ***[[Azureのプロキシ的なモノ。]] [#u55b6612] ***[[Azureのアウトバウンド設計]] [#c7c05285] **[[FgCF>FgCF (Financial-grade Cloud Fundamentals)]]関連 [#s9fb73fc] ***[[オンプレ延展・延伸>FgCF (Financial-grade Cloud Fundamentals)#aed3c834]]の構築 [#t8bd286a] -[[VPN Gateway>#f1a9ab0a]] -専用線 --[[Azure ExpressRoute>#eed1b353]] --[[Azure Peering Service>#m433106d]] ***[[境界型(Hub & Spoke)構成>FgCF (Financial-grade Cloud Fundamentals)#uc3de4ee]] [#y5187df6] -技術 --[[Network Security Group (NSG)]] --[[仮想ネットワーク ピアリング>#r87f4aa0]] -Hubに配置するモノ --各種ゲートウェイと踏み台 --若しくは、[[Azure Bastion]] --DNS/DHCP、運用管理サーバ --, etc. -Hub Ex --Hubに必要なIPアドレスが増えていく。 --その際、[[仮想ネットワーク ピアリング>#r87f4aa0]]でHubを拡張する。 -代表的な構成パターン --オンプレ延展・延伸型~ Hub & Spoke 構成 --オンプレ連携型 ---オンプレ延展・延伸型と同じ。 ---加えて、Spokeにインバウンド+WAF --浮島型 ---オンプレ連携型と同じ。 ---Hub & Spoke の部分の[[ピアリング>#r87f4aa0]]を切断。 ---Hubとのデータ連携には、ストレージなどを使用する。 ***[[ゼロトラスト型構成>FgCF (Financial-grade Cloud Fundamentals)#uc3de4ee]] [#aed8ad37] [[オンプレ延展・延伸型>#t8bd286a]] の [[境界型(Hub & Spoke)構成>#y5187df6]]のHubから、~ 個別のHub & Spokeを[[Azure Private Link]] / [[Endpoint>Azure Private Endpoint]]で接続。 ***[[仮想マシンのIPアドレス>Azureの仮想マシン#t1ce7c44]] [#ie05c619] ***PaaS・SaaSの閉域化 [#u86e0b5e] -PaaSの閉域化 --VNET Injection ---VNET上にPaaSを組み込む形で配置する。 ---使えるサービスが限定的で高価。 ---MSのメンテナンス経路を設定する必要がある。 --[[Azure Private Link / Endpoint>#n1e81476]]、[[Azure Service Endpoint]] ---VNET上にEndpointを引き込む、機能強化された主要な方法。 ---VNET Injectionと比べ、廉価に使用可能。 --[[Azure Firewall]] ---これは、PaaSへの[[外向き通信のロックダウン>#zd1de1b8]] ---[[Azure Private Link / Endpoint>#n1e81476]]、[[Azure Service Endpoint]]でも~ 同じ様な課題&構成があり、[[Azure Firewall]]を利用する方法もあるが高価。 -閉域化の例 --[[Azure管理ポータルの閉域化>Azureの管理ポータルとARM API#s9da1970]] --[[AppService閉域構成テクニカルリファレンス]] --[[AKSをセキュアに利用するためのテクニカルリファレンス]] ***[[セキュア化とロックダウン>#ldfb1cde]] [#m2ea2393] **セキュア化とロックダウン [#ldfb1cde] ***作業内容の安全性の確認 [#b6ebaa2e] -入力制御(インバウンド) --[[境界型(Hub & Spoke)構成>#y5187df6]] --[[ゼロトラスト型構成>#aed8ad37]] >を参考にして、[[VNET接続>#tacd3237]]を行う。 -ハードニング(クライアント or サーバ) -出力制御(アウトバウンド) ***変更・保守、作業の一覧化 [#i7344eca] *参考 [#ea5383fd] **Microsoft Docs [#gdae352e] -Azure 仮想ネットワーク トラフィックのルーティング~ https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-networks-udr-overview -Azure VPN Gateway: 構成設定 > ゲートウェイ サブネット~ https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-about-vpn-gateway-settings#gateway-subnet **nakama [#be515e0f] FgCF > ゼロトラスト型マルチクラウド IT 環境 > Azure による仮想データセンタ構築手法 ※ 体系は[[コチラ>FgCF (Financial-grade Cloud Fundamentals)#rb4080e7]]、pwdは[[コチラ>FgCF (Financial-grade Cloud Fundamentals)#ve34867b]] ***Azure 仮想ネットワーク基礎 [#r4c340ad] (共通技術 > ネットワーク基盤の構成方法 > Azure 仮想ネットワーク基礎) --YouTube~ https://www.youtube.com/watch?v=SpO_cOaZxdw --video~ https://nakama.blob.core.windows.net/mskk/2020_10_29_FgCF_AzureNetworkBasis_v0.35.zip --ppt~ https://nakama.blob.core.windows.net/mskk/2020_10_29_FgCF_AzureNetworkBasis_v0.35_ppt.zip ***IaaS の構成方法 [#zd56347f] -VNET, IaaS VM セキュリティベースライン --YouTube~ https://www.youtube.com/watch?v=uB4j8k9N4ag --video, ppt~ https://nakama.blob.core.windows.net/mskk/2020_01_17_FgCF_SecurityBaseline(IaaS)_v1.00_SplitVersion.zip -リファレンスアーキテクチャ(延伸 VNET 版)と構築の要点 --YouTube~ https://www.youtube.com/watch?v=KxcieZvAJKo --video, ppt~ https://nakama.blob.core.windows.net/mskk/2019_11_07_FgCF_WebDB_ReferenceArchitecture(IaaSVM).zip -リファレンスアーキテクチャ(隔離 VNET 版)と構築の要点 --YouTube~ https://www.youtube.com/watch?v=nX4JZNXTjz4 --video~ https://nakama.blob.core.windows.net/mskk/2020_12_22_FgCF_IaaS_IsolatedVNET_ReferenceArchitecture_v0.01_movie.zip --ppt~ https://nakama.blob.core.windows.net/mskk/2020_12_22_FgCF_IaaS_IsolatedVNET_ReferenceArchitecture_v0.01_ppt.zip ---- Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]], [[:通信技術]]