「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -戻る --[[VPN]] --[[Azure]] > [[Azure Virtual Data Center]] * 目次 [#x33c76b1] #contents *概要 [#q08dbd18] ≒ Azure Virtual Network (VNET) *詳細 [#o8f4bb58] **ネットワーク [#ud86d249] ***オーバーレイ・ネットワーク [#k2a330e8] VPF(Virtual Packet Filtering)と呼ばれる仕組みで実装されている。 ***アンダーレイ・ネットワーク [#bc92d38f] [[オーバーレイ・ネットワーク>#k2a330e8]]下で動作する物理ネットワーク。 ***動作上の問題 [#lc0ca5af] -主要な4つの問題 --[[IPアドレス固定はOSから行わない。>Azureの仮想マシン#t9a83dfe]] --[[NICは、通常、1枚挿し+NSG(2枚挿しも可能だが)>Azureの仮想マシン#oc571d8d]] --[[NLB]]が動作しない(VPFは[[NLB]]と組み合わせ不可能)。 --VPFは[[MSCS/WSFCの仮想IP>MSCS/WSFC#n52139d2]]と組み合わせ不可能 ---[[ILB を利用する。>Azure Load Balancer#t213a6e9]] ---共有ディスク型クラスタから、~ [[AlwaysOn>SQL Server のレプリケーション#d18d57ee]]などのレプリケーション型クラスタへ。 -その他の問題 --[[ILBのNSGが機能しない問題>Azure Load Balancer#t213a6e9]] --Azureサービスの送信元が、パブリックIPアドレスにならない問題 ---異なるリージョンの場合、インターネットを経由するのでパブリックIP。 ---同じリージョンの場合、アンダーレイ・ネットワークを経由するのでプライベートIP。 -参考 --サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会~ https://www.slideshare.net/ShuheiUda/azure-networking-165852712 **[[サブネッティング>Azureのサブネッティング]] [#la8f1b03] VNET内をサブネッティングできる。 **ルーティング [#n46529f2] ***Gateway Subnet [#q5fe6cc8] -[[VPN Gateway>#f1a9ab0a]]を作成する際の~ [[VPN]]ルータのVMとIPアドレスが存在する[[Subnet>Azureのサブネッティング]] -1VNET、1Gateway [[Subnet>Azureのサブネッティング]]になるので注意 ***User Defined Route (UDR) [#e8a3a7cc] VNETのデフォゲ(ルータ)のルーティング・テーブルの設定 **[[VNETに接続する。]] [#tacd3237] ***[[VPN Gateway>VNETに接続する。#db7785d4]] [#f1a9ab0a] ***[[Azure ExpressRoute>VNETに接続する。#z5b88ba8]] [#eed1b353] ***[[Azure Peering Service>VNETに接続する。#m6474975]] [#m433106d] ***[[仮想ネットワーク ピアリング>VNETに接続する。#z32fda6e]] [#r87f4aa0] ***[[Azure Private Link / Endpoint>VNETに接続する。#v4603461]] [#n1e81476] ***[[OA-LANとAzureのVNETの分離]] [#t720bbcb] **インバウンドとアウトバウンド [#x9102e68] ***[[AzureのGW / LB的なモノ。]] [#s3832c86] ***[[Azureのプロキシ的なモノ。]] [#u55b6612] ***[[Azureのアウトバウンド設計]] [#c7c05285] **[[FgCF>FgCF (Financial-grade Cloud Fundamentals)]]関連 [#s9fb73fc] ***[[オンプレ延展・延伸>FgCF (Financial-grade Cloud Fundamentals)#aed3c834]]の構築 [#t8bd286a] -[[VPN Gateway>#f1a9ab0a]] -専用線 --[[Azure ExpressRoute>#eed1b353]] --[[Azure Peering Service>#m433106d]] ***[[境界型(Hub & Spoke)構成>FgCF (Financial-grade Cloud Fundamentals)#uc3de4ee]] [#y5187df6] -技術 --[[Network Security Group (NSG)]] --[[仮想ネットワーク ピアリング>#r87f4aa0]] -Hubに配置するモノ --各種ゲートウェイと踏み台 --若しくは、[[Azure Bastion]] --DNS/DHCP、運用管理サーバ --, etc. -Hub Ex --Hubに必要なIPアドレスが増えていく。 --その際、[[仮想ネットワーク ピアリング>#r87f4aa0]]でHubを拡張する。 -代表的な構成パターン --オンプレ延展・延伸型~ Hub & Spoke 構成 --オンプレ連携型 ---オンプレ延展・延伸型と同じ。 ---加えて、Spokeにインバウンド+WAF --浮島型 ---オンプレ連携型と同じ。 ---Hub & Spoke の部分の[[ピアリング>#r87f4aa0]]を切断。 ---Hubとのデータ連携には、ストレージなどを使用する。 ***[[ゼロトラスト型構成>FgCF (Financial-grade Cloud Fundamentals)#uc3de4ee]] [#aed8ad37] [[オンプレ延展・延伸型>#t8bd286a]] の [[境界型(Hub & Spoke)構成>#y5187df6]]のHubから、~ 個別のHub & Spokeを[[Azure Private Link]] / [[Endpoint>Azure Private Endpoint]]で接続。 ***[[仮想マシンのIPアドレス>Azureの仮想マシン#t1ce7c44]] [#ie05c619] ***PaaS・SaaSの閉域化 [#u86e0b5e] -PaaSの閉域化 --VNET Injection ---VNET上にPaaSを組み込む形で配置する。 ---使えるサービスが限定的で高価。 ---MSのメンテナンス経路を設定する必要がある。 --[[Azure Private Link / Endpoint>#n1e81476]]、[[Azure Service Endpoint]] ---VNET上にEndpointを引き込む、機能強化された主要な方法。 ---VNET Injectionと比べ、廉価に使用可能。 --[[Azure Firewall]] ---これは、PaaSへの[[外向き通信のロックダウン>#zd1de1b8]] ---[[Azure Private Link / Endpoint>#n1e81476]]、[[Azure Service Endpoint]]でも~ 同じ様な課題&構成があり、[[Azure Firewall]]を利用する方法もあるが高価。 -閉域化の例 --[[Azure管理ポータルの閉域化>Azureの管理ポータルとARM API#s9da1970]] --[[AppService閉域構成テクニカルリファレンス]] --[[AKSをセキュアに利用するためのテクニカルリファレンス]] ***[[セキュア化とロックダウン>#ldfb1cde]] [#m2ea2393] **セキュア化とロックダウン [#ldfb1cde] ***作業内容の安全性の確認 [#b6ebaa2e] -入力制御(インバウンド) --以下を参考にして、[[VNET接続>#tacd3237]]を行う。 ---[[境界型(Hub & Spoke)構成>#y5187df6]] ---[[ゼロトラスト型構成>#aed8ad37]] --攻撃検知(ログ取得・監査・チェック) ---L3/L4 : [[AzureのDDoS対策]] ---L7 : WAF([[Azure Application Gateway]]) -ハードニング(クライアント or サーバ) --VNET自体のハードニングではなく、~ 配置するモノのハードニングが主。 --正しい、DNS設定の維持 ---VNETに適切なDNSサーバーアドレス ---プライベートDNSゾーンの構成 ---オンプレDNSに静的に登録でも十分なケースが多い。 --攻撃検知~ Azure Network Watcher -出力制御(アウトバウンド) --ルートテーブルの設定 ---0.0.0.0 → InternetをFirewallに変更。~ ・オンプレのFirewall~ ・[[Azure Firewall]] ---一部のサブネット占有型リソース~ はルートテーブルが変更できない。 --ルートテーブルの確認 ---VMのNICのプロパティから確認できる。 ---ルートの設定に注意する。~ ・システムルート~ ・0.0.0.0 → Internet~ ・仮想ネットワーク~ ・[[ピアリング>#r87f4aa0]]~ ・[[Azure Service Endpoint]]~ ・カスタムルート~ ・0.0.0.0 → InternetをFirewallに変更。~ ・Firewallは、IPアドレスまで記載~ (次ホップの種類が仮想アプライアンスだと穴) ---[[Azure Service Endpoint]]の注意点~ ・0.0.0.0 → Internetを[[Azure Firewall]]に変更していても、~ ルートが追加され、ショートカット・パスを通る様になる。~ ・この対策として、[[Azure Firewall]]のサブネットに、~ [[Azure Service Endpoint]]を追加しココを経由させる。~ ・ポリシーと併用しないと他テナントに抜ける可能性 ※ インターネット ≒ パブリック IP、知らないネットワーク回線 [[Peering系>#m433106d]]を使用すると、パブリック IPでも、不特定ネットワークを通らない。 ***変更・保守、作業の一覧化 [#i7344eca] -VNETの主なメンテナンス作業と、必要な権限付与~ [[ストレージの場合>#t9e31b56]]と異なり、ほぼ、全作業に~ 「Network Contributor」ロールが必要。 *参考 [#ea5383fd] **Microsoft Docs [#gdae352e] -Azure 仮想ネットワーク トラフィックのルーティング~ https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-networks-udr-overview -Azure VPN Gateway: 構成設定 > ゲートウェイ サブネット~ https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-about-vpn-gateway-settings#gateway-subnet **nakama [#be515e0f] FgCF > ゼロトラスト型マルチクラウド IT 環境 > Azure による仮想データセンタ構築手法 ※ 体系は[[コチラ>FgCF (Financial-grade Cloud Fundamentals)#rb4080e7]]、pwdは[[コチラ>FgCF (Financial-grade Cloud Fundamentals)#ve34867b]] ***Azure 仮想ネットワーク基礎 [#r4c340ad] (共通技術 > ネットワーク基盤の構成方法 > Azure 仮想ネットワーク基礎) --YouTube~ https://www.youtube.com/watch?v=SpO_cOaZxdw --video~ https://nakama.blob.core.windows.net/mskk/2020_10_29_FgCF_AzureNetworkBasis_v0.35.zip --ppt~ https://nakama.blob.core.windows.net/mskk/2020_10_29_FgCF_AzureNetworkBasis_v0.35_ppt.zip ***IaaS の構成方法 [#zd56347f] -VNET, IaaS VM セキュリティベースライン --YouTube~ https://www.youtube.com/watch?v=uB4j8k9N4ag --video, ppt~ https://nakama.blob.core.windows.net/mskk/2020_01_17_FgCF_SecurityBaseline(IaaS)_v1.00_SplitVersion.zip -リファレンスアーキテクチャ(延伸 VNET 版)と構築の要点 --YouTube~ https://www.youtube.com/watch?v=KxcieZvAJKo --video, ppt~ https://nakama.blob.core.windows.net/mskk/2019_11_07_FgCF_WebDB_ReferenceArchitecture(IaaSVM).zip -リファレンスアーキテクチャ(隔離 VNET 版)と構築の要点 --YouTube~ https://www.youtube.com/watch?v=nX4JZNXTjz4 --video~ https://nakama.blob.core.windows.net/mskk/2020_12_22_FgCF_IaaS_IsolatedVNET_ReferenceArchitecture_v0.01_movie.zip --ppt~ https://nakama.blob.core.windows.net/mskk/2020_12_22_FgCF_IaaS_IsolatedVNET_ReferenceArchitecture_v0.01_ppt.zip ---- Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]], [[:通信技術]]