「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
≒ Azure Virtual Network (VNET)
詳細 †
ネットワーク †
オーバーレイ・ネットワーク †
VPF(Virtual Packet Filtering)と呼ばれる仕組みで実装されている。
アンダーレイ・ネットワーク †
オーバーレイ・ネットワーク下で動作する物理ネットワーク。
動作上の問題 †
- Azureサービスの送信元が、パブリックIPアドレスにならない問題
- 異なるリージョンの場合、インターネットを経由するのでパブリックIP。
- 同じリージョンの場合、アンダーレイ・ネットワークを経由するのでプライベートIP。
VNET内をサブネッティングできる。
ルーティング †
Gateway Subnet †
User Defined Route (UDR) †
VNETのデフォゲ(ルータ)のルーティング・テーブルの設定
インバウンドとアウトバウンド †
- オンプレ延展・延伸型
Hub & Spoke 構成
- オンプレ連携型
- オンプレ延展・延伸型と同じ。
- 加えて、Spokeにインバウンド+WAF
- 浮島型
- オンプレ連携型と同じ。
- Hub & Spoke の部分のピアリングを切断。
- Hubとのデータ連携には、ストレージなどを使用する。
オンプレ延展・延伸型 の 境界型(Hub & Spoke)構成のHubから、
個別のHub & SpokeをAzure Private Link / Endpointで接続。
PaaS・SaaSの閉域化 †
- VNET Injection
- VNET上にPaaSを組み込む形で配置する。
- 使えるサービスが限定的で高価。
- MSのメンテナンス経路を設定する必要がある。
セキュア化とロックダウン †
作業内容の安全性の確認 †
- VNET自体のハードニングではなく、
配置するモノのハードニングが主。
- 正しい、DNS設定の維持
- VNETに適切なDNSサーバーアドレス
- プライベートDNSゾーンの構成
- オンプレDNSに静的に登録でも十分なケースが多い。
- 攻撃検知
Azure Network Watcher
- 一部のサブネット占有型リソース
はルートテーブルが変更できない。
- ルートの設定に注意する。
・システムルート
・0.0.0.0 → Internet
・仮想ネットワーク
・ピアリング
・Azure Service Endpoint
・カスタムルート
・0.0.0.0 → InternetをFirewallに変更。
・Firewallは、IPアドレスまで記載
(次ホップの種類が仮想アプライアンスだと穴)
※ インターネット ≒ パブリック IP、知らないネットワーク回線
ただし、Peering系を使用すると、パブリック IPでも、不特定ネットワークを通らない。
変更・保守、作業の一覧化 †
- VNETの主なメンテナンス作業と、必要な権限付与
ストレージの場合と異なり、ほぼ、全作業に
「Network Contributor」ロールが必要。
参考 †
Microsoft Docs †
nakama †
FgCF > ゼロトラスト型マルチクラウド IT 環境 > Azure による仮想データセンタ構築手法
※ 体系はコチラ、pwdはコチラ
Azure 仮想ネットワーク基礎 †
(共通技術 > ネットワーク基盤の構成方法 > Azure 仮想ネットワーク基礎)
IaaS の構成方法 †
- VNET, IaaS VM セキュリティベースライン
- リファレンスアーキテクチャ(延伸 VNET 版)と構築の要点
- リファレンスアーキテクチャ(隔離 VNET 版)と構築の要点
Tags: :インフラストラクチャ, :クラウド, :Azure, :通信技術