Azureの仮想ネットワーク のバックアップソース(No.29)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• バックアップ を表示
• Azureの仮想ネットワーク へ行く。
  • 1 (2018-01-23 (火) 15:09:07)
  • 2 (2018-01-23 (火) 16:00:20)
  • 3 (2018-01-24 (水) 12:17:58)
  • 4 (2018-06-01 (金) 10:13:58)
  • 5 (2019-06-06 (木) 12:29:24)
  • 6 (2020-05-03 (日) 19:00:16)
  • 7 (2020-05-05 (火) 11:02:20)
  • 8 (2020-05-05 (火) 21:09:49)
  • 9 (2020-05-05 (火) 23:53:18)
  • 10 (2020-05-06 (水) 09:55:51)
  • 11 (2020-05-07 (木) 18:24:05)
  • 12 (2021-02-08 (月) 12:43:20)
  • 13 (2021-02-08 (月) 15:54:47)
  • 14 (2021-02-24 (水) 13:14:57)
  • 15 (2021-02-24 (水) 23:24:45)
  • 16 (2021-02-25 (木) 12:09:07)
  • 17 (2021-02-25 (木) 12:57:56)
  • 18 (2021-02-25 (木) 22:25:24)
  • 19 (2021-03-02 (火) 13:25:54)
  • 20 (2021-03-02 (火) 18:22:18)
  • 21 (2021-03-02 (火) 21:34:36)
  • 22 (2021-03-05 (金) 13:05:51)
  • 23 (2021-03-12 (金) 15:03:22)
  • 24 (2021-03-13 (土) 01:40:35)
  • 25 (2021-03-13 (土) 20:13:05)
  • 26 (2021-03-13 (土) 22:31:18)
  • 27 (2021-03-14 (日) 21:17:25)
  • 28 (2021-03-15 (月) 20:45:45)
  • 29 (2021-03-16 (火) 14:59:55)
  • 30 (2021-03-16 (火) 18:35:00)
  • 31 (2021-03-17 (水) 20:43:47)

「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-戻る
--[[VPN]]
--[[Azure]] > [[Azure Virtual Data Center]]

* 目次 [#x33c76b1]
#contents

*概要 [#q08dbd18]
≒ Azure Virtual Network (VNET)

*詳細 [#o8f4bb58]

**ネットワーク [#ud86d249]

***オーバーレイ・ネットワーク [#k2a330e8]
VPF（Virtual Packet Filtering）と呼ばれる仕組みで実装されている。

***アンダーレイ・ネットワーク [#bc92d38f]
[[オーバーレイ・ネットワーク>#k2a330e8]]下で動作する物理ネットワーク。

***動作上の問題 [#lc0ca5af]
-主要な４つの問題
--[[IPアドレス固定はOSから行わない。>Azureの仮想マシン#t9a83dfe]]
--[[NICは、通常、１枚挿し＋NSG（２枚挿しも可能だが）>Azureの仮想マシン#oc571d8d]]
--[[NLB]]が動作しない（VPFは[[NLB]]と組み合わせ不可能）。
--VPFは[[MSCS/WSFCの仮想IP>MSCS/WSFC#n52139d2]]と組み合わせ不可能
---[[ILB を利用する。>Azure Load Balancer#t213a6e9]]
---共有ディスク型クラスタから、~
[[AlwaysOn>SQL Server のレプリケーション#d18d57ee]]などのレプリケーション型クラスタへ。

-その他の問題
--[[ILBのNSGが機能しない問題>Azure Load Balancer#t213a6e9]]

--Azureサービスの送信元が、パブリックIPアドレスにならない問題
---異なるリージョンの場合、インターネットを経由するのでパブリックIP。
---同じリージョンの場合、アンダーレイ・ネットワークを経由するのでプライベートIP。

-参考
--サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会~
https://www.slideshare.net/ShuheiUda/azure-networking-165852712

**[[サブネッティング>Azureのサブネッティング]] [#la8f1b03]
VNET内をサブネッティングできる。

**ルーティング [#n46529f2]

***Gateway Subnet [#q5fe6cc8]
-[[VPN Gateway>#f1a9ab0a]]を作成する際の~
[[VPN]]ルータのVMとIPアドレスが存在する[[Subnet>Azureのサブネッティング]]

-１VNET、１Gateway [[Subnet>Azureのサブネッティング]]になるので注意

***User Defined Route (UDR) [#e8a3a7cc]
VNETのデフォゲ（ルータ）のルーティング・テーブルの設定

**[[VNETに接続する。]] [#tacd3237]
***[[VPN Gateway>VNETに接続する。#db7785d4]] [#f1a9ab0a]
***[[Azure ExpressRoute>VNETに接続する。#z5b88ba8]] [#eed1b353]
***[[Azure Peering Service>VNETに接続する。#m6474975]] [#m433106d]
***[[仮想ネットワーク ピアリング>VNETに接続する。#z32fda6e]] [#r87f4aa0]
***[[Azure Private Link / Endpoint>VNETに接続する。#v4603461]] [#n1e81476]
***[[OA-LANとAzureのVNETの分離]] [#t720bbcb]

**インバウンドとアウトバウンド [#x9102e68]
***[[AzureのGW / LB的なモノ。]] [#s3832c86]
***[[Azureのプロキシ的なモノ。]] [#u55b6612]
***[[Azureのアウトバウンド設計]] [#c7c05285]

**[[FgCF>FgCF (Financial-grade Cloud Fundamentals)]]関連 [#s9fb73fc]

***[[オンプレ延展・延伸>FgCF (Financial-grade Cloud Fundamentals)#aed3c834]]の構築 [#t8bd286a]
-[[VPN Gateway>#f1a9ab0a]]
-専用線
--[[Azure ExpressRoute>#eed1b353]]
--[[Azure Peering Service>#m433106d]]

***[[境界型（Hub & Spoke）構成>FgCF (Financial-grade Cloud Fundamentals)#uc3de4ee]] [#y5187df6]
-技術
--[[Network Security Group (NSG)]]
--[[仮想ネットワーク ピアリング>#r87f4aa0]]

-Hubに配置するモノ
--各種ゲートウェイと踏み台
--若しくは、[[Azure Bastion]]
--DNS/DHCP、運用管理サーバ
--, etc.

-Hub Ex
--Hubに必要なIPアドレスが増えていく。
--その際、[[仮想ネットワーク ピアリング>#r87f4aa0]]でHubを拡張する。

-代表的な構成パターン

--オンプレ延展・延伸型~
Hub & Spoke 構成

--オンプレ連携型
---オンプレ延展・延伸型と同じ。
---加えて、Spokeにインバウンド＋WAF

--浮島型
---オンプレ連携型と同じ。
---Hub & Spoke の部分の[[ピアリング>#r87f4aa0]]を切断。
---Hubとのデータ連携には、ストレージなどを使用する。

***[[ゼロトラスト型構成>FgCF (Financial-grade Cloud Fundamentals)#uc3de4ee]] [#aed8ad37]
[[オンプレ延展・延伸型>#t8bd286a]] の [[境界型（Hub & Spoke）構成>#y5187df6]]のHubから、~
個別のHub & Spokeを[[Azure Private Link]] / [[Endpoint>Azure Private Endpoint]]で接続。

***[[仮想マシンのIPアドレス>Azureの仮想マシン#t1ce7c44]] [#ie05c619]

***PaaS・SaaSの閉域化 [#u86e0b5e]
-PaaSの閉域化

--VNET Injection
---VNET上にPaaSを組み込む形で配置する。
---使えるサービスが限定的で高価。
---MSのメンテナンス経路を設定する必要がある。

--[[Azure Private Link / Endpoint>#n1e81476]]、[[Azure Service Endpoint]]
---VNET上にEndpointを引き込む、機能強化された主要な方法。
---VNET Injectionと比べ、廉価に使用可能。

--[[Azure Firewall]]
---これは、PaaSへの[[外向き通信のロックダウン>#zd1de1b8]]
---[[Azure Private Link / Endpoint>#n1e81476]]、[[Azure Service Endpoint]]でも~
同じ様な課題＆構成があり、[[Azure Firewall]]を利用する方法もあるが高価。

-閉域化の例
--[[Azure管理ポータルの閉域化>Azureの管理ポータルとARM API#s9da1970]]
--[[AppService閉域構成テクニカルリファレンス]]
--[[AKSをセキュアに利用するためのテクニカルリファレンス]]

***[[セキュア化とロックダウン>#ldfb1cde]] [#m2ea2393]

**セキュア化とロックダウン [#ldfb1cde]

***作業内容の安全性の確認 [#b6ebaa2e]
-入力制御（インバウンド）

--以下を参考にして、[[VNET接続>#tacd3237]]を行う。
---[[境界型（Hub & Spoke）構成>#y5187df6]]
---[[ゼロトラスト型構成>#aed8ad37]]

--攻撃検知（ログ取得・監査・チェック）
---L3/L4 : [[AzureのDDoS対策]]
---L7 : WAF（[[Azure Application Gateway]]）

-ハードニング（クライアント or サーバ）

--VNET自体のハードニングではなく、~
配置するモノのハードニングが主。

--正しい、DNS設定の維持
---VNETに適切なDNSサーバーアドレス
---プライベートDNSゾーンの構成
---オンプレDNSに静的に登録でも十分なケースが多い。

--攻撃検知~
Azure Network Watcher

-出力制御（アウトバウンド）

--ルートテーブルの設定

---0.0.0.0 → InternetをFirewallに変更。~
・オンプレのFirewall~
・[[Azure Firewall]]

---一部のサブネット占有型リソース~
はルートテーブルが変更できない。

--ルートテーブルの確認

---VMのNICのプロパティから確認できる。

---ルートの設定に注意する。~
・システムルート~
　・0.0.0.0 → Internet~
　・仮想ネットワーク~
　・[[ピアリング>#r87f4aa0]]~
　・[[Azure Service Endpoint]]~
・カスタムルート~
　・0.0.0.0 → InternetをFirewallに変更。~
　・Firewallは、IPアドレスまで記載~
　　（次ホップの種類が仮想アプライアンスだと穴）

---[[Azure Service Endpoint]]の注意点~
・0.0.0.0 → Internetを[[Azure Firewall]]に変更していても、~
　ルートが追加され、ショートカット・パスを通る様になる。~
・この対策として、[[Azure Firewall]]のサブネットに、~
　[[Azure Service Endpoint]]を追加しココを経由させる。~
・ポリシーと併用しないと他テナントに抜ける可能性

※ インターネット ≒ パブリック IP、知らないネットワーク回線~
　 ただし、[[Peering系>#m433106d]]を使用すると、パブリック IPでも、不特定ネットワークを通らない。

***変更・保守、作業の一覧化 [#i7344eca]
-VNETの主なメンテナンス作業と、必要な権限付与~
[[ストレージの場合>#t9e31b56]]と異なり、ほぼ、全作業に~
「Network Contributor」ロールが必要。

*参考 [#ea5383fd]

**Microsoft Docs [#gdae352e]
-Azure 仮想ネットワーク トラフィックのルーティング~
https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-networks-udr-overview

-Azure VPN Gateway: 構成設定 > ゲートウェイ サブネット~
https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-about-vpn-gateway-settings#gateway-subnet

**nakama [#be515e0f]
FgCF > ゼロトラスト型マルチクラウド IT 環境 > Azure による仮想データセンタ構築手法

※ 体系は[[コチラ>FgCF (Financial-grade Cloud Fundamentals)#rb4080e7]]、pwdは[[コチラ>FgCF (Financial-grade Cloud Fundamentals)#ve34867b]]

***Azure 仮想ネットワーク基礎 [#r4c340ad]
（共通技術 > ネットワーク基盤の構成方法 > Azure 仮想ネットワーク基礎）

--YouTube~
https://www.youtube.com/watch?v=SpO_cOaZxdw
--video~
https://nakama.blob.core.windows.net/mskk/2020_10_29_FgCF_AzureNetworkBasis_v0.35.zip
--ppt~
https://nakama.blob.core.windows.net/mskk/2020_10_29_FgCF_AzureNetworkBasis_v0.35_ppt.zip

***IaaS の構成方法 [#zd56347f]

-VNET, IaaS VM セキュリティベースライン
--YouTube~
https://www.youtube.com/watch?v=uB4j8k9N4ag
--video, ppt~
https://nakama.blob.core.windows.net/mskk/2020_01_17_FgCF_SecurityBaseline(IaaS)_v1.00_SplitVersion.zip

-リファレンスアーキテクチャ（延伸 VNET 版）と構築の要点
--YouTube~
https://www.youtube.com/watch?v=KxcieZvAJKo
--video, ppt~
https://nakama.blob.core.windows.net/mskk/2019_11_07_FgCF_WebDB_ReferenceArchitecture(IaaSVM).zip

-リファレンスアーキテクチャ（隔離 VNET 版）と構築の要点
--YouTube~
https://www.youtube.com/watch?v=nX4JZNXTjz4
--video~
https://nakama.blob.core.windows.net/mskk/2020_12_22_FgCF_IaaS_IsolatedVNET_ReferenceArchitecture_v0.01_movie.zip
--ppt~
https://nakama.blob.core.windows.net/mskk/2020_12_22_FgCF_IaaS_IsolatedVNET_ReferenceArchitecture_v0.01_ppt.zip

----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]], [[:通信技術]]

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.006 sec.