「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>Azureの仮想ネットワーク#tacd3237]] --[[VPN Gateway]] --Express Route --[[Azure Peering Service]] --[[仮想ネットワーク ピアリング>Azureの仮想ネットワーク ピアリング]] --[[Azure Private Link / Endpoint>Azure Private Link]] --[[OA-LANとAzureのVNETの分離]] * 目次 [#c2d1c918] #contents *概要 [#n27dd5e3] -オンプレミスと[[VNET>Azureの仮想ネットワーク]]を専用線で接続する帯域保証型サービス -以下、Peering、Peering言うが、[[Azureの仮想ネットワーク ピアリング]]ではない。 *詳細 [#nd4354f8] **特徴 [#b188714b] -既設のDCがExpress Routeに対応していれば、追加費用は比較的少ない。 -盗聴の可能性は低いので、暗号化はされない(VPNとの併用は可能だが非推奨)。 **接続方法 [#w5a0534b] -パブリック・インターネットを経由しない。 -Express Routeに対応したDC経由で接続する。 --Azure ⇔ DCまでがExpress Routeで、 --DC ⇔ オンプレまでが専用線接続サービス。 **2つのタイプ [#i59122ba] ***Private Peering [#v0b07572] VNET(プライベートIP)に対する接続([[オンプレ延伸>FgCF (Financial-grade Cloud Fundamentals)#aed3c834]])。 ***Microsoft Peering [#p3463fc1] -以下のSaaSのパブリックIPへ(、L4 NATルータのプライベートIP経由で)、接続も可能。 --[[Office 365]] --[[Azure Active Directory]](+[[条件付きアクセス>Azure Active Directory 条件付きアクセス]]) --, etc. (サポート状況、利用承認の要否はSaaSによる -構築時のポイント --L4 NATルータで、プライベートIP → パブリックIPへ変換する。 --接続先SaaSはマルチテナントなので、~ L7 プロキシを使用して、自テナントへのアクセスのみに制限するなど。 -参考 --Microsoft Peering 導入時の注意事項 | Japan Azure IaaS Core Support Blog~ https://jpaztech.github.io/blog/network/considerations-of-microsoft-peering/ **代替サービス [#ka00a9f2] ***[[VPN Gateway]] [#vfc31adf] -[[Private Peering>#v0b07572]]の代替サービス -専用線は慣例で、実は不要なケースが多い。 --盗聴対策としては暗号化で十分 --帯域もDCまでの専用線接続サービス部分で問題が起き安い。 --以下の検討を行う。 ---インターネットの主要幹線の近くで接続するようにする。 ---ローカル-WANに、SD-WANを活用するようにする。 --→ [[要件の再確認>#s9cb02d0]] ***[[Azure Peering Service]] [#p4c5b0d3] -[[Microsoft Peering>#p3463fc1]]の代替サービス -いくらか違いがあるので用途に合わせて使い分ける。 **要件の再確認 [#s9cb02d0] ***インターネットを使わない [#y9dde71a] -意味 --パブリック IP を使わない。 --特定できない経路を通らない。 -検討項目 --パブリック IP を使わないと構成できないケースや、~ パブリック IP を使っても、セキュアに構成できるケース等がある。 --従って、重要なのは、~ 危険性の高い不特定ネットワークを通る通信、~ 特に下位 IX (Internet eXchange) を通るような通信~ を避けるように経路を構成すること。~ ***専用線で接続する [#xf96958f] -意味 --機密性(安全性)を確保したい。 --通信の安定性を確保したい。 -検討項目 --機密性(安全性)は暗号化通信により確保できるため、~ 機密性確保のために専用線を使う必要はない。 --通信の安定性は、確かに専用線(ER)では確保し易いが、~ [[Azure Peering Service>#p4c5b0d3]]であっても回線契約を~ 太くすれば十分な帯域と安定性が安価に確保できる。 ***閉域接続する [#w6580611] -意味 --必要ないところに経路上出ていけないようにする。 --接続先を特定のサービスに限定する。 -検討項目~ [[Microsoft Peering>#p3463fc1]]の先で他のテナントにも接続できるため、~ プロキシによる FQDN 絞り込みや AAD テナント制限が必要になる。 プロキシによる FQDN 絞り込みや AzAD テナント制限が必要になる。 *参考 [#p0e85944] -ちょっと違う専用線「ExpressRoute」とは?~ https://www.cloudou.net/expressroute/exr001/ ---- Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:セキュリティ]], [[:通信技術]], [[:Azure]]