![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>Azure]] --[[FgCF (Financial-grade Cloud Fundamentals)]] --[[Azureの管理>Azure Subscriptionの管理@エンプラ]] > [[FgCF>FgCF (Financial-grade Cloud Fundamentals)]] ---[[Azureの仮想ネットワーク]] * 目次 [#l7799fca] #contents *概要 [#rf77174c] |>|>|区分|>|CENTER:MS-DC内(既知の経路で到達する。)|>|CENTER:MS-DC外(到達経路を特定できない。)|h |1|2|3|~|~|~|~|h |ユーザ管理|ユーザ&br;アプリ|ユーザ・コード|CENTER:-|CENTER:PaaS、SaaSへの通信|>|CENTER:任意のDC外通信| |~|~|ユーザ・コード用&br;ランタイム&ライブラリ|~|・[[Azure Monitor>Azureの監視と管理#g2b1c80d]]&br;・内部パッケージ・リポジトリ&br;・Azureコンテナ・レジストリ([[ACR>AKSをセキュアに利用するためのテクニカルリファレンス#zbb28090]])|ディストリビュータ提供の&br;・外部パッケージ・リポジトリ&br;・外部コンテナ・レジストリ|その他のリポジトリ・レジストリ&br;・githubusercontent&br;・Google Storage| |MS管理|マネージド&br;サービス|CaaS&br;PaaS&br;SaaS&br;基盤|CENTER:未公開の通信|XaaS定義の通信&br;・[[Azure Active Directory]]&br;・[[ARM API>Azure Resource Manager (ARM)#v6cff5be]]&br;・Master API&br;・MSコンテナ・レジストリ([[MCR>AKSをセキュアに利用するためのテクニカルリファレンス#u4a1c468]])&br;・MSパッケージ・リポジトリ|CENTER:AKS&br;パッケージ・リポジトリ&br;(Akamai CDN上)|CENTER:-| |~|~|ゲストVM&br;(IaaS)|・[[仮想パブリック IP アドレス>#a53e987e]]&br;・[[Azure Managed ID]]エンドポイント|CENTER:-|ディストリビューションが&br;使用するパッチ、NTP通信|~| |~|物理DC&br;インフラ|ホストOS&br;(物理HW)|>|>|>|CENTER:ブラック・ボックス(非公開)| |>|>||CENTER:← 暗黙的通信 →|CENTER:← 明示的通信 →|CENTER:← 比較的安全な通信 →|CENTER:← 安全とは考え難い通信 →| *詳細 [#dc7656b5] **争点 [#ucf21f06] ***通信先のサービスの信頼性 [#t185c15e] -信頼できるサーバ / サービスか? -信頼できる場合も、[[マルチテナントのケースは要検討>#u0e20774]]。 ***マネージド・サービスの基盤系通信 [#p7997d73] -基本的には信頼する(未公開の通信を信頼しないとソモソモ使用不可能)。 -明示的な通信をチェックして、必要に応じて対応する([[Master APIのプライベート化>プライベートAKSクラスタを作成する。]]など)。 ***マルチテナント・サーバとの通信 [#u0e20774] マルチテナントのケースは、 -[[Azure Private Link]]によるプライベート化 -[[Azure Firewall]]などのFQDNフィルタリングによるプライベート化 などを検討する。 ***MS-DC外のサーバへの通信 [#pbab262b] -主に、ユーザ管理領域の通信に問題がないかを確認する。 -必要に応じ、[[外向き通信をロックダウン>#k6bde9a8]]する。 **その他 [#u4684d5b] ***仮想パブリック IP アドレス [#a53e987e] 168.63.129.16 -このアドレスが、VNET内のDHCP(やDNS)の機能を提供する。 -他にも、VMエージェントとの通信に利用されている。 -別のVNETの名前解決には、 --[[Hub>Azureの仮想ネットワーク#y5187df6]]に自前のDNSを構築するか、 --ローカルDNSゾーンを使用する。 ***外向き通信のロックダウン [#k6bde9a8] -[[NSG>Network Security Group (NSG)]]~ NSGによる送信(インターネット通信)の拒否 -[[UDR>Azureの仮想ネットワーク#e8a3a7cc]] --UDRによる既定のルート(インターネット通信)の拒否 --NAにルーティングしてのフィルタリング ---[[Azure Firewall]] ---オンプレのプロキシそのもの ---オンプレのプロキシと同型のNVA ※ Azureのエッジは、基幹線に近い所に繋がっているので、~ オンプレのプロキシ(オンプレを迂回する)より安全。 *参考 [#sa288a66] -Azure仮想マシンとDNS - 168.63.129.16の謎に迫る - Qiita~ https://qiita.com/ksasaki/items/a18060701daf81ce3031 -IP アドレス 168.63.129.16 とは | Microsoft Docs~ https://docs.microsoft.com/ja-jp/azure/virtual-network/what-is-ip-address-168-63-129-16 **nakama [#f736fb54] ※ [[Azure 仮想ネットワーク基礎>Azureの仮想ネットワーク#r4c340ad]]中の~ 「隔離型 VNET 環境からの外部通信設計の整理方法」にも同様のトピックが含まれる。 ---- Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:セキュリティ]], [[:通信技術]], [[:Azure]]
