Azureのアウトバウンド設計
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>Azure]]
--[[Azureの管理>Azure Subscriptionの管理@エンプラ]] > [[F...
---[[Azureの仮想ネットワーク]]
* 目次 [#l7799fca]
#contents
*概要 [#rf77174c]
|>|>|区分|>|CENTER:MS-DC内(既知の経路で到達する。)|>|CE...
|1|2|3|~|~|~|~|h
|ユーザ管理|ユーザ&br;アプリ|ユーザ・コード|CENTER:-|CEN...
|~|~|ユーザ・コード用&br;ランタイム&ライブラリ|~|・[[Azu...
|MS管理|マネージド&br;サービス|CaaS&br;PaaS&br;SaaS&br;基...
|~|~|ゲストVM&br;(IaaS)|・[[仮想パブリック IP アドレス>...
|~|物理DC&br;インフラ|ホストOS&br;(物理HW)|>|>|>|CENTER...
|>|>||CENTER:← 暗黙的通信 →|CENTER:← 明示的通信 →|CENTER:...
*詳細 [#dc7656b5]
**争点 [#ucf21f06]
***通信先のサービスの信頼性 [#t185c15e]
-信頼できるサーバ / サービスか?
-信頼できる場合も、[[マルチテナントのケースは要検討>#u0e2...
***マネージド・サービスの基盤系通信 [#p7997d73]
-基本的には信頼する(未公開の通信を信頼しないとソモソモ使...
-明示的な通信をチェックして、必要に応じて対応する([[Mast...
***マルチテナント・サーバとの通信 [#u0e20774]
マルチテナントのケースは、
-[[Azure Private Link]]によるプライベート化
-[[Azure Firewall]]などのFQDNフィルタリングによるプライベ...
などを検討する。
***MS-DC外のサーバへの通信 [#pbab262b]
-主に、ユーザ管理領域の通信に問題がないかを確認する。
-必要に応じ、[[外向き通信をロックダウン>#k6bde9a8]]する。
**その他 [#u4684d5b]
***仮想パブリック IP アドレス [#a53e987e]
168.63.129.16
-このアドレスが、VNET内のDHCP(やDNS)の機能を提供する。
-他にも、VMエージェントとの通信に利用されている。
-別のVNETの名前解決には、
--[[Hub>Azureの仮想ネットワーク#y5187df6]]に自前のDNSを構...
--ローカルDNSゾーンを使用する。
***外向き通信のロックダウン [#k6bde9a8]
-[[NSG>Network Security Group (NSG)]]~
NSGによる送信(インターネット通信)の拒否
-[[UDR>Azureの仮想ネットワーク#e8a3a7cc]]
--UDRによる既定のルート(インターネット通信)の拒否
--NAにルーティングしてのフィルタリング
---[[Azure Firewall]]
---オンプレのプロキシそのもの
---オンプレのプロキシと同型のNVA
※ Azureのエッジは、基幹線に近い所に繋がっているので、~
オンプレのプロキシ(オンプレを迂回する)より安全。
*参考 [#sa288a66]
-Azure仮想マシンとDNS - 168.63.129.16の謎に迫る - Qiita~
https://qiita.com/ksasaki/items/a18060701daf81ce3031
-IP アドレス 168.63.129.16 とは | Microsoft Docs~
https://docs.microsoft.com/ja-jp/azure/virtual-network/wh...
**nakama [#f736fb54]
※ [[Azure 仮想ネットワーク基礎>Azureの仮想ネットワーク#r4...
「隔離型 VNET 環境からの外部通信設計の整理方法」にも同...
----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:セキュ...
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>Azure]]
--[[Azureの管理>Azure Subscriptionの管理@エンプラ]] > [[F...
---[[Azureの仮想ネットワーク]]
* 目次 [#l7799fca]
#contents
*概要 [#rf77174c]
|>|>|区分|>|CENTER:MS-DC内(既知の経路で到達する。)|>|CE...
|1|2|3|~|~|~|~|h
|ユーザ管理|ユーザ&br;アプリ|ユーザ・コード|CENTER:-|CEN...
|~|~|ユーザ・コード用&br;ランタイム&ライブラリ|~|・[[Azu...
|MS管理|マネージド&br;サービス|CaaS&br;PaaS&br;SaaS&br;基...
|~|~|ゲストVM&br;(IaaS)|・[[仮想パブリック IP アドレス>...
|~|物理DC&br;インフラ|ホストOS&br;(物理HW)|>|>|>|CENTER...
|>|>||CENTER:← 暗黙的通信 →|CENTER:← 明示的通信 →|CENTER:...
*詳細 [#dc7656b5]
**争点 [#ucf21f06]
***通信先のサービスの信頼性 [#t185c15e]
-信頼できるサーバ / サービスか?
-信頼できる場合も、[[マルチテナントのケースは要検討>#u0e2...
***マネージド・サービスの基盤系通信 [#p7997d73]
-基本的には信頼する(未公開の通信を信頼しないとソモソモ使...
-明示的な通信をチェックして、必要に応じて対応する([[Mast...
***マルチテナント・サーバとの通信 [#u0e20774]
マルチテナントのケースは、
-[[Azure Private Link]]によるプライベート化
-[[Azure Firewall]]などのFQDNフィルタリングによるプライベ...
などを検討する。
***MS-DC外のサーバへの通信 [#pbab262b]
-主に、ユーザ管理領域の通信に問題がないかを確認する。
-必要に応じ、[[外向き通信をロックダウン>#k6bde9a8]]する。
**その他 [#u4684d5b]
***仮想パブリック IP アドレス [#a53e987e]
168.63.129.16
-このアドレスが、VNET内のDHCP(やDNS)の機能を提供する。
-他にも、VMエージェントとの通信に利用されている。
-別のVNETの名前解決には、
--[[Hub>Azureの仮想ネットワーク#y5187df6]]に自前のDNSを構...
--ローカルDNSゾーンを使用する。
***外向き通信のロックダウン [#k6bde9a8]
-[[NSG>Network Security Group (NSG)]]~
NSGによる送信(インターネット通信)の拒否
-[[UDR>Azureの仮想ネットワーク#e8a3a7cc]]
--UDRによる既定のルート(インターネット通信)の拒否
--NAにルーティングしてのフィルタリング
---[[Azure Firewall]]
---オンプレのプロキシそのもの
---オンプレのプロキシと同型のNVA
※ Azureのエッジは、基幹線に近い所に繋がっているので、~
オンプレのプロキシ(オンプレを迂回する)より安全。
*参考 [#sa288a66]
-Azure仮想マシンとDNS - 168.63.129.16の謎に迫る - Qiita~
https://qiita.com/ksasaki/items/a18060701daf81ce3031
-IP アドレス 168.63.129.16 とは | Microsoft Docs~
https://docs.microsoft.com/ja-jp/azure/virtual-network/wh...
**nakama [#f736fb54]
※ [[Azure 仮想ネットワーク基礎>Azureの仮想ネットワーク#r4...
「隔離型 VNET 環境からの外部通信設計の整理方法」にも同...
----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:セキュ...
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
