単一リージョンシナリオ - Azure Virtual WAN での Private Link と DNS

Azure Private Link

Azure DNS

Azure Firewall

Azure Virtual WAN

この記事では、プライベートエンドポイント経由で PaaS リソースを単一リージョン内の特定のワークロードに公開する方法について説明します。このシナリオでは、ネットワークトポロジはハブスポークであり、ハブは Azure Virtual WAN ハブです。

重要

この記事は、Virtual WAN での Azure Private Link と Azure DNS に関するシリーズの一部であり、シナリオガイドで定義されているネットワークトポロジに基づいています。ベースネットワークアーキテクチャと主な課題については、最初に概要ページをご覧ください。

シナリオ

図 1: Private Link と Azure DNS を使用した Virtual WAN の単一リージョンシナリオ - 課題

このアーキテクチャの Visio ファイルをダウンロードします。 このセクションでは、シナリオを定義し、このシナリオの課題を再定義します (課題は、概要ページの機能しない例と同じです)。最初のシナリオアーキテクチャは、概要ガイドで定義されている開始ネットワークトポロジに基づいています。追加した点と変更した点は次のとおりです。

1 つの仮想ハブを持つリージョンは 1 つだけあります。
パブリックネットワークアクセスが無効になっている Azure Storage アカウントが、リージョン内にあります。このシナリオでは、1 つのワークロードのみがストレージアカウントにアクセスすることを前提としています。
最初は、仮想ハブに接続された単一仮想ネットワークがあります。
仮想ネットワークには、仮想マシン (VM) クライアントを含んだワークロードサブネットがあります。
仮想ネットワークには、ストレージアカウントのプライベートエンドポイントを含んだプライベートエンドポイントサブネットが含まれます。

成功した結果

Azure Virtual Machine クライアントは、同じ仮想ネットワーク内にあるストレージアカウントのプライベートエンドポイントを介して Azure Storage アカウントに接続でき、その他のストレージアカウントへのアクセスはすべてブロックされます。

障害

ストレージアカウントの完全修飾ドメイン名 (FQDN) を、プライベートエンドポイントのプライベート IP アドレスに解決できる DNS レコードが DNS フロー内に必要です。概要で示されているように、シナリオに関する課題には次の 2 つの部分があります。

ストレージアカウントに必要な DNS レコードを保持するプライベート DNS ゾーンを、仮想ハブにリンクすることができません。
プライベート DNS ゾーンをワークロードネットワークにリンクできるので、機能すると思うかもしれません。残念ながら、接続されている各仮想ネットワークで、Azure Firewall DNS プロキシを使用するように DNS サーバーが構成されていることが、ベースラインアーキテクチャで規定されています。

プライベート DNS ゾーンを仮想ハブにリンクすることはできず、Azure Firewall DNS プロキシを使用するように仮想ネットワークが構成されているため、Azure DNS サーバーには、ストレージアカウントの (FQDN) をプライベートエンドポイントのプライベート IP アドレスに解決するメカニズムはありません。そのため、クライアントが誤った DNS 応答を受け取る結果になります。

DNS フローと HTTP フロー

このワークロードについて、DNS と結果の HTTP 要求フローを確認しましょう。このレビューは、前に説明した懸案事項の視覚化に役立ちます。

図 2: Private Link と Azure DNS を使用した Virtual WAN の単一リージョンシナリオ - 課題

このアーキテクチャの Visio ファイルをダウンロードします。

DNS フロー

クライアントからの stgworkload00.blob.core.windows.net に関する DNS クエリは、ピアリングされたリージョンハブ内の Azure Firewall である構成済みの DNS サーバーに送信されます。
要求は Azure Firewall によって Azure DNS にプロキシされます。プライベート DNS ゾーンを仮想ハブにリンクすることはできないので、FQDN をプライベートエンドポイントのプライベート IP アドレスに解決する方法が Azure DNS にはわかりません。 FQDN をストレージアカウントのパブリック IP アドレスに解決する方法はわかっているので、ストレージアカウントのパブリック IP アドレスが返されます。

HTTP フロー

DNS の結果、ストレージアカウントのパブリック IP アドレスが得られるので、クライアントは stgworkload00.blob.core.windows.net に対して HTTP 要求を発行します。
要求はストレージアカウントのパブリック IP アドレスに送信されます。この要求は、さまざまな理由で失敗します。
- ワークロードサブネット上の NSG で、このインターネットへのトラフィックが許可されない場合があります。
- インターネットへのエグレストラフィックをフィルター処理している Azure Firewall には、このフローをサポートするアプリケーションルールがない可能性があります。
- NSG と Azure Firewall の両方にこの要求フローに対する許容量がある場合でも、ストレージアカウントはすべてのパブリックネットワークアクセスをブロックするように構成されます。この試みは最終的には、プライベートエンドポイント経由でストレージアカウントへのアクセスのみを許可するというここでの目標に違反します。

ソリューション - DNS の仮想ハブ拡張機能を確立する

課題のソリューションは、エンタープライズネットワークチームが DNS 用の仮想ハブ拡張機能を実装するというものです。 DNS 仮想ハブ拡張機能の単一責任は、この開始 Virtual WAN ハブトポロジ内のアーキテクチャでプライベート DNS ゾーンを使用する必要があるワークロードチームを有効にすることです。

DNS 拡張機能は、リージョン仮想ハブとピアリングされた仮想ネットワークスポークとして実装されます。プライベート DNS ゾーンをこの仮想ネットワークにリンクさせることができます。仮想ネットワークには、この仮想ネットワーク外のサービス (Azure Firewall など) が、リンクされているすべてのプライベート DNS ゾーンの値に対してクエリを実行して受信できるようにする Azure DNS Private Resolver も含まれています。 DNS の一般的な仮想ハブ拡張機能のコンポーネントと、必要な構成変更を次に示します。

リージョンの仮想ハブとピアリングされる新しいスポーク仮想ネットワーク。このスポークは他のスポークと同様に構成されます。つまり、既定の DNS サーバーとルーティング規則により、リージョンハブで Azure Firewall が強制的に使用されます。
DNS Private Resolver リソースは、スポーク仮想ネットワーク内の受信エンドポイントと共にデプロイされます。
privatelink.blob.core.windows.net という名前のプライベート DNS ゾーンリソースが作成されます。
- このゾーンには、ストレージアカウントの FQDN 名からストレージアカウントのプライベートエンドポイントのプライベート IP アドレスにマップされる A レコードが含まれます。
- プライベート DNS ゾーンは、スポーク仮想ネットワークにリンクされます。
- ロールベースのアクセス制御 (RBAC) で許可されている場合は、自動登録またはサービスマネージドエントリを使用して、これらの DNS レコードを維持できます。そうでない場合は、手動で維持できます。
リージョンハブでは、DNS Private Resolver の受信エンドポイントを指すように、Azure Firewall の DNS サーバーが変更されます。

次の図には、このアーキテクチャを、DNS フローおよび HTTP フローの両方と共に示しています。

図 3: Private Link と DNS を使用した Virtual WAN の単一リージョンシナリオの実際のソリューション

このアーキテクチャの Visio ファイルをダウンロードします。

DNS の仮想ハブ拡張機能を確立するための DNS フロー

クライアントからの stgworkload00.blob.core.windows.net に関する DNS クエリは、ピアリングされたリージョンハブ内の Azure Firewall である構成済みの DNS サーバー (この場合は 10.100.0.132) に送信されます。

図 4: ワークロード仮想ネットワークの DNS サーバー構成
Azure Firewall により、ハブ拡張機能のリージョンの Azure DNS Private Resolver (この場合は 10.200.1.4。これは、DNS Private Resolver の受信エンドポイントのプライベート IP アドレス) に要求がプロキシされます。

DNS プロキシが有効で、DNS サーバーが [カスタム] に設定されている Azure Firewall ポリシーのスクリーンショット。このエントリは、DNS Private Resolver 入力エンドポイントのプライベート IP アドレスを指します。

図 5: Azure Firewall ポリシーでの DNS 構成
DNS Private Resolver は、要求を Azure DNS にプロキシします。プライベート DNS ゾーンは受信エンドポイントを含む仮想ネットワークにリンクされているため、Azure DNS では、これらのリンクされたプライベート DNS ゾーンでレコードを使用できます。

図 6: プライベート DNS ゾーンの仮想ネットワークリンク
Azure DNS では、リンクされたプライベート DNS ゾーンを調べ、stgworkload00.blob.core.windows.net の FQDN を 10.1.2.4 (ストレージアカウントのプライベートエンドポイントの IP アドレス) に解決します。この応答は Azure Firewall DNS に提供され、そこからストレージアカウントのプライベート IP アドレスがクライアントに返されます。

図 7: ストレージアカウントプライベートエンドポイントの A レコードを伴うプライベート DNS ゾーン

HTTP フロー

DNS の結果、ストレージアカウントのプライベート IP アドレスが得られるので、クライアントは stgworkload00.blob.core.windows.net に対して HTTP 要求を発行します。
要求はストレージアカウントのプライベート IP アドレス (10.1.2.4) に送信されます。クライアントサブネットまたはプライベートエンドポイントサブネット上のローカルネットワークセキュリティグループに対して競合する制限がない場合、この要求は正常にルーティングされます。プライベートエンドポイントがクライアントと同じ仮想ネットワーク内にあるため、Azure Firewall でプライベートトラフィックがセキュリティ保護されていたとしても、要求はルーティングされないという点を理解しておくことが重要です。つまり、Azure Firewall でこのシナリオを考慮する必要はありません。
ストレージアカウントへのプライベート接続が、Private Link サービスを介して確立されます。ストレージアカウントではプライベートネットワークアクセスのみが許可され、HTTP 要求が受け入れられます。

DNS 用の仮想ハブ拡張機能に関する考慮事項

企業向けの拡張機能を実装する場合は、次のガイダンスを考慮してください。

DNS 拡張機能のデプロイは、ワークロードチームのタスクではありません。このタスクはエンタープライズネットワーク機能であり、これらの個人と一緒に実装を決定する必要があります。
プライベートエンドポイント DNS レコードを構成する PaaS サービスを追加する前に、DNS 拡張機能とプライベート DNS ゾーンが存在している必要があります。
仮想ハブ拡張機能はリージョンリソースであり、リージョン間トラフィックを回避し、プライベートエンドポイントの DNS 解決が必要なリージョンハブごとにハブ拡張機能を確立します。

スポーク仮想ネットワーク

単一責任の原則に従って、DNS 拡張機能の仮想ネットワークには、DNS 解決に必要なリソースのみを含める必要があります。このネットワークを他のリソースと共有しないでください。
DNS 拡張機能の仮想ネットワークは、「スポークネットワークの追加」の同じ構成ガイドラインに従う必要があります。

Azure DNS Private Resolver

各リージョンには、1 つの DNS Private Resolver を含む 1 つの仮想ハブ DNS 拡張機能が必要です。
このシナリオでは、DNS Private Resolver には受信エンドポイントのみが必要であり、送信エンドポイントは必要ありません。受信エンドポイントのプライベート IP は、Azure Firewall ポリシーのカスタム DNS サービスに設定されているものです (図 5 を参照)。
回復性を高め負荷処理を増強するために、プロキシによる解決のために Azure DNS プロキシを複数の IP アドレスで構成して、リージョンごとに複数の DNS Private Resolver インスタンスをデプロイすることができます。

図 8: DNS Private Resolver の受信エンドポイント
DNS Private Resolver の仮想ネットワーク制限に従ってください。
DNS Private Resolver の受信エンドポイントのサブネット内のネットワークセキュリティグループでは、リージョンハブからポート 53 への UDP トラフィックのみが許可される必要があります。他の受信トラフィックと送信トラフィックをすべてブロックする必要があります。

プライベート DNS ゾーン

Azure DNS Private Resolver では Azure DNS を介して DNS を解決しているため、受信サブネットの仮想ネットワークにリンクされているプライベート DNS ゾーンはすべて Azure DNS で取得できます。

プライベート DNS ゾーンを DNS 仮想ネットワークの仮想ハブ拡張機能にリンクします。
プライベートエンドポイントのプライベート DNS ゾーンの管理に関するガイダンスに従ってください。
PaaS リソース所有者が独自のエントリを管理することを想定している場合は、それに応じて RBAC を構成するか、Private Link と DNS の大規模な統合からのソリューションなどを実装します。

シナリオに関する考慮事項

適切に管理された仮想ハブの DNS 拡張機能が用意できたので、ワークロードに戻って、このシナリオでの成功した結果の目標の実現に役立つ追加ポイントに対処しましょう。

ストレージアカウント

[ネットワーク接続] の下で [パブリックネットワークアクセス] を [無効] に設定して、ストレージアカウントにプライベートエンドポイント経由でのみアクセスできるようにします。
ワークロードの仮想ネットワーク内の専用プライベートエンドポイントサブネットにプライベートエンドポイントを追加します。
ワークロード Log Analytics ワークスペースに Azure Diagnostics を送信します。アクセスログを使用して、構成問題のトラブルシューティングに役立てることができます。

プライベートエンドポイントセキュリティ

このソリューションの要件は、このストレージアカウントの公開を制限することです。 PaaS リソースへのパブリックインターネットアクセスを削除したら、プライベートネットワークのセキュリティに対処する必要があります。

Azure Firewall では、Virtual WAN ハブスポークトポロジでプライベートトラフィックをセキュリティで保護している場合、既定でスポーク間接続を拒否します。この既定の設定により、他のスポークネットワークのワークロードが、ワークロード仮想ネットワーク内のプライベートエンドポイント (および他のリソース) にアクセスできなくなります。完全に仮想ネットワーク内にあるトラフィックは、Azure Firewall 経由でルーティングされません。仮想ネットワーク内のアクセスを制御し、より詳細な保護を追加するには、次のネットワークセキュリティグループ (NSG) の推奨事項を検討してください。

アプリケーションセキュリティグループ (ASG) を作成して、受信または送信アクセスのニーズが似ているリソースをグループ化します。このシナリオでは、ストレージにアクセスする必要があるクライアント VM に 1 つの ASG を、アクセスされるストレージアカウントに 1 つの ASG を使用します。「プライベートエンドポイントを使用してアプリケーションセキュリティグループ (ASG) を構成する」を参照してください。
ワークロード VM を含むサブネットに NSG があることを確認します。
プライベートエンドポイントを含むサブネットに NSG があることを確認します。

ワークロード VM を含むサブネットの NSG ルール

ワークロードで必要になるその他のネットワークルールに加えて、次のルールを構成します。

送信ルール:
- コンピューティング ASG によるストレージアカウント ASG へのアクセスを許可します。
- ポート 53 で UDP 用のリージョンハブ Azure Firewall のプライベート IP へのアクセスをコンピューティング ASG に許可します。

*図 9: ワークロードサブネットの NSG ルール

プライベートエンドポイントを含むサブネットの NSG ルール

使用している仮想ネットワーク内の小規模な専用サブネットでプライベートエンドポイントを公開することをお勧めします。その理由の 1 つは、トラフィック制御とセキュリティを強化するために、ユーザー定義のルートと、ネットワークセキュリティグループのプライベートエンドポイント用ネットワークポリシーを適用できるということにあります。

このシナリオでは、非常に制限の厳しいネットワークセキュリティグループを適用できます。

受信ルール:
- コンピューティング ASG によるストレージアカウント ASG へのアクセスを許可する
- その他のすべてのトラフィックを拒否する
送信ルール:
- すべてのトラフィックを拒否する

*図 10: プライベートエンドポイントサブネットの NSG ルール

動作中のプライベートエンドポイントセキュリティ

次の図は、概説された考慮事項に従って多層防御セキュリティを実現する方法を示しています。この図は、2 つ目の VM を持つ 2 つ目のスポーク仮想ネットワークを示しています。そのワークロードはプライベートエンドポイントにアクセスできません。

図 11: Private Link と DNS を使用した Virtual WAN の単一リージョンシナリオの実際のソリューション

このアーキテクチャの Visio ファイルをダウンロードします。

DNS フロー

DNS フローは、ソリューションフローとまったく同じです。

強調すべき重要な点は、FQDN がパブリック IP アドレスではなくプライベート IP アドレスに解決されるということです。この解決は、すべてのスポークが常にこのサービスのプライベート IP アドレスを受信することを意味します。別のシナリオでは、このアプローチを使用して、複数の使用ワークロードにわたって PaaS サービスを共有する方法について説明しています。この単一ワークロードシナリオでは、これは問題ではありません。

HTTP フロー

DNS の結果、ストレージアカウントのプライベート IP アドレスが得られるので、クライアントは stgworkload00.blob.core.windows.net に対して HTTP 要求を発行します。
要求はストレージアカウントのプライベート IP アドレスに送信されます。この要求は、さまざまな理由で適切に失敗します。
- Azure Firewall はプライベートトラフィックをセキュリティで保護するように構成されているため、要求は Azure Firewall により処理されます。 Azure Firewall で、フローを許可するネットワークまたはアプリケーションルールが設定されていない限り、Azure Firewall は要求をブロックします。
- プライベートトラフィックをセキュリティで保護するために、ハブで Azure Firewall を使用する必要はありません。たとえば、ネットワークでプライベートなリージョン間トラフィックがサポートされている場合でも、プライベートエンドポイントサブネット上の NSG は、ワークロードをホストする仮想ネットワーク内のコンピューティング ASG ソース以外のすべてのトラフィックをブロックするように構成されています。

まとめ

この記事では、VM クライアントが Azure Storage アカウントに、そのストレージアカウントのプライベートエンドポイントを介して接続するシナリオについて説明します。エンドポイントは、クライアントと同じ仮想ネットワーク内にあります。ストレージアカウントへのその他のアクセスはすべてブロックされます。このシナリオでは、ストレージアカウントの完全修飾ドメイン名 (FQDN) を、プライベートエンドポイントのプライベート IP アドレスに解決できる DNS レコードが DNS フロー内に必要です。

このシナリオの開始ネットワークトポロジでは、次の 2 つの課題が導入されます。

ストレージアカウントに必要な DNS レコードを伴うプライベート DNS ゾーンを仮想ハブにリンクすることはできません。
ワークロードサブネットへのプライベート DNS ゾーンのリンクは機能しません。開始ネットワークトポロジでは、既定の DNS サーバーとルーティング規則によって、リージョンハブで Azure Firewall が強制的に使用される必要があります。

提案されるソリューションは、エンタープライズネットワークチームが DNS 用の仮想ハブ拡張機能を実装することです。この拡張機能を使用すると、エンタープライズネットワークチームは、共有 DNS サービスを、それらを必要とするワークロードスポークに公開できます。

次の方法で共有

単一リージョンシナリオ - Azure Virtual WAN での Private Link と DNS