Azure ランディング ゾーンの Azure Virtual Network Manager
この記事は、Virtual Network Manager を使用して、すべてのアプリケーションの移行、現代化、イノベーションに大規模に対応するための Azure ランディング ゾーンの設計原則を実装する方法について説明します。 Azure ランディング ゾーンの概念アーキテクチャでは、Azure Virtual WAN に基づくネットワーク トポロジか、従来のハブアンドスポーク アーキテクチャに基づくネットワーク トポロジの 2 つのネットワーク トポロジのいずれかが推奨されています。
Azure にオンプレミス アプリケーションを移行するハイブリッド接続が必要な場合などに、Virtual Network Manager を使用して、時間をかけてビジネス要件の変更をする際のネットワークの変更を拡張し、実装することができます。 多くの場合、Azure にデプロイされたリソースを中断することなく、ネットワークの変更を拡張して実装できます。
Virtual Network Manager を使用すると、既存の仮想ネットワークと新しい仮想ネットワークの両方に対して、サブスクリプションをまたぐ以下の 3 種類のトポロジを作成できます。
- ハブアンドスポーク トポロジ
- メッシュ トポロジ (プレビュー)
- スポーク間の直接接続を備えたハブアンドスポーク トポロジ
Virtual Network Manager では、プライベート プレビューでの Virtual WAN がサポートされます。
Virtual Network Manager で直接接続されたハブアンドスポーク トポロジには、相互に直接接続するスポークがあります。 接続されたグループ 機能により、同じ ネットワーク グループ 内のスポーク仮想ネットワーク間の直接接続が自動的かつ双方向に可能になります。 接続された 2 つのグループは、同じ仮想ネットワークを持つことができます。
Virtual Network Manager を使用すると、仮想ネットワークを静的または動的に特定のネットワーク グループに追加できます。 仮想ネットワーク を特定のネットワーク グループに追加して、Virtual Network Manager の接続構成に基づいて目的のトポロジを定義して作成します。
複数のネットワーク グループを作成して、仮想ネットワークのグループを直接接続から分離できます。 各ネットワーク グループでは、スポーク間接続に対して同じリージョンと複数リージョンのサポートが提供されします。 Virtual Network Manager で定義された制限内に留まります。 詳細については、「Virtual Network Manager に関するよくあるご質問」を参照してください。
セキュリティの観点からは、Virtual Network Manager は、ネットワーク セキュリティ グループ内で定義されている規則に関係なく、トラフィック フローを一元的に拒否または許可するための セキュリティ管理者規則 を適用する効率的な方法を提供します。 この機能によって、ネットワーク セキュリティ管理者は、アクセスの制御を適用し、アプリケーション所有者が NSG 内で独自の下位レベルの規則を管理できるようにすることができます。
Virtual Network Manager を使用すると、仮想ネットワークをグループ化できます。 その後、個々の仮想ネットワークではなく、そのグループに対して構成を適用できます。 この機能を使用して、きめ細かな制御を失うことなく、接続性、構成とトポロジ、セキュリティ規則、1 つ以上のリージョンへのデプロイを同時に管理します。
環境、チーム、場所、業種、または自分のニーズに合ったその他の機能ごとにネットワークをセグメント化できます。 ネットワーク グループを静的または動的に定義するには、グループ メンバーシップを管理する条件のセットを作成します。
設計上の考慮事項
従来のハブ アンド スポーク デプロイでは、仮想ネットワーク ピアリング接続を手動で作成し保守します。 Virtual Network Manager では、仮想ネットワーク ピアリング用の自動化レイヤーが導入されています。これにより、メッシュなどの大規模で複雑なネットワーク トポロジを大規模に管理することがより簡単になります。 詳細については、「ネットワーク グループの概要」を参照してください。
さまざまなビジネス機能のセキュリティ要件によって、ネットワーク グループを作成する必要性が決まります。 ネットワーク グループは、手動で、または条件付きステートメントを使用して選択した、一連の仮想ネットワークです。 ネットワーク グループを作成するときは、ポリシーを指定する必要があります。Virtual Network Manager でポリシーを作成することもできます (Virtual Network Manager がそれを行うことが明示的に許可される場合)。 このポリシーによって、Virtual Network Manager は変更に関する通知を受け取ることができます。 既存の Azure ポリシー イニシアティブを更新するには、Virtual Network Manager リソース内のネットワーク グループに対して変更をデプロイする必要があります。
適切なネットワーク グループを設計するには、ネットワークのどの部分が共通のセキュリティ特性を共有しているかを評価する必要があります。 たとえば、Corporate と Online 用のネットワーク グループを作成して、それらの接続性とセキュリティ規則を大規模に管理できます。
組織のサブスクリプションをまたぐ複数の仮想ネットワークが同じセキュリティ属性を共有している場合、Virtual Network Manager を使用してそれらを効率的に適用できます。 たとえば、HR や Finance などの事業単位で使用されるシステムに対しては異なる管理規則を適用する必要があるため、それらのシステムはすべて個別のネットワーク グループに配置する必要があります。
Virtual Network Manager は、サブネット レベルで適用される NSG 規則よりも高い優先度を持つセキュリティ管理者規則を一元的に適用できます。 (この機能はプレビュー段階です。) この機能により、ネットワーク チームとセキュリティ チームは、会社のポリシーを効果的に適用し、大規模なセキュリティ ガード レールを作成できます。 また、これにより、製品チームは、ランディング ゾーン サブスクリプション内の NSG の制御を同時に維持できます。
Virtual Network Manager の セキュリティ管理者規則 機能を使用すると、サブネット レベルまたはネットワーク インターフェイス レベルでの NSG 構成に関係なく、特定のネットワーク フローを明示的に許可または拒否できます。 この機能を使用して、たとえば、管理サービスのネットワーク フローが常に許可されるようにできます。 アプリケーション チームが制御する NSG は、これらの規則をオーバーライドできません。
設計の推奨事項
Virtual Network Manager のスコープを定義します。 ルート管理グループまたはテナントで組織レベルの規則を適用するセキュリティ管理者規則を適用します。 この戦略階層により、既存のリソースと新しいリソース、および関連付けられているすべての管理グループに対して規則が階層的かつ自動的に適用されます。
中間ルート管理グループ (たとえば、Contoso など) の スコープ を使用して、接続サブスクリプションに Virtual Network Manager インスタンスを作成します。 このインスタンスでセキュリティ管理者の機能を有効にします。 この構成は、Azure ランディング ゾーン階層内のすべての仮想ネットワークとサブネットにわたって適用されるセキュリティ管理者規則を定義できるようにし、NSG をアプリケーション ランディング ゾーンの所有者とチームに民主化するのに役立ちます。
仮想ネットワークを静的にグループ化してネットワークをセグメント化します。これは手動プロセスであるか、ポリシー ベースのプロセスである動的にグループ化されます。
スポークが、ハブ内の共通サービスまたはネットワーク仮想アプライアンス (NVA) にアクセスする必要がある場合だけでなく、短い待機時間と高スループットでお互いと頻繁に通信する必要がある場合も、そのようなスポークを選択してスポーク間の直接接続を有効にします。
リージョンをまたぐすべての仮想ネットワークがお互いに通信する必要がある場合は、グローバル メッシュを有効にします。
規則コレクション内の各セキュリティ管理者規則に優先度の値を割り当てます。 値が小さいほど、その規則の優先度は高くなります。
セキュリティ管理者規則 を使用して、アプリケーション チームが制御する NSG 構成に関係なく、ネットワーク フローを明示的に許可または拒否します。 セキュリティ管理者ルールを使用して、NSG とそのルールの制御をアプリケーション チームに完全に委任します。