ネットワーク エンジニア向けの Azure

  • [アーティクル]

従来のネットワーク エンジニアは、ルーター、スイッチ、ケーブル、ファイアウォールなどの物理的な資産を基盤とするインフラストラクチャの構築に取り組んできました。 論理層には、仮想 LAN (VLAN)、スパニング ツリー プロトコル (STP)、ルーティング プロトコル (RIP、OSPF、BGP) を構成していました。 ネットワークの管理には、管理ツールと CLI を使用していました。 クラウドでのネットワークは、ネットワーク エンドポイントが論理的であり、ルーティング プロトコルの使用が最小である場合とは異なります。 今後、Azure で資産を構成および管理するためには、Azure Resource Manager API、Azure CLI、および PowerShell を使用することになります。 Azure ネットワークの基本的なテナントを理解することで、クラウドでのネットワークの取り組みを開始します。

仮想ネットワーク

ネットワークをボトムアップで設計する場合は、いくつかの基本情報を収集します。 この情報には、ホストの数、ネットワーク デバイス、サブネットの数、サブネット間のルーティング、VLAN などの分離ドメインなどがあります。 この情報は、ネットワークとセキュリティ デバイスのサイズの調整と、アプリケーションやサービスをサポートするアーキテクチャの作成に役立ちます。

アプリケーションとサービスを Azure にデプロイする予定の場合は、まず、Azure に仮想ネットワークと呼ばれる論理境界を作成します。 この仮想ネットワークは、物理的なネットワーク境界に似ています。 仮想ネットワークであるため、物理的な周辺機器は必要ありませんが、IP アドレス、IP サブネット、ルーティング、ポリシーなどの論理エンティティを計画する必要があります。

Azure で仮想ネットワークを作成する場合は、IP 範囲 (10.0.0.0/16) を使用して事前構成されています。 この範囲は固定していません。独自の IP 範囲を定義できます。 IPv4 と IPv6 の両方のアドレス範囲を定義できます。 仮想ネットワーク用に定義された IP 範囲は、インターネットにアドバタイズされません。 IP 範囲から複数のサブネットを作成することができます。 これらのサブネットは、仮想ネットワーク インターフェイス (vNIC) に IP アドレスを割り当てるために使用されます。 各サブネットの最初の 4 つのアドレスは予約済みのため、IP の割り当てには使用できません。 パブリック クラウドには VLAN の概念がありません。 ただし、定義したサブネットに基づいて、仮想ネットワーク内に分離を作成できます。

すべての仮想ネットワーク アドレス空間を含む 1 つの大きなサブネットを作成することも、複数のサブネットを作成することもできます。 ただし、仮想ネットワーク ゲートウェイを使用する場合、Azure では "ゲートウェイ サブネット" という名前のサブネットを作成する必要があります。 Azure では、このサブネットを使用して、仮想ネットワーク ゲートウェイに IP アドレスを割り当てます。

IP の割り当て

IP アドレスをホストに割り当てる場合は、実際に IP をネットワーク インターフェイス カード (NIC) に割り当てます。 Azure では 2 種類の IP アドレスを NIC に割り当てることができます。

  • パブリック IP アドレス - インターネットのほか、仮想ネットワークに接続されていない他の Azure リソースとの (ネットワーク アドレス変換 (NAT) を使用しない) 送受信に使用します。 NIC へのパブリック IP アドレスの割り当てはオプションです。 パブリック IP アドレスは、Microsoft IP アドレス空間に属します。
  • プライベート IP アドレス - 仮想ネットワーク、オンプレミスのネットワーク、(NAT を使用した) インターネットでの通信に使用します。 仮想ネットワークに定義した IP アドレス空間は、パブリック IP アドレス空間を構成した場合でも、プライベートと見なされます。 Microsoft では、この空間をインターネットにアドバタイズしません。 少なくとも 1 つのプライベート IP アドレスを VM に割り当てる必要があります。

物理ホストまたはデバイスと同様に、IP アドレスをリソースに割り当てるには、動的または静的の 2 つの方法があります。 Azure では、既定の割り当て方法は動的で、IP アドレスは、仮想マシン (VM) を作成するとき、または停止した VM を起動するときに割り当てられます。 IP アドレスは、VM を停止または削除すると解放されます。 VM の IP アドレスが変わらないようにするため、割り当て方法を明示的に "静的" に設定できます。 この場合、IP アドレスが即座に割り当てられます。 VM を削除するか、その割り当て方法を "動的" に変更した場合にのみ、IP アドレスは解放されます。

プライベート IP アドレスは、仮想ネットワーク内で定義したサブネットから割り当てられます。 VM の場合、IP の割り当て用のサブネットを選択します。 VM に複数の NIC が含まれている場合は、NIC ごとに異なるサブネットを選択できます。

ルーティング

仮想ネットワークを作成すると、Azure ではネットワークのルーティング テーブルが作成されます。 このルーティング テーブルには、次の種類のルートが含まれています。

  • システム ルート
  • サブネットの既定のルート
  • その他の仮想ネットワークからのルート
  • BGP のルート
  • サービス エンドポイントのルート
  • ユーザー定義ルート (UDR)

サブネットを定義せずに初めて仮想ネットワークを作成すると、Azure ではルーティング テーブルにルーティングのエントリが作成されます。 これらのルートはシステム ルートと呼ばれます。 システム ルートは、この場所で定義されています。 これらのルートは変更できません。 ただし、UDR を構成することで、システム ルートを上書きできます。

1 つまたは複数のサブネットを仮想ネットワーク内に作成すると、Azure によって、仮想ネットワーク内のこれらのサブネット間の通信を可能にするために、ルーティング テーブルに既定のエントリが作成されます。 これらのルートは、Azure のユーザー定義ルート (UDR) である静的ルートを使用して変更できます。

2 つの仮想ネットワーク間に仮想ネットワーク ピアリングを作成すると、ピアリングが作成された各仮想ネットワークのアドレス空間内のアドレス範囲ごとにルートが追加されます。

オンプレミス ネットワーク ゲートウェイが Azure 仮想ネットワーク ゲートウェイとボーダー ネットワーク プロトコル (BGP) ルートを交換すると、オンプレミス ネットワーク ゲートウェイから伝達された各ルートに対応するルートが追加されます。 これらのルートは、ルーティング テーブルに BGP ルートとして表示されます。

サービスのサービス エンドポイントを有効にすると、Azure によって特定のサービスのパブリック IP アドレスがルート テーブルに追加されます。 サービス エンドポイントは、仮想ネットワーク内の個々のサブネットに対して有効になります。 サービス エンドポイントを有効にすると、ルートは、このサービスに属するサブネットのルート テーブルにのみ追加されます。 アドレスが変更されると、Azure によってルート テーブルのアドレスが自動的に管理されます。

ユーザー定義ルートは、カスタム ルートとも呼ばれます。 Azure で UDR を作成して、Azure の既定のシステム ルートをオーバーライドしたり、サブネットのルート テーブルにルートを追加したりできます。 Azure では、ルート テーブルを作成し、仮想ネットワーク サブネットに関連付けます。

ルーティング テーブルのエントリが競合している場合、Azure は従来のルーターと同様にプレフィックスの最長一致に基づいて次ホップを選択します。 ただし、同じアドレス プレフィックスを持つ複数の次ホップのエントリがある場合、Azure は次の順序でルートを選択します。

  1. ユーザー定義ルート (UDR)
  2. BGP のルート
  3. システム ルート

セキュリティ

仮想ネットワーク内のリソースが送受信するネットワーク トラフィックを、ネットワーク セキュリティ グループを使ってフィルター処理できます。 また、Azure Firewall や他のベンダーのファイアウォールなどのネットワーク仮想アプライアンス (NVA) を使用することもできます。 サブネットからのトラフィックを Azure がルーティングする方法を制御できます。 また、仮想ネットワーク内のリソースを使用できる組織内のユーザーを制限することもできます。

ネットワーク セキュリティ グループ (NSG) には、サブネット、NIC、またはその両方に対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) ルールが含まれています。 NSG は、サブネットかサブネットに接続された個々の NIC に関連付けることができます。 NSG がサブネットに関連付けられている場合、ACL ルールはそのサブネット内のすべての VM に適用されます。 また、NSG を直接 NIC に関連付けることによって、個々の NIC に対するトラフィックを制限できます。

NSG には受信と送信の 2 つのルール セットがあります。 ルールの優先順位は、各セット内で一意である必要があります。 各ルールには、プロトコル、発信元ポート範囲および宛先ポート範囲、アドレス プレフィックス、トラフィックの方向、優先順位、アクセスの種類というプロパティがあります。 すべての NSG に既定のルール一式が含まれています。 既定のルールは削除できませんが、これには最も低い優先順位が割り当てられているため、ルールを作成することでオーバーライドできます。

検証

仮想ネットワーク内のルート

自分で作成したルート、Azure の既定のルート、およびボーダー ゲートウェイ プロトコル (BGP) を使用して Azure VPN ゲートウェイ経由でオンプレミスのネットワークから伝達されたルート (仮想ネットワークがオンプレミスのネットワークに接続されている場合) の組み合わせは、サブネット内のすべてのネットワーク インターフェイスに対して有効なルートです。 これらの有効なルートは、ポータル、PowerShell、CLI のいずれかを使用して NIC に移動することで確認できます。 NIC の有効なルートの詳細については、「Get-AzEffectiveRouteTable」 を参照してください。

ネットワーク セキュリティ グループ

ネットワーク インターフェイスに適用される有効なセキュリティ規則は、ネットワーク インターフェイスに関連付けられている NSG およびネットワーク インターフェイスが含まれるサブネットに存在する規則をまとめたものです。 ポータル、PowerShell、または CLI を使用して NIC に移動することで、VM のネットワーク インターフェイスに適用されるすべての有効なセキュリティ規則を NSG から表示できます。

次のステップ

仮想ネットワークについて確認します。

仮想ネットワーク ルーティングについて確認します。

ネットワーク セキュリティ グループについて確認します。