演習 - Azure でハブスポーク ネットワーク トポロジを実装する

  • 10 分

あなたは、ハブスポーク構成でリソース用にネットワーク インフラストラクチャをデプロイすることにしました。 また、社内の人事部は、インターネットからアクセスできない新しい社内 HR システムをホストしたいと考えています。 この人事システムには、本社で勤務しているかサテライト オフィスで勤務しているかに関わらず、会社の全員がアクセスできる必要があります。

この演習では、ネットワーク インフラストラクチャをデプロイした後、会社の新しい HR システム用のサーバーをホストするための新しい仮想ネットワークを作成します。

Diagram showing adding a new HR spoke to the network.

環境を設定する

このデプロイでは、前の図に一致する Azure ネットワーク リソースが作成されます。 これらのリソースが作成されたら、新しい HR 仮想ネットワークを追加することができます。

サーバー リソースに対して仮想ネットワークとサブネットを作成します。 次のコマンドを実行します。

az deployment group create \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --template-uri https://raw.githubusercontent.com/MicrosoftDocs/mslearn-hub-and-spoke-network-architecture/master/azuredeploy.json

仮想ネットワークに新しいスポークを作成する

仮想ネットワークは、Azure portal、Azure CLI、または Azure PowerShell を使用して作成できます。 この演習の残りの部分は、Azure portal を使用して行いましょう。

  1. サンドボックスのアクティブ化に使用したものと同じアカウントを使って、Azure portal にサインインします。

  2. Azure portal の左上にある [リソースの作成] を選択します。 [リソースの作成] ウィンドウが表示されます。

  3. 検索ボックスに、「仮想ネットワーク」と入力します。

  4. [Marketplace] から [Virtual Network] を選択します。 [仮想ネットワーク] の [作成] ペインが表示されます。

  5. 仮想ネットワークの構成を開始するには、[作成] を選択します。 [仮想ネットワークの作成] ペインが表示されます。

仮想ネットワークの設定を構成する

ポータルでのリソース作成エクスペリエンスは、仮想ネットワークの初期構成を説明するウィザードです。

  1. 仮想ネットワークを作成するには、[基本] タブで、各設定に次の値を入力します。

    設定
    プロジェクトの詳細
    サブスクリプション コンシェルジェ サブスクリプション
    リソース グループ ドロップダウン リストから、[サンドボックス リソース グループ名] を選択します
    インスタンスの詳細
    仮想ネットワーク名 HRappVnet
    リージョン 既定のリージョンはそのままにします。

  2. [IP アドレス] タブを選択するか、[次へ]>[次へ] を選択します。

  3. 各設定に対して次の値を入力します。

    設定
    IPv4 アドレス空間 テキスト ボックスの既定のアドレスを 10.10.0.0/16 に変更します。
    サブネット名 [既定] を選択します。 [サブネットの編集] ウィンドウが表示されます。 各設定に対して次の値を入力します。
    設定
    サブネット名 HRsystems
    開始アドレス 10.10.1.0/24

  4. [保存] を選択します。

  5. [Review + create](レビュー + 作成) を選択します。 検証に合格した後、仮想ネットワークのプロビジョニングを開始するには、[作成] を選択します。

  6. デプロイが正常に完了した後、[リソースに移動] を選択します。 HRappVnet という仮想ネットワークのペインが表示されます。

ハブ仮想ネットワーク ピアリングを構成する

3 番目のスポークを作成したので、ハブとスポーク間の仮想ネットワーク ピアリングを構成する必要があります。

  1. ポータルの [ホーム] ページに移動します。 [すべてのリソース] を選択します。 [すべてのリソース] ペインが表示されます。

    HubVNetWebVNetQuoteVNetHRappVnet の仮想ネットワークが表示されます。

  2. [HubVNet] を選択します。 [HubVnet] ペインが表示されます。

  3. 左側のメニュー ペインの [設定] で、[ピアリング] を選択します。 HubVnet ペインの [ピアリング] ペインが表示されます。

  4. 上部のメニュー バーで、[+ 追加] を選択します。 HubVnet の [ピアリングの追加] ペインが表示されます。

  5. [ピアリングの追加] ページで、ピアリング構成の残りの部分を完了する前に、[Virtual Network][HRappVnet] を選択します。

  6. 各設定に対して次の値を入力します。

    設定
    この仮想ネットワーク
    [Peering link name](ピアリング リンク名) gwPeering_hubVNet_HRappVnet」と入力します。 この名前は、HubvNet から HRappVnet へのピアリング リンク名です。
    'HubVnet' が 'HRappVnet' へアクセスすることを許可する [アクセスを許可する] のチェック ボックスを選択します。
    'HubVnet' が 'HRappVnet' からのトラフィック転送を受け取ることを許可する [この仮想ネットワークの外部から発信されるトラフィックをブロックする] のチェックボックスにはチェックを入れないままにします。
    'HubVnet' 内のゲートウェイが 'HRappVnet' にトラフィックを転送することを許可する チェックボックスにはチェックを入れないままにします。
    'HubVnet' が 'HRappVnet' のリモート ゲートウェイを使用できるようにする チェックボックスにはチェックを入れないままにします。
    リモート仮想ネットワーク
    [Peering link name](ピアリング リンク名) gwPeering_HRappVnet_hubVNet。 この名前は、HRappVnet から HubVnet へのピアリング リンク名です。
    仮想ネットワークのデプロイ モデル [リソース マネージャー] を選択します
    サブスクリプション [コンシェルジェ サブスクリプション] を選択します
    仮想ネットワーク [HRappVnet] を選択します
    'HRappVnet' が 'HubVnet' にアクセスすることを許可する [アクセスを許可する] のチェック ボックスを選択します。
    'HRappVnet' が 'HubVnet' からのトラフィック転送を受け取ることを許可する [この仮想ネットワークの外部から発信されるトラフィックをブロックする] のチェックボックスにはチェックを入れないままにします。
    'HRappVnet' 内のゲートウェイが 'HubVnet' へトラフィックを転送することを許可する チェックボックスにはチェックを入れないままにします
    'HRappVnet' が 'HubVnet' のリモート ゲートウェイを使用できるようにする チェックボックスにはチェックを入れないままにします

  7. ピアリングを作成するには、[追加] を選択します。 [ピアリング] ペインが表示され、新しいピアリングが示されます。

これで、ハブ仮想ネットワークをスポーク仮想ネットワークにピアリングしました。 構成で VPN ゲートウェイを使用して、ハブからスポークへのトラフィック転送を許可しました。

仮想ネットワーク用にネットワーク セキュリティ グループを作成する

トラフィック フローを構成するために、ネットワーク セキュリティ グループを作成します。

  1. ポータルの [ホーム] ページに移動し、[リソースの作成] を選択します。 [リソースの作成] ペインが表示されます。

  2. 検索ボックスに「ネットワーク セキュリティ グループ」と入力し、リスト内の同じタイトルのリンクを選択します。 [ネットワーク セキュリティ グループ] の [作成] ペインが表示されます。

  3. 仮想ネットワークの構成を開始するには、[作成] を選択します。 [ネットワーク セキュリティ グループの作成] が表示されます。

  4. [基本] タブで、各設定に対して次の値を入力します。

    設定
    プロジェクトの詳細
    サブスクリプション コンシェルジェ サブスクリプション
    リソース グループ ドロップダウン リストから、[サンドボックス リソース グループ名] を選択します
    インスタンスの詳細
    名前 HRNsg」と入力します
    リージョン 既定の場所はそのままにします。

  5. [Review + create](レビュー + 作成) を選択します。

  6. 検証が合格となったら、ネットワーク セキュリティ グループをデプロイするために、[作成] を選択します。 NSG の [概要] ペインが表示されます。

  7. [リソースに移動] を選択し、NSG、HRNsg をメモします。

これで各仮想ネットワークに割り当てることができるネットワーク セキュリティ グループの作成が完了しました。

新しい HR 仮想ネットワークにネットワーク セキュリティ グループを関連付ける

次は、ネットワーク セキュリティ グループを仮想ネットワークに関連付けます。

  1. [HRNsg] ウィンドウを閉じたら、ポータルの [ホーム] ページに移動します。 [すべてのリソース] を選択して [HRNsg] を選択します。 [HRNsg] ペインが表示されます。 それ以外の場合、次のステップに進んでください。

  2. 左側のメニュー ウィンドウの [設定] で、[サブネット] を選択します。 HRNsg ネットワーク セキュリティ グループの [サブネット] ペインが表示されます。

  3. 上部のメニュー バーで、[+ 関連付け] を選択します。 [サブネットの関連付け] ペインが表示されます。

  4. [仮想ネットワーク] ドロップダウン リストから、[HRappVnet] を選択します。

  5. [サブネット] ドロップダウン リストから、[HRsystems] を選択します。

  6. ネットワーク セキュリティ グループを関連付けるには、[OK] を選択します。 HRNsg ネットワーク セキュリティ グループの [サブネット] ペインが再び表示されます。

受信 HTTP トラフィックを停止するようにネットワーク セキュリティ グループの規則を構成する

HR アプリケーションを HRappVnet でホストするために、満たす必要があるセキュリティ要件があります。 アクセスする必要があるのは社内の従業員だけなので、スポークからの受信 HTTP トラフィックは存在すべきではありません。 この要件を満たすように、ネットワーク セキュリティ グループの規則を構成します。

  1. [HRNsg | サブネット] ページで、[設定] の下の [受信セキュリティ規則] を選択します。 HRNsg ネットワーク セキュリティ グループの [受信セキュリティ規則] ペインが表示されます。

  2. 上部のメニュー バーで、[+ 追加] を選択します。 [受信セキュリティ規則の追加] ウィンドウが表示されます。

  3. 各設定に対して次の値を入力します。

    設定
    ソース ドロップダウン リストから、[任意] を選択します。
    ソース ポート範囲 既定値の * のままにします。
    宛先 ドロップダウン リストから、[サービス タグ] を選択します。
    宛先サービス タグ [VirtualNetwork] を選択します。
    サービス [カスタム] を選択します。
    宛先ポート範囲 80,443」と入力します
    Protocol [任意] をクリックします。
    アクション [拒否] を選択します。
    Priority 100」と入力します。
    名前 Block-Inbound-HTTP-HTTPS」と入力します
    説明 スポークからの受信 HTTP および HTTPS トラフィックをブロックする」と入力します。

  4. 規則を追加するには、[追加] を選択します。 ネットワーク セキュリティ グループの [受信セキュリティ規則] ペインが再び表示されます。

これで、ポート 80 と 443 のスポークからの受信 HTTP アクセスがブロックされました。

このシナリオでは、Azure 仮想ネットワーク スポークを作成してから、それを既存のハブ仮想ネットワークとピアリングしました。 その後、ハブ経由で確実に接続できるようにしながら、ポート 80 と 443 で受信アクセスをブロックすることで、このスポークからのトラフィックをセキュリティで保護しました。