はじめに

Azure資格勉強用にまとめていたノートの内容を復習も兼ねて出力。

2022年当初あたりにまとめた内容であり、それ以降変更があるかもしれません。

また勘違い、覚え違いをしているかもしれません。気になる場合は公式Docsを参照してみてください。

Azure Network とは

Azure Global NetworkはAzureのバックボーンとリージョンを指す。

PublicではなくPrivate Networkを指す

ExpressRouteはこのGlobal Networkに繋ぐ。

Regionは３つ以上のデータセンターで構成されている（Avairability Zone）

VNETとSubnet

VNETは少なくとも１つのSubnetを持つ

VNETは一番大きな括りで、その中をSubnetが分ける（CIDR表記を用いる）

SubnetはDHCPの役割をもち、リソースに対してIPを割り当てる

Network Security Group(NSG)でアクセスコントロールをおこなう。※NSGはSubnetに紐づく

VNETとVM

VMは複数のNetwork Interface Card(NIC)を持つことができ、複数のSubnetに属することができる。

VNETのIPアドレス予約

VNET とでは規定で一部アドレスが予約されており利用することができない

• x.x.x.0 : Networkアドレス
• x.x.x.1 : デフォルトゲートウェイ
• x.x.x.2, x.x.x.3 : Azure DNSのマップ用に予約済み
• x.x.x.255 : ブロードキャスト用

※ x は任意の数値

例えば、10.0.0.0/28 の場合、10.0.0.0~10.0.0.15 の16アドレス存在するが、上の４つのアドレスは利用できない。

VNETアドレスのを分けるベストプラクティス

IETFによる、用途に合わせて次の３つ分けると良い。

• 10.0.0.0 ~ 10.255.255.255 ( 10/8)
• 172.16.0.0 ~ 172.31.255.255 (172.16/12)
• 192.168.0.0 ~ 192.168.255.255 (192.168/16)

VNETのセキュリティオプション

一部VNETに関連づけられるセキュリティオプションには専用のSubnetが必要になる

• Firewall
• Bastion Host

など

Subnet

VNETを分割する役割

VPN Gateway、Private Endpoint, Firewall, Application Gateway, Bastion Host　これらには専用のSubnetが必要

VNETは必ず１つ以上のSubnetを持つ

VNETの"Address Space"はVNET全体のアドレス空間であるのに対して、Subnetはサブネットを定義する

公開用とテスト用などセキュリティルールの異なるもの、それぞれでサブネットを切り出してセキュリティルールを割り当てる（NSG）

何も設定しないで、同じVNETにVMを２つ以上デプロイすると互いに通信できる

-> VNET内は同じネットワーク、Subnetが異なっていてもNSGが無い、またはNSGがデフォルトの設定では通信可能

Network Security Group (NSG)

SubnetやNICに対して、Inbound・Outboundのセキュリティルールを設定することができる。

VMのNICに対してはNSGを設定するが、各AzureサービスではVNETサービスタグを利用する。

Firewallに似ているが、SourceとDestinationに対するAllow・Denyといった簡単なルールしか定義できない。

NSGを増やし過ぎると管理が大変になる。

デフォルトルール

• Inbound : VNET内、Azure LBからのみ許可
• Outbound: VNET内、Internateへのみ許可

Application Security Group（ASG）

VM(NIC)を論理的にグルーピングして、グループに対してNSGによるセキュリティ設定ができる。

ASGは同一リージョン、同一VNETのリソースのみグルーピングできる

VNET Peering

VNET同士をダイレクトに繋ぐことができる

繋げたVNET間の通信は全て、Azure バックボーンを通る

In/Outの２方向で課金されるので注意

推移性が成り立たないため、A->B, B->CでPeeringを設定しても、A->Cの通信はできない。A->Cを明示的にPeeringする必要がある。

リージョンをまたぐGlobal VNET Peeringもある

VPN Gateway

VNET同士を繋ぐためのもう１つの方法

パブリックインターネットを経由する

課金は高くなりそう

VNET Peeringと比べると帯域が狭い

すでにExpress RouteやSite2SiteのVPNがあるとVPNを増やせない（ 1VNET 1 VPN GW）