Azure Virtual Networkを解説 【シリーズ Azureサービスいちから紹介】

LINEで送る
Pocket

このエントリはQiita Advent Calendar 2017 Microsoft Azureサービスいちから紹介 の3日目です。

ナレッジコミュニケーションの大柳です(@oyngtmhr)

3日目はAzure Virtual Networkです。
Resource Manager、Storageに引き続き、仮想サーバ(Virtual Machine)を構築する際に必要になるものなので解説していきます。

概要

Virtual Networkはクラウド内、クラウド内の各種Azureサービス、そしてオンプレミスサーバにも接続できる仮想ネットワークです。

https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-networks-overview から引用

Virtual Networkでは以下のような機能が提供されています。

・仮想ネットワークとサブネット

論理的な仮想ネットワークを作成するとともに、それぞれのネットワークをさらに複数のサブネットに分割できます。
後述するセキュリティグループにより、インターネットへの公開/非公開も制御できます。

・ルーティング

基本的にはルーティング設定しなくても、仮想ネットワーク内やインターネットとの通信ができます。さらに、ユーザー定義ルート(UDR:User Defined Root)をVirtual Networに適用することで、標準のルーティングルールを上書きしたり、他の仮想ネットワークなどへのルートを設定することができます。

・ピアリング

仮想ネットワーク同士をピアリングにより接続し、同じネットワークとして通信できるようになります。同一リージョン間だけでなく、リージョン間のピアリング(2017年12月時点ではプレビュー)、サブスクリプション間(他のアカウント)のピアリングも可能です。

・IPアドレス

動的/静的なアドレス、パブリックIP、プライベイトIPが提供されます。パブリックIPアドレスは静的に使うことも、もちろん可能で、仮想マシン、ネットワークインターフェイス、インターネットに接続するロード バランサー、VPN ゲートウェイ、アプリケーションゲートウェイに割り当て可能です。

・セキュリティグループ

通信のフィルタリングが可能です。送信元IP、ポート番号、許可/拒否を指定できます。セキュリティグループはステートフルなので、片方向を許可しとけば、戻りの通信も許容されます。
通信先をグループ化したものとして、サービスタグがあります。Azure内の仮想ネットワーク、ロードバランサー、インターネットなどあらかじめ定義されたグループを指定してセキュリティグループに設定できます。プレビューではありますが、Azure Storage、Azure SQL Database、Azure SQL Data Warehouseを指定できるサービスタグも提供されています。

ユースケース

・Virtual Networkを10.0.0.0/16で作成、フロントWeb用のサブネット10.0.0.0/24、バックエンドDB用のサブネット10.0.1.0/24に分割する

・フロントWeb用のサブネット10.0.0.0/24にはインターネットからの受信を許容、バックエンドDB用のサブネット10.0.1.0/24はフロントWeb用のサブネットからのみ受信を許容する。

・フロントWebサーバに静的なパブリックIPアドレスを割り当てて、IP指定でアクセスできるようにする。

・ExpressRouteへの接続のためUDRでルーティング設定を追加する。

・仮想ネットワークAと仮想ネットワークBの間でピアリングを設定し、相互に通信できるようにする。

その他

・SMTPでの送信には制約がある。エンタープライズ契約は制限なし、従量課金の場合は、申請によって制限を解除することができる。申請は「Microsoft の裁量にて審査および承認されます」。

・Azureからの監視や仮想マシンの管理は、IPアドレス 168.63.129.16と169.254.169.254のホストとの間で通信が行われる。これらのトラフィックをブロックすると、仮想マシンが正しく機能しない可能性があります。

・Windowsのライセンスキー管理のためにポート1688が使用される。

料金

仮想ネットワーク、サブネット、ルート テーブル、セキュリティグループには課金されません。パブリックIPアドレス、仮想ネットワークピアリングに対しては課金されます。

ピアリングでは、連携する2つのネットワークにといて、送受信とも通信した量が、GB単位で課金されます。

料金 – Virtual Network | Microsoft Azure https://azure.microsoft.com/ja-jp/pricing/details/virtual-network/

パブリックIPアドレスは、最初の5つの静的IPには費用が発生しません。6つ目以降は費用が発生します。

Azureデータセンターから出ていくデータに対してGB単位に課金されます。ストレージも同様です。

料金 – 帯域幅
https://azure.microsoft.com/ja-jp/pricing/details/bandwidth/

まとめ

クラウドのネットワークは設定が手軽な反面、制約が多かったりするのですが、Azureの場合はクラウドとオンプレもつなげたり、セキュリティグループも許可・拒否を柔軟に設定できたりと、設定の自由度が高いと感じました。VPN GatewayやExpressRouteなど、ネットワーク系の他のサービスとの連携もいろいろできるので、後日解説します。

明日の記事もお楽しみに。

LINEで送る
Pocket