More Related Content
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会 Microsoft Azure Storage 概要 Azure Cosmos DB のキホンと使いドコロ DevOps with Database on AWS AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!) 3分でわかるAzureでのService Principal What's hot (20)
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤 今こそ知りたい!Microsoft Azureの基礎 VPC Reachability Analyzer 使って人生が変わった話 Azure App Service Overview AWS Black Belt Online Seminar 2017 AWSへのネットワーク接続とAWS上のネットワーク内部設計 Microsoft Azure Overview - Japanses version 20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier 20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES) 20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern 20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW... VMware Cloud on AWSネットワーク詳細解説 VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018 [社内勉強会]ELBとALBと数万スパイク負荷テスト AWS Black Belt Online Seminar 2017 Deployment on AWS [AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな 20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib... AWS Black Belt Online Seminar 2017 AWS OpsWorks Application Load Balancer Similar to Azure仮想マシンと仮想ネットワーク (20)
20180417_VxRailCC_NSX_vmware内野様 SCUGJ第18回勉強会:よろしい、ならばVMMだ もっとわかる Microsoft Azure�最新技術アップデート編 - 20150123 ディペンダブルなクラウドコンピューティング基盤を目指して 【Interop Tokyo 2016】 Seminar - EA-08 : シスコ データセンターSDN戦略、3本の矢 ITpro EXPO 2014: Cisco UCSによる最新VDIソリューションのご紹介 VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回- Windows Azure 上でのVPN 接続方法 20111109 07 aws-meister-vpc-public [Azure Antenna] HPCだけじゃないDeep Learningでも使える ハイパフォーマンスAzureインフラ ~ Azureハイパフォーマ... 今さら聞けない!Microsoft Azure仮想マシン入門 今さら聞けないMicrosoft azure仮想マシン入門 アダプティブ クラウド アプローチと Azure IoT Operations 概要 20140927 azure pack_slideshare [AWS Summit 2012] クラウドデザインパターン#4 CDP VPC移行編 あらためて Azure virtual network データセンター進化論:SDNは今オープンに ~攻めるITインフラにの絶対条件とは?~ More from Kuninobu SaSaki (20)
A100 GPU 搭載! P4d インスタンス�使いこなしのコツ Automatic Mixed Precision の紹介 GTC Japan 2018 NVIDIA NEWS 20150821 Azure 仮想マシンと仮想ネットワーク Cloudera World Tokyo 2014 LTセッション「マイクロソフトとHadoop」 20140818 オープン白熱塾 ksasakims YAPC::Asia Tokyo 2013 ランチセッション Windows Azure HDInsight サービスの紹介 Effective Hyper-V - 久しぶりエディション TechEd2010_T2-401_EffectiveHyper-V TechEd2009_T1-402_EffectiveHyper-V TechEd2008_T1-407_EffectiveHyper-V Azure仮想マシンと仮想ネットワーク
- 4. 4
Azure 仮想マシンの構成要素
仮想マシンは常にクラウドサービス内に配置されます。
仮想マシンのNIC毎に、内部IPアドレス(DIP)が割り当て
られます。ゲストOSから見えるのはこのアドレスです。
(VIPではありません)
クラウドサービスは仮想マシンを配置する「受け皿」です。
クラウドサービス毎に FQDN (~.cloudapp.net) が確保
され、それに対応する IP アドレスが前述の ”VIP” です。
新ポータルでは単に「ドメイン名」と呼ばれます。
ロードバランサー (LB) が標準で用意されます。
LB は NAT の機能も持ち、VIP へのアクセスを仮想
マシンへ繋ぎます。この時のポート変換定義が
「エンドポイント」です。
※ 仮想マシンが 1 台だけでも必ず LB は存在します。
サイズ: Standard_A1
ホスト名: vm01
内部 IP (DIP) : a.b.c.d
仮想マシン
クラウドサービス (~.cloudapp.net)
3389/tcp
50413/tcp
ロードバランサー (LB)
A.B.C.D パブリック仮想 IP アドレス (VIP)
パブリック ポート
プライベート ポート
エンドポイント定義
- 5. 5
Azure 仮想マシンの冗長構成
クラウドサービス (~.cloudapp.net)
A.B.C.D
443/tcp
a.b.c.1 a.b.c.2 a.b.c.3
vm01 vm02 vm03
443/tcp 443/tcp 443/tcp
Web サーバーのようなスケールアウト型クラスターの
負荷分散、DB サーバー等のフェールオーバークラスター
における Active-Passive 切り替え、いずれの場合も
Azure のロードバランサーでトラフィックを適切な
インスタンスへ誘導できます。
また、これら複数の仮想マシンインスタンスを
「可用性セット」で括っておくことで、各仮想マシンが
別々の「障害ドメイン」へ配置され、耐障害性を高める
ことができます。
「障害ドメイン」毎に別々の電源、ネットワーク機器が
用意されており、他のドメインへ障害が波及しないように
なっています。
可用性セット
エンドポイントに
「負荷分散セット」を
構成して負荷分散
- 8. 8
仮想ネットワーク
Azure データセンター
仮想ネットワーク - Azure 上にプライベートなネットワークを確保
サブネット1
サブネット2
ゲートウェイ
サブネット
社内ネットワーク
VPNルーター
Azure上に自社専用のプライベートなアドレス空間・サブネットを定義できます。
仮想ネットワークに配置したサーバーには指定のアドレスを割り当てることができます。
VPNを構成して、社内ネットワークとAzure上の仮想ネットワークを接続できます。
「ExpressRoute」(閉域網接続サービス)で自社とAzure間を直接接続できます。
別の利用者のサーバー
- 10. 10
自由度の高いアドレス空間定義
以前は、 RFC1918で定義されるプライベートアドレス
のみに対応していました。
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
現在は、上記以外のパブリックIPアドレス範囲も
利用可能になっています。
ただし、下記の範囲を除きます。
224.0.0.0/4 (マルチキャスト)
255.255.255.255/32 (ブロードキャスト)
127.0.0.0/8 (ループバック)
169.254.0.0/16 (リンクローカル)
68.63.129.16/32 (Azure内部DNS = iDNS)
https://msdn.microsoft.com/ja-jp/library/azure/dn878372.aspx
- 17. 17
仮想マシンに複数のNICを接続
仮想ネットワーク (VNET)
Firewall
DMZ
Frontend
仮想マシンに複数の NIC を装着可能になりました。
Windows 以外の OS も含め、Basic SKU 以外の
すべてのインスタンスで利用可能です。
インターネットから通信が可能な VIP は、
「デフォルトNIC」にのみ関連付けられます。
作成可能な NIC の枚数は、インスタンスサイズごとに
異なりますが、最大で 16 枚です。
https://msdn.microsoft.com/library/azure/dn848315.aspx/
インスタンス種別 NIC 最大数
A3, A6, D(S)2, D(S)11, A8, A10, G2 2
A4, A7, D(S)3, D(S)12, A9, A11, G3 4
D(S)4, D(S)13, G4 8
D(S)14, G5 16
その他 1
- 18. 18
ネットワーク セキュリティ グループ (NSG)
仮想ネットワーク (VNET)
VM01
VM03
DMZ
Frontend
VM02
以前からある「エンドポイント ACL」を発展的に
置き換えるネットワークのアクセス制御機能です。
送信元 or 宛先 IP アドレス、ポート(範囲も可) 、
プロトコルを指定して、送受信両方向の通信を
許可・禁止するルールを作成できます。
ルールはステートフルです。(戻りパケットを明示的に
制御する必要はありません)
一つのNSGに複数のルールを含めることができます。
NSG は個々の仮想マシン単位、あるいはサブネット
全体に対して設定できます。
エンドポイント ACL では不可能だった送信方向のトラ
フィックに対する制御も可能になったので、
「Azure仮想マシンのインターネットアクセスを禁止」
することも可能になりました。
http://msdn.microsoft.com/ja-jp/library/azure/dn848316.aspx
NSG_3 NSG_3
NSG_1
NSG_2
- 19. 19
サイト間 VPN 接続
オンプレミス側に VPN ルーターを設置し、
Azure 上の仮想ネットワークと IPSec VPN を確立
VPN ルーターの設定情報は Azure 管理ポータルから
ダウンロードできます。
- 20. 20
マルチサイト VPN と仮想ネットワーク間接続
複数の拠点とVPN接続
複数の仮想ネットワーク間を接続
かつて 現在
VNET2
日本(東)
VNET1
日本(西)
VNet1
US West
本社 (10.0.0.0/16) 本社 (10.0.0.0/16) 支社 (10.3.0.0/16)
VNET1
日本(西) VNET2
日本(東)
従来は、Azureの仮想ネットワークと
地上の拠点を1:1に接続することが
できました。
「マルチサイトVPN」によって、仮想
ネットワークに複数の拠点が同時に
接続可能となります。
「仮想ネットワーク間接続」を使うと、
複数の仮想ネットワーク間を相互に
接続可能です。
これらを組み合わせることで、複数の
拠点、複数のAzureリージョンを接続
して大規模なネットワークを構築する
ことが可能となります。
- 21. 21
閉域網接続サービス “ExpressRoute”
日本でも2015年1月15日より提供開始
“ExpressRoute” を利用することで、
お客様の拠点と Azure 間を、
プライベート回線で接続できます。
インターネットを経由しませんので、
信頼性が高く、高帯域かつ低遅延、
セキュリティも強固です。
仮想マシンだけでなく、ストレージ
やSQL Databaseへの接続も、
ExpressRoute経由で可能です。
日本でも2015年1月15日より、
34社のパートナー企業様と共に
サービス提供を開始いたしました。
http://www.microsoft.com/ja-jp/server-cloud/azure/solutions/Secure-Network/partners.aspxhttp://www.microsoft.com/ja-jp/news/Press/2015/Jan15/150115_Azure_ExpressRoute.aspx
- 22. 22
VPN 及び ExpressRoute のゲートウェイ
https://msdn.microsoft.com/en-us/library/azure/jj156075.aspx
ゲートウェイの種類ごとに、
スループット及びトンネルの最大数が
決まっています。
種類は、作成後でも変更可能です。
ゲートウェイの種類
ExpressRoute と
VPN の共存
ExpressRouteの
スループット
Site-to-Site VPNの
スループット
Site-to-Site
トンネルの最大数
Basic 不可 500 Mbps 100 Mbps 10
Standard 可 1,000 Mbps 100 Mbps 10
Performance 可 2,000 Mbps 200 Mbps 30
- 23. 本書に記載した情報は、本書各項目に関する発行日現在の Microsoft の見解を表明するものです。Microsoftは絶えず変化する市場に対応しなければならないため、ここに記載した情報に対し
ていかなる責務を負うものではなく、提示された情報の信憑性については保証できません。
本書は情報提供のみを目的としています。 Microsoft は、明示的または暗示的を問わず、本書にいかなる保証も与えるものではありません。
すべての当該著作権法を遵守することはお客様の責務です。Microsoftの書面による明確な許可なく、本書の如何なる部分についても、転載や検索システムへの格納または挿入を行うことは、
どのような形式または手段(電子的、機械的、複写、レコーディング、その他)、および目的であっても禁じられています。これらは著作権保護された権利を制限するものではありません。
Microsoftは、本書の内容を保護する特許、特許出願書、商標、著作権、またはその他の知的財産権を保有する場合があります。Microsoftから書面によるライセンス契約が明確に供給される場
合を除いて、本書の提供はこれらの特許、商標、著作権、またはその他の知的財産へのライセンスを与えるものではありません。
© 2015 Microsoft Corporation. All rights reserved.
Microsoft, Windows, その他本文中に登場した各製品名は、Microsoft Corporation の米国およびその他の国における登録商標または商標です。
その他、記載されている会社名および製品名は、一般に各社の商標です。
