AZ-700学習メモ

はじめに

AZ-700 Microsoft Azure ネットワーク ソリューションの設計と実装を取得したので、学習時にまとめたメモを整理しました。
MS公式の学習ガイドにあるリンクを一通り辿って読んだものがベースですが、自分の興味関心によって厚いところと薄いところがあります。

学習メモ

VPN Gateway

概要

• VNetとそれ以外のネットワークを接続する
• SKUはBasic, VpnGw○(数字), VpnGw○(数字)AZがあるが、Basicは2025年9月30日に廃止される
• 100を超えるS2S VPNトンネルが必要な場合はVirtual WANを利用する
  • 多くのサイトと繋ぐとハブ&スポークのような構成になるのでVirtual WANの方が運用管理は楽になりそう

ゲートウェイサブネット

• VPN Gatewayには専用のゲートウェイサブネットが必要
• ゲートウェイサブネットには、VPN GatewayのVM(ルーティングテーブルをホストするVM)とサービスで使用する IP アドレスが含まれる
• ゲートウェイサブネットに追加のVMなどをデプロイしないこと
• 最小のサブネットマスクは/29だが、可能なら/27以上で作成する
• 仮想ネットワークゲートウェイのVM・サービスをデプロイするサブネットであるとAzureに認識させるため、ゲートウェイサブネットには"GatewaySubnet"という名前を付ける

VPN Gatewayの種類

PolicyBaced VPN

• PolicyBased VPN(=静的ルーティングゲートウェイ)はIPsecポリシーに基づいてIPsecトンネル経由でパケットを送信する
• P2Sはサポートしていない、構成も特定のものに限られている(設定できるトンネルは1つだけ、IKEv1のみサポート、など)
• オンプレVPNデバイスとの互換性を保ちたい場合などに使う

RouteBased VPN

• RouteBased VPN(=動的ルーティングゲートウェイ)は、IP転送やルーティングテーブルの "ルート" を使用して、対応するトンネルインターフェイスにパケットを直接送信する
• 基本的にはRouteBased VPNを利用する(P2S接続、仮想ネットワーク間接続、複数サイト間接続、ExpressRouteゲートウェイと共存させる、IKEv2を使う、といったケースはPolicyBased VPNが使えないため)

ゲートウェイ転送

• オンプレに通信する際、ピアリングされたVNetのVPN Gatewayを利用させる
  • ハブ&スポーク構成でスポークからもハブのVPN Gatewayを使わせたいとき、ハブ側のピアリング設定で「ゲートウェイ転送を許可する」「リモートゲートウェイを使用する」設定を構成する

トラブルシューティング

• S2S VPNが動作を停止した -> まずはVPN ゲートウェイとオンプレVPNデバイスからのトンネルをリセット、それでもダメならオンプレVPNデバイスが検証済か、オンプレVPNデバイス、仮想VPNの共有キーが一致しているか、などを確認する

Express Route

• オンプレとAzure環境を閉域網で接続する
• Private PeeringはオンプレからAzureのPrivate IPに直接接続できる
  • IaaS, PaaSに接続可能
• Microsoft PeeringはオンプレからMicrosoftサービスのPublic IPに接続する
  • Public PeeringはMicrosoft Peeringに統合されている

FastPath

• FastPathを有効にするとゲートウェイをバイパスしてオンプレからVNet内のVMに直接通信できる
• VPN GatewayはUltra PerformanceかErGw3AZにする

Reach

• ExpressRouteを相互にリンクし、オンプレのブランチ間を接続する

サブネット拡張

• オンプレのアプリケーションをIPを変えずにAzure移行したいとき、全てを移行するのであればVNet側で割り振れるIPを振ってあげればよいが、
  段階的な移行を行う場合など、一部アプリケーションをオンプレに残しオンプレ・Azure両方の側でIPを再割り当てしたくないとき、サブネット拡張を使う

P2Sの認証

RADIUS認証

• ADサーバと統合するRADIUSサーバが必要
• RADIUSサーバはオンプレ、VNetどちらにデプロイしてもよいが、GatewayがRADIUSサーバと通信できるようにする

Microsoft Entra認証

• トンネルの種類はOpenVPNのみサポート
• Azure VPN クライアントが必要

Virtual WAN

• ネットワーク、セキュリティ、ルーティングのさまざまな機能をまとめて、集中管理できるようにしたもの
• ハブの最小アドレス空間は/24(これより小さくすると作成中にエラーが出る)
• 主なユースケースはAny-to-Any接続を実現したいとき、全てのトラフィックをAzure Firewallを経由にしたいとき

ハブ

• Virtual WANのリージョン接続ポイント
• 複数のサービスエンドポイント(P2S, S2S, Express Routeなど)をデプロイでき
• 同一リージョン内に複数のハブをデプロイすることも可能
• Azure Marketplace で提供されているNVAはVirtual WANハブ用に設計されており、ハブに直接デプロイできる
  • ハブでNVAを作成すると、サブスクリプションにカスタマーリソースグループと管理対象リソースグループが作成される
    • カスタマーリソースグループにはマネージドアプリのプレースホルダが含まれている
    • 管理対象リソースグループはNetworkVirtualAppliancesリソースが含まれており、マネージドアプリの公開元によって制御されている

Azure Application Gateway

• HTTP(S)トラフィックの負荷分散
• リダイレクト、HTTP ヘッダーの書き換え、カスタムエラーページの設定が可能

リスナー

• 関連付けられたフロントエンドIPへの着信要求を受ける論理エンティティ
  • ポート、プロトコル、ホスト、IP アドレスをチェックする
• ルーティング規則に関連付けることでバックエンドにルーティングされる

Azure Front Door

• CDN
• StandardとPremiumがあるが、PremiumはStandardの機能にセキュリティ関連の機能(Private Linkのサポートなど)が追加されている

Azure Traffic Manager

• DNSベースのL7ルーティング
• プロファイルでルーティング方法を指定する
  • プロファイルを入れ子にすることで、接続元の地域でまずルーティングし、特定の地域では重みづけをして複数のエンドポイントにトラフィックを分散させる、ということも可能
• 各エンドポイントを監視し、機能が低下しているエンドポイントはクエリの応答で返却しない

Web Application Firewall(WAF)

• Application GatewayにWAFポリシーを適用する場合、Application Gatewayにアタッチ(グローバルポリシー)するか、リスナーに対してアタッチ(サイト別ポリシー)する
  • グローバルポリシーとサイト別ポリシーがアタッチされている場合、サイト別ポリシーが優先される