1. VNetを利用する理由
- 安全な通信
- Azureリソース~インターネット間
- VNet -> Internet: デフォルトで可能
- VNet < Internet: パブリックIP, パブリックロードバランサーを利用した場合に可能
- Azureリソース~Azureリソース間
- 同一VNet内
- 2つの異なるVNet内: VNetピアリング
- VNetリソース〜非VNetリソース: VNetエンドポイント
- private endpoint (AWSでいうところのinterface型)
- service endpoint (AWSでいうところのgateway型)
- Azureリソース~オンプレミス間
- S2S/P2S VPN
- ExpressRoute
- Azureリソース~インターネット間
- ネットワークトラフィックのフィルタリング
- ネットワーク(NSG)
- アプリケーション(ASG)
- ネットワークトラフィックのルーティング
- サブネット作成時にルートテーブル
- カスタムルートでオーバーライド可能
2. VNet内のリソースにアクセスする方法
2.1. VMにSSH/RDPしたい
- Azure Portal経由からBastionを使う
2.2. オンプレから 直接 VNet内のリソースにアクセスする
2.2.1. VNetが1つだけの場合
- オンプレと対象VNetをS2S/P2S VPN(or ExpressRoute)で接続する
- オンプレのクライアントから、インターネットを経由せずにVNet内のサーバにアクセスしたいケースを想定
- e.g. DBクライアントの操作, インターネットを経由したくないwebアプリ
- オンプレから直接アクセスする必要がない場合、VNet内に踏み台WindowsとなるVMを作成して、その踏み台に対して先述のBastion経由でアクセスする方法がある
- オンプレのクライアントから、インターネットを経由せずにVNet内のサーバにアクセスしたいケースを想定
2.2.2. VNetが複数で、ハブスポーク構成をとる場合
- オンプレとVNet(Hub)をS2S/P2S VPN(or ExpressRoute)で接続する
- VNet(Hub)とVNet(Spoke)をピアリングで接続する
- ピアリングのゲートウェイ転送を有効にする
参考資料
- VNet
https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-networks-overview - ハブスポークネットワークトポロジ
https://docs.microsoft.com/ja-jp/azure/architecture/reference-architectures/hybrid-networking/hub-spoke - VPNゲートウェイ転送
https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-peering-gateway-transit - ネットワーク全般のポータル
https://docs.microsoft.com/ja-jp/azure/networking/