はじめに
この記事は セゾンテクノロジー Advent Calendar 2024年24日目の記事です。
Azureを学習して得た内容について振り返ってみたいと思います。
目次
1.クラウドコンピューターについて
2.ネットワーク基礎知識
3.Azureのネットワーク技術
4.Azureのネットワークサービス
5.まとめ
1. クラウドコンピューターについて
・クラウドコンピューターの特性
クラウドコンピューターの定義としては、NIST(米国国立標準技術研究所(National Institute of Standards and Technology))により、サービスモデルと実装モデルに分類されているようです。
・サービスモデル
アプリケーション、データを利用するための必要なサービスを、クラウドベンダーがユーザーへ、どこまでの範囲を提供するかの範囲で定義したもので、以下のモデルがあります。
1. IaaS(Infrastructure as a Service)
・ハードウェアから仮想化までをクラウドベンダーが管理し、ゲストOSからアプリケーション、データをユーザーが管理する。
2. PaaS(Platform as a Service)
・ハードウェアからミドルウェアまでをクラウドベンダーが管理し、アプリケーション、データをユーザーが管理する。
3. SaaS(Software as a Service)
・ハードウェアからアプリケーションまでをクラウドベンダーが管理し、データをユーザーが管理する。
※オンプレミスについて
・ハードウェアからアプリケーション、データの全てをユーザーが管理する。
・実装モデル
ユーザーがクラウドを利用するサービスの違いで分類されたもので、以下のモデルがあります。
1. プライベートクラウド(Private cloud)
・特定の企業やグループなどの組織が、専用に利用するためのサービス
2. コミュニティクラウド(Community cloud)
・特定の複数の企業やグループなどの組織が、専用に利用するためのサービス
3. パブリッククラウド(Public cloud)
・不特定の企業やグループなどの組織が、共有して利用するためのサービス
4. ハイブリットクラウド(Hybrid cloud)
・複数のクラウドサービスを組み合わせて使い分けできるサービス
主にオンプレミスとクラウドサービスを組み合わせて連携させる利用方法が多いようです。
2. ネットワーク基礎知識
あくまで一部ですが、Azureを学習する上で基礎になると思ったネットワーク用語となります。
OSI参照モデル
ISO(国際標準化機構)が異なる機器同士を接続する国際標準化プロトコル(OSIプロトコル)を定義するために作られたもので、コンピューターの通信機能を7階層の構造に分類し、定義した物のようです。
第7層 アプリケーション層
OSIプロトコル:HTTP、DNS、FTP、NTP、DHCP、SMTP、SNMP、BGPなど
機能:通信元のアプリケーションプロセスがOSI環境にアクセスする手段を提供する
第6層 プレゼンテーション層
OSIプロトコル:SSL、TLSなど
機能:通信元のデータを表現するための共通の構文の選択と、この共通の構文との間でのアプリケーションデータの変換を提供する
第5層 セッション層
OSIプロトコル:NFS、SCP、SQLなど
機能:アプリケーションのデータを整理して同期し、通信元と通信先がデータを交換するための手段を提供する
第4層 トランスポート層
OSIプロトコル:TCP、UDPなど
機能:通信する上での信頼性の高いエンドツーエンド(E2E)のデータ転送サービスを提供する
第3層 ネットワーク層
OSIプロトコル:IP、IPSec、ICMPなど
機能:ネットワーク上でルーティングとスイッチングを行う事で、データブロックを転送する手段を提供する
第2層 データリンク層
OSIプロトコル:ARP、PPP、L2TPなど
機能:隣接するノードでデータを転送する手段を提供する
第1層 物理層
OSIプロトコル:Bluetooth、Ethernet、WiFiなど
機能:データを伝送する媒体上でビットを転送するための物理的な接続を行うための手段を提供する
ネットワークプロトコル
OSI参照モデルの3層と4層にあるTCP/IPの機能で、特定のネットワーク上でネットワークデバイスが通信する上での条件とルールのこと
ネットワークアドレス
ネットワークインターフェースを識別するMACアドレスとIPアドレスの2種類のことで、ネットワークデバイスを識別する一意(固有)の識別子のこと
TCP/IP
ルーターを経由して離れたホスト間でデータをやり取りすることを実現するための機能のこと
TCP
UDPと異なり、ネットワーク上でデータを通信する前に、データ通信用のセッションを確保し、データの到着を保障するプロトコルのこと
ルーターを経由したデータの損失を防ぐため、パケットのエラーを検出し、再送する仕組みでもある
UDP
TCPと異なり、データ通信用のセッションを確保せずにデータの送受信を行い、データの到着を保障しないプロトコルのこと
データの到着を保証しない代わりに、TCPよりもネットワークコストを削減できる仕組みでもある
IP
通信相手を特定するためのネットワーク上の住所のような番号のこと(例:192.168.0.1)
TLS
インターネット上でデータを暗号化して送受信するためのセキュリティプロトコルのこと
ルーティング
異なるネットワークから送信されてきたパケットを、適切なネットワークに届ける仕組みのこと
ルーターへこの仕組みが実装されており、異なるネットワーク間をルーター同士が繋ぎ、パケットを転送する
ネットワーク通信制御
ネットワークの回線が混雑するにつれ、ルーターがパケットを処理しきれず、パケットが破棄(ドロップ)され、データが損失されることを避けるため、
パケットの損失を検出し、再送するための仕組みとして、トランスポート層(第4層)が必要となるイメージ
3. Azureのネットワーク技術
一部ですが、Azureのネットワーク技術を学習した内容となります。
グローバルネットワーク
Microsoft社が世界中の地域に展開しているAzureリージョン(データセンター)であり、その各リージョンをグローバルネットワーク(WAN)で接続し、通信できること
エッジノート
クラウドサービスを利用するユーザーのネットワークと、Microsoft社のグローバルネットワークの接続点のこと
可用性ゾーン
電源、冷却手段、ネットワークインフラストラクチャの備えた1つのデータセンター、または複数のデータセンターのこと
可用性ゾーンを組み合わせることで、障害や災害によるデータセンター障害から、Azureを利用しているユーザーのアプリケーションやデータを保護することが可能となる
仮想ネットワーク
Azure上にユーザー専用のプライベートネットワークを構築すること
既定の設定では、同一の仮想ネットワーク内では通信可能、異なる仮想ネットワーク間は通信ができない仕組みで、異なる仮想ネットワーク間は通信するために、通信するデータを一度カプセル化し、それぞれのホスト同士を通信させることで可能となるイメージ
ネットワークセキュリティグループ
ネットワークインターフェースやサブネットに割り当てることができるファイアウォールのことで、受信トラフィックと送信トラフィックを聖女できる仕組みのこと
4. Azureのネットワークサービス
こちらも一部となりますが、Azureのネットワークサービスを学習した内容となります。
ExpressRoute
オンプレミス環境やデータセンターと、Azureを専用回線で接続するためのサービス
仮想ネットワークゲートウェイ
仮想ネットワークをVPNやExpressRouteへ接続するためのゲートウェイサービスのこと
Azure Bastion
ユーザーからVMへ直接せず、RDPやSSHで仮想マシンへ接続する、ユーザーとAzure VMの間にある踏み台サーバーのことで、
ユーザー(Azure Portal) ⇒ Bastion(RDP/SSH) ⇒ VM(プライベートIP) といった順番で接続されるイメージ
Application Gateway
ネットワーク上の攻撃からAzure上のアプリケーションを保護するためのサービスのこと
OWASP Rule Set(CRS)を利用している
Azure Front Door
CRSとベースとしてMicrosoft社がカスタマイズした、Default Rule Set(DRS)のこと
Azure Monitor
Log AnalysticsやNetwork InsightといったAzureの監視ツールの集合体のこと
Azure上のログを収集し、ログの分析やネットワークの正常性などを確認できるイメージ
5. まとめ
まだ荒い理解と知識なので認識誤りもあると思いますが、実際の環境も触りながら、これからも学習していきます。