LoginSignup
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@smr1

Azure VNetやSpoke間通信など

Last updated at Posted at 2024-08-14

Azureネットワーク回りの自分用メモ。
他の記事へのリンクが多くなってしまっているが。。

VNet

  • VNet間は通常何も設定がなければ疎通不可
  • DeployできるVMはVNetと同じRegionでないとだめ

Subnet

Private IP

プライベートIPアドレスに使えるのは以下範囲。

  • 10.0.0.0/8 「10.0.0.0~10.255.255.255」
  • 172.16.0.0/12 「172.16.0.0~172.31.255.255」
  • 192.168.0.0/16 「192.168.0.0~192.168.255.255」

Subnet上でAzureによって予約されるIP

0,1,2,3,上限値は使えない。

たとえば、IP アドレスの範囲が 192.168.1.0/24 の場合、次のアドレスが予約されます。

  • 192.168.1.0: ネットワーク アドレス。
  • 192.168.1.1: 既定のゲートウェイ用に Azure によって予約されています。
  • 192.168.1.2、192.168.1.3: Azure DNS IP アドレスを仮想ネットワーク空間にマップするために Azure によって予約されています。
  • 192.168.1.255: ネットワーク ブロードキャスト アドレス。

Azure Wire Server 168.63.129.16

  • VMのHeartbeat問い合わせ
  • AzureのDNS、
  • AzureのDHCP
    等いろいろやっているらしい。

VMが立つと即Internetに接続できるのはこいつが裏で動いていたりする。

VNetのNSGにもAllowInternetOutBoundがある。
image.png

VMを立ててすぐにはAzureのDNSを見るようになっており、
image.png

VM上でipconfig /allしたらこうなる。

  • VMが立つとcloudapp.netのドメインに参加させられる
  • DHCPもさっきのAzure Wire Serverが設定されている
  • GatewayにはX.X.X.1が振られている

image.png

NAT Gateway

ちなみにこのまますぐInternetに出れるが、外部に見えるIPを固定したい場合はPublic IPを付与してしまうか、NAT Gatewayを使う。

NATする際のPublic IPを設定。
image.png

VMが存在するSubnetを選択。最後にVMを再起動。
image.png

NAT Gatewayを確認するとPIPが振られていて、以降のVMの外部への通信はこれになる。
image.png

VNet Peering

基本的なHub Spoke Topology。
Peeringのパターンについて素敵なまとめ記事があったので以下参照。

Spoke間通信

Peeringして、UDR作成して、HubにFirewallを置けばOKと書いてあったが、自分の探し方が悪かったのか、具体的な手順が見つからなかったのでPerplexity AIに質問しながらやってみる。

以下イメージ。
image.png

① VNet Deploy

まずはhub, spoke1, spoke2をDeployしてみる。VNetはRegionを変えてみる。hubにはAzure FirewallもDeployしている。

image.png

② Peering

HubからSpokeに対してPeeringを設定。双方向の設定が可能なので、そうするとSpoke側のVNetにも設定が入る。
Forwardを可能にするように2つ目の設定にチェックを入れる。
image.png
image.png

同じことをspoke2でも実施。

③ UDRをspoke1, 2に作成する

スクショは1側だけで。
UDRはspoke2のVNetのIP Rangeを指定し、Next HopにFirewallのアドレスを設定。
image.png

spoke1のSubnetにUDRを紐づける。
image.png

同じことをspoke2でも実施。

④ Firewallのルールを設定

Network rule collectionでspoke1とspoke2の双方向のルールを設定。
image.png

⑤ vmを配置

vmをspoke1とspoke2にデプロイし、それぞれでIISを有効化。

⑥ Private IPで疎通確認

VMから隣のSpokeのVMのIIS Start Pageが見れることを確認できた。

⑦ Private DNS Zone設定

せっかくここまできたので、URLでもアクセスできようにやってみる。
Private DNS Zoneを立てて、Virtual Network Link設定時にEnable auto registrationをOnにすればVMを自動的に検知してくれる。これも両方のVNetで設定。
image.png
image.png
レコードが作られた。
image.png

⑧ URLで疎通

Private DNS Zone経由でURLを名前解決できてアクセスできることを確認。
image.png

⑨ HubのBastionからSpokeのVMへログイン

VNetがPeeringしていればHubにBastionをDeployすれば、SpokeのVNetへもHubのBastion経由でアクセスすることが可能。これはVNetがRegion跨ぎで構成されていても問題なく使える。

image.png

Bastionもう少し安くなればなぁ、、、

と思ったら開発用途向けのDeveloper SKUというのがあった!

VNet to VNet VPN

Peeringは簡単で安いけど、通信が暗号化されていないなどマイナス面もあるっちゃある。VNet PeeringはPrivate Endpoint経由で通信すればPrivate IPを利用できるし閉域化もできるのでそれで最低限の通信のセキュリティは満たされている気がするが。
更にセキュアにやりたい場合はコストも手間もかかるが、VPN Gatewayを利用したVNet to Vnet VPNが選択肢になる。

手順含めてまとまっていたので以下参照。

image.png

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?