NW-JAWS 第5回が開催されました!
AWSのユーザーコミュニティであるJAWS-UG(AWS User Group - Japan)のネットワーク支部になります。主にAWSのネットワーク系サービス(VPCやDirectConnect、Transit Gateway等)のお勉強会となっております
COLUMN
Azureの主なネットワークサービスと通信方法・構築の注意点を解説
NTT東日本でまとめた資料「比べて納得!クラウドへの接続方法」は、こちらよりダウンロードできます。
Azureを利用するうえで必要になるネットワークサービスには、用途や機能に応じてさまざまな種類があり、単独での使用だけではなく組み合わせて使用することも可能です。初めてネットワークを構成するときには、どの機能をどのように使用すればよいか判断が難しいケースもあるでしょう。
本記事ではAzureネットワークサービスについて、それぞれの種類の特徴や外部ネットワークとの通信方法、利用する際の注意点を詳しく解説します。
目次:
- 1.Azureネットワークサービスとは
- 1-1.Azureネットワークのサービス一覧
- 2.Azureの主なネットワークサービス
- 2-1.Azure Virtual Network(VNet)
- 2-2.Azure Firewall
- 2-3.Azure ExpressRoute
- 3.Azureの仮想ネットワークと外部ネットワークの通信方法
- 3-1.インターネットからの接続
- 3-2.P2S VPN 接続
- 3-3.VNet とオンプレミスを接続
- 4.Azureの仮想ネットワーク上で利用できるその他の機能
- 4-1.Azureサービスエンドポイント
- 4-2.Azureネットワークセキュリティグループ(NSG)
- 5.Azureの仮想ネットワークを構築する際の注意点
- 6.Azureネットワーク構築ならぜひNTT東日本にご相談ください
- 7.Azureネットワークについてまとめ
Azureへの接続について疑問・質問などありましたら、こちらよりお気軽にお問い合わせください。
1.Azureネットワークサービスとは
Azureネットワークサービスは、Azureを利用する際に欠かせない機能です。従来のオンプレミス型と異なり、クラウド上で仮想化されているため、迅速かつ簡単にネットワークを構成できる点が特徴です。
Azureネットワークサービスは大きく分けて4つの機能に分類でき、それぞれのサービスで特徴や用途が異なります。ここではまず、Azureネットワークサービスの種類を大まかな機能に分けて紹介します。
1-1.Azureネットワークのサービス一覧
Azureのネットワークサービスは大きく接続サービス、アプリケーション保護サービス、アプリケーション配信サービス、ネットワークの監視の4つに分類できます。
- 横にスクロールします
| 種類 | 主な機能 | ネットワークサービス |
|---|---|---|
| 接続サービス | Azureとオンプレミスを接続するためのネットワークサービス |
|
| アプリケーション保護サービス | 利用しているAzureアプリケーションのセキュリティを強化し、外部攻撃などから保護するネットワークサービス |
|
| アプリケーション配信サービス | アプリケーションを配信するためのネットワークサービス |
|
| ネットワークの監視 | ネットワークリソース監視を支援するネットワークサービス |
|
2.Azureの主なネットワークサービス
ここでは、Azureネットワークを構成する際に覚えておくべき主要な機能に絞って、詳しく特徴を紹介します。
2-1.Azure Virtual Network(VNet)
Azure Virtual Network(VNet)は、Azureネットワークを接続する際の基礎となる要素です。Azure上に作成した仮想マシンは、VNetを通じて仮想ネットワーク内にある別の仮想マシンや、外部のオンプレミスと接続します。
Azure Virtual Networkは、同じ仮想ネットワーク上にある仮想マシンやアプリケーション同士の接続や、複数の仮想ネットワーク同士の接続、外部のオンプレミスへの接続に用いられるほか、仮想ネットワーク内のリソースに外部から接続するためのパブリックIPアドレスを設定する際にも利用されます。
2-2.Azure Firewall
Azure Firewallは、Azure Virtual Networkから外部ネットワーク通信やオンプレミスへ接続する際に、それらのネットワークのセキュリティを強化するための機能です。Azure Firewallにはいくつかの種類があり、いずれも不正アクセスからの保護、アプリケーショントラフィック規制の作成と制御、Firewall Managerによる一元管理など、基本的な機能は備わっています。
Azure FirewallはBasic・Standard・Premiumの3種類があります。各種機能の違いは以下のとおりです。
- 横にスクロールします
| 機能カテゴリ | 機能の内容 | Firewall Basic | Firewall Standard | Firewall Premium |
|---|---|---|---|---|
| L3-L7 フィルタリング | HTTPS/SQL 用のアプリケーション レベルの FQDN フィルタリング(SNI ベース ) | ○ | ○ | ○ |
| ネットワーク レベルの FQDN フィルタリング – すべてのポートとプロトコル | - | ○ | ○ | |
| ステートフル ファイアウォール(5 タプル ルール) | ○ | ○ | ○ | |
| ネットワークアドレス変換(SNAT+DNAT) | ○ | ○ | ○ | |
| 信頼性とパフォーマンス | アベイラビリティーゾーン | ○ | ○ | ○ |
| 内蔵HA | ○ | ○ | ○ | |
| クラウドのスケーラビリティ(トラフィックの増加に応じて自動スケール) | 最大250Mbps | 最大30Gbps | 最大100Gbps | |
| ファットフローのサポート | 該当なし | 1Gbps | 10Gbps | |
| 管理のしやすさ | Firewall Managerによる一元管理 | ○ | ○ | ○ |
| ポリシー分析(長期にわたるルール管理) | ○ | ○ | ○ | |
| エンタープライズ統合 | SIEM統合を含む完全なロギング | ○ | ○ | ○ |
| サービスタグとFQDNタグによる簡単なポリシー管理 | ○ | ○ | ○ | |
| REST/PS/CLI/テンプレート/Terraformを使用した簡単なDevOps統合 | ○ | ○ | ○ | |
| Web コンテンツ フィルタリング(Web カテゴリ) | - | ○ | ○ | |
| DNSプロキシ+カスタムDNS | - | ○ | ○ | |
| 高度な脅威防御 | 脅威インテリジェンスベースのフィルタリング(既知の悪意のある IP アドレス/ドメイン) | アラート機能 | ○ | ○ |
| 受信TLS終端(TLSリバースプロキシ) | - | - | App GWで使用可能 | |
| アウトバウンド TLS 終端(TLS フォワード プロキシ) | - | - | ○ | |
| フルマネージド IDPS | - | - | ○ | |
| URL フィルタリング(フルパス – SSL 終了を含む) | - | - | ○ |
上記のとおり、Basicは小中規模向けのサービスで最も機能が少なく、Premiumは利用できる機能が最も多いため、内容を比較して最適なSKUを選択しましょう。
2-3.Azure ExpressRoute
Azure ExpressRouteは、オンプレミスとAzureの仮想ネットワークを閉域接続する機能です。パブリックネットワーク回線ではなく、接続プロバイダーが提供するプライベート回線を経由するため、先ほど紹介したVNet接続よりも安全性が高く通信速度も安定します。
またAzure ExpressRouteはAzureネットワークとの接続だけではなく、Microsoft 365やDynamics 365などのMicrosoftクラウドサービスへの接続も可能です。ただしMicrosoftクラウドサービスへの接続に使用する際には、Microsoftピアリングを使用する必要があるため注意しましょう。
NTT東日本ではフレッツ光回線を利用したExpressRoute接続サービスを提供しています。詳しくは以下サービスサイトをご確認ください。
3.Azureの仮想ネットワークと外部ネットワークの通信方法
Azureの仮想ネットワークと外部ネットワーク、オンプレミス環境に通信する方法を紹介します。
3-1.インターネットからの接続
インターネットからAzureの仮想ネットワークに接続するためには、仮想ネットワーク内のリソースにパブリックIPアドレスを割り当てるか、パブリックロードバランサーを使用する必要があります。
この方法はインターネットを経由して仮想ネットワーク上のリソースにアクセスできる一方で、セキュリティのリスクも高まるため、インターネット上に公開するサービス以外はパブリックIPアドレスを割り当てないようにするなどの注意が必要です。
3-2.P2S VPN 接続
P2S VPN接続は、オンプレミスネットワークに接続していないクライアントコンピュータから、Azureの仮想ネットワークに接続する方法です。たとえば、リモートワークの際に自宅からオフィスのオンプレミス環境へ接続したい時などに用いられます。
この接続では、クライアント端末からVPN GatewayにVPN接続をリクエストすることで通信が成立します。
3-3.VNet とオンプレミスを接続
Azureの仮想ネットワークとオンプレミスを接続する方法は主に2つあります。
一つは先ほど紹介したExpressRouteでの接続方法で、Azureネットワークとオンプレミスを専用回線で接続できるものです。
そのほかの方法としてS2S VPN接続があります。S2S VPN接続では、オンプレミス側にパブリックIPアドレスを設定し、仮想ネットワーク上のローカルネットワークゲートウェイにIPアドレスを指定することで接続します。この接続では、オンプレミス側でのパブリックIPアドレスの設定とVPNデバイスの用意が必要です。
4.Azureの仮想ネットワーク上で利用できるその他の機能
これまで紹介した機能や通信方法の他にも、基礎として覚えておくべき機能がいくつかあります。この章では、AzureサービスエンドポイントとAzureネットワークセキュリティグループについて解説します。
4-1.Azureサービスエンドポイント
Azureサービスエンドポイントは、仮想ネットワークの設定でサブネットからインターネットへの送信を拒否している閉鎖環境でも、PaaSサービスを利用できるサービスです。
PaaSは基本的にインターネットからアクセスが可能となるパブリックIPアドレスを持っているため、仮想ネットワークがインターネットへの接続を制限している場合、通常であればPaaSへの接続ができなくなってしまいます。このような状況でAzureサービスエンドポイントを利用すると、閉じられた環境でも仮想ネットワーク内の特定のサブネットからPaaSへの接続を可能にします。
これにより、PaaSを使いながらも仮想ネットワーク自体はインターネットへの接続を許可しない状態を継続できるため、情報セキュリティ対策としても効果的です。
4-2.Azureネットワークセキュリティグループ(NSG)
Azureネットワークセキュリティグループ(NSG)は、Azure Firewallと似たセキュリティサービスです。Azure仮想ネットワーク内のトランスポート層で動作し、リソーストラフィックや仮想マシンのNIC間の通信制御ができます。また、複数のサブネット・NICを一つのNSGで管理できる点も特徴です。
Azure Firewallはインターネットと仮想ネットワークの境界で動作するサービスのため、Azureネットワークセキュリティグループと組み合わせて適用できます。いずれのセキュリティサービスもインターネットを安全に利用するうえで欠かせないため、組み合わせて使用するとよいでしょう。
5.Azureの仮想ネットワークを構築する際の注意点
Azureの仮想ネットワークは、一つのVNetに対して複数のリージョンをまたぐような構築はできないため、同じリージョン内で構築する必要があります。可用性を高めたいなどの理由で複数のリージョンにある仮想ネットワークのリソースを連携したい場合は、ピアリング機能やV2V接続を利用するとよいでしょう。
また、Azureの仮想ネットワークは「クラシックデプロイモデル」と「 Azure Resource Manager」の2つのデプロイモデルが用意されています。それぞれのモデルで仮想ネットワーク数・サブネット数の上限が異なります。
パブリックIPアドレスやプライベートIPアドレスの割り当て方法もモデルによって異なるため、注意しましょう。
6.Azureネットワーク構築ならぜひNTT東日本にご相談ください
Azureは仮想ネットワークの構築に必要なサービスや機能を網羅的に提供しているため、初めて仮想ネットワークを構築する場合でも安心です。しかしながら社内の人員不足や、経験者がいないなどの理由で、なかなかネットワーク構築に踏み出せないケースもあるでしょう。
NTT東日本のクラウド導入・運用 for AWS/ Microsoft Azureなら、仮想ネットワークの構築から運用までをサポートします。150社以上の実績があり、NTT東日本社内のAzureの有資格者が要件定義や設計などを行うため、自社に最適なネットワーク構築を効率的に実装できます。
詳しくは以下のサービスページをご覧ください。
クラウド導入・運用 for AWS/ Microsoft Azure
また、オンプレミスとVNet間での閉域ネットワーク環境の構築を検討している場合は、クラウドゲートウェイ クロスコネクトがおすすめです。クラウドゲートウェイ クロスコネクトでは、現在すでに利用しているフレッツ光回線を利用してExpressRoute接続ができるため、新たな回線が必要ありません。
詳しくは以下のサービスページをご覧ください。
7.Azureネットワークについてまとめ
Azureネットワークサービスは、Azureを利用するうえで必須のサービスです。ネットワークサービスは機能に応じてさまざまな種類が提供されていて、主に接続サービス、アプリケーション保護サービス、アプリケーション配信サービス、ネットワーク監視サービスの4つに分類されます。それぞれの機能の特徴を理解して、自社に適した設計を行いましょう。
また、ネットワーク構築を検討していて自社内での人員不足に課題を感じている場合は、NTT東日本のクラウド導入・運用 for AWS/ Microsoft Azureをぜひご検討ください。Azureの有資格者が要件定義からネットワーク設計までワンストップで支援します。
興味のある方はぜひ以下からお問い合わせください。
RECOMMEND
その他のコラム
無料ダウンロード
自社のクラウド導入に必要な知識、ポイントを
この1冊に総まとめ!
あなたはクラウド化の
何の情報を知りたいですか?
- そもそも自社は本当にクラウド化すべき?オンプレとクラウドの違いは?
- 【AWS・Azure・Google Cloud】
どれが自社に最もマッチするの? - 情シス担当者の負荷を減らしてコストを軽減するクラウド化のポイントは?
- 自社のクラウド導入を実現するまでの具体的な流れ・検討する順番は?
初めての自社クラウド導入、
わからないことが多く困ってしまいますよね。
NTT東日本では
そんなあなたにクラウド導入に必要な情報を
1冊の冊子にまとめました!
クラウド化のポイントを知らずに導入を進めると、以下のような事になってしまうことも・・・
- システムインフラの維持にかかるトータルコストがあまり変わらない。。
- 情シス担当者の負担が減らない。。
- セキュリティ性・速度など、クラウド期待する効果を十分に享受できない。。
理想的なクラウド環境を実現するためにも、
最低限の4つのポイントを
抑えておきたいところです。
-
そもそも”クラウド化”とは?
その本質的なメリット・デメリット - 自社にとって
最適なクラウド環境構築のポイント - コストを抑えるための
具体的なコツ - 既存環境からスムーズにクラウド化を
実現するためのロードマップ
など、この1冊だけで自社のクラウド化のポイントが簡単に理解できます。
またNTT東日本でクラウド化を実現し
問題を解決した事例や、
導入サポートサービスも掲載しているので、
ぜひダウンロードして読んでみてください。
クラウドのわからない・
面倒でお困りのあなたへクラウドのご相談できます!
面倒でお困りのあなたへ
クラウドのご相談できます!
無料オンライン相談窓口
NTT東日本なら貴社のクラウド導入設計から
ネットワーク環境構築・セキュリティ・運用まで
”ワンストップ支援”が可能です!
NTT東日本が選ばれる5つの理由
- クラウド導入を
0からワンストップでサポート可能! - 全体最適におけるコスト効率・業務効率の改善を
中立的にご提案 - クラウド環境に問題がないか、
第3者目線でチェック
してもらいたい - 安心の24時間・365日の対応・保守
- NTT東日本が保有する豊富なサービスの組み合わせで
”課題解決”と”コスト軽減”を両立
特に以下に当てはまる方はお気軽に
ご相談ください。
- さまざまな種類やクラウド提供事業者があってどれが自社に適切かわからない
- オンプレミスのままがよいのか、クラウド移行すべきなのか、迷っている
- オンプレミスとクラウド移行した際のコスト比較を行いたい
- AWSとAzure、どちらのクラウドが自社に適切かわからない
- クラウド環境に問題がないか、第3者目線でチェックしてもらいたい
- クラウド利用中、ネットワークの速度が遅くて業務に支障がでている
クラウドを熟知するプロが、クラウド導入におけるお客さまのLAN 環境や接続ネットワーク、
クラウドサービスまでトータルにお客さまのお悩みや課題の解決をサポートします。
相談無料!プロが中立的にアドバイスいたします
クラウド・AWS・Azureでお困りの方はお気軽にご相談ください。