More Related Content
Similar to Azure仮想マシンと仮想ネットワーク
Similar to Azure仮想マシンと仮想ネットワーク (20)
More from Kuninobu SaSaki
More from Kuninobu SaSaki (19)
Azure仮想マシンと仮想ネットワーク
- 4. 4
Azure 仮想マシンの構成要素
仮想マシンは常にクラウドサービス内に配置されます。
仮想マシンのNIC毎に、内部IPアドレス(DIP)が割り当て
られます。ゲストOSから見えるのはこのアドレスです。
(VIPではありません)
クラウドサービスは仮想マシンを配置する「受け皿」です。
クラウドサービス毎に FQDN (~.cloudapp.net) が確保
され、それに対応する IP アドレスが前述の ”VIP” です。
新ポータルでは単に「ドメイン名」と呼ばれます。
ロードバランサー (LB) が標準で用意されます。
LB は NAT の機能も持ち、VIP へのアクセスを仮想
マシンへ繋ぎます。この時のポート変換定義が
「エンドポイント」です。
※ 仮想マシンが 1 台だけでも必ず LB は存在します。
サイズ: Standard_A1
ホスト名: vm01
内部 IP (DIP) : a.b.c.d
仮想マシン
クラウドサービス (~.cloudapp.net)
3389/tcp
50413/tcp
ロードバランサー (LB)
A.B.C.D パブリック仮想 IP アドレス (VIP)
パブリック ポート
プライベート ポート
エンドポイント定義
- 5. 5
Azure 仮想マシンの冗長構成
クラウドサービス (~.cloudapp.net)
A.B.C.D
443/tcp
a.b.c.1 a.b.c.2 a.b.c.3
vm01 vm02 vm03
443/tcp 443/tcp 443/tcp
Web サーバーのようなスケールアウト型クラスターの
負荷分散、DB サーバー等のフェールオーバークラスター
における Active-Passive 切り替え、いずれの場合も
Azure のロードバランサーでトラフィックを適切な
インスタンスへ誘導できます。
また、これら複数の仮想マシンインスタンスを
「可用性セット」で括っておくことで、各仮想マシンが
別々の「障害ドメイン」へ配置され、耐障害性を高める
ことができます。
「障害ドメイン」毎に別々の電源、ネットワーク機器が
用意されており、他のドメインへ障害が波及しないように
なっています。
可用性セット
エンドポイントに
「負荷分散セット」を
構成して負荷分散
- 8. 8
仮想ネットワーク
Azure データセンター
仮想ネットワーク - Azure 上にプライベートなネットワークを確保
サブネット1
サブネット2
ゲートウェイ
サブネット
社内ネットワーク
VPNルーター
Azure上に自社専用のプライベートなアドレス空間・サブネットを定義できます。
仮想ネットワークに配置したサーバーには指定のアドレスを割り当てることができます。
VPNを構成して、社内ネットワークとAzure上の仮想ネットワークを接続できます。
「ExpressRoute」(閉域網接続サービス)で自社とAzure間を直接接続できます。
別の利用者のサーバー
- 10. 10
自由度の高いアドレス空間定義
以前は、 RFC1918で定義されるプライベートアドレス
のみに対応していました。
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
現在は、上記以外のパブリックIPアドレス範囲も
利用可能になっています。
ただし、下記の範囲を除きます。
224.0.0.0/4 (マルチキャスト)
255.255.255.255/32 (ブロードキャスト)
127.0.0.0/8 (ループバック)
169.254.0.0/16 (リンクローカル)
68.63.129.16/32 (Azure内部DNS = iDNS)
https://msdn.microsoft.com/ja-jp/library/azure/dn878372.aspx
- 17. 17
仮想マシンに複数のNICを接続
仮想ネットワーク (VNET)
Firewall
DMZ
Frontend
仮想マシンに複数の NIC を装着可能になりました。
Windows 以外の OS も含め、Basic SKU 以外の
すべてのインスタンスで利用可能です。
インターネットから通信が可能な VIP は、
「デフォルトNIC」にのみ関連付けられます。
作成可能な NIC の枚数は、インスタンスサイズごとに
異なりますが、最大で 16 枚です。
https://msdn.microsoft.com/library/azure/dn848315.aspx/
インスタンス種別 NIC 最大数
A3, A6, D(S)2, D(S)11, A8, A10, G2 2
A4, A7, D(S)3, D(S)12, A9, A11, G3 4
D(S)4, D(S)13, G4 8
D(S)14, G5 16
その他 1
- 18. 18
ネットワーク セキュリティ グループ (NSG)
仮想ネットワーク (VNET)
VM01
VM03
DMZ
Frontend
VM02
以前からある「エンドポイント ACL」を発展的に
置き換えるネットワークのアクセス制御機能です。
送信元 or 宛先 IP アドレス、ポート(範囲も可) 、
プロトコルを指定して、送受信両方向の通信を
許可・禁止するルールを作成できます。
ルールはステートフルです。(戻りパケットを明示的に
制御する必要はありません)
一つのNSGに複数のルールを含めることができます。
NSG は個々の仮想マシン単位、あるいはサブネット
全体に対して設定できます。
エンドポイント ACL では不可能だった送信方向のトラ
フィックに対する制御も可能になったので、
「Azure仮想マシンのインターネットアクセスを禁止」
することも可能になりました。
http://msdn.microsoft.com/ja-jp/library/azure/dn848316.aspx
NSG_3 NSG_3
NSG_1
NSG_2
- 19. 19
サイト間 VPN 接続
オンプレミス側に VPN ルーターを設置し、
Azure 上の仮想ネットワークと IPSec VPN を確立
VPN ルーターの設定情報は Azure 管理ポータルから
ダウンロードできます。
- 20. 20
マルチサイト VPN と仮想ネットワーク間接続
複数の拠点とVPN接続
複数の仮想ネットワーク間を接続
かつて 現在
VNET2
日本(東)
VNET1
日本(西)
VNet1
US West
本社 (10.0.0.0/16) 本社 (10.0.0.0/16) 支社 (10.3.0.0/16)
VNET1
日本(西) VNET2
日本(東)
従来は、Azureの仮想ネットワークと
地上の拠点を1:1に接続することが
できました。
「マルチサイトVPN」によって、仮想
ネットワークに複数の拠点が同時に
接続可能となります。
「仮想ネットワーク間接続」を使うと、
複数の仮想ネットワーク間を相互に
接続可能です。
これらを組み合わせることで、複数の
拠点、複数のAzureリージョンを接続
して大規模なネットワークを構築する
ことが可能となります。
- 21. 21
閉域網接続サービス “ExpressRoute”
日本でも2015年1月15日より提供開始
“ExpressRoute” を利用することで、
お客様の拠点と Azure 間を、
プライベート回線で接続できます。
インターネットを経由しませんので、
信頼性が高く、高帯域かつ低遅延、
セキュリティも強固です。
仮想マシンだけでなく、ストレージ
やSQL Databaseへの接続も、
ExpressRoute経由で可能です。
日本でも2015年1月15日より、
34社のパートナー企業様と共に
サービス提供を開始いたしました。
http://www.microsoft.com/ja-jp/server-cloud/azure/solutions/Secure-Network/partners.aspxhttp://www.microsoft.com/ja-jp/news/Press/2015/Jan15/150115_Azure_ExpressRoute.aspx
- 22. 22
VPN 及び ExpressRoute のゲートウェイ
https://msdn.microsoft.com/en-us/library/azure/jj156075.aspx
ゲートウェイの種類ごとに、
スループット及びトンネルの最大数が
決まっています。
種類は、作成後でも変更可能です。
ゲートウェイの種類
ExpressRoute と
VPN の共存
ExpressRouteの
スループット
Site-to-Site VPNの
スループット
Site-to-Site
トンネルの最大数
Basic 不可 500 Mbps 100 Mbps 10
Standard 可 1,000 Mbps 100 Mbps 10
Performance 可 2,000 Mbps 200 Mbps 30
- 23. 本書に記載した情報は、本書各項目に関する発行日現在の Microsoft の見解を表明するものです。Microsoftは絶えず変化する市場に対応しなければならないため、ここに記載した情報に対し
ていかなる責務を負うものではなく、提示された情報の信憑性については保証できません。
本書は情報提供のみを目的としています。 Microsoft は、明示的または暗示的を問わず、本書にいかなる保証も与えるものではありません。
すべての当該著作権法を遵守することはお客様の責務です。Microsoftの書面による明確な許可なく、本書の如何なる部分についても、転載や検索システムへの格納または挿入を行うことは、
どのような形式または手段(電子的、機械的、複写、レコーディング、その他)、および目的であっても禁じられています。これらは著作権保護された権利を制限するものではありません。
Microsoftは、本書の内容を保護する特許、特許出願書、商標、著作権、またはその他の知的財産権を保有する場合があります。Microsoftから書面によるライセンス契約が明確に供給される場
合を除いて、本書の提供はこれらの特許、商標、著作権、またはその他の知的財産へのライセンスを与えるものではありません。
© 2015 Microsoft Corporation. All rights reserved.
Microsoft, Windows, その他本文中に登場した各製品名は、Microsoft Corporation の米国およびその他の国における登録商標または商標です。
その他、記載されている会社名および製品名は、一般に各社の商標です。