azure仮想マシンと仮想ネットワーク
TRANSCRIPT
Microsoft Azure
仮想マシンと仮想ネットワーク
佐々木邦暢 (@ksasakims)
日本マイクロソフト株式会社
2
本日の内容
仮想マシンの配置とネットワーク 仮想マシンの配置
仮想ネットワーク
さまざまな関連機能
4
Azure 仮想マシンの構成要素
仮想マシンは常にクラウドサービス内に配置されます。
仮想マシンのNIC毎に、内部IPアドレス(DIP)が割り当て
られます。ゲストOSから見えるのはこのアドレスです。
(VIPではありません)
クラウドサービスは仮想マシンを配置する「受け皿」です。
クラウドサービス毎に FQDN (~.cloudapp.net) が確保
され、それに対応する IP アドレスが前述の ”VIP” です。
新ポータルでは単に「ドメイン名」と呼ばれます。
ロードバランサー (LB) が標準で用意されます。
LB は NAT の機能も持ち、VIP へのアクセスを仮想
マシンへ繋ぎます。この時のポート変換定義が
「エンドポイント」です。
※ 仮想マシンが 1 台だけでも必ず LB は存在します。
サイズ: Standard_A1
ホスト名: vm01
内部 IP (DIP) : a.b.c.d
仮想マシン
クラウドサービス (~.cloudapp.net)
3389/tcp
50413/tcp
ロードバランサー (LB)
A.B.C.D パブリック仮想 IP アドレス (VIP)
パブリック ポート
プライベート ポート
エンドポイント定義
5
Azure 仮想マシンの冗長構成
クラウドサービス (~.cloudapp.net)
A.B.C.D
443/tcp
a.b.c.1 a.b.c.2 a.b.c.3
vm01 vm02 vm03
443/tcp 443/tcp 443/tcp
Web サーバーのようなスケールアウト型クラスターの
負荷分散、DB サーバー等のフェールオーバークラスター
における Active-Passive 切り替え、いずれの場合も
Azure のロードバランサーでトラフィックを適切な
インスタンスへ誘導できます。
また、これら複数の仮想マシンインスタンスを
「可用性セット」で括っておくことで、各仮想マシンが
別々の「障害ドメイン」へ配置され、耐障害性を高める
ことができます。
「障害ドメイン」毎に別々の電源、ネットワーク機器が
用意されており、他のドメインへ障害が波及しないように
なっています。
可用性セット
エンドポイントに「負荷分散セット」を
構成して負荷分散
6
配置場所の選択肢
クラウドサービス
VIP: A.B.C.D
DIP: a.b.c.d
クラウドサービス
VIP: E.F.G.H
DIP: e.f.g.h
内部ネットワークはつながっておらず、
DIPでのVM相互通信はできない
仮想ネットワーク
クラウドサービス
VIP: A.B.C.D
DIP: a.b.c.d
クラウドサービス
VIP: E.F.G.H
DIP: a.b.c.d2
同一の仮想ネットワークに配置されたVM同士は
DIPで相互に通信可能
8
仮想ネットワーク
Azure データセンター
仮想ネットワーク - Azure 上にプライベートなネットワークを確保
サブネット1
サブネット2
ゲートウェイサブネット
社内ネットワーク
VPNルーター
Azure上に自社専用のプライベートなアドレス空間・サブネットを定義できます。
仮想ネットワークに配置したサーバーには指定のアドレスを割り当てることができます。
VPNを構成して、社内ネットワークとAzure上の仮想ネットワークを接続できます。
「ExpressRoute」(閉域網接続サービス)で自社とAzure間を直接接続できます。
別の利用者のサーバー
9
アドレス空間とサブネットの指定
VNET 内の最上位要素が「アドレス空間」です。
アドレス空間自体を複数定義可能です。
アドレス空間の中を複数のサブネットに区切る
ことができます。
VM の作成時に、その VM をどのサブネットに
所属させるかを決定します。
複数のサブネット間のルーティングは Azure 側で
行われます。
10
自由度の高いアドレス空間定義
以前は、 RFC1918で定義されるプライベートアドレス
のみに対応していました。
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
現在は、上記以外のパブリックIPアドレス範囲も
利用可能になっています。
ただし、下記の範囲を除きます。
224.0.0.0/4 (マルチキャスト)
255.255.255.255/32 (ブロードキャスト)
127.0.0.0/8 (ループバック)
169.254.0.0/16 (リンクローカル)
68.63.129.16/32 (Azure内部DNS = iDNS)
https://msdn.microsoft.com/ja-jp/library/azure/dn878372.aspx
11
DNSサーバーやVPN接続の設定
ここで設定したDNSサーバーのIPアドレスが、仮想ネットワークに
配置される仮想マシンに対して自動的に配布されます。
※ Azure仮想マシンはネットワーク設定を必ずDHCPで構成します。
12
仮想マシンの配置
仮想ネットワークを作成すると、
仮想マシンを作成する際に、配置場所として
「東日本」のようなリージョンではなく、
仮想ネットワークを指定できます。
このように仮想マシンを「リージョン」では
なく「仮想ネットワーク」に配置することで、
次ページ以降紹介する数々の追加機能が利用
可能になります。
新ポータルでは
「仮想ネットワークへの配置」が
唯一の選択肢となります。
13
Azure データセンター
仮想ネットワークを使ったシステム構成例
サブネット1
サブネット2
サブネット3
ゲートウェイサブネット 仮想ネットワーク
Webサーバー3インスタンス(負荷分散構成)
ファイルサーバー
DBサーバー2インスタンス(高可用構成)
内部負荷分散
(ILB)
負荷分散
Active Directoryドメイン
コントローラー
社内ネットワーク
サブネット間のルーティング
VPNゲートウェイ
VPNルーター
データディスク
VPN接続
インターネット経由接続
15
VIPの予約とインスタンスレベルIPアドレス
インターネット
インスタンスレベルパブリックIPアドレス
(PIP)
VIPの予約1
2
VM1 VM2
DIP2
以前は、クラウドサービス内の
全インスタンスをシャットダウンした場合、
VIP (パブリック仮想 IP アドレス)が解放
されてしまいました。
「予約済み IP アドレス」機能を利用すると、
仮想マシンの状態にかかわらず、VIP が保持
されるようになります。
また、「インスタンスレベル IP アドレス」を
利用すると、グローバルIPアドレスと
仮想マシンのインスタンスが 1:1 に対応します。
エンドポイントの定義が不要になりますので、
例えばFTPサーバーをAzure仮想マシンで構築す
るようなことが容易になります。
以前はポータルでの設定ができませんでしたが、
今は新ポータルで容易に設定できます。
16
内部IPアドレス(DIP)の指定
仮想ネットワーク (VNET)
クラウドサービス
10.0.1.121
VM01 VM02 VM03
10.0.1.122 10.0.1.123
仮想ネットワークに配置
された仮想マシンの
DIP (内部 IP アドレス) を
指定することができます。
ただし、
「NICに静的に設定」
されるわけではありません。
アドレスの配布自体は
DHCP で行われます。
Set-AzureStaticVNetIP
コマンドレット、あるいは
新ポータルで設定可能です。
このアドレスが指定(固定)可能
17
仮想マシンに複数のNICを接続
仮想ネットワーク (VNET)
Firewall
DMZ
Frontend
仮想マシンに複数の NIC を装着可能になりました。
Windows 以外の OS も含め、Basic SKU 以外の
すべてのインスタンスで利用可能です。
インターネットから通信が可能な VIP は、
「デフォルトNIC」にのみ関連付けられます。
作成可能な NIC の枚数は、インスタンスサイズごとに
異なりますが、最大で 16 枚です。
https://msdn.microsoft.com/library/azure/dn848315.aspx/
インスタンス種別 NIC 最大数
A3, A6, D(S)2, D(S)11, A8, A10, G2 2
A4, A7, D(S)3, D(S)12, A9, A11, G3 4
D(S)4, D(S)13, G4 8
D(S)14, G5 16
その他 1
18
ネットワーク セキュリティ グループ (NSG)
仮想ネットワーク (VNET)
VM01
VM03
DMZ
Frontend
VM02
以前からある「エンドポイント ACL」を発展的に
置き換えるネットワークのアクセス制御機能です。
送信元 or 宛先 IP アドレス、ポート(範囲も可) 、
プロトコルを指定して、送受信両方向の通信を
許可・禁止するルールを作成できます。
ルールはステートフルです。(戻りパケットを明示的に
制御する必要はありません)
一つのNSGに複数のルールを含めることができます。
NSG は個々の仮想マシン単位、あるいはサブネット
全体に対して設定できます。
エンドポイント ACL では不可能だった送信方向のトラ
フィックに対する制御も可能になったので、
「Azure仮想マシンのインターネットアクセスを禁止」
することも可能になりました。
http://msdn.microsoft.com/ja-jp/library/azure/dn848316.aspx
NSG_3 NSG_3
NSG_1
NSG_2
19
サイト間 VPN 接続
オンプレミス側に VPN ルーターを設置し、
Azure 上の仮想ネットワークと IPSec VPN を確立
VPN ルーターの設定情報は Azure 管理ポータルから
ダウンロードできます。
20
マルチサイト VPN と仮想ネットワーク間接続
複数の拠点とVPN接続
複数の仮想ネットワーク間を接続
かつて 現在
VNET2日本(東)
VNET1日本(西)
VNet1US West
本社 (10.0.0.0/16) 本社 (10.0.0.0/16) 支社 (10.3.0.0/16)
VNET1日本(西) VNET2
日本(東)
従来は、Azureの仮想ネットワークと
地上の拠点を1:1に接続することが
できました。
「マルチサイトVPN」によって、仮想
ネットワークに複数の拠点が同時に
接続可能となります。
「仮想ネットワーク間接続」を使うと、
複数の仮想ネットワーク間を相互に
接続可能です。
これらを組み合わせることで、複数の
拠点、複数のAzureリージョンを接続
して大規模なネットワークを構築する
ことが可能となります。
21
閉域網接続サービス “ExpressRoute”
日本でも2015年1月15日より提供開始
“ExpressRoute” を利用することで、
お客様の拠点と Azure 間を、
プライベート回線で接続できます。
インターネットを経由しませんので、
信頼性が高く、高帯域かつ低遅延、
セキュリティも強固です。
仮想マシンだけでなく、ストレージ
やSQL Databaseへの接続も、
ExpressRoute経由で可能です。
日本でも2015年1月15日より、
34社のパートナー企業様と共に
サービス提供を開始いたしました。
http://www.microsoft.com/ja-jp/server-cloud/azure/solutions/Secure-Network/partners.aspxhttp://www.microsoft.com/ja-jp/news/Press/2015/Jan15/150115_Azure_ExpressRoute.aspx
22
VPN 及び ExpressRoute のゲートウェイ
https://msdn.microsoft.com/en-us/library/azure/jj156075.aspx
ゲートウェイの種類ごとに、
スループット及びトンネルの最大数が
決まっています。
種類は、作成後でも変更可能です。
ゲートウェイの種類ExpressRouteとVPNの共存
ExpressRouteのスループット
Site-to-Site VPNのスループット
Site-to-Siteトンネルの最大数
Basic 不可 500 Mbps 100 Mbps 10
Standard 可 1,000 Mbps 100 Mbps 10
Performance 可 2,000 Mbps 200 Mbps 30
本書に記載した情報は、本書各項目に関する発行日現在の Microsoft の見解を表明するものです。Microsoftは絶えず変化する市場に対応しなければならないため、ここに記載した情報に対していかなる責務を負うものではなく、提示された情報の信憑性については保証できません。
本書は情報提供のみを目的としています。 Microsoft は、明示的または暗示的を問わず、本書にいかなる保証も与えるものではありません。
すべての当該著作権法を遵守することはお客様の責務です。Microsoftの書面による明確な許可なく、本書の如何なる部分についても、転載や検索システムへの格納または挿入を行うことは、どのような形式または手段(電子的、機械的、複写、レコーディング、その他)、および目的であっても禁じられています。これらは著作権保護された権利を制限するものではありません。
Microsoftは、本書の内容を保護する特許、特許出願書、商標、著作権、またはその他の知的財産権を保有する場合があります。Microsoftから書面によるライセンス契約が明確に供給される場合を除いて、本書の提供はこれらの特許、商標、著作権、またはその他の知的財産へのライセンスを与えるものではありません。
© 2015 Microsoft Corporation. All rights reserved.
Microsoft, Windows, その他本文中に登場した各製品名は、Microsoft Corporation の米国およびその他の国における登録商標または商標です。
その他、記載されている会社名および製品名は、一般に各社の商標です。