Zenn
🗂

[Azure] ネットワークサービスについてまとめてみた

2023/01/01に公開
Azure
#
DNS
ネットワーク
#
パブリックip
tech

教材

https://learn.microsoft.com/ja-jp/training/modules/introduction-to-azure-virtual-networks/

ブロードキャストアドレスとは

255.255.255.255/32のIPアドレスを持つ。このIPアドレス宛に通信を送ると、同じネットワーク内に所属するすべての機器に対して、データを配信することができる。

Azure サブネットの予約IPアドレス

サブネットを作成すると、割り当て可能なIPのうち、5つは予約IPアドレスになる。

192.168.1.0: ネットワーク アドレス
192.168.1.1: 既定のゲートウェイ用に Azure によって予約されます
192.168.1.2、192.168.1.3: Azure DNS IP を VNet 空間にマッピングするために Azure によって予約されます
192.168.1.255: ネットワーク ブロードキャスト アドレス。

IPv4のサブネット範囲

最小CIDRは/29で最大CIDRは/2になる。

命名規則について

仮想ネットワークに閉じた話ではないが、以下の考え方は参考にできるため、メモ。

たとえば、米国西部リージョンに存在する運用 SharePoint ワークロードのパブリック IP リソースは、pip-sharepoint-prod-westus-001 といったものになります

Azure NATでパブリックIPを付与するときには、Standardのみサポートしている。

DNSドメインの委任とは?その方法についても。

(主に)サブドメインの管理を、別のDNSゾーンに任せる考え方。
(親ドメインが子ドメインに管理を)委任という意味でのDNSドメインの委任。
管理範囲を局所化していくことによる運用効率性があげられると思う。

NSの登録が必要…とかあったけど、親ドメインが子ドメインに委任するなら、何のために必要…?とか思ったけど、ルートドメインからどんどん名前解決されていくときに、サブドメインの名前解決のために、NSに問い合わせを行うために、親ドメインに登録が必要になるのだろう。(NSでは、ドメインとIPアドレスの解決を行う)

https://jprs.jp/glossary/index.php?ID=0152#:~:text=管理対象の一部分を,ゾーンが作成されます。

具体的には、子ゾーンで作成されるNSを、親ゾーンに登録することで、委任が実現される。
https://oji-cloud.net/2019/12/25/post-3879/

プライベートDNSゾーンのアクセス元範囲について

VNetとプライベートDNSゾーンを結びつけることで、登録・解決ができるようになる。
登録:Vnet内にリソースを作成したときに、登録として紐づけているプライベートDNSゾーンに対して、自動的にレコードの登録を行う。ただし、登録に関しては、プライベートDNSゾーンとVnetは1対1の関係にしかできない。
解決:解決として登録されているDNSゾーンに対して、名前解決を行うことができる。解決に関しては、1つのVNetに対して1000までDNSゾーンを解決で紐づけることができる。

VnetとプライベートDNSゾーンは同じサブスクリプションにないとダメ?

(実機でk

DNS解決の転送条件付きフォワーダの違いについて

条件付きフォワーダ:クエリの転送(このドメインの名前解決は?というクエリの転送)。クエリに指定したドメインが含まれている場合は、特定のDNSサーバに転送して名前解決を行う。決まったサーバに直接問い合わせを行うため、不要な通信を省くことができる。
転送:ゾーン情報そのものを別サーバにコピーすること。マスターサーバから、スレイブサーバに対してゾーン情報を転送する・・・といった具合のやり方になる。可用性の観点で使われる仕組みなのだろう。
違いの明記については、以下のサイトが参考になる。
https://milestone-of-se.nesuke.com/l7protocol/dns/zone-transfer/
(ちなみに調べる中で出てきた)
フルリゾルバ:名前解決を行うサーバの1つ。特徴として、まずは自身で保持しているキャッシュから名前解決を行い、ダメだった場合は他の権威DNSサーバに順番に問い合わせを行う。キャッシュサーバがない場合、毎回ルートサーバから順番に名前解決を行なっていくことになるので、不要な通信や性能面を考慮すると、あった方がいいサーバなのだろう。
https://jprs.jp/glossary/index.php?ID=0181

レコードセットとは?(レコードとの違い)

特定の名前と種類のレコードを複数作る必要がある場合は、レコードセットという概念が登場する。
例えば、www.contoso.com というドメインを、複数のサーバにて運営する場合、Aレコードは複数登場することになる。この管理をレコードセットという概念でまとめる。
以下の場合は、レコードを2つ記載せずとも、IPアドレスを複数書けるようになっている。

www.contoso.com. 3600 IN A 134.170.185.46
www.contoso.com. 3600 IN A 134.170.188.221

(Azureの)再帰的リゾルバーとは?

「他のDNSサーバに問い合わせしてでも、必ず名前解決をしてこい!」という考え方。
対となる考え方に、非再帰的リゾルバーや反復問い合わせといった考え方がある。
こちらは、「知っていたら教えてね」というスタンスの解決になる。
先に記述したフルリゾルバーを交えて話をすると、
クライアント→フルリゾルバーの問い合わせは再帰的、フルリゾルバー→他DNSサーバへの問い合わせは非再帰的になる。
https://jprs.jp/glossary/index.php?ID=0173

権威サーバとは

あるゾーンの管理情報をもち、他DNSサーバに問合せをすることなく、応答することができるサーバのこと。
ゾーンとは、ある1台のDNSサーバが管理する範囲のことであり、その情報のことをゾーン情報と呼ぶ。
ドメインというのは、そのサブドメインやさらに配下のドメイン情報まで含むのに対して、ゾーンでは自分の管理範囲しか示さない。
https://murci.net/archives/1181

DNSサフィックスとは?

不完全なドメインでリクエストした時に、自動的に補完してくれる機能のことである。
例えば、aaa.bbb.ccc.ddd.comというFQDNで指定しないといけないところ、ccc.ddd.comをサフィックスとして指定しておくと、実際のリクエストの時には、aaa.bbb のみで良くなる。(それ以降は補完してくれる)

リモートゲートウェイ転送とは?

1 つの仮想ネットワークがクロスプレミス接続用にピアリングされた仮想ネットワーク内の VPN ゲートウェイを活用できるようにする VNet ピアリング プロパティです。
VNetピアリングで登場する機能の1つ。
https://cloud.nissho-ele.co.jp/blog/azure_vnet-pierring-gateway/
自身のVNetにゲートウェイを作成しなくてすみ、ピアリング先のゲートウェイを共有して使うことができるようになる。ハブ&スポークを実現することができる。本機能を使って、オンプレ環境に通信を転送するときに経由することができる。

Discussion