[Az-700学習メモ] ハイブリッド ネットワークを設計して実装する
勉強資材
Azure VPN Gateway
先に公開しているAz-700勉強メモでも記載したが、主にオンプレミスとの通信時に作成されるゲートウェイリソースになる。
Vnet to Vnetでも利用することができる。Vnet間の接続には、Vnetピアリングも存在する。両者の違いとしては、以下の表を参照すること。差分には、VPNの場合は通信を暗号化することができる。ピアリングの場合はできないので、MWにて暗号化を実装するといった考慮が必要になる。
表は誤植があるので注意、実際はVnetピアリングでもVPNゲートウェイでも暗号化は可能である。
また、VPNの場合は、通信に余計なリソース(このゲートウェイ)が入ることになるので性能的にはピアリングの方が優れることになる。
暗号化がないといっても、完全にインターネットに出る。。。のではなく、Microsoftバックボーンネットワークを経由するため、外部からのアクセスは無いと言ってもいいのではないか。(傍受されたら非暗号化なのでヤバいけど、そもそもアクセスできないという)
ゲートウェイは2種類存在する。VPNゲートウェイとは、基本的にはインターネットを使った接続になる。
専用線を使った接続の場合には、ExpressRouteゲートウェイになる。(ただし、ポイント対サイトやサイト対サイトでは利用できない。)
- VPN Gateway の種類
ポリシーベースとルートベースが存在する。要件によって使い分ける必要があるが、基本はルートベースを使うのがいいのだろう。MSのドキュメントにも大体ルートベースだよと記載がある。
例えば、ExpressRouteとの共存の場合は、S2Sしか利用できないポリシーベースではダメになる。
ローカルネットワークゲートウェイとは
オンプレ側の場所を表すもの。これだけ見ると、オンプレ側に作るリソース?と思うが、実際にはVnet内部に作成するリソースになる。
P2SとS2Sの用途の違い
P2S:Vnetへの接続クライアントが数台に留まる時には便利。関係ないクライアントまで接続可能にしてしまうS2Sよりはセキュリティリスクが低いと考えられる。
S2S:クライアントが多い時に便利。
サーバ証明書・クライアント証明書・ルート証明書の違い
前者2つは、どの主体が証明書を提示するかの違いだけ。ルート証明書は、サーバ証明書を発行した認証局が、信頼された認証局であることを担保するための検証に使われる。変な認証曲じゃないよね?ということを担保する証明書になるのだろう。
クライアント証明書の場合は、社内システムなど限られた利用者のアクセスになる場合に、ユーザIDとパスワードだけだとどの端末からでもアクセスが可能になることを防ぐために利用される。(実際に弊社のシステムでも、証明書使って制御しているのだろう。。。)
Virtual WANのネットワーク仮想アプライアンス(NVA)について
ハブとして、マイクロソフトベースのハブか、サードパーティー製品のハブを作成することができる。このサードパーティ製品がNVAとなる。クラウドリフトなどで、現行踏襲をする場合には選択肢になるのではないか。具体的なカバー製品は、以下を参照すること。
Discussion