Open4
Azureに関するメモ
しみゆー責任共有モデル
オンプレでは、ネットワークやサーバにいたるまですべて自社側で管理を行っていた。
クラウド(IaaS,PaaS,SaaS)ではそういったものをベンダー(Azureの場合はMicrosoft)に管理してもらうことができる。
ユーザーが責任を負う必要があるもの
- データセンターが機能しなくなる、サーバが故障するなどの事態への対応(Microsoft側はSLAとしてサービスレベルを保証はしているが、不測の事態は起こり得る)
- 不測の事態に備えて、ストレージの冗長性を高めるなど
- どの程度備えるかは、事業の性質による。ユーザーの責任範囲。
しみゆー仮想ネットワーク
VNet
- 専用のプライベートネットワーク環境(閉域網)を作れるサービス
- VNet内のリソース同士は自由にアクセス可能
- VNet間のやりとりするときはピアリングする
しみゆー仮想ネットワークの作り方
基本タブ
- サブスクリプション
- リソースグループ
- 仮想ネットワークインスタンスの名称
- 地域
IPアドレス
- IPv4 CIDR表記で指定
- サブネットも一緒に作成できる
サブネットの作成
- サブネット名
- サブネットのアドレス範囲
- 仮想ネットワークのアドレス空間に含まれている必要がある
しみゆーNSG(ネットワークセキュリティグループ)
- Azureリソースが送受信するネットワークトラフィックをフィルターする(トラフィックフィルター)。フィルターする規則としては、送信元、送信先、ポート、プロトコルを指定できる。
デフォルトで許可されている通信
- インバウンド(入ってくる通信)
- VNet同士の通信
- ロードバランサーからの通信
- アウトバウンド(出ていく通信)
- VNet同士の通信
- インターネットへの通信
NSGを作る単位
NSGは、仮想マシンのNICかサブネットに設定する。
多くの場合、サブネットは意味のあるまとまりになっているはず。
そのため、このサブネットというまとまりに対して、アクセス許可の設定も行う。