Open3
Azure 定番システム設計・実装・運用ガイド(改訂新版)メモ
しみゆーAzureデータセンター内の通信
Azureデータセンターとインターネットの通信
Azureデータセンター間の通信
Azureデータセンターと専用線(Express Route)
しみゆー仮想マシン(VM)
仮想マシン構築時には、OSイメージを選択する
OSイメージ
あらかじめOSのインストール&初期設定が済んでいるディスクイメージ。
OSイメージの中には、WordPressなどのソフトウェアがあらかじめインストールされているものもある。こういったOSイメージから仮想マシンを構築すると、インストール作業なしにすぐにそれらのソフトウェアが使える状態となっている。
しみゆーNSG(ネットワークセキュリティグループ)
- Azureにおいて、ファイアウォールの役割を果たすもの
- Azureリソースが送受信するネットワークトラフィックをフィルターする(トラフィックフィルター)
何に対してNSGを設定するのか?
- 仮想マシンのネットワークインターフェース(NIC)
- 仮想ネットワークのサブネット
ある仮想マシンが通信できるかどうかは、"NICに設定されたNSG"と"サブネットに設定されたNSG"の両方の規則に則って決まる。
NICとサブネット両方にNSGを定義するケース
前提
通常、ある仮想マシンの通信を制御する場合、その仮想マシンのNICもしくは仮想マシンが属するサブネットのどちらかに規則が設定されていれば十分。
同一サブネットにセキュリティ要件が異なる仮想マシンが存在するとき
たとえば、同一サブネットに役割の異なるWebサーバが存在し、それぞれ許可したいIPアドレスが異なるとき。こういったケースでは、サブネットのNSGは広く許可するように構成しておき、IPアドレスの許可・拒否は仮想マシンのNICごとにNSGを設定して制御する。