デプロイ手順 1: 基本インフラストラクチャ - ネットワーク アクセス コンポーネント

ユーザーがセキュリティで保護された方法でクラウド環境にアクセスできるようにするメカニズム。 運用環境のリソースでは、プライベート IP アドレスと、リソースへのアクセス方法を定義する規則を使うのが一般的です。

このコンポーネントでは、次のことを行う必要があります。

• ハイ パフォーマンス コンピューティング (HPC) 環境をホストするプライベート ネットワークへのアクセスをユーザーに許可します。
• ソースとターゲットのポートやリソースにアクセスできる IP アドレスなど、ネットワーク セキュリティ規則を調整します。

ネットワークのニーズを定義する

• 適切なネットワーク セットアップのためのクラスター サイズを見積もる:

  • サブネットが異なると、IP アドレスの範囲が異なります。

• セキュリティ規則:

  • ユーザーが HPC 環境にアクセスする方法と、設けるセキュリティ規則 (ポートや IP のオープン/クローズなど) について理解します。

ツールとサービス

• プライベート ネットワーク アクセス:

  • Azure では、プライベート ネットワークへのアクセスに役立つ 2 つの主要なコンポーネントは、Azure Bastion と Azure VPN Gateway です。

• "ネットワーク ルール":

  • ネットワークのセットアップに関するもう 1 つの重要なコンポーネントである Azure ネットワーク セキュリティ グループは、Azure 仮想ネットワーク内の Azure リソース間のネットワーク トラフィックをフィルター処理するために使われます。

• DNS:

  • Azure DNS Private Resolver を使うと、VM ベースの DNS サーバーをデプロイしなくても、オンプレミス環境から Azure DNS プライベート ゾーンに、またはその逆に、クエリを実行できます。

HPC リフト アンド シフト アーキテクチャでのネットワークに関するベスト プラクティス

• 使用するクラスターのサイズとサービスについてよく理解する:
  • クラスターのサイズが異なると必要な IP 範囲が異なり、適切な計画は、インフラストラクチャの一部の大きな変更を避けるのに役立ちます。 また、一部のサービスでは排他的サブネットが必要な場合があり、それらのサブネットを明確にすることが不可欠です。

セットアップとデプロイの手順の例

ネットワークはそれ自体が大きなトピックです。 運用レベルの環境では、パブリック IP アドレスを使わないのがよい方法です。 そのためには、最初に、VM をプロビジョニングし、Bastion を使って、そのような機能をテストします。

例

1. ポータルでパブリック IP アドレスを使わずに VM をプロビジョニングする:

   • 標準の手順に従って、VM をプロビジョニングします (つまり、リソース グループ、ネットワーク、VM イメージ、ディスクなどをセットアップします)
   • VM の作成中に、仮想ネットワークをまだ使用できない場合は作成する必要があります
   • VM にパブリック IP アドレスがないことを確認します

2. Bastion を使用する:

   • VM がプロビジョニングされたら、Azure portal で VM に移動します
   • [接続] セクションで [Bastion] オプションを選びます。
   • [Bastion のデプロイ] オプションを選びます。
   • Bastion がプロビジョニングされたら、それを介して VM にアクセスできます。

リソース

• VPN Gateway のドキュメント: 製品の Web サイト
• Azure Bastion のドキュメント: 製品の Web サイト
• ネットワーク セキュリティ グループ: 製品の Web サイト
• Azure DNS Private Resolver: 製品の Web サイト