チュートリアル: セキュリティで保護されたハブ アンド スポーク ネットワークを作成する

  • [アーティクル]

このチュートリアルでは、Azure Virtual Network Manager を使用してハブ アンド スポーク ネットワーク トポロジを作成します。 次に、ハブ仮想ネットワークに仮想ネットワーク ゲートウェイをデプロイして、スポーク仮想ネットワーク内のリソースが VPN を使用してリモート ネットワークと通信できるようにします。 また、ポート 80 と 443 でインターネットへの送信ネットワーク トラフィックをブロックするようにセキュリティ構成を構成します。 最後に、仮想ネットワークと仮想マシンの設定を調べて、構成が正しく適用されたことを確認します。

重要

Azure Virtual Network Manager は、Virtual Network Manager とハブ アンド スポークの接続構成で一般提供されています。 メッシュ接続の構成は、パブリック プレビューのままです。

セキュリティ管理者ルールを使用したセキュリティ構成は、次のリージョンで一般提供されています。

  • オーストラリア中部
  • オーストラリア中部 2
  • オーストラリア東部
  • オーストラリア南東部
  • ブラジル南部
  • ブラジル南東部
  • カナダ中部
  • カナダ東部
  • 東アジア
  • ヨーロッパ北部
  • フランス中部
  • フランス南部
  • ドイツ北部
  • ドイツ中西部
  • インド中部
  • インド南部
  • インド西部
  • イスラエル中部
  • イタリア北部
  • 東日本
  • 西日本
  • JIO インド西部
  • 韓国中部
  • 韓国南部
  • ノルウェー東部
  • ノルウェー西部
  • ポーランド中部
  • カタール中部
  • 南アフリカ北部
  • 南アフリカ西部
  • スウェーデン中部
  • スウェーデン南部
  • スイス北部
  • スイス西部
  • アラブ首長国連邦中部
  • アラブ首長国連邦北部
  • 英国南部
  • 英国西部
  • 米国中部
  • 米国東部
  • 英国北部
  • 米国西部
  • 米国西部 2
  • 米国西部 3
  • 米国中西部

他のすべてのリージョンでは、パブリック プレビューのままです。

このプレビュー バージョンはサービス レベル アグリーメントなしで提供されています。運用環境のワークロードに使用することはお勧めできません。 特定の機能はサポート対象ではなく、機能が制限されることがあります。 詳しくは、Microsoft Azure プレビューの追加使用条件に関するページをご覧ください。

このチュートリアルでは、以下の内容を学習します。

  • 複数の仮想ネットワークを作成します。
  • 仮想ネットワーク ゲートウェイをデプロイします。
  • ハブ アンド スポーク ネットワーク トポロジを作成します。
  • ポート 80 および 443 でトラフィックをブロックするセキュリティ構成を作成します。
  • 構成が適用されたことを確認します。

セキュリティで保護されたハブ アンド スポーク トポロジ コンポーネントの図。

前提条件

  • アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます
  • このチュートリアルの手順を実行する前に、まず Azure Virtual Network Manager インスタンスを作成する必要があります。 インスタンスには、接続セキュリティ管理の機能を含める必要があります。 このチュートリアルでは、vnm-learn-eastus-001 という名前の Virtual Network Manager インスタンスを使用しました。

仮想ネットワークを作成する

この手順では、ハブ アンド スポーク ネットワーク トポロジを使用して接続される 3 つの仮想ネットワークを作成する方法について説明します。

  1. Azure Portal にサインインします。

  2. [リソースの作成] を選択し、仮想ネットワークを検索します。 [作成] を選択して、仮想ネットワークの構成を開始します。

  3. [基本] タブで、次の情報を入力または選択します。

    ハブ アンド スポーク仮想ネットワークの [基本] タブのスクリーンショット。

    設定
    サブスクリプション この仮想ネットワークをデプロイするサブスクリプションを選択します。
    リソース グループ 仮想ネットワークを格納する新しいリソース グループを選択または作成します。 このクイックスタートでは、rg-learn-eastus-001 という名前のリソース グループを使います。
    名前 仮想ネットワーク名として「vnet-learn-prod-eastus-001」を入力します。
    リージョン [米国東部] リージョンを選択します。

  4. [次へ: IP アドレス] を選択し、次のネットワークのアドレス空間を構成します。

    ハブ アンド スポーク仮想ネットワークの [IP アドレス] タブのスクリーンショット。

    設定
    IPv4 アドレス空間 アドレス空間として「10.0.0.0/16」と入力します。
    サブネット名 サブネットの名前 default を入力します。
    サブネットのアドレス空間 サブネットのアドレス空間「10.0.0.0/24」を入力します。

  5. [確認と作成] を選択し、 [作成] を選択して、仮想ネットワークをデプロイします。

  6. 手順 2-5 を繰り返して、次の情報を使用して、仮想ネットワークをさらに 2 つ同じリソース グループに作成します。

    設定
    サブスクリプション 手順 3 で選択したものと同じサブスクリプションを選択します。
    リソース グループ rg-learn-eastus-001 を選択します。
    名前 2 つの仮想ネットワークに「vnet-learn-prod-eastus-002」および「vnet-learn-hub-eastus-001」と入力します。
    リージョン [(米国) 米国東部] を選択します
    vnet-learn-prod-eastus-002 の IP アドレス IPv4 アドレス空間: 10.1.0.0/16
    サブネット名: 既定値
    サブネット アドレス空間: 10.1.0.0/24
    vnet-learn-hub-eastus-001 の IP アドレス IPv4 アドレス空間: 10.2.0.0/16
    サブネット名: 既定値
    サブネット アドレス空間: 10.2.0.0/24

仮想ネットワーク ゲートウェイをデプロイする

ハブ仮想ネットワークに仮想ネットワーク ゲートウェイをデプロイします。 この仮想ネットワーク ゲートウェイは、スポークの [ハブをゲートウェイとして使用する] 設定に必要です。

  1. [リソースの作成] を選択し、仮想ネットワーク ゲートウェイを検索します。 [作成] を選択して、仮想ネットワーク ゲートウェイの構成を開始します。

  2. [基本] タブで、次の設定を入力または選択します。

    [仮想ネットワーク ゲートウェイの作成] の [基本] タブのスクリーンショット。

    設定
    サブスクリプション この仮想ネットワークをデプロイするサブスクリプションを選択します。
    名前 仮想ネットワーク ゲートウェイの名前には「gw-learn-hub-eastus-001」と入力します。
    SKU SKU には [VpnGW1] を選択します。
    Generation 世代には [Generation1] を選択します。
    仮想ネットワーク VNet には vnet-learn-hub-eastus-001 を選択します。
    パブリック IP アドレス
    パブリック IP アドレス名 パブリック IP には「gwpip-learn-hub-eastus-001」の名前を入力します。
    2 番目のパブリック IP アドレス
    パブリック IP アドレス名 パブリック IP には「gwpip-learn-hub-eastus-002」の名前を入力します。

  3. [確認と作成] を選択し、検証に成功したら [作成] を選択します。 仮想ネットワーク ゲートウェイのデプロイには、約 30 分かかる場合があります。 このデプロイの完了を待機している間に、次のセクションに進むことができます。 ただし、Azure portal 全体でのタイミングと同期のため、gw-learn-hub-eastus-001 にゲートウェイがあるものと表示されない場合があります。

動的ネットワーク グループを作成する

  1. Azure Virtual Network Manager インスタンスに移動します。 このチュートリアルでは、クイックスタート ガイドを使用して作成済みであることを前提としています。 このチュートリアルのネットワーク グループは ng-learn-prod-eastus-001 と呼ばれます。

  2. [設定][ネットワーク グループ] を選択し、[+ 作成] を選択して新しいネットワーク グループを作成します。

    ネットワーク グループの追加ボタンのスクリーンショット。

  3. [ネットワーク グループの作成] 画面で、次の情報を入力します。

    [ネットワーク グループの作成] ページの [基本] タブのスクリーンショット。

    設定
    名前 ネットワーク グループ名として「ng-learn-prod-eastus-001」と入力します。
    説明 このネットワーク グループの説明を入力します。

  4. [作成] を選択して仮想ネットワーク グループを作成します。

  5. [ネットワーク グループ] ページで、上記で作成したネットワーク グループを選択し、そのネットワーク グループを構成します。

  6. [概要] ページで、[Create policy to dynamically add members] (メンバーを動的に追加するポリシーの作成)の下の [Create Azure Policy] (Azure Policy の作成) を選択します。

    [Defined dynamic membership]\(定義された動的メンバーシップ\) ボタンのスクリーンショット。

  7. [Create Azure Policy] (Azure Policy の作成) ページで、次の情報を選択または入力します。

    [ネットワーク グループの作成] の [条件付きステートメント] タブのスクリーンショット。

    設定
    ポリシー名 テキスト ボックスに「azpol-learn-prod-eastus-001」と入力します。
    Scope [スコープの選択] を選択し、現在のサブスクリプションを選択します。
    条件
    パラメーター ドロップダウンから [名前] を選択します。
    演算子 ドロップダウンから [値を含む] を選択します。
    条件 テキスト ボックスに条件として「-prod」と入力します。

  8. [Preview Resources] (リソースのプレビュー) を選択して [Effective Virtual Networks] (有効な仮想ネットワーク) ページを確認し、[閉じる] を選択します。 このページには、Azure Policy で定義した条件に基づいてネットワーク グループに追加される仮想ネットワークが表示されます。

    条件付きステートメントの結果を表示した [有効な仮想ネットワーク] ページのスクリーンショット。

  9. [保存] を選択して、グループ メンバーシップをデプロイします。 ポリシーが有効になり、ネットワーク グループに追加されるまでに最大で 1 分かかることがあります。

  10. [設定] の [ネットワーク グループ] ページで、[グループ メンバー] を選択し、Azure Policy で定義されている条件に基づいてグループのメンバーシップを表示します。 ソースazpol-learn-prod-eastus-001 として一覧表示されます。

    グループ メンバーシップでの動的グループ メンバーシップのスクリーンショット。

ハブ アンド スポーク接続構成を作成する

  1. [設定] の下の [構成] を選択し、[+ 作成] を選択します。

  2. ドロップダウン メニューから [接続構成] を選択して、接続構成の作成を開始します。

  3. [基本] ページで、次の情報を入力して [次へ: トポロジ >] を選択します。

    [接続構成を追加する] ページのスクリーンショット。

    設定
    名前 cc-learn-prod-eastus-001」と入力します。
    説明 (省略可能) この接続構成に関する説明を入力します。

  4. [トポロジ] タブで、[ハブおよびスポーク] を選択します。 これにより、他の設定が表示されます。

    接続構成のハブの選択を示すスクリーンショット。

  5. [ハブ] 設定で [ハブを選択] を選択します。 次に、vnet-learn-hub-eastus-001 を選択してネットワーク ハブとして機能するようにし、[選択] を選択します。

    ハブ構成を選択するところを示しているスクリーンショット。

    Note

    デプロイのタイミングによっては、[Has gateway] (ゲートウェイがある) で対象のハブ仮想ネットワークにゲートウェイがあると表示されない場合があります。 これは、仮想ネットワーク ゲートウェイのデプロイが原因です。 デプロイには最大 30 分かかる場合があり、さまざまな Azure portal ビューにすぐには表示されない場合があります。

  6. [Spoke network groups] (スポーク ネットワーク グループ) で、[+ 追加] を選択します。 次に、ng-learn-prod-eastus-001 を選択してネットワーク グループとして機能するようにし、[選択] を選択します。

    [ネットワーク グループの追加] ページのスクリーンショット。

  7. ネットワーク グループを追加した後、次のオプションを選択します。 その後、[追加] を選択して接続構成を作成します。

    ネットワーク グループ構成の設定を示すスクリーンショット。

    設定
    直接接続 [Enable connectivity within network group] (ネットワーク グループ内の接続を有効にする) のチェックボックスをオンにします。 この設定により、同じリージョン内のネットワーク グループ内のスポーク仮想ネットワークが相互に直接通信できるようになります。
    グローバル メッシュ [リージョン間のメッシュ接続を有効にする] オプション はオフのままにします。 両方のスポークが同じリージョンに存在する場合、この設定は必要ありません
    Hub as gateway (ゲートウェイとしてのハブ) [ハブをゲートウェイとして使用する] のチェックボックスをオンにします。

  8. [次へ: レビューと作成>] を選択し、それから、接続構成を作成します。

接続構成をデプロイする

接続構成をデプロイする前に、仮想ネットワーク ゲートウェイが正常にデプロイされたことを確認します。 [ハブをゲートウェイとして使用する] を有効にしてハブ アンド スポーク構成をデプロイするときにゲートウェイが存在しない場合、デプロイは失敗します。 詳細については、ハブをゲートウェイとして使用するを参照してください。

  1. [設定][デプロイ] を選択し、[構成のデプロイ] を選択します。

    Network Manager のデプロイ ページのスクリーンショット。

  2. 次の設定を選択します。

    構成のデプロイ ページのスクリーンショット。

    設定
    構成 [目標の状態に接続構成を含める] を選択します。
    接続の構成 cc-learn-prod-eastus-001 を選択します。
    ターゲット リージョン デプロイ リージョンとして [米国東部] を選択します。

  3. [次へ][デプロイ] の順に選択してデプロイを完了します。

    デプロイの確認メッセージのスクリーンショット。

  4. 選択したリージョンのリストにデプロイが表示されます。 構成のデプロイは、完了するまでに数分かかる場合があります。

    構成のデプロイが進行中の状態のスクリーンショット。

セキュリティ管理者の構成を作成する

  1. もう一度 [設定][構成] を選択し、次に [+ 作成] を選択し、メニューから [SecurityAdmin] を選択して SecurityAdmin 構成の作成を開始します。

  2. 構成の名前「sac-learn-prod-eastus-001」を入力し、[次へ: 規則コレクション] を選択します。

    [セキュリティ管理構成] ページのスクリーンショット。

  3. ルール コレクションに「rc-learn-prod-eastus-001」という名前を入力し、ターゲット ネットワーク グループに ng-learn-prod-eastus-001 を選択します。 次に、[+ 追加] を選択します。

    [規則コレクションの追加] ページのスクリーンショット。

  4. 次の設定を入力して選択してから、 [追加] を選択します。

    [規則の追加] ページと規則の設定を示しているスクリーンショット。

    設定
    名前 DENY_INTERNET」と入力します
    説明 This rule blocks traffic to the internet on HTTP and HTTPS (この規則は、HTTP および HTTPS でのインターネットへのトラフィックをブロックします)」と入力します
    Priority 1」と入力します
    アクション [拒否] を選択します
    Direction [送信] を選択します
    Protocol [TCP] を選択します
    ソース
    送信元の種類 [IP] を選択します
    ソース IP アドレス *」と入力します
    宛先
    変換先の型 [IP アドレス] を選択します
    送信先 IP アドレス *」と入力します
    宛先ポート 80, 443」と入力します

  5. [追加] を選択して、規則コレクションを構成に追加します。

    規則コレクションの [保存] ボタンのスクリーンショット。

  6. [確認および作成][作成] を選択して、セキュリティ管理構成を作成します。

セキュリティ管理構成をデプロイする

  1. [設定][デプロイ] を選択し、[構成のデプロイ] を選択します。

  2. [構成] で、[目標の状態にセキュリティ管理を含める] と、前のセクションで作成した sac-learn-prod-eastus-001 構成を選択します。 次に、ターゲット リージョンとして [米国東部] を選択し、[次へ] を選択します。

    セキュリティ構成のデプロイを示すスクリーンショット。

  3. [次へ][デプロイ] の順に選択します。 これで、選択したリージョンの一覧にデプロイが表示されます。 構成のデプロイは、完了するまでに数分かかる場合があります。

構成のデプロイを確認する

仮想ネットワークから確認する

  1. 仮想ネットワーク vnet-learn-prod-eastus-001 に移動し、[設定][Network Manager] (ネットワーク マネージャー) を選択します。 [接続構成] タブには、仮想ネットワークで適用された cc-learn-prod-eastus-001 接続構成が一覧表示されます

    仮想ネットワークに適用されている接続構成のスクリーンショット。

  2. [セキュリティ管理者の構成] タブを選択し、[送信] を展開して、この仮想ネットワークに適用されるセキュリティ管理規則を一覧表示します。

    仮想ネットワークに適用されるセキュリティ管理規則のスクリーンショット。

  3. [設定][ピアリング] を選択して、Virtual Network Manager によって作成された仮想ネットワーク ピアリングを一覧表示します。 その名前は ANM_ で始まります。

    Virtual Network Manager によって作成された仮想ネットワーク ピアリングのスクリーンショット。

VM から確認する

  1. vnet-learn-prod-eastus-001テスト仮想マシンをデプロイします

  2. vnet-learn-prod-eastus-001 に作成されたテスト VM に移動し、[設定] の下の [ネットワーク] を選択します。 [送信ポート規則] を選択し、DENY_INTERNET 規則が適用されていることを確認します。

    テスト VM のネットワーク セキュリティ規則のスクリーンショット。

  3. ネットワーク インターフェイス名を選択し、[ヘルプ][有効なルート] を選択して、仮想ネットワーク ピアリングのルートを確認します。[ネクスト ホップの種類]VNet peering である 10.2.0.0/16 ルートは、ハブ仮想ネットワークへのルートです。

    テスト VM ネットワーク インターフェイスからの有効なルートのスクリーンショット。

リソースをクリーンアップする

Azure Virtual Network Manager が不要になった場合は、リソースを削除する前に、次のすべてに当てはまることを確認する必要があります。

  • どのリージョンにも構成のデプロイはありません。
  • すべての構成が削除されました。
  • すべてのネットワーク グループが削除されました。

コンポーネント削除のチェックリストを使用して、リソース グループを削除する前に、使用可能な子リソースが存在しないことを確認します。

次のステップ

セキュリティ管理構成を使用してネットワーク トラフィックをブロックする方法を学びます。