チュートリアル: セキュリティで保護されたハブ アンド スポーク ネットワークを作成する
このチュートリアルでは、Azure Virtual Network Manager を使用してハブ アンド スポーク ネットワーク トポロジを作成します。 次に、ハブ仮想ネットワークに仮想ネットワーク ゲートウェイをデプロイして、スポーク仮想ネットワーク内のリソースが VPN を使用してリモート ネットワークと通信できるようにします。 また、ポート 80 と 443 でインターネットへの送信ネットワーク トラフィックをブロックするようにセキュリティ構成を構成します。 最後に、仮想ネットワークと仮想マシンの設定を調べて、構成が正しく適用されたことを確認します。
このチュートリアルでは、次の作業を行う方法について説明します。
- 複数の仮想ネットワークを作成します。
- 仮想ネットワーク ゲートウェイをデプロイします。
- ハブ アンド スポーク ネットワーク トポロジを作成します。
- ポート 80 および 443 でトラフィックをブロックするセキュリティ構成を作成します。
- 構成が適用されたことを確認します。
前提条件
- アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます。
- このチュートリアルの手順を実行する前に、まず Azure Virtual Network Manager インスタンスを作成する必要があります。 インスタンスには、接続とセキュリティ管理の機能を含める必要があります。 このチュートリアルでは、vnm-learn-eastus-001 という名前の Virtual Network Manager インスタンスを使用しました。
仮想ネットワークを作成する
この手順では、ハブ アンド スポーク ネットワーク トポロジを使用して接続される 3 つの仮想ネットワークを作成する方法について説明します。
Azure Portal にサインインします。
[リソースの作成] を選択し、仮想ネットワークを検索します。 [作成] を選択して、仮想ネットワークの構成を開始します。
[基本] タブで、次の情報を入力または選択します。
設定 値 サブスクリプション この仮想ネットワークをデプロイするサブスクリプションを選択します。 リソース グループ 仮想ネットワークを格納する新しいリソース グループを選択または作成します。 このクイックスタートでは、rg-learn-eastus-001 という名前のリソース グループを使います。 名前 仮想ネットワーク名として「vnet-learn-prod-eastus-001」を入力します。 リージョン [米国東部] リージョンを選択します。 [次へ: IP アドレス] を選択し、次のネットワークのアドレス空間を構成します。
設定 値 IPv4 アドレス空間 アドレス空間として「10.0.0.0/16」と入力します。 サブネット名 サブネットの名前 default を入力します。 サブネットのアドレス空間 サブネットのアドレス空間「10.0.0.0/24」を入力します。 [確認と作成] を選択し、 [作成] を選択して、仮想ネットワークをデプロイします。
手順 2-5 を繰り返して、次の情報を使用して、仮想ネットワークをさらに 2 つ同じリソース グループに作成します。
設定 値 サブスクリプション 手順 3 で選択したものと同じサブスクリプションを選択します。 リソース グループ rg-learn-eastus-001 を選択します。 名前 2 つの仮想ネットワークに「vnet-learn-prod-eastus-002」および「vnet-learn-hub-eastus-001」と入力します。 リージョン [(米国) 米国東部] を選択します vnet-learn-prod-eastus-002 の IP アドレス IPv4 アドレス空間: 10.1.0.0/16
サブネット名: 既定値
サブネット アドレス空間: 10.1.0.0/24vnet-learn-hub-eastus-001 の IP アドレス IPv4 アドレス空間: 10.2.0.0/16
サブネット名: 既定値
サブネット アドレス空間: 10.2.0.0/24
仮想ネットワーク ゲートウェイをデプロイする
ハブ仮想ネットワークに仮想ネットワーク ゲートウェイをデプロイします。 この仮想ネットワーク ゲートウェイは、スポークの [ハブをゲートウェイとして使用する] 設定に必要です。
[リソースの作成] を選択し、仮想ネットワーク ゲートウェイを検索します。 [作成] を選択して、仮想ネットワーク ゲートウェイの構成を開始します。
[基本] タブで、次の設定を入力または選択します。
設定 値 サブスクリプション この仮想ネットワークをデプロイするサブスクリプションを選択します。 名前 仮想ネットワーク ゲートウェイの名前には「gw-learn-hub-eastus-001」と入力します。 SKU SKU には [VpnGW1] を選択します。 Generation 世代には [Generation1] を選択します。 仮想ネットワーク VNet には vnet-learn-hub-eastus-001 を選択します。 パブリック IP アドレス パブリック IP アドレス名 パブリック IP には「gwpip-learn-hub-eastus-001」の名前を入力します。 2 番目のパブリック IP アドレス パブリック IP アドレス名 パブリック IP には「gwpip-learn-hub-eastus-002」の名前を入力します。 [確認と作成] を選択し、検証に成功したら [作成] を選択します。 仮想ネットワーク ゲートウェイのデプロイには、約 30 分かかる場合があります。 このデプロイの完了を待機している間に、次のセクションに進むことができます。 ただし、Azure portal 全体でのタイミングと同期のため、gw-learn-hub-eastus-001 にゲートウェイがあるものと表示されない場合があります。
動的ネットワーク グループを作成する
Azure Virtual Network Manager インスタンスに移動します。 このチュートリアルでは、クイックスタート ガイドを使用して作成済みであることを前提としています。 このチュートリアルのネットワーク グループは ng-learn-prod-eastus-001 と呼ばれます。
[設定] で [ネットワーク グループ] を選択し、[+ 作成] を選択して新しいネットワーク グループを作成します。
[ネットワーク グループの作成] 画面で、次の情報を入力します。
設定 値 名前 ネットワーク グループ名として「ng-learn-prod-eastus-001」と入力します。 説明 このネットワーク グループの説明を入力します。 [作成] を選択して仮想ネットワーク グループを作成します。
[ネットワーク グループ] ページで、上記で作成したネットワーク グループを選択し、そのネットワーク グループを構成します。
[概要] ページで、[Create policy to dynamically add members] (メンバーを動的に追加するポリシーの作成)の下の [Create Azure Policy] (Azure Policy の作成) を選択します。
[Create Azure Policy] (Azure Policy の作成) ページで、次の情報を選択または入力します。
設定 値 ポリシー名 テキスト ボックスに「azpol-learn-prod-eastus-001」と入力します。 Scope [スコープの選択] を選択し、現在のサブスクリプションを選択します。 条件 パラメーター ドロップダウンから [名前] を選択します。 演算子 ドロップダウンから [値を含む] を選択します。 条件 テキスト ボックスに条件として「-prod」と入力します。 [Preview Resources] (リソースのプレビュー) を選択して [Effective Virtual Networks] (有効な仮想ネットワーク) ページを確認し、[閉じる] を選択します。 このページには、Azure Policy で定義した条件に基づいてネットワーク グループに追加される仮想ネットワークが表示されます。
[保存] を選択して、グループ メンバーシップをデプロイします。 ポリシーが有効になり、ネットワーク グループに追加されるまでに最大で 1 分かかることがあります。
[設定] の [ネットワーク グループ] ページで、[グループ メンバー] を選択し、Azure Policy で定義されている条件に基づいてグループのメンバーシップを表示します。 ソースは azpol-learn-prod-eastus-001 として一覧表示されます。
ハブ アンド スポーク接続構成を作成する
[設定] の下の [構成] を選択し、[+ 作成] を選択します。
ドロップダウン メニューから [接続構成] を選択して、接続構成の作成を開始します。
[基本] ページで、次の情報を入力して [次へ: トポロジ >] を選択します。
設定 値 名前 「cc-learn-prod-eastus-001」と入力します。 説明 (省略可能) この接続構成に関する説明を入力します。 [トポロジ] タブで、[ハブおよびスポーク] を選択します。 これにより、他の設定が表示されます。
[ハブ] 設定で [ハブを選択] を選択します。 次に、vnet-learn-hub-eastus-001 を選択してネットワーク ハブとして機能するようにし、[選択] を選択します。
Note
デプロイのタイミングによっては、[Has gateway] (ゲートウェイがある) で対象のハブ仮想ネットワークにゲートウェイがあると表示されない場合があります。 これは、仮想ネットワーク ゲートウェイのデプロイが原因です。 デプロイには最大 30 分かかる場合があり、さまざまな Azure portal ビューにすぐには表示されない場合があります。
[Spoke network groups] (スポーク ネットワーク グループ) で、[+ 追加] を選択します。 次に、ng-learn-prod-eastus-001 を選択してネットワーク グループとして機能するようにし、[選択] を選択します。
ネットワーク グループを追加した後、次のオプションを選択します。 その後、[追加] を選択して接続構成を作成します。
設定 値 直接接続 [Enable connectivity within network group] (ネットワーク グループ内の接続を有効にする) のチェックボックスをオンにします。 この設定により、同じリージョン内のネットワーク グループ内のスポーク仮想ネットワークが相互に直接通信できるようになります。 グローバル メッシュ [リージョン間のメッシュ接続を有効にする] オプション はオフのままにします。 両方のスポークが同じリージョンに存在する場合、この設定は必要ありません Hub as gateway (ゲートウェイとしてのハブ) [ハブをゲートウェイとして使用する] のチェックボックスをオンにします。 [次へ: レビューと作成>] を選択し、それから、接続構成を作成します。
接続構成をデプロイする
接続構成をデプロイする前に、仮想ネットワーク ゲートウェイが正常にデプロイされたことを確認します。 [ハブをゲートウェイとして使用する] を有効にしてハブ アンド スポーク構成をデプロイするときにゲートウェイが存在しない場合、デプロイは失敗します。 詳細については、ハブをゲートウェイとして使用するを参照してください。
[設定] で [デプロイ] を選択し、[構成のデプロイ] を選択します。
次の設定を選択します。
設定 値 構成 [目標の状態に接続構成を含める] を選択します。 接続の構成 cc-learn-prod-eastus-001 を選択します。 ターゲット リージョン デプロイ リージョンとして [米国東部] を選択します。 [次へ]、[デプロイ] の順に選択してデプロイを完了します。
選択したリージョンのリストにデプロイが表示されます。 構成のデプロイは、完了するまでに数分かかる場合があります。
セキュリティ管理者の構成を作成する
もう一度 [設定] の [構成] を選択し、次に [+ 作成] を選択し、メニューから [SecurityAdmin] を選択して SecurityAdmin 構成の作成を開始します。
構成の名前「sac-learn-prod-eastus-001」を入力し、[次へ: 規則コレクション] を選択します。
ルール コレクションに「rc-learn-prod-eastus-001」という名前を入力し、ターゲット ネットワーク グループに ng-learn-prod-eastus-001 を選択します。 次に、[+ 追加] を選択します。
次の設定を入力して選択してから、 [追加] を選択します。
設定 値 名前 「DENY_INTERNET」と入力します 説明 「This rule blocks traffic to the internet on HTTP and HTTPS (この規則は、HTTP および HTTPS でのインターネットへのトラフィックをブロックします)」と入力します Priority 「1」と入力します アクション [拒否] を選択します Direction [送信] を選択します Protocol [TCP] を選択します ソース 送信元の種類 [IP] を選択します ソース IP アドレス 「*」と入力します 宛先 変換先の型 [IP アドレス] を選択します 送信先 IP アドレス 「*」と入力します 宛先ポート 「80, 443」と入力します [追加] を選択して、規則コレクションを構成に追加します。
[確認および作成] と [作成] を選択して、セキュリティ管理構成を作成します。
セキュリティ管理構成をデプロイする
[設定] で [デプロイ] を選択し、[構成のデプロイ] を選択します。
[構成] で、[目標の状態にセキュリティ管理を含める] と、前のセクションで作成した sac-learn-prod-eastus-001 構成を選択します。 次に、ターゲット リージョンとして [米国東部] を選択し、[次へ] を選択します。
[次へ]、[デプロイ] の順に選択します。 これで、選択したリージョンの一覧にデプロイが表示されます。 構成のデプロイは、完了するまでに数分かかる場合があります。
構成のデプロイを確認する
仮想ネットワークから確認する
仮想ネットワーク vnet-learn-prod-eastus-001 に移動し、[設定] で [Network Manager] (ネットワーク マネージャー) を選択します。 [接続構成] タブには、仮想ネットワークで適用された cc-learn-prod-eastus-001 接続構成が一覧表示されます
[セキュリティ管理者の構成] タブを選択し、[送信] を展開して、この仮想ネットワークに適用されるセキュリティ管理規則を一覧表示します。
[設定] の [ピアリング] を選択して、Virtual Network Manager によって作成された仮想ネットワーク ピアリングを一覧表示します。 その名前は ANM_ で始まります。
VM から確認する
vnet-learn-prod-eastus-001 にテスト仮想マシンをデプロイします。
vnet-learn-prod-eastus-001 に作成されたテスト VM に移動し、[設定] の下の [ネットワーク] を選択します。 [送信ポート規則] を選択し、DENY_INTERNET 規則が適用されていることを確認します。
ネットワーク インターフェイス名を選択し、[ヘルプ] の [有効なルート] を選択して、仮想ネットワーク ピアリングのルートを確認します。[ネクスト ホップの種類] が
VNet peering
である10.2.0.0/16
ルートは、ハブ仮想ネットワークへのルートです。
リソースをクリーンアップする
Azure Virtual Network Manager が不要になった場合は、リソースを削除する前に、次のすべてに当てはまることを確認する必要があります。
- どのリージョンにも構成のデプロイはありません。
- すべての構成が削除されました。
- すべてのネットワーク グループが削除されました。
コンポーネント削除のチェックリストを使用して、リソース グループを削除する前に、使用可能な子リソースが存在しないことを確認します。
次のステップ
セキュリティ管理構成を使用してネットワーク トラフィックをブロックする方法を学びます。