Azure ネットワークルーティングのプラクティス

すきやねん Azure!! #33 Azure ネットワークルーティングの プラクティス 2025/12/26 NTTデータ先端技術株式会社 経営企画部 Microsoft技術センター 原田 幸太郎 © 2025 NTT DATA INTELLILINK Corporation

目次 1. 自己紹介 2. Azure ネットワークルーティングのプラクティス ① VPN の絡んだネットワークにおけるルーティング ② 仮想マシンに複数 NIC をアタッチした場合のルーティング ③ ロンゲストマッチと優先順位の絡んだルーティング ④ App Service の仮想ネットワーク統合 ⑤ App Service のプライベートエンドポイント ⑥ App Service のサービスエンドポイント 3. まとめ 4. Ignite 2025 Recap © 2025 NTT DATA INTELLILINK Corporation 2

01 自己紹介 © 2025 NTT DATA INTELLILINK Corporation 3

はじめに 私の属性は インフラエンジニア です。 インフラエンジニアとは： インフラエンジニアは、ITインフラの設計、構築、運用を担当する専門家です。彼らはサーバー、 ネットワーク、ストレージなどの基盤技術を管理し、システムの安定性と効率性を確保します。開 発系エンジニアがアプリケーションのコードを書くのに対し、インフラエンジニアはそのコードが動作する 環境を整備し、最適化します。 異属性の方々にはピンとこない話になることも多々あると思いますが、 暖かくご視聴いただけますと幸いです。 © 2025 NTT DATA INTELLILINK Corporation 4

自己紹介 Azure: まあまあいける Power Platform: 多少かな Microsoft 365: 普通 SQL Server: まあまあいける © 2025 NTT DATA INTELLILINK Corporation 氏名 原田 幸太郎 生年月日 1976年3月8日(49歳) 出身地 愛知県北名古屋市 所属 株式会社NTTデータ先端技術 職歴 アプリケーション開発エンジニア：5年 パッケージフィールドエンジニア：3年 パッケージ開発エンジニア：2年 インフラエンジニア：15年 趣味 クラフトビール・旅行・テニス 5

02 Azure ネットワークルーティングの プラクティス © 2025 NTT DATA INTELLILINK Corporation 6

① VPN の絡んだネットワークにおけるルーティング https://qiita.com/koutaro_harada/items/5bf5a5d4fa17acbc7fc1 Azure Firewall がステートフルインスペクションで遮断する © 2025 NTT DATA INTELLILINK Corporation 7

• https://qiita.com/koutaro_harada/items/5bf5a5d4fa17acbc7fc1

② 仮想マシンに複数 NIC をアタッチした場合のルーティング https://qiita.com/koutaro_harada/items/99cd0d3c2e20bc9ca2d6 VM2 から VM1 の NIC2 に投げても、 折り返しが NIC1 から帰ってきてしまう © 2025 NTT DATA INTELLILINK Corporation 8

• https://qiita.com/koutaro_harada/items/99cd0d3c2e20bc9ca2d6

③ ロンゲストマッチと優先順位の絡んだルーティング https://qiita.com/koutaro_harada/items/26b01ef45975de0a5d41 ソース アドレスのプレフィックス ネクストホップの種類 ネクストホップIPアドレス 既定 192.168.253.0/24 仮想ネットワーク - 既定 192.168.250.0/24 VNET ピアリング - 仮想ネットワーク ゲートウェイ 192.168.36.0/24 仮想ネットワーク ゲートウェイ 172.192.40.227 ユーザー 0.0.0.0/0 仮想アプライアンス (Azure Firewall) 192.168.250.68 ユーザー 192.168.36.185/32 仮想アプライアンス (Azure Firewall) 192.168.250.68 192.168.36.0/24 へのルートはロンゲストマッチの原則で仮想ネットワークゲートウェイが 優先となり、仮想アプライアンス (Azure Firewall) を通らない © 2025 NTT DATA INTELLILINK Corporation 9

• https://qiita.com/koutaro_harada/items/26b01ef45975de0a5d41

④ App Service の仮想ネットワーク統合 https://qiita.com/koutaro_harada/items/a238618c6d44598dafb8 App Service からの送信ルート App Service の受信ルート 受信ルートは (何らかの動的制御で) パブリック IP から折り返してくれるので 非対称ルーティングにはならない。 © 2025 NTT DATA INTELLILINK Corporation 10

• https://qiita.com/koutaro_harada/items/a238618c6d44598dafb8

⑤ App Service のプライベートエンドポイント https://qiita.com/koutaro_harada/items/06dc03785d72e529eaa5 受信ルートは (何らかの動的制御で) プライベートエンドポ イント側に折り返してくれるので非対称ルーティングにはな らない。 VM と プライベートエンドポイントは DNAT してるのでプラ イベート IP間の通信 (この後に繋がります)。 © 2025 NTT DATA INTELLILINK Corporation 11

• https://qiita.com/koutaro_harada/items/06dc03785d72e529eaa5

⑥ App Service のサービスエンドポイント https://qiita.com/koutaro_harada/items/a220c3f0b7ec83177ef9 プライベート IP とパブリック IP が直接通信すると言う信 じ難いことが起こるが、バックボーンの中であればルーティ ングなど如何様にも捻じ曲げられると言う例。 多分これも何らかの動的制御。 © 2025 NTT DATA INTELLILINK Corporation 12

• https://qiita.com/koutaro_harada/items/a220c3f0b7ec83177ef9

03 まとめ © 2025 NTT DATA INTELLILINK Corporation 13

ネットワークルーティングの基本3原則 1.TCP/IP は End2End ではステートフルだが中間経路はステートレス ➢ 上りの経路をそのままトレースすると言う理解をすることなかれ ➢ A→B→C→D と言う上りに対して D→C→A と言う下り経路が構築されることは普通 にある 2.ルーティングと NAT の違いを理解すべし ➢ ルーティングはパケットいじらない、NAT はパケットをいじってアドレス変換する ➢ NAT の種類 (SNAT・DNAT など) によってもルーティングに与える影響は変わってくる 3.デフォルトゲートウェイは絶対ではない ➢ いわゆるロンゲストマッチの原則で容易に上書きされる ➢ クラウドの場合サービスが裏でルートを入れていることがあるため特に注意が必要 © 2025 NTT DATA INTELLILINK Corporation 14

04 Ignite 2025 Recap © 2025 NTT DATA INTELLILINK Corporation 15

© 2025 NTT DATA INTELLILINK Corporation