AzureFiles をVPNで使ってみよう~Win編~

4.7K Views

April 20, 23

スライド概要

profile-image

クラウドメインの一兵卒 インフラ全般が好きな人

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

AzureFiles をVPNで使ってみよう ~Windows編~

2.

自己紹介 • 今年で29歳 • 普段は客先でAzureと日々格闘中 • クラウド大好き3年目(オンプレ未経験なのは内緒) • 未熟者なのでこれおかしいよ!があればこっそり教えてほしい!! Twitter:ryuuu_ch

3.

Azureとは?? • Microsoftが提供するクラウドインフラ • Microsoft365やActiveDrectoryなどエンプラ向けソリューションとネイ ティブな連携ができるぞ • GitHubやOpenAIとの連携も強めてるぞ • つまりAzureは、、、いいぞ、、、

4.

Azureの基礎 • Azureは管理グループ>サブスクリプション(課金単位)>リソースグ ループ>リソースと階層構造を持つ。 • なんとリソースグループを削除すると配下のリソースはまるっと消える。ごみ は残りにくい! <管理レベルと階層>

5.

Azureで仮想ネットワークを作ろう • リソースグループに仮想ネットワークのリソースを作成する。 • ついでに無料でNSGと呼ばれるL3/L4ファイアウォールも使えるぞ! <NSG と Azure Firewall の違い>

6.

現状

7.

AzureFilesのリソースを作ろう • AzureFilesとはファイル共有機能を提供するマネージドサービスのこと • SMB/NFSをサポート • ストレージアカウントから利用可能(わかりにくい) • ストレージアカウントの名前はグローバルに一意にする <Azure Files とは> <ストレージ アカウント名が既に使用されている>

8.

さて接続、、、 • あれ?

9.

プライベートエンドポイントを使ってみよう • プライベート空間からセキュアにサービスへアクセスできるようにするサービス • 実体は仮想ネットワークインターフェース • つまりプライベートIPアドレスを持つ <プライベート エンドポイントとは>

10.

VPNゲートウェイを使ってセキュアに接続しよう • VPNゲートウェイとは仮想ネットワークにデプロイし、接続したい外部ネット ワークから暗号化したトラフィックを受け取る終端装置 • 今回はPCからVPNゲートウェイまでの通信経路を作成したいのでP2S接続を行う • WindowsなのでBasicSKUを使う <ポイント対サイト VPN>

11.

自己署名証明書を作ろう • 暗号化のためのルート証明書とクライアント証明書を作成する • それを元にVPNクライアント構成ファイルを生成する <クライアント証明書の生成> <1.VPN クライアント構成ファイルの生成>

12.

VPNトンネル経由でアクセスしよう • VPN構成クライアントをインストールする • 設定からVPNを設定する <IKEv2 と SSTP: ネイティブ VPN クライアントの手順>

13.

ファイルエクスプローラーからAzureFilesへアクセ スしてみよう • 資格情報にはストレージアカウント名とアクセスキーを使う • アクセスキーはこのストレージアカウントリソース全体の認証に使えるので取り扱い 注意 • 可能なら定期的なローテーションがおすすめ

14.

完成 • リソースへは "¥¥<プライベートエンドポイントのIPアド レス>¥<ファイル共有の名前>" でアクセスしよう

15.

最後にお掃除 • Azureはリソースグループを削除することできれいさっぱり関連リソースを消 せるのが良い • 忘れずVPNの構成情報も消しとこう

16.

ほんとなら、、 • プライベートエンドポイントへIPアドレス直叩きでアクセスしたけどDNSを使 う手段もあり(というか一般的)今回は名前解決まで含めると大変なの で省略 • プライベートエンドポイントにNSGを適用するにはサブネットのネットワークポ リシーを有効化しないといけないが、本筋ではないので省略 • 今度はAzurePolicyの話とかもしたいなあ