演習 - カスタム ルートを作成する

  • 10 分

セキュリティ戦略を実装するときに、Azure インフラストラクチャ全体でネットワーク トラフィックをルーティングする方法を制御する必要があります。

次の演習では、ネットワーク仮想アプライアンス (NVA) を使用します。これは、トラフィックをセキュリティで保護して監視するのに役立ちます。 フロントエンド パブリック サーバーと内部プライベート サーバーの間の通信が、常にアプライアンス経由でルーティングされることを確認する必要があります。

パブリック サブネットからプライベート サブネットに流れるすべてのトラフィックが NVA 経由でルーティングされるように、ネットワークを構成します。 このようなフローにするには、パブリック サブネットのカスタム ルートを作成して、このトラフィックを境界ネットワーク サブネットにルーティングします。 後で、NVA を境界ネットワーク サブネットにデプロイします。

仮想ネットワーク、サブネット、ルート テーブルの図。

この演習では、ルート テーブル、カスタム ルート、サブネットを作成します。 その後、ルート テーブルをサブネットに関連付けます。

この演習は省略してもかまいません。 この演習を完了する場合は、開始する前に Azure サブスクリプションを作成する必要があります。 Azure アカウントを持っていない場合、または現時点で作成したくない場合は、指示を読んで、提示されている情報を理解することができます。

この演習の手順を完了するには、リソース グループを使用する必要があります。 既に作成したリソース グループを使用することも、この演習専用の新しいリソース グループを作成することもできます。 新しいリソース グループを作成する場合は、演習を完了するときに作成したリソースを簡単にクリーンアップできます。 既存のリソース グループがない場合、またはこの演習専用の新しいリソース グループを作成する場合は、「 Azure portal と Azure Resource Manager を使用してリソース グループを管理し、Azure portal を使用してリソース グループを作成する」の手順に従うか、「Azure CLI を使用して Azure リソース グループを管理して Azure CLI を使用して リソース グループを作成する」の手順に従うことができます。

この演習全体を通して、例の myResourceGroupName を 既存のリソース グループの名前、またはこの演習用に作成したリソース グループの名前に置き換えます。

ルート テーブルとカスタム ルートを作成する

最初のタスクは、新しいルーティング テーブルを作成してから、プライベート サブネットを対象とするすべてのトラフィックのカスタム ルートを追加することです。

次のようなエラーが表示されることがあります: "このコマンドは暗黙的に非推奨です。" このエラーは、このラーニング モジュールでは無視してください。 現在対応中です。

  1. Azure Cloud Shell を開き、[設定] を選択し、[クラシック バージョンに移動] を選択します。

  2. Azure Cloud Shell で、次のコマンドを実行してルート テーブルを作成します。 myResourceGroupName をリソース グループの名前に置き換えます。

        az network route-table create \
        --name publictable \
        --resource-group "myResourceGroupName" \
        --disable-bgp-route-propagation false

  3. Cloud Shell で次のコマンドを実行して、カスタム ルートを作成します。

        az network route-table route create \
        --route-table-name publictable \
        --resource-group "myResourceGroupName" \
        --name productionsubnet \
        --address-prefix 10.0.1.0/24 \
        --next-hop-type VirtualAppliance \
        --next-hop-ip-address 10.0.2.4

仮想ネットワークとサブネットを作成する

次のタスクは、vnet 仮想ネットワークと、必要な 3 つのサブネット (publicsubnetprivatesubnetdmzsubnet) を作成することです。

  1. 次のコマンドを実行して、vnet 仮想ネットワークと publicsubnet サブネットを作成します。

        az network vnet create \
        --name vnet \
        --resource-group "myResourceGroupName" \
        --address-prefixes 10.0.0.0/16 \
        --subnet-name publicsubnet \
        --subnet-prefixes 10.0.0.0/24

  2. Cloud Shell で次のコマンドを実行して、privatesubnet サブネットを作成します。

        az network vnet subnet create \
        --name privatesubnet \
        --vnet-name vnet \
        --resource-group "myResourceGroupName" \
        --address-prefixes 10.0.1.0/24

  3. 次のコマンドを実行して、dmzsubnet サブネットを作成します。

        az network vnet subnet create \
        --name dmzsubnet \
        --vnet-name vnet \
        --resource-group "myResourceGroupName" \
        --address-prefixes 10.0.2.0/24

  4. これで、3 つのサブネットが作成されているはずです。 次のコマンドを実行して、vnet 仮想ネットワーク内のすべてのサブネットを表示します。

        az network vnet subnet list \
        --resource-group "myResourceGroupName" \
        --vnet-name vnet \
        --output table

ルート テーブルをパブリック サブネットに関連付ける

この演習の最後のタスクは、ルート テーブルを publicsubnet サブネットに関連付けることです。

次のコマンドを実行して、ルート テーブルをパブリック サブネットに関連付けます。

    az network vnet subnet update \
        --name publicsubnet \
        --vnet-name vnet \
        --resource-group "myResourceGroupName" \
        --route-table publictable