Azure IaaSのインフラ準備

Azure

Azureでは仮想マシンを作成する際に同時にインフラ関連の作成が可能となっています。

数台程度の環境であれば仮想マシンと同時に作成してもいいですが、あらかじめインフラを準備しておくと環境構築がスムーズとなり、管理も楽になります。

今回は仮想マシンを作成する前に準備しておきたいことを紹介します。

リソースグループ作成

まずは各リソースをまとめるリソースグループの作成をします。

Azure Portalにサインインし、左メニューのリソースの作成をクリックし、「Resource Group」で検索します。

表示された「リソース グループ」をクリックし、作成ボタンをクリックします。

以下の情報を入力します。

リソースグループ名同じサブスクリプション内に同じ名前がなければ、任意の名前を付けられます。
サブスクリプションリソースグループを作成するサブスクリプションを選びます。
リソースグループの場所リソースグループを配置するリージョンを指定します。

全て入力・選択が終わったら作成ボタンをクリックします。

左メニューより「リソース グループ」をクリックし、リソースグループが作成されたことを確認します。

リソースグループの作成は以上で完了です。

仮想ネットワーク作成

あらかじめ仮想ネットワークを作成し、アドレス空間・サブネットの定義をしておきます。

左メニューのリソースの作成をクリックし、ネットワーキング内の仮想ネットワークをクリックします。

以下の情報を入力します。

名前仮想ネットワークの名前を入力します。サブスクリプション内で同じ名前でなければ任意の名前を付けられます。
アドレス空間作成する仮想ネットワーク内のアドレス空間を指定します。アドレス空間内からサブネットを切ることが出来ます。仮想ネットワーク作成時は1つしか指定できませんが、後でアドレス空間を追加することが可能です。
サブスクリプション利用するサブスクリプションを指定します。
リソースグループ仮想ネットワークを配置するリソースグループを指定します。ここでは先ほど作成したリソースグループを指定します。
場所仮想ネットワークを作成するリージョンを指定します。
サブネット
- 名前
アドレス空間から切り出すサブネットの名前を指定します。複数のサブネットが切り出せるため、サブネットに名前を付けて管理しやすいようにします。
サブネット
- アドレス空間
アドレス空間から切り出すアドレスの範囲を指定します。当然ですが、アドレス空間で指定した範囲内から切り出す必要があります。



すべて入力したら作成ボタンをクリックします。これで仮想ネットワークの準備ができました。

ネットワークセキュリティグループ作成

仮想マシン作成時、デフォルトで仮想マシンに割り当てられるネットワークセキュリティグループが作成されます。デフォルトでは既定のルールに加え、仮想マシンにRDP接続可能なルールが構成されます。

特別な通信要件がない限り、仮想マシンごとに作成せずに同じルールをサブネットに割り当ててしまうのがベターです。(ネットワークセキュリティグループ数の制限があったりします。)

ネットワークセキュリティグループの詳細については以下の記事を参考にしてください。

Azureのネットワーク セキュリティ グループ(NSG)の基本
Azure IaaSで必要不可欠なネットワーク セキュリティ グループの基本動作について説明します。

今回は特別な通信要件がないため、デフォルトで構成されるルールをサブネットに割り当てるようにします。

ネットワークセキュリティグループの作成

左メニューのリソースの作成よりネットワーキングを選択し、ネットワークセキュリティグループをクリックします。

以下の情報を入力します。

名前ネットワークセキュリティグループの名前を入力します。サブスクリプション内で同じ名前でなければ任意の名前を付けられます。
サブスクリプション利用するサブスクリプションを指定します。
リソースグループネットワークセキュリティグループを配置するリソースグループを指定します。ここでは先ほど作成したリソースグループを指定します。
場所ネットワークセキュリティグループを作成するリージョンを指定します。

すべて入力したら作成ボタンをクリックします。

リソースグループ内にネットワークセキュリティグループが作成されたのを確認します。

受信セキュリティ規則追加

受信セキュリティ規則を構成します。

作成したネットワークセキュリティグループを選択し、受信セキュリティ規則内の追加をクリックします。

以下の情報を入力します。

ソース接続元のIPやService Tag(InternetやVirtualNetworkなど)を選択できます。今回はどこからでもアクセス出来るようAnyで構成します。※インターネット側からの通信も全て許可するため、セキュリティ上好ましくないです。重要なデータ等を扱う際には注意してください。
ソースポート範囲接続元のポートを指定します。大抵の通信が動的ポートを利用するため、ここは「*」としておきます。
宛先宛先の指定をします。今回はサブネット内のすべての仮想マシンに対して許可するため、Anyとします。
宛先ポート範囲・
プロトコル
宛先のポート範囲を指定します。ここは最低限のポートに絞るべきポイントです。今回はRDP接続出来ればいいので3389を指定します。※実際RDP接続はTCP3389のみで問題ないですが、一部の条件下でUDP3389も利用します。
アクション今回は通信を許可するルールのため、許可を選択します。
優先度100~4096の範囲で指定します。数字が小さいほど優先されます。通信が多いものほど小さい番号を指定するのが通信効率がよくなります。※小さい番号から順に評価されるため
名前規則の名前を指定します。使える記号等に縛りがありますが、自由に命名できます。
説明ルールの説明が記載出来ます。この項目は任意なので空白でも問題ありません。

全て入力したらOKをクリックします。

作成したルールが追加されてることを確認します。

サブネットへの関連付け

作成したネットワークセキュリティグループをサブネットに関連付けます。

メニューよりサブネットを選択し、関連付けをクリックします。

仮想ネットワークおよびサブネットを選択します。


選択が完了したらOKをクリックします。

ネットワークセキュリティグループをサブネットに関連付けができたことを確認します。

以降、このサブネットに仮想マシンを構成した場合、すべてこのネットワークセキュリティグループのルールが適用されます。

次はこのサブネットにドメインコントローラを構成したいと思います。

コメント