ラボ 05 - サイト間の接続性を実装する

ラボ概要

このラボでは、仮想ネットワーク間の通信について確認します。 仮想ネットワーク ピアリングを実装して、接続をテストします。 カスタム ルートも作成します。

このラボでは Azure サブスクリプションが必要です。 お使いのサブスクリプションの種類により、このラボの機能が使用できるかどうかに影響する可能性があります。 リージョンを変更できますが、手順は米国東部を使って作成されています。

推定時間:50 分

ラボのシナリオ

組織では、主要な IT アプリとサービス (DNS やセキュリティ サービスなど) を、製造部署を含むビジネスの他の部分からセグメント化します。 ただし、一部のシナリオでは、主要な領域内のアプリとサービスが製造領域内のアプリやサービスと通信する必要があります。 このラボでは、セグメント化された領域間の接続性を構成します。 これは、運用を開発から分離したり、ある子会社を別の子会社から分離したりする一般的なシナリオです。

アーキテクチャの図

ラボ 05 アーキテクチャ ダイアグラム

職務スキル

  • タスク 1:仮想ネットワーク内で仮想マシンを作成する。
  • タスク 2:別の仮想ネットワーク内に仮想マシンを作成する。
  • タスク 3:Network Watcher を使用して仮想マシン間の接続をテストする。
  • タスク 4:別の仮想ネットワーク間で仮想ネットワーク ピアリングを構成する。
  • タスク 5:Azure PowerShell を使用して仮想マシン間の接続をテストする。
  • タスク 6: カスタム ルートを作成する。

タスク 1:主要サービスの仮想マシンと仮想ネットワークを作成する

このタスクでは、仮想マシンと主要サービスの仮想ネットワークを作成します。

  1. Azure portal - https://portal.azure.com にサインインします。

  2. Virtual Machines を検索して選択します。

  3. [Virtual Machines] ページで、[作成] を選択し、[仮想マシン] を選択します。

  4. [基本] タブ上で、次の情報を使用してフォームに入力し、[次へ:ディスク >] をクリックします。 指定されていない設定は、既定値のままにしてください。

    設定
    サブスクリプション 該当するサブスクリプション
    リソース グループ az104-rg5 (必要に応じて、[新規作成] )
    仮想マシン名 CoreServicesVM
    リージョン (米国) 米国東部
    可用性のオプション インフラストラクチャの冗長性は必要ありません
    セキュリティの種類 Standard
    画像 (すべての画像を表示) Windows Server 2025 Datacenter - x64 Gen2 (他の選択肢もあります)
    サイズ Standard_DS2_v3
    Username (ユーザー名) localadmin
    Password (パスワード) 複雑なパスワードを指定してください
    パブリック受信ポート なし

    [仮想マシンの作成] ページの [基本] のスクリーンショット。

  5. [ディスク] タブ上で既定値のまま、[次へ: ネットワーク >] を選択します。

  6. [ネットワーク] タブ上の [仮想ネットワーク] で、[新規作成] を選択します。

  7. 次の情報を使用して仮想ネットワークを構成したあと、[OK] を選択します。 必要に応じて、既存の情報を削除または置換します。

    設定
    名前 CoreServicesVnet (作成または編集)
    アドレス範囲 10.0.0.0/16
    サブネット名 Core
    サブネットのアドレス範囲 10.0.0.0/24

  8. [監視] タブを選択します。[ブート診断] で、[無効化] を選択します。

  9. [確認と作成] を選択し、次に [作成] を選択します。

  10. リソースが作成されるまで待つ必要はありません。 次のタスクに進みます。

    注: このタスクでは、仮想マシンの作成時に仮想ネットワークを作成したことにお気づきですか? 仮想ネットワーク インフラストラクチャを作成してから、仮想マシンを追加することもできます。

タスク 2:別の仮想ネットワーク内に仮想マシンを作成する

このタスクでは、仮想マシンと製造サービスの仮想ネットワークを作成します。

  1. Azure portal から、「Virtual Machines」を検索して選択します。

  2. [Virtual Machines] ページで、[作成] を選択し、[仮想マシン] を選択します。

  3. [基本] タブ上で、次の情報を使用してフォームに入力し、[次へ:ディスク >] をクリックします。 指定されていない設定は、既定値のままにしてください。

    設定
    サブスクリプション 該当するサブスクリプション
    リソース グループ az104-rg5
    仮想マシン名 ManufacturingVM
    リージョン (米国) 米国東部
    セキュリティの種類 Standard
    可用性のオプション インフラストラクチャの冗長性は必要ありません
    画像 (すべての画像を表示) Windows Server 2025 Datacenter - x64 Gen2
    サイズ Standard_DS2_v3
    Username (ユーザー名) localadmin
    Password (パスワード) 複雑なパスワードを指定してください
    パブリック受信ポート なし

  4. [ディスク] タブ上で既定値のまま、[次へ: ネットワーク >] を選択します。

  5. [ネットワーク] タブ上の [仮想ネットワーク] で、[新規作成] を選択します。

  6. 次の情報を使用して仮想ネットワークを構成したあと、[OK] を選択します。 必要に応じて、既存のアドレス範囲を削除または置換します。

    設定
    名前 ManufacturingVnet
    アドレス範囲 172.16.0.0/16
    サブネット名 Manufacturing
    サブネットのアドレス範囲 172.16.0.0/24

  7. [監視] タブを選択します。[ブート診断] で、[無効化] を選択します。

  8. [確認と作成] を選択し、次に [作成] を選択します。

タスク 3:Network Watcher を使用して仮想マシン間の接続をテストする

このタスクでは、ピアリングされた仮想ネットワーク内のリソースが相互に通信できることを確認します。 Network Watcher は、その接続をテストするために使用します。 続行する前に、両方の仮想マシンがデプロイ済みで、実行されていることをご確認ください。

  1. Azure portal から、Network Watcher を検索して選択します。

  2. [Network Watcher] の [ネットワーク診断ツール] メニュー内で、[接続のトラブルシューティング] を選択します。

  3. 次の情報を使用して、[接続のトラブルシューティング] ページ上のフィールドに入力します。

    フィールド
    送信元の種類 仮想マシン
    仮想マシン CoreServicesVM
    変換先の型 仮想マシンを選択する
    仮想マシン ManufacturingVM
    優先 IP バージョン 両方
    Protocol TCP
    宛先ポート 3389
    送信元ポート 空白
    診断テスト Defaults

    [接続のトラブルシューティング] の設定が表示されている Azure Portal。

  4. [診断テストを実行する] を選択してください。

    :結果が返されるまでに数分かかる場合があります。 結果が収集されている間、画面の選択項目は灰色表示されます。 [接続テスト][到達不可能] と表示されることに注意してください。 この仮想マシンは別の仮想ネットワーク内にあるため、これは当然です。

タスク 4:仮想ネットワーク間で仮想ネットワーク ピアリングを構成する

このタスクでは、仮想ネットワーク ピアリングを作成して、仮想ネットワーク内のリソース間での通信を有効にします。

  1. Azure portal 内で、CoreServicesVnet 仮想ネットワークを選択します。

  2. CoreServicesVnet の [設定] で、[ピアリング] を選択します。

  3. CoreServicesVnet の [ピアリング] で、[+ 追加] を選択します。 指定しない場合は、デフォルトを使用します。

    パラメーター Value
    Peering link name ManufacturingVnet-to-CoreServicesVnet
    仮想ネットワーク ManufacturingVnet (az104-rg5)
    ‘ManufacturingVnet’ へのアクセスを ‘CoreServicesVnet’ に許可する 選択済み (既定値)
    ‘CoreServicesVnet’ が ‘ManufacturingVnet’ からのトラフィック転送を受信することを許可する 選択済み
    Peering link name CoreServicesVnet-to-ManufacturingVnet
    ‘CoreServicesVnet’ に対するアクセスを ‘ManufacturingVnet’ に許可する 選択済み (既定値)
    ‘CoreServicesVnet’ から転送されたトラフィックを ‘ManufacturingVnet’ が受信することを許可する 選択済み

  4. [追加] をクリックします。

  5. CoreServicesVnet の [ピアリング] で、CoreServicesVnet-to-ManufacturingVnet ピアリングが一覧に表示されることを確認します。 ページを更新して、[ピアリング状態][接続済み] であることを確認します。

  6. [ManufacturingVnet] に切り替えて、[ManufacturingVnet-to-CoreServicesVnet] のピアリングが一覧に表示されることを確認します。 [ピアリング状態][接続済み] であることを確認します。 ページを更新する必要がある場合があります。

タスク 5:Azure PowerShell を使用して仮想マシン間の接続をテストする

このタスクでは、別の仮想ネットワーク内で仮想マシン間の接続を再テストします。

CoreServicesVM のプライベート IP アドレスを確認する

  1. Azure portal から、「CoreServicesVM」仮想マシンを検索して選択します。

  2. [概要] ブレード上の [ネットワーク] セクション内で、そのマシンの [プライベート IP アドレス] を記録します。 接続をテストするには、この情報が必要です。

ManufacturingVM から CoreServicesVM への接続をテストする。

ご存知でしたか? 接続を確認する方法は多数あります。 このタスクでは、[実行コマンド] を使用します。 引き続き Network Watcher を使用することもできます。 または、[リモート デスクトップ接続] を使用して仮想マシンにアクセスすることもできます。 接続したら、[テスト接続] を使用します。 時間があれば、RDP を試してみてください。

  1. ManufacturingVM 仮想マシンに切り替えます。

  2. [操作] ブレード内で、[実行コマンド] ブレードを選択します。

  3. [RunPowerShellScript] を選択し、「Test-NetConnection」コマンドを実行します。 必ず CoreServicesVM のプライベート IP アドレスを使用してください。

     Test-NetConnection <CoreServicesVM private IP address> -port 3389

  4. スクリプトがタイムアウトするまでに数分かかる場合があります。ページの上部に “スクリプトを実行しています…” という情報メッセージが表示されます。**

  5. ピアリングは構成済みのため、このテスト接続は成功するはずです。 ご利用のコンピューター名とリモート アドレスは、この画像とは異なる場合があります。

    Test-NetConnection が成功した PowerShell ウィンドウ。

タスク 6:カスタム ルートを作成する

このタスクでは、境界サブネットと内部の主要サービスのサブネット間のネットワーク トラフィックを制御します。 仮想ネットワーク アプライアンスは境界サブネットにインストールされます。また、すべてのトラフィックがそこにルーティングされるようにする必要があります。

  1. CoreServicesVnet を検索して選択します。

  2. [サブネット] を選択してから、[+ サブネット] をクリックします。 必ず [追加] を選択して変更を保存してください。

    設定
    名前 perimeter
    開始アドレス 10.0.1.0/24

  3. Azure portal 内で、「Route tables」を検索して選択し、[+ 作成] を選択します。

  4. 次の詳細を入力し、[確認および作成] を選択して、[作成] を選択します。

    設定
    サブスクリプション 該当するサブスクリプション
    リソース グループ az104-rg5
    “リージョン” 米国東部
    名前 rt-CoreServices
    ゲートウェイのルートを伝達する いいえ

  5. ルート テーブルがデプロイされたら、[ルート テーブル] を検索して選択します。

  6. [rt-CoreServices] のリソース (チェックボックスではなく) を選択します。

  7. [設定] を展開して [ルート] を選択し、[+ 追加] を選択します。 将来のネットワーク仮想アプライアンス (NVA) から CoreServices 仮想ネットワークへのルートを作成します。

    設定
    ルート名 PerimetertoCore
    変換先の型 [IP アドレス]
    送信先 IP アドレス 10.0.0.0/16 (主要サービスの仮想ネットワーク)
    ネクストホップの種類 仮想アプライアンス (他の選択肢もあります)
    次ホップ アドレス 10.0.1.7 (将来の NVA)

  8. [追加] を選択します。 最後に、そのルートをサブネットに関連付けます。

  9. [サブネット][+ 関連付け] の順に選択します。 構成を完了します。

    設定
    仮想ネットワーク CoreServicesVnet (az104-rg5)
    Subnet コア

:DMZ から新しい NVA にトラフィックを転送するユーザー定義ルートを作成しました。

リソースのクリーンアップ

自分のサブスクリプションで作業している場合は、お手数ですが、ラボ リソースを削除してください。 これにより、リソースが確実に解放されるため、コストが最小限に抑えられます。 ラボ リソースを削除する最も簡単な方法は、ラボ リソース グループを削除することです。

  • Azure portal で、リソース グループを選び、[リソース グループの削除][リソース グループ名を入力してください] の順に選び、[削除] をクリックします。
  • Azure PowerShell を使用する場合は、「Remove-AzResourceGroup -Name resourceGroupName」と入力します。
  • CLI を使用する場合は、「az group delete --name resourceGroupName」と入力します。

Copilot を使用して学習を拡張する

Copilot は、Azure スクリプト ツールの使用方法を学習するのに役立ちます。 Copilot は、ラボでは対象外の、またはさらに詳しい情報が必要な領域でも役立ちます。 Edge ブラウザーを開き、Copilot (右上) を選択するか、copilot.microsoft.com に移動します。 次のプロンプトを試すには数分かかります。

  • Azure PowerShell または Azure CLI コマンドを使用し、vnet1 と vnet2 の間に仮想ネットワーク ピアリングを追加するにはどうすればよいですか?
  • Azure でサポートされているさまざまな Azure およびサード パーティの監視ツールを強調表示したテーブルを作成してください。 各ツールを使用するタイミングを強調表示してください。
  • Azure でカスタム ネットワーク ルートを作成するタイミングは?

自習トレーニングでさらに学習する

要点

以上でラボは完了です。 このラボの要点は次のとおりです。

  • 既定では、別の仮想ネットワーク内のリソースは通信することができません。
  • Azure の 2 つ以上の仮想ネットワークにシームレスに接続するには、仮想ネットワーク ピアリングを使用できます。
  • ピアリングされた仮想ネットワークは、接続性において 1 つのネットワークとして表示されます。
  • ピアリングされた仮想ネットワーク内の仮想マシン間のトラフィックには、Microsoft のバックボーンインフラストラクチャが使用されます。
  • システム定義ルートは、仮想ネットワーク内のサブネットごとに自動的に作成されます。 ユーザー定義ルートは、既定のシステム ルートをオーバーライドする、または追加されます。
  • Azure Network Watcher には、Azure IaaS リソースのメトリックとログを監視、診断、表示する一連のツールが用意されています。