それでもやっぱり ExpressRoute が好き!
>100 Views
October 05, 24
スライド概要
Japan Azure User Group 14周年イベント での資料ですー。
https://jazug.connpass.com/event/327273/
関連スライド
各ページのテキスト
それでもやっぱり ExpressRoute が好き! 株式会社プログライブ コンサルティング Kazuyuki Sakemi (酒見 一幸) https://www.progrive.co.jp https://www.progrive.co.jp 1 2024/10/05 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
はじめに \\\ JAZUG 14 周年おめでとうございます /// \\\ Congrats!! > new Microsoft MVPs /// Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
自己紹介 酒見 一幸 (Kazuyuki Sakemi) from 株式会社プログライブ コンサルティング https://twitter.com/_skmkzyk https://zenn.dev/skmkzyk https://atbex.attokyo.co.jp/blog/001013001/ https://speakerdeck.com/skmkzyk Summary Azure を中心とした開発や運用自動化のスペシャリストとして、 日系・外資系 SIer や日本マイクロソフトを経験し、現職にて活躍中。 独法や文教業界を中心に、要件定義から設計構築、NW/SV/アプリ 運用までの幅広いプロジェクトに従事。日本マイクロソフトでは、顧客の コスト最適化や人材育成に向けたコンサルティングを中心に、ビジネスの 加速に貢献。2024年08月、Microsoft MVP for Azure に選出。 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
自己紹介 酒見 一幸 (Kazuyuki Sakemi) from 株式会社プログライブ コンサルティング https://twitter.com/_skmkzyk https://zenn.dev/skmkzyk https://atbex.attokyo.co.jp/blog/001013001/ https://speakerdeck.com/skmkzyk Summary Azure を中心とした開発や運用自動化のスペシャリストとして、 日系・外資系 SIer や日本マイクロソフトを経験し、現職にて活躍中。 独法や文教業界を中心に、要件定義から設計構築、NW/SV/アプリ 運用までの幅広いプロジェクトに従事。日本マイクロソフトでは、顧客の コスト最適化や人材育成に向けたコンサルティングを中心に、ビジネスの 加速に貢献。2024年08月、Microsoft MVP for Azure に選出。 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
このカテゴリーの Microsoft MVP は世界で 3 人だけです!!! 6 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ライバル ExpressRoute に好敵手が Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ゼロトラスト アーキテクチャーというのをよく聞きます VPN フリー リモートワーク 多要素認証 動的認証 マイクロセグメンテーション SASE ZTNA SWG ID ベース認証 コンテキストベースアクセス クラウドセキュリティ 8 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
Global Secure Access とは ◼ Microsoft の Secure Service Edge (SSE) サービス ⁻ 以下の 3 種類のサービスで構成 Microsoft Entra Internet Access (いわゆる SWG) Microsoft Entra Internet Access – Microsoft traffic profile Microsoft Entra Private Access (いわゆる ZTNA) ⁻ 2024/07 に GA が発表 Microsoft Security Service Edge now generally available - Microsoft Community Hub ⁻ Microsoft Entra Suite というかたちで、いくつかのソリューションの組合せとなった Microsoft Entra Suite now generally available - Microsoft Community Hub ◼ 世界中に PoP があるため、全世界で最適な環境が利用可能 ⁻ Global Secure Access points of presence and IP addresses - Global Secure Access | Microsoft Learn Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
- https://techcommunity.microsoft.com/t5/microsoft-entra-blog/microsoft-security-service-edge-now-generally-available/ba-p/3847828
- https://techcommunity.microsoft.com/t5/microsoft-entra-blog/microsoft-entra-suite-now-generally-available/ba-p/2520427
- https://learn.microsoft.com/en-us/entra/global-secure-access/reference-points-of-presence
ネットワーク接続 イメージ ◼ PC → Private Access ⁻ VPN フリーでのアクセス ◼ PC → Internet Access / Microsoft traffic profile ◼ NW → Internet Access ⁻ クライアント インストール不要 ⁻ インターネット アクセスを制限 オフィス Microsoft Secure Service Edge (SSE) Microsoft Secure Service Edge (SSE) 家 10 Microsoft Secure Service Edge (SSE) 家 オフィス Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
Microsoft Entra Private Access と Hub-spoke アーキテクチャ ◼ Microsoft Entra Private Access と Hub-spoke を組み合わせてみる ⁻ https://zenn.dev/skmkzyk/articles/mepa-hub-spoke 11 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
Microsoft Entra Private Access と Azure Private Endpoint の組合せ ◼ Microsoft Entra Private Access と Azure Private Endpoint の組合せが最高 ⁻ https://zenn.dev/skmkzyk/articles/mepa-private-endpoint 12 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
そのほかもろもろは Zenn にて。。 https://zenn.dev/skmkzyk 13 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
(いまのところ) GSA で対応していないやつ ◼ 外から戻ってきたときに最適経路になるやつ ◼ 拠点間通信を実現するもの ⁻ ExpressRoute + Global Reach 相当なやつ ⁻ MEPA でアクセスするようなリソースに対して、 インターネット経由しない通信が可能なやつ Microsoft Secure Service Edge (SSE) 大阪拠点 14 東京拠点 家 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
じゃあ ExpressRoute は不要になったんですか VPN フリー、閉域を使わない、どのネットワークからでも同じポリシー 「社内ネットワーク」と呼ばれるようなものが存在せず、単にインターネットに出れる Wi-Fi があれば十分 オンプレミスからの脱却、すべてパブリック クラウドに移行、MFA を利用して今までより強力に ID で保護 ExpressRoute のような閉域での接続は不要になるのでは?? 15 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ExpressRoute と Microsoft Entra Private Access の比較 16 ExpressRoute Private Access 閉域での接続 インターネット経由での接続 安全、不審なものは無い 安全性を保つために TLS が必須 VPN での接続、容量の見積もりが必要 クラウドで終端、帯域にも余裕がある コストは従量課金 コストは一定 SLA がある E2E での SLA は無い 比較的安定した遅延 インターネット経由のため不確定 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ExpressRoute はやっぱり楽しい Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
なんで ExpressRoute が好きなのか?? ◼ The Internet (大文字のインターネット) が好き ⁻ 純粋なネットワークのネットワーク、ネットワーク同士がただつながっているもの = internet (小文字のインターネット) ⁻ そのうえで、現実に存在するこのネットワーク同士がつながったもの = the Internet (大文字のインターネット) ◼ インターネットを構成する技術の中で BGP というプロトコルがある ⁻ Border Gateway Protocol (BGP) ⁻ 大きめのネットワーク同士を接続するのに適したプロトコル、奥が深くてとても楽しい ◼ ExpressRoute の理解には BGP が必須であり、楽しい。。 ⁻ BGP と Azure の SDN を理解していくと、とても楽しい。。。 ⁻ あんなこと、こんなこと (アーキテクチャーの話です) ができるのかなぁ。。。。と思案しているのが楽しい。。。。。。 悪循環のアレ 18 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
cf.) 大文字の Internet について ◼ インターネットは英語で「Internet」。「I」が大文字である深淵な理由とは? ⁻ https://web.archive.org/web/20181030030741/https://diamond.jp/articles/-/182372 ◼ インターネットとは - JPNIC ⁻ https://www.nic.ad.jp/ja/basics/beginners/internet.html ◼ 「the Internet」がなくなる? - ITmedia NEWS ⁻ https://www.itmedia.co.jp/news/articles/1604/18/news061.html 19 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ExpressRoute の理解 Lv.0 自社のネットワークと Azure がなんかつながってる 20 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ExpressRoute の理解 Lv.1 ISP を経由して、ExpressRoute を使って社内と Azure が繋がっているっぽい 21 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ExpressRoute の理解 Lv.1.5 拠点が多い場合、すでに WAN があり、その拠点のひとつとして Azure を利用 22 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ExpressRoute の理解 Lv.1.7 ExpressRoute を使うと世界中の Azure リージョンに接続できるイメージ 23 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ExpressRoute の理解 Lv.2 物理的な世界が想像できていて、冗長化をどのように考えるべきか判断ができる 24 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
日本マイクロソフト 宇田さんの資料も大変参考になります https://www.syuheiuda.com/ 25 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
Azure Route Server もめちゃ楽しい Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
My favorite services … ExpressRoute and Azure Route Server 27 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ExpressRoute と S2S VPN の折り返しには Azure Route Server が必要 ◼ Docs に書いてあるとおりではあるんですが、なぜそうなのか? ◼ ルーティングの基本さえわかればなんとなくわかった気になれる ⁻ 経路が無ければパケットは飛ばない ⁻ 経路を伝えればその逆方向にパケット (トラフィック) が流れてくる ⁻ 通信できないことのほとんどは「戻りのルーティングがない」 28 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ARS がないとき~! 29 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ARS がないとき~! 30 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ARS があるとき~! 31 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ExpressRoute と ARS があればたぶんどんな構成でも作れる ◼ いわゆる「技術的には可能です」レベルであればなんとでもなる ⁻ ExpressRoute を使ったオンプレミスの接続と、ARS + NVA を使った構成があれば VNet をいくつも peering していく構成だって、Hub-Spoke が複数ある構成だって何でもできる ⁻ VPN Gateway の VNet-to-VNet の接続を利用してもかなり可能性が広がる ◼ ただし運用に耐えられるかは別 ⁻ NVA を利用する場合、オンプレミスと比べてそのフェイルオーバーにかかる時間は数秒~数十秒のオーダーになる ⁻ 可用性の観点ではオンプレミスとパブリック クラウドで差が埋められていないと感じるもののひとつ 32 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
2 種類のクライアントがそれぞれに対応した spoke VNet にしかアクセスできない構成 33 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
\ExpressRoute の沼へようこそ/ Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
Cloud Lab はいいぞ 1日から利用できるデータセンターサービス。 最高級のデータセンターで、クラウドの接続検証やライブ配信、映像制作などができます。 Cloud Lab を使った ExpressRoute の検証 (ハッカソン) を今までに 17 回 実施させていただいています! ExpressRoute を繋いだり、切断したり、VPN とのフェイルオーバー障害試験したり、なかなか貴重な経験ができます! 35 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ATBeX ブログにいっぱい書いてます! 36 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ATBeX Meeting2 というやつでお話してきました 37 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
沼人 (ぬまんちゅ) オススメ こんてんつ ◼ Made in container ⁻ https://www.syuheiuda.com/ ⁻ 日本マイクロソフト 宇田さんのブログ ◼ Cloudtrooper – Thoughts from the clouds ⁻ https://blog.cloudtrooper.net/ ⁻ Microsoft FTA の Jose Moreno さんが書かれているブログ、毎回内容がとても先進的 ◼ マルチクラウドネットワークの教科書 耐障害性と冗長性を実現するデザインパターン ⁻ https://www.amazon.co.jp/dp/4798181560/ ⁻ Azure 以外のパブリック クラウドのネットワークの考え方が知れる、AZ とか結構違う、手元にあります ◼ Azureネットワーク設計・構築入門 基礎知識から利用シナリオ、設計・運用ベストプラクティスまで ⁻ https://www.amazon.co.jp/dp/4295020109/ ⁻ 2024/09 発売、マスタリング TCP/IP 的な基礎的な内容から入ってるのでめちゃオススメ、手元にあります 38 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
\宣伝 (いっぱいある)/ Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
勉強会とかイベントとか ◼ 第4回 Azure Travelers 勉強会 福岡の旅 with 株式会社オルターブース ⁻ 2024/10/19(土) 40 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
勉強会とかイベントとか ◼ .NETラボ 勉強会 2024年10月 ⁻ 2024/10/26(土) ⁻ 弊社 (株式会社プログライブ コンサルティング) 開催です!御茶ノ水です! 41 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
勉強会とかイベントとか ◼ 技術書典 ⁻ オフライン開催:2024/11/03 (日) 11:00~17:00 ⁻ 現・元 Microsoft の有志でまた #AzureMixBook 出します! 42 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
~ Expand Your Business ~ ~ビジネスの成長、新たな機会の追求、そして未来を切り開く~ 会社名 お問い合わせ 43 株式会社プログライブコンサルティング [ProGrive Consulting Co., Ltd.] [email protected] Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.