Slide 1
Slide 1 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
https://www.progrive.co.jp
https://www.progrive.co.jp
株式会社プログライブ コンサルティング
Kazuyuki Sakemi (酒見 一幸)
それでもやっぱり ExpressRoute が好き!
2024/10/05
1
Slide 2
Slide 2 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
はじめに
\\\ JAZUG 14 周年おめでとうございます ///
\\\ Congrats!! > new Microsoft MVPs ///
Slide 3
Slide 3 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
Summary
Azure を中心とした開発や運用自動化のスペシャリストとして、
日系・外資系 SIer や日本マイクロソフトを経験し、現職にて活躍中。
独法や文教業界を中心に、要件定義から設計構築、NW/SV/アプリ
運用までの幅広いプロジェクトに従事。日本マイクロソフトでは、顧客の
コスト最適化や人材育成に向けたコンサルティングを中心に、ビジネスの
加速に貢献。2024年08月、Microsoft MVP for Azure に選出。
自己紹介
https://twitter.com/_skmkzyk
https://zenn.dev/skmkzyk
https://atbex.attokyo.co.jp/blog/001013001/
酒見 一幸 (Kazuyuki Sakemi) from 株式会社プログライブ コンサルティング
https://speakerdeck.com/skmkzyk
Slide 4
Slide 4 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
Summary
Azure を中心とした開発や運用自動化のスペシャリストとして、
日系・外資系 SIer や日本マイクロソフトを経験し、現職にて活躍中。
独法や文教業界を中心に、要件定義から設計構築、NW/SV/アプリ
運用までの幅広いプロジェクトに従事。日本マイクロソフトでは、顧客の
コスト最適化や人材育成に向けたコンサルティングを中心に、ビジネスの
加速に貢献。2024年08月、Microsoft MVP for Azure に選出。
自己紹介
https://twitter.com/_skmkzyk
https://zenn.dev/skmkzyk
https://atbex.attokyo.co.jp/blog/001013001/
酒見 一幸 (Kazuyuki Sakemi) from 株式会社プログライブ コンサルティング
https://speakerdeck.com/skmkzyk
Slide 5
Slide 5 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
このカテゴリーの Microsoft MVP は世界で 3 人だけです!!!
5
Slide 6
Slide 6 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ExpressRoute に好敵手が
ライバル
Slide 7
Slide 7 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ゼロトラスト アーキテクチャーというのをよく聞きます
7
VPN フリー
リモートワーク
ZTNA
SWG
マイクロセグメンテーション
SASE
ID ベース認証
動的認証
多要素認証
コンテキストベースアクセス
クラウドセキュリティ
Slide 8
Slide 8 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
Global Secure Access とは
◼ Microsoft の Secure Service Edge (SSE) サービス
⁻ 以下の 3 種類のサービスで構成
Microsoft Entra Internet Access (いわゆる SWG)
Microsoft Entra Internet Access – Microsoft traffic profile
Microsoft Entra Private Access (いわゆる ZTNA)
⁻ 2024/07 に GA が発表
Microsoft Security Service Edge now generally available - Microsoft Community Hub
⁻ Microsoft Entra Suite というかたちで、いくつかのソリューションの組合せとなった
Microsoft Entra Suite now generally available - Microsoft Community Hub
◼ 世界中に PoP があるため、全世界で最適な環境が利用可能
⁻ Global Secure Access points of presence and IP addresses - Global Secure Access | Microsoft Learn
Slide 9
Slide 9 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ネットワーク接続 イメージ
9
◼ PC → Private Access
⁻ VPN フリーでのアクセス
◼ PC → Internet Access /
Microsoft traffic profile
⁻ インターネット アクセスを制限
◼ NW → Internet Access
⁻ クライアント インストール不要
家
Microsoft Secure
Service Edge
(SSE)
オフィス
家
Microsoft Secure
Service Edge
(SSE)
オフィス
Microsoft Secure
Service Edge
(SSE)
Slide 10
Slide 10 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
Microsoft Entra Private Access と Hub-spoke アーキテクチャ
10
◼ Microsoft Entra Private Access と Hub-spoke を組み合わせてみる
⁻ https://zenn.dev/skmkzyk/articles/mepa-hub-spoke
Slide 11
Slide 11 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
Microsoft Entra Private Access と Azure Private Endpoint の組合せ
11
◼ Microsoft Entra Private Access と Azure Private Endpoint の組合せが最高
⁻ https://zenn.dev/skmkzyk/articles/mepa-private-endpoint
Slide 12
Slide 12 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
そのほかもろもろは Zenn にて。。
12
https://zenn.dev/skmkzyk
Slide 13
Slide 13 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
(いまのところ) GSA で対応していないやつ
13
◼ 拠点間通信を実現するもの
⁻ ExpressRoute + Global Reach 相当なやつ
Microsoft Secure Service Edge (SSE)
大阪拠点 東京拠点
◼ 外から戻ってきたときに最適経路になるやつ
⁻ MEPA でアクセスするようなリソースに対して、
インターネット経由しない通信が可能なやつ
家
Slide 14
Slide 14 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
じゃあ ExpressRoute は不要になったんですか
14
ExpressRoute のような閉域での接続は不要になるのでは??
VPN フリー、閉域を使わない、どのネットワークからでも同じポリシー
「社内ネットワーク」と呼ばれるようなものが存在せず、単にインターネットに出れる Wi-Fi があれば十分
オンプレミスからの脱却、すべてパブリック クラウドに移行、MFA を利用して今までより強力に ID で保護
Slide 15
Slide 15 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ExpressRoute と Microsoft Entra Private Access の比較
15
閉域での接続 インターネット経由での接続
VPN での接続、容量の見積もりが必要 クラウドで終端、帯域にも余裕がある
SLA がある E2E での SLA は無い
比較的安定した遅延 インターネット経由のため不確定
ExpressRoute Private Access
コストは一定
コストは従量課金
安全、不審なものは無い 安全性を保つために TLS が必須
Slide 16
Slide 16 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ExpressRoute はやっぱり楽しい
Slide 17
Slide 17 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
なんで ExpressRoute が好きなのか??
17
◼ The Internet (大文字のインターネット) が好き
⁻ 純粋なネットワークのネットワーク、ネットワーク同士がただつながっているもの = internet (小文字のインターネット)
⁻ そのうえで、現実に存在するこのネットワーク同士がつながったもの = the Internet (大文字のインターネット)
◼ インターネットを構成する技術の中で BGP というプロトコルがある
⁻ Border Gateway Protocol (BGP)
⁻ 大きめのネットワーク同士を接続するのに適したプロトコル、奥が深くてとても楽しい
◼ ExpressRoute の理解には BGP が必須であり、楽しい。。
⁻ BGP と Azure の SDN を理解していくと、とても楽しい。。。
⁻ あんなこと、こんなこと (アーキテクチャーの話です) ができるのかなぁ。。。。と思案しているのが楽しい。。。。。。
悪循環のアレ
Slide 18
Slide 18 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
cf.) 大文字の Internet について
18
◼ インターネットは英語で「Internet」。「I」が大文字である深淵な理由とは?
⁻ https://web.archive.org/web/20181030030741/https://diamond.jp/articles/-/182372
◼ インターネットとは - JPNIC
⁻ https://www.nic.ad.jp/ja/basics/beginners/internet.html
◼ 「the Internet」がなくなる? - ITmedia NEWS
⁻ https://www.itmedia.co.jp/news/articles/1604/18/news061.html
Slide 19
Slide 19 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ExpressRoute の理解 Lv.0
19
自社のネットワークと Azure がなんかつながってる
Slide 20
Slide 20 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ExpressRoute の理解 Lv.1
20
ISP を経由して、ExpressRoute を使って社内と Azure が繋がっているっぽい
Slide 21
Slide 21 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ExpressRoute の理解 Lv.1.5
21
拠点が多い場合、すでに WAN があり、その拠点のひとつとして Azure を利用
Slide 22
Slide 22 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ExpressRoute の理解 Lv.1.7
22
ExpressRoute を使うと世界中の Azure リージョンに接続できるイメージ
Slide 23
Slide 23 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ExpressRoute の理解 Lv.2
23
物理的な世界が想像できていて、冗長化をどのように考えるべきか判断ができる
Slide 24
Slide 24 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
日本マイクロソフト 宇田さんの資料も大変参考になります
24
https://www.syuheiuda.com/
Slide 25
Slide 25 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
Azure Route Server もめちゃ楽しい
Slide 26
Slide 26 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
My favorite services … ExpressRoute and Azure Route Server
26
Slide 27
Slide 27 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ExpressRoute と S2S VPN の折り返しには Azure Route Server が必要
27
◼ Docs に書いてあるとおりではあるんですが、なぜそうなのか?
◼ ルーティングの基本さえわかればなんとなくわかった気になれる
⁻ 経路が無ければパケットは飛ばない
⁻ 経路を伝えればその逆方向にパケット (トラフィック) が流れてくる
⁻ 通信できないことのほとんどは「戻りのルーティングがない」
Slide 28
Slide 28 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ARS がないとき~!
28
Slide 29
Slide 29 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ARS がないとき~!
29
Slide 30
Slide 30 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ARS があるとき~!
30
Slide 31
Slide 31 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ExpressRoute と ARS があればたぶんどんな構成でも作れる
31
◼ いわゆる「技術的には可能です」レベルであればなんとでもなる
⁻ ExpressRoute を使ったオンプレミスの接続と、ARS + NVA を使った構成があれば
VNet をいくつも peering していく構成だって、Hub-Spoke が複数ある構成だって何でもできる
⁻ VPN Gateway の VNet-to-VNet の接続を利用してもかなり可能性が広がる
◼ ただし運用に耐えられるかは別
⁻ NVA を利用する場合、オンプレミスと比べてそのフェイルオーバーにかかる時間は数秒~数十秒のオーダーになる
⁻ 可用性の観点ではオンプレミスとパブリック クラウドで差が埋められていないと感じるもののひとつ
Slide 32
Slide 32 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
2 種類のクライアントがそれぞれに対応した spoke VNet にしかアクセスできない構成
32
Slide 33
Slide 33 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
\ExpressRoute の沼へようこそ/
Slide 34
Slide 34 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
Cloud Lab はいいぞ
34
1日から利用できるデータセンターサービス。
最高級のデータセンターで、クラウドの接続検証やライブ配信、映像制作などができます。
Cloud Lab を使った ExpressRoute の検証 (ハッカソン) を今までに 17 回 実施させていただいています!
ExpressRoute を繋いだり、切断したり、VPN とのフェイルオーバー障害試験したり、なかなか貴重な経験ができます!
Slide 35
Slide 35 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ATBeX ブログにいっぱい書いてます!
35
Slide 36
Slide 36 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ATBeX Meeting2 というやつでお話してきました
36
Slide 37
Slide 37 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
沼人 (ぬまんちゅ) オススメ こんてんつ
37
◼ Made in container
⁻ https://www.syuheiuda.com/
⁻ 日本マイクロソフト 宇田さんのブログ
◼ Cloudtrooper – Thoughts from the clouds
⁻ https://blog.cloudtrooper.net/
⁻ Microsoft FTA の Jose Moreno さんが書かれているブログ、毎回内容がとても先進的
◼ マルチクラウドネットワークの教科書 耐障害性と冗長性を実現するデザインパターン
⁻ https://www.amazon.co.jp/dp/4798181560/
⁻ Azure 以外のパブリック クラウドのネットワークの考え方が知れる、AZ とか結構違う、手元にあります
◼ Azureネットワーク設計・構築入門 基礎知識から利用シナリオ、設計・運用ベストプラクティスまで
⁻ https://www.amazon.co.jp/dp/4295020109/
⁻ 2024/09 発売、マスタリング TCP/IP 的な基礎的な内容から入ってるのでめちゃオススメ、手元にあります
Slide 38
Slide 38 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
\宣伝 (いっぱいある)/
Slide 39
Slide 39 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
勉強会とかイベントとか
39
◼ 第4回 Azure Travelers 勉強会 福岡の旅 with 株式会社オルターブース
⁻ 2024/10/19(土)
Slide 40
Slide 40 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
勉強会とかイベントとか
40
◼ .NETラボ 勉強会 2024年10月
⁻ 2024/10/26(土)
⁻ 弊社 (株式会社プログライブ コンサルティング) 開催です!御茶ノ水です!
Slide 41
Slide 41 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
勉強会とかイベントとか
41
◼ 技術書典
⁻ オフライン開催:2024/11/03 (日) 11:00~17:00
⁻ 現・元 Microsoft の有志でまた #AzureMixBook 出します!
Slide 42
Slide 42 text
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
42
会社名
株式会社プログライブコンサルティング
[ProGrive Consulting Co., Ltd.]
お問い合わせ [email protected]
~ Expand Your Business ~
~ビジネスの成長、新たな機会の追求、そして未来を切り開く~