SORACOM から Azure へつなげるプライベートネットワーク / Private-network-from-soracom-to-azure

Slide 1

Slide 1 text

SORACOM から Azure へつなげるプライベートネットワーク SORACOM UG Online #5 May. 27, 2021 株式会社ソラコム Customer Reliability Engineer 三國直樹 (mick / @n_mikuni)

Slide 2

Slide 2 text

自己紹介三國直樹 (mick) Customer Reliability Engineer 技術サポートやドキュメント等を担当担当したドキュメント: • SORACOM Beam から Azure IoT Hub へ X.509 証明書で認証した接続をする • SORACOM Funk からAzure Functions を呼び出し Microsoft Teams へ通知する好きな SORACOM サービス: SORACOM Lagoon 好きな Azure サービス: Azure Kubernetes Service

Slide 3

Slide 3 text

IoT のシステム構成インターネットクラウドデバイス

Slide 4

Slide 4 text

クラウドへの攻撃・侵入のリスクと対応インターネットクラウドデバイス

Slide 5

Slide 5 text

• アクセスキーの管理や認可・ログの設定に加えて、ネットワークによる保護も重要。 • Azure Storage の Firewall ではアクセス元の IP アドレスやサービスを管理できる。攻撃・侵入リスクへの対応例: Azure Storage

Slide 6

Slide 6 text

では、アクセス元を制限した Storage へ IoT デバイスからどう接続するか？

Slide 7

Slide 7 text

作ってみた構成の紹介 SORACOM Azure SORACOM IoT SIM VPG (Type-F) SORACOM Door Azure VPN Gateway Azure Private Link Azure Storage DNS (Azure Virtual Machine) 168.63.129.16 Private DNS Zone https://blog.soracom.com/ja-jp/2020/07/22/door-azure-storage/

Slide 8

Slide 8 text

• Virtual Network 外からアクセスできない Private Endpoint を提供。 • クライアントはプライベート IP アドレスで接続可能。 • Azure Storage 以外にも、様々なサービスに対応。 • https://docs.microsoft.com/en-us/azure/private-link/private-endpoint-overview#private-link-resource Azure Private Link 今話していること: プライベートネットワークの構成要素 Azure Private Link Azure Storage

Slide 9

Slide 9 text

• Private Link が払いだすプライベート IP アドレスの名前解決を提供。 • クライアントはパブリックな名前を解決しに行って良い。 • 現時点では内部 DNS サービス (168.63.129.16 ) へ名前解決するための DNS フォワーダが必要。 Private DNS Zone 168.63.129.16 $ nslookup doorstr.blob.core.windows.net Server: 10.0.0.53 Address: 10.0.0.53#53 Non-authoritative answer: doorstr.blob.core.windows.net canonical name = doorstr.privatelink.blob.core.windows.net. Name: doorstr.privatelink.blob.core.windows.net Address: 10.0.0.5 今話していること: プライベートネットワークの構成要素 DNS Private DNS Zone

Slide 10

Slide 10 text

• VPG (Virtual Private Gateway) はお客様専用のゲートウェイ • パケットキャプチャやルーティングフィルタ、VPN 接続などできる • SORACOM Door と Azure VPN Gateway は VPN (Virtual Private Network) を構成 • SORACOM IoT SIM を利用したデバイスから Azure ネットワークへプライベート IP アドレスでのアクセスを可能にする VPG・SORACOM Door・ Azure VPN Gateway 今話していること: プライベートネットワークの構成要素 SORACOM IoT SIM VPG (Type-F) SORACOM Door Azure VPN Gateway Azure Virtual Network

Slide 11

Slide 11 text

• SIM のグループごとに DNS サーバーのアドレスを指定できる • SIM が SORACOM プラットフォームとセッションを作成した際に DHCP で配布されるカスタム DNS 今話していること: プライベートネットワークの構成要素 DNS (Azure Virtual Machine)

Slide 12

Slide 12 text

デモ 1 プライベートネットワークで SSH

Slide 13

Slide 13 text

デモのネットワーク構成 SORACOM Azure Raspberry Pi + MS2372h-607 VPG (Type-F) SORACOM Door Azure VPN Gateway Azure Private Link Azure Storage DNS (Azure Virtual Machine) 10.0.0.53 10.0.0.5 DNS 今話していること:プライベートネットワークで SSH するデモ doorstr

Slide 14

Slide 14 text

Azure Storage の SAS トークン • Shared Access Signature の略。この部分 • どのリソース (blob, file, etc.) に対して、どんなアクセス (読み・書き) を、いつまで、といった設定ができる • 以下 2 つの発行方法がある • Azure Storage のアカウントキーを使う • Azure AAD の認証情報 (ユーザー委任キー) を使う <= 推奨 https://docs.microsoft.com/ja-jp/azure/storage/common/storage-sas-overview https://doorstr.blob.core.windows.net/privateblob/i_love_ug.txt?sv=2019-07- 07&sr=b&sig=xxx&skoid=yyy&sktid=zzz&skt=2021-05-27T06%3A17%3A09Z&ske=2021-05- 27T08%3A17%3A09Z&sks=b&skv=2019-07-07&st=2021-05-27T06%3A17%3A09Z&se=2021-05- 27T08%3A17%3A09Z&sp=racwd

Slide 15

Slide 15 text

Azure の URI・トークンをどう取得する？ • IoT Hub で取得 • https://docs.microsoft.com/ja-jp/azure/iot-hub/iot-hub-devguide-file-upload • IoT Central で取得 • https://docs.microsoft.com/ja-jp/azure/iot-central/core/howto-configure-file-uploads • Azure Functions で取得 <= SORACOM Funk と組み合わせてみた • https://qiita.com/n_mikuni/items/c00cdf0daba4970c69c0

Slide 16

Slide 16 text

Azure Functions と SORACOM Funk $ url=`curl -X POST -H "content-type:application/json" ¥ -d "{¥"fileName¥": ¥"test.txt¥"}" http://funk.soracom.io | jq -r .url` $ $ curl -X PUT --upload-file test.txt -H "x-ms-blob-type: BlockBlob" "${url}" • Azure Functions は FaaS (Function as a Service) 基盤。Virtual Network へ統合可能。 • SORACOM Funk はデバイスから FaaS を実行するサービス • Azure Function の URL や認証情報を SORACOM が持つ • ※注: 2021 年 5 月時点では SORACOM Funk の名前解決先を指定できず、Azure Functions へのアクセスはインターネット経由となります Azure Function SORACOM Funk

Slide 17

Slide 17 text

デモ 2 プライベートネットワークでストレージ読み書き

Slide 18

Slide 18 text

デモのネットワーク構成 SORACOM Azure Raspberry Pi + MS2372h-607 VPG (Type-F) SORACOM Door Azure VPN Gateway Azure Private Link Azure Storage Azure Function (ASE, VNET ) Windows PC + RUT240 今話していること:プライベートネットワークでストレージ読み書きするデモ SORACOM Funk Managed ID SAS URI

Slide 19

Slide 19 text

SORACOM を使うメリット • デバイスに P2S VPN のクライアントや S2S VPN の設定が不要 • デバイス・拠点が複数でも、 VPN の終端が SORACOM へ集約 • デバイス設定・認証を肩代わりする他の SORACOM サービスも併用可能 Azure Function SORACOM Funk SORACOM IoT SIM VPG (Type-F) SORACOM Door Azure VPN Gateway Azure Virtual Network

Slide 20

Slide 20 text

まとめ • Azure のセキュリティはネットワークサービス・認証ともに充実している • SORACOM を利用するとデバイスの設定を楽にしつつ強固なネットワークサービス・認証を持つ Azure へ接続できる

Slide 21

Slide 21 text

No content