それでもやっぱり ExpressRoute が好き！

Transcript

1. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. https://www.progrive.co.jp https://www.progrive.co.jp

   株式会社プログライブ コンサルティング Kazuyuki Sakemi (酒見 一幸) それでもやっぱり ExpressRoute が好き！ 2024/10/05 1

2. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. はじめに \\\

   JAZUG 14 周年おめでとうございます /// \\\ Congrats!! > new Microsoft MVPs ///

3. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Summary Azure

   を中心とした開発や運用自動化のスペシャリストとして、 日系・外資系 SIer や日本マイクロソフトを経験し、現職にて活躍中。 独法や文教業界を中心に、要件定義から設計構築、NW/SV/アプリ 運用までの幅広いプロジェクトに従事。日本マイクロソフトでは、顧客の コスト最適化や人材育成に向けたコンサルティングを中心に、ビジネスの 加速に貢献。2024年08月、Microsoft MVP for Azure に選出。 自己紹介 https://twitter.com/_skmkzyk https://zenn.dev/skmkzyk https://atbex.attokyo.co.jp/blog/001013001/ 酒見 一幸 (Kazuyuki Sakemi) from 株式会社プログライブ コンサルティング https://speakerdeck.com/skmkzyk

4. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Summary Azure

   を中心とした開発や運用自動化のスペシャリストとして、 日系・外資系 SIer や日本マイクロソフトを経験し、現職にて活躍中。 独法や文教業界を中心に、要件定義から設計構築、NW/SV/アプリ 運用までの幅広いプロジェクトに従事。日本マイクロソフトでは、顧客の コスト最適化や人材育成に向けたコンサルティングを中心に、ビジネスの 加速に貢献。2024年08月、Microsoft MVP for Azure に選出。 自己紹介 https://twitter.com/_skmkzyk https://zenn.dev/skmkzyk https://atbex.attokyo.co.jp/blog/001013001/ 酒見 一幸 (Kazuyuki Sakemi) from 株式会社プログライブ コンサルティング https://speakerdeck.com/skmkzyk

5. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. このカテゴリーの Microsoft

   MVP は世界で 3 人だけです！！！ 5

6. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ExpressRoute に好敵手が

   ライバル

7. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ゼロトラスト アーキテクチャーというのをよく聞きます

   7 VPN フリー リモートワーク ZTNA SWG マイクロセグメンテーション SASE ID ベース認証 動的認証 多要素認証 コンテキストベースアクセス クラウドセキュリティ

8. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Global Secure

   Access とは ◼ Microsoft の Secure Service Edge (SSE) サービス ⁻ 以下の 3 種類のサービスで構成 Microsoft Entra Internet Access (いわゆる SWG) Microsoft Entra Internet Access – Microsoft traffic profile Microsoft Entra Private Access (いわゆる ZTNA) ⁻ 2024/07 に GA が発表 Microsoft Security Service Edge now generally available - Microsoft Community Hub ⁻ Microsoft Entra Suite というかたちで、いくつかのソリューションの組合せとなった Microsoft Entra Suite now generally available - Microsoft Community Hub ◼ 世界中に PoP があるため、全世界で最適な環境が利用可能 ⁻ Global Secure Access points of presence and IP addresses - Global Secure Access | Microsoft Learn

9. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ネットワーク接続 イメージ

   9 ◼ PC → Private Access ⁻ VPN フリーでのアクセス ◼ PC → Internet Access / Microsoft traffic profile ⁻ インターネット アクセスを制限 ◼ NW → Internet Access ⁻ クライアント インストール不要 家 Microsoft Secure Service Edge (SSE) オフィス 家 Microsoft Secure Service Edge (SSE) オフィス Microsoft Secure Service Edge (SSE)

10. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Microsoft Entra

    Private Access と Hub-spoke アーキテクチャ 10 ◼ Microsoft Entra Private Access と Hub-spoke を組み合わせてみる ⁻ https://zenn.dev/skmkzyk/articles/mepa-hub-spoke

11. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Microsoft Entra

    Private Access と Azure Private Endpoint の組合せ 11 ◼ Microsoft Entra Private Access と Azure Private Endpoint の組合せが最高 ⁻ https://zenn.dev/skmkzyk/articles/mepa-private-endpoint

12. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. そのほかもろもろは Zenn

    にて。。 12 https://zenn.dev/skmkzyk

13. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. (いまのところ) GSA

    で対応していないやつ 13 ◼ 拠点間通信を実現するもの ⁻ ExpressRoute + Global Reach 相当なやつ Microsoft Secure Service Edge (SSE) 大阪拠点 東京拠点 ◼ 外から戻ってきたときに最適経路になるやつ ⁻ MEPA でアクセスするようなリソースに対して、 インターネット経由しない通信が可能なやつ 家

14. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. じゃあ ExpressRoute

    は不要になったんですか 14 ExpressRoute のような閉域での接続は不要になるのでは？？ VPN フリー、閉域を使わない、どのネットワークからでも同じポリシー 「社内ネットワーク」と呼ばれるようなものが存在せず、単にインターネットに出れる Wi-Fi があれば十分 オンプレミスからの脱却、すべてパブリック クラウドに移行、MFA を利用して今までより強力に ID で保護

15. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ExpressRoute と

    Microsoft Entra Private Access の比較 15 閉域での接続 インターネット経由での接続 VPN での接続、容量の見積もりが必要 クラウドで終端、帯域にも余裕がある SLA がある E2E での SLA は無い 比較的安定した遅延 インターネット経由のため不確定 ExpressRoute Private Access コストは一定 コストは従量課金 安全、不審なものは無い 安全性を保つために TLS が必須

16. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ExpressRoute はやっぱり楽しい

17. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. なんで ExpressRoute

    が好きなのか？？ 17 ◼ The Internet (大文字のインターネット) が好き ⁻ 純粋なネットワークのネットワーク、ネットワーク同士がただつながっているもの = internet (小文字のインターネット) ⁻ そのうえで、現実に存在するこのネットワーク同士がつながったもの = the Internet (大文字のインターネット) ◼ インターネットを構成する技術の中で BGP というプロトコルがある ⁻ Border Gateway Protocol (BGP) ⁻ 大きめのネットワーク同士を接続するのに適したプロトコル、奥が深くてとても楽しい ◼ ExpressRoute の理解には BGP が必須であり、楽しい。。 ⁻ BGP と Azure の SDN を理解していくと、とても楽しい。。。 ⁻ あんなこと、こんなこと (アーキテクチャーの話です) ができるのかなぁ。。。。と思案しているのが楽しい。。。。。。 悪循環のアレ

18. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. cf.) 大文字の

    Internet について 18 ◼ インターネットは英語で「Internet」。「I」が大文字である深淵な理由とは？ ⁻ https://web.archive.org/web/20181030030741/https://diamond.jp/articles/-/182372 ◼ インターネットとは - JPNIC ⁻ https://www.nic.ad.jp/ja/basics/beginners/internet.html ◼ 「the Internet」がなくなる？ - ITmedia NEWS ⁻ https://www.itmedia.co.jp/news/articles/1604/18/news061.html

19. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ExpressRoute の理解

    Lv.0 19 自社のネットワークと Azure がなんかつながってる

20. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ExpressRoute の理解

    Lv.1 20 ISP を経由して、ExpressRoute を使って社内と Azure が繋がっているっぽい

21. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ExpressRoute の理解

    Lv.1.5 21 拠点が多い場合、すでに WAN があり、その拠点のひとつとして Azure を利用

22. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ExpressRoute の理解

    Lv.1.7 22 ExpressRoute を使うと世界中の Azure リージョンに接続できるイメージ

23. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ExpressRoute の理解

    Lv.2 23 物理的な世界が想像できていて、冗長化をどのように考えるべきか判断ができる

24. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. 日本マイクロソフト 宇田さんの資料も大変参考になります

    24 https://www.syuheiuda.com/

25. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Azure Route

    Server もめちゃ楽しい

26. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. My favorite

    services … ExpressRoute and Azure Route Server 26

27. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ExpressRoute と

    S2S VPN の折り返しには Azure Route Server が必要 27 ◼ Docs に書いてあるとおりではあるんですが、なぜそうなのか？ ◼ ルーティングの基本さえわかればなんとなくわかった気になれる ⁻ 経路が無ければパケットは飛ばない ⁻ 経路を伝えればその逆方向にパケット (トラフィック) が流れてくる ⁻ 通信できないことのほとんどは「戻りのルーティングがない」

28. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ARS がないとき～！

    28

29. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ARS がないとき～！

    29

30. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ARS があるとき～！

    30

31. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ExpressRoute と

    ARS があればたぶんどんな構成でも作れる 31 ◼ いわゆる「技術的には可能です」レベルであればなんとでもなる ⁻ ExpressRoute を使ったオンプレミスの接続と、ARS + NVA を使った構成があれば VNet をいくつも peering していく構成だって、Hub-Spoke が複数ある構成だって何でもできる ⁻ VPN Gateway の VNet-to-VNet の接続を利用してもかなり可能性が広がる ◼ ただし運用に耐えられるかは別 ⁻ NVA を利用する場合、オンプレミスと比べてそのフェイルオーバーにかかる時間は数秒～数十秒のオーダーになる ⁻ 可用性の観点ではオンプレミスとパブリック クラウドで差が埋められていないと感じるもののひとつ

32. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. 2 種類のクライアントがそれぞれに対応した

    spoke VNet にしかアクセスできない構成 32

33. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. \ExpressRoute の沼へようこそ/

34. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Cloud Lab

    はいいぞ 34 1日から利用できるデータセンターサービス。 最高級のデータセンターで、クラウドの接続検証やライブ配信、映像制作などができます。 Cloud Lab を使った ExpressRoute の検証 (ハッカソン) を今までに 17 回 実施させていただいています！ ExpressRoute を繋いだり、切断したり、VPN とのフェイルオーバー障害試験したり、なかなか貴重な経験ができます！

35. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ATBeX ブログにいっぱい書いてます！

    35

36. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ATBeX Meeting2

    というやつでお話してきました 36

37. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. 沼人 (ぬまんちゅ)

    オススメ こんてんつ 37 ◼ Made in container ⁻ https://www.syuheiuda.com/ ⁻ 日本マイクロソフト 宇田さんのブログ ◼ Cloudtrooper – Thoughts from the clouds ⁻ https://blog.cloudtrooper.net/ ⁻ Microsoft FTA の Jose Moreno さんが書かれているブログ、毎回内容がとても先進的 ◼ マルチクラウドネットワークの教科書 耐障害性と冗長性を実現するデザインパターン ⁻ https://www.amazon.co.jp/dp/4798181560/ ⁻ Azure 以外のパブリック クラウドのネットワークの考え方が知れる、AZ とか結構違う、手元にあります ◼ Azureネットワーク設計・構築入門 基礎知識から利用シナリオ、設計・運用ベストプラクティスまで ⁻ https://www.amazon.co.jp/dp/4295020109/ ⁻ 2024/09 発売、マスタリング TCP/IP 的な基礎的な内容から入ってるのでめちゃオススメ、手元にあります

38. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. \宣伝 (いっぱいある)/

39. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. 勉強会とかイベントとか 39

    ◼ 第4回 Azure Travelers 勉強会 福岡の旅 with 株式会社オルターブース ⁻ 2024/10/19(土)

40. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. 勉強会とかイベントとか 40

    ◼ .NETラボ 勉強会 2024年10月 ⁻ 2024/10/26(土) ⁻ 弊社 (株式会社プログライブ コンサルティング) 開催です！御茶ノ水です！

41. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. 勉強会とかイベントとか 41

    ◼ 技術書典 ⁻ オフライン開催：2024/11/03 (日) 11:00～17:00 ⁻ 現・元 Microsoft の有志でまた #AzureMixBook 出します！

42. Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. 42 会社名

    株式会社プログライブコンサルティング [ProGrive Consulting Co., Ltd.] お問い合わせ [email protected] ~ Expand Your Business ~ ～ビジネスの成長、新たな機会の追求、そして未来を切り開く～