Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SORACOM から Azure へつなげるプライベートネットワーク / Private-network-from-soracom-to-azure

SORACOM から Azure へつなげるプライベートネットワーク / Private-network-from-soracom-to-azure

5月27日(木)開催、SORACOM UG Online #5 イベントで、ソラコム CRE 三國(mick)が発表した資料です。
https://soracomug-tokyo.connpass.com/event/210151/

7cd783377515bdf8207062840b7b2f4e?s=128

SORACOM

May 27, 2021
Tweet

Transcript

  1. SORACOM から Azure へつなげる プライベートネットワーク SORACOM UG Online #5 May.

    27, 2021 株式会社ソラコム Customer Reliability Engineer 三國直樹 (mick / @n_mikuni)
  2. 自己紹介 三國直樹 (mick) Customer Reliability Engineer 技術サポートやドキュメント等を担当 担当したドキュメント: • SORACOM

    Beam から Azure IoT Hub へ X.509 証明書で 認証した接続をする • SORACOM Funk からAzure Functions を呼び出し Microsoft Teams へ通知する 好きな SORACOM サービス: SORACOM Lagoon 好きな Azure サービス: Azure Kubernetes Service
  3. IoT のシステム構成 インターネット クラウド デバイス

  4. クラウドへの攻撃・侵入のリスクと対応 インターネット クラウド デバイス

  5. • アクセスキーの管理や認可・ログの設定に加えて、 ネットワークによる保護も重要。 • Azure Storage の Firewall ではアクセス元の IP

    アドレス やサービスを管理できる。 攻撃・侵入リスクへの対応例: Azure Storage
  6. では、 アクセス元を制限した Storage へ IoT デバイスからどう接続するか?

  7. 作ってみた構成の紹介 SORACOM Azure SORACOM IoT SIM VPG (Type-F) SORACOM Door

    Azure VPN Gateway Azure Private Link Azure Storage DNS (Azure Virtual Machine) 168.63.129.16 Private DNS Zone https://blog.soracom.com/ja-jp/2020/07/22/door-azure-storage/
  8. • Virtual Network 外からアクセスできない Private Endpoint を提供。 • クライアントは プライベート

    IP アドレスで接続可能。 • Azure Storage 以外にも、様々なサービスに対応。 • https://docs.microsoft.com/en-us/azure/private-link/private-endpoint-overview#private-link-resource Azure Private Link 今話していること: プライベートネットワークの構成要素 Azure Private Link Azure Storage
  9. • Private Link が払いだすプライベート IP アドレスの名前解決を提供。 • クライアントは パブリックな名前を解決しに行って良い。 •

    現時点では内部 DNS サービス (168.63.129.16 ) へ名前解決するための DNS フォワーダが必要。 Private DNS Zone 168.63.129.16 $ nslookup doorstr.blob.core.windows.net Server: 10.0.0.53 Address: 10.0.0.53#53 Non-authoritative answer: doorstr.blob.core.windows.net canonical name = doorstr.privatelink.blob.core.windows.net. Name: doorstr.privatelink.blob.core.windows.net Address: 10.0.0.5 今話していること: プライベートネットワークの構成要素 DNS Private DNS Zone
  10. • VPG (Virtual Private Gateway) はお客様専用のゲートウェイ • パケットキャプチャやルーティングフィルタ、VPN 接続などできる •

    SORACOM Door と Azure VPN Gateway は VPN (Virtual Private Network) を構成 • SORACOM IoT SIM を利用したデバイスから Azure ネットワークへプライベート IP アドレスでのアクセスを可能にする VPG・SORACOM Door・ Azure VPN Gateway 今話していること: プライベートネットワークの構成要素 SORACOM IoT SIM VPG (Type-F) SORACOM Door Azure VPN Gateway Azure Virtual Network
  11. • SIM のグループごとに DNS サーバーのアドレスを指定できる • SIM が SORACOM プラットフォームとセッションを作成した際に

    DHCP で配布される カスタム DNS 今話していること: プライベートネットワークの構成要素 DNS (Azure Virtual Machine)
  12. デモ 1 プライベートネットワークで SSH

  13. デモのネットワーク構成 SORACOM Azure Raspberry Pi + MS2372h-607 VPG (Type-F) SORACOM

    Door Azure VPN Gateway Azure Private Link Azure Storage DNS (Azure Virtual Machine) 10.0.0.53 10.0.0.5 DNS 今話していること:プライベートネットワークで SSH するデモ doorstr
  14. Azure Storage の SAS トークン • Shared Access Signature の略。この部分

    • どのリソース (blob, file, etc.) に対して、どんなアクセス (読み・書き) を、 いつまで、といった設定ができる • 以下 2 つの発行方法がある • Azure Storage のアカウントキーを使う • Azure AAD の認証情報 (ユーザー委任キー) を使う <= 推奨 https://docs.microsoft.com/ja-jp/azure/storage/common/storage-sas-overview https://doorstr.blob.core.windows.net/privateblob/i_love_ug.txt?sv=2019-07- 07&sr=b&sig=xxx&skoid=yyy&sktid=zzz&skt=2021-05-27T06%3A17%3A09Z&ske=2021-05- 27T08%3A17%3A09Z&sks=b&skv=2019-07-07&st=2021-05-27T06%3A17%3A09Z&se=2021-05- 27T08%3A17%3A09Z&sp=racwd
  15. Azure の URI・トークンをどう取得する? • IoT Hub で取得 • https://docs.microsoft.com/ja-jp/azure/iot-hub/iot-hub-devguide-file-upload •

    IoT Central で取得 • https://docs.microsoft.com/ja-jp/azure/iot-central/core/howto-configure-file-uploads • Azure Functions で取得 <= SORACOM Funk と組み合わせてみた • https://qiita.com/n_mikuni/items/c00cdf0daba4970c69c0
  16. Azure Functions と SORACOM Funk $ url=`curl -X POST -H

    "content-type:application/json" ¥ -d "{¥"fileName¥": ¥"test.txt¥"}" http://funk.soracom.io | jq -r .url` $ $ curl -X PUT --upload-file test.txt -H "x-ms-blob-type: BlockBlob" "${url}" • Azure Functions は FaaS (Function as a Service) 基盤。Virtual Network へ統合可能。 • SORACOM Funk はデバイスから FaaS を実行するサービス • Azure Function の URL や認証情報を SORACOM が持つ • ※注: 2021 年 5 月時点では SORACOM Funk の名前解決先を指定できず、Azure Functions へのアクセスはインターネット経由となります Azure Function SORACOM Funk
  17. デモ 2 プライベートネットワークで ストレージ読み書き

  18. デモのネットワーク構成 SORACOM Azure Raspberry Pi + MS2372h-607 VPG (Type-F) SORACOM

    Door Azure VPN Gateway Azure Private Link Azure Storage Azure Function (ASE, VNET ) Windows PC + RUT240 今話していること:プライベートネットワークでストレージ読み書きするデモ SORACOM Funk Managed ID SAS URI
  19. SORACOM を使うメリット • デバイスに P2S VPN のクライアントや S2S VPN の設定が不要

    • デバイス・拠点が複数でも、 VPN の終端が SORACOM へ集約 • デバイス設定・認証を肩代わりする他の SORACOM サービスも 併用可能 Azure Function SORACOM Funk SORACOM IoT SIM VPG (Type-F) SORACOM Door Azure VPN Gateway Azure Virtual Network
  20. まとめ • Azure のセキュリティはネットワークサービス・認証ともに 充実している • SORACOM を利用するとデバイスの設定を楽にしつつ強固な ネットワークサービス・認証を持つ Azure

    へ接続できる
  21. None