リソースグループと仮想ネットワークは計画的に

前回はAzureポータルの「仮想マシンの作成」ブレードの既定の構成を受け入れて、ほとんど何も考えずにWindowsまたはLinux仮想マシンをデプロイしてみました。

簡単にデプロイした仮想マシンの構成を確認する

「仮想マシンの作成」ブレードには2018年9月下旬に大幅な変更が加えられたため、これから仮想マシンを作成する場合は、UIの違いに驚くかもしれません。新しいUIの「基本」タブの指定だけで作成した場合と考えて下さい(新しいUIについては次回解説します)。

Azure IaaSへの仮想マシンのデプロイが完了したら、Azureポータルで仮想マシンの管理ブレードを開いて、仮想マシンの構成、例えば「概要」「プロパティ」「ネットワーク」「ネットワークセキュリティグループ」の内容を確認してみましょう。

前回は説明しませんでしたが、Azure IaaSにおいて「リソースグループ」は重要な概念です。

Azureの仮想マシンは、さまざまなリソース(仮想マシンの構成、ディスク、ネットワークインタフェース、仮想ネットワーク、パブリックIPアドレス、ネットワークセキュリティグループ、ストレージアカウントなど)の組み合わせで構成されますが、それを1つにまとめたものがリソースグループと考えればよいでしょう。

「リソースグループ」には、1つ以上の「仮想ネットワーク」を含めることができます。仮想ネットワークは、仮想マシンが接続される、クラウド上の専用の閉じたネットワークセグメントです。

何も考えずに「仮想マシンの作成」ブレードに任せて作成すると、仮想マシンごとに1つのリソースグループが作成されてしまい、1台の仮想マシンしか存在しない仮想ネットワークセグメントに接続されます。

この仮想マシンは、インターネットと通信することが可能であり、パブリックIPアドレスへのRDPまたはSSH接続が可能ですが、あくまでも閉じたネットワークセグメントに接続された1台だけの仮想マシンです。「仮想マシンの作成」ブレードに任せることは簡単ですが、できあがる仮想マシンは無計画なデプロイであることに留意してください。

• 図1 何も考えずに2台の仮想マシンをデプロイしたときのイメージ。2台の仮想マシンは孤立状態

例えば、Azure IaaSに2台の仮想マシンをデプロイする際に、2台目のリソースグループを1台目と同じリソースグループにした場合は、同じ仮想ネットワークの同じネットワークセグメントに接続されるはずです。

その場合、仮想マシン間でIPv4またはIPv6によるローカルネットワーク(同じネットワークセグメント内での)を介した相互通信が可能になります(図2、画面1)。図1に比べれば計画的に見えるかもしれませんが、後述するように将来を見据えた拡張への配慮も必要です。

• 図2 同じリソースグループの同じネットワークセグメントにローカル接続された2台の仮想マシン

• 同じリソースグループの同じ仮想ネットワークに接続された仮想マシン間は、ローカルネットワーク通信が可能

また、仮想マシンを次々にデプロイしていくと、関連するリソースもまた次々に作成され、大量に増えていきます。

リソースグループ単位ですべてを削除することは可能ですが、仮想マシンごとに削除する場合、その仮想マシンに関連するリソースは削除されません。仮想マシンとの関連性が分かるように名前付けを考えておくことも、将来の管理負担を軽減することにつながるでしょう。

• 2台の仮想マシンを含むリソースグループに作成されたリソース。ポータルから仮想マシンを削除しても、関連するリソースのほとんどは残ることに注意(リソースグループごとすべてを削除することは可能)

仮想ネットワークの設計

Azure IaaSの仮想ネットワークを、オンプレミスのネットワークとインターネットVPN(仮想プライベートネットワーク)やAzure ExpressRouteで相互接続することを計画している場合は、オンプレミスの既存の社内ネットワークのIPサブネットのアドレス空間と競合しないように、Azure側の仮想ネットワークを含めたネットワーク設計が不可欠です。

そのため、最低限、リソースグループと仮想ネットワークを設計し、事前に作成した上で、仮想マシンをデプロイしていくことが重要になります。

デプロイした仮想マシンは、RDPまたはSSHによるリモート管理のための接続用(およびインターネット向け公開サーバ用)に自動割り当てされるグローバルIPアドレスである「パブリックIPアドレス」リソースが割り当てられます。

これとは別に、Azure IaaSの仮想ネットワークに必ず1つのネットワークアダプターで接続されます。オプションで複数のネットワークアダプターを割り当て、ロードバランサを構成することが可能です。

仮想マシンのゲストOSに対するネットワークアダプタのプライベートIPアドレスおよびDNSサーバの割り当ては、Azure IaaSのサービスが提供するDHCP機能により完全に制御されることに留意してください。ゲストOS側で固定的なIPアドレスの割り当てを行ってはいけません。

もし、ゲストOS側でマニュアルで設定をしてしまうと、仮想マシンに対するネットワークの接続性が失われてしまいます(いったん「停止済み(割り当て解除)」にしてから起動すると元のDHCP割り当てに戻り、再び接続可能になるはずです)。

仮想マシンへのプライベートIPアドレスの固定的な割り当て、および名前解決用のDNSサーバの指定は、ゲストOS側ではなく、Azureポータルの「仮想マシンのネットワークアダプタ」リソースの構成から行います(画面3)。

• 仮想ネットワークのアドレス空間から、静的なIPアドレスを固定的に割り当てる(IPアドレスの最後.1～.3はAzure側でデフォルトゲートウェイなどに使用するため使用不可)

また「仮想ネットワーク」リソースの「DNSサーバー」で、仮想ネットワークの共通設定として指定することも可能です。

例えば、仮想ネットワークに接続されたWindows仮想マシンの1台をActive DirectoryドメインコントローラおよびDNSサーバとして構成する場合は、この方法で静的にIPアドレスを割り当てた上で、そのIPアドレスを「仮想ネットワーク」リソースの「DNSサーバー」に指定します。

これにより、同じ仮想ネットワークに接続される他の仮想マシンは、DNSサーバとしてドメインコントローラーを参照するようになります。

• 仮想ネットワークにDNSサーバーの仮想マシンを準備し、仮想ネットワークの共通設定として他の仮想マシンに適用する