2017 年秋の Azure Networking の更新
執筆者: Yousef Khalidi (CVP, Azure Networking)
このポストは、11 月 16 日に投稿された Azure Networking updates for Fall 2017 の翻訳です。
9 月に開催された Ignite 2017 での発表 (英語) は、セキュリティ、パフォーマンス、監視、接続性、可用性を主軸としたものでした。Ignite では、自社のミッション クリティカルなアプリケーションをサポートするために高度な仮想ネットワークを構築している数千ものお客様から学ぶ機会が得られました。マイクロソフトは、こうしたお客様による管理の簡素化に特に重点を置き、サービスの強化に取り組んできました。また、新しいサービスについては、提供リージョンを継続的に拡張しています。以下にその要約を示します。詳細については以降の本文をお読みください。
· すべてのパブリック リージョンで Virtual Network サービス エンドポイントのプレビューを開始
· 米国、ヨーロッパ、アジアの各リージョンで DDoS Protection の提供を開始
· すべてのパブリック リージョンでサービス タグのプレビューを開始
· すべてのパブリック リージョンで Augmented Rules の一般提供を開始
· Data Plane Developer Kit のプレビューを開始
· ExpressRoute 用 Network Performance Monitor のプレビューを開始
· ExpressRoute 用の Azure Monitor および Resource Health の一般提供を開始
· ポータルに Traffic View の視覚化機能を追加
· Mac 用 Point-to-Site VPN および AD 認証の一般提供を開始
· Azure DNS で CAA レコードと IPv6 のサポートの一般提供を開始
セキュリティ
すべてのパブリック リージョンで Virtual Network サービス エンドポイントのプレビューを開始
Virtual Network サービス エンドポイントを使用すると、仮想ネットワーク (VNET) のプライベート アドレス空間と VNET の ID を Azure サービスに拡張し、Storage や SQL Database などのインターネット接続可能な IP アドレスを持つ Azure サービスを保護できます。今回、Azure パブリック クラウドのすべてのリージョンで、Azure Storage と Azure SQL Database のサービス エンドポイントのプレビューの提供が開始されました。また、今後数か月以内に他の Azure サービスにも Virtual Network サービス エンドポイントが追加される予定です。詳細については、Virtual Network サービス エンドポイントのドキュメントを参照してください。
Virtual Network サービス エンドポイントにより Azure サービスへのアクセスを VNET からのみに制限
米国、ヨーロッパ、アジアで DDoS Protection のプレビューを開始
Azure DDoS Protection は、標的型 DDoS 攻撃から保護するアプリケーションを新しいサービスで、詳細な構成、アラート、テレメトリが提供されます。このサービスでは、自動チューニングを継続的に実施し、VNET 内のパブリック アクセスが可能なリソースを保護します。また、高度な機械学習アルゴリズムを使用してアプリケーションの通常のトラフィック パターンをプロファイリングし、不審なトラフィックをインテリジェントに検出して、標的型 DDoS 攻撃を抑制できます。今回、米国、ヨーロッパ、アジアの一部のリージョンで Azure DDoS Protection のプレビューが開始されました。詳細については、DDoS Protection のページを参照してください。
Azure DDoS Protection により VNET 内のパブリック アクセスが可能なリソースを保護
ネットワークのセキュリティ管理を簡素化
Network Security Groups (NSG) を使用すると、IP アドレスに基づいてネットワーク セキュリティ アクセス ポリシーを定義し、VNET 内の VM やサブネットのアクセスを制御できます。しかし、IP アドレスのみを使用して複雑なセキュリティ ポリシーを管理するのは煩雑で、ミスも発生しやすくなります。そこで、サービス タグや Application Security Groups、NSG ルールの機能強化により、NSG の管理を簡素化しました。
タグ、グループ、強化されたルールを使用することで Network Security Groups の管理が簡単に
すべてのパブリック クラウド リージョンでサービス タグのプレビューを開始
従来、VNET から Storage などのサービスにアクセスする必要がある場合には、Azure のパブリック IP アドレス範囲に対するアクセスを許可する必要がありました。この IP アドレス範囲を保持することは面倒でした。サービス タグを使用すると、この管理タスクを簡素化できます。特定の Azure サービスについて、シンボリック名を使用して、グローバルまたはリージョン内のすべての IP アドレスを表すことができます。たとえば、Storage という名前のサービス タグは、Azure Storage のすべての IP アドレスを表します。NSG ルールにサービス タグを使用すると、特定の Azure サービスへのトラフィックを名前によって許可または拒否できます。タグに含まれる IP アドレスは、自動的に更新されます。現在、Azure パブリック クラウドのすべてのリージョンで、Storage、SQL、Traffic Manager のサービス タグのプレビューを使用できます。今後は、その他のサービスにも対応する予定です。詳細については、サービス タグに関するドキュメントを参照してください。
すべてのリージョンで Network Security Groups の Augmented Rules の一般提供を開始
Network Security Groups の Augmented Rules を使用すると、セキュリティ定義が簡素化されます。従来よりも大規模で複雑なネットワーク セキュリティ ポリシーを従来よりも少ないルールで定義できるため、管理も容易になります。複数のポート、複数の明示的な IP アドレス、サービス タグ、Application Security Groups をすべて組み合わせて、わかりやすい 1 つのセキュリティ ルールを作成できます。そのため、複数のインターネット クライアントからお客様の Web サイトへのアクセスを許可する場合に、クライアントごとに NSG ルールを作成するのではなく、1 つの NSG ルールを使用できます。今回、Azure パブリック クラウドのすべてのリージョンで、Network Security Groups の Augmented Rules の一般提供が開始されました。詳細については、NSG の Augmented Rules に関するドキュメントを参照してください。
パフォーマンス: Azure がパブリック クラウド最速の地位を保持
Azure Accelerated Networking
Azure Networking チームは、お客様に優れたパフォーマンスを提供するための取り組みを継続しています。Ignite では、30 Gbps の VM 間スループットを誇るパブリック クラウド最速の VM が発表されました。この機能は、複数のサイズの VM インスタンスおよびディストリビューションで簡単に有効化できます。詳細については、Azure Accelerated Networking のドキュメントを参照してください。
Data Plane Developer Kit のプレビューを開始
Ignite では、Data Plane Developer Kit (DPDK、英語) のサポートが発表されました。DPDK を使用すると、可能な限り効率的かつ高速なパケット処理が求められるネットワーク アプライアンスなど、ネットワーク集中型アプリケーションのパフォーマンスを高めることができます。今回、カナダ東部のすべての Accelerated Networking VM で DPDK のパブリック プレビューが開始されました。現時点では、評価目的でご利用いただけます。DPDK の詳細については、AzureDPDK@microsoft.com までお問い合わせください。
監視
お客様には、ミッション クリティカルなワークロードの実行を Azure にお任せいただいています。そのため、これらの運用環境のアプリケーションの動作について、詳細な運用情報をリアルタイムに提供することが不可欠です。マイクロソフトではお客様のニーズに対応するために、ネットワーク監視機能を継続的に強化しています。
ExpressRoute 用 Network Performance Monitor のプレビューを開始
Network Performance Monitor (NPM) は、オンプレミスからマイクロソフトまでの ExpressRoute を監視するエンドツーエンドの監視ソリューションです。オンプレミスと VNET 間のレイテンシ、パケット損失、帯域幅を監視できるほか、これらのメトリックを使用してしきい値ベースのアラートを設定したり、ExpressRoute トポロジを視覚化したりできます。サービスのエンドポイント監視では、Office 365 と Azure Storage などの PaaS サービスの到達可能性を追跡できます。今回、米国東部、東南アジア、西ヨーロッパの各リージョンで ExpressRoute 用 Network Performance Monitor のプレビューが開始されました。詳細については、ExpressRoute 用 Network Performance Monitor のドキュメントを参照してください。
ExpressRoute 用 Network Performance Monitor により複数のパスを監視
ExpressRoute 回線用の Azure Monitor および Resource Health の一般提供を開始
ExpressRoute 用 Azure Monitor の一般提供が開始されました。これにより、ポータルの Azure Monitor から ExpressRoute 回線の合計スループットを表示できます。
また、ExpressRoute 回線用の Resource Health の一般提供も開始されました。ExpressRoute 回線に既知の問題が発生していないかどうかを確認し、サポート チケットを発行する前に、その問題に関連するトラブルシューティングを表示することができます。
Azure Monitor で ExpressRoute 回線ごとのスループットを表示
Traffic View でトラフィック パターンを視覚化
Azure Traffic Manager の Traffic View では、ユーザーに関する有用なインテリジェンスを提供し、パフォーマンスの向上やレイテンシの短縮を見込める適切な Azure リージョンを選択できるようにサポートします。今回、Traffic View データの強力な視覚化機能が追加されました。これにより、ユーザー エクスペリエンスのヒートマップが提示され、ユーザーのトラフィック パターンを世界規模で把握したり、特定地域を拡大して確認したりできます。詳細については、Traffic View の概要を参照してください。
あるエンドポイントのトラフィック パターン
接続性
Mac 用 Point-to-Site VPN および AD 認証の一般提供を開始
macOS 用 Point-to-Site (P2S) VPN と P2S VPN の Active Directory (AD) ドメイン認証の一般提供が開始されました。これにより、ネイティブ IKEv2 VPN クライアントを使用して macOS デバイスから P2S VPN 経由で Azure Virtual Network に接続できます。Windows 用の P2S ソリューションには、引き続き SSTP が使用されます。IKEv2 VPN と SSTP VPN の両方を有効化することで、Windows および macOS クライアントの混在環境をサポートできます。
P2S VPN 経由で Windows マシンと macOS マシンを Azure VNET に接続
認証を簡素化するためには、RADIUS 認証を有効化して、IKEv2 および SSTP VPN の認証に組織のドメイン資格情報を使用できます。Azure VPN Gateway により、Azure またはオンプレミスのデータセンターで RADIUS と AD ドメインのデプロイメントを統合できます。RADIUS サーバーは他の ID プロバイダーとも統合できるため、P2S VPN で複数の認証オプション (多要素認証など) が提供されます。
P2S VPN の AD ドメイン認証
Azure では、Windows および macOS のネイティブ VPN クライアントから Azure に接続するために必要な VPN クライアントの構成を提供しています。Mac 用 P2S VPN と AD ドメイン認証は、どちらも Basic SKU を除くすべての Gateway SKU でご利用いただけます。Azure P2S VPN の詳細については、Point-to-Site VPN のドキュメントを参照してください。
Azure DNS で CAA レコードのサポートと IPv6 ネーム サーバーの一般提供を開始
IPv6 DNS クエリおよび Certificate Authority Authorization (CAA) レコードのサポートの一般提供が開始されました。Certification Authority Authorization (CAA) リソース レコード (英語) を使用すると、ドメイン所有者はドメイン証明書の発行を認める証明機関 (CA) を 1 つまたは複数指定できます。証明機関には現在、証明書発行プロセスの一環として CAA レコードを確認することが義務付けられています (英語)。この多層防御のセキュリティ機能により、証明機関が証明書を誤って発行するリスクを軽減できます。詳細については、Azure DNS での CAA レコードと IPv6 のサポートに関する記事 (英語) を参照してください。
まとめ
マイクロソフトは引き続き、お客様のミッション クリティカルなアプリケーションのネットワーク管理、セキュリティ、スケーラビリティ、可用性、パフォーマンス全般の簡素化に取り組んでまいります。Azure Networking を使用すると、マイクロソフトのクラウドおよび世界規模のバックボーン ネットワークが提供するメリットを最大限に活用できます。今後数か月以内に、さらなる更新や発表が予定されています。クラウドが進化を続ける現在は、私たち全員にとって興味深い時代です。マイクロソフトのロードマップがお客様のニーズに対応していることを確認するために、Ignite でリリースした機能やこの記事でご紹介した新機能について引き続きフィードバックをお待ちしております。