Azure IoT Layered Network Management (プレビュー) とは
Azure IoT Layered Network Management (プレビュー) サービスは、Azure と分離ネットワーク環境のクラスターとの間の接続を容易にするコンポーネントです。 産業シナリオでは、分離ネットワークは ISA-95/Purdue Network アーキテクチャに準拠します。 Layered Network Management (プレビュー) サービスを使用すると、インターネットに接続していないレイヤーからインターネットに接続しているレイヤーを介して Azure にネットワーク トラフィックをルートできます。 Arc 対応 Kubernetes クラスターに Azure IoT Operations をデプロイする前に、Layered Network Managemen をデプロイし、ネットワーク環境に合わせて適切に構成する必要があります。 現在お使いのソリューションのネットワーク アーキテクチャを見直し、お客様のシナリオに適用可能で、必要な場合は Layered Network Management を使用します。 他の分離ネットワーク用インターネット アクセス制御機構を統合した場合は、その機能性を Layered Network Management サービスと比較し、最もお客様のニーズに合ったものを選択する必要があります。 Layered Network Management は、オプションのコンポーネントであり、Azure IoT Operations サービスのどの機能にも依存しません。
重要
Layered Network Management のドキュメントで説明されているネットワーク環境は、Layered Network Management をテストするための例です。 運用環境で使用するためのネットワークやクラスター トポロジーのビルド方法の推奨ではありません。
ネットワークの分離は、セキュリティ上のテーマですが、Layered Network Management サービスは、お使いのソリューションのセキュリティを高めることを目的として設計されてはいません。 Azure Arc への接続を可能にしながら、元の設計のセキュリティ レベルをできる限り維持するように設計されています。
Layered Network Management (プレビュー) には、次のようないくつかの利点があります。
- Kubernetes ベースの構成とレベルを超えた IP および NIC マッピングとの互換性
- 分離ネットワーク内のデバイスを Azure Arc に大規模に接続し、単一の Azure コントロール プレーンからアプリケーション ライフサイクル管理や以前は分離されていたリソースの構成をリモートで行う機能
- URL 許可リストや決定論的ネットワーク構成の接続監査を使用した、デバイスおよびサービスのネットワーク レベルを超えたセキュリティとガバナンス
- 以前は分離されていたデバイスやアプリケーション向けのレベルを超えたKubernetes 監視ツール
- すべての Azure IoT Operations サービス接続との規定の互換性
Layered Network Management (プレビュー) をデプロイするための分離ネットワーク環境
分離ネットワークのクラスターと Azure 上のサービス間でブリッジ接続を行うために Layered Network Management (プレビュー) を構成するには、いくつかの方法があります。 ネットワーク環境と Layered Network Management のクラスター シナリオの例を以下に示します。
- 簡素化された仮想マシンとネットワークの場合 - このシナリオでは、Azure AKS クラスターと Azure Linux VM を使用します。 以下のリソースの Azure サブスクリプションが必要です。
- 階層 4 および 5 の任意の AKS クラスター。
- 階層 3 の任意の Azure Linux VM。
- 簡素化され、物理的に分離されたネットワーク - 2 つ以上の物理デバイス (IoT/PC/サーバー) と無線アクセス ポイントが必要です。 このセットアップは、シンプルな 2 層ネットワーク (レベル 3 とレベル 4) をシミュレートします。 レベル 3 は分離されたクラスターであり、Azure IoT Operations のデプロイ先です。
- この無線アクセス ポイントは、ローカル ネットワークをセットアップする目的で使用され、インターネット アクセスは提供しません。
- レベル 4 クラスター - デュアル NIC 物理マシン上でホストされている単一ノード クラスターです。インターネットとローカル ネットワークに接続します。 Layered Network Management は、このクラスターにデプロイされる必要があります。
- レベル 3 クラスター - 物理マシン上でホストされている別の単一ノード クラスター。 このデバイス クラスターは、ローカル ネットワークのみに接続します。
- カスタム DNS - ローカル ネットワークにある DNS サーバー セットアップまたはレベル 3 クラスター上の CoreDNS 構成。 カスタム ドメインの名前解決を行い、そのネットワーク要求をレベル 4 クラスターの IP に送ります。
- ISA-95 ネットワーク - ISA-95 ネットワークまたは運用前環境に Layered Network Management をデプロイしてみてください。
主な機能
Layered Network Management は、分離されたネットワーク環境の Azure IoT Operations コンポーネントをサポートしています。 以下の表に、サポートされている機能および統合の概要を示します。
| Layered Network Management 機能 | 状態 |
|---|---|
| TLS トラフィックの転送 | パブリック プレビュー |
| トラフィック監査 - 基本: 送信元/宛先 IP アドレスとヘッダーの値 | パブリック プレビュー |
| Kubernetes Custom Resource による許可リスト管理 | パブリック プレビュー |
| インストール: Layered Network Management と他の Azure IoT Operations の統合インストール エクスペリエンス | パブリック プレビュー |
| OSI Layer 4 (TCP) のリバース プロキシ | パブリック プレビュー |
| Azure IoT Operations コンポーネントでは East-West トラフィック転送をサポート - 手動設定 | パブリック プレビュー |
| インストール: Layered Network Management をArc の拡張機能としてデプロイ | パブリック プレビュー |
次のステップ
- レイヤード ネットワークでの Azure IoT Operations のしくみを学ぶ
- 簡素化された仮想マシンおよびネットワーク環境に Layered Network Management を設定し、Azure の仮想リソースを使用して簡単な例を試します。 物理マシンと Purdue ネットワークを設定することなく、Layered Network Management がどのように機能するかを確認するには、この方法が最も簡単です。