演習 - カスタム ルートを作成する
セキュリティ戦略を実装するときに、Azure インフラストラクチャ全体でネットワーク トラフィックをルーティングする方法を制御する必要があります。
次の演習では、ネットワーク仮想アプライアンス (NVA) を使用します。これは、トラフィックをセキュリティで保護して監視するのに役立ちます。 フロントエンド パブリック サーバーと内部プライベート サーバーの間の通信が、常にアプライアンス経由でルーティングされることを確認する必要があります。
パブリック サブネットからプライベート サブネットに流れるすべてのトラフィックが NVA 経由でルーティングされるように、ネットワークを構成します。 このようなフローにするには、パブリック サブネットのカスタム ルートを作成して、このトラフィックを境界ネットワーク サブネットにルーティングします。 後で、NVA を境界ネットワーク サブネットにデプロイします。
この演習では、ルート テーブル、カスタム ルート、サブネットを作成します。 その後、ルート テーブルをサブネットに関連付けます。
ルート テーブルとカスタム ルートを作成する
最初のタスクは、新しいルーティング テーブルを作成してから、プライベート サブネットを対象とするすべてのトラフィックのカスタム ルートを追加することです。
Note
次のようなエラーが表示されることがあります: "このコマンドは暗黙的に非推奨です。" このエラーは、このラーニング モジュールでは無視してください。 現在対応中です。
画面の右側にある Cloud Shell ウィンドウで、[その他] アイコン ([...]) を選択してから、[設定]>[クラシック バージョンに移動] を選択します。
Azure Cloud Shell で、次のコマンドを実行して、ルート テーブルを作成します。
az network route-table create \ --name publictable \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --disable-bgp-route-propagation false
Cloud Shell で次のコマンドを実行して、カスタム ルートを作成します。
az network route-table route create \ --route-table-name publictable \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --name productionsubnet \ --address-prefix 10.0.1.0/24 \ --next-hop-type VirtualAppliance \ --next-hop-ip-address 10.0.2.4
仮想ネットワークとサブネットを作成する
次のタスクは、vnet 仮想ネットワークと、必要な 3 つのサブネット (publicsubnet、privatesubnet、dmzsubnet) を作成することです。
次のコマンドを実行して、vnet 仮想ネットワークと publicsubnet サブネットを作成します。
az network vnet create \ --name vnet \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --address-prefixes 10.0.0.0/16 \ --subnet-name publicsubnet \ --subnet-prefixes 10.0.0.0/24
Cloud Shell で次のコマンドを実行して、privatesubnet サブネットを作成します。
az network vnet subnet create \ --name privatesubnet \ --vnet-name vnet \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --address-prefixes 10.0.1.0/24
次のコマンドを実行して、dmzsubnet サブネットを作成します。
az network vnet subnet create \ --name dmzsubnet \ --vnet-name vnet \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --address-prefixes 10.0.2.0/24
これで、3 つのサブネットが作成されているはずです。 次のコマンドを実行して、vnet 仮想ネットワーク内のすべてのサブネットを表示します。
az network vnet subnet list \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --vnet-name vnet \ --output table
ルート テーブルをパブリック サブネットに関連付ける
この演習の最後のタスクは、ルート テーブルを publicsubnet サブネットに関連付けることです。
次のコマンドを実行して、ルート テーブルをパブリック サブネットに関連付けます。
az network vnet subnet update \
--name publicsubnet \
--vnet-name vnet \
--resource-group "<rgn>[sandbox resource group name]</rgn>" \
--route-table publictable