御成門プログラマーの日記

Microsoft AzureやAngularなどの技術情報を発信します

Microsoft Tech Summit 2018 セッション要約「企業内ネットワークでも Azure PaaS でビジネスをスピードアップ! ~今知っておくべき PaaS と VNET のイイ関係~」

登壇者情報

日本マイクロソフト株式会社
クラウド&ソリューション事業本部 インテリジェントクラウド統括本部
テクノロジーソリューションプロフェッショナル

小丸さん

セッション内容まとめ

Azure PaaSのタイプ

Azure App Serviceプラン

f:id:tt-suzukiit:20181119174155p:plain

  • 社内システムを内製化したいお客様が増えている
  • 早くやりたい
  • アジャイル開発
    ↑PaaS向き

Azure PaaSタイプは大きく分けて2つある

マルチテナント型

比較的安く、スケールメリットがある。 デプロイやスケールの速度が速い。 f:id:tt-suzukiit:20181119174749p:plain
マルチテナント型の主なサービス

  • Azure App Service
  • Azure Storage Services
  • Azure SQL Database
  • Azure CosmosDB
  • Azure KeyVault
  • Azure Database services for PostgreSQL
  • Azure Database services for MySQL
  • Azure SQL Datawarehouse
  • Azure Event Huubs
  • Azure service bus
VNETインジェクション型

仮想ネットワークにデプロイできるサービス。 少し割高、比較的小規模でデプロイやスケールに時間がかかる。
f:id:tt-suzukiit:20181119175341p:plain

Public型のセキュリティ

IPフィルタリング

f:id:tt-suzukiit:20181119182805p:plain パブリックIPアドレスでアクセス制限を行う。

IPフィルタリングの注意点
  • 同じパブリックIPを持つ組織はだれでもアクセスできる。

    • 同じ組織のNATルーターからのアクセス。
    • ExpressRouteMSぴあリングのNATルーターからのアクセス。
    • 送信元IPアドレスを共有しているタイプのサービスからのアクセス f:id:tt-suzukiit:20181119183949p:plain
  • Azure仮想マシンからのアクセスでは下記の問題がある。

    • Azure仮想マシンにパブリックIPを割り当てたくない。
    • その場合、Azure仮想マシンからのOutBound通信のIPは不定
    • パブリックIPアドレスが変わった場合、新たなオーナーからアクセスされるリスクがある。
サービスエンドポイント

Azureサービスへのアクセスを特定のサブネットからのみに限定できる。 f:id:tt-suzukiit:20181119184330p:plain f:id:tt-suzukiit:20181119185128p:plain

サービスエンドポイントポリシー(Preview)
セキュリティ グループ サービス タグ

NSG + サービスタグによるOutbound規制を行う Azure のセキュリティ グループの概要 | Microsoft Docs

PaaSのセキュリティについてまとめ

PaaSのセキュリティにはサービスエンドを使おう。 ためならIPフィルタリングを使う。

App Service Environment

AppServiceを仮想ネットワーク上に配置できる。 これを使っている人は内部で閉じて使う人がほとんど。 f:id:tt-suzukiit:20181119190142p:plain

その他サービス紹介

ここから先のサービスについてはいまいち理解がしきれなかったのですが、 とりあえず、情報だけ載せておきます。 あとあと、編集すると思います。

Azure Firewall FQDN Tag

docs.microsoft.com
+10万ぐらいの費用かかる f:id:tt-suzukiit:20181119190414p:plain

ProjectSwiftとPaaSのVNET統合の新しいパターン

f:id:tt-suzukiit:20181119190826p:plain f:id:tt-suzukiit:20181119190855p:plain

AppServiceの新しいVNET統合(プレビュー)

f:id:tt-suzukiit:20181119191012p:plain

Azure Container Instancesの場合(プレビュー)

f:id:tt-suzukiit:20181119191106p:plain

Azure Database/DWHの場合

f:id:tt-suzukiit:20181119191254p:plain

AppServiceVnet統合の今後のロードマップ

f:id:tt-suzukiit:20181119192553p:plain

  • Vnet統合は2018年までにAppServiceが対応するようになります。
  • 2019年以降にAppServiceでPrivateIPを振ることができるようになります。←実質閉域のAppService
  • blobストレージにもPrivateIPつくようになるよ。

MicrosoftはPaaSに注力していく宣言

以上です。他のセッションもまとめています

onarimonstudio.hatenablog.com