maetesのブログ

個人用Memoです

Azure Cloud 利用方法について

cloud

前提

AWS利用経験はあるけど、Azure よくわからない人のためのAzure利用方法についてのTips

やりたいこと:P2S でのVPN接続

  • 検証環境は常時VPN張っていると無駄にお金かかる。一旦利用したいときだけDeployしてP2S 貼る形にしていきたい
    • VPN Gateway がDeploy されている時間だけ課金されるようなので、VPN Gateway さえDeploy されていなければお金はかからない想定

下記を参考にして実装してみる

基本的にはWebサイトを参考に進めれば可能。

  • VNet を作成する
    • Azure におけるVirtual network とsubnet の概念とは?
      • AWS におけるVPC とSubnet と大体同じ。
  • VPN Gatewayを作成する
    • ExpressRoute とは?
    • SKU とは?
      • SKU(Stock Keeping Unitの略)
      • SKUがVpnGw1 の場合はトンネル数の最大が30となる。今回は一番スペックの低いBasicを選択。高いものだと冗長性が担保されていたりしていて、IPアドレスレンジが広めに必要などがある
    • 今回は特に冗長性も必要ないためBasic を選択したところ、その後の選択肢でIKEv2 などはBasic だと使えないよと表示が出てしまった
    • Basic より上の設定においては/28 程度のアドレスレンジでは不十分で/27 以上のアドレスが必要となる
    • IPアドレスは作成時に紐付けられpublic ipとして固定化される
  • 証明書の作成 P2SRootCertとP2SChildCertという名前での証明書作成
$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature `
-Subject "CN=P2SRootCert" -KeyExportPolicy Exportable `
-HashAlgorithm sha256 -KeyLength 2048 `
-CertStoreLocation "Cert:\CurrentUser\My" -KeyUsageProperty Sign -KeyUsage CertSign

New-SelfSignedCertificate -Type Custom -DnsName P2SChildCert -KeySpec Signature `
-Subject "CN=P2SChildCert" -KeyExportPolicy Exportable `
-HashAlgorithm sha256 -KeyLength 2048 `
-CertStoreLocation "Cert:\CurrentUser\My" `
-Signer $cert -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2")
  • VPN 接続時の状況
    • Windows でデフォルトで入っているVPN機能で接続ができた
    • ネットワークは仮想IPがクライアントに割り当てられ、Azure 内のネットワークにアクセスできるようにRouting が設定されていた
      • つまりAzure内と、自身に割り当てられるIPアドレスレンジはLAN内のレンジと被ってはだめ

その他所感

  • Azure Portal の更新がなかなかされないことが多い→ Shift+F5 で無理やり更新
  • たまに謎エラー現れる → とりあえずPage 更新
  • Portal がもっさりしている。

やりたいこと:CloudformationみたいにLinuxOS半自動起動したい

やりたいこと:アクセス制御についてもう少し厳格に