この展開オプションでは、Azure Application Gatewayを使用して仮想AppliancesのScale Setを展開する方法について説明します。Application Gatewayを使用すると、Webアプリケーショントラフィックを管理できます。詳細はこちら
次の図は、この展開のトラフィックフローの例を示しています。
Azure_ScaleSet_AGW=0209eccb-9f14-431f-8aab-c88516f90fba.png
重要
重要
インターネット接続通知
Network Security virtual applianceの展開ステップでは、Network Security virtual applianceが標準の内部ロードバランサーの背後に構成されます。このロードバランサーの配置により、インターネット接続が明示的に宣言されない限り、デフォルトでアウトバウンドインターネット接続がブロックされます。この展開では、アウトバウンド接続を許可するために管理サブネットにNATゲートウェイを追加し、Network Security virtual applianceがNetwork Securityと通信できるようにします。このオプションは、Network Security virtual applianceが展開される前に構成されます。
環境を設定するためにこれらのタスクを完了してください:
インバウンド検査の設定
アウトバウンド検査を構成する

始める前に 親トピック

インバウンド検査を構成する 親トピック

リソースグループを作成 親トピック

お使いの環境にResource Groupがまだ存在しない場合は、Resource Groupを作成してください。

手順

  1. [Resource groups][+ Add] に移動します。
  2. サブスクリプションを選択し、Resource Groupに名前を付けて、地域を選択してください。
  3. [Review + Create]をクリックしてください。

スポーク仮想ネットワークと2つのサブネットを作成する 親トピック

手順

  1. [Virtual Networks][+ Add] に移動します。
  2. Basicsタブのフィールドに値を入力し、インスタンスにSpoke-VNetという名前を付けます。
  3. IP Addressタブで、IPv4アドレス空間を編集し、新しいアドレスを入力します。
  4. [+ Add Subnet]をクリックして、次の詳細を入力してください:
    • サブネット名: WorkloadSubnet
    • アドレス範囲 (例): 10.3.1.x/xx
  5. [OK]をクリックしてください。
  6. [+ Add Subnet]をクリックして、次の詳細を入力してください:
    • サブネット名: AGW-Subnet
    • アドレス範囲 (例): 10.3.2.x/xx
  7. セキュリティタブとタグタブをスキップします。
  8. [Review + Create]をクリックし、次に[Create]をクリックします。

Workload仮想マシンを作成する (オプション) 親トピック

この環境を概念実証として作成する場合、または環境に既存のWorkloadがない場合は、次の手順に従ってください。

手順

  1. [Virtual machines][+ Add][Virtual machine] に移動します。
  2. Basicsタブで、必須フィールドに入力してください。名前とインバウンドポートルールには次の内容を入力します。
    • [Name:]WorkloadVM
    • [Public inbound ports:] なし
  3. Disksタブで、OSディスクタイプに[Standard HDD]を選択し、他の設定を構成します。
  4. Networkingタブにこれらの値を入力してください:
    • [Virtual network:]<Your Spoke-VNet>
    • [Subnet:]WorkloadSubnet
    • [Public inbound ports:] なし
  5. 残りのタブに情報を入力してください。
  6. [Review + Create]をクリックし、次に[Create]をクリックします。
  7. 展開が完了したらプライベートIPアドレスを書き留めてください。

バックエンドワークロードの例 親トピック

上記の手順に従ってAzure環境でWorkloadを作成した場合、次の表は2つの仮想マシンWeb Workloadの構成詳細の例を示しています。Workload作成後にバックエンドWorkloadを構成する予定がある場合は、HTTPサーバをインストールしてください。
ネットワークインターフェース
サブネット
IP例
WebWorkloadA
WorkloadSubnet1
10.0.x.1
WebWorkloadB
WorkloadSubnet2
10.0.x.2

ハブ検査仮想ネットワークとサブネットを作成する 親トピック

以下の手順を使用して、手動でinspection-VNet (ハブ) およびサブネットを設定します。Network Security Virtual Applianceをデプロイする際に、すべてのサブネットを選択します。

手順

  1. [Virtual Networks][追加] に移動します。
  2. Basicsタブのフィールドに値を入力し、インスタンスにHub-VNetという名前を付けます。
  3. IP Addressタブで、IPv4アドレス空間を編集し、CIDRを入力します。
  4. [+ Add Subnet]をクリックし、この情報を入力して4つのサブネットを作成します。
    サブネット名
    サブネットCIDRの例
    Management-subnet
    10.0.0.x/xx
    Inspection-subnet
    10.0.1.x/xx
    Sanitized-subnet
    10.0.2.x/xx
    LoadBalancer-subnet
    10.0.3.x/xx
  5. [Review + Create]をクリックし、次に[Create]をクリックします。

ピアリングを追加してハブとスポークのVNetを接続する 親トピック

手順

  1. Virtual networksページに移動します。
  2. [Hub-VNet][Peerings][+ Add]にクリックします。
  3. 最初のピアリング接続は、ハブからスポークVNetへのものです。次の構成詳細を入力し、[Ok]をクリックします。
    • [Peering connection name:]Spoke-to-Hub
    • [Virtual network deployment model:] リソースマネージャ
    • [Subscription:] サブスクリプション
    • [Virtual network:]<your Spoke VNet>
    • [Peering connection name:]Hub-to-Spoke
    • [Allow virtual network access from Hub-VNet to Spoke-VNet:] 有効
    • [Allow virtual network access from Spoke-VNet to Hub_VNet:] 有効
    • [Allow forwarded traffic from Spoke-to-Hub:] 有効
    • [Allow virtual network access from Hub-to-Spoke:] 有効
    • [Allow gateway transit:] チェックを外す

管理サブネットにNATゲートウェイを追加する 親トピック

インターネット接続通知セクションに記載されているように、Network Security Virtual ApplianceがNetwork Securityと通信できるようにするために、管理サブネットに関連付けられたNATゲートウェイを構成に追加します。
[NOTE]
Network Security Virtual Applianceをデプロイする際に、NATゲートウェイを自動的に生成するオプションがあります。Network Security Virtual ApplianceのデプロイセクションでNATゲートウェイを自動的に生成するオプションを選択するか、以下の手順を使用してNATゲートウェイを手動でデプロイしてください。

手順

  1. [NAT gateways][+ Add]に移動します。
  2. Basicsタブに必要な情報を入力してください。
  3. Outbound IPタブで、リソースに応じて[Public IP addresses]または[Public IP prefixes]を選択します。
    • [Public IP address:] 単一のIPアドレス
    • [Public IP prefixes:] 公共IPアドレスの範囲
  4. Subnetタブで、Hub-VNet名を選択し、[management-subnet]を選択します。
  5. [Review + Create]をクリックし、次に[Create]をクリックします。
    NATゲートウェイの詳細ページから[サブネット]メニューオプションをクリックすることで、NATゲートウェイ作成後に管理サブネットを関連付けることができます。

Application Gateway を構成する 親トピック

手順

  1. [Application gateways][+ Add] に移動します。
  2. Basicsタブにこれらの値を入力してください:
    • [Application Gateway name:]AGW
    • [Region:] Resource Groupと同じリージョンを選択してください
    • [Minimum scale units:] 環境に応じて単位を入力してください (手順の下部の注記を参照)。
    • [Virtual network:]<Your Spoke-VNet>
    • [Subnet:]AGW-subnet
  3. [Frontends] タブにこれらの値を入力してください:
    • [Frontend IP address type:] 公開
    • [Public IP address:] をクリック [Create a new public IP]
  4. Backendsタブで[Add a backend pool]をクリックし、次の値を入力します:
    • [Name:]Webpool
    • [Target type:]Virtual Machine(これを2つ作成)
    • [Target:]web-workload-aweb-workload-b (それぞれ1つ作成)
  5. Configurationタブで、[Add a routing rule]をクリックし、次の値を入力してください:
    • [Rule name:]HTTP_Normal
    • [Listener name:]PORT80_Listener
    • [Frontend IP:]Public
    • [Port:]80
  6. 同じ画面で、Backend targetsタブに移動し、これらの値を入力してください:
    • [Target type:] バックエンドプール
    • [Backend target:]Webpool
    • [HTTP settings:]HTTP_Normal
  7. [追加]をクリックしてください。
  8. 追加したいタグを設定してください。
  9. [Review + Create]をクリックし、次に[Create]をクリックします。
    注意
    注意
    AGWは、要求されたトラフィックの量に基づいてサービスの数を自動的に変更する完全に動的な自動スケーリングサービスです。[minimum scale unit]設定は、応答時間を比較的安定させるために実行中のインスタンスの最小数を保証するために使用されます。ゼロを入力すると、トラフィックがない場合にサービスがゼロに縮小します。

Network Security Virtual Applianceをデプロイする 親トピック

Network Security Virtual Applianceは、Azure Marketplaceでパブリックオファーとして利用可能です。Network Security Virtual Applianceをデプロイするには、[Azure Portal → Marketplace → Trend Micro Cloud One™ – Network Security]に移動します。
手動で追加Azure Marketplaceの展開がVirtual ApplianceをNetwork Securityに正しく登録しない場合、Virtual ApplianceをTrend Micro Cloud Oneに追加します。
展開を開始する前に次の情報を収集してください:
[Note]
ベストプラクティスは、Resource Group、hub-VNet、およびサブネットの正確な名前をコピーして貼り付けることです。

手順

  1. Azureにログインし、[Create a resource]を選択します (これによりMarketplaceに移動します)。
  2. [Trend Micro Network Security]を検索。
  3. プランを選択の横にあるドロップダウンメニューで[Scale Set VM]を選択してください。
  4. [Create]をクリックしてください。
  5. Basicsタブに次の情報を入力してください:
  6. Networkingタブで次の情報を選択してください:
    • お客様の仮想ネットワーク。
    • 検査-VNetで作成したすべてのサブネット。
    • NAT Gatewayについては、Virtual Applianceをデプロイする際に新しいNAT Gatewayを自動的に作成するには[Create new]を選択するか、すでに手動でNAT Gatewayを作成している場合は[Select existing]を選択してください。
  7. Advancedタブに次の情報を入力または選択してください:
    • (推奨) ブート診断設定を有効にしておいてください。
    • ブート診断アカウントを選択するか、新しいアカウントを作成してください。
  8. [Review + Create]をクリックし、次に[Deploy]をクリックします。

ルートテーブルとルールを構成する 親トピック

Network Security Virtual Applianceをデプロイした後、ルートテーブルとルートを追加および構成して、Virtual Applianceをインラインに配置し、トラフィックの検査を開始します。ネットワークトラフィックは、サブネットのデフォルトゲートウェイとしてファイアウォールにルーティングされると、ファイアウォールルールの対象となります。
このプロセスを完了するには、次の情報が必要です:

ロードバランサーのフロントエンドIPアドレスを特定する 親トピック

手順

  1. ロードバランサーに移動します。
  2. [Frontend IP configuration]を選択します。フロントエンドIPアドレスはIPアドレス列にあります。

ステップ1: 2つのルートテーブルを作成する 親トピック

手順

  1. [Route table]に移動して、[+ Add]をクリックしてください。
  2. 次の値を入力してください。
    • [Table one:]AGW-rt
    • [Table two:]Workload-rt
  3. Propagate gateway routes設定はデフォルトの状態のままにしてください。この設定はオンプレミスからクラウドへの環境を構築するために使用されます。
  4. [Review + Create]をクリックし、次に[Create]をクリックします。
  5. 残りのテーブルについてもこのプロセスを繰り返してください。

手順2: ルートテーブルを設定する 親トピック

手順

  1. ルートテーブルページに移動します。
  2. [AGW-rt]テーブルを選択し、[Routes][+ Add]をクリックします。
  3. この情報を入力してください:
    • [Name:]toWorkload
    • [Address prefix:]<CIDR of the Workload-subnet>
    • [Next hop type:]Virtual Appliance
    • [Next hop address:]<Frontend IP address of the LoadBalancer>
    • [OK]をクリックしてください。
  4. [Workload-rt]テーブルを選択し、[Routes][+ Add]をクリックします。
    • [Name:]toAGW
    • [Address prefix:]<CIDR of the AGW-subnet>
    • [Next hop type:]Virtual Appliance
    • [Next hop address:]<Frontend IP address of the LoadBalancer>
    • [OK]をクリックしてください。

ステップ3: ルートテーブルを関連するサブネットに関連付ける 親トピック

手順

  1. [AGW-rt]テーブルを選択し、[Subnets][+ Associate]をクリックします。
    • [Virtual network:]Your Spoke-VNet
    • [Subnet:]AGW-subnet
  2. [Workload-rt]テーブルを選択し、[Subnets][+ Associate]をクリックします。
    • [Virtual network:]Your Spoke-VNet
    • [Subnet:]WorkloadSubnet

アウトバウンド検査を構成する 親トピック

これらのタスクを完了して、AppliancesのScale Setでアウトバウンド検査を構成してください。

AzureFirewallのルートルールを作成および構成する 親トピック

ファイアウォールを作成 親トピック

注意
注意
すでにAzure Firewallまたはサードパーティのファイアウォールを設定している場合は、このステップをスキップしてください。

手順

  1. [Security]タブで、[ファイアウォール]設定の[Enable]を選択し、Firewall detailsを入力してください。
    • [Firewall name:]AzureFirewall
    • [Firewall subnet address space (example):] 10.0.100.x/x
    • [Public IP address:][Create New] → IPアドレスを追加します。
  2. Azure Firewallを作成してデプロイした後、次の構成変更を行います。詳細はこちら
    1. ファイアウォールネットワークRule (送信) を構成する

ファイアウォールのIP情報に注意してください 親トピック

ファイアウォールを作成すると、プライベートおよびパブリックIPが自動的に割り当てられます。展開プロセスで将来使用するためにIP情報をメモしておいてください。

手順

  1. [Firewalls][AzureFirewall] に移動します。
  2. [Public IP Configuration]を選択してください。
  3. AzureFirewallSubnetのプライベートIPアドレスとパブリックIPアドレスを書き留めてください。

ファイアウォールネットワークRule (送信) を構成する 親トピック

手順

  1. [All Resources][AzureFirewall] に移動します。
  2. [Rules]を選択してください。
  3. [Network rule collection][+ Add network rule collection]をクリックします。
  4. 基本情報のために次の情報を入力してください:
    • [Basic Information]
    • [Name:]NSVA_OUTBOUND
    • [Priority:]100
    • [Action:]Allow
  5. IPアドレスルールのために次の情報を入力してください:
    • [Name:]All_outbound
    • [Protocol:]Any
    • [Source Type:]IP Address
    • [Source:]*
    • [Destination Type:]IP Address
    • [Destination Address:]*
    • [Destination Ports:]*
  6. [追加]をクリックしてください。

ルートテーブルとルールを構成する 親トピック

ネットワークトラフィックは、サブネットのデフォルトゲートウェイとしてファイアウォールにルーティングされるときにファイアウォールルールの対象となります。
このプロセスを完了するには、以下の情報が必要です:

ステップ1: 追加のルートテーブルを2つ作成する 親トピック

手順

  1. [Route table]に移動して、[+ Add]をクリックしてください。
  2. 各ルートテーブルにこれらの値を入力してください:
    • [Table one:]Firewall-rt
    • [Table two:]DataportB-rt
  3. [Review + Create]をクリックし、次に[Create]をクリックします。
  4. 残りのテーブルについてもこのプロセスを繰り返してください。

[Step 2: Configure the route tables] 親トピック

手順

  1. ルートテーブルページに移動します。
  2. [Workload-rt]テーブルを選択し、[Routes][+ Add]をクリックします。
    • [Name:]Default
    • [Address prefix:]0.0.0.0/0
    • [Next hop type:]Virtual appliance
    • [Next hop address:]<NIC 1A private IP of Network Security virtual appliance>
    • [OK]をクリックしてください。
  3. [Firewall-rt] テーブルを選択し、[Routes][+ Add] をクリックします。
    • [Name:]Default
    • [Address prefix:]0.0.0.0/0
    • [Next hop type:]Internet
    • [OK]をクリックしてください。
  4. 別のルートを[Firewall-rt]テーブルに追加します。[追加]をクリックしてください。
    • [Name:]toWorkload
    • [Address prefix:]<CIDR of the Workload subnet>
    • [Next hop type:]Virtual Appliance
    • [Next hop address:]<Frontend IP address of the LoadBalancer>
    • [OK]をクリックしてください。
  5. [DataportB-rt]テーブルを選択し、[Routes][+ Add]をクリックします。
    • [Name:]Default
    • [Address prefix:]0.0.0.0/0
    • [Next hop type:]Virtual Appliance
    • [Next hop address:]<Private IP of AzureFirewall>
    • [OK]をクリックしてください。

ステップ3: ルートテーブルを関連するサブネットに関連付ける 親トピック

手順

  1. [Firewall-rt]テーブルを選択し、[Subnets][+ Associate]をクリックします。
    • **仮想ネットワーク:** Your Hub-VNet
    • [Subnet:]AzureFirewallSubnet
  2. [DataportB-rt]テーブルを選択し、[Subnets][+ Associate]をクリックします。
    • [Virtual network:]Your Hub-VNet
    • [Subnet:]Sanitized-subnet

ルートを使用してトラフィックを復元 親トピック

ルートテーブルとルールの構成セクションを参照してください。Virtual Applianceが障害を経験した場合、インバウンド検査のために次のユーザ定義ルートを削除します。

手順

  1. 関連するサブネットからAGW-rtルートテーブルを削除します。
  2. 関連付けられたサブネットからWorkload-rtルートテーブルを削除します。

手動フォールバック 親トピック

この設定を有効にすることで、Virtual Applianceを手動でフォールバックモードにします。