AzureのリソースマネージャーではNATは構成できません。てか、構成する必要がないです。

はじめに

くどうです。

以前、クラシック(ASM)でNATを構成したことを書きました。

AzureでNAT設置パターンを考える。構築編、これでルートテーブルも大丈夫かもよ。

ではリソースマネージャー側で作成はできるのか? 結論として、NATは構成できません。 なぜなら、デフォルトルートを設定できるがルーティングしません。 でもね、NATは必要ないのです。なんとなく説明を書いていきます。

NATの検証構成

検証で作成した環境です。

・仮想ネットワークをひとつ作成します ・サブネットはFrontendとBackendに分け作成します ・FrontendはグローバルIPが付与される→外部からアクセスできます ・BackendはグローバルIPが付与されません→外部からアクセスできません ・NATはFrontendに配置します ・クライアントはBackendに配置します ・外部からクライアントにアクセスするため踏台をFrontendに配置します ・ルーティングテーブルBackendへ設定します。

NATの設定

NAT自身の設定は省きます。 Backendルーティングテーブルを設定します。 ・0.0.0.0/0をPrefixとして設定します ・NAT(10.1.0.4)をNextHopとして設定します

この設定でNATまでパケットが飛んで来ればルートテーブルが正しく動作していることを示します。 結果、tcpdumpで眺めていてもパケットがNATまで到達しませんでした(´゚ω゚)・*;’.、ブッファァ ルーティングテーブルの設定は正しいのか確認するため以下の追加検証を行いました。

Backend2を作成し、ルーティングテーブルを行ってみる。 ・Backend2を作成します ・Backendにルーティングテーブルを作成します ・Backend(10.1.2.0/24)をPrefixとして設定します ・NAT(10.1.0.4)をNextHopとして設定します

結果、パケットはNATまで到着しました。

0.0.0.0/0が良くないのかと思いましたが、192.xxx.xxx.xxxや172.xxx.xxx.xxxでもパケットが到達しませんでした。 つまり、仮想ネットワークで指定したIPアドレスのレンジのみルーティングするということです。

PowerShell でユーザー定義のルート (UDR) を作成する https://azure.microsoft.com/ja-jp/documentation/articles/virtual-network-create-udr-arm-ps/

実はルーティングの部分に関してはデフォルトゲートウェイのことは一切書かれていない…

でも、Azureって実はNATは必要ないのです。仮想マシンにグローバルIPが付与されていようが、されていまいがインターネットへ通信は行えます。 これって実は便利なことで、NATを作成する必要もないため、お金もかからないし手間も省けるんですよ。

ただ問題はあります。Azureからインターネット側へ出ていくときのIPが不明なことです。 IPが固定でない限りは問題ないと思います。

おわりに

AzureのリソースマネージャーではNATは必要ないです。というか作成できませんでした。 NATが無くてもインターネット側へ通信が行えるのでWindowsUpdateなども問題なく行えます。 ただし、出ていくときのIPが固定じゃないかもしれないので要注意です。 通常、使う範囲では問題ないかと思います。

ではでは

[…]

AzureでNAT設置パターンを考える。構築編、これでルートテーブルも大丈夫かもよ。

はじめに

くどうです。 前回の投稿では概要だけ説明しました。 AzureでNAT設置パターンを考える。これでAWSからも移行できますね。

今回は、実際にNATを設置する方法えお、解説していきます。 鍛えられたAzurerさん達は見なくても大丈夫!

概要

概要を説明します。 プライベートセグメントから外部へ通信する場合、NATを利用して外部との通信を行います。 そのため、NATを設置しルーティングによりプライベートセグメントからのデフォルトルートをNATにします。 NATをデフォルトルートに設定する場合、UDRを設定します。UDRを設定する場合、仮想ネットワークへ所属している必要があります。制限事項になります。

今回、大きく分けて手順はい以下になります。 ①仮想ネットワーク ②NATの構築 ③ルーティングの設定

仮想ネットワーク

仮想ネットワークは1つ作成します。 その中でSubnetを3つ作成します。

以下の構成で作成していきます。

仮想ネットワーク:vnet-1 日本(東) 10.0.0.0/16 Subnet1:Private-1 10.0.0.0/24 Subnet2:Private-2 10.0.1.0/24 Subnet3:Public-1 10.0.2.0/24 DNSは指定しない

1、左メニューからネットワークを開きます。下部「新規」から作成するか、右ペイン「仮想ネットワークの作成」をクリックします。

2、[名前]に[vnet-1]を入力します。[場所]に[日本(東)]を選択します。

3、[DNSサーバーおよびVPN接続]画面での変更点はありません。DNSで変更が必要な場合は変更してください。設定後でも変更は可能です。

4、[想ネットワーク アドレス空間]画面でCIDRを[/16(65536)]へ変更します。 サブネットに以下を入力します。 [Private-1] [10.0.0.0] [/24(256)] [Private-2] [10.0.1.0] [/24(256)] [Public-1] [10.0.2.0] [/24(256)]

[…]