none
Azure経由でのインターネット接続について RRS feed

  • 質問

  • オンプレミス→Azure→インターネットといった構成はできますでしょうか。

    インターネット接続時には、Azure側でFW(PaloAlto)をデプロイし

    そのFWを経由してインターネット接続を考えています。

    オンプレの環境とAzure間ではVPNで接続しています。

    VPNに関しては、問題ありません。またPaloAltoのデプロイも

    問題ありません。Trust,Untrustの構成ですが、UntrustにNAT

    されてTrustのネットワークの仮想マシンはインターネット接続ができています。

    オンプレミス→Azure→インターネット

    オンプレ側のVPN機器のデフォルトゲートウェイを

    VPNにむけています。Azure側のRoute TableでGateway Subnetと

    TrustのSubnetを登録しています。オンプレ側からFWのTrust側の

    IPまでは通信ができていますが、インターネット接続はできません。

    というのも、このRoute Tableのデフォルトゲートウェイが

    インターネットになっているからです。デフォルトゲートウェイを

    FWにTrustのIPに設定すれば、インターネット接続ができるように

    なりますが、オンプレとのVPNは切断されます。

    オンプレミス→Azure→インターネットといった構成は難しいのでしょうか。

    2019年6月13日 13:00

回答

  • チャブーンです。

    この件ですが、端的にいうと「できないし、できたとしてもやるべきでない」と思います。

    まず、Azure VNet内で発生した「インターネット要求」はVnetとは分離されたネットワーク経由で通信が行われたはずです。したがって(分離されているので)外部からのインターネットへのルーティング要求は通らなかったと思います。この仕様はセキュリティ上重要で、不正な攻撃の「お先棒を担ぐ」可能性があるような動作は遮断されるべきだと思います。

    またAzure VPNの場合、「ダウンストリーム」通信に対しては、課金対象になります。ご要望の動作をムリに行った場合、(インターネットのダウンロードに対する)不要な料金が大量に発生してしまうでしょうから、経費上も適切とはいえません。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年6月28日 8:10

すべての返信

  • チャブーンです。

    この件ですが、端的にいうと「できないし、できたとしてもやるべきでない」と思います。

    まず、Azure VNet内で発生した「インターネット要求」はVnetとは分離されたネットワーク経由で通信が行われたはずです。したがって(分離されているので)外部からのインターネットへのルーティング要求は通らなかったと思います。この仕様はセキュリティ上重要で、不正な攻撃の「お先棒を担ぐ」可能性があるような動作は遮断されるべきだと思います。

    またAzure VPNの場合、「ダウンストリーム」通信に対しては、課金対象になります。ご要望の動作をムリに行った場合、(インターネットのダウンロードに対する)不要な料金が大量に発生してしまうでしょうから、経費上も適切とはいえません。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年6月28日 8:10
  • 返信が遅くなり申し訳ありません。

    回答ありがとうございます。

    2020年4月20日 3:04