はじめに
AzureのNetwork Security Group (NSG) と Azure Firewall の違いについてはAzure サポートチームの方が分かりやすくまとめてくれているのですが、動作個所として説明されている「ネットワークの境界」というのがイメージしにくかったので、実際に作ってみることにしました。
Azure ファイアウォールの作成
ポータルから「ファイアウォール」で探します。*1
今回は、すでに仮想マシンが2台ある既存の仮想ネットワークに作ることにします。
新規でファイアウォールポリシーを作成します。
既存のネットワークを選択すると、専用のサブネットがないと怒られてしまいました。
対象の仮想ネットワークに、「AzureFirewallSubnet」を追加してもう一度トライします*2
今度は無事指定できました。
続いて、パブリックIPを追加します。
この設定で作成してみます。
無事、作成できました。
Azure ファイアウォールの確認
作成したリソースを確認すると、「AzureFirewallSubnet」と紐づいていることが分かります。
そのため、「ネットワークの境界」とは書いてあったものの、実質、サブネットへの紐づけとなります。そうすると、「ネットワークの境界」の意図はどういうことなのか考えてみました。
Azure ファイアウォールとネットワークの境界
Azure ファイアウォールを利用するためにはリソースを作成するだけでは駄目で、ルートテーブルを設定する必要があります。
このように、外部との通信をすべて「AzureFirewallSubnet」経由にすることで「ネットワークの境界」として動作させる、ということのようでした。
今回、実際のルートテーブルの設定まではしませんが、設定方法はこちらが参考になります。
おわりに
質問を受けた時に、そういえばAzure ファイアウォールは作ったことがなかったので、試してみて理解が深まりました。参考になれば幸いです。
舟越 匠(日本ビジネスシステムズ株式会社)
人材開発部に所属。社内向けの技術研修をメインにしつつ、JBS Tech BlogやMS認定資格取得の推進役もやっています。資格としてはAzure Solutions Architect Expertを所持。好きなサービスはPower Automate / Logic Apps。好きなアーティストはZABADAK。
担当記事一覧