Azureのネットワーク セキュリティ グループを構成します。
一般的な運用で使うであろうSSH,RDP許可設定を追加してみます。
AWSのセキュリティグループと似てますが、この手順ではサブネットへの適用をするので、ネットワークACL的な使い方をしてます。
AWSのネットワークACLと違うのは、ネットワーク セキュリティ グループ(NSG)はステートフルなので、戻りの通信に対して許可設定を入れる必要はありません。

ネットワーク セキュリティ グループの作成

    1. [+新規] > [ネットワーキング] > [ネットワーク セキュリティ グループ]と選択します。

    2. デプロイモデルの選択画面が表示されるので、[リソース マネージャー]を選択して[作成]ボタンを選択します。
    3. ネットワーク セキュリティ グループの設定をして、[作成]ボタンを選択します。


      設定項目と値は、下記のようにしました。
      ダッシュボードへのピン留めは、今回は実施しません。
      なんでもかんでもピン留めするとダッシュボードがぐちゃぐちゃになるので、リソースグループ単位とかにするのがいいと思います。
      項目
      名前 sg_unyo
      サブスクリプション 無料試用版
      リソースグループ ○ 新規作成
      ● 既存のものを使用
      リソースグループ名 rg_cns
      場所 東日本
      ダッシュボードにピン留めする チェックなし
    4. デプロイに成功したら、[すべてのリソース] > [sg_unyo]と選択すると、概要が確認できます。

受信セキュリティ規則の設定

    1. まだ何も設定が無いので、[受信セキュリティ規則] > [+追加]と選択して、受信許可する通信の設定を足します。

      受信セキュリティ規則の設定画面で設定項目を埋めて[OK]ボタンを選択し、必要な規則を追加していきます。

      SSH許可設定

      項目
      名前 SSH
      優先度 100
      ソース ○任意
      ●CIDRブロック
      ○タグ
      発信元 IP アドレス範囲 ※自社のグローバルIPアドレス
      プロトコル ○任意
      ●TCP
      ○UDP
      発信元ポート範囲 *
      宛先 ○任意
      ○CIDRブロック
      ○タグ
      宛先ポート範囲 22
      アクション ○拒否
      ●許可

      RDP許可設定

      項目
      名前 RDP
      優先度 100
      ソース ○任意
      ●CIDRブロック
      ○タグ
      発信元 IP アドレス範囲 ※自社のグローバルIPアドレス
      プロトコル ○任意
      ●TCP
      ○UDP
      発信元ポート範囲 *
      宛先 ○任意
      ○CIDRブロック
      ○タグ
      宛先ポート範囲 3306
      アクション ○拒否
      ●許可
    2. 設定が完了したら、×ボタンで受信セキュリティ規則画面を閉じます。

サブネットへの関連付け

    1. 作成したネットワーク セキュリティ グループをサブネットに関連付けします。[サブネット] > [+関連付け]と選択します。
    2. 仮想ネットワークを選択します。

    3. 続いてサブネットを選択します。
    4. [OK]ボタンを選択します。
    5. サブネットの関連付けがされました。

 

Azureに構築済みの仮想ネットワークに、インターネットからの接続をさせないプライベートサブネットの追加を行います。

プライベートサブネットの追加

まずはプライベートサブネットの追加から始めます。

    1. [すべてのリソース] > [仮想ネットワーク名]と選択します。

    2. [サブネット]を選択します。

    3. サブネットとゲートウェイサブネットがありますが、[+サブネット]を選択します。

    4.  作成するサブネットの情報を入力し、[OK]ボタンを選択します。

      設定項目と値は下記のような内容になります。

      項目
      名前 private
      アドレス範囲(CIDR ブロック) 10.0.1.0/24
      ネットワーク セキュリティ グループ なし
      ルートテーブル なし
    5.  作成されたサブネットが表示されます。

 

ルートテーブルの作成

プライベートサブネットにはインターネットゲートウェイに接続しない、自社LANとのVPN接続があったり等、パブリックネットワークとは異なるルーティング設定をするケースが大半だと思います。
プライベートサブネットに所属するノードへのルーティング設定の元になるルートテーブルの作成を行います。

    1. [+新規] > [ネットワーキング] > [ルートテーブル]と選択します。

    2. ルートテーブルの設定を入力し、[作成]ボタンを選択します。

      設定項目と値は下記のように設定しました。

      項目
      名前 rt_private
      サブスクリプション 無料試用版
      リソース グループ 既存のものを使用
      リソース グループ名 rg_cns
      場所 東日本
      ダッシュボードにピン留めする チェックなし
    3. 結果は通知で確認できます。

    4. [すべてのリソース]を選択すると、作成したルートテーブルが確認できます。

 

ルートテーブルの割り当て

作成したルートテーブルを、プライベートサブネットに適用します。

    1. [すべてのリソース] を選択すると、作成済みの仮想ネットワークが表示されます。

    2. 仮想ネットワーク名を選択すると、設定内容が表示されるので、[サブネット]を選択します。

    3. ルートテーブルを割り当てるサブネット(private)を選択します。

    4. ルートテーブルを選択します。

    5. 割り当てるルートテーブル(rt_private)を選択します。

    6. ルートテーブルが割り当てられたのを確認し、[保存]ボタンを押します。

    7. [すべてのリソース] > [rt_private]と選択すると、サブネットが割り当てられたことがわかります。ただ、現状は何もルーティングがない状態です。

 

プライベートサブネットへは、インターネットから接続できるべきではありません。が、プライベートネットワークもWindows Updateがしたかったり、ウィルスパターンが更新したかったりyumがしたかったりします。
# 内部からはインターネットを使いたい。
そのため、別の記事でNATインスタンスを作成して、ルートテーブルのデフォルトゲートウェイをNATインスタンスに向ける、ということをやろうと思います。

Azureで仮想プライベートネットワークを構成します。
仮想ネットワークは他のサービスを利用する際にインプットとして求められる関係上、早い段階で作成することになります。

    1. [+新規] > [仮想ネットワーク]と選択します。

       

    2.  デプロイモデルの選択だけ入力項目があります。
      以下2つから選択できますが、今回はデフォルトの[リソース マネージャー]を選択し、[作成]ボタンを選択します。
      ・リソース マネージャー
      ・クラシック
      この違いについては、別途記事を書きます。

       

    3.  仮想ネットワークの作成画面になります。

      ネットワーク設定を入力していき、[OK]ボタンを選択します。

      設定項目と値は下記のようにしました。
      項目
      名前 nw_cns
      アドレス空間 10.0.0.0/16
      サブネット名 public
      サブネット アドレス範囲 10.0.0.0/24
      サブスクリプション 無料試用版
      リソースグループ 新規作成
      リソースグループ名 rg_cns
      場所 東日本
      ダッシュボードにピン留めする
    4. 出来上がった仮想ネットワークの情報が表示されます。

       

    5. 画面左上の[Microsoft Azure]を選択するとダッシュボードが表示されます。先ほど作成した仮想ネットワーク名がダッシュボードに表示されているのがわかります。

 

TeraTerm(v4.9.0)でSSH鍵セットを作ります。
なんとなくPuTTYgenを使って鍵作るのが一般的な気がするのですが、敢えて。

    1. TeraTermを起動したら、どこにも接続せず[キャンセル]ボタンを選択します。
    2. [設定] > [SSH鍵生成]と選択します。

    3. 鍵の種類を選択して、[生成]ボタンを選択します。

    4. 後は[公開鍵の保存]、[秘密鍵の保存]をするだけです。
      コメントもデフォルトで設定されるのですが、
      ノード名・ユーザ名が入っているので、とりあえず消しておきました。

 

アカウント作る手順を載せた情報ってあまりない気がします。
折角アカウント作るので手順を画像付きでまとめてみました。

    1. まず初めに、Azureのサイトにアクセスします。
      https://azure.microsoft.com/ja-jp
    2. 「無料で始める」を選択します。

    3. 今すぐ開始!

    4. サインイン
      Microsoftアカウントでサインインします。
      持っていない場合は、右下の「新規登録」からアカウントを作成します。

    5. ちょっと待たされます。

    6. 自分の情報を入力して、「次へ」ボタンを選択します。

      ※「次へ」を押すまで、2番以降は入力できません。

    7. 「次へ」を押したあとはこんな感じです。
      電話番号は090の頭の0を抜いて記入するようです。
      「テキストメッセージを送信する」を選択すると、携帯にショートメールが送信されますので、それを入力して「コードの確認」を選択します。

    8. クレジットカード関連の情報を入力し、「次へ」を選択します。

    9. 契約についてチェックボックスを選択し、「サインアップ」を選択します。

    10. 少し待つと、サブスクリプションの準備が完了します。

    11. ダッシュボードが表示されます。これで色々できるようになります!

 

 


Azureのアカウント作成にあたり、
入力を求められる項目は、下記の項目でした。

  • 国/リージョン
  • 連絡先の電子メール
  • 勤務先の電話
  • 会社/学校
  • 名の読み方
  • 姓の読み方
  • 確認コードを送付する携帯番号
  • 支払いに使用するクレジットカード番号
  • クレジットカードの有効期限
  • クレジットカード名義
  • 郵便番号
  • 住所
  • 電話番号

8/3(水)にシイエヌエス本社でAWSハンズオンセミナーを開催しました。
AWS初心者を対象にWordPressを構築してみるハンズオンです。
Multi-AZ構成、ELBによる負荷分散、Auto Scalingまで半日で構成します!
AWSの威力を実感していただき、後のやる気につながると嬉しいなぁと思ってます。
社外も含め新人さんが多い構成での研修でしたが、みなさん無事構成できました!
セミナー資料をSlideShareにアップしております。

AWSでWordPressを作ってみよう


目次

  1. VPCの構成
  2. EC2で踏み台サーバを構成
  3. Apache/PHPの構成
  4. RDS(MySQL)の構成
  5. WordPressの構成
  6. AMIの作成/展開
  7. プライベートネットワークの振る舞い
  8. ELBの構成
  9. RDSのMulti-AZ化
  10. Auto Scaling グループの構成

第2回も近々計画しておりますので、今回参加できなかった方も興味ありましたら奮ってご参加ください!
シイエヌエスの協力会社の方も希望ありましたら歓迎します!