ポイントを速習！「Azureの基礎（AZ900）」をみんなで学ぶ 第10回

リソースへのネットワークアクセスを正しく制限してセキュリティを守る基礎を学ぶ

Azureの基本的なネットワークサービスを理解する【後編】

仮想ネットワークの作成

　続いて、今回のテーマである仮想ネットワーク（VNet）を作成していきます。前述したストレージアカウントと同様に、Azureポータルの検索バーから「仮想ネットワーク」を検索して選択し、仮想ネットワークを新規作成します。

　「仮想ネットワークの作成」画面でも、サブスクリプションやリソースグループ、仮想ネットワーク名、地域といった項目を設定します。筆者は今回、図のように設定しました。前述のとおり仮想ネットワーク名は「VNet1」です。注意点としては、先ほどのストレージアカウントと同じリソースグループ、同じ地域に作成してください。ここでもひとまず「基本」タブ以外の設定変更は必要ありませんので、設定が入力できたらそのまま作成します。

　VNetのデプロイが完了したら、リソースを確認してみます。当然ですが、この仮想ネットワークにはまだ何のデバイスも接続されていません。

　続いてサブネットを作成します。まず1.サブネットを選択すると、VNet1作成時に自動で作成された「default」という名前のサブネットが表示されます。ただし、今回はこれと別に「Subnet1」という名前でサブネットを新規作成します。2.サブネットをクリックして、3.名前を入力しましょう。その他の設定項目は変更せず「作成」を惜します。

　これで仮想ネットワークのVNet1とSubnet1が用意できました。

仮想マシンの作成

　続いて、Subnet1に設置する仮想マシンを作成します。Azureポータルの「リソースの作成」をクリックしてAzure Marketplaceに移動し、「Windows Server 2016 Datacenter」を選択します。

　「仮想マシンの作成」画面で各種設定を行います。まず「基本」タブでは、前出のストレージグループやVNetと同じリソースグループ、場所、管理者アカウントなどを設定します。また「ネットワーク」タブでは、接続する「仮想ネットワーク」および「サブネット」としてVNet1、Subnet1を選択したうえで、リモートデスクトップで接続するために「受信ポートを選択」の項目で「RDP（3389）」にチェックを入れます。

　設定ができたら「確認および作成」をクリックして作成します。仮想マシンの作成時には自動的にネットワークセキュリティグループ（NSG）も作成され、2～3分でデプロイ処理は完了します。

　仮想マシンの準備ができたので、リモートデスクトップ接続を行います。作成した仮想マシンリソースの画面で、1.接続からRDPを選択し、2.RDPファイルをダウンロードします。

　このRDPファイルと冒頭で触れたリモートデスクトップ接続アプリ、さらに仮想マシン作成時に設定した管理者アカウント（ユーザー名、パスワード）を使って、リモートデスクトップ接続を行います。接続時には「安全な接続じゃないかもよ」みたいな警告も出ますが、今回は気にせず接続します。

　無事にリモートデスクトップ接続ができ、Windows Server 2016のデスクトップ画面が表示されたら、Internet Explorerを起動して先にアップロードした画像ファイルのURLにアクセスしてみましょう。画像が表示されるはずです。

　ここまでの作業で構築できたのは、次の図のようなネットワーク環境です。ただしこのままでは、インターネットからストレージアカウントにアップロードした画像ファイルに対して、誰でも直接アクセスできてしまいます。

　このようにストレージのアクセス制限を忘れてしまうと、たとえば保存してある顧客情報がインターネットから“丸見え”になってしまうなど、重大な事故につながる可能性があります。さすがにそれは嫌なので、Azureサービスエンドポイントを設定して、本来想定していたとおり「Subnet1からのみ」ストレージアカウントにアクセスできるように制限していきます。