社内勉強会で使った資料になります。｢Azure]を使用してのネットワーク環境とVM構築をPowershellで行います。またSendgridでのメール送信を行い簡易的なシステムを構築します

1. Azureでクラウド構築！
Y_Odashima

2. 初めに
• 背景
– 最近Azureの設計構築の案件に入り、Azureの構成等を考えることが多
くなった為、知識整理をしたい
• ターゲット
– AWSは知ってるけどAzureは触ったことがない
– クラウド環境に興味がある
• 目標
– Azureを使用した基本的なネットワーク環境の構築方法がわかり、アカ
ウントさえあればみずから作ることができる
• 人物
– 会社 ：株式会社 Rosso
– 部署 ：システムソリューション
– 現在 ：オンプレミスからAzureへのリプレース案件へ従事

3. 目次
1. 概要
2. ネットワーク環境構築
3. VM構築
4. デモ
5. Azure環境設定

4. 1:概要
目的：今回何やるの？？

5. 今回やること
• ｢MS Azure｣を使用して以下の環境を構築。
1. ネットワーク環境とサーバ環境
2. 構築サーバからメール送信（Gmail)
3. PowerShellを使用したコマンドラインでの構築（N/W,Server)
4. 異なるネットワーク間での通信
ピアリング
AA.AA.AA.XX/24
Host : WS-A-VM-01
OS : Win2k16-DC-JPN
用途 : WEB,Mail,Azure
BB.BB.BB.XX/24
AzureCLI
でコマンド作成 Host : Demo-B-VM-01
OS : Win2k16-DC-JPN
用途 : ---
IISからの
Mail送信
Sendgrid

6. AzureNetwork環境
ResourceGroup：WorkShop
VNET：Workshop-A-VN(AA.AA.0.0/16)
VNET： Workshop-B-VN ((BB.BB.0.0/16)
SUBNET： Workshop-A-SN(AA.AA.1.0/24)
SUBNET： Workshop-B-SN (BB.BB.1.0/24)
ピアリング
F/W
F/W
Host : Workshop-A-VM
Host : Workshop-B-VM
NSG Workshop-A-NSG
NSG : Workshop-B-NSG
【Azure Network】
• ｢A｣シリーズは｢AzureCLI｣と,｢IIS｣経由でMail送信を行う
• ｢B｣シリーズは｢A｣シリーズのサーバ以外はRDPのログインはできない
｢A｣シリーズ
｢B｣シリーズ

7. キーワード
• Azureで使用する基本的な用語であり、今回の構築においての登場人物。基本的には
｢AWS｣にも同様の意味を持つ技術があり｢言葉が違うだけ｣となる。
Azure 略称 意味 AWS
リソース － Azureにより作成される機能の総称。 リソース
リソースグループ RG 複数のリソースをまとめたグループ リソースグループ
ネットワークセキュリ
ティグループ
NSG 一般的にいるファイアウォール。ポートの解
放の設定を行う。
セキュリティグルー
プ
仮想ネットワーク VNET サブネット、NICをまとめたネットワーク Amazon VPC
VirtualMachine VM 仮想マシン インスタンス
ピアリング － 異なる仮想ネットワーク通しの通信を行う際
に必要となる技術。
VPC ピアリング
AzureCli － リソースの作成、及び管理等のコマンドライ
ンツール
AWS CLI

8. 2:NetWork環境
やること：Azureでネットワーク環境の構築。
キーワード：ネットワークセキュリティグループ

9. 構築の流れ
• どうやってネットワーク環境を作るか
– 初めにVNETを作成しサブネットを作成し、ルールを付与していく
作業タスク 作成方法
1 RG（リソースグループ）内に仮想ネットワーク（VNET）を作成 ・Azure Portal
・Azure Cli(コマンド)
上記二つのいづれかで作成2 VNETの中にサブネットを作成
３ ネットワークセキュリティグループ(NSG)を作成
４ 作成したNSGとサブネットの関連付けを行う
５ NSGに対してルールを作成する
WorkShop既存作成済み
WorkShop-A-VNaz network vnet create [--vnet-name]
WorkShop-A-SN
Subnet
az network vnet create [--subnet-name]
【作成】az network nsg create [--nsg-name]
【関連】az network vnet subnet update

10. NSGルール
• ルールとはいわゆる｢ファイアウォール｣。ルールの付与を行う際は下記に記載する
注意点を考慮しないと設計と構築に差分が発生する
注意点
1 デフォルトポート NSG作成時にデフォルトで作られるルール。設定変更不可能
2 ソースと宛先のタグ ｢ソース｣｢宛先｣に付与することができるアドレス範囲。
3 優先度 同一NSG内での適用の順番
4 適用範囲と順番 ｢NSG｣を仕掛ける箇所。設定個所により適用範囲が変わる
【デフォルトポート】 ルール 優先度 ソース 宛先 アクセス 許可設定
AllowVNetInBound 65000 VirtualNetwork Any Inbound Allow
AllowVNetoutBound 65000 VirtualNetwork Any Outbound Allow
AllowAzureLoadBalance
rInBound
65001 AzureLoadBalanc
er
Any Inbound Allow
AllowInternetOutBound 65001 Any Internet Outbound Allow
DenyAllInBound 65500 Any Any Inbound Deny
DenyAllOutBound 65500 Any Any Outbound Deny
初めに[全部禁止]、次に｢インターネットOK｣、最後は「プライベートをOK」
②インターネットを許可
①全部禁止
③ロードバランサの許可
④Private通信の許可

11. NSGルール・タグ
• ソースと宛先に指定できるネットワーク態。デフォルトルールが｢Allow｣のため｢イ
ンターネット｣と｢プライベート通信｣は許可されている。
許可しているのは｢同一ネットワーク｣と｢インターネット｣のみの為外からパブ
リックIPを使用したRDPは繋がりません！！
タグ名 意味 デフォルトルール
Internet Lan環境の外。
※Defaultでは許可されている。
AllowInternetOutBound
Azure Load Balanser AzureDCのロードバランサ
※Defaultでは許可されている。
AllowAzureLoadBalancerInBound
VirtualNetwork プライベートネットワーク
※Defaultでは許可されている。
AllowVNetInBound
AllowVNetOutBound

12. NSGルール作成
• ｢NSG｣に対してルールを付与する。ルールの付与を行う際は下記に記載する注意点
を考慮しないと設計と構築に差分が発生する
注意点
1 優先度 同一NSG内での適用の順番
2 適用範囲と順番 ｢NSG｣を仕掛ける箇所。設定個所により適用範囲が変わる
【優先度】
同一NSG内に設定されたルールの適用順番。基本的に｢Priority｣が高いものか
ら適用され、最終的に｢Priority｣が低いものが優先される
ルール1 : Priority 400
ルール2 : Priority 500
最初に適用
最後に適用
優先
適用

13. NSG優先順位
【RDP許可＜RDP拒否】
RDP-ALLOWの方
が優先され接続が
可能となる。
許可
拒否
• NSGのルール適用は基本的に低いほうから優先される。下記例はRDPに対して許可
設定を拒否設定よりも低くした状態になる。

14. RDP否認が優先
され接続が不可
能
NSG優先順位
許可
拒否
• NSGのルール適用は基本的に低いほうから優先される。下記例はRDPに対して許可
設定を拒否設定よりも高くした状態になる。
【RDP許可＞RDP拒否】
優先順位が高いものから適用されていき低いものが優先される

15. NSGルール作成・適用範囲
• ｢NSG｣に対してルールを付与する。ルールの付与を行う際は下記に記載する注意点
を考慮しないと設計と構築に差分が発生する
注意点
1 優先度 同一NSG内での適用の順番
2 適用範囲と順番 ｢NSG｣を仕掛ける箇所。設定個所により適用範囲が変わる
【適用範囲と順番】
サブネットに設定した場合はサブネットすべてに適用されNICに設定した場合
はNICに付随するVMのみ適用される。順番は通信の間にあるすべてのNSGが
それぞれ近い位置から適用されていく

16. 検証方法
• ｢サブネット｣,｢NIC｣双方にRDPの許可と拒否を設定し、一斉適用か順番適用かを確
認する
• 予想①：｢VM｣までにかかるNSGが一斉に適用されている場合
⇒ ｢Priory:400｣の｢RDP-Allow｣が適用される筈。
RDP-ALLOW(400) RDP-Deny(500)
Allowの400とDeny500を評価し
Priorityの低いAllowが適用される
接続可能
• 予想②：｢VM｣までにかかるNSGが順番に適用されている場合
⇒ ｢Priory:500｣の｢RDP-Deny｣が適用される （接続不可能状態）
RDP-ALLOW(400) RDP-Deny(500)
Allowの400が評価された後Deny
500が評価され最後に評価された
Deny500が適用される
接続不可能

17. 検証方法
• ｢サブネット｣,｢NIC｣双方にRDPの許可と拒否を設定し、一斉適用か順番適用かを確
認する
• 予想①：｢VM｣までにかかるNSGが一斉に適用されている場合
• 予想②：｢VM｣までにかかるNSGが順番に適用されている場合
RDP-ALLOW(400) RDP-Deny(500)

18. 検証方法
• ｢サブネット｣,｢NIC｣双方にRDPの許可と拒否を設定し、一斉適用か順番適用かを確
認する
• 予想①：｢VM｣までにかかるNSGが一斉に適用されている場合
• 予想②：｢VM｣までにかかるNSGが順番に適用されている場合
RDP-ALLOW(400) RDP-Deny(500)
⇒ ｢Priory:400｣の｢RDP-Allow｣が適用される筈。
Allowの400とDeny500を評価し
Priorityの低いAllowが適用される
接続可能

19. 検証方法
• ｢サブネット｣,｢NIC｣双方にRDPの許可と拒否を設定し、一斉適用か順番適用かを確
認する
• 予想①：｢VM｣までにかかるNSGが一斉に適用されている場合
• 予想②：｢VM｣までにかかるNSGが順番に適用されている場合
RDP-ALLOW(400) RDP-Deny(500)
接続可能
⇒ ｢Priory:400｣の｢RDP-Allow｣が適用される筈。
Allowの400が評価された後Deny
500が評価され最後に評価された
Deny500が適用される
接続不可能
⇒ ｢Priory:500｣の｢RDP-Deny｣が適用される （接続不可能状態）

20. 結果
• RDPが接続不可能だったことから｢RDP-DENY｣が適用され｢RDP－ALLOW｣はVMに
直接かかわることはなかった！
｢Priority｣と｢適用範囲」を考慮して｢A｣シリーズのNSGを作成する

21. 通信構成
• ｢優先順位｣｢適用範囲｣｢デフォルトルール｣を考慮して下記の要件に従って作成
– ｢A｣シリーズは｢WEB通信｣、｢メール送信｣｢外からのRDP接続｣を許可する
– ｢B｣シリーズは｢A｣シリーズからのRDPのみ許可をする
– ｢A｣｢B｣ともにインターネットの閲覧は可能
80：HTTP
443：HTTPS
25：SMTP
3389：RDP
Workshop
Workshop-A-VN
Workshop-B-VN
Workshop-A-SN
Workshop-B-SN
RDP

22. ルール作成
• 以下の要件で｢A｣,｢B｣シリーズの通信要件を作成
1. ｢A｣シリーズは外からのWEB通信とメール送信を行い。外からのRDPを許可する
2. ｢B｣シリーズは｢A｣シリーズからのRDPのみ許可をする
ルール名 優先度 向き先 ソース 宛先 サービス ポート アクション
A-RDP-IN 100 受信 Any Any RDP 3389 Allow
A-HTTP-IN 200 受信 Any Any HTTP 80 Allow
A-HTTPS-IN 300 受信 Any Any HTTPS 443 Allow
A-Private-IN 4096 受信 Virtual
Network
Virtual
Network
ALL 0-65535
(Any)
Deny
A-SMTP-OUT 100 送信 Any Any SMTP 25 Allow
A-Private-OUT 4096 送信 Virtual
Network
Virtual
Network
ALL 0-65535
(Any)
Deny
ルール名 優先度 向き先 ソース 宛先 サービス ポート アクション
B-RDP-IN 100 受信 AA.AA.AA.0
/24
Any RDP 3389 Allow
B-Private-IN 4096 受信 Virtual
Network
Virtual
Network
ALL 0-65535
(Any)
Deny
B-Private-OUT 4096 送信 Virtual
Network
Virtual
Network
ALL 0-65535
(Any)
Deny

23. ネットワークはただ作っただけでは無法地帯。
肝心なのはNSGのルール！！

24. 3:VM構築
やること：VM（AWSでいうインスタンス）の構築
キーワード：サイジング・・・・m(TT)m

25. 構築の流れ
• どうやってVMを作るか
– ただ作ればいいだけ
作業タスク 作成方法
1 仮想マシンの作成 ・Azure Portal
・Azure Cli(コマンド)
上記二つのいづれかで作成
仮想マシン作成と同時にNIC、DISK,PUBLICIPも作成されます
ResourceGroup：WS-RG
【作成イメージ】
VNET：WS-VNET-A-01
SUBNET：WS-SN-A-01
仮想マシン DISC NIC PublicIP
①コマンドの場合
az vm create [Option]
VM作成と同時に作成される。
※削除するときにこれらも
削除しないとダメ

26. VM作成
項番 作業タスク 備考
1 VM作成 ・手動で作成する場合は以下の入力を行う
手動設定項目 意味 コマンドオプション
名前 VMの名前 --name
VMディスクの種類 SSD OR HDD
ユーザー名 ログインユーザ名 --admin-username
サブスクリプション 上記パスワード --admin-password
リソースグループ 所属するリソースグループ --resource-group
場所 リージョン --location
サイズ プラン別に選択する
基本は｢Dシリーズ｣
--size
VNET 仮想ネットワークの指定 --vnet-name
SUBNET 上記設定内サブネットの指定 --subnet
PublicIP PublicIPの付与 --public-ip-address
ネットワークセキュリティグループ NSGの指定 --nsg
作成手段 作成方法
手動 ｢Azure Portal｣より作成
AzureCLI az vm create [option]
• NICを付与する場合、｢NSG｣が同時に作成され、｢RDP｣のみ許可設定が加わる。

27. かなり重要なところですが膨大すぎるため割愛！
（もともと多い資料がさらに多くなり手が回らん）
ご参考までに。。。
https://docs.microsoft.com/ja-jp/azure/virtual-
machines/windows/sizes
サイジング

28. ここまで
①Vnetの作成
②SUBNETの作成
③NSGの作成とルールの付与
④VMの作成
VNET：WS-VNET-A-01(AA.AA.0.0/16)
SUBNET： WS-SN-A-01(AA.AA.1.0/24)
｢A｣シリーズ Host : WS-VM-A-01
NSG : WS-NSG-A-01

29. 4：デモ
やること：｢AzureCLI｣と｢ PowerShell ｣を使用した｢B｣シ
リーズの構築
キーワード：AzureCLI,PowerShell

30. 構築の流れ
• ｢B｣シリーズはコマンドを使用して一括で作成する
– 作成するリソースは｢VNET｣｢NSG｣｢NSG(Rule)｣｢サブネット関連付け｣｢VM作成｣
– ｢WS-VM-A01｣にはあらかじめ｢ azure-cli-2.0.10.msi ｣をインストール済み
ResourceGroup：WS-RG
【作成イメージ】
VNET：Workshop-A-VN
SUBNET： Workshop-A-SN
Workshop-A-VM
作業タスク
1 ｢WS-VM-A-01｣から｢AzurePortal｣へログイン
2 ｢WS-VM-A-01｣から｢PowerShell｣を実行
PowerShell
VNET： Workshop-B-VN
SUBNET： Workshop-B-SN
Workshop-A-VM

31. 作業タスク① Portalへのログイン
• ｢AzureCli｣導入後、｢VM｣等のリソースをリソースグループ内に作成するためには
｢Azureリソースマネージャ｣へログインが必要。ログイン後Powershellを実行する
作業内容
1 ｢AzureCLI｣搭載サーバより以下のコマンドを実行
2 WEBブラウザよりAzureコンソールにアクセスし｢コード｣を入力する
※｢AzureコンソールのURL｣,｢コード｣は｢1｣のコマンドの実行結果より確認可能
コマンド az login
上記を行うことでAzureの環境に端末がアクセスできる。
実行結果 To sign in, use a web browser to open the page
https://aka.ms/devicelogin
and enter the code GKR6A2W6J to

32. Powershellフローチャート
• パスに格納されたCSVを読み込みAzureコマンドを実行する。
実行処理
CSV判定
CSV読み込み
条件：最終行の到達
実行確認
開始
終了
処理スキップCSV読み込み
処理中止
重複チェック
CSVの存在を確認
CSVを読み込む(5
ファイル)
パラメータを確認し
処理判断（手動）
同名のリソースがな
いか確認
Azureコマンドの実行
上記の処理をAzureCLI導入で使用できるコマンドにて作成します

33. PowerShell使用コマンド
• 重複チェックのためにListコマンドを使用、作成にCreateコマンドを使用
• 付与するオプションにより細部の設定を行う
No コマンド 意味
1 az network vnet create [Option] Vnetの作成
2 az network vnet list –o table Vnetの確認
3 az network nsg create [Option] NSGの作成
4 az network vnet list -o table NSGの確認
5 az network nsg rule create [Option] NSGのルール作成
6 az network vnet subnet update [Option] サブネット-NSG関連付け
7 az vm create [Option] VMの作成
8 az vm list –o table VMの確認
もっと知りたい人は・・・
https://docs.microsoft.com/ja-jp/cli/azure/

34. Powershellの実行
_/_/_/_/_/_/_/_/VNET Information_/_/_/_/_/_/_/_/
MakeNunber: 1
ResourceGroup: Workshop
Vnet-Name: Workshop-B-VN
Vnet-Location: japaneast
Vnet-Address: 10.2.0.0/16
Vnet-Subnet: Workshop-B-SN
Vnet-SubnetAddress: 10.2.1.0/24
_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/
<Check>
Action Or No ??
[Y] Yes [N] No [?] Help (default is "Y"): y
2017/08/25 00:45 [Info],[MakeVnet Check]
2017/08/25 00:45 [Info],[ Workshop-B-VN MakeVnet Start]
2017/08/25 00:45 [Info],[ Workshop-B-VN MakeVnet End]
2017/08/25 00:45 [Info],[ Workshop-B-VN MakeVnet Check]
2017/08/25 00:45 ---------------------------------------------
<略>
2017/08/25 00:45 ---------------------------------------------
2017/08/25 00:46 [Info],[found the csv]
読み込み処理
実行判断
重複確認
実行処理
結果確認

35. • ｢Aシリーズ｣からWEBを通じてGmail送信
– ｢A｣シリーズには事前に｢IIS｣｢SMTP｣｢PHP｣を仕込んでいます
– (成功条件)メールが送信されること
• URL ： http://AA.AA.AA.AA/format.html
• To ： osuban3get20man@gmail.com
• From ： 1doujimanoryuu@gmail.com
確認（Mail送信）
結果 ⇒ 失敗！
⇒メールは送信されるが迷惑メールになってる
• ｢Aシリーズ｣から｢RDP｣を行い、｢B｣シリーズにログイン
– 作業端末からのRDPは禁止 (接続できなければ成功)
– ｢A｣シリーズからのRDPは許可する (接続できれば成功)
結果 ⇒ 失敗！
⇒見事にどこからもアクセスできない環境が完成した！！

36. 5:Azure環境設定
やること：｢Azure環境でのメール送信｣
｢異なるVNET間での通信設定｣
キーワード：SendgridEmaiDelivery,VNETPeering

37. Vnet間の通信不可の原因
理由 ： Azureでは基本的にVNET通信を許可していない
対策 ： 以下二つの設定のいづれかが必要となる
・VNET Peering ：バックボーンネットワークを使用し通信を行う。
同一リージョンで対応可能。通信も早く設定も簡単！
VNET
SUBNET
【VNET Peering】
リージョンリージョン
VNET
SUBNET
VNET
SUBNET
VNET
SUBNET
リージョン
VNET
SUBNET
リージョン
VNET
SUBNET
【Azure VPN Gateway 】
リージョン
・Azure VPN Gateway ：VnetにGatewayを設定する。オンプレミスでも対応可能。
異なるリソースグループでも問題ない

38. リージョン
VNET B
SUBNET
VNET A
SUBNET
VnetPeering設定
VNET A-B通信設定
VNET B-A通信設定
｢VNET Peering｣設定は片方だけではなく両方に対して設定を行う必要がある。作成方
法はコマンドとリソースマネージャがあるが今回はリソースマネージャから作成する
作業内容 設定の意味
1 名前 ピアリングの名前を設定する
2 サブスクリプ
ション
ピアリングのVNETのサブスクリプションを
指定する
3 仮想ネット
ワーク
ピアリングの相手側のVNETを指定する
4 構成 必要な場合は以下にチェックを入れる
チェック項目
1 仮想ネットワークのアクセス許可
2 転送トラフィックの許可
3 ゲートウェイ転送を許可
4 リモートゲートウェイを使用する
自分自身と相手側の双方に設定を行う

39. メール送信不可原因
• 理由： Azure環境で且つDNSに登録されていないサーバから飛ばしているため
• 対策： 次の二つの設定のいづれかが必要となる
・DNSサーバの登録 ：公開されているDNSを通過させる。
・Sendgridの使用 ：Azureの｢Sendgrid Email Deliverry｣を使用し｢SMTP｣をリ
レーさせる
【SendgridEmaiDeliverry】
Azure
Azure側で公開
されていないため
スパムと認識
Sendgrid で経由
する事でスパムを
回避
スパム
迷惑メール
受信トレイ
Suc

40. Sendgrid Mail Delivery
• Sendgrid Mail Deliveryの設定はリソースマネージャより行う。設定項目は以下の通
りで特につまるところは存在しない
作業内容
1 ｢リソースマネージャ｣より｢Sendgrid Mail Delivery｣を選択し以下の指定項目を入力
入力項目 作成方法
NAME 作成するSendgridの名前
Password 自動作成されるUSERNAMEのパスワード
サブスクリプション リソースが存在するサブスクリプションを指定
ResourceGroup 各グループにつき一つ指定可能
Prycing Tiar(課金プラン) 無料枠では25000件送信可能（月）
※選択したプランにより差分がある
Contact Information（個人情報） 個人情報（別に偽名でも平気）
法律条項 これを許可しないと先に進めない
【Sendgrid Mail Delivery】設定

41. • ｢Aシリーズ｣からWEBを通じてGmail送信
– URL ： http://AA.AA.AA.AA/format.html
– To ： osuban3get20man@gmail.com
– From ： 1doujimanoryuu@gmail.com
再確認
成功！
• ｢Aシリーズ｣から｢RDP｣を行い、｢B｣シリーズにログイン
– 作業端末からのRDPは禁止 (接続できなければ成功)
– ｢A｣シリーズからのRDPは許可する (接続できれば成功)
成功！

42. まとめ
• 今回やったこと
–ネットワーク環境作成（VNET,SUBNET,NSG,NSG(RULE)
–サーバ構築（Powershell)
–Email送信設定
–VNET間通信

43. これで終わりです。