ケーススタディ3 - Contoso社
概要
Proseware, Inc. は、ニューヨーク市に本社、サンフランシスコに支店を持つ金融サービス会社です。
既存の環境。ハイブリッド環境
Proseware には、corp.proseware.com という名前のオンプレミスの Active Directory ドメイン サービス (AD DS) フォレストがあり、proseware.com という名前の Microsoft Entra テナントと同期します。
Proseware には、proseware.com にリンクされた Azure サブスクリプションがあります。
Proseware には内部認証局 (CA) があります。
既存の環境。ネットワークインフラストラクチャ
オフィスには次の表に示すリソースが含まれています。
NYCNet は ExpressRoute 回線を使用して Azure に接続します。
SFONet は、サイト間 (S2S) VPN を使用して Azure に接続します。
既存の環境。Azure リソース
Azure サブスクリプションには、次の表に示す仮想ネットワークとサブネットが含まれています。
サブスクリプションには、VM1、VM2、VM3、VM4 という名前の 4 つの仮想マシンが含まれています。VM1 と VM2 は、App1 という名前のアプリをホストします。
VM3とVM4は、App2というWebアプリをホストしており、このアプリはapp2.proseware.comというFQDNを使用してアクセスされます。ユーザーはHTTPまたはHTTPSを使用してapp2.proseware.comにアクセスします。
VM1、VM2、VM4 は SpokeVNet に接続されています。
サブスクリプションには、次の表に示す Application Gateway リソースが含まれています。
サブスクリプションには、FD1 という名前の Azure Front Door Standard プロファイルが含まれています。FD1 には、既定のエンドポイント名を使用して APPGW1 をターゲットとする単一のオリジン グループが含まれています。
HubVNet は、ERGW1 という名前の ExpressRoute ゲートウェイを使用して NYCNet に接続します。
計画された変更と要件。計画された変更
Proseware は以下の変更を実施する予定です。
- PRDNS1 という名前の Azure プライベート DNS リゾルバーを HubVNet にデプロイし、PRDNS1 を SpokeVNet にリンクします。
- DNSRS1 という名前の DNS 転送ルールセットを作成し、DNSRS1 を PRDNS1 に関連付けます。
- Azure Virtual Network Manager をデプロイし、次のルールを実装します。
- オンプレミス ネットワークから SUBNET-JUMPHOSTS への TCP ポート 3389 での受信接続を許可します。
- インターネットから SpokeVNet への TCP ポート 80 での受信接続をブロックします。
- Azure Virtual Network Manager ルールが競合する NSG ルールよりも優先されるようにします。
- NVA1 と NVA2 という名前の 2 つのネットワーク仮想アプライアンス (NVA) を HubVNet にデプロイします。
- LBGW1 という名前のゲートウェイ ロード バランサーを HubVNet にデプロイします。
- NVA1 と NVA2 を使用して、LBS1 からの TCP ポート 443、1433、および 1434 上のトラフィックを検査するように LBGW1 を構成します。
- App2 へのすべてのトラフィックが FD1 を使用して処理されることを確認します。
計画されている変更と要件。接続要件
Proseware では、次の接続要件が特定されています。
- Azure Virtual Network Manager の展開の複雑さを最小限に抑えます。
- ExpressRoute 回線と S2S VPN を介して NYCNet と SFONet 間のトラフィックをルーティングします。
- Windows 11 デバイス上のリモート ユーザーが、ポイント対サイト (P2S) VPN と proseware.com 資格情報を使用して HubVNet に接続できることを確認します。
計画された変更と要件。セキュリティ要件
Proseware では、次のセキュリティ要件が特定されています。
- 可能な限り、内部 CA を使用してください。
- APPGW1 経由でルーティングされるすべての接続でエンドツーエンドの暗号化が使用されていることを確認します。
- Azure でホストされるアプリへのユーザー接続でエンドツーエンドの暗号化が使用されていることを確認します。
- app2.proseware.com へのすべての受信インターネット トラフィックが FD1 経由でルーティングされることを確認します。
- NYCNet に接続するデバイスがプライベート エンドポイントを使用する Azure サービスにアクセスできないようにします。
- HubVNet および SpokeVNet に接続する仮想マシンが、プライベート エンドポイントを使用する Azure サービスにアクセスできるようにします。
計画された変更と要件。一般的な要件
Proseware では、次の一般的な要件が特定されています。
- プラットフォーム管理リソースを仮想ネットワークに展開するために必要な IP アドレス空間を最小限に抑えます。
- SpokeVNet から、PRDNS1 を使用して azure.proseware.com 名前空間と corp.proseware.com 名前空間の名前解決要求を解決します。
- 可能な限り、管理上の労力を最小限に抑えます。
ホットスポットに関する質問
接続要件を満たすように P2S VPN を構成する必要があります。
どうすればいいでしょうか? 回答するには、回答エリアで適切なオプションを選択してください。
注意: 正しい選択ごとに 1 ポイントが付与されます。
概要
Proseware, Inc. は、ニューヨーク市に本社、サンフランシスコに支店を持つ金融サービス会社です。
既存の環境。ハイブリッド環境
Proseware には、corp.proseware.com という名前のオンプレミスの Active Directory ドメイン サービス (AD DS) フォレストがあり、proseware.com という名前の Microsoft Entra テナントと同期します。
Proseware には、proseware.com にリンクされた Azure サブスクリプションがあります。
Proseware には内部認証局 (CA) があります。
既存の環境。ネットワークインフラストラクチャ
オフィスには次の表に示すリソースが含まれています。
NYCNet は ExpressRoute 回線を使用して Azure に接続します。
SFONet は、サイト間 (S2S) VPN を使用して Azure に接続します。
既存の環境。Azure リソース
Azure サブスクリプションには、次の表に示す仮想ネットワークとサブネットが含まれています。
サブスクリプションには、VM1、VM2、VM3、VM4 という名前の 4 つの仮想マシンが含まれています。VM1 と VM2 は、App1 という名前のアプリをホストします。
VM3とVM4は、App2というWebアプリをホストしており、このアプリはapp2.proseware.comというFQDNを使用してアクセスされます。ユーザーはHTTPまたはHTTPSを使用してapp2.proseware.comにアクセスします。
VM1、VM2、VM4 は SpokeVNet に接続されています。
サブスクリプションには、次の表に示す Application Gateway リソースが含まれています。
サブスクリプションには、FD1 という名前の Azure Front Door Standard プロファイルが含まれています。FD1 には、既定のエンドポイント名を使用して APPGW1 をターゲットとする単一のオリジン グループが含まれています。
HubVNet は、ERGW1 という名前の ExpressRoute ゲートウェイを使用して NYCNet に接続します。
計画された変更と要件。計画された変更
Proseware は以下の変更を実施する予定です。
- PRDNS1 という名前の Azure プライベート DNS リゾルバーを HubVNet にデプロイし、PRDNS1 を SpokeVNet にリンクします。
- DNSRS1 という名前の DNS 転送ルールセットを作成し、DNSRS1 を PRDNS1 に関連付けます。
- Azure Virtual Network Manager をデプロイし、次のルールを実装します。
- オンプレミス ネットワークから SUBNET-JUMPHOSTS への TCP ポート 3389 での受信接続を許可します。
- インターネットから SpokeVNet への TCP ポート 80 での受信接続をブロックします。
- Azure Virtual Network Manager ルールが競合する NSG ルールよりも優先されるようにします。
- NVA1 と NVA2 という名前の 2 つのネットワーク仮想アプライアンス (NVA) を HubVNet にデプロイします。
- LBGW1 という名前のゲートウェイ ロード バランサーを HubVNet にデプロイします。
- NVA1 と NVA2 を使用して、LBS1 からの TCP ポート 443、1433、および 1434 上のトラフィックを検査するように LBGW1 を構成します。
- App2 へのすべてのトラフィックが FD1 を使用して処理されることを確認します。
計画されている変更と要件。接続要件
Proseware では、次の接続要件が特定されています。
- Azure Virtual Network Manager の展開の複雑さを最小限に抑えます。
- ExpressRoute 回線と S2S VPN を介して NYCNet と SFONet 間のトラフィックをルーティングします。
- Windows 11 デバイス上のリモート ユーザーが、ポイント対サイト (P2S) VPN と proseware.com 資格情報を使用して HubVNet に接続できることを確認します。
計画された変更と要件。セキュリティ要件
Proseware では、次のセキュリティ要件が特定されています。
- 可能な限り、内部 CA を使用してください。
- APPGW1 経由でルーティングされるすべての接続でエンドツーエンドの暗号化が使用されていることを確認します。
- Azure でホストされるアプリへのユーザー接続でエンドツーエンドの暗号化が使用されていることを確認します。
- app2.proseware.com へのすべての受信インターネット トラフィックが FD1 経由でルーティングされることを確認します。
- NYCNet に接続するデバイスがプライベート エンドポイントを使用する Azure サービスにアクセスできないようにします。
- HubVNet および SpokeVNet に接続する仮想マシンが、プライベート エンドポイントを使用する Azure サービスにアクセスできるようにします。
計画された変更と要件。一般的な要件
Proseware では、次の一般的な要件が特定されています。
- プラットフォーム管理リソースを仮想ネットワークに展開するために必要な IP アドレス空間を最小限に抑えます。
- SpokeVNet から、PRDNS1 を使用して azure.proseware.com 名前空間と corp.proseware.com 名前空間の名前解決要求を解決します。
- 可能な限り、管理上の労力を最小限に抑えます。
ホットスポットに関する質問
接続要件を満たすように P2S VPN を構成する必要があります。
どうすればいいでしょうか? 回答するには、回答エリアで適切なオプションを選択してください。
注意: 正しい選択ごとに 1 ポイントが付与されます。
