|
重要な注意事項: この記事は、2023年8月から2024年1月の間に行われたPaaS 2.0のデプロイのみが対象となります。 2024年2月1日以降にプロビジョニングされた新しいデプロイについては、KB1003367: Sitecore Managed Cloud Standard - 仮想ネットワークの概要(PaaS 2.0)の記事を参照してください。 |
目次
- 概要
- ハブ アンド スポーク アーキテクチャ
- ベーシック ハブ(Basic Hub)
- アドバンスド ハブ(Advanced Hub)
- ベーシックとアドバンスド ハブ – サービスと機能の比較
- デフォルトの仮想ネットワークとサブネットの範囲
- ハブ環境
- スポーク環境
- 10.x.0.0/16の範囲の代替IP範囲
- ハブ環境
- スポーク環境
- ディザスタ リカバリ ネットワークの考慮事項
- 代替IP範囲
- 172.x.0.0/16の範囲の代替IP範囲
- ハブ環境
- スポーク環境
- ディザスタ リカバリ ネットワークの考慮事項
- 代替IP範囲
概要
この記事では、PaaS 2.0のデプロイ向けの標準のネットワーク アーキテクチャについて説明しています。
Sitecore Managed Cloud – PaaS 2.0のご購入時に含まれるAzureサービスの明確なリストについては、以下のKB記事をご参照ください。
- Sitecore Managed Cloud Standard - Sitecore XP 10.3.1以上のバージョン用トポロジーと価格レベルについて(PaaS 2.0)
- Sitecore Managed Cloud Premium - Sitecore XP 10.3.1以降のトポロジーと価格レベル(PaaS 2.0)
ハブ アンド スポーク アーキテクチャ
PaaS 2.0では、Azure Managed Cloud上のSitecoreで初となる、Microsoftのハブ アンド スポーク ネットワーク アーキテクチャが実装されています。このアーキテクチャでは、各Azureリージョンのすべてのネットワーク イングレス(受信トラフィック)をセントラル ハブを経由して管理することで、集中管理とコスト最適化を行うことができます。
Sitecoreでは、以下の二つのハブのレベルを提供しています。
ベーシック ハブ(Basic Hub)
イングレス トラフィックはAzure Front Door Standardを通過します。弊社では管理とサポートの簡易化のためAzure Front Door Standardを本番設定と非本番設定で分けており、かつ複数環境にわたってAzure Front Doorを再使用することで、コストの最適化が行っています。
ベーシック ハブ リソース グループには、プライベートDNSサービス、Azure Recovery Vault、Azure Key Vault、Azureストレージ アカウント、仮想ネットワーク(vNET)およびAzure Bastionサービスならびに関連するBastion VMなどの複数の主要なコンポーネントが含まれています。Sitecore社の多要素認証が必要となるAzure Bastionサービスは、認証されたSitecore社の従業員がハブのvNetおよびピアのスポークvNetに、リモート デスクトップ、App ServiceのKUDUへのアクセスなどの目的のために接続できるようにします。ハブおよびスポークvNetへのお客様のアクセスについては、以下の二つのオプションがサポートされています。
- 仮想ネットワーク ゲートウェイ(VPN)。お客様の企業のファイアウォールへのサイト間VPN接続を通じてリソースにアクセスできるようにすることで、セキュリティを強化します。
- または、Azure Bastionサービスにより安全性が確保された踏み台VMを使用することもできます。
アドバンスド ハブ(Advanced Hub)
アドバンスド ハブは、Azure Front Door Premiumを組み入れたより高度なセキュリティ機能を提供することにより、ベーシック ハブの性能および機能を拡張したものです。
主要な機能として、Microsoft マネージド ルール セットおよびBotマネージメントを備えた高度なWeb Application Firewallが挙げられます。
Azure Front Doorは日々進歩しているため、最新の機能比較についてはMicrosoft社のウェブサイトをご参照ください。
ベーシックとアドバンスド ハブ – サービスと機能の比較
| サービスおよびSKUの説明 | ベーシック ハブ | アドバンスド ハブ |
| 本番環境/ディザスタ リカバリ – Azure Front Door Standard | ✓ | - |
| 非本番環境 – Azure Front Door Standard* | ✓ | - |
| Azure Bastion & Automation VM – 仮想マシン | ✓ | ✓ |
| AzureプライベートDNS (ゾーンおよびクエリ) | ✓ | ✓ |
| インターネット エグレス(帯域幅) | ✓ | ✓ |
|
Azure Bastionサービスのデプロイ - Sitecore社がお客様の環境をサポートするのに必要 |
✓ | ✓ |
|
サイト間VPNのデプロイ - 環境のプロビジョニング リクエスト中にお客様によって明示 |
✓ | ✓ |
| Azure Key Vault | ✓ | ✓ |
| 本番環境/ディザスタ リカバリ – Azure Front Door Premium | - | ✓ |
| 非本番環境 – Azure Front Door Premium* | - | ✓ |
* 一つのAzure Front Doorで複数のSitecore XM/XP非本番デプロイをサポートします。
上記のハブはスポークと呼ばれる各Sitecore環境の仮想ネットワークとピアリングされます。
デフォルトの仮想ネットワークとサブネットの範囲
Sitecore社ではこれまで、Sitecoreが使用するAzureサービス間のネットワーク イングレスとエグレスを、可能な場合に仮想ネットワークに移動させてきました。
各スポークは独自の仮想ネットワークを持ち、各仮想ネットワークは複数のサブネットを持ち、各サブネットは付属のネットワーク セキュリティ グループを持ち、認証されたアクセスを制御し、Azureサービスへの認証されていないアクセスを防止します。仮想ネットワーク ピアリングと呼ばれる機能は、ハブ仮想ネットワークを接続し、各スポーク仮想ネットワークを許可するのに使用されます。
註: 貴社組織のネットワークへのVPN接続を持つことにした場合、各VNet IPアドレスの範囲は既存のIPアドレスの範囲に重複しない範囲に割り当てる必要があることにご注意ください。vNETのCIDR範囲は初回のデプロイ時のみカスタマイズ可能です。
| 重要な注意事項:vNet CIDR範囲は初回のデプロイ時のみカスタマイズできます。 |
このKB記事内に掲載されているネットワークおよびサブネットの情報は、Sitecoreより提供されている初期状態のデプロイについて記載しています。
ハブ環境
ハブ プロビジョニング パイプラインが実行された際、次の範囲がデフォルトとして使用されます: 10.0.0.0/16
| 名称 | 範囲 | 説明 |
| 可変サブネット名(Variable Subnet Name) | 10.0.1.0/24 | Azure Bastionサービス サブネット |
| 可変サブネット名(Variable Subnet Name) | 10.0.2.0/24 | Azure Bastionホスト サブネット |
| 可変サブネット名(Variable Subnet Name) | 10.0.3.0/24 | ゲートウェイ サブネット |
ネットワークのサブネット範囲をカスタマイズして、貴社のニーズに合うように調整し、Sitecoreによって提供されているネットワーク範囲と貴社の内部ネットワーク範囲が重複しないようにすることができます。
スポーク環境
スポーク プロビジョニング パイプラインが実行された際、次の範囲がデフォルトとして使用されます: 10.1.0.0/16
XP スケーリング(XP Scaled)
| 名称 | 範囲 | 説明 |
| Verification_subnet | 10.1.100.0/24 | 内部エンドポイントの可用性の検証に使用される一時的なサブネット |
| pe | 10.1.1.0/24 | Azure PaaSリソースの全てのプライベート エンドポイントを含む |
| agw | 10.1.0.0/24 | Application Gateway |
| cd | 10.1.4.0/24 | Content Deliveryサーバー(XMおよびXP) |
| cm | 10.1.2.0/24 | Content Managementサーバー |
| si | 10.1.3.0/24 | Identity Server |
| xc-resourceintensive | 10.1.7.0/24 | XC Resource Intensive Appプラン(XPのみ) |
| xc-basic | 10.1.6.0/24 | XC Basic Appプラン(XPのみ) |
| prc | 10.1.5.0/24 | xDB Processingサービス(XPのみ) |
| headless | 10.1.8.0/24 | ヘッドレス サービス向けのオプションのサブネット (Node JS) |
ネットワークのサブネット範囲をカスタマイズして、貴社のニーズに合うように調整し、Sitecoreによって提供されているネットワーク範囲と貴社の内部ネットワーク範囲が重複しないようにすることができます。
XP 単一(XP Single)
| 名称 | 範囲 | 説明 |
| verification_subnet | 10.1.100.0/24 | 内部エンドポイントの可用性の検証に使用される一時的なサブネット |
| pe | 10.1.1.0/24 | Azure PaaSリソースの全てのプライベート エンドポイントを含む |
| agw | 10.1.0.0/24 | Application Gateway |
| single | 10.1.2.0/24 | ####Provide info (-singleおよび–siエンドポイントが使用) |
| xc-single | 10.1.3.0/24 | ####Provide info (-xc-singleエンドポイントが使用) |
XM スケーリング(XM Scaled)
| 名称 | 範囲 | 説明 |
| Verification_subnet | 10.1.100.0/24 | 内部エンドポイントの可用性の検証に使用される一時的なサブネット |
| pe | 10.1.1.0/24 | Azure PaaSリソースの全てのプライベート エンドポイントを含む |
| agw | 10.1.0.0/24 | Application Gateway |
| cd | 10.1.4.0/24 | Content Deliveryサーバー(XMおよびXP) |
| cm | 10.1.2.0/24 | Content Managementサーバー |
| si | 10.1.3.0/24 | Identity Server |
XM 単一(XM Single)
| 名称 | 範囲 | 説明 |
| Verification_subnet | 10.1.100.0/24 | 内部エンドポイントの可用性の検証に使用される一時的なサブネット |
| pe | 10.1.1.0/24 | Azure PaaSリソースの全てのプライベート エンドポイントを含む |
| agw | 10.1.0.0/24 | Application Gateway |
| single | 10.1.2.0/24 | ####Provide info (single エンドポイントが使用) |
ネットワークのサブネット範囲をカスタマイズして、貴社のニーズに合うように調整し、Sitecoreによって提供されているネットワーク範囲と貴社の内部ネットワーク範囲が重複しないようにすることができます。
10.x.0.0/16の範囲の代替IP範囲
以下の代替IP範囲を選択することもできます。これらの範囲はハブ アンド スポーク環境で使用できます。
- 10.0.0.0 /16から10.250.0.0 /16
- 10.1.x.x /16から始まる範囲
- 10.250.x.x /16から始まる範囲
- 例: 10.150.x.x /16の範囲をハブ向けにリクエストする(ハブ)。
- 例: 10.151.x.x /16の範囲を本番環境向けにリクエストする(スポーク)。
- 例: 10.152.x.x /16の範囲を非本番環境向けにリクエストする(スポーク)。
Sitecoreのプロビジョニングの処理中に、Sitecoreはリクエストされた範囲がSitecore Managed Cloudのデプロイの範囲内ですでに使用されているかどうかを確認します。このチェックは、以前にデプロイされたハブ アンド スポーク環境を検証します。もし指定された範囲が使用できない場合は、Sitecore Cloud Operationsサポート チームはサービス リクエストのチケットに返信し、お客様に代替のIP範囲を送っていただくようリクエストします。
代替のIP範囲を選ぶ際、Sitecoreのプロビジョニング プロセスは、以下のサブネット範囲を調整されたサービス タイプに動的に割り当てます。このプロセスはプロビジョニングのパイプラインによって対応され、お客様からのインプットは必要ありません。「/24」のサブネットの割り当てを変更することはできない点にご注意ください。
ハブ環境
お客様定義のネットワーク範囲: 10.”x”.1.0 / 24 (“x”は0から250)
| 名称 | 範囲 | 説明 |
| 可変サブネット名(Variable Subnet Name) | 10.”x”.1.0/24 | Azure Bastionサービス サブネット |
| 可変サブネット名(Variable Subnet Name) | 10.”x”.2.0/24 | Azure Bastionホスト サブネット |
| 可変サブネット名(Variable Subnet Name) | 10.”x”.3.0/24 | ゲートウェイ サブネット |
スポーク環境
お客様定義のネットワーク範囲: 10.”x”.1.0 / 24 (“x”は0から250)
| 名称 | 範囲 | 説明 |
| Verification_subnet | 10.”x”.100.0/24 | 内部エンドポイントの可用性の検証に使用される一時的なサブネット |
| pe | 10.”x”.1.0/24 | Azure PaaSリソースの全てのプライベート エンドポイントを含む |
| agw | 10.”x”.0.0/24 | Application Gateway |
| cd | 10.”x”.4.0/24 | Content Deliveryサーバー(XMおよびXP) |
| cm | 10.”x”.2.0/24 | Content Managementサーバー |
| si | 10.”x”.3.0/24 | Identity Server |
| xc-resourceintensive | 10.”x”.7.0/24 | XC Resource Intensive Appプラン(XPのみ) |
| xc-basic | 10.”x”.6.0/24 | XC Basic Appプラン(XPのみ) |
| prc | 10.”x”.5.0/24 | xDB Processingサービス(XPのみ) |
| headless | 10.”x”.8.0/24 | ヘッドレス サービス向けのオプションのサブネット (Node JS) |
ディザスタ リカバリ ネットワークの考慮事項
ディザスタ リカバリ サービスを契約されているお客様につきましては、セカンダリ リージョンでどのIP範囲が必要なのか検討していただくことをお勧めいたします。
Sitecore Managed Cloud DR 2.0はネットワークの観点からは完全に分離されています。つまり、DRのハブ アンド スポーク デプロイには、プライマリ リージョンにピアリングされるVNetは含まれません。
この理由により、本番ハブおよびスポーク環境と同じIP範囲をDRハブとスポーク環境に割り当てることができます。これは上記のリストからのIP範囲を割り当てることも同様に可能です。
代替IP範囲
以下の代替IP範囲を選択することもできます。これらの範囲はハブ アンド スポーク環境で使用できます。
- 10.0.0.0 /16から10.250.0.0 /16
- 10.1.x.x /16から始まる範囲
- 10.250.x.x /16から始まる範囲
- 例: 10.150.x.x /16の範囲をDRハブ向けにリクエストする(ハブ)。
- 例: 10.151.x.x /16の範囲をDR環境向けにリクエストする(スポーク)。
172.x.0.0/16の範囲の代替IP範囲
以下の代替IP範囲を選択することもできます。これらの範囲はハブ アンド スポーク環境で使用できます。
- 172.16.0.0 /16から172.31.0.0 /16
- 172.16.x.x /16から始まる範囲
- 172.31.x.x /16から始まる範囲
- 例: 172.16.x.x /16の範囲をハブ向けにリクエストする(ハブ)。
- 例: 172.17.x.x /16の範囲を本番環境向けにリクエストする(スポーク)。
- 例: 172.18.x.x /16の範囲を非本番環境向けにリクエストする(スポーク)。
Sitecoreのプロビジョニングの処理中に、Sitecoreはリクエストされた範囲がSitecore Managed Cloudのデプロイの範囲内ですでに使用されているかどうかを確認します。このチェックは、以前にデプロイされたハブ アンド スポーク環境を検証します。もし指定された範囲が使用できない場合は、Sitecore Cloud Operationsサポート チームはサービス リクエストのチケットに返信し、お客様に代替のIP範囲を送っていただくようリクエストします。
代替のIP範囲を選ぶ際、Sitecoreのプロビジョニング プロセスは、以下のサブネット範囲を調整されたサービス タイプに動的に割り当てます。このプロセスはプロビジョニングのパイプラインによって対応され、お客様からのインプットは必要ありません。「/24」のサブネットの割り当てを変更することはできない点にご注意ください。
ハブ環境
お客様定義のネットワーク範囲: 172.”X”.1.0 / 24 (“X”は16から31)
| 名称 | 範囲 | 説明 |
| 可変名(Variable Name) | 172.”x”.1.0/24 | Azure Bastionサービス サブネット |
| 可変名(Variable Name) | 172.”x”.2.0/24 | Azure Bastionホスト サブネット |
| 可変名(Variable Name) | 172.”x”.3.0/24 | Application Gateway |
スポーク環境
お客様定義のネットワーク範囲: 172.”X”.1.0 / 24 (“X”は16から31)
| 名称 | 範囲 | 説明 |
| Verification_subnet | 172.”x”.100.0/24 | 内部エンドポイントの可用性の検証に使用される一時的なサブネット |
| pe | 172.”x”.1.0/24 | Azure PaaSリソースの全てのプライベート エンドポイントを含む |
| agw | 172.”x”.0.0/24 | Application Gateway |
| cd | 172.”x”.4.0/24 | Content Deliveryサーバー(XMおよびXP) |
| cm | 172.”x”.2.0/24 | Content Managementサーバー |
| si | 172.”x”.3.0/24 | Identity Server |
| xc-resourceintensive | 172.”x”.7.0/24 | XC Resource Intensive Appプラン(XPのみ) |
| xc-basic | 172.”x”.6.0/24 | XC Basic Appプラン(XPのみ) |
| prc | 172.”x”.5.0/24 | xDB Processingサービス(XPのみ) |
| headless | 172.”x”.8.0/24 | ヘッドレス サービス向けのオプションのサブネット (Node JS) |
ディザスタ リカバリ ネットワークの考慮事項
ディザスタ リカバリ サービスを契約されているお客様につきましては、セカンダリ リージョンでどのIP範囲が必要なのか検討していただくことをお勧めいたします。
Sitecore Managed Cloud DR 2.0はネットワークの観点からは完全に分離されています。つまり、DRのハブ アンド スポーク デプロイには、プライマリ リージョンにピアリングされるVNetは含まれません。
この理由により、本番ハブおよびスポーク環境と同じIP範囲をDRハブとスポーク環境に割り当てることができます。これは上記のリストからのIP範囲を割り当てることも同様に可能です。
代替IP範囲
以下の代替IP範囲を選択することもできます。これらの範囲はハブ アンド スポーク環境で使用できます。
- 172.16.0.0 /16から172.31.0.0 /16
- 172.16.x.x /16から始まる範囲
- 172.31.x.x /16から始まる範囲
- 例: 172.16.x.x /16の範囲をDRハブ向けにリクエストする(ハブ)。
- 例: 172.17.x.x /16の範囲をDR環境向けにリクエストする(スポーク)。