|
重要な注意事項: |
目次
- 概要
- ハブ アンド スポーク アーキテクチャ
- ベーシック ハブ
- アドバンスド ハブ
- ハブ アンド スポーク アーキテクチャ - 大まかなネットワーク図
- ベーシックおよびアドバンスド ハブのサービスと機能の比較
- PaaS 2.0: 仮想ネットワーク アドレス スペースとサブネット範囲
- PaaS 2.0: お客様からの提供が必要な情報
- Experience Manager (XM)
- Experience Platform (XP)
概要
この記事では、PaaS 2.0のデプロイ向けの標準のネットワーク アーキテクチャについて説明しています。
Sitecore Managed Cloud – PaaS 2.0のご購入時に含まれるAzureサービスの明確なリストについては、以下のKB記事をご参照ください。
- Sitecore Managed Cloud Standard - Sitecore XP 10.3.1以上のバージョン用トポロジーと価格レベルについて(PaaS 2.0)
- Sitecore Managed Cloud Premium - Sitecore XP 10.3.1以降のトポロジーと価格レベル(PaaS 2.0)
ハブ アンド スポーク アーキテクチャ
PaaS 2.0では、Azure Managed Cloud上のSitecoreで初となる、Microsoftのハブ アンド スポーク ネットワーク アーキテクチャが実装されています。このアーキテクチャでは、各Azureリージョンのすべてのネットワーク イングレス(受信トラフィック)をセントラル ハブを通じて管理することで、集中管理とコスト最適化を行うことができます。
Sitecoreでは、ベーシックおよびアドバンスドの2つのレベルのハブを提供しています。
ベーシック ハブ
イングレス トラフィックはAzure Front Door Standardを通過します。弊社では管理とサポートの簡易化のためAzure Front Door Standardを本番設定と非本番設定で分けており、かつ複数環境にわたってAzure Front Doorを再使用することで、コストの最適化を行っています。
ベーシック ハブ リソース グループには、プライベートDNSサービス、Azure Recovery Vault、Azure Key Vault、Azureストレージ アカウント、仮想ネットワーク(vNET)およびAzure Bastionサービスならびに関連するBastion VMなどの複数の主要なコンポーネントが含まれています。Sitecore社の多要素認証が必要となるAzure Bastionサービスは、認証されたSitecore社の従業員がハブのvNetおよびピアリングされたスポークvNetに、リモート デスクトップ、App ServiceのKUDUへのアクセスなどの目的で接続できるようにするためのものです。ハブおよびスポークvNetへのお客様のアクセスについては、以下の二つのオプションがサポートされています。
- 仮想ネットワーク ゲートウェイ(VPN)。お客様の企業のファイアウォールへのサイト間VPN接続を通じてリソースにアクセスできるようにすることで、セキュリティを強化します。
- または、Azure Bastionサービスにより安全性が確保された踏み台VMを使用することもできます。
アドバンスド ハブ
アドバンスド ハブは、Azure Front Door Premiumを組み込んだより高度なセキュリティ機能を提供することにより、ベーシック ハブの性能および機能を拡張したものです。
主要な機能として、Microsoft マネージド ルール セットおよびBotマネージメントを備えた高度なWeb Application Firewallが挙げられます。
またアドバンスド ハブには、Azure Defender for Cloudのプロビジョニングにも含まれます。詳細につきましては、KB1003366 - Sitecore Managed Cloud - Defender実装ガイド(PaaS 2.0)をご参照ください。
Azure Front Doorは日々進歩しているため、最新の機能比較についてはMicrosoft社のウェブサイトをご参照ください。
ハブ アンド スポーク アーキテクチャ - 大まかなネットワーク図
ベーシックおよびアドバンスド ハブのサービスと機能の比較
| RACIの説明 | ベーシック ハブ | アドバンスド ハブ |
|
本番環境/ディザスタ リカバリ – Azure Front Door Standard |
✓ | - |
| 非本番環境 – Azure Front Door Standard * | ✓ | - |
| Azure Bastion & Automation VM – 仮想マシン | ✓ | ✓ |
| AzureプライベートDNS (ゾーンおよびクエリ) | ✓ | ✓ |
| インターネット エグレス(帯域幅) | ✓ | ✓ |
|
Azure Bastionサービスのデプロイ |
✓ | ✓ |
|
サイト間VPNのデプロイ |
✓ | ✓ |
| Azure Key Vault | ✓ | ✓ |
| 本番環境/ディザスタ リカバリ – Azure Front Door Premium | - | ✓ |
| 非本番環境 – Azure Front Door Premium * | - | ✓ |
| Azure Defender for Cloudおよびワークロード保護 | - | ✓ |
| Azure DDoS IP Protection | アドオンの購入が必要 | アドオンの購入が必要 |
* 一つのAzure Front Doorで複数のSitecore XM/XP非本番デプロイをサポートします。
上記のハブはスポークと呼ばれる各Sitecore環境の仮想ネットワークとピアリングされます。
|
重要な注意事項: PaaS 2.0 Sitecoreでは、お客様が希望するSitecore Managed Cloudデプロイに適用するIP範囲を柔軟に選択できるようになりました。 |
PaaS 2.0: 仮想ネットワーク アドレス スペースとサブネット範囲
Sitecore社ではこれまで、Sitecoreが使用するAzureサービス間のネットワーク イングレスとエグレスを、可能な場合に仮想ネットワークに移動させてきました。
各スポークは独自の仮想ネットワークを持ち、各仮想ネットワークは複数のサブネットを持ち、各サブネットは付属のネットワーク セキュリティ グループを持つことで認証されたアクセスを制御し、Azureサービスへの認証されていないアクセスを防止します。弊社では仮想ネットワーク ピアリングと呼ばれる機能を使用して、ハブ仮想ネットワークを接続し、各スポーク仮想ネットワークを許可しています。
註: 貴社組織のネットワークへVPN接続を行う場合、各VNet IPアドレスの範囲は既存のIPアドレスの範囲に重複しない範囲に割り当てる必要があることにご注意ください。vNETのCIDR範囲は初回のデプロイ時のみカスタマイズ可能です。
本ナレッジ ベース記事中に記載されているネットワークおよびサブネットの情報は、Sitecoreによって提供されるデフォルトのデプロイで定義されるものです。
PaaS 2.0: 使用可能・有効なIPアドレス
Sitecore Managed CloudはMicrosoft Azure上で提供されます。従って、Sitecore Managed Cloud PaaS 2.0環境をプロビジョニングする際は、Microsoftが利用可能なIP範囲について熟知していただくことをお勧めいたします。Sitecoreは現在、RFC 1918で定義されている以下の範囲をサポートしています。
- 10.0.0.0 to 10.255.255.255 (10/8 プレフィックス)
- 172.16.0.0 to 172.31.255.255 (172.16/12 プレフィックス)
- 192.168.0.0 to 192.168.255.255 (192.168/16 プレフィックス)
本件に関するMicrosoftの公式ドキュメントにつきましては、このリンクをご参照ください。
既知のIPアドレスの制限
Azureは各サブネット内で最初の4つのアドレスと最後のアドレス、計5つのIPアドレスを予約します。
例えば、192.168.1.0/24のIPアドレスの範囲の場合、以下が予約アドレスとなります。
- 192.168.1.0: ネットワーク アドレス。
- 192.168.1.1: デフォルト ゲートウェイ用にAzureにより予約。
- 192.168.1.2, 192.168.1.3: 仮想ネットワーク空間にAzure DNS IPアドレスをマッピングするためAzureにより予約。
- 192.168.1.255: ネットワーク ブロードキャスト アドレス。
PaaS 2.0: お客様からの提供が必要な情報
Managed Cloud PaaS 2.0のデプロイに先立って、事前に貴社の各Sitecoreハブおよびスポーク環境のネットワーク アドレス スペースを指定していただく必要があります。
ハブ環境
ハブ プロビジョニング パイプラインが実行された際に、Sitecore Cloud Operationチームはお客様に有効な/24ネットワーク アドレス空間を提供していただくようリクエストします。このサブネットはServiceNowポータルにリクエストが記録された際に提供していただく必要があります。
註: Sitecoreには各ハブ環境ごとに一意となる仮想ネットワーク アドレス空間が必要となります。
| 種別 | CIDR | 利用可能なIPアドレス数 | 例 | 使用可能な範囲 |
|
プライマリ ハブ: 仮想ネットワーク アドレス空間 |
/24 | 251 IPS | 10.0.0.0/24 | 10.0.0.0 - 10.0.0.255 |
| セカンダリ ハブ:仮想ネットワーク アドレス空間 * | /24 | 251 IPS | 10.0.0.0/24 | 10.0.0.0 - 10.0.0.255 |
* ディザスター リカバリー保護オプションを購入されたお客様のみ対象。Sitecoreはプライマリおよびセカンダリ ハブ間のvNetピアリングを提供しないことにご注意ください。
なお、推奨されてはおりませんが、プライマリおよびセカンダリ ハブの双方で同じネットワーク アドレス空間を再利用することは技術的には可能です。
ハブのプロビジョニング処理中に、お客様から提供された/24ネットワーク アドレス空間は以下のネットワーク サブネットに切り分けられます。この処理はプライマリおよびセカンダリのハブ環境双方に対して繰り返し行われます。
| 種別 | CIDR | 利用可能なIPアドレス数 | 例 | 使用可能な範囲 |
|
Azure Bastionサブネット |
/26 | 59 IPS | 10.0.0.0/26 | 10.0.0.0 – 10.0.0.63 |
| ゲートウェイ サブネット | /27 | 27 IPS | 10.0.0.0/27 | 10.0.0.64 – 10.0.0.95 |
| Azure Bastion VMサブネット | /28 | 11 IPS | 10.0.0.0/28 | 10.0.0.96 – 10.0.0.111 |
スポーク環境
ハブ プロビジョニング パイプラインが実行された際に、Sitecore Cloud Operationチームはお客様に各スポーク デプロイ向けの有効な/24ネットワーク アドレス空間を提供していただくようリクエストします。このサブネットはServiceNowポータルにリクエストが記録された際に提供していただく必要があります。
ネットワーク アドレス空間のCIDRは以下に定義されている必要最低限のCIDRを守る必要があります。
註: Sitecoreには各スポーク環境ごとに一意となる仮想ネットワーク アドレス空間が必要となります。
Experience Manager (XM)
XMスポーク環境の種別
| 種別 | CIDR | 利用可能なIPアドレス数 | 例 | 使用可能な範囲 |
| XM単一:仮想ネットワーク アドレス空間 | /23 | 512 IPS | 10.0.0.0/23 | 10.0.0.0 - 10.0.1.255 |
| XMスケーリング:仮想ネットワーク アドレス空間 | /22 | 1024 IPS | 10.0.0.0/22 | 10.0.0.0 – 10.0.3.254 |
XM単一スポーク – サブネットの割り当て
XM単一スポークのプロビジョニングをリクエストした際に、プロビジョニング処理は自動的に以下のサブネットを指定します。
| 種別 | CIDR | 利用可能なIPアドレス数 | 例 | 使用可能な範囲 |
| XM単一:仮想ネットワーク アドレス空間 | /23 | 512 IPS | 10.0.0.0/23 | 10.0.0.0 - 10.0.1.255 |
| Application Gateway | /24 | 251 IPS | 10.0.0.0/24 | 10.0.0.0 - 10.0.0.255 |
| プライベート エンドポイント | /26 | 59 IPS | 10.0.1.0/26 | 10.0.1.0 - 10.0.1.63 |
| 単一(全てのサービス) | /28 | 11 IPS | 10.0.1.64/28 | 10.0.1.64 - 10.0.1.79 |
XM単一スポーク – 静的プライベート エンドポイント
| 種別 | 利用可能なIPアドレス | 例 |
| SQL Server | 1番目の利用可能なIP | 10.0.1.4 |
| SI(Identity) | 2番目の利用可能なIP | 10.0.1.5 |
| 単一(全て) | 5番目の利用可能なIP | 10.0.1.8 |
XMスケーリング スポーク – サブネットの割り当て
XMスケーリング スポークのプロビジョニングをリクエストした際に、プロビジョニング処理は自動的に以下のサブネットを指定します。
| 種別 | CIDR | 利用可能なIPアドレス数 | 例 | 使用可能な範囲 |
| XMスケーリング:仮想ネットワークアドレス空間 | /22 | 1024 IPS | 10.0.0.0/22 | 10.0.0.0 – 10.0.0.3.254 |
| Application Gateway | /24 | 251 IPS | 10.0.0.0/24 | 10.0.0.0 - 10.0.0.255 |
| プライベート エンドポイント | /26 | 59 IPS | 10.0.1.0/26 | 10.0.1.0 - 10.0.1.63 |
| SI(Identity) | /26 | 59 IPS | 10.0.1.64/26 | 10.0.1.64 - 10.0.1.127 |
| CM(コンテンツ管理) | /26 | 59 IPS | 10.0.1.128/26 | 10.0.1.128 - 10.0.1.191 |
| CD(コンテンツ配信) | /26 | 59 IPS | 10.0.1.192/26 | 10.0.1.192 - 10.0.1.255 |
XMスケーリング スポーク – 静的プライベート エンドポイント
| 種別 | 利用可能なIPアドレス | 例 |
| SQL Server | 1番目の利用可能なIP | 10.0.1.4 |
| SI(Identity) | 2番目の利用可能なIP | 10.0.1.5 |
| CM(コンテンツ管理) | 3番目の利用可能なIP | 10.0.1.6 |
| CD(コンテンツ配信) | 4番目の利用可能なIP | 10.0.1.7 |
| Redisプライベート エンドポイント | 16番目の利用可能なIP | 10.0.1.19 |
Experience Platform (XP)
XPスポーク環境の種別
| 種別 | CIDR | 利用可能なIPアドレス数 | 例 | 使用可能な範囲 |
| XP単一:仮想ネットワーク アドレス空間 | /23 | 512 IPS | 10.0.0.0/23 | 10.0.0.0 - 10.0.1.255 |
| XPスケーリング:仮想ネットワーク アドレス空間 | /22 | 1024 IPS | 10.0.0.0/22 | 10.0.0.0 – 10.0.3.254 |
XP単一スポーク – サブネットの割り当て
XP単一スポークのプロビジョニングをリクエストした際に、プロビジョニング処理は自動的に以下のサブネットを指定します。
| 種別 | CIDR | 利用可能なIPアドレス数 | 例 | 使用可能な範囲 |
| XP単一: 仮想ネットワーク アドレス空間 | /23 | 512 IPS | 10.0.0.0/23 | 10.0.0.0 - 10.0.1.255 |
| Application Gateway | /24 | 251 IPS | 10.0.0.0/24 | 10.0.0.0 - 10.0.0.255 |
| プライベート エンドポイント | /26 | 59 IPS | 10.0.1.0/26 | 10.0.1.0 - 10.0.1.63 |
| 単一(全てのサービス) | /28 | 11 IPS | 10.0.1.64/28 | 10.0.1.64 - 10.0.1.79 |
| XC-Single | /28 | 11 IPS | 10.0.1.80/28 | 10.0.1.80 - 10.0.1.95 |
加えて、貴社のSitecore環境のプロビジョニングをリクエストする際に、動的もしくは静的IPアドレスのいずれかを選択していただくことができます。以下の表は、静的IP割り当てのデプロイ オプションを選択した場合のIPの割り当てを示したものです。
XP単一スポーク – 静的プライベート エンドポイント
| 種別 | 利用可能なIPアドレス | 例 |
| SQL Server | 1番目の利用可能なIP | 10.0.1.4 |
| SI(Identity) | 2番目の利用可能なIP | 10.0.1.5 |
| 単一(全てのサービス) | 5番目の利用可能なIP | 10.0.1.8 |
| XC-Single (XPサービス) | 6番目の利用可能なIP | 10.0.1.9 |
| Service Bus | 15番目の利用可能なIP | 10.0.1.18 |
XPスケーリング スポーク – サブネットの割り当て
XPスケーリング スポークのプロビジョニングをリクエストした際に、プロビジョニング処理は自動的に以下のサブネットを指定します。
| 種別 | CIDR | 利用可能なIPアドレス数 | 例 | 使用可能な範囲 |
| XPスケーリング: 仮想ネットワーク アドレス空間 | /22 | 1024 IPS | 10.0.0.0/22 | 10.0.0.0 – 10.0.0.3.254 |
| Application Gateway | /24 | 251 IPS | 10.0.0.0/24 | 10.0.0.0 - 10.0.0.255 |
| プライベート エンドポイント | /26 | 59 IPS | 10.0.1.0/26 | 10.0.1.0 - 10.0.1.63 |
| SI(Identity) | /26 | 59 IPS | 10.0.1.64/26 | 10.0.1.64 - 10.0.1.127 |
| CM(コンテンツ管理) | /26 | 59 IPS | 10.0.1.128/26 | 10.0.1.128 - 10.0.1.191 |
| CD(コンテンツ配信) | /26 | 59 IPS | 10.0.1.192/26 | 10.0.1.192 - 10.0.1.255 |
| PRC(プロセッシング サービス) | /26 | 59 IPS |
10.0.2.0/26 | 10.0.2.0 - 10.0.2.63 |
| XC-Basic(Multi-Service: Basic) | /26 | 59 IPS | 10.0.2.64/26 | 10.0.2.64/26 |
| XC-ResourceIntensive(Multi-Service: Intensive) | /26 | 59 IPS | 10.0.2.128/26 | 10.0.2.128 - 10.0.2.191 |
| ヘッドレス – オプション | /26 | 59 IPS | 10.0.2.192/26 | 10.0.2.192 - 10.0.2.255 |
加えて、貴社のSitecore環境のプロビジョニングをリクエストする際に、動的もしくは静的IPアドレスのいずれかを選択していただくことができます。以下の表は、静的IP割り当てのデプロイ オプションを選択した場合のIPの割り当てを示したものです。
XPスケーリング スポーク – 静的プライベート エンドポイント
| 種別 | 利用可能なIPアドレス | 例 |
| SQL Server | 1番目の利用可能なIP | 10.0.1.4 |
| SI(Identity) | 2番目の利用可能なIP | 10.0.1.5 |
| CM(コンテンツ管理) | 3番目の利用可能なIP | 10.0.1.6 |
| CD(コンテンツ配信) | 4番目の利用可能なIP | 10.0.1.7 |
| cortex-processing | 7番目の利用可能なIP | 10.0.1.10 |
| cortex-reporting | 8番目の利用可能なIP | 10.0.1.11 |
| ma-ops | 9番目の利用可能なIP | 10.0.1.12 |
| ma-rep | 10番目の利用可能なIP | 10.0.1.13 |
| PRC(プロセッシング サービス) | 11番目の利用可能なIP | 10.0.1.14 |
| xc-collect | 12番目の利用可能なIP | 10.0.1.15 |
| xc-refdata | 13番目の利用可能なIP | 10.0.1.16 |
| xc-search | 14番目の利用可能なIP | 10.0.1.17 |
| Service busプライベート エンドポイント | 15番目の利用可能なIP | 10.0.1.18 |
| Redisプライベート エンドポイント | 16番目の利用可能なIP | 10.0.1.19 |