NAT ゲートウェイの使用 - NAT ゲートウェイの作成と管理サブネットへの関連付け

Microsoft Azure のドキュメントに従って、NAT ゲートウェイを作成するには、使用するパブリック IP アドレス、パブリック IP プリフィックス、またはその両方が必要です。

Azure ポータルの NAT ゲートウェイの作成ウィザードでは、選択する必要があります。次の手順では、NAT ゲートウェイに使用する新しいパブリック IP アドレスを作成することを選択します。

1. Azure ポータルにログインし、検索バーを使用して [NAT ゲートウェイ] を検索し、そのカテゴリを選択します。
   
   
2. [+ 作成] をクリックして [NAT ゲートウェイの作成] ウィザードを開始します。
3. NAT ゲートウェイの作成 ウィザードのこの最初の手順で、ポッドのサブスクリプションが選択されていることを確認し、NAT ゲートウェイが配置されるリソース グループを選択します。
4. NAT ゲートウェイに名前を付け、選択したリージョンがポッドの Azure リージョンであることを確認します。入力したら、クリックして [送信 IP アドレス] の手順に進みます。

   次のスクリーンショットは、NAT ゲートウェイに first-pod-migration という名前を付ける例を示します。Azure リージョン West US 2 にあります。

   
   
   
5. [送信 IP アドレス] の手順で、画面上の指示に従って、この NAT ゲートウェイにパブリック IP アドレスを使用するかパブリック IP アドレスのプリフィックスを使用するかを選択します。

   次のスクリーンショットは、この NAT ゲートウェイで使用する新しいパブリック IP アドレスを作成し、first-pod-NAT-gtway という名前を付ける手順を示します。

   この手順を完了したら、クリックしてウィザードの次の手順である [サブネット] に進みます。

   
   
   
6. ウィザードの [サブネット] 手順で、次のいずれかを実行します。
   • AKS が制限された IP アドレスを VNet に含めるのを回避しない場合は、ポッドの VNet とその管理サブネットを選択します。
   • それ以外の場合は、AKS が制限された IP アドレスを持つポッドの VNet を回避するために新しい VNet と管理サブネットを作成した場合は、新しい VNet と新しい管理サブネットを選択します。

   次のスクリーンショットは、ポッドの VNet とその管理サブネットを選択し、サブネットをこの NAT ゲートウェイに関連付けて行うこの手順を示しています。

   
   
   
7. [確認と作成] をクリックします。

   検証に成功したら、[作成] をクリックして、この NAT ゲートウェイを作成します。

これで、NAT ゲートウェイが管理サブネットに関連付けられているため、移行ウィザードで を選択できます。

ルート テーブルを選択した場合 - ルート テーブルを作成して管理サブネットに関連付ける

このルート テーブルを、タイプ Virtual appliance または Virtual network gateway のネクスト ホップを指すデフォルト ルート 0.0.0.0/0 で構成します。

1. Azure ポータルにログインし、検索バーを使用して [ルート テーブル] を検索し、そのカテゴリを選択します。
   
   
2. [+ 作成] をクリックして [ルート テーブルの作成] ウィザードを開始します。
3. ルート テーブルの作成 ウィザードのこの最初の手順で、ポッドのサブスクリプションが選択されていることを確認し、ルート テーブルを配置するリソース グループを選択します。
   注： ルート テーブルを VNet のリソース グループとは異なるリソース グループに配置し、第 1 世代ポッドのサービス プリンシパルがカスタム ロールを使用する場合、カスタム ロールには、このルート テーブルのリソース グループに対する Network Contributor 権限が必要であることに注意してください。第 1 世代の展開にカスタム ロールを使用することは一定ではありません。ルート テーブルのリソース グループに対してその権限が必要になる理由は、AKS 展開タイプが管理サブネットに関連付けられているルート テーブルにエントリを追加する必要があるためです。これらのエントリは、AKS タイプの Horizon Edge Gateway デプロイ内の Kubernetes ポッドの内部ルーティング用です。
4. ルート テーブルに名前を付け、選択したリージョンがポッドの Azure リージョンであることを確認します。

   [ゲートウェイ ルートを伝達する] には [いいえ] を選択します。

   次のスクリーンショットは、ルート テーブルに first-pod-migration という名前を付ける例を示します。Azure リージョン West US 2 にあります。

   
   
   
5. [ルート テーブルの作成] フォームに入力したら、[確認と作成] をクリックします。

   検証に成功したら、[作成] をクリックして、このルート テーブルを作成します。

6. 次に、新しく作成されたルート テーブルに移動して、タイプ Virtual network gateway または Virtual appliance のネクスト ホップを指すデフォルト ルート 0.0.0.0/0 で構成します。

   AKS はこれら 2 つのネクスト ホップ タイプのみをサポートするため、Horizon Edge Gateway デプロイの AKS タイプではこれらの 2 つが特にサポートされます。

   Virtual Appliance は通常、ポッドの VNet とパブリック インターネット間の送信トラフィックのフローを制御する Azure Network Virtual Appliance (NVA) がある場合に使用されます。ルートの追加 フォームでは、送信インターネット接続を提供できる NVA の IP アドレスを指定する必要があります。管理サブネット(Horizon Edge Gateway のデプロイ先)から IP アドレスにアクセスできることを確認する必要があります。この NVA では、次世代環境が AKS デプロイ タイプで必要とするエンドポイントへのトラフィックを許可する必要があります。

7. [ルート] をクリックし、[+ 追加] をクリックしてそのデフォルト ルートを追加します。

   次のスクリーンショットは、この手順を示しています。この図では [ネクスト ホップ タイプ] メニューが展開され、サポートされている選択肢 Virtual network gateway と Virtual appliance が表示される場所が示されています。また、ルートの名前と 0.0.0.0/0 宛先 IP アドレスを入力しました。

   
   
   

   次のスクリーンショットは、Virtual Network Gateway のネクスト ホップが入力された [ルートの追加] フォームを示します。

   
   
   
8. [追加] をクリックして、このルートをルート テーブルに追加します。
9. 次に、[サブネット] および [+ 関連付け] をクリックして、新しいルート テーブルを管理サブネットに関連付けます。

   次のスクリーンショットは、この手順を示しています。次に従って、適切な VNet と管理サブネットを選択します。

   • AKS が制限された IP アドレスを VNet に含めるのを回避しない場合は、ポッドの VNet とその管理サブネットを選択します。
   • それ以外の場合は、AKS が制限された IP アドレスを持つポッドの VNet を回避するために新しい VNet と管理サブネットを作成した場合は、新しい VNet と新しい管理サブネットを選択します。
   
   
   
10. サブネットを選択したら、[OK] をクリックします。

これで、ルート テーブルが管理サブネットに関連付けられているため、移行ウィザードで を選択できます。

ユーザー割り当て管理対象 ID の作成

1. Azure ポータルにログインし、検索バーを使用して [ユーザー割り当て] を検索し、[ユーザーが割り当てた管理対象 ID] の結果を選択します。

   次のスクリーンショットは、ポータルで検索するこの手順を示しています。

   
   
   
2. [ユーザーが割り当てた管理対象 ID] の検索結果をクリックすると、[ユーザーが割り当てた管理対象 ID の作成] ウィザードが起動します。

   ポッドのサブスクリプションと、作成後にこの ID リソースを保存するリソース グループを選択します。

   ポッドの Azure リージョンを選択し、このユーザー割り当ての管理対象 ID の名前を入力します。

   次のスクリーンショットは、この手順を示しています。一部はプライバシーのために編集されています。ここでは、ユーザーが割り当てた管理対象 ID に AKS-Edge-identity という名前を付けました。

   
   
   
3. [確認と作成] をクリックして、ウィザードの最後の手順に移動します。
4. 情報を確認し、[作成] をクリックしてウィザードを完了し、ユーザーが割り当てた管理対象 ID を作成します。

   このスクリーンショットは、[作成] をクリックする前の最後の手順を示しています。

   
   
   
5. 次のセクションの説明に従って、新しく作成された ID にロール権限を追加します。

必要なロール権限の割り当て - Azure プレビュー方法

このセクションの手順では、Azure プレビュー手順を使用して、管理対象 ID にロールを割り当てる方法について説明します。以下の手順に従って、ユーザーが割り当てた管理対象 ID の [Azure ロールの割り当て] 領域を表示したときに [+ ロールの割り当ての追加 (プレビュー)] ボタンが表示されない場合は、代わりに、次のセクションにある代替方法を使用してロール権限を割り当てることができます。

ユーザー割り当ての管理対象 ID に追加する権限は次のとおりです。

1. Azure ポータルで、新しく作成したユーザーが割り当てた管理対象 ID に移動し、[ロールの割り当ての追加 (プレビュー)] フォームが表示されるまで、[Azure ロールの割り当て] および [ロールの割り当ての追加 (プレビュー)] をクリックします。

   次のスクリーンショットは、その手順を示しています。

   
   
   
2. [ロールの割り当ての追加 (プレビュー)] フォームで、[範囲] に [サブスクリプション] を選択し、ポッドのサブスクリプションを選択して、Managed Identity Operator の [ロール] を選択します。
   
   
3. [保存] をクリックして、ID へのその Managed Identity Operator ロールの割り当てを保存します。
4. [更新] をクリックすると、新しく追加されたロールが一覧表示されます。
   
   
5. [ロールの割り当ての追加 (プレビュー)] をクリックして、[ロールの割り当ての追加 (プレビュー)] フォームを再度開きます。
6. 今回は、[範囲] に [リソース グループ] を選択し、該当する VNet のリソース グループを選択して、Network Contributor の [ロール] を選択します。
   
   
7. [保存] をクリックして、ID へのその Network Contributor ロールの割り当てを保存します。
8. [更新] をクリックすると、新しく追加されたロールが表示されます。次に、2 つのロールを一覧表示します。
   
   

これで、必要なユーザーが割り当てた管理対象 ID が取得され、AKS デプロイ タイプに必要なロール権限を持つようになりました。

必要なロール権限を割り当てる別の方法

ユーザーが割り当てた管理対象 ID の [Azure ロールの割り当て] 領域を表示したときに [+ ロールの割り当ての追加 (プレビュー)] ボタンが表示されない場合は、この代替方法を使用してロール権限を割り当てることができます。

ユーザー割り当ての管理対象 ID に追加する権限は次のとおりです。

1. まず、ポッドのサブスクリプションの範囲に Managed Identity Operator 権限を追加します。
   1. Azure ポータルで、サブスクリプションに移動します。
   2. そのサブスクリプションのページで、[アクセス管理 (IAM)] をクリックし、[ロールの割り当て] タブをクリックします。
      
      
   3. [+ 追加] > [ロールの割り当ての追加] をクリックします。
      
      

      [ロールの割り当ての追加] ウィザードが表示されます。

   4. このウィザードの [ロール] タブで、Managed Identity Operator ロールを検索して選択します。[次へ] をクリックする前に、その行が選択されていることを確認します。
      
      
   5. [次へ] をクリックして [メンバー] タブに移動します。
   6. [メンバー] タブで、[管理対象 ID] を選択し、[+ メンバーの選択] を選択すると、[管理対象 ID の選択] フォームが表示されます。

      次の手順では、サンプルのスクリーンショットを示します。

   7. [管理対象 ID の選択] フォームの [管理対象 ID] メニューで、[ユーザーが割り当てた管理対象 ID] を選択します。
      
      
   8. 次に、作成したユーザーが割り当てた管理対象 ID を選択し、[選択] ボタンをクリックして [メンバー] タブに追加します。
      
      
   9. 次に [確認と割り当て] をクリックして、ウィザードの [確認と割り当て] タブに移動します。
      
      
   10. [確認と割り当て] タブで、最後の [確認と割り当て] ボタンをクリックして、サブスクリプション範囲での ID へのこのロールの割り当てを完了します。
       
       
2. 次に、Network Contributor 権限を VNet のリソース グループの範囲に追加します。
   1. Azure ポータルで、該当する VNet のリソース グループに移動します。該当する VNet は次のいずれかです。
      • AKS が制限された IP アドレスを VNet に含めるのを回避しない場合、ポッドの VNet のリソース グループ。
      • それ以外の場合は、AKS が制限された IP アドレスをポッドの VNet に含めるのを回避するために新しい VNet を作成した場合、その VNet のリソース グループ。
   2. そのリソース グループのページで、サブスクリプションの権限に対して上記と同様の手順を使用します。

      [アクセス管理 (IAM) ] をクリックし、[ロールの割り当て] タブをクリックします。

      このスクリーンショットは、hcsvnet-RG という名前の VNet のリソース グループに対するこの手順を示しています。

      
      
      
   3. [+ 追加] > [ロールの割り当ての追加] をクリックします。[ロールの割り当ての追加] ウィザードが表示されます。
   4. このウィザードの [ロール] タブで、Network Contributor ロールを検索して選択します。[次へ] をクリックする前に、その行が選択されていることを確認します。
      
      
   5. 次に、他の権限についても同じように、[次へ] をクリックして [メンバー] タブに移動し、[管理対象 ID] を選択してから [+ メンバーの選択] を選択します。これにより、[管理対象 ID の選択] フォームが表示されます。
      
      
   6. [管理対象 ID の選択] フォームの [管理対象 ID] メニューで、[ユーザーが割り当てた管理対象 ID] を選択します。
   7. 次に、作成したユーザーが割り当てた管理対象 ID を選択し、[選択] ボタンをクリックして [メンバー] タブに追加します。
      
      
   8. ウィザードの [確認と割り当て] タブに移動し、[確認と割り当て] ボタンをクリックして、VNet のリソース グループの範囲での ID へのこのロールの割り当てを完了します。

      このスクリーンショットは、hcsvnet-RG という名前の VNet のリソース グループに対するこの手順を示しています。

      
      
      

これで、必要なユーザーが割り当てた管理対象 ID が取得され、AKS デプロイ タイプに必要なロール権限を持つようになりました。

ユーザーが割り当てた管理対象 ID に 2 つのロールがあることを確認するには、Azure ポータルで ID に移動し、その Azure ロールの割り当てページを表示します。

次のスクリーンショットは、Azure ロールの割り当てにリストされている 2 つのロールを持つユーザーが割り当てた管理対象 ID を示しています。

概要

これらの範囲は、Horizon Edge Gateway の AKS タイプのみを使用するために予約される仮想 IP アドレス範囲です

設計上、Kubernetes は Horizon Edge Gateway 内の Kubernetes クラスタ内に仮想ネットワークを作成します。

これらの仮想ネットワークは、クラスタ内で実行されるコンテナをホストします。

これらの範囲が Edge の内部にある場合、これらの範囲を予約する必要がある理由

これらの範囲を予約する目的は、ネットワーク空間内の他のマシンがそれらの IP アドレスを割り当てて使用できないようにすることです。

Edge の Kubernetes クラスタの仮想ネットワークは Horizon Edge Gateway の内部にあり、実際には管理ネットワーク上にありませんが、クラスタの仮想ネットワークは Azure VNet の管理サブネットに接続します。

AKS クラスタの外部で実行されるサービスは、AKS-cluster-internal ネットワークにトラフィックをルーティングします。たとえば、VDI デスクトップの Horizon Agent は、この AKS クラスタで実行されているサービスにデータを送信する必要があります。

したがって、範囲が予約されておらず、ネットワーク上の別のマシンに範囲から IP アドレスが割り当てられると、ルーティングに影響を与え、AKS クラスタ内部ネットワークへの必要なサービス トラフィックで競合が発生する可能性があります。

ポッドの移行の前に IP アドレス管理システムの IP アドレス範囲を予約することで、このような潜在的な競合を回避できます。

これらの範囲のサブネットを作成する必要がありますか?

いいえ、これらの範囲のサブネットを作成する必要はありません。

これらの仮想 IP アドレス範囲は、移行プロセスの一環として Horizon Edge がデプロイされると、Horizon Edge Gateway の AKS クラスタの仮想ネットワーク内に存在します。

ポッドの移行では、予約された範囲を知る必要がありますか?

はい。AKS 展開タイプを選択する予定がある場合は、その展開の目的のために自分とチームが予約した範囲を把握しておく必要があります。

移行ウィザードのユーザー インターフェイスでは、[サービス CIDR] と [ポッド CIDR] という名前のフィールドに 2 つの IP アドレス範囲 (CIDR) を入力する必要があります。

したがって、移行ウィザードを実行する前に、自分とチームが予約する範囲を決定する必要があります。

予約する必要がある範囲のタイプ

Horizon Edge Gateway の AKS タイプでは、使用するために 2 つの仮想 IP アドレス範囲を予約する必要があります。

• [サービス CIDR] の場合は最小 /27 の CIDR 範囲
• [ポッド CIDR] の場合は最小 /21 の CIDR 範囲

これら 2 つの IP アドレス範囲が重複したり、互いに衝突したりすることはできません。