Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

第3章 プライベートネットワークピアリング

Ansible Automation Platform on Microsoft Azure は、独自の Azure 仮想ネットワーク (VNet) を使用して独立した管理リソースグループにデプロイされます。

初回のデプロイ時に、Ansible Automation Platform Ansible Automation Platform on Microsoft Azure の VNet はパブリックインターネット経由でのみ外部ネットワークに要求を送信できます。

Ansible Automation Platform on Microsoft Azure がインターネットギャップされたデプロイメントでリソースにアクセスできるようにするには、リソースへのアクセスがプライベートネットワーク上で行われる必要がある場合、プライベート仮想ネットワークと Red Hat Ansible Automation Platform on Microsoft Azure の管理アプリケーション VNet の間に Azure ネットワークピアリングを設定する必要があります。

Azure VNet は、複数の Azure VNet 間のプライベート通信、および Azure VNet と外部 VPN ルーティング間のプライベート転送ルーティングを有効化するように設定できます。これらの VPN ネットワークはオンプレミスまたは他のクラウドに指定できます。

2 つの Azure ネットワーク設定が同じではありません。Ansible Automation Platform on Microsoft Azure へのユーザーアクセスを有効にするには、Azure 管理者と協力して、デプロイメントを VNet および外部 VPN ルーテッドネットワークに接続します。

注記

ネットワークピアリングは、Azure ネットワークに精通している組織内の Azure 管理者が設定する必要があります。Azure アカウントにネットワークの変更を設定すると、停止やその他の中断が発生する可能性があります。

プロセスとサービスは Microsoft Azure によって制御および管理されているため、このドキュメントで説明されているネットワークピアリング手順は Red Hat ではサポートされていません。Azure ネットワークのピアリングについては、Microsoft にお問い合わせください。

この内容が Microsoft のドキュメントと一致するように努力はしていますが、時間が経過すると内容にずれが生じる場合があります。Azure のネットワークトピックについては、Microsoft ドキュメント が最も信頼のおける情報源です。

Azure は、プライベートネットワークをピア接続するさまざまな方法を提供します。通常、これらは以下の 2 つのカテゴリーに分類されます。

  • Hub-and-spoke peering: このトポロジーには、他の仮想ネットワークがピアリングする一元化されたハブ VNet があります。このハブネットワークには、転送ルーティングを介してトラフィックをルーティングするメカニズムがあります。オンプレミスおよび他のクラウドネットワークとの VPN/Express Connect 接続を含むクラウドネットワークは、ハブ VNet 経由で通信できます。
  • Azure Virtual WAN (VWAN): Azure Virtual WAN は、Azure、オンプレミス、およびその他の VPN/Direct Connect ネットワーク全体で簡素化されたハブアンドスポークネットワークモデリングを提供するネットワークサービスです。VWAN の詳細は、Microsoft の Virtual WAN のドキュメント を参照してください。
  • Direct peering: プライベートネットワークは、ルーティングホップなしで個別に相互に接続されます。これは簡単にピアリングモデルで、一部のネットワークのみを接続する場合に便利です。

Microsoft の 仮想ネットワークピアリングと VPN ゲートウェイの選択 を参照してください。Application architecture fundamentals guide 組織に適したピアリングアプローチを決定します。

3.1. ハブアンドスポークピアリング
リンクのコピー

注記

ルートテーブルを誤って更新すると、ネットワークが機能しなくなる可能性があります。ネットワークで想定外の動作が発生しても元に戻せる確信がある場合のみ、以下の手順を実行してください。

3.1.1. ハブアンドスポークピアリングプロセスの概要
リンクのコピー

前提条件

  • Ansible Automation Platform on Microsoft Azure をデプロイしている。
  • Azure テナントで Azure VNet のハブアンドスポーク実装を設定し、テストしている。この前提条件では、仮想ネットワークゲートウェイを含む多くの Azure リソースを設定する必要があります。
  • VPN を含むスポークネットワーク間の転送ルーティングを設定している。手順は、Microsoft Azure ドキュメントの Configure VPN gateway transit for virtual network peering を参照してください。

  • 以下を確認している。

    • Ansible Automation Platform on Microsoft Azure UI へのアクセスを必要とする既存の VNet(VPN および直接接続を含む) の CIDR ブロック。
    • Ansible 自動化のホストまたはエンドポイントが含まれる既存の VNet(VPN および直接接続を含む) の CIDR ブロック。
    • アプリケーションの管理対象リソースグループからの Ansible Automation Platform on Microsoft Azure の CIDR ブロック。手順は、管理対象リソースグループの CIDR ブロックの検索 を参照してください。

ネットワークをピアリングする前に、プライベート VNets と Ansible Automation Platform on Microsoft Azure ネットワークの間にネットワークアドレス空間の重複がないことを確認します。

手順

  1. Ansible Automation Platform on Microsoft Azure 管理対象の Kubernetes クラスター の CIDR ブロックを検索します。Finding the CIDR Block of the managed application Kubernetes cluster を参照してください。
  2. Ansible Automation Platform サブネットを使用したネットワークピアリングの設定Ansible Automation Platform サブネットを使用したネットワークピアリングの設定 を参照してください。

  3. ルートテーブルを更新します。

    1. 既存のネットワークからルートテーブルを設定し、トラフィックを管理対象アプリケーション CIDR に送信します。Ansible Automation Platform のユーザーインターフェイスを要求するすべてのネットワークと、そのリソースに対して自動化が実行されるすべてのネットワークのルーティングテーブルにルートを追加する必要があります。Microsoft Azure での Ansible Automation Platform へのルーティング を参照してください。
    2. 自動化またはユーザーインターフェイスへのアクセスに、Ansible Automation Platform が通信する各スポークネットワークの VNet へのルーティングを設定します。VNets へのルーティング を参照してください。

3.1.1.1. 管理対象リソースグループの CIDR ブロックを見つける
リンクのコピー

  1. に移動します。Resource Groups Azure ポータルのページ
  2. Red Hat Ansible Automation Platform on Microsoft Azure の管理対象リソースグループをクリックします。リソースグループ名の前には -mrg が付いています。

  3. リソースグループ内の VNet を選択して、 でその設定を表示します。Overview ページ。

    クラスターの CIDR ブロックが に表示されます。Address Space をクリックします。

詳細については、Microsoft Azure での 仮想ネットワークと設定の表示 を参照してください。Virtual network ガイド。

3.1.1.2. Ansible Automation Platform サブネットを使用したネットワークピアリングの設定
リンクのコピー

Azure コンソール内では、Azure 仮想ネットワーク (VNet) は として知られています。this virtual network ピアリングする VNet は として知られています。remote virtual network をクリックします。

Virtual Networks Azure ポータルのページで、以下の設定を使用して、Ansible Automation Platform on Microsoft Azure アプリケーションでピアリングする Azure VNet と VNet の間のピアリングを設定します。

  • の下でThis virtual network で、Microsoft Azure 仮想ネットワーク上の Ansible Automation Platform の設定を選択します。

    • Peering link name: <hub_to_aap_peering_link_name>
    • Traffic to remote virtual network: Allow
    • Traffic forwarded from remove virtual network: Allow
    • Virtual network gateway or Route Server: Use this network’s gateway or Route server

  • の下でRemote virtual network で、Azure とピアリングする仮想ネットワークの設定を選択します。

    • Peering link name: <aap_to_hub_peering_link_name>
    • Traffic to remote virtual network: Allow
    • Traffic forwarded from remote virtual network: Allow
    • Virtual network gateway or Route Server: Use the remote virtual network’s gateway or Route server

ピアリングの設定の詳細については、Microsoft Azure で ピアリングを作成する を参照してください。Virtual network ガイド。

3.1.1.3. ルートテーブルの更新
リンクのコピー

ルートテーブルを更新する前に、ハブアンドスポークのピアリングプロセスの 前提条件 を満たしていることを確認します。

Microsoft Azure での Ansible Automation Platform へのルーティング

  1. Azure ポータルで Route Tables に移動します。
  2. ハブアンドスポーク設定の一部として、1 つ以上のルートテーブルを作成してネットワーク間のルートを定義しました。これらのルートテーブルの 1 つをクリックします。
  3. ルートテーブルのメニューバーから、Routes Add に移動します。
  4. ルートテーブルのメニューバーから、Routes Add を選択します。

  5. 既存のネットワークからルートを設定し、トラフィックを Ansible Automation Platform に送信します。Ansible Automation Platform ユーザーインターフェイスを要求するネットワークおよびリソースに対して自動化を実行するネットワークにルートを設定する必要があります。追加するルートごとに、以下の情報を入力します。

    • Route name: Ansible Automation Platform マネージドアプリケーションネットワークのルート名を入力します。
    • Address Prefix: マネージドアプリケーション kubernetes クラスターの CIDR ブロック
    • Next Hop Type: Virtual network gateway
  6. OK をクリックして、新しいルートをルートリストに保存します。

トラフィックを Ansible Automation Platform にルーティングする他のすべてのルートテーブルに対して、この手順を繰り返します。

VNet へのルーティング

自動化またはユーザーインターフェイスにアクセスするために、Ansible Automation Platform が通信するスポークネットワークごとにルートを追加します。

  1. Azure ポータルで Route Tables に移動します。

  2. ルートテーブルの一覧で、 Ansible Automation Platform on Microsoft Azure 管理アプリケーションのルートテーブルを選択します。

    Ansible Automation Platform ルートテーブルの名前は、以下の表記法を使用します。 

    aks-agentpool-<numbers>-routetable
    Copy to Clipboard Toggle word wrap
  3. ルートテーブルのメニューバーから、Routes Add に移動します。
  4. 自動化またはユーザーインターフェイス両方へのアクセスに、Ansible Automation Platform が通信する各スポークネットワークの VNet へのルーティングを設定します。

  5. 追加するルートごとに、以下の情報を入力します。

    • Route name: Ansible Automation Platform がルーティングするスポークネットワークのルート名を入力します。
    • Address Prefix: スポークネットワークの CIDR ブロック
    • Next Hop Type: Virtual network gateway
  6. OK をクリックして、新しいルートをルートリストに保存します。

ルーティングルールを設定すると、ハブネットワークを介して Azure 上の Ansible Automation Platform との間でトラフィックがルーティングされます。

仮想アプライアンスを介したアウトバウンドルーティング

組織が仮想アプライアンス接続を介して Azure ファイアウォールサービスまたはサードパーティーのファイアウォールアプライアンスを使用している場合、管理対象アプリケーションからの送信接続を設定して、Red Hat がアプリケーションを維持し、外部リソースに対する自動化を有効にできるようにする必要があります。

これを実装する最も簡単な方法は、ポート 443 からのすべての送信トラフィックを許可するファイアウォールルールを作成することです。

ポート 443 からのすべてのアウトバウンドトラフィックを許可しないことを選択した場合は、ルートを設定する必要があります。

  • Red Hat が Ansible Automation Platform on Microsoft Azure を管理およびアップグレードし、セキュリティーパッチを適用するには、Azure Kubernetes Service (AKS) クラスター内のすべてのマシンが、Ansible Automation Platform で使用されるコンテナーの更新をプルする要求を送信できる必要があります。Ansible Automation Platform ルートテーブルに、Ansible Automation Platform on Microsoft Azure 管理対象アプリケーションの完全な CIDR 範囲から次のドメインへのアウトバウンドトラフィック用のルートを追加します。

    • registry.redhat.io
    • quay.io
  • また、ファイアウォールから、Ansible Automation Platform が自動化ジョブを実行する他の外部ドメインまたは IP アドレスへのトラフィックを許可する必要があります。そうしないと、ファイアウォールが Ansible Automation Platform と自動化の宛先の間の接続をブロックします。
3.1.1.3.1. 関連情報
リンクのコピー

Azure のルートテーブルにルートを追加する方法の詳細については、Microsoft Azure で ルートを作成する を参照してください。Virtual network ガイド。

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat