IPv6 ハブスポーク ネットワーク トポロジ

この記事では、IPv4 ハブアンドスポーク ネットワーク トポロジを IPv6 に切り替える方法について説明します。 ハブアンドスポーク ネットワーク トポロジを開始点として示し、IPv6 サポートを実装するために実行できるステップについて説明します。

ハブアンドスポーク ネットワークでは、ハブ仮想ネットワークは、スポーク仮想ネットワークの接続の中心点です。 スポーク仮想ネットワークはハブに接続し、アプリケーション リソースを分離できます。 詳細については、「IPv6 への切り替え」を参照してください。

Architecture

このアーキテクチャの Visio ファイルをダウンロードします。

ワークフロー

1. パブリック インターネットとクロスプレミス ネットワーク: ユーザーまたはサービスは、パブリック インターネット経由で Azure リソースにアクセスできます。 クロスプレミス ネットワークには、VPN ゲートウェイ経由で Azure ネットワークに安全に接続するオンプレミスの仮想マシンがあります。

2. Azure Virtual Network Manager: このコンポーネントは、Azure 内のネットワーク インフラストラクチャ全体を監視する管理レイヤーです。 仮想ネットワークのルート設定、ポリシー、および全体的な正常性を処理します。

3. ハブ仮想ネットワーク: ハブは、ネットワーク トポロジの中心点です。 このネットワーク構成では、IPv4 と IPv6 (デュアル スタック) の両方がサポートされます。

   • Azure Bastion は、セキュアでシームレスなリモート デスクトップ プロトコル/Secure Shell (RDP/SSH) 接続を、トランスポート層セキュリティ (TLS) 経由で Azure portal から仮想マシンに直接提供します。
   • Azure Firewall は、ハブとパブリック インターネットの間のトラフィックを検査およびフィルター処理します。
   • ExpressRoute は、クロスプレミス ネットワークをハブに接続します。
   • VPN Gateway もクロスプレミス ネットワークをハブに接続して、冗長性を提供します。
   • ハブ仮想ネットワーク内のサービスは、監視のためにログとメトリック (診断) を Azure Monitor に送信します。

4. スポーク仮想ネットワーク: ハブには 4 つのスポークが接続されています。 各スポークはデュアルスタック ネットワークであり、IPv4 と IPv6 の両方をサポートします。

   • IPv6 ユーザー定義ルート (UDR) は、スポークからの IPv6 トラフィックのカスタム ルートを定義します。
   • スポーク仮想ネットワークは、ピアリング接続または接続されたグループを介して接続されます。 ピアリング接続および接続グループは、仮想ネットワーク間の低遅延の非推移的な接続です。 ピアリングまたは接続された仮想ネットワークでは、Azure バックボーン経由でトラフィックを交換できます。
   • スポーク仮想ネットワークからの送信トラフィックはすべて、強制トンネリングと呼ばれる Azure Firewall の構成を使用してハブを通過します。
   • 各スポーク内には、リソース サブネットとして指定された 3 つのサブネットがあり、それぞれが仮想マシンをホストしています。
   • 各仮想マシンは、IPv4 アドレス範囲と IPv6 アドレス範囲をサポートするように構成された内部ロード バランサーに接続されます。 ロード バランサーは、受信ネットワーク トラフィックを仮想マシン間で分散します。

コンポーネント

• Azure Virtual Network は、Azure 内のプライベート ネットワークの基本的な構成ブロックです。 Virtual Network では、Azure Virtual Machines などのさまざまな Azure リソースが、他の Azure リソース、クロスプレミス、インターネットと安全に通信することができます。
• 仮想マシン通信には仮想ネットワーク インターフェイスが必要です。 仮想マシンとその他のリソースに複数のネットワーク インターフェイスを設定できるため、デュアルスタック (IPv4 および IPv6) 構成を作成できます。
• パブリック IP アドレスは、Azure リソースへの IPv4 および IPv6 の受信接続に使用されます。
• Azure Virtual Network Manager は、ネットワーク グループとその接続を作成および管理するために使用されます。
• Azure Firewall は、クラウドベースのネットワーク セキュリティ サービスです。 これにより、Azure Virtual Network のリソースが保護されます。 Azure Firewall マネージド ファイアウォール インスタンスは、独自のサブネット内にあります。
• Azure VPN Gateway または Azure ExpressRoute を使用して、仮想ネットワークを仮想プライベート ネットワーク (VPN) デバイスまたは ExpressRoute 回線に接続する仮想ネットワーク ゲートウェイを作成できます。 ゲートウェイによってクロスプレミス ネットワーク接続が提供されます。
• Azure Load Balancer は、同じ目的を持つ複数のマシンがトラフィックを共有できるようにするために使用されます。 このアーキテクチャでは、ロード バランサーは IPv6 をサポートする複数のサブネット間でトラフィックを分散します。
• Azure のルート テーブルは、ネットワーク トラフィックのカスタム パス定義を提供する UDR のセットです。
• Azure Virtual Machines は、IPv6 をサポートするサービスとしてのインフラストラクチャ (IaaS) コンピューティング ソリューションです。
• Azure Bastion は、Microsoft が提供して維持するフル マネージドのサービスとしてのプラットフォーム (PaaS) オファリングです。 パブリック IP アドレスを公開することなく、仮想マシンへの安全でシームレスなリモートデスクトップ プロトコルと SSH アクセスを提供します。
• Monitor は、クラウド環境とオンプレミス環境からの監視データを収集、分析し、それに対応するための包括的な監視ソリューションです。 Monitor を使うことで、アプリケーションとサービスの可用性とパフォーマンスを最大にできます。

ハブ仮想ネットワークを IPv6 に切り替える

IPv6 をサポートするためにハブ仮想ネットワークを切り替えるには、IPv6 アドレス範囲に対応するようにネットワーク インフラストラクチャを更新し、ネットワークの中央制御部分で IPv6 トラフィックを処理できるようにする必要があります。 このアプローチにより、中央ハブでは IPv6 を使用して、さまざまなネットワーク セグメント (スポーク) 間でトラフィックを効率的にルーティングして管理できるようになります。 ハブ仮想ネットワークに IPv6 を実装するには、次の手順に従います。

ハブ仮想ネットワークとハブ サブネットに IPv6 アドレス空間を追加します。

IPv6 アドレス範囲は、最初にハブ仮想ネットワークに追加してから、そのサブネットに追加する必要があります。 仮想ネットワークには /56 アドレス ブロックを、各サブネットには /64 アドレス ブロックを使用します。 次のテーブルは、セットアップの例を示しています。

これらの IPv6 アドレスは例です。 2001:db8:1234:: を組織の IPv6 アドレス ブロックに置き換える必要があります。 重複を回避し、アドレス空間を効率的に使用できるように、IPv6 アドレスの割り当てを慎重に計画して文書化してください。 IPv6 アドレス空間をハブ仮想ネットワークに追加するには、Azure portal、PowerShell、または Azure CLI を使用できます。

ハブ サブネットごとにユーザー定義ルート (UDR) を構成する

UDR は、Azure の既定のシステム ルートをオーバーライドするように手動で設定するルートです。 Azure では、仮想ネットワーク内のネットワーク トラフィックのフローを制御するために UDR が不可欠です。 UDR を使用すると、1 つのサブネットから Azure 内の特定のアプライアンス、ゲートウェイ、またはターゲットに、あるいはオンプレミス ネットワークにトラフィックを転送できます。 ハブ仮想ネットワークに IPv6 サポートを追加する場合は、次を実行する必要があります。

• IPv6 ルートを追加します。 確立されたルート テーブルがある場合は、IPv6 アドレス プレフィックスを指定する新しいルートを追加します。
• 既存のルートを変更します。 IPv4 のルートが既にある場合は、そうしたルートを IPv6 トラフィックにも適用されるように変更するか、別の IPv6 固有のルートを作成する必要があります。
• ルート テーブルをサブネットに関連付ける ルートを定義したら、仮想ネットワーク内の関連するサブネットにルート テーブルを関連付けます。 この関連付けによって、定義したルートを使用するサブネットが決まります。

すべてのリソースにルートを追加する必要はありませんが、サブネットごとのルートは必要です。 各サブネットには複数のリソースを含めることができ、それぞれのサブネットに関連付けられているルート テーブルで定義されている規則にすべて従います。 詳細については、「ユーザー定義ルートの概要」を参照してください。

このアーキテクチャの例では、ハブ仮想ネットワークには、Azure Bastion、Azure Firewall、VPN Gateway、ExpressRoute の 4 つのサブネットがあります。 次のテーブルには、各サブネットの UDR の例が示されています。

UDR を設定する場合は、組織のネットワーク ポリシーと Azure の展開のアーキテクチャに合わせる必要があります。

ExpressRoute 回線を変更する (該当する場合)

ExpressRoute 回線に IPv6 のサポートを提供するには、次を実行する必要があります。

• IPv6プライベート ピアリングを有効にします。 ExpressRoute 回線の IPv6 プライベート ピアリングを有効にします。 この構成により、オンプレミス ネットワークとハブ仮想ネットワークの間の IPv6 トラフィックが有効になります。
• IPv6 アドレス空間を割り当てます。 プライマリおよびセカンダリの ExpressRoute リンクの IPv6 サブネットを指定します。
• ルート テーブルを更新します。 ExpressRoute 回線を介して IPv6 トラフィックを適切に送信するようにします。

これらの構成により、ExpressRoute 回線経由で Azure サービスへの IPv6 接続が拡張されるため、デュアルスタック機能を同時にルーティングできます。 ExpressRoute を変更するには、Azure portal、PowerShell、または Azure CLI を使用できます。

スポーク仮想ネットワークを IPv6 に切り替える

スポークの仮想ネットワークは中央ハブに接続されています。 スポーク仮想ネットワークに IPv6 サポートを提供している場合、各スポーク ネットワークはより高度な IPv6 プロトコル経由で通信することができ、ネットワーク全体の均一性が高まります。 スポーク仮想ネットワークに IPv6 サポートを提供するには、次を実行する必要があります。

スポーク仮想ネットワークとスポーク サブネットに IPv6 アドレス空間を追加します。

ハブ仮想ネットワークと同様に、すべてのスポーク仮想ネットワークとそのサブネットに IPv6 アドレス範囲を追加する必要があります。 仮想ネットワークには /56 アドレス ブロックを、サブネットには /64 アドレス ブロックを使用します。 次のテーブルに、スポーク仮想ネットワークとそのサブネットの IPv6 アドレス範囲の例を示します。

セットアップでは、組織の割り当てとニーズに応じて IPv6 アドレスを調整します。

スポーク仮想ネットワーク リソースの変更

各スポーク仮想ネットワークには、複数の仮想マシンと内部ロード バランサーが含まれています。 内部ロード バランサーを使用すると、IPv4 と IPv6 のトラフィックを仮想マシンにルーティングできます。 仮想マシンと内部ロード バランサーを、IPv6 をサポートするように変更する必要があります。

仮想マシンごとに、IPv6 ネットワーク インターフェイスを作成して仮想マシンに関連付け、IPv6 サポートを追加する必要があります。 詳細については、「IPv6 構成を仮想マシンに追加する」を参照してください。

各スポーク仮想ネットワークに内部ロード バランサーがない場合は、デュアルスタックの内部ロード バランサーを作成する必要があります。 詳細については、「デュアルスタックの内部ロードバランサーを作成する」を参照してください。 内部ロード バランサーがある場合は、PowerShell または Azure CLI を使用して IPv6 のサポートを追加できます。

各スポーク サブネットのユーザー定義ルート (UDR) を構成する

UDR を構成するために、スポーク仮想ネットワークではハブ仮想ネットワークと同じ構成が使用されます。スポーク仮想ネットワークに IPv6 サポートを追加する場合は、次のことを行う必要があります。

• IPv6 ルートを追加します。 確立されたルート テーブルがある場合は、IPv6 アドレス プレフィックスを指定する新しいルートを追加します。

• 既存のルートを変更します。 IPv4 のルートが既にある場合は、そうしたルートを IPv6 トラフィックにも適用されるように変更するか、別の IPv6 固有のルートを作成する必要があります。

• ルート テーブルをサブネットに関連付ける ルートを定義したら、仮想ネットワーク内の関連するサブネットにルート テーブルを関連付けます。 この関連付けによって、定義したルートを使用するサブネットが決まります。

次のテーブルは、スポーク仮想ネットワーク内の各サブネットの UDR の例を示しています。

セットアップの場合、組織のネットワーク ポリシーと Azure の展開のアーキテクチャに UDR を合わせる必要があります。

共同作成者

Microsoft では、この記事を保持しています。 この記事を書いた当初の寄稿者は次のとおりです。

プリンシパル作成者:

• Werner Rall | シニア クラウド ソリューション アーキテクト エンジニア

その他の共同作成者:

• Sherri Babylon | シニア テクニカル プログラム マネージャー
• Dawn Bedard | プリンシパル テクニカル プログラム マネージャー
• Brandon Stephenson | シニア カスタマー エンジニア

公開されていない LinkedIn プロフィールを見るには、LinkedIn にサインインしてください。

次のステップ

• IPv6 デュアルスタック ネットワークを使用して仮想マシンを作成する
• IP アドレス範囲を管理する
• クラウド導入フレームワーク: IP アドレス指定を計画する
• Azure Virtual Network 用の IPv6
• ExpressRoute 経由で IPv6 サポートを追加する
• Azure DNS IPv6 サポート
• Azure Load Balancer の IPv6
• Azure portal を使用してプライベート ピアリングに対する IPv6 サポートを追加する

関連リソース

• IPv6 への切り替え
• 仮想ネットワーク ピアリングと VPN ゲートウェイのいずれかを選択
• 仮想ネットワークのファイアウォールと Application Gateway
• 仮想ネットワークに統合されたサーバーレス マイクロサービス
• Azure 仮想ネットワークに AD DS をデプロイする