ExpressRoute を使用した Azure へのオンプレミス ネットワークの接続

このリファレンス アーキテクチャでは、サイト間仮想プライベート ネットワーク (VPN) をフェールオーバー接続として使用した Azure ExpressRoute を使用して、オンプレミス ネットワークを Azure 仮想ネットワークに接続する方法を示します。

Architecture

このアーキテクチャの Visio ファイルをダウンロードします。

ワークフロー

アーキテクチャは、次のコンポーネントで構成されます。

• オンプレミス ネットワーク。 組織内で運用されているプライベートのローカル エリア ネットワーク。
• VPN アプライアンス。 オンプレミス ネットワークへの外部接続を提供するデバイスまたはサービス。 VPN アプライアンスは、ハードウェア デバイスである場合や、ソフトウェア ソリューション (Windows Server 2012 のルーティングとリモート アクセス サービス (RRAS) など) である場合があります。 サポートされている VPN アプライアンスの一覧と、Azure への接続用に選択した VPN アプライアンスの構成については、「サイト間 VPN ゲートウェイ接続用の VPN デバイスと IPsec/IKE パラメーターについて」を参照してください。
• ExpressRoute 回線。 エッジ ルーターを介してオンプレミス ネットワークを Azure につなげる、レイヤー 2 またはレイヤー 3 の回線 (接続プロバイダーから提供されます)。 この回線では、接続プロバイダーによって管理されるハードウェア インフラストラクチャが使用されます。
• ExpressRoute 仮想ネットワーク ゲートウェイ。 ExpressRoute 仮想ネットワーク ゲートウェイは、オンプレミス ネットワークとの接続に使用される ExpressRoute 回線に、Azure 仮想ネットワークが接続できるようにするためのものです。
• VPN 仮想ネットワーク ゲートウェイ。 VPN 仮想ネットワーク ゲートウェイは、Azure 仮想ネットワークがオンプレミス ネットワーク内の VPN アプライアンスに接続できるようにするためのものです。 VPN 仮想ネットワーク ゲートウェイは、オンプレミス ネットワークからの要求を、VPN アプライアンスを通じてのみ受け入れるように構成されます。 詳細については、「オンプレミス ネットワークを Microsoft Azure 仮想ネットワークに接続する」を参照してください。
• VPN 接続。 この接続には、接続の種類 (IPSec) を指定するプロパティと、オンプレミス VPN アプライアンスとの共有キー (トラフィックの暗号化用) を指定するプロパティがあります。
• Azure 仮想ネットワーク。 各仮想ネットワークは 1 つの Azure リージョンに配置され、複数のアプリケーション層をホストできます。 アプリケーション層は、各仮想ネットワーク内でサブネットを使用してセグメント化できます。
• ゲートウェイ サブネット: 仮想ネットワーク ゲートウェイは、同じサブネット内に保持されます。

コンポーネント

• Azure ExpressRoute
• Azure VPN Gateway
• Azure Virtual Network

シナリオの詳細

このリファレンス アーキテクチャでは、サイト間仮想プライベート ネットワーク (VPN) をフェールオーバー接続として使用した ExpressRoute を使用して、オンプレミス ネットワークを Azure 仮想ネットワークに接続する方法を示します。 オンプレミス ネットワークと Azure 仮想ネットワーク間のトラフィックは、ExpressRoute 接続を介して行き来します。 ExpressRoute 回線の接続が失われた場合、トラフィックは IPSec VPN トンネルを経由してルーティングされます。 このソリューションをデプロイします。

ExpressRoute 回線を使用できない場合、VPN ルートではプライベート ピアリング接続のみが処理されます。 パブリック ピアリングと Microsoft ピアリングの接続は、インターネットを使用して処理されます。

推奨事項

ほとんどのシナリオには、次の推奨事項が適用されます。 これらの推奨事項には、オーバーライドする特定の要件がない限り、従ってください。

仮想ネットワークと GatewaySubnet

ExpressRoute 仮想ネットワーク ゲートウェイ接続と VPN 仮想ネットワーク ゲートウェイ接続を、既にある Gateway オブジェクトと同じ仮想ネットワーク内に作成します。 両者は、GatewaySubnet という名前の同じサブネットを共有します。

GatewaySubnet という名前のサブネットが既に仮想ネットワークに含まれている場合は、/27 以上のアドレス空間があることを確認してください。 既存のサブネットが小さすぎる場合は、次の PowerShell コマンドを使用して、そのサブネットを削除します。

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Remove-AzVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet

GatewaySubnet という名前のサブネットが仮想ネットワークに含まれていない場合は、次の PowerShell コマンドを使用して新たに作成します。

$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.224/27"
$vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet

VPN および ExpressRoute ゲートウェイ

Azure に接続するための ExpressRoute 前提条件が満たされていることを確認してください。

Azure 仮想ネットワーク内に VPN 仮想ネットワーク ゲートウェイが既にある場合は、次の PowerShell コマンドを使用して、それを削除します。

Remove-AzVirtualNetworkGateway -Name <your-gateway-name> -ResourceGroupName <your-resource-group>

Azure ExpressRoute を使用したハイブリッド ネットワーク アーキテクチャの構成に関する記事の手順に従って、ExpressRoute 接続を確立します。

Azure とオンプレミス VPN を使用したハイブリッド ネットワーク アーキテクチャの構成に関する記事の手順に従って、VPN 仮想ネットワーク ゲートウェイ接続を確立します。

仮想ネットワーク ゲートウェイ接続を確立したら、次の手順で環境をテストします。

1. オンプレミス ネットワークから Azure 仮想ネットワークに接続できることを確認します。
2. テストのために ExpressRoute 接続を停止するようプロバイダーに依頼します。
3. VPN 仮想ネットワーク ゲートウェイ接続を使用して、オンプレミス ネットワークから Azure 仮想ネットワークに接続できることを確認します。
4. ExpressRoute 接続を再確立するよう、プロバイダーに依頼します。

考慮事項

以降の考慮事項には、ワークロードの品質向上に使用できる一連の基本原則である Azure "Well-Architected Framework" の要素が組み込まれています。 詳細については、「Microsoft Azure Well-Architected Framework」を参照してください。

セキュリティ

セキュリティは、重要なデータやシステムの意図的な攻撃や悪用に対する保証を提供します。 詳細については、「セキュリティの重要な要素の概要」を参照してください。

Azure のセキュリティに関する全般的な考慮事項については、Microsoft クラウド サービスとネットワーク セキュリティに関するページを参照してください。

コスト最適化

コストの最適化とは、不要な費用を削減し、運用効率を向上させる方法を検討することです。 詳しくは、コスト最適化の柱の概要に関する記事をご覧ください。

ExpressRoute のコストに関する考慮事項については、次の記事を参照してください。

• Azure ExpressRoute を使ってハイブリッド ネットワーク アーキテクチャを構成する場合のコストに関する考慮事項。

オペレーショナル エクセレンス

オペレーショナル エクセレンスは、アプリケーションをデプロイし、それを運用環境で実行し続ける運用プロセスをカバーします。 詳細については、「オペレーショナル エクセレンスの重要な要素の概要」を参照してください。

ExpressRoute の DevOps の考慮事項については、Azure ExpressRoute を使用したハイブリッド ネットワーク アーキテクチャの構成に関する記事のガイダンスを参照してください。

サイト間 VPN の DevOps の考慮事項については、Azure とオンプレミス VPN を使用したハイブリッド ネットワーク アーキテクチャの構成に関する記事のガイダンスを参照してください。

このシナリオのデプロイ

前提条件。 既存のオンプレミス インフラストラクチャが、適切なネットワーク アプライアンスで既に構成されている必要があります。

ソリューションをデプロイするには、次の手順を実行します。

1. 下のリンクを選択してください。

   

2. Azure portal でリンクが開くのを待ってから、これらのリソースをデプロイするリソース グループを選択するか、新しいリソース グループを作成します。 リージョンと場所は、リソース グループに合わせて自動的に変更されます。

3. 環境のリソース名、プロバイダー、SKU、またはネットワーク IP アドレスを変更する場合は、残りのフィールドを更新します。

4. [確認と作成]、[作成] の順に選択して、これらのリソースをデプロイします。

5. デプロイが完了するまで待ちます。

   注意

   このテンプレートのデプロイでは、次のリソースのみがデプロイされます。

   • リソース グループ (新規作成する場合)
   • ExpressRoute 回線
   • Azure 仮想ネットワーク
   • ExpressRoute 仮想ネットワーク ゲートウェイ

   オンプレミスから ExpressRoute 回線へのプライベート ピアリング接続を正常に確立するには、回線のサービス キーを使用してサービス プロバイダーと連携する必要があります。 サービス キーは、ExpressRoute 回線リソースの概要ページにあります。 ExpressRoute 回線の構成の詳細については、ピアリング構成の作成または変更に関する記事を参照してください。 プライベート ピアリングを正常に構成したら、ExpressRoute 仮想ネットワーク ゲートウェイを回線にリンクできます。 詳細については、「チュートリアル: Azure portal を使用して仮想ネットワークを ExpressRoute 回線に接続する」を参照してください。

6. ExpressRoute へのバックアップとしてのサイト間 VPN のデプロイを完了するには、「サイト間 VPN 接続の作成」を参照してください。

7. ExpressRoute を構成したのと同じオンプレミス ネットワークへの VPN 接続を正常に構成したら、ピアリングの場所で合計エラーが発生した場合に ExpressRoute 接続をバックアップするためのセットアップが完了します。

共同作成者

この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。

プリンシパル作成者:

• Sarah Parkes | シニア クラウド ソリューション アーキテクト

パブリックでない LinkedIn プロファイルを表示するには、LinkedIn にサインインします。

次のステップ

• ExpressRoute のドキュメント
• ExpressRoute 用の Azure セキュリティ ベースライン
• ExpressRoute 回線の作成方法
• Azure ネットワークのブログ
• PowerShell を使用して ExpressRoute およびサイト間の共存接続を構成する

関連リソース

• ハイブリッド アーキテクチャの設計
• Azure ハイブリッド オプション
• Azure のハブスポーク ネットワーク トポロジ
• スポーク間ネットワーク
• オンプレミス ネットワークの Azure への接続
• ExpressRoute を使用してオンプレミス ネットワークを拡張する
• セキュリティ保護されたハイブリッド ネットワークを実装する
• オンプレミス AD と Azure の統合