Azure のハブスポーク ネットワーク トポロジHub-spoke network topology in Azure

この参照アーキテクチャでは、Azure にハブスポーク トポロジを実装する方法を示します。This reference architecture shows how to implement a hub-spoke topology in Azure. "ハブ" は、オンプレミス ネットワークへの接続の中心点として機能する Azure の仮想ネットワークです。The hub is a virtual network in Azure that acts as a central point of connectivity to your on-premises network. "スポーク" はハブとピアリングする仮想ネットワークであり、ワークロードを分離するために使用できます。The spokes are virtual networks that peer with the hub, and can be used to isolate workloads. トラフィックは、ExpressRoute または VPN ゲートウェイ接続を経由してオンプレミスのデータセンターとハブの間を流れます。Traffic flows between the on-premises datacenter and the hub through an ExpressRoute or VPN gateway connection. このソリューションをデプロイしますDeploy this solution.

00

このアーキテクチャの Visio ファイルをダウンロードしますDownload a Visio file of this architecture

このトポロジの利点は次のとおりです。The benefits of this topology include:

  • コストの削減: 複数のワークロードを共有するサービス (ネットワーク仮想アプライアンス (NVA) や DNS サーバーなど) を 1 か所に集めます。Cost savings by centralizing services that can be shared by multiple workloads, such as network virtual appliances (NVAs) and DNS servers, in a single location.
  • サブスクリプション数の上限の解消: 中央のハブにさまざまなサブスクリプションから仮想ネットワークをピアリングします。Overcome subscriptions limits by peering virtual networks from different subscriptions to the central hub.
  • 問題の分離: 中央の IT (SecOps、InfraOps) とワークロード (DevOps) の間で実施します。Separation of concerns between central IT (SecOps, InfraOps) and workloads (DevOps).

このアーキテクチャの一般的な用途は次のとおりです。Typical uses for this architecture include:

  • DNS、IDS、NTP、AD DS などの共有サービスを必要とするさまざまな環境 (開発、テスト、運用など) でデプロイされるワークロード。Workloads deployed in different environments, such as development, testing, and production, that require shared services such as DNS, IDS, NTP, or AD DS. 共有サービスはハブ仮想ネットワークに配置され、分離を維持するために各環境はスポークにデプロイされます。Shared services are placed in the hub virtual network, while each environment is deployed to a spoke to maintain isolation.
  • 相互接続が不要であり、共有サービスへのアクセスは必要なワークロード。Workloads that do not require connectivity to each other, but require access to shared services.
  • セキュリティ要素 (DMZ としてのハブのファイアウォールなど) の一元管理、および各スポークにおけるワークロードの分別管理が必要なエンタープライズ。Enterprises that require central control over security aspects, such as a firewall in the hub as a DMZ, and segregated management for the workloads in each spoke.

ArchitectureArchitecture

アーキテクチャは、次のコンポーネントで構成されます。The architecture consists of the following components.

  • オンプレミス ネットワークOn-premises network. 組織内で運用されているプライベートのローカル エリア ネットワーク。A private local-area network running within an organization.

  • VPN デバイスVPN device. オンプレミス ネットワークへの外部接続を提供するデバイスまたはサービス。A device or service that provides external connectivity to the on-premises network. VPN デバイスには、ハードウェア デバイス、または Windows Server 2012 のルーティングとリモート アクセス サービス (RRAS) などのソフトウェア ソリューションがあります。The VPN device may be a hardware device, or a software solution such as the Routing and Remote Access Service (RRAS) in Windows Server 2012. サポートされている VPN アプライアンスの一覧と、Azure への接続用に選択した VPN アプライアンスの構成については、「サイト間 VPN ゲートウェイ接続用の VPN デバイスと IPsec/IKE パラメーターについて」を参照してください。For a list of supported VPN appliances and information on configuring selected VPN appliances for connecting to Azure, see About VPN devices for Site-to-Site VPN Gateway connections.

  • VPN 仮想ネットワーク ゲートウェイまたは ExpressRoute ゲートウェイVPN virtual network gateway or ExpressRoute gateway. 仮想ネットワーク ゲートウェイでは、オンプレミス ネットワークとの接続に使用する VPN デバイス (ExpressRoute 回線) に仮想ネットワークを接続できます。The virtual network gateway enables the virtual network to connect to the VPN device, or ExpressRoute circuit, used for connectivity with your on-premises network. 詳細については、「オンプレミス ネットワークを Microsoft Azure 仮想ネットワークに接続する」を参照してください。For more information, see Connect an on-premises network to a Microsoft Azure virtual network.

    注意

    この参照アーキテクチャのデプロイ スクリプトでは、VPN ゲートウェイを使用して接続し、Azure の仮想ネットワークを使用してオンプレミス ネットワークをシミュレートします。The deployment scripts for this reference architecture use a VPN gateway for connectivity, and a virtual network in Azure to simulate your on-premises network.

  • ハブ仮想ネットワークHub virtual network. ハブスポーク トポロジでハブとして使用される仮想ネットワークです。The virtual network used as the hub in the hub-spoke topology. ハブはオンプレミス ネットワークへの接続の中心点であり、スポーク仮想ネットワークでホストされるさまざまなワークロードで使用できるサービスをホストする場所です。The hub is the central point of connectivity to your on-premises network, and a place to host services that can be consumed by the different workloads hosted in the spoke virtual networks.

  • ゲートウェイ サブネットGateway subnet. 仮想ネットワーク ゲートウェイは、同じサブネット内に保持されます。The virtual network gateways are held in the same subnet.

  • スポーク仮想ネットワークSpoke virtual networks. ハブスポーク トポロジでスポークとして使用される 1 つ以上の仮想ネットワークです。One or more virtual networks that are used as spokes in the hub-spoke topology. スポークを使用すると、その独自の仮想ネットワークにワークロードを分離して、他のスポークとは別に管理できます。Spokes can be used to isolate workloads in their own virtual networks, managed separately from other spokes. 各ワークロードには複数の階層が含まれる場合があります。これらの階層には、Azure ロード バランサーを使用して接続されている複数のサブネットがあります。Each workload might include multiple tiers, with multiple subnets connected through Azure load balancers. アプリケーション インフラストラクチャの詳細については、「Windows VM ワークロードの実行」と「Linux VM ワークロードの実行を参照してください。For more information about the application infrastructure, see Running Windows VM workloads and Running Linux VM workloads.

  • 仮想ネットワーク ピアリングVirtual network peering. ピアリング接続を使用して、2 つの仮想ネットワークを接続できます。Two virtual networks can be connected using a peering connection. ピアリング接続は、仮想ネットワーク間の待機時間の短い非推移的な接続です。Peering connections are non-transitive, low latency connections between virtual networks. ピアリングが完了すると、仮想ネットワークは、ルーターを必要とせずに、Azure のバックボーンを使用してトラフィックを交換します。Once peered, the virtual networks exchange traffic by using the Azure backbone, without the need for a router. ハブスポーク ネットワーク トポロジでは、仮想ネットワーク ピアリングを使用して、ハブを各スポークに接続します。In a hub-spoke network topology, you use virtual network peering to connect the hub to each spoke. 同じリージョンまたは異なるリージョンの仮想ネットワークをピアリングできます。You can peer virtual networks in the same region, or different regions. 詳細については、「要件と制約」を参照してください。For more information, see Requirements and constraints.

注意

この記事で説明するのは Resource Manager デプロイだけですが、クラシック仮想ネットワークを同じサブスクリプションの Resource Manager 仮想ネットワークに接続することもできます。This article only covers Resource Manager deployments, but you can also connect a classic virtual network to a Resource Manager virtual network in the same subscription. これにより、クラシック デプロイ をスポークでホストして、ハブで共有するサービスのメリットを引き続き得ることができます。That way, your spokes can host classic deployments and still benefit from services shared in the hub.

RecommendationsRecommendations

ほとんどのシナリオには、次の推奨事項が適用されます。The following recommendations apply for most scenarios. これらの推奨事項には、オーバーライドする特定の要件がない限り、従ってください。Follow these recommendations unless you have a specific requirement that overrides them.

リソース グループResource groups

ハブと各スポークは異なるリソース グループに実装でき、異なるサブスクリプションに実装することもできます。The hub and each spoke can be implemented in different resource groups, and even different subscriptions. 異なるサブスクリプションに属する仮想ネットワークをピアリングする場合、両方のサブスクリプションを同じまたは異なる Azure Active Directory テナントに関連付けることができます。When you peer virtual networks in different subscriptions, both subscriptions can be associated to the same or different Azure Active Directory tenant. これにより、ハブでサービスの共有を維持しながら、各ワークロードを分散管理できます。This allows for a decentralized management of each workload, while sharing services maintained in the hub.

仮想ネットワークと GatewaySubnetVirtual network and GatewaySubnet

GatewaySubnet という名前のサブネットを作成します。アドレス範囲は /27 です。Create a subnet named GatewaySubnet, with an address range of /27. このサブネットは、仮想ネットワーク ゲートウェイで必要です。This subnet is required by the virtual network gateway. このサブネットに 32 個のアドレスを割り当てると、将来的にゲートウェイ サイズの制限に達するのを回避できます。Allocating 32 addresses to this subnet will help to prevent reaching gateway size limitations in the future.

ゲートウェイの設定について詳しくは、接続の種類に応じて、次の参照アーキテクチャをご覧ください。For more information about setting up the gateway, see the following reference architectures, depending on your connection type:

高可用性を確保するために、ExpressRoute に加えてフェールオーバー用の VPN を使用できます。For higher availability, you can use ExpressRoute plus a VPN for failover. VPN フェールオーバー付きの ExpressRoute を使用してオンプレミス ネットワークを Azure に接続する」を参照してください。See Connect an on-premises network to Azure using ExpressRoute with VPN failover.

オンプレミス ネットワークに接続する必要がない場合は、ゲートウェイを設定せずにハブスポーク トポロジを使用することもできます。A hub-spoke topology can also be used without a gateway, if you don't need connectivity with your on-premises network.

仮想ネットワーク ピアリングVirtual network peering

仮想ネットワーク ピアリングは、2 つの仮想ネットワーク間の非推移的な関係です。Virtual network peering is a non-transitive relationship between two virtual networks. 相互接続のためにスポークが必要な場合は、これらのスポーク間に個別のピアリング接続を追加することを検討してください。If you require spokes to connect to each other, consider adding a separate peering connection between those spokes.

ただし、仮想ネットワークごとの仮想ネットワーク ピアリングの数には制限があるため、相互接続に必要なスポークが複数ある場合は、使用可能なピアリング接続をすぐに使い果たすことになりますHowever, if you have several spokes that need to connect with each other, you will run out of possible peering connections very quickly due to the limitation on number of virtual network peerings per virtual network. (詳細については、「ネットワークの制限」をご覧ください)。このシナリオでは、ユーザー定義ルート (UDR) を使用して、スポーク宛てのトラフィックを Azure Firewall、またはハブでルーターとして機能する NVA に強制的に送信することを検討してください。(For more information, see Networking limits.) In this scenario, consider using user defined routes (UDRs) to force traffic destined to a spoke to be sent to Azure Firewall or an NVA acting as a router at the hub. これにより、スポークを相互に接続できます。This will allow the spokes to connect to each other.

また、ハブ ゲートウェイを使用してリモート ネットワークと通信するようにスポークを構成することもできます。You can also configure spokes to use the hub gateway to communicate with remote networks. ゲートウェイ トラフィックをスポークからハブに流して、リモート ネットワークに接続するには、次の手順を実行する必要があります。To allow gateway traffic to flow from spoke to hub, and connect to remote networks, you must:

  • ゲートウェイ転送を許可するように、ハブでピアリング接続を構成します。Configure the peering connection in the hub to allow gateway transit.
  • リモート ゲートウェイを使用するように、各スポークでピアリング接続を構成します。Configure the peering connection in each spoke to use remote gateways.
  • 転送されたトラフィックを許可するようにすべてのピアリング接続を構成します。Configure all peering connections to allow forwarded traffic.

考慮事項Considerations

スポーク接続Spoke connectivity

スポーク間の接続が必要な場合は、ハブでのルーティング用の Azure Firewall または NVA のデプロイ、およびスポークでの UDR を使用したハブへのトラフィックの転送を検討してください。If you require connectivity between spokes, consider deploying Azure Firewall or an NVA for routing in the hub, and using UDRs in the spoke to forward traffic to the hub. 次のデプロイ手順には、この構成を設定する省略可能な手順が含まれます。The deployment steps below include an optional step that sets up this configuration.

22

このシナリオでは、転送されたトラフィックを許可するようにピアリング接続を構成する必要があります。In this scenario, you must configure the peering connections to allow forwarded traffic.

VPN ゲートウェイを使用して、スポーク間でトラフィックをルーティングすることもできますが、これは待機時間とスループットの点で影響があります。You can also use a VPN gateway to route traffic between spokes, although this will have impacts in terms of latency and throughput. Azure Firewall またはネットワーク ファイアウォール アプライアンスにより、セキュリティ レイヤーが追加されます。Also, Azure Firewall or a network firewall appliance provides an additional layer of security.

また、多数のスポークに合わせてハブを拡張するために、ハブで共有するサービスも検討してください。Also consider what services are shared in the hub, to ensure the hub scales for a larger number of spokes. たとえば、ハブがファイアウォール サービスを提供する場合は、複数のスポークを追加するときにファイアウォール ソリューションの帯域幅の制限を検討します。For instance, if your hub provides firewall services, consider the bandwidth limits of your firewall solution when adding multiple spokes. このような一部の共有サービスを第 2 レベルのハブに移動することをお勧めします。You might want to move some of these shared services to a second level of hubs.

ソリューションのデプロイ方法Deploy the solution

このアーキテクチャのデプロイについては、GitHub を参照してください。A deployment for this architecture is available on GitHub. ここでは、各仮想ネットワークの VM を使用して接続をテストします。It uses VMs in each virtual network to test connectivity. 1 つの Linux VM と 1 つの Windows VM という各ジャンプ ボックスの 2 つのインスタンスがデプロイされます。Two instances of each jumpbox are deployed — one Linux VM and one Windows VM. 実際のデプロイでは、1 つの種類をデプロイします。In a real deployment, you would deploy a single type.

共有サービスはハブにデプロイされません。No shared services are deployed in the hub. 共有サービスを含むバージョンについては、「Azure に共有サービスを含むハブスポーク ネットワーク トポロジ」を参照してください。For a version that includes shared services, see Hub-spoke network topology with shared services in Azure.

デプロイによってサブスクリプション内に作成されるリソース グループは、次のとおりです。The deployment creates the following resource groups in your subscription:

  • hub-vnet-rghub-vnet-rg
  • onprem-jb-rgonprem-jb-rg
  • onprem-vnet-rgonprem-vnet-rg
  • spoke1-vnet-rgspoke1-vnet-rg
  • spoke2-vnet-rgspoke2-vnet-rg

前提条件Prerequisites

  1. 参照アーキテクチャ GitHub リポジトリに ZIP ファイルを複製、フォーク、またはダウンロードします。Clone, fork, or download the zip file for the reference architectures GitHub repository.

  2. Azure CLI 2.0 をインストールします。Install Azure CLI 2.0.

  3. ノードと NPM をインストールするInstall Node and NPM

  4. Azure の構成要素 npm パッケージをインストールします。Install the Azure building blocks npm package.

    npm install -g @mspnp/azure-building-blocks
    
  5. コマンド プロンプト、bash プロンプト、または PowerShell プロンプトから、次のように Azure アカウントにサインインします。From a command prompt, bash prompt, or PowerShell prompt, sign into your Azure account as follows:

    az login
    

参照用アーキテクチャのデプロイDeploy the reference architecture

このアーキテクチャをデプロイするには、次の手順を実行します。Follow these steps to deploy the architecture:

  1. 参照アーキテクチャ リポジトリの hybrid-networking/hub-spoke フォルダーに移動します。Navigate to the hybrid-networking/hub-spoke folder of the reference architectures repository.

  2. hub-spoke.json ファイルを開きます。Open the hub-spoke.json file.

  3. [replace-with-username][replace-with-password] のすべてのインスタンスの値を置き換えます。Replace the values for all instances of [replace-with-username] and [replace-with-password].

    "adminUsername": "[replace-with-username]",
    "adminPassword": "[replace-with-password]",
    
  4. [replace-with-shared-key] の両方のインスタンスを見つけ、VPN 接続の共有キーを入力します。Find both instances of [replace-with-shared-key] and enter a shared key for the VPN connection. 値は一致する必要があります。The values must match.

    "sharedKey": "[replace-with-shared-key]",
    
  5. ファイルを保存します。Save the file.

  6. 次のコマンドを実行します。Run the following command:

    azbb -s <subscription_id> -g onprem-vnet-rg -l <location> -p hub-spoke.json --deploy
    
  7. デプロイが完了するのを待機します。Wait for the deployment to finish. このデプロイでは、4 つの仮想ネットワーク、8 つの VM、2 つの VPN ゲートウェイ、2 つの VPN ゲートウェイ間の接続が作成され、仮想ネットワーク ピアリングが構成されます。This deployment creates four virtual networks, eight VMs, two VPN gateways, the connection between the two VPN gateways, and configures virtual network peering. VPN ゲートウェイの作成には約 40 分かかります。It can take about 40 minutes to create the VPN gateways.

テスト接続 — WindowsTest connectivity — Windows

Windows を使用して、シミュレートされたオンプレミスの環境からハブとスポークへの接続をテストするには、次の手順を実行します。To test connectivity from the simulated on-premises environment to the hub and spokes using Windows, follow these steps:

  1. Azure Portal を使用して、onprem-jb-rg リソース グループで jb-vm1 という名前の VM を見つけます。Use the Azure portal to find the VM named jb-vm1 in the onprem-jb-rg resource group.

  2. Connect をクリックして、VM に対するリモート デスクトップ セッションを開きます。Click Connect to open a remote desktop session to the VM. hub-spoke.json パラメーター ファイルで指定したパスワードを使用します。Use the password that you specified in the hub-spoke.json parameter file.

  3. VM で PowerShell コンソールを開き、Test-NetConnection コマンドレットを使用して、ハブのジャンプ ボックス VM に接続できることを確認します。Open a PowerShell console in the VM, and use the Test-NetConnection cmdlet to verify that you can connect to the jumpbox VM in the hub.

    Test-NetConnection 10.0.0.36 -CommonTCPPort RDP
    

    出力は次のようになります。The output should look similar to the following:

    ComputerName     : 10.0.0.36
    RemoteAddress    : 10.0.0.36
    RemotePort       : 3389
    InterfaceAlias   : Ethernet 2
    SourceAddress    : 192.168.1.000
    TcpTestSucceeded : True
    
  4. Test-NetConnection コマンドレットを使用して、スポーク内のジャンプ ボックス VM に接続できることを確認します。Use the Test-NetConnection cmdlet to verify that you can connect to the jumpbox VMs in the spokes.

    Test-NetConnection 10.1.0.36 -CommonTCPPort RDP
    Test-NetConnection 10.2.0.36 -CommonTCPPort RDP
    

注意

既定で、Windows Server VM では Azure の ICMP 応答が許可されていません。By default, Windows Server VMs do not allow ICMP responses in Azure. 接続のテストに ping を使用する場合は、VM ごとに Windows の高度なファイアウォールで ICMP トラフィックを有効にします。If you want to use ping to test connectivity, enable ICMP traffic in the Windows Advanced Firewall for each VM.

テスト接続 — LinuxTest connectivity — Linux

Linux を使用して、シミュレートされたオンプレミスの環境からハブとスポークへの接続をテストするには、次の手順を実行します。To test connectivity from the simulated on-premises environment to the hub and spokes using Linux, follow these steps:

  1. Azure Portal を使用して、onprem-jb-rg リソース グループで jbl-vm1 という名前の VM を見つけます。Use the Azure portal to find the VM named jbl-vm1 in the onprem-jb-rg resource group.

  2. Connect をクリックし、ポータルに表示されている ssh コマンドをコピーします。Click Connect and copy the ssh command shown in the portal.

  3. ssh を実行して、シミュレートされたオンプレミス環境に接続します。Run ssh to connect to the simulated on-premises environment. hub-spoke.json パラメーター ファイルで指定したパスワードを使用します。Use the password that you specified in the hub-spoke.json parameter file.

  4. nc コマンドを使用して、ハブのジャンプ ボックス VM への接続をテストします。Use the nc command to test connectivity to the jumpbox VM in the hub:

    nc -vzw 1 10.0.0.37 22
    

    出力は次のようになります。The output should look similar to the following:

    Connection to 10.0.0.37 22 port [tcp/ssh] succeeded!
    
  5. nc コマンドを使用して、各スポーク内のジャンプボックス VM への接続をテストします。Use the nc command to test connectivity to the jumpbox VMs in each spoke:

    nc -vzw 1 10.1.0.37 22
    nc -vzw 1 10.2.0.37 22
    

スポーク間に接続を追加するAdd connectivity between spokes

この手順は省略可能です。This step is optional. スポークに相互接続を許可する場合は、Azure Firewall を使用して、別のスポークへの接続を試みるときにスポークからルーターへのトラフィックを強制する必要があります。If you want to allow spokes to connect to each other, use Azure Firewall to force traffic from spokes to the router when trying to connect to another spoke. 次の手順を実行して、Azure Firewall、RDP と SSH を許可するファイアウォール規則、ユーザー定義ルート (UDR) をデプロイし、2 つのスポーク仮想ネットワークが接続できるようにします。Perform the following steps to deploy Azure Firewall, firewall rules to allow RDP and SSH, and user-defined routes (UDRs) to allow the two spoke virtual networks to connect:

  1. 参照アーキテクチャ リポジトリの hybrid-networking/hub-spoke フォルダーに移動します。Navigate to the hybrid-networking/hub-spoke folder of the reference architectures repository.

  2. 次のコマンドを実行します。Run the following command:

    azbb -s <subscription_id> -g hub-vnet-rg -l <location> -p hub-firewall.json --deploy
    

注意

Azure Firewall のプライベート IP アドレスは、10.0.0.132 に設定されています。The private IP address of the Azure Firewall is set to 10.0.0.132. Azure からプライベート IP アドレスが割り当てられる方法によっては、このデプロイの IP アドレスになります。This will be the IP address for this deployment due to the way Azure allocates private IP addresses. このデプロイを変更すると、この既定のアドレスが変更される可能性があります。Any modifications to this deployment may change this default address. そのような場合は、hub-firewall.json ルート テーブルを編集し、ルート内の nextHop のすべてのインスタンスを、Azure Firewall の正しいプライベート IP アドレスを指すように置き換えます。In that situation, edit the hub-firewall.json route tables and replace all instances of nextHop in the routes to point to the correct private IP address of Azure Firewall.

スポーク間のテスト接続 — WindowsTest connectivity between spokes — Windows

スポークを接続している場合は、次の手順を実行して Windows を使用した接続を確認します。If you connected the spokes, perform these steps to verify connectivity using Windows:

  1. Azure Portal を使用して、onprem-jb-rg リソース グループで jb-vm1 という名前の VM を見つけます。Use the Azure portal to find the VM named jb-vm1 in the onprem-jb-rg resource group.

  2. Connect をクリックして、VM に対するリモート デスクトップ セッションを開きます。Click Connect to open a remote desktop session to the VM. hub-spoke.json パラメーター ファイルで指定したパスワードを使用します。Use the password that you specified in the hub-spoke.json parameter file.

  3. このリモート デスクトップ セッションの内部から、10.1.0.36 に対する別のリモート デスクトップ セッションを開きます。From inside this remote desktop session, open another remote desktop session to 10.1.0.36. これはスポーク 1 のジャンプ ボックスのプライベート IP アドレスです。That's the private IP address of the jumpbox in spoke 1.

  4. 2 つ目のリモート デスクトップ セッションから、PowerShell コンソールを開きます。From the second remote desktop session, open a PowerShell console. Test-NetConnection コマンドレットを使用して、スポーク 2 内のジャンプ ボックス VM に接続できることを確認します。Use the Test-NetConnection cmdlet to verify that you can connect to the jumpbox VM in spoke 2.

    Test-NetConnection 10.2.0.36 -CommonTCPPort RDP
    

スポーク間のテスト接続 — LinuxTest connectivity between spokes — Linux

スポークを接続している場合は、次の手順を実行して Linux を使用した接続を確認します。If you connected the spokes, perform these steps to verify connectivity using Linux:

  1. Azure Portal を使用して、onprem-jb-rg リソース グループで jbl-vm1 という名前の VM を見つけます。Use the Azure portal to find the VM named jbl-vm1 in the onprem-jb-rg resource group.

  2. Connect をクリックし、ポータルに表示されている ssh コマンドをコピーします。Click Connect and copy the ssh command shown in the portal.

  3. Linux プロンプトから ssh を実行して、シミュレートされたオンプレミスの環境に接続します。From a Linux prompt, run ssh to connect to the simulated on-premises environment. hub-spoke.json パラメーター ファイルで指定したパスワードを使用します。Use the password that you specified in the hub-spoke.json parameter file.

  4. Azure Portal を使用して、spoke1-vnet-rg リソース グループで s1jbl-vm1 という名前の VM を見つけます。Use the Azure portal to find the VM named s1jbl-vm1 in the spoke1-vnet-rg resource group.

  5. Connect をクリックし、ポータルに表示されている ssh コマンドをコピーします。Click Connect and copy the ssh command shown in the portal.

  6. 手順 3 で作成した ssh セッションで、ssh を実行して spoke-1 ジャンプ ボックスに接続します。In the ssh session created in step 3, run ssh to connect to the spoke-1 jumpbox. hub-spoke.json パラメーター ファイルで指定したパスワードを使用します。Use the password that you specified in the hub-spoke.json parameter file.

  7. nc コマンドを使用して、スポーク 2 のジャンプ ボックス VM への接続をテストします。Use the nc command to test connectivity to the jumpbox VM in spoke 2:

    nc -vzw 1 10.2.0.37 22
    

次のステップNext steps

共有 ID とセキュリティ サービスをデプロイするこのアーキテクチャのバージョンについては、「Azure に共有サービスを含むハブスポーク ネットワーク トポロジ」を参照してください。For a version of this architecture that deploys shared identity and security services, see Hub-spoke network topology with shared services in Azure.