従来の Azure ネットワーク トポロジ
重要
大規模なインベントリ管理とネットワーク監視を容易にするために Azure リソースの視覚化を提供する、新しいトポロジ (プレビュー) エクスペリエンスをお試しください。 このトポロジ プレビューを使用して、サブスクリプション、リージョン、場所全体のリソースとその依存関係を視覚化します。 エクスペリエンスに移動するには、こちらのリンクを選択してください。
Microsoft Azure のネットワーク トポロジに関する主要な設計上の考慮事項と推奨事項について説明します。
図 1: 従来の Azure ネットワーク トポロジ。
設計上の考慮事項:
さまざまなネットワーク トポロジで、複数のランディング ゾーン仮想ネットワークを接続できます。 ネットワーク トポロジの例には、1 つの大きなフラット仮想ネットワーク、複数の Azure ExpressRoute 回線または接続で接続された複数の仮想ネットワーク、ハブアンドスポーク、フル メッシュ、ハイブリッドなどがあります。
仮想ネットワークがサブスクリプションの境界を横断することはできません。 ただし、仮想ネットワーク ピアリング、ExpressRoute 回線、または VPN ゲートウェイを使用することで、異なるサブスクリプションをまたいだ仮想ネットワーク間の接続を実現できます。
仮想ネットワーク ピアリングは、Azure で仮想ネットワークを接続するための推奨される方法です。 仮想ネットワーク ピアリングを使用して、同じリージョン内で、異なる Azure リージョン間で、および異なる Microsoft Entra テナント間で、仮想ネットワークを接続できます。
仮想ネットワーク ピアリングとグローバル仮想ネットワーク ピアリングは推移的ではありません。 転送ネットワークを有効にするには、ユーザー定義ルート (UDR) とネットワーク仮想アプライアンス (NVA) が必要です。 詳細については、「Azure のハブスポーク ネットワーク トポロジ」を参照してください。
Azure DDoS Protection プランを 1 つの Microsoft Entra テナント内のすべての仮想ネットワークで共有して、パブリック IP アドレスを持つリソースを保護できます。 詳細については、「Azure DDoS Protection」を参照してください。
Azure DDoS Protection のプランでは、パブリック IP アドレスを持つリソースのみが対象となります。
Azure DDoS Protection プランのコストには、DDoS Protection プランに関連付けられているすべての保護された仮想ネットワーク全体で 100 個のパブリック IP アドレスが含まれています。 追加リソースの保護は、別のコストで利用できます。 Azure DDoS Protection プランの価格の詳細については、Azure DDoS Protection の価格ページまたは FAQ に関する記事を参照してください。
Azure DDoS Protection のプランでサポートされるリソースを確認してください。
ExpressRoute 回線を使用すると、同じ地政学的地域内の仮想ネットワーク間の接続や、Premium アドオンを使用して異なる地政学的地域間の接続を確立することができます。 次の点に留意してください。
ネットワーク間のトラフィックでは、Microsoft Enterprise Edge (MSEE) ルーターでトラフィックが折り返す必要があるため、待機時間が長くなる可能性があります。
ExpressRoute ゲートウェイの SKU により帯域幅が制限されます。
仮想ネットワーク間のトラフィックの UDR を検査またはログする必要がある場合は、UDR をデプロイして管理します。
Border Gateway Protocol (BGP) を使用する VPN ゲートウェイは、Azure とオンプレミス ネットワーク内では推移的ですが、既定では ExpressRoute 経由で接続されたネットワークには推移的なアクセスを提供しません。 ExpressRoute 経由で接続されているネットワークへの推移的なアクセスが必要な場合は、Azure Route Server を検討してください。
複数の ExpressRoute 回線を同じ仮想ネットワークに接続する場合は、接続の重みと BGP 手法を使用して、オンプレミス ネットワークと Azure の間のトラフィックが最適なパスになるようにします。 詳細については、「ExpressRoute ルーティングの最適化」を参照してください。
ExpressRoute のルーティングに影響を与える BGP メトリックの使用は、Azure プラットフォームの外部で行われる構成変更です。 お客様の組織またはその接続プロバイダーは、それに応じてオンプレミスのルーターを構成する必要があります。
Premium アドオンを使用する ExpressRoute 回線では、グローバルな接続が提供されます。
ExpressRoute には特定の制限があります。ExpressRoute ゲートウェイごとの ExpressRoute 接続の最大数が設定されており、ExpressRoute プライベート ピアリングにより Azure からオンプレミスへのルートの最大数を特定できます。 ExpressRoute の制限の詳細については、「ExpressRoute の制限」を参照してください。
VPN ゲートウェイの最大集約スループットは 10 Gbps です。 VPN ゲートウェイでは、最大 100 個のサイト間トンネルまたはネットワーク間トンネルがサポートされます。
ネットワーク仮想アプライアンス (NVA) がアーキテクチャの一部である場合は、NVA と仮想ネットワーク間の動的ルーティングを簡略化するために Azure Route Server を検討してください。 Azure Route Server により、ルート テーブルを手動で構成したり管理したりすることなく、BGP ルーティング プロトコルをサポートする NVA と Azure Virtual Network (VNet) 内の Azure ソフトウェア定義ネットワーク (SDN) 間で Border Gateway Protocol (BGP) ルーティング プロトコルを介して、ルーティング情報を直接交換することができます。
設計上の推奨事項:
次のシナリオでは、従来のハブ アンド スポーク ネットワーク トポロジに基づくネットワーク設計を検討してください。
1 つの Azure リージョン内にデプロイされたネットワーク アーキテクチャ。
複数の Azure リージョンにまたがり、リージョンをまたぐランディング ゾーンの仮想ネットワーク間の推移的な接続を必要としないネットワーク アーキテクチャ。
複数の Azure リージョンにまたがるネットワーク アーキテクチャ、および Azure リージョン間で仮想ネットワークを接続できるグローバル仮想ネットワーク ピアリング。
VPN 接続と ExpressRoute 接続の間の推移的な接続は必要ない。
使用されている主要なハイブリッド接続の方法が ExpressRoute であり、VPN ゲートウェイあたりの VPN 接続の数が 100 未満である。
集中型 NVA ときめ細かいルーティングに依存している。
リージョン デプロイの場合は、主にハブ アンド スポーク トポロジが使用されます。 次のシナリオでは、仮想ネットワーク ピアリングを使用して中央ハブ仮想ネットワークに接続するランディング ゾーン仮想ネットワークを使用します。
ExpressRoute を介したプレミス間接続。
ブランチ接続用の VPN。
NVA と UDR を介したスポーク間接続。
Azure Firewall またはその他のサードパーティ NVA を介したインターネット送信保護。
次の図は、ハブアンドスポーク トポロジを示しています。 この構成では、適切なトラフィック制御によって、セグメント化と検査のためのほとんどの要件を満たすことができます。
図 2: ハブ アンド スポーク ネットワーク トポロジ。
次のいずれかの条件に該当する場合は、複数の ExpressRoute 回線で接続された複数の仮想ネットワークのトポロジを使用します。
高いレベルの分離が必要である。
特定の事業単位用に専用の ExpressRoute 帯域幅が必要である。
ExpressRoute ゲートウェイあたりの接続の最大数に達しました (最大数については、ExpressRoute の制限に関する記事をご覧ください)。
次の図はこのワークフローを示したものです。
図 3: 複数の ExpressRoute 回線で接続された複数の仮想ネットワーク。
ExpressRoute ゲートウェイ、VPN ゲートウェイ (必要な場合)、Azure Firewall、またはパートナーの NVA (必要な場合) が含まれる最小限の共有サービスのセットを、中央ハブの仮想ネットワークにデプロイします。 必要に応じて、Active Directory ドメイン コントローラーと DNS サーバーもデプロイします。
East/West または South/North のトラフィックの保護とフィルター処理のための Azure Firewall またはパートナーの NVA を、中央ハブの仮想ネットワークにデプロイします。
パートナーのネットワーク テクノロジまたは NVA として展開するときは、パートナー ベンダーのガイダンスに従って次のことを確認します。
ベンダーによってデプロイがサポートされる。
ガイダンスで、高可用性と最大パフォーマンスがサポートされていること。
Azure ネットワークと競合する構成がない。
中央ハブ仮想ネットワークの共有サービスとして、Azure Application Gateway などのレイヤー 7 受信 NVA をデプロイしないでください。 代わりに、それらは、それぞれのランディング ゾーンにアプリケーションと一緒にデプロイします。
接続サブスクリプションに 1 つの Azure DDoS Protection Standard プランをデプロイします。
- ランディング ゾーンとプラットフォームのすべての仮想ネットワークでこの計画を使用する必要があります。
ブランチの拠点を本社に接続するには、既存のネットワーク、マルチプロトコル ラベル スイッチング、SD-WAN を使用します。 Azure Route Server を使用しない場合、ExpressRoute と VPN ゲートウェイの間の Azure での転送はサポートされません。
ハブアンドスポークのシナリオで ExpressRoute と VPN ゲートウェイの間の推移性が必要な場合は、このリファレンス シナリオで説明されているように Azure Route Server を使用します。
複数の Azure リージョンにハブ アンド スポーク ネットワークがあり、いくつかのランディング ゾーンがリージョン間で接続する必要がある場合は、グローバル仮想ネットワーク ピアリングを使用して、トラフィックを相互にルーティングする必要があるランディング ゾーン仮想ネットワークに直接接続します。 通信中の VM の SKU によっては、グローバル仮想ネットワーク ピアリングによりネットワーク スループットが高くなります。 直接ピアリングされたランディング ゾーン仮想ネットワーク間のトラフィックは、ハブ仮想ネットワーク内の NVA をバイパスします。 トラフィックには、グローバル仮想ネットワーク ピアリングの制限が適用されます。
複数の Azure リージョンにハブアンドスポーク ネットワークがあり、ほとんどのランディング ゾーンがリージョン間で接続する必要がある場合 (または、直接ピアリングを使用してハブの NVA をバイパスすることがセキュリティ要件と互換性がない場合) は、ハブの NVA を使用して、各リージョンのハブ仮想ネットワークを相互に接続し、トラフィックをリージョン間でルーティングします。 グローバル仮想ネットワーク ピアリングまたは ExpressRoute 回線は、次の方法でハブ仮想ネットワークを接続するのに役立ちます。
グローバル仮想ネットワーク ピアリングは、低待機時間と高スループット接続を実現しますが、トラフィック料金が発生します。
ExpressRoute 経由のルーティングは、(MSEE の折り返しにより) 待機時間の増加につながる可能性があり、選択した ExpressRoute ゲートウェイ SKU によりスループットが制限されます。
次の例は、両方のオプションを示しています。
図 4: ハブ間接続のオプション。
2 つの Azure リージョンを接続する必要がある場合は、グローバル仮想ネットワーク ピアリングを使用して両方のハブ仮想ネットワークに接続します。
3 つ以上の Azure リージョンを接続する必要がある場合は、各リージョンのハブ仮想ネットワークを同じ ExpressRoute 回線に接続することをお勧めします。 グローバル仮想ネットワーク ピアリングでは、複数の仮想ネットワーク間で多数のピアリング関係と複雑なユーザー定義ルート (UDR) セットを管理する必要があります。 次の図は、3 つのリージョンでハブアンドスポーク ネットワークを接続する方法を示しています。
図 5: 複数のリージョン間のハブ間接続を提供する ExpressRoute。
リージョン間接続に ExpressRoute 回線を使用すると、異なるリージョンのスポークが直接通信し、ファイアウォールをバイパスします。これは、リモート ハブのスポークへのルートを BGP を通じて学習するためです。 スポーク間のトラフィックを検査するためにハブ仮想ネットワークにファイアウォール NVA が必要な場合は、次のいずれかのオプションを実装する必要があります。
ハブ間でトラフィックをリダイレクトするには、ローカル ハブ仮想ネットワーク内のファイアウォールに対して、スポーク UDR のより具体的なルート エントリを作成します。
ルートの構成を簡略化するには、スポークのルート テーブルで BGP 伝達を無効にします。
3 つ以上の Azure リージョンにわたってハブアンドスポークのネットワーク アーキテクチャを必要とし、Azure リージョン間でのランディング ゾーン仮想ネットワーク間のグローバルな転送接続が必要な組織で、ネットワーク管理のオーバーヘッドを最小限に抑える必要がある場合、Virtual WAN に基づく管理されたグローバル転送ネットワーク アーキテクチャをお勧めします。
各リージョンのハブ ネットワーク リソースを別々のリソース グループにデプロイし、デプロイされたリージョンごとに並べ替えます。
Azure Virtual Network Manager を使用して、サブスクリプション間で仮想ネットワークの接続とセキュリティ構成をグローバルに管理します。
Azure Monitor for Networks を使用して、Azure 上のネットワークのエンド ツー エンドの状態を監視します。
スポーク仮想ネットワークを中央ハブ仮想ネットワークに接続する場合、2 つの制限について考慮する必要があります。
- 仮想ネットワークごとの仮想ネットワーク ピアリング接続の最大数。
- プライベート ピアリングを使用する ExpressRoute が Azure からオンプレミスにアドバタイズするプレフィックスの最大数。
ハブ仮想ネットワークに接続されているスポーク仮想ネットワークの数が、これらの制限を超えていないことを確認してください。