Virtual WAN ネットワーク トポロジ (Microsoft 管理)

Microsoft Azure の仮想ワイド エリア ネットワーク (Virtual WAN) に関連する主な設計上の考慮事項と推奨事項について説明します。

"図 1:Virtual WAN のネットワーク トポロジ。

設計上の考慮事項:

• Azure Virtual WAN は Microsoft が管理するソリューションであり、エンド ツー エンドでグローバルな動的トランジット接続が既定で提供されます。 Virtual WAN ハブにより、ネットワーク接続を手動で構成する必要がなくなります。 たとえば、お客様は、グローバルなトランジット接続を有効にするためにユーザー定義ルート (UDR) またはネットワーク仮想アプライアンス (NVA) を管理する必要はありません。

• Virtual WAN を使用すると、ハブ アンド スポークのネットワーク アーキテクチャが作成されるため、Azure 内、およびオンプレミスから Azure へのエンド ツー エンドのネットワーク接続が簡素化されます。 次の図に示すように、このアーキテクチャは、複数の Azure リージョンとオンプレミスの場所をサポートする (Any-to-Any 接続) ように容易にスケーリングできます。

  

"図 2:Virtual WAN でのグローバル トランジット ネットワーク。

• Virtual WAN の Any-to-Any の推移的な接続では、(同じリージョン内およびリージョン間での) 次のパスがサポートされています。

  • 仮想ネットワークから仮想ネットワーク
  • 仮想ネットワークからブランチ
  • ブランチから仮想ネットワーク
  • ブランチからブランチ

• Virtual WAN ハブは、Microsoft が管理するリソースのデプロイに限定されます。 その中にデプロイできるリソースは、仮想ネットワーク ゲートウェイ (ポイント対サイト VPN、サイト間 VPN、Azure ExpressRoute)、Firewall Manager を介した Azure Firewall、ルート テーブル、ベンダー固有の SD-WAN 機能用の一部のネットワーク仮想アプライアンス (NVA) だけです。

• Virtual WAN は、Virtual WAN のいくつかの Azure サブスクリプションの制限による限界があります。

• ネットワーク間の推移的な接続 (リージョン内、およびハブ間を経由したリージョン間) は、現在一般提供 (GA) されています。

• すべての仮想ハブに Microsoft が管理するルーティング機能が存在するため、Standard Virtual WAN 内の仮想ネットワーク間のトランジット接続が有効になります。 各ハブでは、VNet 間のトラフィックに対して最大 50 Gbps の合計スループットがサポートされます。

• 1 つの Azure Virtual WAN ハブでは、直接接続されているすべての VNet にわたり、特定の最大数の VM ワークロードがサポートされます。これについては、Azure Virtual WAN の制限に関するセクションで説明されています。

• 複数の Azure Virtual WAN ハブを同じリージョンにデプロイして、単一のハブの制限を超えてスケーリングできます。

• Virtual WAN は、さまざまな SD-WAN プロバイダーと統合されています。

• 多くの管理サービス プロバイダーから、Virtual WAN 向けの管理サービスが提供されています。

• Azure Virtual WAN limits に関するページで説明しているように、Virtual WAN 内のユーザー VPN (ポイント対サイト) ゲートウェイは、仮想ハブあたり最大 20 Gbps の合計スループットと 10,000 件のクライアント接続までスケールアップすることができます。

• Virtual WAN 内のサイト間 VPN ゲートウェイは、最大 20 Gbps の合計スループットまでスケールアップすることができます。

• Local、Standard、Premium のいずれかの SKU を使用した ExpressRoute 回線は、Virtual WAN ハブに接続できます。

• ExpressRoute Global Reach でサポートされている場所にある ExpressRoute の Standard または Premium 回路を Virtual WAN ExpressRoute ゲートウェイに接続し、Virtual WAN のすべての転送機能 (VPN 間、VPN、ExpressRoute) を利用できます。 Global Reach でサポートされていない場所にある ExpressRoute の Standard または Premium 回線は、Azure リソースには接続できますが、Virtual WAN の転送機能は使用できません。

• ExpressRoute Local が Azure Virtual WAN ハブでサポートされるのは、Virtual WAN ハブに接続されたスポーク VNet が Virtual WAN ハブと同じリージョンに存在する場合です。

• 現在一般提供されている Azure Firewall Manager を使用すると、セキュリティ保護付き仮想ハブとも呼ばれる Virtual WAN ハブに Azure Firewall をデプロイできます。 Azure Firewall Manager の概要で、セキュリティ保護付き仮想ハブと最新の制約をご確認ください。

• Azure Firewall が Virtual WAN ハブ自体 (セキュリティ保護付き仮想ハブ) の内側にデプロイされている場合、Azure Firewall を経由した Virtual WAN のハブ間トラフィックは現在サポートされていません。 要件に応じていくつかの回避策があります。たとえば、Azure Firewall をスポーク仮想ネットワークに配置したり、トラフィックのフィルター処理に NSG を使用したりします。

• Virtual WAN ポータルのエクスペリエンスには、すべての Virtual WAN リソースが同じリソース グループにまとめてデプロイされていることが必要です。

• Azure DDoS Protection Standard 保護プランを 1 つの Azure AD テナント内のすべての VNet で共有して、パブリック IP アドレスを持つリソースを保護できます。 詳細については、Azure DDoS Protection Standard に関する記事を参照してください。

  • 現在、Virtual WAN のセキュリティ保護付き仮想ハブは、Azure DDoS Protection Standard プランをサポートしていません。 詳細については、Azure Firewall Manager の既知の問題、およびハブの仮想ネットワークとセキュリティ保護付き仮想ハブの比較に関する記事を参照してください。

  • パブリック IP アドレスを持つリソースだけが、Azure DDoS Protection Standard 保護プランの対象となります。

    • Azure DDoS Protection Standard 保護プランのコストには、DDoS 保護計画に関連付けられているすべての保護された VNet にまたがる 100 個のパブリック IP アドレスが含まれています。 プランに含まれる 100 個以外のパブリック IP アドレスは、別個に課金されます。 Azure DDoS Protection Standard 保護の価格の詳細については、価格に関するページまたは FAQ に関する記事を参照してください。

  • Azure DDoS Protection Standard 保護計画でサポートされるリソースをご確認ください

設計上の推奨事項:

• Azure リージョンとオンプレミスの場所にわたってグローバルなトランジット接続を必要とする、Azure での新しく大規模な、またはグローバルなネットワーク デプロイには Virtual WAN をお勧めします。 そのようにすると、Azure ネットワークに対して推移的なルーティングを手動で設定する必要がありません。

  次の図では、ヨーロッパと米国にデータセンターが分散している、グローバルなエンタープライズのデプロイの例を示します。 また、このデプロイには、両方のリージョンに多数のブランチ オフィスもあります。 この環境は、Azure Virtual WAN と ExpressRoute Global Reach によってグローバルに接続されています。

  

"図 3:ネットワーク トポロジのサンプル。

• Azure リージョンごとに Virtual WAN ハブを使用し、共通のグローバル Azure Virtual WAN を経由して、Azure リージョンをまたいで複数のランディング ゾーンを接続します。

• 複数リージョンにわたってデプロイする場合を含め、すべての Virtual WAN リソースを、接続サブスクリプションにある単一リソース グループにデプロイします。

• VNet およびブランチ間でトラフィックをさらに分割するには、仮想ハブのルーティング機能を使用します。

• ExpressRoute を使用して、Virtual WAN ハブをオンプレミスのデータセンターに接続します。

• DNS サーバーなどの必要な共有サービスを、専用のスポーク仮想ネットワークにデプロイします。 お客様がデプロイした共有リソースを Virtual WAN ハブ自体の内側にデプロイすることはできません。

• サイト間 VPN を介してブランチとリモート拠点を最も近い Virtual WAN ハブに接続するか、SD-WAN パートナー ソリューションを使用してブランチを Virtual WAN に接続できるようにします。

• ポイント対サイト VPN を使用して、ユーザーを Virtual WAN ハブに接続します。

• リソースが異なるリージョンにある場合でも、Azure 内のリソース間の通信が Microsoft のバックボーン ネットワーク経由で行われるように、"Azure 内のトラフィックは Azure 内に留まる" 原則に従います。

• インターネット送信の保護とフィルター処理を行うには、仮想ハブに Azure Firewall をデプロイすることを検討してください。

• 東部/西部または南部/北部のトラフィック保護とフィルター処理にパートナー NVA が必要な場合、Azure Virtual WAN では仮想ハブにそのようなセキュリティ NVA をデプロイすることが許可されていないため、「シナリオ: NVA を経由するトラフィックのルーティング」で説明されているように、それらの NVA を別個のスポーク仮想ネットワークにデプロイして静的ルーティングを構成することが要件を満たすかどうかを評価してください。 代わりの方法として、ハブ アンド スポーク モデルに基づく従来のネットワーク トポロジを検討してください。この場合、パートナー NVA を通常のハブ仮想ネットワークにデプロイすることができます。

• パートナーのネットワーク テクノロジと NVA をデプロイするときは、パートナー ベンダーのガイダンスに従って、Azure ネットワークと競合する構成がないようにします。

• Virtual WAN に基づいていないハブ アンド スポーク ネットワーク トポロジから移行するブラウンフィールドのシナリオについては、「Azure Virtual WAN に移行する」を参照してください。

• 接続サブスクリプション内に Azure Virtual WAN リソースと Azure Firewall リソースを作成します。

• Virtual WAN の仮想ハブごとに、500 より多くの仮想ネットワーク接続を作成しないでください。

  • Virtual WAN の仮想ハブごとに、500 より多くの仮想ネットワーク接続が必要な場合は、同じ Virtual WAN および同じリソース グループに含まれる同じリージョンに、追加の Virtual WAN の仮想ハブをデプロイしてください。

• デプロイを慎重に計画し、ネットワーク アーキテクチャが Azure Virtual WAN の制限内であることを確認します。

• Azure Monitor で Virtual WAN に関する分析情報 (プレビュー) を使用して、Virtual WAN のエンドツーエンド トポロジ、状態、主要指標を監視します。

• 接続サブスクリプションに 1 つの Azure DDoS Protection Standard プランをデプロイします。

  • すべてのランディング ゾーンとプラットフォームの VNet でこのプランを使用する必要があります。