ExpressRoute NAT の要件ExpressRoute NAT requirements

ExpressRoute を使用して Microsoft クラウド サービスに接続するには、NAT をセットアップして管理する必要があります。To connect to Microsoft cloud services using ExpressRoute, you’ll need to set up and manage NATs. 一部の接続プロバイダーでは、NAT のセットアップと管理が管理されたサービスとして提供されています。Some connectivity providers offer setting up and managing NAT as a managed service. このようなサービスが提供されているかどうか、接続プロバイダーに問い合わせてください。Check with your connectivity provider to see if they offer such a service. このようなサービスが提供されていない場合は、次に示す要件に従う必要があります。If not, you must adhere to the requirements described below.

ExpressRoute の回線とルーティング ドメイン のページをお読みになり、さまざまなルーティング ドメインの概要をご確認ください。Review the ExpressRoute circuits and routing domains page to get an overview of the various routing domains. Azure パブリックと Microsoft ピアリングのパブリック IP アドレス要件を満たすために、ネットワークと Microsoft の間に NAT をセットアップすることをお勧めします。To meet the public IP address requirements for Azure public and Microsoft peering, we recommend that you set up NAT between your network and Microsoft. このセクションでは、セットアップする NAT インフラストラクチャに関して説明します。This section provides a detailed description of the NAT infrastructure you need to set up.

Microsoft ピアリングの NAT 要件NAT requirements for Microsoft peering

Microsoft ピアリング パスにより、Azure パブリック ピアリング パスでサポートされていない Microsoft クラウド サービスに接続できます。The Microsoft peering path lets you connect to Microsoft cloud services that are not supported through the Azure public peering path. 対象となるサービスには、Exchange Online、SharePoint Online、Skype for Business などの Office 365 サービスが含まれます。The list of services includes Office 365 services, such as Exchange Online, SharePoint Online, and Skype for Business. Microsoft は今後、Microsoft ピアリングで双方向の接続をサポートする予定です。Microsoft expects to support bi-directional connectivity on the Microsoft peering. Microsoft クラウド サービスに向かうトラフィックは有効な IPv4 アドレスに SNAT 変換しないと、Microsoft ネットワークに入れません。Traffic destined to Microsoft cloud services must be SNATed to valid public IPv4 addresses before they enter the Microsoft network. Microsoft クラウド サービスからご利用のネットワークに送信されるトラフィックは、非対称ルーティングを回避するためにインターネット エッジで SNAT 変換する必要があります。Traffic destined to your network from Microsoft cloud services must be SNATed at your Internet edge to prevent asymmetric routing. 下の図に、Microsoft ピアリングのために NAT を設定する方法の概要を示します。The figure below provides a high-level picture of how the NAT should be set up for Microsoft peering.

ご利用のネットワークから Microsoft に送信されるトラフィックTraffic originating from your network destined to Microsoft

  • トラフィックが有効なパブリック IPv4 アドレスで Microsoft ピアリング パスに入っていることを確認する必要があります。You must ensure that traffic is entering the Microsoft peering path with a valid public IPv4 address. Microsoft はリージョンのルーティング インターネット レジストリ (RIR) またはインターネット ルーティング レジストリ (IRR) に対して IPv4 NAT アドレスの所有者を検証する必要があります。Microsoft must be able to validate the owner of the IPv4 NAT address pool against the regional routing internet registry (RIR) or an internet routing registry (IRR). ピアリングされている AS 番号と NAT に使用されている IP アドレスに基づいて確認されます。A check will be performed based on the AS number being peered with and the IP addresses used for the NAT. ルーティング レジストリに関する情報については、 ExpressRoute のルーティングの要件 のページを参照してください。Refer to the ExpressRoute routing requirements page for information on routing registries.

  • Azure パブリック ピアリング セットアップと他の ExpressRoute 回線に使用する IP アドレスは BGP セッションで Microsoft にアドバタイズしないでください。IP addresses used for the Azure public peering setup and other ExpressRoute circuits must not be advertised to Microsoft through the BGP session. このピアリングでアドバタイズされる NAT IP プレフィックスの長さには制約がありません。There is no restriction on the length of the NAT IP prefix advertised through this peering.

    重要

    Microsoft にアドバタイズされる NAT IP プールはインターネットにアドバタイズしないでください。The NAT IP pool advertised to Microsoft must not be advertised to the Internet. 他の Microsoft サービスへの接続が切断されます。This will break connectivity to other Microsoft services.

Microsoft からあなたのネットワークに送信されるトラフィックTraffic originating from Microsoft destined to your network

  • 一部のシナリオでは、あなたのネットワーク内でホストされているサービス エンドポイントへの接続を Microsoft が開始する必要があります。Certain scenarios require Microsoft to initiate connectivity to service endpoints hosted within your network. そのようなシナリオの典型的な例は、Office 365 からあなたのネットワークでホストされている ADFS サービスに接続する場合です。A typical example of the scenario would be connectivity to ADFS servers hosted in your network from Office 365. そのような場合は、ネットワークから Microsoft ピアリングに適切なプレフィックスをリークする必要があります。In such cases, you must leak appropriate prefixes from your network into the Microsoft peering.
  • 非対称ルーティングを回避するために、ご利用のネットワーク内のサービス エンドポイント向けのインターネット エッジで Microsoft トラフィックを SNAT 変換する必要があります。You must SNAT Microsoft traffic at the Internet edge for service endpoints within your network to prevent asymmetric routing. ExpressRoute 経由で受信したルートと一致する宛先 IP を持つ要求と応答は、常に ExpressRoute 経由で送信されます。Requests and replies with a destination IP that match a route received via ExpressRoute will always be sent via ExpressRoute. 要求がインターネット経由で受信され、応答が ExpressRoute 経由で送信される場合に、非対称ルーティングが見られます。Asymmetric routing exists if the request is received via the Internet with the reply sent via ExpressRoute. インターネット エッジで受信した Microsoft トラフィックを SNAT 変換すると、応答トラフィックは強制的にインターネット エッジに返されるため、問題は解決します。SNATing the incoming Microsoft traffic at the Internet edge forces reply traffic back to the Internet edge, resolving the problem.

ExpressRoute を使用した非対称ルーティング

Azure パブリック ピアリングの NAT 要件NAT requirements for Azure public peering

注意

Azure パブリック ピアリングは新しい回線では使用できません。Azure public peering is not available for new circuits.

Azure パブリック ピアリング パスを利用すれば、パブリック IP アドレスで Azure にホストされているすべてのサービスに接続できます。The Azure public peering path enables you to connect to all services hosted in Azure over their public IP addresses. たとえば、 ExpessRoute FAQ の一覧にあるサービスや Microsoft Azure で ISV によりホストされているサービスです。These include services listed in the ExpessRoute FAQ and any services hosted by ISVs on Microsoft Azure.

重要

パブリック ピアリングでの Microsoft Azure への接続は常にネットワークから Microsoft ネットワークに対して開始されます。Connectivity to Microsoft Azure services on public peering is always initiated from your network into the Microsoft network. そのため、ExpressRoute 経由で Microsoft Azure サービスからネットワークへのセッションを開始することはできません。Therefore, sessions cannot be initiated from Microsoft Azure services to your network over ExpressRoute. 開始しようとすると、これらのアドバタイズされた IP に送信されるパケットでは、ExpressRoute ではなく、インターネットが使用されます。If attempted, packets sent to these advertised IPs will use the internet instead of ExpressRoute.

パブリック ピアリングで Microsoft Azure に向かうトラフィックは有効な IPv4 アドレスに SNAT 変換しないと、Microsoft ネットワークに入れません。Traffic destined to Microsoft Azure on public peering must be SNATed to valid public IPv4 addresses before they enter the Microsoft network. 下の図は、上記の要件を満たすように NAT をセットアップするしくみを上のレベルで示しています。The figure below provides a high-level picture of how the NAT could be set up to meet the above requirement.

NAT IP プールとルート アドバタイズNAT IP pool and route advertisements

トラフィックが有効なパブリック IPv4 アドレスで Azure パブリック ピアリング パスに入っていることを確認する必要があります。You must ensure that traffic is entering the Azure public peering path with valid public IPv4 address. Microsoft はリージョンのルーティング インターネット レジストリ (RIR) またはインターネット ルーティング レジストリ (IRR) に対して IPv4 NAT アドレスの所有権を検証する必要があります。Microsoft must be able to validate the ownership of the IPv4 NAT address pool against a regional routing Internet registry (RIR) or an Internet routing registry (IRR). ピアリングされている AS 番号と NAT に使用されている IP アドレスに基づいて確認されます。A check will be performed based on the AS number being peered with and the IP addresses used for the NAT. ルーティング レジストリに関する情報については、 ExpressRoute のルーティングの要件 のページを参照してください。Refer to the ExpressRoute routing requirements page for information on routing registries.

このピアリングでアドバタイズされる NAT IP プレフィックスの長さには制約がありません。There are no restrictions on the length of the NAT IP prefix advertised through this peering. NAT プールを監視し、NAT セッションが不足していないことを確認する必要があります。You must monitor the NAT pool and ensure that you are not starved of NAT sessions.

重要

Microsoft にアドバタイズされる NAT IP プールはインターネットにアドバタイズしないでください。The NAT IP pool advertised to Microsoft must not be advertised to the Internet. 他の Microsoft サービスへの接続が切断されます。This will break connectivity to other Microsoft services.

次の手順Next steps