ExpressRoute NAT の要件

ExpressRoute を使用して Microsoft クラウド サービスに接続するには、NAT をセットアップして管理する必要があります。 一部の接続プロバイダーでは、NAT のセットアップと管理が管理されたサービスとして提供されています。 このようなサービスが提供されているかどうか、接続プロバイダーに問い合わせてください。 このようなサービスが提供されていない場合は、次に示す要件に従う必要があります。

ExpressRoute の回線とルーティング ドメイン のページをお読みになり、さまざまなルーティング ドメインの概要をご確認ください。 Azure パブリックと Microsoft ピアリングのパブリック IP アドレス要件を満たすために、ネットワークと Microsoft の間に NAT をセットアップすることをお勧めします。 このセクションでは、セットアップする NAT インフラストラクチャに関して説明します。

Microsoft ピアリングの NAT 要件

Microsoft ピアリング パスにより、Azure パブリック ピアリング パスでサポートされていない Microsoft クラウド サービスに接続できます。 対象となるサービスには、Exchange Online、SharePoint Online、Skype for Business などの Microsoft 365 サービスが含まれます。 Microsoft は今後、Microsoft ピアリングで双方向の接続をサポートする予定です。 Microsoft クラウド サービスに向かうトラフィックは有効な IPv4 アドレスに SNAT 変換しないと、Microsoft ネットワークに入れません。 Microsoft クラウド サービスからご利用のネットワークに送信されるトラフィックは、非対称ルーティングを回避するためにインターネット エッジで SNAT 変換する必要があります。 下の図に、Microsoft ピアリングのために NAT を設定する方法の概要を示します。

Microsoft ピアリング用に NAT を設定する方法の概要図。

ご利用のネットワークから Microsoft に送信されるトラフィック

  • トラフィックが有効なパブリック IPv4 アドレスで Microsoft ピアリング パスに入っていることを確認する必要があります。 Microsoft はリージョンのルーティング インターネット レジストリ (RIR) またはインターネット ルーティング レジストリ (IRR) に対して IPv4 NAT アドレスの所有者を検証する必要があります。 ピアリングされている AS 番号と NAT に使用されている IP アドレスに基づいて確認されます。 ルーティング レジストリに関する情報については、 ExpressRoute のルーティングの要件 のページを参照してください。

  • Azure パブリック ピアリング セットアップと他の ExpressRoute 回線に使用する IP アドレスは BGP セッションで Microsoft にアドバタイズしないでください。 このピアリングでアドバタイズされる NAT IP プレフィックスの長さには制約がありません。

    重要

    Microsoft にアドバタイズされる NAT IP プールはインターネットにアドバタイズしないでください。 他の Microsoft サービスへの接続が切断されます。

Microsoft からあなたのネットワークに送信されるトラフィック

  • 一部のシナリオでは、あなたのネットワーク内でホストされているサービス エンドポイントへの接続を Microsoft が開始する必要があります。 そのようなシナリオの典型的な例は、Microsoft 365 からあなたのネットワークでホストされている ADFS サービスに接続する場合です。 そのような場合は、ネットワークから Microsoft ピアリングに適切なプレフィックスをリークする必要があります。
  • 非対称ルーティングを回避するために、ご利用のネットワーク内のサービス エンドポイント向けのインターネット エッジで Microsoft トラフィックを SNAT 変換する必要があります。 ExpressRoute 経由で受信したルートと一致する宛先 IP を持つ要求 と応答 は、常に ExpressRoute 経由で送信されます。 要求がインターネット経由で受信され、応答が ExpressRoute 経由で送信される場合に、非対称ルーティングが見られます。 インターネット エッジで受信した Microsoft トラフィックを SNAT 変換すると、応答トラフィックは強制的にインターネット エッジに返されるため、問題は解決します。

ExpressRoute を使用した非対称ルーティング

Azure パブリック ピアリングの NAT 要件

注意

Azure パブリック ピアリングは新しい回線では使用できません。

Azure パブリック ピアリング パスを利用すれば、パブリック IP アドレスで Azure にホストされているすべてのサービスに接続できます。 たとえば、 ExpessRoute FAQ の一覧にあるサービスや Microsoft Azure で ISV によりホストされているサービスです。

重要

パブリック ピアリングでの Microsoft Azure への接続は常にネットワークから Microsoft ネットワークに対して開始されます。 そのため、ExpressRoute 経由で Microsoft Azure サービスからネットワークへのセッションを開始することはできません。 開始しようとすると、これらのアドバタイズされた IP に送信されるパケットでは、ExpressRoute ではなく、インターネットが使用されます。

パブリック ピアリングで Microsoft Azure に向かうトラフィックは有効な IPv4 アドレスに SNAT 変換しないと、Microsoft ネットワークに入れません。 下の図は、上記の要件を満たすように NAT をセットアップするしくみを上のレベルで示しています。

Microsoft ネットワークに入る前に、NAT を有効なパブリック IPv4 アドレスに SNAT 変換するよう設定する方法の概要図。

NAT IP プールとルート アドバタイズ

トラフィックが有効なパブリック IPv4 アドレスで Azure パブリック ピアリング パスに入っていることを確認する必要があります。 Microsoft はリージョンのルーティング インターネット レジストリ (RIR) またはインターネット ルーティング レジストリ (IRR) に対して IPv4 NAT アドレスの所有権を検証する必要があります。 ピアリングされている AS 番号と NAT に使用されている IP アドレスに基づいて確認されます。 ルーティング レジストリに関する情報については、 ExpressRoute のルーティングの要件 のページを参照してください。

このピアリングでアドバタイズされる NAT IP プレフィックスの長さには制約がありません。 NAT プールを監視し、NAT セッションが不足していないことを確認する必要があります。

重要

Microsoft にアドバタイズされる NAT IP プールはインターネットにアドバタイズしないでください。 他の Microsoft サービスへの接続が切断されます。

次のステップ