Azure Virtual WAN とは

Azure Virtual WAN は、ネットワーク、セキュリティ、ルーティングのさまざまな機能をまとめて、1 つの運用インターフェイスを提供するネットワーク サービスです。 これらの機能には、ブランチ接続 (SD-WAN や VPN CPE などの Virtual WAN パートナー デバイスからの接続自動化経由)、サイト間 VPN 接続、リモート ユーザー VPN (ポイント対サイト) 接続、プライベート (ExpressRoute) 接続、クラウド内接続 (仮想ネットワークの推移的な接続)、VPN ExpressRoute 相互接続、ルーティング、Azure Firewall、プライベート接続のための暗号化が含まれます。 Virtual WAN の利用を開始するために、これらのすべてのユース ケースを用意する必要はありません。 単純に 1 つのユース ケースから始めて、ネットワークの発展に合わせて調整することができます。

Virtual WAN アーキテクチャは、ブランチ (VPN または SD-WAN デバイス)、ユーザー (Azure VPN、OpenVPN、または IKEv2 クライアント)、ExpressRoute 回線、仮想ネットワーク向けにスケールとパフォーマンスが組み込まれたスケールスケーリングするハブ アンド スポーク アーキテクチャです。 これにより、グローバル トランジット ネットワーク アーキテクチャが可能になります。つまり、クラウドでホストされたネットワーク "ハブ" によって、さまざまな種類の "スポーク" に分散されている可能性があるエンドポイント間の推移的な接続が可能になります。

Azure リージョンは、接続先として選択できるハブとして機能します。 Standard Virtual WAN ではすべてのハブがフル メッシュで接続されるため、ユーザーは Any-to-Any (任意のスポーク) 接続に Microsoft バックボーンを簡単に使用できます。 SD-WAN または VPN デバイスとのスポーク接続の場合、ユーザーは Azure Virtual WAN 内で手動で設定するか、Virtual WAN CPE (SD-WAN または VPN) パートナー ソリューションを使用して Azure への接続を設定することができます。 Azure Virtual WAN での接続の自動化 (デバイス情報を Azure にエクスポートし、Azure 構成をダウンロードして接続を確立する機能) をサポートするパートナーの一覧が提供されています。 詳細については、Virtual WAN のパートナーと場所に関する記事を参照してください。

Virtual WAN のダイアグラム

この記事では、Azure Virtual WAN のネットワーク接続について簡単に説明します。 Virtual WAN には次の利点があります。

  • ハブ アンド スポーク型の統合された接続ソリューション: オンプレミス サイトと Azure ハブの間のサイト間の構成と接続を自動化します。
  • 自動化されたスポークの設定と構成: 仮想ネットワークとワークロードを Azure ハブにシームレスに接続します。
  • 直感的なトラブルシューティング: Azure 内でエンド ツー エンドのフローを確認し、この情報を使用して必要なアクションを実行できます。

Basic および Standard の仮想 WAN

仮想 WAN には、次の 2 つの種類があります:Basic と Standard です。 各種類に対して使用できる構成を、次の表に示します。

Virtual WAN の種類 ハブの種類 利用可能な構成
Basic Basic サイト間 VPN のみ
Standard Standard ExpressRoute
ユーザー VPN (P2S)
VPN (サイト対サイト)
仮想ハブを経由したハブ間および VNet 対 VNet トランジット

注意

Basic から Standard にアップグレードすることはできますが、Standard から Basic に戻すことはできません。

仮想 WAN をアップグレードする手順については、「Virtual WAN を Basic から Standard にアップグレードする」をご覧ください。

アーキテクチャ

仮想 WAN のアーキテクチャと Virtual WAN への移行方法については、次の記事を参照してください。

Virtual WAN リソース

エンドツーエンドの仮想 WAN を構成するには、次のリソースを作成します。

  • virtualWAN: virtualWAN リソースは、Azure ネットワークの仮想オーバーレイを表し、複数のリソースのコレクションです。 これには、仮想 WAN 内に配置するすべての仮想ハブへのリンクが含まれます。 Virtual WAN リソースは相互に分離されており、共通のハブを含むことはできません。 Virtual WAN 上の仮想ハブは互いに通信しません。

  • ハブ: 仮想ハブは、Microsoft のマネージド仮想ネットワークです。 ハブには、接続を可能にするためのさまざまなサービス エンドポイントが含まれています。 オンプレミス ネットワーク (vpnsite) から、仮想ハブ内の VPN Gateway に接続したり、ExpressRoute 回線を仮想ハブに接続したり、またはモバイル ユーザーを仮想ハブ内のポイント対サイト ゲートウェイに接続したりすることもできます。 ハブは、リージョン内のネットワークのコアです。 1 つの Azure リージョンに配置できるハブは 1 つのみです。

    ハブ ゲートウェイは、ExpressRoute および VPN Gateway に使用する仮想ネットワーク ゲートウェイと同じではありません。 たとえば、Virtual WAN を使用する場合は、オンプレミス サイトから直接 VNet にサイト間接続を作成しません。 代わりに、ハブへのサイト間接続を作成します。 トラフィックは、常にハブ ゲートウェイを通過します。 これは、VNet には独自の仮想ネットワーク ゲートウェイが必要ないことを意味します。 Virtual WAN により、VNet は、仮想ハブと仮想ハブ ゲートウェイを介して簡単にスケーリングできます。

  • ハブ仮想ネットワーク接続: ハブ仮想ネットワーク接続リソースは、ハブを仮想ネットワークにシームレスに接続するために使用します。

  • ハブ間接続 ハブはすべて、仮想 WAN 内で相互に接続されています。 これは、ローカル ハブに接続されているブランチ、ユーザー、または VNet が、接続されたハブのフル メッシュ アーキテクチャを使用して、別のブランチまたは VNet と通信できることを意味します。 また、ハブ間の VNet と同様に、ハブ間接続されたフレームワークを使用して、仮想ハブを通じて転送するハブ内の VNet を接続することもできます。

  • ハブのルート テーブル: 仮想ハブのルートを作成して、そのルートを仮想ハブのルート テーブルに適用することができます。 仮想ハブのルート テーブルには、複数のルートを適用できます。

追加の Virtual WAN リソース

  • サイト: このリソースは、サイト間接続にのみ使用されます。 サイト リソースは vpnsite です。 これは、オンプレミスの VPN デバイスとその設定を表します。 Virtual WAN パートナーと連携することで、この情報を Azure に自動的にエクスポートする組み込みのソリューションが得られます。

接続の種類

Virtual WAN では、次の種類の接続を使用できます。サイト間 VPN、ユーザー VPN (ポイント対サイト)、および ExpressRoute です。

サイト間 VPN 接続

サイト間 IPsec または IKE (IKEv2) 接続を使用して、Azure 内のリソースに接続することができます。 詳細については、Virtual WAN を使用したサイト間接続の作成に関するページを参照してください。

この種類の接続には、VPN デバイスまたは Virtual WAN パートナー デバイスが必要です。 Virtual WAN パートナーは、デバイス情報を Azure にエクスポートし、Azure 構成をダウンロードして、Azure Virtual WAN ハブへの接続を確立できる、接続の自動化を提供しています。 利用可能なパートナーと場所の一覧については、Virtual WAN のパートナーと場所に関する記事を参照してください。 VPN または SD-WAN デバイス プロバイダーが前述のリンク先に記載されていない場合は、Virtual WAN を使用したサイト間接続の作成に関するページの手順を行って簡単に接続を設定できます。

ユーザー VPN (ポイント対サイト) 接続

IPsec/IKE (IKEv2) 接続または OpenVPN 接続を使用して、Azure 内のリソースに接続できます。 この種類の接続を使うには、クライアント コンピューター上で VPN クライアントを構成する必要があります。 詳細については、ポイント対サイト接続の作成に関する記事をご覧ください。

ExpressRoute 接続

ExpressRoute を使用すると、プライベート接続を介してオンプレミス ネットワークを Azure に接続できます。 接続を作成するには、Virtual WAN を使用した ExpressRoute 接続の作成に関するページを参照してください。

ハブから VNet への接続

Azure 仮想ネットワークを仮想ハブに接続することができます。 詳細については、VNet のハブへの接続に関するセクションを参照してください。

トランジット接続

VNet 間のトランジット接続

Virtual WAN では、VNet 間のトランジット接続が可能です。 VNet では、仮想ネットワーク接続を介して仮想ハブに接続します。 すべての仮想ハブにはルーターが存在するため、Standard Virtual WAN の VNet 間でトランジット接続が有効になります。 このルーターは、仮想ハブが最初に作成されたときにインスタンス化されます。

ルーターには 4 つのルーティング状態があります。プロビジョニング済み、プロビジョニング中、失敗、または、なしです。 Azure portal で [仮想ハブ] ページに移動すると、 [Routing status](ルーティングの状態) が表示されます。

  • なし 状態は、仮想ハブでルーターがプロビジョニングされなかったことを示します。 これは、Virtual WAN の種類が Basic の場合、またはサービスが利用可能になる前に仮想ハブがデプロイされた場合に発生する可能性があります。
  • 失敗 状態は、インスタンス化中の失敗を示します。 ルーターをインスタンス化またはリセットするには、Azure portal の仮想ハブの [概要] ページに移動し、 [Reset Router](ルーターのリセット) オプションを見つけます。

各仮想ハブ ルーターは、最大 50 Gbps の集約スループットをサポートしています。 仮想ネットワーク接続間の接続では、単一の仮想ハブに接続されているすべての VNet 全体で合計 2,000 VM のワークロードを想定しています。

VPN と ExpressRoute 間のトランジット接続

Virtual WAN では、VPN と ExpressRoute 間のトランジット接続が可能です。 これは、VPN 接続サイトまたはリモート ユーザーが ExpressRoute 接続サイトと通信できることを意味します。 また、ブランチ間フラグ が有効であり、VPN と ExpressRoute 接続で BGP がサポートされていることが暗黙的に想定されています。 このフラグは、Azure portal の Azure Virtual WAN 設定にあります。 すべてのルート管理は仮想ハブ ルーターによって提供されます。これにより、仮想ネットワーク間のトランジット接続も可能になります。

カスタム ルーティング

Virtual WAN には、高度なルーティング機能強化があります。 カスタム ルート テーブルの設定、ルートの関連付けと伝達による仮想ネットワーク ルーティングの最適化、ラベルを使用したルート テーブルの論理的なグループ化、多数のネットワーク仮想アプライアンス (NVA) または共有サービスのルーティング シナリオを簡素化する機能があります。

グローバル VNET ピアリング

グローバル VNet ピアリングには、異なるリージョンにある 2 つの VNet を接続するメカニズムが用意されています。 Virtual WAN では、仮想ネットワーク接続によって VNet が仮想ハブと接続されます。 ユーザーはグローバル VNet ピアリングを明示的に設定する必要がありません。 同じリージョンの仮想ハブに接続された VNet には、VNet ピアリング料金が発生します。 別のリージョンの仮想ハブに接続された VNet には、グローバル VNet ピアリング料金が発生します。

ExpressRoute トラフィックの暗号化

Azure Virtual WAN には、ExpressRoute トラフィックを暗号化する機能があります。 この手法により、パブリック インターネットを経由したり、パブリック IP アドレスを使用したりすることなく、ExpressRoute を経由してオンプレミス ネットワークと Azure 仮想ネットワークの間で暗号化されたトランジットを提供できます。 詳細については、Virtual WAN 向けの ExpressRoute 経由の IPsecに関するページを参照してください。

場所

場所の情報については、Virtual WAN のパートナーと場所に関する記事を参照してください。

Basic および Standard 仮想 WAN のルート テーブル

ルート テーブルに、関連付けと伝達の機能が備わりました。 既存のルート テーブルは、これらの機能を持たないルート テーブルです。 ハブ ルーティングに既存のルートがあり、新しい機能を使用する場合は、以下を考慮してください。

  • 仮想ハブに既存のルートがある Standard Virtual WAN のお客様:Azure portal のハブの [ルーティング] セクションにルートが既にある場合、まずそれらを削除してから、新しいルート テーブルを作成する必要があります (Azure portal のハブの [ルート テーブル] セクションにあります)。 Virtual WAN 内のすべてのハブに対して削除手順を実行することを強くお勧めします。

  • 仮想ハブに既存のルートがある Basic Virtual WAN のお客様:Azure portal のハブの [ルーティング] セクションにルートが既にある場合、まずそれらを削除してから、お使いの Basic Virtual WAN を Standard Virtual WAN に アップグレード します。 「Virtual WAN を Basic から Standard にアップグレードする」を参照してください。 Virtual WAN 内のすべてのハブに対して削除手順を実行することを強くお勧めします。

FAQ

Azure Virtual WAN は GA ですか。

はい。Azure Virtual WAN は一般提供 (GA) の状態にあります。 ただし、Virtual WAN はいくつかの機能とシナリオから構成されています。 Microsoft がプレビュー タグを適用する機能またはシナリオが Virtual WAN 内にあります。 その場合、特定の機能またはシナリオ自体がプレビューになります。 特定のプレビュー機能を使用しない場合、通常の GA サポートが適用されます。 プレビュー サポートについて詳しくは、「Microsoft Azure プレビューの追加使用条件」を参照してください。

ユーザーは、Azure Virtual WAN を使用するために、SD-WAN/VPN デバイスを利用したハブとスポークを用意する必要がありますか。

Virtual WAN では、サイト/サイト間 VPN 接続、ユーザー/P2S 接続、ExpressRoute 接続、Virtual Network 接続、VPN ExpressRoute 相互接続、VNet 間の推移的な接続、一元化されたルーティング、Azure Firewall、Firewall Manager のセキュリティ、監視、ExpressRoute 暗号化など、数多くの機能が 1 つの画面に組み込まれています。 Virtual WAN の利用を開始するために、これらのユースケースをすべて用意する必要はありません。 1 つのユース ケースのみで利用を開始できます。

Virtual WAN アーキテクチャは、スケールとパフォーマンスが組み込まれたハブ アンド スポーク アーキテクチャで、ブランチ (VPN または SD-WAN デバイス)、ユーザー (Azure VPN クライアント、openVPN、または IKEv2 クライアント)、ExpressRoute 回線、仮想ネットワークが仮想ハブのスポークとして機能します。 Standard Virtual WAN ではすべてのハブがフル メッシュで接続されるため、ユーザーは Any-to-Any (任意のスポーク) 接続に Microsoft バックボーンを簡単に使用できます。 SD-WAN/VPN デバイスを利用したハブとスポークの場合、ユーザーは Azure Virtual WAN ポータル内で手動で設定するか、Virtual WAN パートナーのCPE (SD-WAN/VPN) を使用して Azure への接続を設定することができます。

Virtual WAN パートナーによって、デバイス情報を Azure にエクスポートし、Azure 構成をダウンロードして、Azure Virtual WAN ハブへの接続を確立できる、接続の自動化が提供されます。 ポイント対サイト (ユーザー VPN) 接続の場合、Azure VPN クライアント、OpenVPN、または IKEv2 クライアントがサポートされています。

Virtual WAN でフル メッシュ ハブを無効にすることはできますか。

Virtual WAN には、次の 2 種類があります。Basic と Standard です。 Basic Virtual WAN では、ハブはメッシュされません。 Standard Virtual WAN では、ハブはメッシュされ、仮想 WAN が最初に設定されるときに自動的に接続されます。 ユーザーは特に何もする必要はありません。 また、ユーザーはフル メッシュ ハブを取得する機能を無効または有効にする必要もありません。 Virtual WAN には、任意のスポーク (VNet、VPN、または ExpressRoute) 間のトラフィックを操作するためのルーティング オプションが多数用意されています。 これにより、フル メッシュ ハブを簡単に利用でき、ニーズに応じてトラフィックをルーティングする柔軟性も得られます。

Virtual WAN では Availability Zones と回復性はどのように処理されますか。

Virtual WAN は、ハブ内で使用可能になったハブとサービスのコレクションです。 ユーザーは、必要な数だけ Virtual WAN を利用できます。 Virtual WAN ハブには、VPN や ExpressRoute などの複数のサービスがあります。Availability Zones リージョンで Availability Zones がサポートされている場合、これらのサービス (Azure Firewall を除く) はそれぞれそのリージョンにデプロイされます。 ハブでの初期デプロイ後にリージョンが可用性ゾーンになった場合、ユーザーはゲートウェイを再作成できます。これにより、可用性ゾーンのデプロイがトリガーされます。 すべてのゲートウェイがアクティブ/アクティブとしてハブにプロビジョニングされます。これは、ハブ内に回復性が組み込まれていることを意味します。 ユーザーは、複数のリージョンにわたって回復性が必要な場合、複数のハブに接続できます。

Virtual WAN の概念はグローバルですが、実際の Virtual WAN リソースは Resource Manager ベースであり、リージョンでデプロイされます。 仮想 WAN リージョン自体に問題がある場合、その仮想 WAN 内のすべてのハブは引き続きそのまま機能しますが、ユーザーは、仮想 WAN リージョンが使用可能になるまで新しいハブを作成することはできません。

Azure Virtual WAN ユーザー VPN (ポイント対サイト) ではどのクライアントがサポートされていますか。

Virtual WAN では Azure VPN クライアント、OpenVPN クライアント、または任意の IKEv2 クライアントがサポートされています。 Azure VPN クライアントでは、Azure AD 認証がサポートされています。少なくとも Windows 10 クライアント OS バージョン 17763.0 以降が必要です。 OpenVPN クライアントでは、証明書ベースの認証をサポートできます。 ゲートウェイで証明書ベースの認証が選択されると、ご利用のデバイスにダウンロードできる .ovpn* ファイルが表示されます。 IKEv2 では、証明書と RADIUS の両方の認証がサポートされます。

ユーザー VPN (ポイント対サイト) の場合、P2S クライアント プールが 2 つのルートに分割されるのはなぜですか。

各ゲートウェイには 2 つのインスタンスがあり、接続されたクライアントに対して各ゲートウェイ インスタンスが個別にクライアント IP を割り当てることができ、仮想ネットワークからのトラフィックを適切なゲート ウェイ インスタンスに戻るようルーティングしてゲートウェイ インスタンス間のホップを避けるために分割が行われます。

P2S クライアント用の DNS サーバーを追加するにはどうすればよいですか。

P2S クライアント用の DNS サーバーを追加するには、2つのオプションがあります。 クライアントではなく、ゲートウェイにカスタム DNS サーバーを追加する場合は、最初の方法が優先されます。

  1. 次の PowerShell スクリプトを使用して、カスタム DNS サーバーを追加します。 ご利用の環境に合わせて値を置き換えてください。

    // Define variables
    $rgName = "testRG1"
    $virtualHubName = "virtualHub1"
    $P2SvpnGatewayName = "testP2SVpnGateway1"
    $vpnClientAddressSpaces = 
    $vpnServerConfiguration1Name = "vpnServerConfig1"
    $vpnClientAddressSpaces = New-Object string[] 2
    $vpnClientAddressSpaces[0] = "192.168.2.0/24"
    $vpnClientAddressSpaces[1] = "192.168.3.0/24"
    $customDnsServers = New-Object string[] 2
    $customDnsServers[0] = "7.7.7.7"
    $customDnsServers[1] = "8.8.8.8"
    $virtualHub = $virtualHub = Get-AzVirtualHub -ResourceGroupName $rgName -Name $virtualHubName
    $vpnServerConfig1 = Get-AzVpnServerConfiguration -ResourceGroupName $rgName -Name $vpnServerConfiguration1Name
    
    // Specify custom dns servers for P2SVpnGateway VirtualHub while creating gateway
    createdP2SVpnGateway = New-AzP2sVpnGateway -ResourceGroupName $rgname -Name $P2SvpnGatewayName -VirtualHub $virtualHub -VpnGatewayScaleUnit 1 -VpnClientAddressPool $vpnClientAddressSpaces -VpnServerConfiguration $vpnServerConfig1 -CustomDnsServer $customDnsServers
    
    // Specify custom dns servers for P2SVpnGateway VirtualHub while updating existing gateway
    $P2SVpnGateway = Get-AzP2sVpnGateway -ResourceGroupName $rgName -Name $P2SvpnGatewayName
    $updatedP2SVpnGateway = Update-AzP2sVpnGateway -ResourceGroupName $rgName -Name $P2SvpnGatewayName  -CustomDnsServer $customDnsServers 
    
    // Re-generate Vpn profile either from PS/Portal for Vpn clients to have the specified dns servers
    
  2. または、Windows 10 向けの Azure VPN クライアントを使用している場合は、ダウンロードしたプロファイル XML ファイルを変更して、 <dnsservers><dnsserver> </dnsserver></dnsservers> タグを追加してからインポートできます。

       <azvpnprofile>
       <clientconfig>
    
           <dnsservers>
               <dnsserver>x.x.x.x</dnsserver>
               <dnsserver>y.y.y.y</dnsserver>
           </dnsservers>
    
       </clientconfig>
       </azvpnprofile>
    

ユーザー VPN (ポイント対サイト) の場合、サポートされているクライアントの数はいくつですか。

各ユーザー VPN P2S ゲートウェイには、2 つのインスタンスがあります。 各インスタンスでサポートされる接続数の上限は、スケール ユニットによって異なります。 スケール ユニット 1 から 3 では、500 接続がサポートされます。スケール ユニット 4 から 6 では、1,000 接続がサポートされます。スケール ユニット 7 から 12 では、5,000 接続がサポートされます。スケール ユニット 13 から 18 では最大 10,000 接続がサポートされます。

たとえば、ユーザーが 1 スケール ユニットを選択したとします。 各スケール ユニットはデプロイされた 1 つのアクティブ/アクティブ ゲートウェイを意味し、(この例では 2 つある) インスタンスのそれぞれで最大 500 接続がサポートされます。 ゲートウェイあたり 500 接続 * 2 を取得できますが、このスケール ユニットで 500 ではなく、1,000 を計画することを意味するわけではありません。 推奨される接続数を超えた場合は、余分な 500 の接続が中断される可能性があるため、インスタンスの処理が必要になることがあります。 また、スケール ユニットをスケールアップまたはスケールダウンする場合や、VPN ゲートウェイのポイント対サイト構成を変更する場合に備えて、必ずダウンタイムを計画してください。

Azure 仮想ネットワーク ゲートウェイ (VPN ゲートウェイ) と Azure Virtual WAN VPN ゲートウェイの違いは何ですか。

Virtual WAN は、大規模なサイト間接続を提供し、スループット、スケーラビリティ、使いやすさを考慮して構築されています。 Virtual WAN の VPN ゲートウェイにサイトを接続するとき、そのゲートウェイは、"VPN" タイプのゲートウェイを使用する通常の仮想ネットワーク ゲートウェイとは異なります。 同様に、ExpressRoute 回線を Virtual WAN ハブに接続するとき、ExpressRoute ゲートウェイには、"ExpressRoute" タイプのゲートウェイを使用する通常の仮想ネットワーク ゲートウェイとは異なるリソースが使用されます。

Virtual WAN は、VPN と ExpressRoute のどちらについても、最大 20 Gbps の総スループットをサポートします。 また、CPE 支店デバイス パートナーのエコシステムとの接続に関して、Virtual WAN は自動化に対応しています。 CPE 支店デバイスには、自動的にプロビジョニングして Azure Virtual WAN に接続する自動化機能が組み込まれています。 これらのデバイスは、拡大を続ける SD-WAN および VPN パートナーのエコシステムから利用できます。 推奨されるパートナーの一覧を参照してください。

Virtual WAN と Azure 仮想ネットワーク ゲートウェイは、どんな点が違いますか。

仮想ネットワーク ゲートウェイの VPN は、トンネル数が 30 に制限されています。 大規模な VPN の場合、接続するには、Virtual WAN を使用する必要があります。 各リージョン (仮想ハブ) につき最大 1,000 個の支店接続を、ハブあたり合計 20 Gbps で接続できます。 接続は、オンプレミス VPN デバイスから仮想ハブへのアクティブ/アクティブ型トンネルです。 リージョンごとに 1 つのハブを持つことができます。これは、ハブ全体で 1,000 を超える支店を接続できることを意味します。

Virtual WAN ゲートウェイ スケール ユニットとは何ですか。

スケール ユニットは、仮想ハブにおけるゲートウェイの総スループットを選択するために定義された単位です。 VPN の 1 スケール ユニットは 500 Mbps です。 ExpressRoute の 1 スケール ユニットは 2 Gbps です。 例:VPN の 10 スケール ユニットは 5 Gbps (= 500 Mbps * 10) を意味します。

どのデバイス プロバイダー (Virtual WAN パートナー) がサポートされていますか。

現時点で、多くのパートナーが、完全に自動化された Virtual WAN エクスペリエンスをサポートしています。 詳細については、Virtual WAN パートナーに関するページを参照してください。

Virtual WAN パートナーの自動化手順はどのようになっていますか。

パートナーの自動化手順については、Virtual WAN パートナーの自動化に関するページを参照してください。

推奨パートナー デバイスを使用する必要がありますか。

いいえ。 Azure の IKEv2/IKEv1 IPsec サポートのための要件に準拠する、任意の VPN 対応デバイスを使用できます。 また、Virtual WAN には、Azure Virtual WAN への接続を自動化して大規模な IPsec VPN 接続の設定を容易にする、CPE パートナー ソリューションがあります。

Virtual WAN パートナーはどのように Azure Virtual WAN との接続を自動化しますか。

通常、ソフトウェア定義の接続ソリューションでは、コントローラーまたはデバイス プロビジョニング センターを使用してブランチ デバイスを管理します。 コントローラーは、Azure API を使用して、Azure Virtual WAN への接続を自動化できます。 自動化には、支店情報のアップロードや、Azure の構成のダウンロード、Azure 仮想ハブに対する IPsec トンネルの設定、支店デバイスから Azure Virtual WAN への接続の自動設定が含まれます。 何百もの支店が存在する場合は、Virtual WAN CPE パートナーを使用して接続するのが簡単です。オンボーディング エクスペリエンスにより、大規模な IPsec 接続の設定、構成、管理が不要となるためです。 詳細については、「Virtual WAN partner automation」 (Virtual WAN パートナーの自動化) を参照してください。

使用しているデバイスが Virtual WAN パートナー リストにない場合はどうなりますか。 Azure Virtual WAN VPN に引き続き接続することはできますか。

はい。デバイスで IPsec IKEv1 または IKEv2 がサポートされている限り接続できます。 Virtual WAN パートナーによって、デバイスから Azure VPN エンドポイントへの接続が自動化されます。 これは、"ブランチ情報のアップロード"、"IPsec と構成"、"接続" などの手順が自動化されることを意味します。 ご利用のデバイスが Virtual WAN パートナーのエコシステムからのものでない場合、手動で Azure の構成を取得し、デバイスを更新して IPsec 接続を設定するなどの面倒な作業が必要になります。

ローンチ パートナーの一覧に記載されていない新しいパートナーが一覧に記載されるには、どうすればよいですか。

すべての仮想 WAN API はオープン API です。 Virtual WAN パートナーの自動化に関するドキュメントを参照して、技術的実現可能性を評価することができます。 理想的なパートナーは、IKEv1 または IKEv2 IPsec 接続用にプロビジョニングできるデバイスを持つパートナーです。 前述の自動化ガイドラインに基づいて、会社での CPE デバイスの自動化作業が完了したら、azurevirtualwan@microsoft.com にご連絡いただき、こちら (「パートナー経由の接続」) に一覧表示されるようにしてください。 特定の会社のソリューションが Virtual WAN パートナーとして一覧表示されるようにしたいとお考えのお客様は、azurevirtualwan@microsoft.com に電子メールを送信し、会社の連絡先を Virtual WAN にしてください。

Virtual WAN では SD-WAN デバイスがどのようにサポートされますか。

Virtual WAN パートナーによって、Azure VPN エンドポイントへの IPsec 接続が自動化されます。 Virtual WAN パートナーが SD-WAN プロバイダーである場合、SD-WAN コントローラーで Azure VPN エンドポイントに対する自動化および IPsec 接続が管理されることを意味します。 SD-WAN デバイスに、専用の SD-WAN 機能の Azure VPN ではなく、独自のエンドポイントが必要である場合、SD-WAN エンドポイントを Azure VNet にデプロイし、Azure Virtual WAN と共存させることができます。

1 つのハブにはいくつの VPN デバイスを接続できますか。

1 つの仮想ハブにつき、最大で 1,000 件の接続がサポートされます。 各接続は 4 つのリンクから成り、各リンク接続は、アクティブ/アクティブ構成の 2 つのトンネルをサポートします。 トンネルは、Azure 仮想ハブの VPN ゲートウェイで終了します。 リンクは、ブランチまたは VPN デバイスの物理的な ISP リンクを表します。

Azure Virtual WAN への支店接続とは

ブランチまたは VPN デバイスから Azure Virtual WAN への接続は、仮想ハブ内の VPN サイトと Azure VPN Gateway を仮想的に接続する VPN 接続です。

オンプレミスの VPN デバイスに Azure Virtual WAN VPN ゲートウェイへのトンネルが 1 つしかない場合はどうなりますか。

Azure Virtual WAN 接続は、2 つのトンネルから成ります。 Virtual WAN VPN ゲートウェイは、アクティブ/アクティブ モードで仮想ハブにデプロイされます。つまり、オンプレミス デバイスから各インスタンスを終点とするトンネルが別々に存在します。 これは、すべてのユーザーに推奨されます。 ただし、Virtual WAN VPN ゲートウェイ インスタンス 1 つに対してユーザーがトンネルを 1 つしか確保していない場合、なんらかの理由 (メンテナンス、パッチなど) でゲートウェイ インスタンスがオフラインになると、トンネルはセカンダリ アクティブ インスタンスに移動され、再接続が生じることがあります。 BGP セッションは、インスタンス間を移動しません。

オンプレミスの VPN デバイスを複数のハブに接続できますか。

はい。 開始時のトラフィック フローは、オンプレミス デバイスから、最も近い Microsoft ネットワーク エッジへ、次に仮想ハブへとなります。

Virtual WAN 用に使用できる新しい Resource Manager リソースはありますか。

はい。Virtual WAN には新しい Resource Manager リソースがあります。 詳細については、概要に関するページを参照してください。

Azure Virtual WAN で (NVA VNet 内に) 好みのネットワーク仮想アプライアンスをデプロイして使用できますか。

はい、お好みのネットワーク仮想アプライアンス (NVA) の VNet を Azure Virtual WAN に接続できます。

仮想ハブ内にネットワーク仮想アプライアンスを作成することはできますか。

ネットワーク仮想アプライアンス (NVA) を仮想ハブ内にデプロイすることはできません。 しかし、仮想ハブに接続されているスポーク VNet で作成し、ニーズに応じてトラフィックを転送するための適切なルーティングを有効にすることができます。

スポーク VNet に仮想ネットワーク ゲートウェイを配置することはできますか。

いいえ。 仮想ハブに接続されている場合、スポーク VNet に仮想ネットワーク ゲートウェイを配置することはできません。

VPN 接続で BGP はサポートされていますか。

はい。BGP はサポートされています。 VPN サイトを作成するときに、BGP パラメーターをそこに指定することができます。 これは、そのサイトの Azure で作成されたすべての接続が BGP に対して有効になることを意味します。

Virtual WAN のライセンス情報や価格情報はありますか。

はい。 価格に関するページを参照してください。

Resource Manager テンプレートを使用して Azure Virtual WAN を構築することはできますか。

1 つのハブを持つ 1 つの Virtual WAN と、1 つの vpnsite から成るシンプルな構成は、クイックスタート テンプレートを使用して作成できます。 Virtual WAN は、主として REST またはポータルによって駆動されるサービスです。

仮想ハブに接続されているスポーク VNet は相互に通信 (V2V 転送) できますか。

はい。 Standard Virtual WAN では、VNet が接続されている Virtual WAN ハブを介して、VNet 間の推移的な接続がサポートされています。 Virtual WAN の用語では、これらのパスを、VNet が単一のリージョン内の Virtual WAN ハブに接続されている場合は "ローカル Virtual WAN VNet 転送" と呼び、VNet が 2 つ以上のリージョンにまたがる複数の Virtual WAN ハブを通じて接続されている場合は "グローバル Virtual WAN VNet 転送" と呼びます。

一部のシナリオでは、ローカルまたはグローバルの Virtual WAN VNet 転送に加えて、仮想ネットワーク ピアリングを使用して、スポーク VNet を相互に直接ピアリングすることもできます。 この場合、VNet ピアリングは、Virtual WAN ハブを介した推移的な接続よりも優先されます。

Virtual WAN では、支店間接続を行うことができますか?

はい。Virtual WAN では、支店間接続が利用可能です。 ブランチは、概念的には VPN サイト、ExpressRoute 回線、またはポイント対サイト (ユーザー VPN) ユーザーに適用されます。 ブランチ間の有効化は既定で有効になっており、WAN の [構成] 設定で確認できます。 これにより、VPN ブランチまたはユーザーが他の VPN ブランチに接続できるようになります。また、VPN および ExpressRoute ユーザーの間での転送接続性が有効になります。

支店間トラフィックは、Azure Virtual WAN を横断しますか。

はい。 支店間トラフィックは、Azure Virtual WAN を横断します。

Virtual WAN では、各サイトからの ExpressRoute が必要ですか。

いいえ。 この Virtual WAN では、各サイトからの ExpressRoute は不要です。 サイトは、ExpressRoute 回線を使用してプロバイダーのネットワークに接続される場合があります。 仮想ハブへの ExpressRoute および同じハブへの IPsec VPN を使用して接続されているサイトの場合、仮想ハブで VPN および ExpressRoute ユーザー間の転送接続性が提供されます。

Azure Virtual WAN を使用する場合、ネットワーク スループットまたは接続に制限はありますか。

ネットワーク スループットは、仮想 WAN ハブのサービスごとにあります。 仮想 WAN は必要な数だけ使用できますが、各仮想 WAN ではリージョンごとに 1 つのハブが許可されます。 各ハブでは、VPN の総スループットは最大 20 Gbps、ExpressRoute の総スループットは最大 20 Gbps、ユーザー VPN (ポイント対サイト) VPN の総スループットは最大 20 Gbps となります。 仮想ハブのルーターでは、VNet 対 VNet のトラフィック フローに対して最大 50 Gbps がサポートされ、単一の仮想ハブに接続されているすべての VNet で合計 2,000 の VM ワークロードが想定されます。

VPN サイトでは、ハブに接続するときに、複数の接続を使用します。 Virtual WAN では、仮想ハブあたり最大 1,000 の接続または 2,000 の IPsec トンネルがサポートされます。 リモート ユーザーは、仮想ハブに接続するときに、P2S VPN ゲートウェイに接続します。これにより、仮想ハブの P2S VPN ゲートウェイに対して選択されたスケール ユニット (帯域幅) に応じて、最大 10,000 のユーザーがサポートされます。

VPN トンネルおよび接続の VPN スループットの合計を教えてください。

ハブの VPN スループットの合計は、VPN ゲートウェイの選択されたスケール ユニットに基づき、最大で 20 Gbps となります。 スループットはすべての既存の接続によって共有されます。 接続内の各トンネルは最大 1 Gbps をサポートできます。

VPN 接続で NAT-T を使用できますか。

はい。NAT トラバーサル (NAT-T) がサポートされています。 Virtual WAN VPN ゲートウェイでは、NAT に類似する機能が IPsec トンネルとの間の内部パケットに対して実行されることはありません。 この構成では、オンプレミスのデバイスによって IPsec トンネルが開始されるようにします。

仮想ハブの 20 Gbps の設定がポータルに表示されません。 どのように構成すればよいですか。

ポータルでハブ内の VPN ゲートウェイに移動し、スケール ユニットをクリックして適切な設定に変更します。

Virtual WAN では、オンプレミス デバイスで複数の ISP を並行して利用できますか、それとも常に単一の VPN トンネルとなりますか。

オンプレミスのデバイス ソリューションでは、トラフィック ポリシーを適用して、Azure Virtual WAN ハブ (仮想ハブの VPN ゲートウェイ) への複数のトンネルにまたがるトラフィックを操作できます。

グローバル トランジット アーキテクチャとは何ですか。

グローバル トランジット アーキテクチャについては、「グローバル トランジット ネットワーク アーキテクチャと Virtual WAN」を参照してください。

Azure バックボーン上では、トラフィックはどのようにルーティングされますか。

トラフィックは、支店のデバイス -> ISP -> Microsoft ネットワーク エッジ -> Microsoft DC (ハブ VNet) -> Microsoft ネットワーク エッジ -> ISP -> 支店のデバイスというパターンに従います

このモデルでは、各サイトでどのようなものが必要ですか。 インターネット接続は必要ですか。

はい。 IPsec をサポートするインターネット接続および物理デバイスが必要です。統合 Virtual WAN パートナーが提供するものをお勧めします。 必要に応じて、好みのデバイスから、構成と Azure への接続を手動で管理できます。

接続 (VPN、ExpressRoute、または Virtual Network) の既定のルート (0.0.0.0/0) を有効にするにはどうすればよいですか。

仮想ハブは、仮想ネットワーク、サイト間 VPN、または ExpressRoute 接続に対し、学習した既定のルートを伝達することができます (対応するフラグが、その接続で "有効" になっている場合)。 このフラグは、ユーザーが仮想ネットワーク接続、VPN 接続、または ExpressRoute 接続を編集するときに表示されます。 サイトまたは ExpressRoute 回線がハブに接続されると、このフラグは既定で無効になります。 VNet を仮想ハブに接続するための仮想ネットワーク接続が追加されたときは、既定で有効になります。

既定のルートの起点は Virtual WAN ハブではありません。Virtual WAN ハブにファイアウォールをデプロイした結果としてそのハブが既定のルートを既に学習している場合、または接続されている別のサイトで強制トンネリングが有効な場合に、既定のルートが伝達されます。 既定のルートはハブ間で伝達されません。

仮想 WAN 内の仮想ハブは、どのようにして複数のハブからのルートに最適なパスを選択するのですか。

仮想ハブが複数のリモート ハブからの同じルートを学習する場合、次の順序で決定されます。

  1. プレフィックスの最長一致。
  2. インターハブ上のローカル ルート (仮想ハブからは 65520-65520 がインターハブ AS に対して割り当てられます)。
  3. BGP 経由の静的ルート: これは、仮想ハブ ルーターによって行われる決定に対するコンテキストにあります。 しかし、決定を行うのが VPN ゲートウェイであり、サイトで BGP 経由のルートをアドバタイズする場合、または静的アドレス プレフィックスを指定する場合は、静的ルートが BGP ルートよりも優先されることがあります。
  4. VPN 経由の ExpressRoute (ER): コンテキストがローカル ハブの場合、VPN よりも ER が優先されます。 ExpressRoute 回線間の転送接続は、Global Reach 経由でのみ使用できます。 そのため、ExpressRoute 回線が 1 つのハブに接続されており、VPN 接続を使用して異なるハブに接続されている別の ExpressRoute 回線があるシナリオの場合、ハブ間のシナリオでは VPN が優先される可能性があります。
  5. AS パスの長さ。

Virtual WAN ハブで ExpressRoute 回線間の接続性は許可されますか。

ER 間の転送は常に Global Reach 経由で行われます。 仮想ハブ ゲートウェイは、DC または Azure リージョンにデプロイされます。 2 つの ExpressRoute 回線が Global Reach 経由で接続されている場合、トラフィックがエッジ ルーターから仮想ハブ DC まで到達する必要はありません。

Azure Virtual WAN ExpressRoute 回線または VPN 接続に重みの概念はありますか。

複数の ExpressRoute 回線が仮想ハブに接続されている場合、接続のルーティングの重みによって、仮想ハブ内の ExpressRoute で一方の回線をもう一方より優先するメカニズムが提供されます。 VPN 接続に重みを設定するメカニズムはありません。 Azure では常に、1 つのハブ内の VPN 接続より ExpressRoute 接続が優先されます。

Virtual WAN では、Azure から送信されるトラフィックに対して、VPN より ExpressRoute が優先されますか。

はい。 Virtual WAN では、Azure から送信されるトラフィックに対して、VPN より ExpressRoute が優先されます。

Virtual WAN ハブに ExpressRoute 回線と VPN サイトが接続されている場合、VPN 接続ルートが ExpressRoute より優先される原因は何ですか。

ExpressRoute 回線が仮想ハブに接続されている場合、Microsoft エッジ ルーターは、オンプレミスと Azure の間の通信での最初のノードになります。 これらのエッジ ルーターは、Virtual WAN ExpressRoute ゲートウェイと通信します。次に、Virtual WAN のあらゆるゲートウェイの間のルートをすべて制御する仮想ハブ ルーターからルートを学習します。 Microsoft エッジ ルーターは、オンプレミスから学習したルートより高い優先順位である仮想ハブ ExpressRoute ルートを処理します。

なんらかの理由により、仮想ハブがルートを学習するためのプライマリ メディアに VPN 接続がなった場合は (ExpressRoute と VPN の間のフェールオーバー シナリオなど)、VPN サイトの AS パスが長い場合を除き、仮想ハブは引き続き ExpressRoute ゲートウェイと VPN 学習ルートを共有します。 これにより、Microsoft エッジ ルーターでは、オンプレミス ルートより VPN ルートが優先されます。

2 つのハブ (ハブ 1 と 2) が接続されていて、両方のハブに対して (蝶ネクタイのような形で) 接続されている ExpressRoute 回線がある場合、ハブ 2 に接続されている VNet に到達するために、ハブ 1 に接続されている VNet のパスはどのようなものですか。

現在の動作では、VNet 対 VNet 接続の場合、ハブ間よりも ExpressRoute 回線パスが優先されます。 しかし、これは仮想 WAN セットアップではお勧めできません。 Virtual WAN チームは、ExpressRoute パスよりハブ間を優先できるようにするための修正に取り組んでいます。 複数の ExpressRoute 回線 (異なるプロバイダー) を 1 つのハブに接続し、リージョン間のトラフィック フローに対して Virtual WAN によって提供されるハブ間接続を使用することをお勧めします。

ハブは、Virtual WAN 内の別のリソース グループに作成できますか。

はい。 このオプションは、現在、PowerShell を介してのみ使用可能です。 Virtual WAN ポータルでは、ハブが仮想 WAN リソース自体と同じリソース グループに含まれている必要があります。

推奨される Virtual WAN ハブのアドレス空間は /23 です。 Virtual WAN ハブは、さまざまなゲートウェイ (ExpressRoute、サイト間 VPN、ポイント対サイト VPN、Azure Firewall、仮想ハブ ルーター) にサブネットを割り当てます。 NVA が仮想ハブ内にデプロイされているシナリオでは、通常、NVA インスタンスに対して /28 が分割されます。 ただし、ユーザーが複数の NVA をプロビジョニングする場合は、/27 サブネットが割り当てられる可能性があります。 そのため、将来のアーキテクチャを念頭に置いて、Virtual WAN ハブのデプロイには /24 の最小サイズが使用されていますが、作成時にユーザーが入力するハブのアドレス空間の推奨値は /23 です。

Virtual WAN に IPv6 のサポートはありますか。

IPv6 は、Virtual WAN ハブとそのゲートウェイではサポートされていません。 IPv4 および IPv6 をサポートする VNet があり、その VNet を Virtual WAN に接続する必要がある場合、このシナリオは現在サポートされていません。

Azure Firewall 経由のインターネット ブレークアウトを使用したポイント対サイトのユーザー VPN シナリオでは、おそらく、仮想 WAN ハブに対してトラフィックを強制するために、クライアント デバイスの IPv6 接続性を無効にする必要があります。 最近のデバイスでは、IPv6 アドレスが既定で使用されるためです。

最小バージョンとして 05-01-2020 (2020 年 5 月 1 日) が必要です。

Virtual WAN には制限がありますか。

サブスクリプションとサービスの制限に関するページの「Virtual WAN の制限」のセクションを参照してください。

Basic タイプの Virtual WAN と Standard タイプの Virtual WAN の違いは何ですか。

Basic および Standard の仮想 WAN」を参照してください。 価格については、価格ページを参照してください。

Virtual WAN に顧客データは格納されますか?

いいえ。 Virtual WAN にお客様のデータは一切格納されません。

ユーザーに代わって Virtual WAN をサービスとして管理できるマネージド サービス プロバイダーはありますか?

はい。 Azure Marketplace から利用できるマネージド サービス プロバイダー (MSP) ソリューションの一覧については、「Azure ネットワーク MSP パートナーによる Azure Marketplace のオファー」を参照してください。

Virtual WAN ハブのルーティングは、VNet の Azure Route Server とどう違うのですか?

Azure Route Server は、Border Gateway Protocol (BGP) ピアリング サービスを提供しており、NVA (Network Virtual Appliance) は、このピアリング サービスを使用して、DIY ハブ VNet のルート サーバーからルートを学習することができます。 VNet 対 VNet トランジット ルーティング、カスタム ルーティング、カスタム ルートの関連付けと伝播、ゼロタッチのフル メッシュ型ハブ サービス、そして ExpressRoute、サイト VPN、リモート ユーザー P2S VPN、大規模 P2S VPN、セキュア ハブ (Azure Firewall) 機能の接続サービスなど、さまざまな機能が Virtual WAN のルーティングには備わっています。 NVA と Azure Route Server との間で BGP ピアリングを確立すると、NVA からの IP アドレスを仮想ネットワークにアドバタイズすることができます。 トランジット ルーティング、カスタム ルーティングなど、先進のあらゆるルーティング機能に、Virtual WAN ルーティングを使用することができます。

新機能

RSS フィードを購読し、Azure 更新情報ページで、最新の Virtual WAN 機能の更新を確認します。

次のステップ

Virtual WAN を使用してサイト間接続を作成する