グローバルトランジットネットワークアーキテクチャと Virtual WAN

[アーティクル]
03/14/2024

現代の企業では、クラウドとオンプレミスに高度に分散されたアプリケーション、データ、ユーザーの間のユビキタスな接続性が必要です。グローバルトランジットネットワークアーキテクチャは、クラウド中心の最新のグローバルエンタープライズ IT フットプリントを統合、接続、制御するために、企業によって採用されています。

グローバルトランジットネットワークアーキテクチャは、クラウドでホストされたネットワーク "ハブ" によって、さまざまな種類の "スポーク" に分散されている可能性があるエンドポイント間の推移的な接続が可能になる、従来のハブアンドスポーク接続モデルが基になっています。

このモデルでは、次のものがスポークになることができます。

仮想ネットワーク (VNet)
物理的なブランチサイト
リモートユーザー
Internet

"図 1:グローバルトランジットハブアンドスポークネットワーク

図 1 で示すグローバルトランジットネットワークの論理ビューでは、地理的に分散したユーザー、物理サイト、VNet が、クラウドでホストされたネットワークハブを介して相互接続されています。このアーキテクチャでは、ネットワークエンドポイント間の論理的な 1 ホップトランジット接続が可能になります。

Virtual WAN でのグローバルトランジットネットワーク

Azure Virtual WAN は Microsoft が管理するクラウドネットワークサービスです。このサービスを構成するすべてのネットワークコンポーネントは、Microsoft によってホストされて管理されます。 Virtual WAN の詳細については、Virtual WAN の概要に関するページを参照してください。

Azure Virtual WAN を使うと、VNet、ブランチサイト、SaaS および PaaS アプリケーション、ユーザーのグローバルに分散したクラウドワークロードのセットの間で、ユビキタスな Any-to-Any 接続を有効にすることにより、グローバルトランジットネットワークアーキテクチャを実現できます。

"図 2:グローバルトランジットネットワークと Virtual WAN

Azure Virtual WAN アーキテクチャでは、Virtual WAN のハブは Azure リージョンにおいてプロビジョニングされ、それにブランチ、VNet、リモートユーザーを接続できます。物理ブランチサイトは、Premium または Standard の ExpressRoute またはサイト間 VPN によってハブに接続されます。VNet は、VNet 接続によってハブに接続されます。リモートユーザーは、ユーザー VPN (ポイント対サイト VPN) を使ってハブに直接接続できます。また、Virtual WAN を使うと、あるリージョン内の VNet を別のリージョンの Virtual WAN ハブに接続できるリージョン間 VNet 接続もサポートされます。

Virtual WAN を確立するには、スポーク (ブランチ、VNet、ユーザー) の数が最も多いリージョンに Virtual WAN ハブを 1 つ作成した後、他のリージョン内にあるスポークをハブに接続します。これは、エンタープライズフットプリントの大部分が 1 つのリージョン内にあってリモートスポークの数が少ない場合に適したオプションです。

ハブ間接続

エンタープライズクラウドのフットプリントは複数のクラウドリージョンにまたがることができ、物理サイトやユーザーに最も近いリージョンからクラウドにアクセスするのに最適です (待ち時間対応)。グローバルトランジットネットワークアーキテクチャの重要な原則の 1 つは、すべてのクラウドとオンプレミスのネットワークエンドポイントの間のリージョン間接続を有効にすることです。つまり、あるリージョンのクラウドに接続されているブランチからのトラフィックは、Azure のグローバルネットワークによって有効になるハブ間接続を使用して、異なるリージョンにある別のブランチまたは VNet に到達できます。

"図 3:Virtual WAN のリージョン間接続

1 つの Virtual WAN で複数のハブを有効にすると、ハブはハブ間リンクによって自動的に相互接続されるため、複数のリージョンに分散されたブランチと VNet の間のグローバル接続が可能になります。

さらに、すべて同じ Virtual WAN の一部である複数のハブを、異なるリージョンアクセスポリシーおよびセキュリティポリシーに関連付けることができます。詳細については、後の「セキュリティとポリシーの制御」を参照してください。

Any-to-Any 接続

グローバルトランジットネットワークアーキテクチャを使うと、Virtual WAN ハブ経由で Any-to-Any 接続を実現できます。このアーキテクチャにより、構築と管理がより複雑な、スポーク間のフルメッシュ接続または部分メッシュ接続を使用する必要が、まったくなくなるか減ります。さらに、メッシュネットワークよりハブアンドスポークの方が、ルーティング制御の構成と保守が簡単です。

グローバルアーキテクチャのコンテキストにおける Any-to-Any 接続により、企業のグローバルに分散したユーザー、ブランチ、データセンター、VNet、アプリケーションは、"トランジット" ハブ経由で相互に接続できます。 Azure Virtual WAN は、グローバルなトランジットシステムとして機能します。

"図 4:Virtual WAN のトラフィックのパス

Azure Virtual WAN では、次のグローバルトランジット接続パスがサポートされています。かっこ内の文字は図 4 に対応します。

ブランチと VNet (a)
ブランチとブランチ (b)
ExpressRoute Global Reach と Virtual WAN
リモートユーザーと VNet (c)
リモートユーザーとブランチ (d)
VNet 対 VNet (e)
ブランチ対ハブとハブ対ブランチ (f)
ブランチ対ハブとハブ対 VNet (g)
VNet 対ハブとハブ対 VNet (h)

ブランチ対 VNet (a) およびブランチ対 VNet クロスリージョン (g)

ブランチと VNet の間は、Azure Virtual WAN によってサポートされる主要なパスです。このパスにより、Azure VNet にデプロイされた Azure IAAS エンタープライズワークロードにブランチを接続できます。ブランチは、ExpressRoute またはサイト間 VPN を介して仮想 WAN に接続できます。トラフィックは、VNet 接続を介して Virtual WAN ハブに接続されている VNet に転送されます。 Virtual WAN によってブランチサイトへのゲートウェイトランジットが自動的に有効になるので、明示的なゲートウェイトランジットは Virtual WAN には必要ありません。 SD-WAN CPE を Virtual WAN に接続する方法については、「Virtual WAN パートナー」を参照してください。

ExpressRoute Global Reach と Virtual WAN

ExpressRoute は、複数のオンプレミスネットワークを Microsoft Cloud に接続することができるプライベートで回復性がある方法です。 Virtual WAN を使うと、ExpressRoute 回線接続がサポートされます。 Virtual WAN には、ローカル、Standard、Premium の ExpressRoute 回線 SKU を接続できます。

Azure Virtual WAN を使用する際に ExpressRoute から ExpressRoute へのトランジット接続を有効にするには、以下の 2 つのオプションがあります。

ExpressRoute 回線で ExpressRoute Global Reach を有効にすることで、ExpressRoute から ExpressRoute へのトランジット接続を有効にすることができます。 Global Reach は、異なるピアリングの場所にある ExpressRoute 回線をリンクしてプライベートネットワークを作成できるようにする ExpressRoute のアドオン機能です。 Global Reach はグローバルバックボーン上のより最適なパスを可能とするため、Global Reach アドオンを使用した回線間の ExpressRoute から ExpressRoute へのトランジット接続は Virtual WAN ハブを通過しません。
プライベートトラフィックルーティングポリシーでルーティングインテント機能を使用して、Virtual WAN ハブにデプロイされたセキュリティアプライアンス経由の ExpressRoute トランジット接続を有効にすることができます。このオプションでは、Global Reach は必要ありません。詳細については、ルーティングインテントに関するドキュメントの ExpressRoute セクションを参照してください。

ブランチ対ブランチ (b) およびブランチ対ブランチクロスリージョン (f)

ブランチは、ExpressRoute 回線またはサイト間 VPN 接続を使用して、Azure Virtual WAN ハブに接続できます。ブランチに最も近いリージョンにある Virtual WAN ハブに、ブランチを接続できます。

このオプションでは、企業は Azure バックボーンを利用してブランチを接続できます。ただし、この機能を使用することはできますが、ブランチの接続に Azure Virtual WAN を使う場合とプライベート WAN を使う場合の利点を比較検討する必要があります。

注意

Virtual WAN 間でのブランチ間接続の無効化を構成すると、ブランチ間接続を無効にできます。この構成によって、VPN (S2S と P2S) と Express Route 接続サイトの間のルート伝達がブロックされます。この構成は、ブランチと VNet 間および VNet と VNet 間のルート伝達と接続には影響しません。 Azure portal を使用してこの設定を構成するには、次の手順を実行します。[Virtual WAN Configuration] (Virtual WAN 構成) メニューの [Setting:Branch-to-Branch - Disabled] (設定: ブランチとブランチ - 無効) を選択します。

リモートユーザーと VNet (c)

リモートユーザークライアントから Virtual WAN へのポイント対サイト接続を使用して、Azure へのセキュリティ保護された直接リモートアクセスを有効にすることができます。エンタープライズのリモートユーザーは、クラウドに戻るのに企業 VPN を使う必要がなくなります。

リモートユーザーとブランチ (d)

リモートユーザーとブランチのパスでは、Azure へのポイント対サイト接続を使っているリモートユーザーが、クラウドを経由してオンプレミスのワークロードとアプリケーションにアクセスできます。このパスにより、リモートユーザーは、Azure とオンプレミスの両方にデプロイされているワークロードに柔軟にアクセスできます。企業では、Azure Virtual WAN でクラウドベースのセキュリティ保護された集中リモートアクセスサービスを有効にすることができます。

VNet 対 VNet トランジット (e) および VNet 対 VNet クロスリージョン (h)

VNet 対 VNet トランジットを使うと、VNet を相互に接続し、複数の VNet に実装されている多層アプリケーションを相互接続できます。必要に応じて、VNet ピアリングを使用して VNet を相互に接続でき、これは VWAN ハブ経由の転送が不要なシナリオに適している場合があります。

強制トンネリングと既定のルート

強制トンネリングを有効にするには、Virtual WAN の VPN、ExpressRoute、または Virtual Network 接続で既定のルートの有効化を構成します。

仮想ハブは、仮想ネットワーク、サイト間 VPN、または ExpressRoute 接続に対し、学習した既定のルートを伝達します (既定の有効化フラグが、その接続で "有効" になっている場合)。

このフラグは、ユーザーが仮想ネットワーク接続、VPN 接続、または ExpressRoute 接続を編集するときに表示されます。サイトまたは ExpressRoute 回線がハブに接続されると、このフラグは既定で無効になります。 VNet を仮想ハブに接続するための仮想ネットワーク接続が追加されたときは、既定で有効になります。既定のルートの起点は Virtual WAN ハブではありません。Virtual WAN ハブにファイアウォールをデプロイした結果としてそのハブが既定のルートを既に学習している場合、または接続されている別のサイトで強制トンネリングが有効な場合に、既定のルートが伝達されます。

セキュリティとポリシーの制御

Azure Virtual WAN ハブにより、ハイブリッドネットワーク上のすべてのネットワークエンドポイントが相互接続され、すべてのトランジットネットワークトラフィックが認識される可能性があります。ハブに Bump-in-the-Wire セキュリティソリューションをデプロイすると、Virtual WAN ハブをセキュリティ保護付き仮想ハブに変換できます。 Azure Firewall をデプロイし、クラウドベースのセキュリティ、アクセス、ポリシー制御を有効にするには、Virtual WAN ハブ内の "次世代ファイアウォールネットワーク仮想アプライアンス" または "サービスとしてのセキュリティソフトウェア (SaaS)" を選びます。仮想ハブルーティングインテントを使用して、ハブ内のセキュリティソリューションにトラフィックをルーティングするように Virtual WAN を構成できます。

Virtual WAN ハブ内の Azure Firewall のオーケストレーションは、Azure Firewall Manager で実行できます。 Azure Firewall Manager を使うと、セキュリティを管理し、グローバルトランジットネットワーク用にスケーリングする機能が提供されます。 Azure Firewall Manager には、Azure Firewall と共に、ルーティングの一元管理、グローバルポリシーの管理、サードパーティによる高度なインターネットセキュリティサービスの機能が用意されています。

Virtual WAN ハブにおける次世代ファイアウォールネットワーク仮想アプライアンスのデプロイと統制について詳しくは、Virtual ハブの統合ネットワーク仮想アプライアンスをご覧ください。 Virtual WAN ハブにデプロイできる SaaS セキュリティソリューションについて詳しくは、サービスとしてのソフトウェアをご覧ください。

図 5:Azure Firewall によるセキュリティ保護付き仮想ハブ

Virtual WAN では、次のセキュリティ保護付きグローバルトランジット接続パスがサポートされています。このセクションのダイアグラムとトラフィックパターンでは "Azure Firewall" のユースケースが説明されていますが、ハブにデプロイされた "ネットワーク仮想アプライアンス" と "SaaS セキュリティソリューション" で同じトラフィックパターンがサポートされています。かっこ内の文字は図 5 に対応します。

ブランチ対 VNet セキュリティ保護付きトランジット (c)
仮想ハブ間のブランチ対 VNet セキュリティ保護付きトランジット (g)、ルーティングインテントでサポート
VNet 対 VNet セキュリティ保護付きトランジット (e)
仮想ハブ間の VNet 対 VNet セキュリティ保護付きトランジット (h)、ルーティングインテントでサポート
ブランチ対ブランチセキュリティ保護付きトランジット (b)、ルーティングインテントでサポート
仮想ハブ間のブランチ対ブランチセキュリティ保護付きトランジット (f)、ルーティングインテントでサポート
VNet 対インターネットまたはサードパーティセキュリティサービス (i)
ブランチ対インターネットまたはサードパーティセキュリティサービス (i)

VNet 対 VNet セキュリティ保護付きトランジット (e)、リージョン間の VNet 対 VNet セキュリティ保護付きトランジット (h)

VNet 対 VNet セキュリティ保護付きトランジットを使うと、Virtual WAN ハブにデプロイされたセキュリティアプライアンス (Azure Firewall、NVA と SaaS を選択) を介して、VNet を相互に接続できます。

VNet 対インターネットまたはサードパーティセキュリティサービス (i)

VNet 対インターネットを使うと、Virtual WAN ハブ内のセキュリティアプライアンス (Azure Firewall、NVA と SaaS を選択) を介して、VNet をインターネットに接続できます。サポートされているサードパーティのセキュリティサービスを介したインターネットへのトラフィックは、セキュリティアプライアンスを経由せず、サードパーティのセキュリティサービスに直接ルーティングされます。 Azure Firewall Manager を使用して、サポートされているサードパーティのセキュリティサービスを介して Vnet 対インターネットのパスを構成できます。

ブランチ対インターネットまたはサードパーティセキュリティサービス (i)

ブランチ対インターネットを使用すると、ブランチはVirtual WAN ハブ内の Azure Firewall を介してインターネットに接続できます。サポートされているサードパーティのセキュリティサービスを介したインターネットへのトラフィックは、セキュリティアプライアンスを経由せず、サードパーティのセキュリティサービスに直接ルーティングされます。 Azure Firewall Manager を使用して、サポートされているサードパーティのセキュリティサービスを介してブランチ対インターネットのパスを構成できます。

ブランチ対ブランチセキュリティ保護付きトランジット (b)、リージョン間のブランチ対ブランチセキュリティ保護付きトランジット (f)

ブランチは、ExpressRoute 回線またはサイト間 VPN 接続を使用して、Azure Firewall によるセキュリティ保護付き仮想ハブに接続できます。ブランチに最も近いリージョンにある Virtual WAN ハブに、ブランチを接続できます。 Virtual WAN ハブにルーティングインテントを構成すると、Virtual WAN ハブにデプロイされたセキュリティアプライアンス (Azure Firewall、NVA と SaaS を選択) による、同じハブ内のブランチ対ブランチ、またはハブ間やリージョン間のブランチ対ブランチの検査が可能になります。

ブランチ対 VNet セキュリティ保護付きトランジット (c)、リージョン間のブランチ対 VNet セキュリティ保護付きトランジット (g)

ブランチ対 VNet セキュリティ保護付きトランジットを使うと、ブランチは、Virtual WAN ハブと同じリージョン内の仮想ネットワーク、および別のリージョン内の別の Virtual WAN ハブに接続されている別の仮想ネットワークと、通信できます (ハブ間トラフィック検査は、ルーティングインテントでのみサポートされます)。

セキュリティ保護付き仮想ハブで既定のルート (0.0.0.0/0) を有効にする方法

Virtual WAN ハブ (セキュリティ保護付き仮想ハブ) に展開された Azure Firewall は、すべてのブランチ (VPN または ExpressRoute によって接続)、スポーク Vnet およびユーザー (P2S VPN 経由で接続) に対して、インターネットまたは信頼されたセキュリティプロバイダーへの既定のルーターとして構成できます。この構成は Azure Firewall Manager を使用して行う必要があります。 Azure Firewall 経由のブランチ (ユーザーを含む) からのすべてのトラフィック、および Vnet 対インターネットを構成する方法については、「ハブへのトラフィックのルーティング」を参照してください。

これは次の 2 つの手順で構成されます。

セキュリティ保護付き仮想ハブのルート設定メニューを使用して、インターネットトラフィックルーティングを構成します。ファイアウォール経由でインターネットにトラフィックを送信できる Vnet とブランチを構成します。
ハブまたは信頼されたセキュリティプロバイダーの Azure FW 経由でインターネット (0.0.0.0/0) にトラフィックをルーティングできる接続 (Vnet とブランチ) を構成します。この手順により、既定のルートが、この接続を介して Virtual WAN ハブに接続されている、選択したブランチと Vnet に確実に伝達されます。

セキュリティ保護付き仮想ハブでのオンプレミスのファイアウォールへのトラフィックの強制トンネリング

ブランチ (VPN または ER サイト) のいずれかから仮想ハブによって (BGP 経由で) 学習された既定のルートが既にある場合、この既定のルートは Azure Firewall Manager の設定から学習された既定のルートによってオーバーライドされます。この場合、Vnet とブランチからハブに入ってきてインターネットに送信されるすべてのトラフィックは、Azure Firewall または信頼されたセキュリティプロバイダーにルーティングされます。

注意

現在、Vnet、ブランチ、またはユーザーから送信されたインターネットへのトラフィックに対して、オンプレミスのファイアウォールまたは Azure Firewall (および信頼されたセキュリティプロバイダー) を選択するオプションはありません。 Azure Firewall Manager の設定から学習した既定のルートが、いずれかのブランチから学習した既定のルートより常に優先されます。

次のステップ

Virtual WAN を使って接続を作成し、VWAN ハブに Azure Firewall を展開します。

グローバル トランジット ネットワーク アーキテクチャと Virtual WAN

Virtual WAN でのグローバル トランジット ネットワーク