前へ

次へ

Azure でハイブリッド ネットワークを使用する

完了

あなたの組織は、クラウドへの移行を続けたいと考えています。 あなたは、Azure ExpressRoute を使用して、オンプレミス ネットワークと Azure の間に専用の高速接続を提供することのメリットについて調べています。

使用しているオンプレミス ネットワークを Azure に接続するために使用できる他のハイブリッド アーキテクチャ オプションを調べる場合、相当の注意が必要になります。

このユニットでは、次のことを行います。

• 仮想プライベート ネットワーク接続についての理解を深める。
• ExpressRoute の回復性オプションを調べる。
• ハブスポーク ネットワーク トポロジのメリットを検討する。

ハイブリッド ネットワーク アーキテクチャとは

"ハイブリッド ネットワーク" とは、2 つの異なるネットワーク トポロジを組み合わせて 1 つのまとまったネットワークを形成する場合に使用される用語です。 Azure でのハイブリッド ネットワークは、オンプレミス ネットワークと Azure 仮想ネットワークの結合または組み合わせを表します。 これにより、クラウドベースのコンピューティングとアクセスのすべてのメリットを得ながら、既存のインフラストラクチャを使い続けることができます。

ハイブリッド ネットワーク ソリューションの導入が必要になる理由はいくつかあります。 2 つの最も一般的なものを次に示します。

• 純粋なオンプレミス ネットワークから純粋なクラウドベースのネットワークに移行するため。
• オンプレミスのネットワークとリソースを拡張して、クラウド サービスをサポートするため。

インフラストラクチャにクラウド サービスを追加する動機が何であれ、考慮すべきアーキテクチャがいくつかあります。 前のユニットでは、ExpressRoute について説明しました。 その他のアーキテクチャは次のとおりです。

• Azure VPN Gateway
• VPN フェールオーバーを備えた ExpressRoute
• ハブスポーク ネットワーク トポロジ

Azure VPN Gateway

Azure VPN Gateway (仮想ネットワーク ゲートウェイ サービス) を使用すると、オンプレミス ネットワークと Azure の間で、サイト間 VPN 接続およびポイント対サイト VPN 接続が可能になります。

VPN つまり仮想プライベート ネットワークは、十分に確立されていて十分に理解されているネットワーク アーキテクチャです。

VPN Gateway では、インターネットへの既存の接続が使用されます。 ただし、すべての通信は、インターネット キー交換 (IKE) プロトコルとインターネット プロトコル セキュリティ (IPsec) プロトコルを使用して暗号化されます。 使用できる仮想ネットワーク ゲートウェイは仮想ネットワークごとに 1 つだけです。

仮想ネットワーク ゲートウェイを設定するときは、VPN ゲートウェイと ExpressRoute ゲートウェイのどちらであるかを指定する必要があります。

VPN の種類は、必要な接続トポロジの種類によって異なります。 たとえば、ポイント対サイト (P2S) ゲートウェイまたはポイント ツー ポイント (P2P) ゲートウェイを作成する場合は、RouteBased の種類を使用します。 VPN には、次の 2 種類があります。

• PolicyBased: IPsec トンネルを使用してデータ パケットを暗号化します。 ポリシーの構成では、Azure 仮想ネットワークとオンプレミス ネットワークから取得されたアドレス プレフィックスが使用されます。
• RouteBased: ルーティング テーブルまたは IP 転送テーブルを使用して、適切なトンネルにデータ パケットをルーティングします。 各トンネルで、すべてのパケットを暗号化および復号化します。

仮想ネットワーク ゲートウェイに指定した "VPN の種類" を、後で変更することはできません。 変更が必要な場合は、仮想ネットワーク ゲートウェイを削除して、もう一度作成します。

サイト間

サイト間ゲートウェイ接続はすべて、IPsec/IKE VPN トンネルを使用して、Azure とオンプレミス ネットワーク間の接続が作成されます。 サイト間接続には、パブリックにアクセス可能な IP アドレスを持つオンプレミスの VPN デバイスが必要です。

ポイント対サイト

ポイント対サイト ゲートウェイ接続は、個々のデバイスと Azure 仮想ネットワークの間にセキュリティで保護された接続が作成されます。 このゲートウェイの種類は、リモート ワーカーに適しています。たとえば、自宅から会議に参加したり、作業したりするユーザーです。 ポイント対サイト接続には、専用のオンプレミス VPN デバイスは必要ありません。

メリット

VPN 接続を使用する利点の一部を次に示します。

• よく知られているテクノロジで、構成と保守が簡単である。
• すべてのデータ トラフィックが暗号化される。
• データ トラフィックの負荷が軽い場合に適しています。

考慮事項

このハイブリッド アーキテクチャの使用を評価するときは、次の点を考慮します。

• VPN 接続では、インターネットを使用する。
• 帯域幅のサイズと使用量によっては、待機時間の問題が存在する可能性がある。
• Azure でサポートされる最大帯域幅は 1.25 Gbps である。
• サイト間接続にはローカル VPN デバイスが必要です。

VPN フェールオーバーを備えた ExpressRoute

ExpressRoute の使用で保証されることの 1 つは、高レベルの可用性の提供です。 各 ExpressRoute 回線には、デュアル ExpressRoute ゲートウェイが付属しています。 ただし、このレベルの回復性がネットワークの Azure 側に組み込まれていても、接続が中断される可能性があります。 この状況を解決し、接続を維持するための 1 つの方法が、VPN フェールオーバー サービスを提供することです。

VPN 接続と ExpressRoute を結合すると、ネットワーク接続の回復性が向上します。 正常な状態で運用している場合、ExpressRoute は通常の ExpressRoute アーキテクチャとまったく同様に動作し、VPN 接続は休止状態のままです。 ExpressRoute 回線で障害が発生したり、オフラインになったりすると、VPN 接続が引き継ぎます。 このアクションにより、どんな状況でもネットワークの可用性が確保されます。 ExpressRoute 回線が復元されると、すべてのトラフィックが ExpressRoute 接続を使用する状態に戻ります。

VPN フェールオーバー付きの ExpressRoute のリファレンス アーキテクチャ

次の図は、VPN フェールオーバー付きの ExpressRoute を使用して、オンプレミス ネットワークを Azure に接続する方法を示しています。 このソリューションで選択されているトポロジは、トラフィック フローが高い VPN ベースのサイト間接続です。

このモデルでは、すべてのネットワーク トラフィックが ExpressRoute プライベート接続を介してルーティングされます。 ExpressRoute 回線で接続が切断されると、ゲートウェイ サブネットにより、サイト間 VPN ゲートウェイ回線に自動的にフェールオーバーされます。 ゲートウェイから Azure 仮想ネットワーク内の VPN ゲートウェイへの点線が、このシナリオを示しています。

ExpressRoute 回線が復元されると、トラフィックは自動的に切り替わり、VPN ゲートウェイから元に戻ります。

利点

VPN フェールオーバー付きの ExpressRoute を実装すると、次の利点が得られます。

• 回復力のある高可用性ネットワークが作成される。

考慮事項

VPN フェールオーバー アーキテクチャ付きの ExpressRoute を実装する場合は、次の点を考慮してください。

• フェールオーバーが発生すると、帯域幅が VPN 接続の速度まで低下する。

• ExpressRoute および VPN ゲートウェイのリソースは、同じ仮想ネットワーク内に存在する必要がある。

• 非常に複雑な構成がある。

• 実装には ExpressRoute 接続と VPN 接続の両方が必要である。

• 実装には冗長な VPN ゲートウェイとローカル VPN ハードウェアが必要である。

  注意

  冗長な VPN ゲートウェイは、使用されていない場合でも支払い料金が発生します。

ハブスポーク ネットワーク トポロジ

ハブスポーク ネットワーク トポロジを使用すると、サーバーが実行するワークロードを構成できます。ハブとして 1 つの仮想ネットワークを使い、それは VPN または ExpressRoute を介してオンプレミス ネットワークにも接続されます。 スポークは、ハブとピアリングされたその他の仮想ネットワークです。 各スポークに特定のワークロードを割り当て、共有サービスにハブを使用できます。

ハブと各スポークは、別々のサブスクリプションまたはリソース グループに実装してから、まとめてピアリングすることができます。

このモデルでは、前に説明した 3 つの方法の 1 つを使用します。VPN、ExpressRoute、および VPN フェールオーバー付きの ExpressRoute です。 関連する利点と課題について、次の各セクションで説明します。

利点

ハブスポーク アーキテクチャを実装すると、次の利点が得られます。

• ハブで共有および一元化されたサービスを使用することで、スポークで重複に対する必要性が減り、コストを削減できる。
• サブスクリプションの制限は、仮想ネットワークのピアリングによって克服できる。
• ハブスポーク モデルを使用すると、組織の作業領域を、SecOps、InfraOps、DevOps など、専用のスポークに分離できる。

考慮事項

このハイブリッド アーキテクチャの使用を評価するときは、次の点を考慮します。

• ハブで共有されているサービスと、スポークに残っているものを確認する。

知識を確認

1.

Azure 仮想ネットワークに VPN ゲートウェイを実装するのはなぜですか?

ExpressRoute 回線のパフォーマンスを向上させるため。

ExpressRoute 回線が Azure 仮想ネットワークに接続できるようにするため。

ExpressRoute 回線がオンプレミス ネットワークに接続できるようにするため。

冗長なフェール オーバー接続を提供するため。

2.

オンプレミスのネットワークへの VPN ゲートウェイ接続はどのようにルーティングされますか?

プライベート VPN 接続経由

パブリック インターネット経由

Azure データセンター経由。

トラフィック マネージャーのプロビジョニングによって。

3.

ハブスポーク アーキテクチャを実装する基となる理由は何ですか?

コストの可視性の向上。

セキュリティの強化。

ビジネスの可視性の向上。

ネットワーク通信の速度向上。

作業を確認する前にすべての問題に回答する必要があります。

続行