この記事で説明するアーキテクチャを提供したのは、グローバルな製造業企業です。 この会社の運用技術部門と情報技術部門は高度に統合され、1 つの内部ネットワークを必要としています。 ただし、環境のセキュリティ要件とパフォーマンス要件は大幅に異なります。 同社の業務は機密性が高いため、IDPS (Intrusion Detection and Protection System) ソリューションを導入し、自社の仮想マシンでホストされるネットワーク仮想アプライアンス (NVA) によってすべてのトラフィックをファイアウォールで保護する必要があります。 ネットワークに対するセキュリティ要件はそれほど厳しくないものの、情報技術部門では、ユーザーが低遅延で IT アプリケーションにアクセスできるように、パフォーマンスを最適化したいと考えています。
会社の意思決定者は、さまざまなセキュリティ要件とパフォーマンス要件を持つ 1 つのネットワークのグローバルなニーズを満たすために、Azure VirtualWAN を利用することにしました。 さらに、管理、デプロイ、スケーリングが容易なソリューションも取得しました。 リージョンを追加すると、会社のニーズに合わせて高度に最適化されたネットワークを使用して、シームレスに成長し続けることができます。
考えられるユース ケース
このアーキテクチャの一般的なユース ケースは次のとおりです。
- ビジネスクリティカルな作業のために一元化されたファイル ソリューションを必要とするグローバルな組織。
- ローカルでキャッシュされたファイルを必要とする高パフォーマンスのファイル ワークロード。
- オフィス内とオフィス外の両方のユーザーに対応する柔軟なリモート ワークフォース。
- セルフホステッド NVA を使用するための要件。
Architecture
このアーキテクチャの Visio ファイルをダウンロードします。
アーキテクチャの概要は次のとおりです。
- ユーザーはブランチから仮想ネットワークにアクセスします。
- Azure ExpressRoute は、接続プロバイダーが提供するプライベート接続を介して、オンプレミスのネットワークを Microsoft クラウドに拡張します。
- Virtual WAN ハブは、セキュリティまたはパフォーマンスのためにトラフィックを適切にルーティングします。 ハブには、接続を可能にするためのさまざまなサービス エンドポイントが含まれています。
- ユーザー定義ルートは、必要に応じて NVA へのトラフィックを強制します。
- 各 NVA は、仮想ネットワークで受信するトラフィックを検査します。
- 仮想ネットワーク ピアリングが、パフォーマンスが最適化された環境で VNet 間の検査を提供します。
この会社は複数のリージョンを持ち、モデルにリージョンをデプロイし続けています。 この会社は、必要な場合にのみ、セキュリティ最適化またはパフォーマンス最適化された環境をデプロイします。 環境は、ネットワーク仮想アプライアンス (NVA) を介して次のトラフィックをルーティングします。
トラフィックのパス
変換先 | |||||||
---|---|---|---|---|---|---|---|
VNet1 | VNet2 | VNet3 | VNet4 | ブランチ | Internet | ||
セキュリティ最適化ソース | VNet1 | VNet 内 | NVA1-VNet2 | NVA1-ハブ-VNet3 | NVA1-ハブ-VNet4 | NVA1-ハブ-ブランチ | NVA1-インターネット |
パフォーマンス最適化ソース | VNet3 | ハブ-NVA1-VNet1 | ハブ-NVA1-VNet2 | VNet 内 | NVA2-VNet4 | ハブ-ブランチ | NVA2-インターネット |
ブランチ ソース | ブランチ | ハブ-NVA1-VNet1 | ハブ-NVA1-VNet2 | ハブ-VNet3 | ハブ-VNet4 | 適用できません | 適用なし |
上の図に示すように、NVA とルーティング アーキテクチャは、セキュリティ最適化環境内のすべてのトラフィック パスで、仮想ネットワーク間の NVA を使用し、共通の階層化アーキテクチャのハブを使用するように強制します。
パフォーマンス最適化された環境には、よりカスタマイズされたルーティング スキーマがあります。 このスキーマは、必要な場所にファイアウォールとトラフィック検査を提供します。 不要な場所ではファイアウォールを提供しません。 パフォーマンス最適化されたスペース内の VNet 間トラフィックは、NVA2 を経由するように強制されますが、ブランチと VNet 間のトラフィックはハブを介して直接送信できます。 同様に、セキュリティで保護された環境に向けて送信されるものは、NVA VNet1 の NVA によってセキュリティで保護された環境のエッジで検査されるので、NVA VNet2 に移動する必要はありません。 その結果、ブランチへの高速アクセスが実現されます。 このアーキテクチャでは、パフォーマンス最適化された環境でも VNet 間の検査が提供されます。 これはすべての顧客に必要というわけではありませんが、このアーキテクチャに見られるようにピアリングを通じて実現できます。
Virtual WAN ハブの関連付けと伝達
次のように、Virtual WAN ハブのルートを構成します。
Name | 関連付け先 | 伝達先 |
---|---|---|
NVA VNet1 | defaultRouteTable | defaultRouteTable |
NVA VNet2 | PerfOptimizedRouteTable | defaultRouteTable |
VNet3 | PerfOptimizedRouteTable | defaultRouteTable |
VNet4 | PerfOptimizedRouteTable | defaultRouteTable |
ルーティングの要件
Virtual WAN ハブの既定のルート テーブルのカスタム ルートが VNet1 と VNet2 のすべてのトラフィックを secOptConnection にルーティングする。
ルート名 変換先の型 宛先プレフィックス 次ホップ 次ホップ IP セキュリティ最適化ルート CIDR 10.1.0.0/16 secOptConnection <NVA1 の IP アドレス> secOptConnection の静的ルートが VNet1 と VNet2 のトラフィックを NVA1 の IP アドレスに転送する。
名前 アドレス プレフィックス ネクストホップの種類 次ホップの IP アドレス rt-to-secOptimized 10.1.0.0/16 仮想アプライアンス <NVA1 の IP アドレス> PerfOptimizedRouteTable という名前の仮想 WAN ハブ上のカスタム ルート テーブル。 このテーブルは、パフォーマンス最適化された仮想ネットワークがハブを介して相互に通信できないようにするために使用されます。また、NVA VNet2 へのピアリングを使用する必要があります。
VNet1 と VNet2 のすべてのサブネットに関連付けられている UDR がすべてのトラフィックを NVA1 に送り返す。
名前 アドレス プレフィックス ネクストホップの種類 次ホップの IP アドレス rt-all 0.0.0.0/0 仮想アプライアンス <NVA1 の IP アドレス> VNet3 と VNet4 のすべてのサブネットに関連付けられている UDR が VNet 間のトラフィックおよびインターネット トラフィックを NVA2 にルーティングする。
名前 アドレス プレフィックス ネクストホップの種類 次ホップの IP アドレス rt-to-internet 0.0.0.0/0 仮想アプライアンス <NVA2 の IP アドレス> vnet-to-vnet 10.2.0.0/16 仮想アプライアンス <NVA2 の IP アドレス>
注意
ロードバランサーの背後に複数の NVA がある高可用性アーキテクチャをデプロイする場合は、ルーティングで NVA の IP アドレスをロードバランサーの IP アドレスに置き換えることができます。
Components
- Azure Virtual WAN: Virtual WAN は、ネットワーク、セキュリティ、ルーティングのさまざまな機能をまとめて、1 つの運用インターフェイスを提供するネットワーク サービスです。 この場合は、接続されている仮想ネットワークとブランチへのルーティングを簡素化し、スケーリングします。
- Azure ExpressRoute。 ExpressRoute は、オンプレミスのネットワークをプライベート接続を介して Microsoft クラウドに拡張します。
- Azure Virtual Network。 Virtual Network は、Azure 内のプライベート ネットワークの基本的な構成要素です。 Virtual Network を使用すると、Azure Virtual Machines (VM) などの多くの種類の Azure リソースが、相互に、またインターネットやオンプレミスのネットワークとセキュリティを強化しながら通信できます。
- Virtual WAN ハブ。 仮想ハブは、Microsoft が管理する仮想ネットワークです。 ハブには、接続を可能にするためのさまざまなサービス エンドポイントが含まれています。
- ハブ仮想ネットワーク接続。 ハブ仮想ネットワーク接続リソースは、ハブを仮想ネットワークにシームレスに接続します。
- 静的ルート。 静的ルートは、次ホップ IP を介してトラフィックを処理するメカニズムを提供します。
- ハブ ルート テーブル。 仮想ハブのルートを作成して、そのルートを仮想ハブのルート テーブルに適用することができます。
- 仮想ネットワーク ピアリング。 仮想ネットワーク ピアリングを使用すると、Azure で 2 つ以上の仮想ネットワークをシームレスに接続できます。
- ユーザー定義ルート。 ユーザー定義ルートは、静的ルートであり、既定の Azure システム ルートをオーバーライドするか、サブネットのルート テーブルにルートを追加します。 ここでは、必要に応じて NVA にトラフィックを強制するために使用されています。
- ネットワーク仮想アプライアンス。 ネットワーク仮想アプライアンスは、マーケットプレースで提供されるネットワーク アプライアンスです。 このケースでは、会社は Palo Alto の NVA をデプロイしましたが、任意の NVA ファイアウォールがここで機能します。
代替
セルフホスティング NVA が必須要件でない場合は、Azure VWAN で保護されたハブで NVA をホストし、内部トラフィック検査を仮想ネットワーク接続ごとに変更する、よりシンプルなソリューションが存在します。 ただし、このソリューションでは、vnet 間トラフィックと vnet からクロスプレミスへのトラフィックを区別することはできません。
セキュリティが強化された NVA 環境のみをデプロイするために、「NVA を経由するトラフィックのルーティング」のモデルに従うことができます。
インターネット用の専用ファイアウォールへのトラフィックのルーティングと NVA 経由の分岐トラフィックのルーティングの両方をサポートするカスタム NVA モデルをデプロイするには、「カスタム設定を使用して NVA 経由でトラフィックをルーティングする」を参照してください。
前の代替の方法では、NVA の背後に高セキュリティ環境をデプロイし、カスタム環境をデプロイする機能を提供しています。 ただし、この記事で説明するユース ケースとは 2 つの点で異なります。 1 つ目として、2 つのモデルを組み合わせてではなく、分離して示しています。 2 つ目として、カスタム環境で VNet 間のトラフィックをサポートしていません (ここでは、「パフォーマンス最適化された環境」と呼んでいます)。
考慮事項
このデプロイでは、パフォーマンス最適化された環境への仮想 WAN ハブ経由のルートは、その環境の NVA を通過しません。 これにより、次に示すような領域間トラフィックで問題が生じる可能性があります。
パフォーマンス最適化された領域間のトラフィックは、NVA を越えることはありません。 これは、仮想ネットワークへのダイレクト ルーティング ハブ トラフィックの制限です。
可用性
Virtual WAN は、高可用性ネットワーク サービスです。 ブランチからさらに多くの接続またはパスを設定して、仮想 WAN サービスへの複数の経路を取得することができます。 ただし、VWAN サービス内に何も追加する必要ありません。
「高可用性 NVA をデプロイする」で説明されているような高可用性アーキテクチャで、NVA を設定する必要があります。
パフォーマンス
このソリューションでは、必要に応じてネットワークのパフォーマンスを最適化します。 独自の要件に従ってルーティングを変更し、ブランチへのトラフィックが NVA を通過するようにすることも、仮想ネットワーク間のトラフィックが自由に流れるようにすることも、インターネットへの送信に単一のファイアウォールを使用することもできます。
スケーラビリティ
このアーキテクチャはリージョン間でスケーラブルです。 ルートをグループ化するためのルーティング ラベルを設定する場合、および仮想ハブ間の分岐トラフィックの転送を行う場合は、要件を考慮してください。
セキュリティ
NVA を使用すると、Virtual WAN と IDPS などの機能を使用できます。
回復性
回復性の詳細については、この記事で前述した「可用性」を参照してください。
コストの最適化
このアーキテクチャの価格は、デプロイする NVA によって大きく変わります。 2 Gbps ER 接続と、1 か月あたり 10 TB を処理する Virtual WAN ハブについては、この料金の見積もりをご覧ください。
共同作成者
この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。
プリンシパル作成者:
- ジョン・ポエツィンガー | シニア クラウド ソリューション アーキテクト
次のステップ
- Azure Virtual WAN とは
- Azure ExpressRoute とは
- 仮想ハブ ルーティングを構成する方法 - Azure Virtual WAN
- 仮想ネットワークのファイアウォールと Application Gateway
- Azure Virtual WAN とリモート作業のサポート