Azure ExpressRoute に対する Azure Well-Architected フレームワークの分析観点
Azure ExpressRoute を使用すると、Azure のデータセンターとオンプレミスやコロケーション施設にあるインフラストラクチャの間にプライベート接続を作成できます。 ExpressRoute 接続はパブリック インターネットを経由しないため、一般的なインターネット接続と比べて安全性が高く、高速で待機時間も短くなります。
この記事では、Azure ExpressRoute に関する実用的な知識があり、すべての機能に習熟していることを前提としています。 この記事のガイダンスでは、Azure Well-Architected Framework の柱の原則にマップされるアーキテクチャに関する推奨事項を示します。
重要
このガイドを使用する方法
各セクションには、"設計チェックリスト" があり、アーキテクチャの関心領域と、テクノロジ スコープに限定した設計戦略が示されています。
これらの戦略の具体化に役立つテクノロジ機能に関する "推奨事項" も含まれています。 これらの推奨事項は、Azure ExpressRoute とその依存関係で利用できるすべての構成の完全な一覧とはなっていません。 そうではなく、設計パースペクティブにマップされた主要な推奨事項が一覧表示されます。 推奨事項を使用して概念実証を構築するか、既存の環境を最適化してください。
主要な推奨事項を示す基本アーキテクチャ: クラウド導入フレームワークのエンタープライズ規模のランディング ゾーンを Azure に実装する。
テクノロジの範囲
このレビューでは、次の Azure リソースについての相互に関連する決定に焦点をあてます。
- Azure ExpressRoute
信頼性
信頼性の柱の目的は、障害から迅速に復旧するのに十分な回復性と機能を構築して、継続的な機能を提供することです。
信頼性、回復性、可用性が高いネットワーク接続は、適切に構成されたシステムの基盤です。 信頼性は、"回復性" と "可用性" という 2 つの原則で構成されます。 回復性の目標は、障害を防ぎ、障害が発生した場合にはアプリケーションを完全に運用可能な状態に復元することです。 可用性は、アプリケーションまたはワークロードへの一貫したアクセスを保証します。 ビジネス ニーズとアプリケーションの要件に基づいて事前対応として信頼性を計画することが重要です。
信頼性の設計原則は、個々のコンポーネント、システム フロー、およびシステム全体に適用されるおおまかな設計戦略を提供します。
設計チェック リスト
信頼性の設計レビュー チェックリストに基づいて、設計戦略を開始します。 Azure ExpressRoute の特徴や機能を考慮しながら、ビジネス要件との関連性を判断します。 必要に応じて、より多くのアプローチを含むように戦略を拡張します。
冗長性を構築し、回復性を強化する: 単一障害点を可能な限り排除します。 複数の ExpressRoute 回線、さまざまなパス、オンプレミスの場所に最も近い複数のピアリングの場所を構成することで、ネットワーク設計で冗長性を計画します。 コンポーネント、フロー、ソリューション全体に対して、可用性目標と復旧目標を定義します。 目標を視覚化することで、交渉し、合意を得て、期待を設定し、理想的な状態を達成するためのアクションを推進します。
発生する可能性のある障害を予測する: 発生する可能性のある障害の軽減戦略を計画します。 次の表は、障害モードの分析の例を示しています。
失敗 対応策 ピアリングの場所でのハードウェア障害などの回線の中断。 サービスの復元中に冗長性を得るためにセカンダリ回線を用意します。 回線の正常性を監視して、問題が発生する可能性があるタイミングを特定します。 Azure 仮想ネットワークでのゲートウェイの中断。 ゲートウェイを複数の可用性ゾーンにデプロイし、アクティブ/アクティブの構成にして、1 つのゾーン内のゲートウェイの中断によって接続が妨げられないようにします。 サイトの回復性の計画: 高可用性を確保するには、サイトの回復性を計画することが不可欠です。 ExpressRoute では、標準、高い、最大の 3 つのアーキテクチャが用意されています。 標準の回復性は、リンクの障害に対する基本的な保護を提供しますが、サイトの障害に対する保護は提供しません。 高い回復性では、追加のフェールオーバー メカニズムによって保護が強化されます。最大の回復性では、複数の冗長システムとフェールオーバー メカニズムによって最高レベルの保護が保証されます。
リージョンと可用性ゾーンの計画: 回復性と高可用性を提供するために、オンプレミスの場所に最も近い複数のリージョンと可用性ゾーンを計画します。
ExpressRoute 回線または ExpressRoute Direct の計画: 最初の計画フェーズで、ExpressRoute 回線と、ExpressRoute Direct 接続のどちらを構成するかを決定します。
適切な回線 SKU を選ぶ: ExpressRoute 回線 SKU は、地理的な拡張を使用して冗長性を提供します。 ExpressRoute には、Local、Standard、Premium の 3 つの SKU があります。
SKU 地理的な拡張 冗長性 ユース ケース ローカル 同じ都市圏内または近くの Azure リージョンへのアクセス。 ローカライズされた冗長性 都市圏内の高速で低遅延の接続。 Standard 特定の地政学的領域内のすべての Azure リージョンへのアクセス。 リージョン冗長 より広範なリージョン接続のニーズ。 Premium 世界中の任意の Azure リージョンへのグローバル接続。 グローバルな冗長性 グローバルな運用のための広範な地理的範囲。 アクティブ/アクティブ接続の計画: ExpressRoute 専用回線では、オンプレミスと Azure の間でアクティブ/アクティブ接続が構成されている場合に可用性を提供します。 この構成により、ExpressRoute 接続の可用性が向上します。
geo 冗長回線の計画: オンプレミス ネットワークと Azure の間に地理的にさまざまなパスが複数あることを確認するために、複数のピアリングの場所に ExpressRoute 回線を構成します。 これにより、単一障害点によってネットワークが停止するリスクが軽減され、接続の信頼性と可用性が向上します。
ExpressRoute Global Reach を構成する: ExpressRoute 回線の Premium SKU 機能である ExpressRoute Global Reach を使用すると、Azure バックボーン ネットワークを介して異なる地理的な場所の間でオンプレミス ネットワークを直接リンクできます。 Global Reach はオンプレミス ネットワークを複数の Azure リージョンに接続することで冗長性を強化します。 1 つの Azure リージョンが使用できなくなった場合でも、パブリック インターネットに依存することなく、トラフィックを別のリージョンに迅速に再ルーティングできます。これにより、安全で信頼性の高い接続を維持できます。
ExpressRoute プライベート ピアリングのバックアップとしてのサイト間 VPN を構成する: この構成によって冗長性が強化され、ExpressRoute 接続で障害が発生した場合でもネットワークが動作し続けます。
仮想ネットワーク ゲートウェイの計画: 回復性に向けて ExpressRoute 仮想ネットワーク ゲートウェイを選んで構成するときに、次のベスト プラクティスを検討します:
ビジネスに適したパフォーマンスとスループットを反映するために、適切な ExpressRoute 仮想ネットワーク ゲートウェイ SKU を選びます。
リージョン冗長と回復性のために、ExpressRoute ゲートウェイを異なるリージョンに構成します。
ゾーン冗長と回復性のために、可用性ゾーン内にゾーン冗長仮想ネットワーク ゲートウェイを構成します。
必要なスループットに基づいて自動スケーリングできるスケーラブルな仮想ネットワーク ゲートウェイをデプロイします。
サービス プロバイダーの計画: さまざまなパスを確保するために、回線ごとに異なるサービス プロバイダーを選びます。 このサービス プロバイダーの多様性により、単一プロバイダーの停止によるネットワークのダウンタイムのリスクが最小限に抑えられます。
信頼性テストを実施する: ネットワーク設計の回復性をテストして、ネットワークが障害に耐えられることを確認します。 テストは Azure 接続ツールキットを使用して ExpressRoute 回線全体のパフォーマンスをテストすることで実施できます。これにより、ネットワーク接続の帯域幅容量と待機時間を把握します。 フェールオーバー メカニズムが正常に動作していることを確認します。
ExpressRoute 回線と ExpressRoute 仮想ネットワーク ゲートウェイの正常性の監視の構成: 使用可能なさまざまなメトリックに基づいて、ExpressRoute 回線と ExpressRoute 仮想ネットワーク ゲートウェイの正常性の監視とアラートを構成します。
正常性インジケーターを使用して中断を特定する: 使用可能なさまざまなメトリックに基づいて、ExpressRoute 回線と ExpressRoute 仮想ネットワーク ゲートウェイの正常性の監視とアラートを構成します。
推奨事項
| 推奨事項 | 特長 |
|---|---|
| Azure ExpressRoute を考案し設計するときに、発生する可能性のある障害を予測して軽減します。 | 障害を予測すると、さまざまな障害シナリオに耐えることができる、より堅牢で回復性の高いネットワーク アーキテクチャの設計につながります。 |
| サイトの回復性を計画します。 最大または高い回復性を実現するには、オンプレミスのエッジとピアリング場所 (プロバイダーと Microsoft エッジの場所) の間に複数のパスを確保するように計画します。 最大の回復性を実現するには、複数の回線を異なるピアリングの場所に構成します。 高い回復性を実現するには、オンプレミス ネットワークから同じ都市圏 (ExpressRoute Metro とも呼ばれます) 内の複数のピアリングの場所の間に回線を構成します。 | オンプレミスのエッジとピアリングの場所の間に複数のパスを設定することで、1 つのパスで障害が発生した場合でも、ネットワークは動作を継続できます。 この冗長性は、継続的な接続を維持してダウンタイムを最小限に抑えるのに不可欠です。 |
| 複数リージョンと可用性ゾーンを計画します。 | 可用性ゾーンはリージョン内の物理的に分離された場所です。これにより、障害を分離できます。 つまり、あるゾーンの障害が他のゾーンに影響を与えないため、システム全体の信頼性が向上します。 |
| ExpressRoute 回線または ExpressRoute Direct を計画します。 最初の計画フェーズで、ExpressRoute 回路と、ExpressRoute Direct 接続のどちらを構成するかを決定します。 ビジネス ニーズを満たすための帯域幅要件と SKU の種類の要件を特定する必要もあります。 | ExpressRoute 回路を使用すると、接続プロバイダーの支援を受けて、Azure へのプライベート専用接続が可能になります。 ExpressRoute Direct を使用すると、オンプレミス ネットワークをピアリングの場所で Microsoft ネットワークに直接拡張できます。 |
| 地理的な拡張を使用して、冗長性のために適切な回線 SKU を選びます。 Local、Standard、Premium SKU は、さまざまなレベルの接続、アクセス、パフォーマンス機能を提供します。 Premium SKU は、世界中の任意の Azure リージョンにグローバルに接続できる最高レベルの冗長性を提供します。 | 適切な回線 SKU を選ぶことで、ワークロードに適したレベルの冗長性と接続が確保されます。 |
| アクティブ/アクティブ接続を計画します。 高可用性、冗長性、回復性を向上するために、ExpressRoute 回線の両方の接続をアクティブ/アクティブ モードで動作させることをお勧めします。 さらに、プライベート ピアリングと Microsoft ピアリングの両方で双方向の転送検出 (BFD) を構成し、リンク障害時のフェールオーバーを高速化します。 | アクティブ/アクティブ モードを選ぶと、ExpressRoute 接続の可用性が向上します。 BFD を使用すると、リンク エラーを迅速に検出できるため、バックアップ パスへの迅速なフェールオーバーが可能になります。 これにより、ダウンタイムが最小限に抑えられ、継続的な接続が保証されます。 |
| geo 冗長回線を計画します。 | 一部のシナリオでは、ExpressRoute ピアリングの場所またはリージョン サービス全体で低下が発生する可能性があります。 geo 冗長性により、オンプレミス ネットワークと Azure の間に地理的にさまざまなパスが複数存在することが保証されるため、ディザスター リカバリーと高可用性が強化されます。 これにより、単一障害点によってネットワークが停止するリスクが軽減され、接続の信頼性と可用性が向上します。 |
| ExpressRoute Global Reach を使用すると、ExpressRoute 回線を相互にリンクして、オンプレミス ネットワーク間にプライベート ネットワークを構築できます。 ExpressRoute 回線 Premium SKU で ExpressRoute Global Reach を構成します。 | ExpressRoute Global Reach は、Azure バックボーン ネットワークを介して異なる地理的な場所の間でオンプレミス ネットワークを直接リンクすることで、冗長性を強化します。 これにより、1 つの Azure リージョンが使用できなくなった場合でも、ネットワークが接続され、運用状態が維持されます。 |
| 回線ごとに異なる ExpressRoute サービス プロバイダーを選びます。 | サービス プロバイダーの多様性により、単一プロバイダーの停止によるネットワークのダウンタイムのリスクが最小限に抑えられます。 回線ごとに異なるサービス プロバイダーを選ぶことで、1 つのプロバイダーで障害が発生した場合でも、ネットワークが引き続き動作できるようにすることができます。 この冗長性は、継続的な接続を維持し、ダウンタイムを最小限に抑えるのに不可欠です。 |
| ExpressRoute プライベート ピアリングのバックアップとして、Microsoft ピアリング経由のサイト間 VPN を構成します。 サイト間 VPN によって冗長性が強化され、ExpressRoute 接続で障害が発生した場合でもネットワークが動作し続けます。 | サイト間 VPN を ExpressRoute プライベート ピアリングのバックアップとして構成することで、継続的な接続を維持し、ダウンタイムを最小限に抑えることができます。 |
| ゾーン冗長仮想ネットワーク ゲートウェイの計画。 ビジネスに適したパフォーマンスとスループットを反映するために、適切な ExpressRoute 仮想ネットワーク ゲートウェイ SKU を選びます。 40 Gbps 接続を実現し、必要なスループットに基づいて自動スケーリングできるスケーラブルな仮想ネットワーク ゲートウェイをデプロイすることをご検討ください。 ゾーン冗長の ExpressRoute 仮想ネットワーク ゲートウェイをデプロイして、可用性ゾーン全体で最大限の回復性と冗長性を実現します。 | 適切な SKU を選ぶと、ゲートウェイはビジネス ニーズに必要なパフォーマンスとスループットを確実に処理できます。 スケーラブルな仮想ネットワーク ゲートウェイは、必要なスループットに基づいて自動スケーリングされるため、ネットワークは変化する需要に適応できます。 この柔軟性は、ピーク時にパフォーマンスを維持し、過負荷を防ぐのに役立ちます。 さらに、ゾーン冗長仮想ネットワーク ゲートウェイをデプロイすると、1 つの可用性ゾーンで障害が発生した場合でもネットワークが動作し続け、全体的な信頼性と回復性が向上します。 |
| Azure Connectivity Toolkit を使用して信頼性テストを実施して、ネットワーク設計に回復性があり、障害に耐えられることを確認します。 | 信頼性テストは、ネットワーク設計の潜在的な問題と弱点を特定するのに役立つため、にれらに事前に対処できます。 信頼性テストを実施することで、ネットワークが堅牢で回復性があることを確認し、ダウンタイムを最小限に抑え、継続的な接続を確保できます。 |
| 使用可能なさまざまなメトリックに基づいて、ExpressRoute 回線、ピアリング、ポート、仮想ネットワーク ゲートウェイのリソースの正常性に対する監視とアラートを設定します。 これは、ネットワークの正常性を積極的に管理および維持するのに役立ちます。 ExpressRoute のネットワークの分析情報を使用して、トポロジ マップと正常性ダッシュボードを視覚化します。これにより、構成とその状態を明確に把握できます。 | さまざまなメトリックに基づいて監視とアラートを設定することで、待機時間の増加、トラフィックの減少、回線のダウンタイムなどの問題がサービスに影響を与える前に、それらを事前に検出して対処できます。 |
| サービス正常性を構成して、計画的および計画外のメンテナンスについての通知を受け取ります。 サービス正常性を構成すると、ExpressRoute 回線に加えられた変更が通知されます。 | Service Health により、Azure portal で、計画している、あるいは実施済みのメンテナンスを確認することや、各自の条件に合うようアラートと通知を構成することができます。 |
セキュリティ
セキュリティの柱の目的は、ワークロードに機密性、整合性、可用性の保証を提供することです。
セキュリティ設計原則は、Azure ExpressRoute の技術設計へのアプローチを適用することで、これらの目標を達成するためのおおまかな設計戦略を提供します。
設計チェック リスト
セキュリティの設計レビュー チェックリストに基づいて設計戦略を開始し、セキュリティ態勢を改善するための脆弱性と管理策を特定します。 必要に応じて、より多くのアプローチを含むように戦略を拡張します。
ExpressRoute 用の Azure セキュリティ ベースラインを活用する: Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。
Azure ロールベースのアクセス制御 (RBAC) を実装する: Azure RBAC を使用して、ExpressRoute 回線でピアリング構成を追加、更新、削除したり、ExpressRoute リソースを変更したりできるユーザー アカウントを制限するロールを構成します。
ExpressRoute の暗号化を構成する: オンプレミス ネットワークと Azure 仮想ネットワークの間で送信されるデータが安全で未承認のアクセスから保護されるように、ExpressRoute 回線経由で転送中のデータを暗号化します。 ExpressRoute では、次の暗号化のオプションがサポートされています:
Media Access Control Security (MACsec) ExpressRoute Direct リソースに適用された MACsec は、リンク層の暗号化と整合性の保護を提供することで ExpressRoute のセキュリティを強化します。これにより、ExpressRoute 回線経由で送信されるデータが安全で、改ざんから保護され、規制要件に準拠していることが保証されます。
インターネット プロトコル セキュリティ (IPsec) IPsec は ExpressRoute プライベート ピアリングに適用されます。転送中のデータを暗号化することで、オンプレミス ネットワークと Azure 仮想ネットワーク間のセキュリティで保護された通信を提供します。 IPsec を構成することで、ExpressRoute 回線経由で送信されるデータが安全で、不正アクセスから保護されていることを確認します。
ExpressRoute 回線で MD5 ハッシュを構成する: プライベート ピアリングまたは Microsoft ピアリングの構成中に、MD5 ハッシュを適用して、オンプレミス ルーターと MSEE ルーターの間のメッセージをセキュリティで保護します。
ログをアーカイブに送信するようにアクティビティ ログを構成する: アクティビティ ログは、ExpressRoute の監査、コンプライアンス、インシデント応答、運用の可視性、ポリシーの適用に不可欠です。 ログを長期保有と分析のためにアーカイブに送信するようにアクティビティ ログを構成します。
推奨事項
次の推奨事項の表を参照して ExpressRoute 構成を最適化し、セキュリティを確保します。
| 推奨 | 特長 |
|---|---|
| ExpressRoute 用の Azure セキュリティ ベースラインを活用します。 このセキュリティ ベースラインでは、Microsoft クラウド セキュリティ ベンチマーク バージョン 1.0 のガイダンスが ExpressRoute に適用されます。 | コンテンツはベンチマークで定義されているセキュリティ コントロールによって編成され、ExpressRoute に固有の関連ガイダンスが含まれています。 |
| Azure ロールベースのアクセス制御 (RBAC) を実装して、ExpressRoute 回線やゲートウェイなどの ExpressRoute リソースを管理できるユーザーを制御します。 | リソースへの詳細なアクセス管理を提供することで、ExpressRoute リソースへのアクセス権を持つ管理アカウントのインベントリを維持し、承認されたユーザーのみが特定のアクションを実行できるようにします。 |
| ExpressRoute Direct ポート用に MACsec を構成します。 | MACsec (Media Access Control Security) は、データの暗号化、データ整合性の確保、脆弱なプロトコルの保護によってセキュリティを強化します。 通常はイーサネット リンクで保護されていないプロトコル (ARP、DHCP、LACP など) をセキュリティで保護し、それによってこれらのプロトコルを対象とする潜在的なセキュリティ上の脅威を防ぎます。 |
| ExpressRoute プライベート ピアリングで IPsec (インターネット プロトコル セキュリティ) を使用してトラフィックを暗号化するか、プライベート ピアリングを使用してトンネルを構成します。 | IPsec はネットワーク層 (レイヤー 3) のデータを暗号化し、暗号化、認証、整合性保護、コンプライアンスを提供することでセキュリティを強化します。 これにより、ExpressRoute 回線経由で送信されるデータが安全であり、不正アクセスや改ざんから保護されていることを確認します。 |
| プライベート ピアリングまたは Microsoft ピアリングの構成中に ExpressRoute 回線で MD5 ハッシュを構成することで、オンプレミス ルーターと MSEE ルーターの間のメッセージをセキュリティで保護します。 | 転送前にデータの MD5 ハッシュを生成し、受信後に生成されたハッシュと比較することで、転送中にデータが改ざんされていないことを確認できます。 |
| アクティビティ ログを構成し、ログをアーカイブに送信します。 データ保有期間はわずか 90 日です。アーカイブするには、Log Analytics、Event Hubs、またはストレージ アカウントに格納する必要があります。 ExpressRoute のアクティビティ ログの詳細については、「Azure ExpressRoute を監視する」をご覧ください。 | アクティビティ ログは、ExpressRoute リソースのサブスクリプション レベルで実行された操作に関する分析情報を提供します。 アクティビティ ログを使用すると、コントロール プレーンで操作が実行されたユーザーとタイミングを特定できます。 |
コストの最適化
コストの最適化は、支出パターンを検出し、重要な領域への投資を優先し、その他への投資を最適化することに重点を置いて、ビジネス要件を満たしながら組織の予算に合わせます。
コスト最適化の設計原則はこれらの目標を達成し、Web アプリとそれが実行する環境に関連する技術設計で必要に応じてトレードオフを行うためのおおまかな設計戦略を提供します。
設計チェック リスト
投資のためのコスト最適化の設計レビュー チェックリストに基づいて設計戦略を開始し、ワークロードがワークロードに割り当てられた予算と一致するように設計を微調整します。 設計では、適切な Azure 機能を使用し、投資を監視し、時間の経過に伴って最適化する機会を見つける必要があります。
ExpressRoute の価格について理解を深める: コスト モデルの演習の一環として、ExpressRoute のコストを見積もります。 容量の需要に合わせてこれらのオプションが適切にサイズ設定されていることを確認し、リソースを無駄にすることなく期待されるパフォーマンスを実現します。
必要な回線 SKU と帯域幅を決定する: ExpressRoute 回線と仮想ネットワーク ゲートウェイ SKU と帯域幅を、ワークロードの容量の需要とパフォーマンス要件に基づいて決定します。
ExpressRoute 仮想ネットワーク ゲートウェイのサイズを決定する: ワークロードの容量の需要とパフォーマンス要件に基づいて、ExpressRoute 仮想ネットワーク ゲートウェイに適したサイズを選びます。
コストを監視し、予算アラートを作成する: ExpressRoute 回線のコストを監視し、異常な支出や支出超過のリスクに関するアラートを作成します。
使用していない ExpressRoute 回線のプロビジョニングを解除および削除する: Azure Advisor は、長期間にわたってデプロイされているものの、プロバイダーの状態が "未プロビジョニング" である ExpressRoute 回線を検出できます。
推奨事項
次の推奨事項の表を参照して ExpressRoute 構成を最適化し、コストを適切な状態に保ちます。
| 推奨 | 特長 |
|---|---|
| ExpressRoute の価格について理解を深めます。 コストを見積もるには、Azure 料金計算ツールを使用します。 ExpressRoute Direct には、ローカルおよび Standard SKU ExpressRoute 回線の回線料金を含む月額ポート料金があります。 Premium SKU 回線の場合、回線の追加料金が発生します。 送信データ転送は、ピアリングの場所のゾーン番号に応じて、使用された GB ごとに課金されます。 送信データの料金は、Standard SKU と Premium SKU にのみ適用されます。 詳細については、「Azure ExpressRoute のコストを計画および管理する」をご覧ください。 | ExpressRoute の価格を理解することで、コスト管理の向上、情報に基づいた意思決定、予期しない料金の回避、価値の最大化が可能になります。 |
| 必要な回線 SKU と帯域幅を決定します。 ExpressRoute の使用量に対して課金される方法は、この 3 つの SKU の種類によって異なります。 Local SKU では、無制限データ プランで自動的に課金されます。 Standard および Premium SKU では、従量制課金データ プランまたは無制限データ プランから選ぶことができます。 Global Reach アドオンを使用する場合を除き、すべてのイングレス データは無料です。Global Reach アドオンでは、異なる地理的な場所間でのデータ転送に追加コストが発生します。 ExpressRoute 回線のサイズを確認し、サイズ変更を行うことが重要です。 | コストと予算を最適化するために、実際のワークロードに最適な SKU の種類とデータ プランを理解しておくことが重要です。 |
| ExpressRoute 仮想ネットワーク ゲートウェイのサイズを決定します。 ExpressRoute 仮想ネットワーク ゲートウェイは、プライベート ピアリング経由で仮想ネットワークにトラフィックを渡すために使用されます。 オンプレミスから Azure へのワークロードに適したゲートウェイ SKU を選択します。 リージョンと種類に基づく ExpressRoute ゲートウェイの価格について理解します。 ExpressRoute ゲートウェイは、1 時間あたりの料金と、ExpressRoute 回線のコストを加算して課金されます。 スケーラブルな ExpressRoute ゲートウェイを構成して、ゲートウェイの最小スケール ユニットと最大スケール ユニットを設定します。これは、アクティブな帯域幅またはフロー数に基づいて自動スケーリングされます。 さまざまなゲートウェイ SKU の料金を見るには ExpressRoute の価格 を参照し、[ExpressRoute ゲートウェイ] を選択してください。 | これにより、リソースの適切なサイズ設定が可能になり、スケーリングの柔軟性、パフォーマンスの最適化、プロアクティブなコスト管理のサポートを実現できます。 この方法により、リソースを効率的かつコスト効率よく使用できます。 |
| コストを監視し、予算アラートを作成します。 ExpressRoute 回線のコストを監視し、異常な支出や支出超過のリスクに関するアラートを作成します。 | 監視とアラートには、支出の制御、財務計画の強化、説明責任の確保、リソース配分状況の最適化を行うツールが用意されています。 |
| 使用していない ExpressRoute 回線のプロビジョニングを解除および削除します。 Azure Advisor は、長期間にわたってデプロイされているものの、プロバイダーの状態が "未プロビジョニング" である ExpressRoute 回線を検出できます。 | ExpressRoute 回線は、作成された時点から課金されます。 不要なコストを削減するには、サービス プロバイダーで回線のプロビジョニングを解除し、サブスクリプションから ExpressRoute 回線を削除します。 |
オペレーショナル エクセレンス
オペレーショナル エクセレンスは主に、開発プラクティス、監視、リリース管理の手順に重点を置いています。
オペレーショナル エクセレンスの設計原則は、ワークロードの運用要件に向けてこれらの目標を達成するためのおおまかな設計戦略を提供します。
設計チェック リスト
オペレーショナル エクセレンスの設計レビュー チェックリストに基づいて、ExpressRoute に関連する監視、テスト、デプロイのプロセスを定義する設計戦略を開始します。
最も近いピアリングの場所を選ぶ: 待機時間とコストを削減するために、オンプレミス ネットワークに最も近いピアリングの場所を選びます。
オンプレミスと Azure ネットワークの間の接続監視を構成する: 接続モニターを使用すると、ExpressRoute プライベート ピアリングおよび Microsoft ピアリング接続を介して、オンプレミスのリソースと Azure の間の接続を監視できます。
Microsoft ピアリングが有効な ExpressRoute 回線の動的ルーティングを構成する: ExpressRoute の動的ルーティングは BGP を利用して、ルートの自動更新、最適なパスの選択、スケーラビリティ、相互運用性をネットワークに提供します。
通知を受信するように Service Health を構成する: サブスクリプション内のすべての ExpressRoute 回線に対してメンテナンスの計画や実施が行われるときにアラートを生成するように Service Health の通知を構成します。 ワークロードの全体的な正常性モデルと統合する方法の詳細については、「ワークロードに関する正常性のモデリング」をご覧ください。
ExpressRoute の Traffic Collector を構成する: ExpressRoute Traffic Collector を使用すると、ExpressRoute 回線経由のネットワーク フローのサンプリングが可能になります。
メトリックとログの収集、分析、視覚化: ソリューションの全体的な監視戦略の一部としてメトリックとログを収集します。 特定のしきい値が満たされたときに通知するように、アラートを設定します。 ExpressRoute Insights で使用できるメトリックとダッシュボードを確認して、ピアリング コンポーネントの詳細をすべて 1 か所で表示します。
推奨事項
次の表に記載されている推奨事項を参照して、オペレーショナル エクセレンスを実現するために ExpressRoute 構成を最適化します。
| 推奨 | 特長 |
|---|---|
| 待機時間とコストを削減するために、オンプレミス ネットワークに最も近いピアリングの場所を選びます。 | オンプレミス ネットワークに最も近いピアリングの場所を選ぶことで、待機時間とコストを削減し、最適なパフォーマンスとコスト効率を確保できます。 |
| オンプレミスと Azure ネットワークの間の接続モニターを構成します。 | 接続モニターは、ネットワーク パスに沿って問題がある場所を特定することでネットワークの問題を検出することができ、構成またはハードウェアの障害をすばやく解決するのに役立ちます。 接続モニターは、Azure Monitor ログの一部です。 |
| Microsoft ピアリングが有効な ExpressRoute 回線の動的ルーティングを構成します。 | 動的ルーティングにより、より効率的で柔軟なルーティングが可能になります。そのため、ネットワークの変更に応じて、最適なパス選択とルーティング テーブルの自動更新が保証されます。 |
| サブスクリプション内のすべての ExpressRoute 回線に対して計画されたメンテナンスや近日中のメンテナンスがスケジュールされたときにアラートを生成するように Service Health の通知を構成します。 Service Health には、計画外のメンテナンス イベントが発生した場合に、過去のメンテナンス イベントと根本原因分析 (RCA) も表示されます。 | Service Health の通知は、計画済みおよび計画外のメンテナンス、停止、潜在的な問題に関する早期警告に関するタイムリーなアラートを提供します。 これにより、ExpressRoute 回線の状態に関する情報を常に把握できます。 |
| ExpressRoute の Traffic Collector を構成します | ExpressRoute Traffic Collector を使用すると、ExpressRoute 回線経由のネットワーク フローのサンプリングが可能になります。 プライベート ピアリングと Microsoft ピアリングの両方をサポートし、ネットワークのスループットとパフォーマンスを凖リアルタイムで可視化します。 |
| ネットワークの分析情報を使用してメトリックを確認します。 ExpressRoute の分析情報とネットワークの分析情報を一緒に使用することで、ExpressRoute 回線、ゲートウェイ、接続メトリック、正常性ダッシュボードを確認したり、分析したりできます。 ExpressRoute の分析情報では、ExpressRoute 接続のトポロジ ビューも提供され、ピアリング コンポーネントの詳細をすべて 1 か所で表示できます。 | ネットワークの分析情報は、ExpressRoute 回線、ゲートウェイ、接続全体のさまざまなメトリックを監視するための一元化されたプラットフォームを提供し、ネットワークの正常性とパフォーマンスを包括的に表示します。 |
| ExpressRoute リソース メトリックを確認します。 Azure Monitor を使用してメトリックを収集し、構成に基づいてアラートを生成します。 | ExpressRoute 回線、ExpressRoute ゲートウェイ、ExpressRoute ゲートウェイ接続、および ExpressRoute Direct のメトリックが収集されます。 これらのメトリックは、接続の問題を診断し、ExpressRoute 接続のパフォーマンスを把握するのに役立ちます。 |
| ExpressRoute メトリックを確認し、アラートを作成します。 ExpressRoute では、Azure Monitor を使用してメトリックを収集し、構成に基づいてアラートを生成します。 ExpressRoute とワークロードの監視戦略を実装するには、「監視システムの設計と作成に関する推奨事項」に従います。 | ExpressRoute 回線、ExpressRoute ゲートウェイ、ExpressRoute ゲートウェイ接続、および ExpressRoute Direct のメトリックが収集されます。 これらのメトリックは、接続の問題を診断し、ExpressRoute 接続のパフォーマンスを把握するのに役立ちます。 |
パフォーマンス効率
パフォーマンス効率とは、容量を管理することで、負荷が増加したときにも、ユーザー エクスペリエンスを維持することです。 この戦略には、リソースのスケーリング、潜在的なボトルネックの特定と最適化、ピーク パフォーマンスの最適化が含まれます。 パフォーマンス効率設計の原則は、予想される使用に対してこれらの容量目標を達成するためのおおまかな設計戦略を提供します。
設計チェック リスト
Azure ExpressRoute のキー パフォーマンス指標に基づいてベースラインを定義するために、パフォーマンス効率のための設計レビュー チェックリストに基づいて設計戦略を開始します。 ワークロードの需要を満たすようにネットワークのスケーリングを計画します。 スケーリングを正しく計画しないと、ダウンタイムや追加コストが発生する可能性があります。 回線計画とゲートウェイ計画の両方に関しては、適切なスケーリングを確保します。
ワークロードの要件を満たすために ExpressRoute ゲートウェイのパフォーマンスをテストする: Azure 接続ツールキットを使用して ExpressRoute 回線全体のパフォーマンスをテストし、ネットワーク接続の帯域幅容量と待機時間を把握します。
スケーリングの計画: スケーラビリティの要件に基づいて、適切な ExpressRoute 回線 SKU と仮想ネットワーク ゲートウェイ SKU を選びます。 各 SKU は異なる機能と制限を提供します。 ネットワークのパフォーマンス、機能、ルーティングのニーズを考慮します。 ソリューションのスケーラビリティに関するその他のガイダンスについては、「スケーリングとパーティション分割を最適化するための推奨事項」をご覧ください。
ExpressRoute リソースのパフォーマンスを監視する: パフォーマンス データを収集するための WAF 推奨事項に従ってパフォーマンス テレメトリを収集および分析します。 パフォーマンス目標を満たしていることを検証し、特定のしきい値が満たされたときに事前に通知するようにアラートを設定します。
推奨事項
次の表に記載されている推奨事項を参照して、パフォーマンス効率を向上させるために ExpressRoute 構成を最適化します。
| 推奨 | 特長 |
|---|---|
| Azure Connectivity Toolkit を使用して、ワークロードの要件を満たすために ExpressRoute ゲートウェイのパフォーマンスをテストします。 バックアップやパフォーマンス テストなど、帯域幅を集中的に使用する操作を運用トラフィックが少ない時にスケジュールします。 | このツールキットには、Azure へのネットワーク接続の構成と管理のプロセスを簡略化する、使いやすいツールとインターフェイスが用意されています。 このツールキットには、ネットワーク パフォーマンスを最適化し、Azure サービスへの効率的で信頼性の高い接続を確保するためのツールが含まれています。 |
| ExpressRoute 回線のスケーリングを計画します。 運用ワークロードの要件を満たすために、ExpressRoute 回線の帯域幅をアップグレードします。 回線帯域幅は、ExpressRoute 回線に接続されているすべての仮想ネットワーク間で共有されます。 ワークロードによっては、1 つまたは複数の仮想ネットワークが回線上のすべての帯域幅を使い切る場合があります。 詳細については、「ExpressRoute の制限」をご覧ください。 | 帯域幅をアップグレードすると、パフォーマンスを損なうことなく、増加するデータ ボリュームとより多くのユーザーをネットワークで処理できるようになります。 |
| ExpressRoute 仮想ネットワーク ゲートウェイのスケーリングを計画します。 運用ワークロードの要件を満たすために、ExpressRoute 仮想ネットワーク ゲートウェイ SKU をアップグレードします。 | より大きなゲートウェイ SKU にアップグレードすると、より高いスループット機能が提供されるため、オンプレミス ネットワークと Azure 間でより多くのデータをより迅速に転送できます。 より大規模なゲートウェイでは、より多くの同時接続と大量のトラフィックを管理できるため、ネットワークの輻輳やボトルネックが発生する可能性が低くなります。 |
| 自動スケーリングしてパフォーマンスを高めるようにスケーラブル ゲートウェイを構成します。 | スケーラブルなゲートウェイを使用すると、ゲートウェイ インスタンスで自動的にスケールアップとスケールダウンを行うことで、パフォーマンスのニーズに対応できます。 また、ErGwScale SKU を使用すると、仮想ネットワーク内の仮想マシンとプライベート エンドポイントへの 40 Gbps の接続を実現できます。 |
| スループットを高めるために仮想ネットワーク ゲートウェイで ExpressRoute FastPath を有効にします。 | この機能は、ゲートウェイをバイパスすることで、お使いのオンプレミス ネットワークと仮想ネットワークの間のデータ パスのパフォーマンスを向上させます。 ビジネス ニーズの拡大に伴い、FastPath は、パフォーマンスを損なうことなく、データ 量の増加とより多くのユーザーをサポートするために必要な帯域幅とパフォーマンスを提供します。 FastPath を有効にすると、ネットワークで将来の拡張と新しいアプリケーションを処理できるようになり、長期的なパフォーマンス効率が実現されます。 |
| ExpressRoute 回線、ポート、ゲートウェイのメトリックを監視します。 特定のしきい値が満たされたときに事前に通知するように ExpressRoute メトリックのアラートを構成します。 ExpressRoute 回線メトリックでは、ARP の可用性、BitsInPerSecond、DroppedInBitsPerSecond などのメトリックがサポートされます。 ExpressRoute ポート メトリックでは、AdminState、BitsInPerSecond、FastPathRoutesCount などのメトリックがサポートされます。 ExpressRoute ゲートウェイのメトリックでは、1 秒あたりのビットイン、アクティブ フロー、ピアにアドバタイズされたルートの数などのメトリックがサポートされます。 接続モニターを使用してパフォーマンス目標を監視します。 |
ExpressRoute 回線、ポート、ゲートウェイのメトリックは、ExpressRoute 回線の停止やメンテナンスなど、ExpressRoute 接続で発生する可能性のある異常について把握するのに役立ちます。 接続モニターは、ネットワーク パスに沿って問題がある場所を特定することでネットワークの問題を検出することができ、構成またはハードウェアの障害をすばやく解決するのに役立ちます。 |
Azure Policy
Azure Policy には ExpressRoute の組み込みポリシーは用意されていませんが、ExpressRoute 回線が、SKU の選択、ピアリングの種類、ピアリング構成など、望む最終的な状態と一致する方法を管理するのに役立つカスタム ポリシーを作成することができます。
次のステップ
この記事で示された推奨事項を実践するリソースとしては、以下の記事を検討してください。
クラウド導入フレームワークの準備手法を扱ったガイダンス
- Azure への接続および Azure ExpressRoute を使用したハイブリッド接続のアーキテクチャに関するガイダンスから開始することをお勧めします。
- 従来の Azure ネットワーク トポロジ
- Virtual WAN ネットワーク トポロジ (Microsoft 管理)
実装の専門知識を身に付けるには、次の製品ドキュメントを使用します:
- ExpressRoute 回線または ExpressRoute Direct ポートを構成して、オンプレミス ネットワークと Azure の間の通信を確立します。
- Azure ExpressRoute の製品ドキュメント。
- 回復性に向けて ExpressRoute を設計して、構成が堅牢で信頼性の高いものになるようにします。
- ロー コード アプリケーションのアーキテクチャについては、Microsoft Power Platform での ExpressRoute の使用を計画および構成する際に、Power Platform での ExpressRoute の有効化に関する記事をご確認ください。