Azure VMware Solution SDDC のテナント間ネットワーク接続を確立する

この記事では、テナント間環境で Azure VMware Solution ソフトウェア定義データセンター (SDDC) を設定する方法について説明します。 ここでは、スポーク仮想ネットワークで実行される Azure Virtual WAN とネットワーク仮想アプライアンス (NVA) を使用してネットワーク接続を確立する方法に関するガイダンスを提供します。 スポーク仮想ネットワークは Virtual WAN に接続します。

Architecture

次のアーキテクチャは、テナント間の Azure VMware Solution SDDC、Azure、およびオンプレミス環境間の接続を示しています。

接続

テナント間環境でのネットワーク接続は、次の接続で構成されます。

• Azure VMware Solution SDDC から SDDC への接続
• Azure VMware Solution SDDC から Azure への接続
• Azure VMware Solution SDDC からオンプレミスへの接続
• Azure 間の接続
• Azure からオンプレミスへの接続

Azure VMware Solution SDDC から SDDC への接続

テナント間でデプロイする 2 つの Azure VMware Solution SDDC 間の接続は、デプロイするポッドによって異なります。 次の手順に従って、SDDC をデプロイするポッドを特定します。

1. Azure Portal で、Azure VMware Solution にアクセスします。
2. [管理] > [クラスター] の順に選択します。
3. 3 つのドットを選択し、[編集] を選択します。
4. ホスト FQDN 値をメモします。 ポッド番号の前に p が付けられます。

他の SDDC に対して同じプロセスを繰り返します。 一般的なポッドを共有するかどうかを判断します。 次の図は、ポッド 1 にデプロイされている SDDC ホストを示しています。

Note

Azure VMware Solution SDDC のデプロイ中にポッドを選択することはできません。 ポッドの割り当ては事前に定義されていないため、スケジューラがポッドに割り当てる正確なノードは、プロセスが実行されるたびに異なる場合があります。

SDDC が共有するポッドを特定したら、次のいずれかのオプションを実行します。

• Azure VMware Solution 相互接続 (Global Reach): このオプションは、2 つの SDDC が同じ Azure リージョン にあり、 それらの間で共通のポッドを共有していない場合に使用します。 このオプションにより、2 つの SDDC ExpressRoute 回線間に ExpressRoute 回線 Global Reach 接続が確立されます。 このオプションでは、移行性の接続も有効になります。 移行的接続とは、SDDC ExpressRoute 回線が SDDC、Virtual WAN、Virtual WAN ダイレクト スポーク仮想ネットワークから学習するルートも、テナント全体で他の SDDC ExpressRoute 回線、SDDC、Virtual WAN、および Virtual WAN ダイレクト スポーク仮想ネットワークにアドバタイズすることを意味します。

• Azure VMware Solution 相互接続 (Global Reach 以外) を使用する: このオンプレミスは、SDDC が同じ Azure リージョンにあり、これらの間で共通ポッドを共有している場合に使用します。 このオプションでは、Virtual WAN とその直接スポーク仮想ネットワークがアドバタイズするルートのテナント間の移行的接続は提供されません。

• Azure VMware Solution ExpressRoute Global Reach を使用する: ポッドを共有するかどうかにかかわらず、2 つの SDDC が異なる Azure リージョンにある場合は、このオプションを使用します。 このオプションは、Virtual WAN とその直接スポーク仮想ネットワークがアドバタイズするルートのテナント間の移行的接続を提供します。

これらのオプションはすべて、2 つの SDDC 間でネットワーク接続を確立できます。 選択するオプションは、Azure VMware Solution SDDC から Azure への接続に影響します。

Note

セルフサービス モデルを使用すると、2 つの SDDC 間のネットワーク接続を確立できます。 ただし、ストレッチ クラスターで SDDC を実行する場合は、サポート チケットを挙げる必要があります。

Azure VMware Solution SDDC から Azure への接続

このアーキテクチャでは、各 SDDC は Virtual WAN に接続し、各 Virtual WAN インスタンスは独自の Microsoft Entra テナントで実行されます。 接続を確立するには、次の手順を実行します。

1. Azure Portal、Azure CLI、または PowerShell で、Azure VMware Solution SDDC 承認キーを作成します。

2. Virtual WAN で、ハブと ExpressRoute ゲートウェイを作成します。

3. SDDC と Virtual WAN 間の接続を確立するには、承認キーを使用します。

他の Azure 仮想ネットワークもこの Virtual WAN に接続します。

• 直接スポーク仮想ネットワークは、Virtual WAN 仮想ネットワーク接続を介して Virtual WAN に直接接続します。 スポーク仮想ネットワークは、その中にデプロイされている NVA を実行できます。 NVA は、Azure と Azure VMware Solution SDDC から送信されるトラフィックを検査および制御します。

• 間接スポーク仮想ネットワークは、直接スポーク仮想ネットワークに接続します。 Virtual WAN に直接接続しません。 間接スポーク仮想ネットワークは、Azure で実行されるワークロードをホストします。 直接スポーク仮想ネットワークで実行される NVA は、間接スポーク仮想ネットワークからのネットワーク トラフィックを検査します。

次の構成を使用して、Azure の SDDC と仮想ネットワーク間の直接的および間接的な接続を確立します。

• 直接スポークは、Virtual WAN と SDDC 間の接続を介して、独自のテナントで実行される SDDC に接続できます。

• 直接スポークは、Azure VMware Solution 相互接続 (Global Reach) または Azure VMware Solution Global Reach 接続を介して、他のテナントで実行される SDDC に接続できます。

• 間接スポークは、既定ではテナント内の SDDC に接続しません。 ユーザー定義ルート (UDR) は間接スポークに関連付けることができます。 UDR には、宛先ネットワークとしてテナントに SDDC プレフィックスがあり、ネクスト ホップとして独自のテナントに直接スポークがあります。

• 間接スポークは、既定では別のテナント内の SDDC に接続しません。 UDR は間接スポークに関連付けることができます。 UDR には、宛先ネットワークとして別のテナントに SDDC プレフィックスがあり、ネクスト ホップとして独自のテナントに直接スポークがあります。 この接続には、SDDC 間の Azure VMware Solution 相互接続 (Global Reach) または Azure VMware Solution Global Reach 接続のいずれかが必要です。

Note

このガイダンスは、NVA ソリューションをホストするスポーク仮想ネットワークに接続する 1 つのハブに対して使用します。 Azure VMware Solution SDDC に接続する必要があるハブが複数ある場合は、フルメッシュ ネットワーク アーキテクチャを使用します。

Azure VMware Solution SDDC からオンプレミスへの接続

Global Reach を使用して、各 Azure VMware Solution SDDC とオンプレミス環境間の接続を確立します。 このシナリオでは、各 SDDC ExpressRoute 回線とオンプレミスの ExpressRoute 回線が相互接続されます。 SDDC ExpressRoute 回線が Global Reach 接続を介して学習するオンプレミス ルートは、非移行的です。 Azure VMware Solution SDDC から SDDC への接続がある場合でも、ルートはテナント全体でアドバタイズされません。

SDDC からオンプレミスへの接続は、テナント間 SDDC から SDDC への接続と共存します。 このようなセットアップでは、1 つの SDDC ExpressRoute 回線が Global Reach 接続を介してオンプレミス ルートを学習し、SDDC から SDDC への接続を介したテナント間 Virtual WAN ルートも学習します。 テナント間 Virtual WAN または SDDC は、静的ルートや VPN 接続などの他の方法でオンプレミス のプレフィックスをアドバタイズしてはなりません。 この場合、SDDC ExpressRoute はオンプレミス環境の重複ルートを学習します。これにより、ルーティング ループが作成され、接続が切断されます。

オンプレミス環境に冗長性を確保するための複数の ExpressRoute 回線がある場合は、パブリック AS パスのプリペンドを使用して、一方の回線を他方の回線より優先します。

Note

SDDC からオンプレミスへの接続は、Azure からオンプレミスへの接続と共存します。 Virtual WAN の ExpressRoute ゲートウェイを使用すると、SDDC ExpressRoute 回線とオンプレミスの ExpressRoute 回線に接続できます。 ただし、この接続は移行的ではありません。

Azure 間の接続

直接仮想ネットワークと間接仮想ネットワークは、同じ Azure テナント内および Azure テナント間で相互通信する必要があります。 次の方法を使用して接続を確立します。

同じテナント内で接続を確立する

• Virtual WAN 仮想ネットワーク接続を介して、直接スポークを相互に接続します。

• 仮想ネットワーク ピアリングを使用して、直接スポークと間接スポークを接続します。

• 仮想ネットワーク ピアリングを使用して、間接スポークと直接スポークを接続します。

• 直接スポークと直接スポークを関連付ける UDR を使用して仮想ネットワーク ピアリング経由で間接スポークを相互接続します。 UDR には宛先ネットワークとして間接スポーク プレフィックスがあり、ネクスト ホップとして、直接スポークに NVA があります。 ネットワーク インターフェイス カード (NIC) を介してトラフィックを転送するように、直接スポークで NVA を構成します。

テナント間で接続を確立する

• グローバル仮想ネットワーク ピアリングを使用して、直接スポークをテナント間の直接スポークに接続します。

• 直接スポークと直接スポークに関連付ける UDR 間のグローバル仮想ネットワーク ピアリングを介して、直接スポークをテナント間間接スポークに接続します。 UDR には、宛先ネットワークとしてテナント間間接スポーク プレフィックス、そしてネクスト ホップとしてテナント間直接スポークに NVA があります。

• 直接スポーク仮想ネットワークと直接スポーク仮想ネットワークに関連付ける UDR 間のグローバル仮想ネットワーク ピアリングを介して、間接スポークをテナント間直接スポークに接続します。 UDR には、宛先ネットワークとしてテナント間直接スポーク プレフィックス、そしてネクスト ホップとして独自の直接スポークに NVA があります。

• 直接スポーク仮想ネットワークと直接スポーク仮想ネットワークに関連付ける UDR 間のグローバル仮想ネットワーク ピアリングを介して、間接スポークをテナント間間接スポークに接続します。 UDR には、宛先ネットワークとしてテナント間間接スポーク プレフィックス、そしてネクスト ホップとして独自の直接スポークに NVA があります。

Azure からオンプレミスへの接続

オンプレミス ExpressRoute 回線と Virtual WAN の ExpressRoute ゲートウェイを使用して、Azure からオンプレミスへの接続を確立します。 Azure VMware Solution SDDC ExpressRoute と同じオンプレミス ExpressRoute ゲートウェイ間の接続は、非移行的です。 グローバル仮想ネットワーク ピアリングを介した直接スポーク仮想ネットワークと Virtual WAN 間の接続も、非移行的です。 Virtual WAN に接続する間接スポークには、宛先ネットワークとしてオンプレミスのプレフィックスを持つ UDR と、ネクスト ホップとして直接スポークで実行される NVA が必要です。

シナリオの詳細

この記事では、次のシナリオを検証します。 これらのシナリオは、テナント間の移行またはワークロード アクセスの目的で適用できます。

• テナント間 Azure VMware Solution SDDC から SDDC へのネットワーク接続
• テナント間 Azure 間接続
• Azure VMware Solution SDDC と Azure 仮想ネットワーク間のテナント間ネットワーク アクセス
• Azure VMware Solution SDDC とオンプレミス環境間のテナント間ネットワーク アクセス
• Virtual WAN に接続する仮想ネットワークで実行される NVA を介したテナント間ネットワーク トラフィックの検査と制御

テナント間環境では、Azure VMware Solution SDDC、その関連する Azure ExpressRoute 回線、および Virtual WAN によって、困難な移行またはワークロード アクセス エクスペリエンスを作成できます。 Azure VMware Solution SDDC に関連付けられている ExpressRoute 回線は、SDDC および Virtual WAN ExpressRoute ゲートウェイとも接続します。 ExpressRoute 回線は、Azure VMware Solution SDDC と Virtual WAN によってアドバタイズされるルートを学習します。 ExpressRoute 回線は、テナント全体で、回線に接続する他の Azure VMware Solution SDDC と Virtual WAN へのルートをアドバタイズします。 Virtual WAN、SDDC ExpressRoute 回線、および Virtual WAN ExpressRoute ゲートウェイ間の循環ルート伝達を避けるために、構成を慎重に計画します。

考えられるユース ケース

このアーキテクチャのメリットを得られる可能性のある次のシナリオを検討します。

• 多国籍企業は、さまざまな Microsoft Entra テナントで Azure VMware Solution SDDC を実行しています。

• ある企業が会社分割や売却を行た結果、別の Microsoft Entra のテナントを持つ別の事業体ができました。 別の事業体には、オンプレミス環境へのアクセスが必要であり、Azure VMware Solution SDDC やその他の Azure リソースへのテナント間アクセスが必要です。

• 2 つの異なる企業には独自の Microsoft Entra テナントがありますが、Azure VMware Solution SDDC と Azure の両方で実行されるワークロードへのテナント間アクセスが必要です。

次のステップ

• Azure VMware Solution のネットワーク設計ガイド
• ネットワーク計画のチェックリスト

関連リソース

• Azure VMware Solution の接続を準備する