Virtual WAN と Global Reach があるデュアル リージョンの Azure VMware Solution 設計を使用する
この記事では、2 つのリージョンに Azure VMware Solution をデプロイする場合の接続、トラフィック フロー、高可用性のベスト プラクティスについて説明します。 ルーティング インテントと Azure ExpressRoute Global Reach を使用したセキュリティで保護された Azure Virtual WAN に関するガイダンスを提供します。 この記事では、Azure VMware Solution プライベート クラウド、オンプレミス サイト、および Azure ネイティブ リソースのルーティング インテント トポロジがある Virtual WAN について説明します。
ルーティング インテントがあるセキュリティで保護された Virtual WAN の実装と構成についてはこの記事では説明しません。 この記事では、ルーティング インテントを使用する Virtual WAN とセキュリティで保護された Virtual WAN の基礎を把握していることを前提としています。
セキュリティで保護された Virtual WAN と Global Reach を 2 つのリージョンで使用する
Virtual WAN Standard SKU のみが、ルーティング インテントがあるセキュリティで保護された Virtual WAN をサポートします。 ルーティング インテントを使用するセキュリティで保護された Virtual WAN を使用して、すべてのインターネット トラフィックとプライベート トラフィックを Azure Firewall や Microsoft 以外のネットワーク仮想アプライアンス (NVA) または Software as a Service (SaaS) ソリューションなどのセキュリティ ソリューションを送信します。 ルーティング インテントを使用する場合は、セキュリティで保護された Virtual WAN ハブが必要です。
このシナリオのハブでは次の構成が使用されています。
デュアルリージョン ネットワークには、1 つの Virtual WAN と 2 つのハブがあります。 各リージョンには 1 つのハブがあります。
各ハブには独自の Azure Firewall インスタンスがデプロイされています。これにより、Virtual WAN ハブがセキュリティで保護されます。
セキュリティで保護された Virtual WAN ハブでは、ルーティング インテントが有効になっています。
このシナリオには、次のコンポーネントもあります。
各リージョンには独自のAzure VMware Solution プライベート クラウドと Azure 仮想ネットワークがあります。
オンプレミス サイトは両方のリージョンに接続します。
環境には Global Reach 接続があります。
Global Reach は、Azure VMware Solution をオンプレミスまたはリージョンの Azure VMware Solution プライベート クラウドに接続する Microsoft バックボーンを介して直接論理リンクを確立します。
Global Reach 接続はハブ ファイアウォールを通過しません。 そのため、サイト間の Global Reach トラフィックは検査されません。
Note
Global Reach サイト間のセキュリティを強化するには、Azure VMware Solution 環境内の NSX-T またはオンプレミスのファイアウォール内のトラフィックを検査することを検討します。
以下の図はこのシナリオの例を示したものです。
次の表では、前の図のトポロジ接続について説明します。
| つながり | 説明 |
|---|---|
| A | Azure VMware Solution リージョン 1 Global Reach からオンプレミスへの接続 |
| B | Azure VMware Solution リージョン 2 Global Reach からオンプレミスへの接続 |
| C | 2 つのプライベート クラウドのマネージド回線間の Azure VMware Solution Global Reach 接続 |
| D | ローカル リージョン ハブへの Azure VMware Solution プライベート クラウド接続 |
| E | 両方のリージョン ハブへの ExpressRoute 経由のオンプレミス接続 |
| インターハブ | 同じ Virtual WAN にデプロイされている 2 つのハブ間のインターハブ論理接続 |
Note
セキュリティで保護された Virtual WAN ハブがある Azure VMware Solution を構成する場合は、ハブ ルーティング優先オプションを設定を [AS パス] に設定して、ハブでの最適なルーティング結果を確実にします。 詳細については、「仮想ハブ ルーティングの優先設定」を参照してください。
デュアルリージョンのセキュリティで保護された Virtual WAN フロー
次のセクションでは、Global Reach を使用する際の、Azure VMware Solution、オンプレミス、Azure 仮想ネットワーク、インターネットのトラフィック フローと接続について説明します。
Azure VMware Solution プライベート クラウドのリージョン間接続とトラフィック フロー
次の図は、2 つのリージョンにある 2 つの Azure VMware Solution プライベート クラウドのトラフィック フローを示しています。
次の表では、前の図のトラフィック フローについて説明します。
| トラフィック フロー番号 | ソース | Destination (公開先) | セキュリティで保護された Virtual WAN ハブ ファイアウォールはこのトラフィックを検査しますか? |
|---|---|---|---|
| 1 | Azure VMware Solution クラウド リージョン 1 | 仮想ネットワーク 1 | はい。ハブ 1 のファイアウォール経由します。 |
| 2 | Azure VMware Solution クラウド リージョン 1 | オンプレミス | いいえ。トラフィックはファイアウォールをバイパスし、Global Reach 接続 A を通過します |
| 3 | Azure VMware Solution クラウド リージョン 1 | 仮想ネットワーク 2 | はい (ハブ 2 のファイアウォール経由) |
| 4 | Azure VMware Solution クラウド リージョン 1 | Azure VMware Solution クラウド リージョン 2 | いいえ。トラフィックはファイアウォールをバイパスし、Global Reach 接続 C を通過します |
| 5 | Azure VMware Solution クラウド リージョン 2 | 仮想ネットワーク 1 | はい。ハブ 1 のファイアウォール経由します。 |
| 6 | Azure VMware Solution クラウド リージョン 2 | 仮想ネットワーク 2 | はい (ハブ 2 のファイアウォール経由) |
| 7 | Azure VMware Solution クラウド リージョン 2 | オンプレミス | いいえ。トラフィックはファイアウォールをバイパスし、Global Reach 接続 B を通過します |
各 Azure VMware Solution プライベート クラウドは、ExpressRoute 接続 D を経由して、ローカル リージョン ハブに接続します。
各 Azure VMware Solution クラウド リージョンは、ExpressRoute Global Reach 経由でオンプレミス ネットワークに接続されます。 各 Azure VMware Solution クラウド リージョンには、独自の Global Reach 接続 (接続 A と B) があります。 また、Azure VMware Solution プライベート クラウドは、Global Reach 接続 C を介して直接接続します。Global Reach トラフィックがハブ ファイアウォールを通過することはありません。
3 つの Global Reach 接続をすべて構成します。 Global Reach サイト間の接続の問題を防ぐには、この手順を実行する必要があります。
オンプレミスの接続とトラフィック フロー
次の図は、オンプレミス サイトのトラフィック フローを示しています。
次の表では、前の図のトラフィック フローについて説明します。
| トラフィック フロー番号 | ソース | Destination (公開先) | セキュリティで保護された Virtual WAN ハブ ファイアウォールはこのトラフィックを検査しますか? |
|---|---|---|---|
| 2 | オンプレミス | Azure VMware Solution クラウド リージョン 1 | いいえ。トラフィックはファイアウォールをバイパスし、Global Reach 接続 A を通過します |
| 7 | オンプレミス | Azure VMware Solution クラウド リージョン 2 | いいえ。トラフィックはファイアウォールをバイパスし、Global Reach 接続 B を通過します |
| 8 | オンプレミス | 仮想ネットワーク 1 | はい。ハブ 1 のファイアウォール経由します。 |
| 9 | オンプレミス | 仮想ネットワーク 2 | はい (ハブ 2 のファイアウォール経由) |
オンプレミス サイトは、ExpressRoute 接続 E を介してリージョン 1 ハブとリージョン 2 ハブの両方に接続します。
オンプレミス システムは、Global Reach 接続 A を介して Azure VMware Solution クラウド リージョン 1 と、Global Reach 接続 B を介して Azure VMware Solution クラウド リージョン 2 と通信できます。
3 つの Global Reach 接続をすべて構成します。 Global Reach サイト間の接続の問題を防ぐには、この手順を実行する必要があります。
Azure 仮想ネットワークの接続とトラフィック フロー
次の図は、仮想ネットワークのトラフィック フローを示しています。
次の表では、前の図のトラフィック フローについて説明します。
| トラフィック フロー番号 | ソース | Destination (公開先) | セキュリティで保護された Virtual WAN ハブ ファイアウォールはこのトラフィックを検査しますか? |
|---|---|---|---|
| 1 | 仮想ネットワーク 1 | Azure VMware Solution クラウド リージョン 1 | はい。ハブ 1 のファイアウォール経由します。 |
| 3 | 仮想ネットワーク 2 | Azure VMware Solution クラウド リージョン 1 | はい (ハブ 2 のファイアウォール経由) |
| 5 | 仮想ネットワーク 1 | Azure VMware Solution クラウド リージョン 2 | はい。ハブ 1 のファイアウォール経由します。 |
| 6 | 仮想ネットワーク 2 | Azure VMware Solution クラウド リージョン 2 | はい (ハブ 2 のファイアウォール経由) |
| 8 | 仮想ネットワーク 1 | オンプレミス | はい。ハブ 1 のファイアウォール経由します。 |
| 9 | 仮想ネットワーク 2 | オンプレミス | はい (ハブ 2 のファイアウォール経由) |
| 10 | 仮想ネットワーク 1 | 仮想ネットワーク 2 | はい。ハブ 1 のファイアウォールを経由します。 その後、トラフィックはハブ間接続を経由し、ハブ 2 ファイアウォールを介して検査されます。 |
両方の仮想ネットワークは、ローカル リージョン ハブに直接ピアリングします。
ルーティング インテントがあるセキュリティで保護されたハブは、既定の RFC 1918 アドレス (10.0.0.0/8、172.16.0.0/12、192.168.0.0/16) を、プライベートトラフック プリフィックスとして追加されたその他プリフィックスと一緒にピアリングされた仮想ネットワークに送信します。 詳細については、「ルーティング インテント プライベートアドレス プレフィックス」を参照してください。
このシナリオでは、ルーティング インテントが有効になっているため仮想ネットワーク 1 と仮想ネットワーク 2 のすべてのリソースは、既定の RFC 1918 アドレスを処理して、ネクスト ホップとしてローカル リージョン ハブ ファイアウォールを使用します。 仮想ネットワークに出入りするすべてのトラフックは、ハブ ファイアウォールを通過します。
インターネット接続
このセクションでは、仮想ネットワーク内の Azure ネイティブ リソースと、両方のリージョンの Azure VMware Solution プライベート クラウドにインターネット接続を提供する方法について説明します。 詳細については、「インターネット接続の設計に関する考慮事項」を参照してください。 次のオプションを使用して、Azure VMware Solution にインターネット接続を提供できます。
- オプション 1: Azure でホストされるインターネット サービス
- オプション 2: VMware Solution で管理される Source Network Address Translation (SNAT)
- オプション 3: NSX-T データセンター エッジへの Azure パブリック IPv4 アドレス
ルーティング インテントがあるデュアルリージョンのセキュリティで保護された Virtual WAN 設計は、すべてのオプションをサポートしますが、オプション 1 が推奨されます。 この記事の後半のシナリオでは、オプション 1 を使用して、インターネットを接続します。 オプション 1 は、検査、デプロイ、管理が簡単なため、セキュリティで保護された Virtual WAN に最適です。
ルーティング インテントを使用する際は、ハブ ファイアウォールからの既定ルートを生成できます。 この既定ルートは、仮想ネットワークと Azure VMware Solution プライベート クラウドにアドバタイズされます。
Azure VMware Solution と 仮想ネットワーク インターネット接続
次の図は、Azure VMware Solution インスタンスと仮想ネットワークのインターネット接続を示しています。
次の表では、前の図のトラフィック フローについて説明します。
| トラフィック フロー番号 | ソース | Destination (公開先) | セキュリティで保護された Virtual WAN ハブ ファイアウォールはこのトラフィックを検査しますか? | インターネット ブレイクアウト |
|---|---|---|---|---|
| 11 | Azure VMware Solution クラウド リージョン 1 | インターネット | はい。ハブ 1 のファイアウォール経由します。 | ハブ 1 のファイアウォールを経由します。 |
| 12 | Azure VMware Solution クラウド リージョン 2 | インターネット | はい (ハブ 2 のファイアウォール経由) | ハブ 2 のファイアウォールを経由します。 |
| 15 | 仮想ネットワーク 1 | インターネット | はい。ハブ 1 のファイアウォール経由します。 | ハブ 1 のファイアウォールを経由します。 |
| 16 | 仮想ネットワーク 2 | インターネット | はい (ハブ 2 のファイアウォール経由) | ハブ 2 のファイアウォールを経由します。 |
次のトラフィック フローは、ローカル リージョン ハブに影響する障害がある場合にのみアクティブです。 たとえば、Azure VMware Solution のローカル リージョン ハブで障害が発生した場合、インターネット トラフィックはインターネット接続のためにリージョン間ハブに再ルーティングされます。
| トラフィック フロー番号 | ソース | Destination (公開先) | セキュリティで保護された Virtual WAN ハブ ファイアウォールはこのトラフィックを検査しますか? | インターネット ブレイクアウト |
|---|---|---|---|---|
| 13 | Azure VMware Solution クラウド リージョン 1 | インターネット | はい。トラフィックは Global Reach 接続 C を介して転送され、ハブ 2 ファイアウォールによって検査されます。 | ハブ 2 のファイアウォールを経由します。 |
| 14 | Azure VMware Solution クラウド リージョン 2 | インターネット | はい。トラフィックは Global Reach 接続 C を介して転送され、ハブ 1 ファイアウォールによって検査されます。 | ハブ 1 のファイアウォールを経由します。 |
Azure VMware Solution プライベート クラウドは、ローカル リージョン ハブとそのリージョン間ハブの両方から既定のインターネット接続ルートを学習するため、インターネット接続の冗長性を実現できます。 Azure VMware Solution プライベート クラウドは、プライマリ インターネットアクセス接続のローカル リージョン ハブに優先順位を付けます。 リージョン間ハブは、ローカル リージョン ハブが失敗した場合にインターネット バックアップとして機能します。 このセットアップでは、送信トラフィックに対してのみインターネット アクセスの冗長性が提供されます。 Azure VMware Solution ワークロードへの受信インターネット トラフィックの場合は、リージョンの高可用性のために Azure Front Door または Azure Traffic Manager を使用することを検討します。
Azure VMware Solution プライベート クラウドは、ローカル リージョン ハブからの接続 D を介して、優先される既定のルート ∞ 0.0.0.0/0 を受信します。 また、Azure VMware Solution プライベート クラウドは、リージョン間ハブに由来し、Global Reach 接続 C 全体でアドバタイズされるバックアップの既定のルート △ 0.0.0.0/0 を受信します。ただし、オンプレミスの ExpressRoute 接続 E で既定のルート伝達を有効にした場合、リージョン間のインターネット トラフィックもこのパスを経由します。
たとえば、Azure VMware プライベート クラウド 1 からハブ 2 に送信されるリージョン間のインターネット トラフィックは、Global Reach 接続 C から接続 D、Global Reach 接続 A から接続 E への等コスト マルチパス (ECMP) ルーティングを介して分散されます。同様に、ハブ 2 からプライベート クラウド リージョン 1 に戻るトラフィックは、ECMP 経由で同じパスを通過します。 3 つの Global Reach 接続をすべて構成します。 Global Reach サイト間の接続の問題を防ぐには、この手順を実行する必要があります。
インターネット トラフィックのルーティング インテントを有効化すると、セキュリティで保護された Virtual WAN ハブは、ExpressRoute 回線間で既定のルートを規定でアドバタイズしません。 既定のルートが Virtual WAN から Azure VMware Solution に伝達されるようにするには、Azure VMware Solution ExpressRoute 回線で既定のルート伝達を有効にする必要があります。 詳細については、「既定ルート 0.0.0.0/0 をエンドポイントにアドバタイズする」を参照してください。
オンプレミスの ExpressRoute 回線では、この設定を有効にしないでください。 接続 D は、既定のルート「∞ 0.0.0.0/0」を Azure VMware Solution プライベート クラウドにアドバタイズしますが、既定ルートでは、Global Reach 接続 A と Global Reach 接続 B を介してオンプレミスにもアドバタイズされます。そのため、既定ルートの学習を除外するために、オンプレミスの機器に Border Gateway Protocol (BGP) フィルターを実装することが推奨されます。 この手順は、構成がオンプレミスのインターネット接続に影響しないようにするのに役立ちます。
各仮想ネットワークは、ローカル リージョン ハブ ファイアウォールを介してインターネットに送信されます。 インターネット アクセスのルーティング インテントを有効にすると、セキュリティで保護された Virtual WAN ハブが生成する既定のルートが、ハブピアリングされた仮想ネットワーク接続に自動的にアドバタイズされます。 ただし、この既定ルートは、インターハブ リンクを介してリージョン ハブ間でアドバタイズされません。 そのため、仮想ネットワークは、インターネット アクセスにローカル リージョン ハブを使用し、リージョン間ハブへのバックアップ インターネット接続はありません。