Global Reach がないデュアル リージョンの Azure VMware Solution 設計を使用する
この記事では、2 つのリージョンに Azure VMware Solution をデプロイし、ルーティング インテントがあるセキュリティで保護された Azure Virtual WAN を使用する場合の接続、トラフィック フロー、高可用性のベスト プラクティスについて説明します。 Global Reach を使用せずにこの設計を使用する方法について説明します。 この記事では、Azure VMware Solution プライベート クラウド、オンプレミス サイト、および Azure ネイティブ リソースのルーティング インテント トポロジがある Virtual WAN について説明します。 ルーティング インテントがあるセキュリティで保護された Virtual WAN の実装と構成についてはこの記事では説明しません。
Global Reach をサポートしていないリージョンを使用する場合、またはハブ ファイアウォールで Azure VMware Solution とオンプレミスの間のトラフィックを検査するセキュリティ要件がある場合は、サポート チケットを開いて ExpressRoute 間の移行性を有効にする必要があります。 既定では、Virtual WAN は ExpressRoute から ExpressRouteへの移行性をサポートしません。 詳細については、「ルーティング インテントを使用したExpressRoute 回線間のトランジット接続」を参照してください。
Global Reach を使用せずにデュアルリージョンのセキュリティで保護された Virtual WAN 設計を使用する
Virtual WAN Standard SKU のみが、ルーティング インテントがあるセキュリティで保護された Virtual WAN をサポートします。 ルーティング インテントを使用するセキュリティで保護された Virtual WAN を使用して、すべてのインターネット トラフィックとプライベート トラフィック (RFC 1918) を Azure Firewall や Microsoft 以外のネットワーク仮想アプライアンス (NVA) または Software as a Service (SaaS) ソリューションなどのセキュリティ ソリューションを送信します。
このシナリオのハブでは次の構成が使用されています。
デュアルリージョン ネットワークには、1 つの Virtual WAN インスタンスと 2 つのハブがあります。 各リージョンには 1 つのハブがあります。
各ハブには独自の Azure Firewall インスタンスがデプロイされています。これにより、Virtual WAN ハブがセキュリティで保護されます。
セキュリティで保護された Virtual WAN ハブでは、ルーティング インテントが有効になっています。
このシナリオには、次のコンポーネントもあります。
各リージョンには独自のAzure VMware Solution プライベート クラウドと Azure 仮想ネットワークがあります。
オンプレミス サイトは両方のリージョンに接続します。
Note
接続されているオンプレミス リソース、仮想ネットワークまたは Azure VMware Solution で RFC 1918 以外nプレフィックスを使用する場合は、ルーティング インテント機能の [プライベート トラフック プレフィックス] フィールドにこれらのプレフィックスを指定します。 [プライベート トラフィック プレフィックス] フィールドに集約ルートを入力して、範囲をカバーします。 この仕様はルーティングの問題につながる可能性があるため、Virtual WAN にアドバタイズする正確な範囲を入力しないでください。 たとえば、Azure ExpressRoute 回線がオンプレミスから 192.0.2.0/24 をアドバタイズする場合は、たとえば、192.0.2.0/23 など、/23 Classless Inter-Domain Routing (CIDR) 範囲以上を入力します。 詳細については、「Virtual WAN ポータルでルーティング インテントとポリシーを構成する」を参照してください。
Note
セキュリティで保護された Virtual WAN ハブがある Azure VMware Solution を構成する場合は、ハブ ルーティング優先オプションを設定を [AS パス] に設定して、ハブでの最適なルーティング結果を確実にします。 詳細については、「仮想ハブ ルーティングの優先設定」を参照してください。
以下の図はこのシナリオの例を示したものです。
次の表では、前の図のトポロジ接続について説明します。
| つながり | 説明 |
|---|---|
| D | ローカル リージョン ハブへの Azure VMware Solution プライベート クラウド接続 |
| E | 両方のリージョン ハブへの ExpressRoute 経由のオンプレミス接続 |
| インターハブ | 同じ Virtual WAN にデプロイされている 2 つのハブ間のインターハブ論理接続 |
デュアルリージョンのセキュリティで保護された Virtual WAN フロー
次のセクションでは、Azure VMware Solution、オンプレミス、Azure 仮想ネットワーク、インターネットのトラフィック フローと接続について説明します。
Azure VMware Solution プライベート クラウド接続とトラフィック フロー
次の図は、両方の Azure VMware Solution プライベート クラウドのトラフィック フローを示しています。
次の表では、前の図のトポロジ接続について説明します。
| トラフィック フロー番号 | ソース | Destination (公開先) | セキュリティで保護された Virtual WAN ハブ ファイアウォールはこのトラフィックを検査しますか? |
|---|---|---|---|
| 1 | Azure VMware Solution クラウド リージョン 1 | 仮想ネットワーク 1 | はい。ハブ 1 のファイアウォール経由します。 |
| 2 | Azure VMware Solution クラウド リージョン 1 | オンプレミス | はい。ハブ 1 のファイアウォール経由します。 |
| 3 | Azure VMware Solution クラウド リージョン 1 | 仮想ネットワーク 2 | はい。ハブ 1 ファイアウォールを経由した後、ハブ 2 ファイアウォールを経由します |
| 4 | Azure VMware Solution クラウド リージョン 1 | Azure VMware Solution クラウド リージョン 2 | はい。ハブ 1 ファイアウォールを経由した後、ハブ 2 ファイアウォールを経由します |
| 5 | Azure VMware Solution クラウド リージョン 2 | 仮想ネットワーク 1 | はい。ハブ 2 ファイアウォールを経由した後、ハブ 1 ファイアウォールを経由します |
| 6 | Azure VMware Solution クラウド リージョン 2 | 仮想ネットワーク 2 | はい (ハブ 2 のファイアウォール経由) |
| 7 | Azure VMware Solution クラウド リージョン 2 | オンプレミス | はい (ハブ 2 のファイアウォール経由) |
各 Azure VMware Solution プライベート クラウドは、ExpressRoute 接続 D を経由してハブに接続します。
セキュリティで保護されたハブで ExpressRoute 間移行性を有効にし、ルーティング インテントを有効にすると、セキュリティで保護されたハブは、既定の RFC 1918 アドレス (10.0.0.0/8、172.16.0.0/12、192.168.0.0/16) を接続 D 経由で Azure VMware Solution に送信します。既定の RFC 1918 アドレスに加えて、Azure VMware Solution は、両方のハブに接続する Azure 仮想ネットワークとブランチ ネットワーク (サイト間 VPN、P2S VPN、SD-WAN など) からのより具体的なルートを学習します。 どちらの Azure VMware Solution プライベート クラウドも、オンプレミス ネットワークからの特定のルートを学習しません。
トラフィックをオンプレミス ネットワークにルーティングし直すために、Azure VMware Solution は、ローカル リージョンハブからの接続 D を経由して学習する既定の RFC 1918 アドレスを使用します。 このトラフィックは、ローカル リージョン ハブ ファイアウォールを通過します。 ハブ ファイアウォールは、オンプレミス ネットワークの特定のルートを使用して、接続 E 経由で宛先にトラフィックをルーティングします。いずれかの Azure VMware Solution プライベート クラウドから仮想ネットワークに送信されるトラフィックは、ハブ ファイアウォールを通過します。
オンプレミスの接続とトラフィック フロー
次の図は、オンプレミス接続のトラフィック フローを示しています。
次の表では、前の図のトポロジ接続について説明します。
| トラフィック フロー番号 | ソース | Destination (公開先) | セキュリティで保護された Virtual WAN ハブ ファイアウォールはこのトラフィックを検査しますか? |
|---|---|---|---|
| 2 | オンプレミス | Azure VMware Solution クラウド リージョン 1 | はい。ハブ 1 のファイアウォール経由します。 |
| 7 | オンプレミス | Azure VMware Solution クラウド リージョン 2 | はい (ハブ 2 のファイアウォール経由) |
| 8 | オンプレミス | 仮想ネットワーク 1 | はい。ハブ 1 のファイアウォール経由します。 |
| 9 | オンプレミス | 仮想ネットワーク 2 | はい (ハブ 2 のファイアウォール経由) |
オンプレミス サイトは、ExpressRoute 接続 E を介して両方のハブに接続します。
セキュリティで保護された両方のハブで ExpressRoute 間移行性を有効にし、ルーティング インテントを有効にすると、各セキュリティで保護されたハブは、既定の RFC 1918 アドレス (10.0.0.0/8、172.16.0.0/12、192.168.0.0/16) を接続 E 経由で Azure VMware Solution に送信します。既定の RFC 1918 アドレスに加えて、オンプレミスは、両方のハブに接続する Azure 仮想ネットワークとブランチ ネットワーク (サイト間 VPN、P2S VPN、SD-WAN など) からのより具体的なルートを学習します。
オンプレミスは、Azure VMware Solution プライベート クラウドの特定のルートは学習しません。 オンプレミスでは、接続 E を介して両方のハブから既定の RFC 1918 アドレスを学習します。オンプレミスでは、接続 E を介して学習する既定の RFC 1918 アドレスを介して、両方の Azure VMware Solution プライベート クラウドにルートします。
Note
両方のハブに特定のルートを追加する必要があります。 ハブに特定のルートを追加しない場合は、準最適のルーティングを導入できます。これは、オンプレミスでは、Azure VMware Solution プライベート クラウドに送信されるトラフィックに E 接続間で等コストマルチパス (ECMP) ルーティングが使用されるためです。 その結果、オンプレミスと Azure VMware Solution プライベート クラウド間のトラフィックで、待機時間、パフォーマンスの問題、またはパケットのドロップが発生する場合があります。
より具体的なルートをオンプレミスにアドバタイズするには、ルーティング インテント機能の [プライベート トラフック プレフィックス] フィールドでこれらのプレフィックスを指定します。 詳細については、「Virtual WAN ポータルでルーティング インテントとポリシーを構成する」を参照してください。 Azure VMware Solution /22 ブロックと Azure VMware Solution サブネットの両方を含む集約ルートを追加する必要があります。 集約ルートではなく、同じ正確なプレフィックスまたはより具体的なプレフィックスを追加すると、Azure 環境内でルーティングの問題が発生します。 [プライベート トラフィック プレフィックス] フィールドには、集約ルートのみが含まれます。
図に示すように、Azure VMware Solution プライベート クラウド 1 には、10.10.0.0/24 から 10.10.7.0/24 までのワークロード サブネットが含まれています。 ハブ 1 では、集約ルート 10.10.0.0/21 がプライベート トラフィック プレフィックスに追加されます。これは、8 つのサブネットがすべて含まれているためです。 さらに、ハブ 1 では、Azure VMware Solution 管理ブロックをカバーするために、集約ルート 10.150.0.0/22 がプライベート トラフィック プレフィックスに追加されます。 集約ルート 10.10.0.0/21 と 10.150.0.0/22 は、接続 E を介してオンプレミスにアドバタイズされるため、オンプレミスには 10.0.0.0/8 ではなくより具体的なルートがあります。
Azure VMware Solution プライベート クラウド 2 には、10.20.0.0/24 から 10.20.7.0/24 までのワークロード サブネットが含まれています。 ハブ 2 では、集約ルート 10.20.0.0/21 がプライベート トラフィック プレフィックスに追加されます。これは、8 つのサブネットがすべて含まれているためです。 さらに、ハブ 2 では、Azure VMware Solution 管理ブロックをカバーするために、集約ルート 10.250.0.0/22 がプライベート トラフィック プレフィックスに追加されます。 集約ルート 10.20.0.0/21 と 10.250.0.0/22 は、接続 E を介してオンプレミスにアドバタイズされるため、オンプレミスには 10.0.0.0/8 ではなくより具体的なルートがあります。
Azure VMware Solution では正確な /22 ブロックが Azure にアドバタイズされないた、Azure VMware Solution 管理 /22 ブロック全体を[プライベート トラフィック プレフィックス] フィールドに追加します。 Azure VMware Solution は、より具体的なルートがアドバタイズします。
ハブで ExpressRoute 間の移行性を有効にすると、既定の RFC 1918 アドレスがオンプレミス ネットワークに送信されます。 正確な RFC 1918 プレフィックスを Azure にアドバタイズし直さないでください。 同じ正確なルートによって、Azure 内でルーティングの問題が発生する可能性があります。 代わりに、オンプレミス ネットワーク用に、より具体的なルートを Azure にアドバタイズし直す必要があります。
Note
既定の RFC 1918 アドレスをオンプレミスから Azure にアドバタイズし、この方法を続行する場合は、各 RFC 1918 範囲を 2 つの等しいサブ範囲に分割し、これらのサブ範囲を Azure にアドバタイズし直す必要があります。 サブ範囲は 10.0.0.0/9、 10.128.0.0/9、172.16.0.0/13、172.24.0.0/13、192.168.0.0/17、および 192.168.128.0/17 です。
Azure 仮想ネットワークの接続とトラフィック フロー
次の図は、Azure 仮想ネットワークのトラフィック フローを示しています。
次の表では、前の図のトラフィック フローについて説明します。
| トラフィック フロー番号 | ソース | Destination (公開先) | セキュリティで保護された Virtual WAN ハブ ファイアウォールはこのトラフィックを検査しますか? |
|---|---|---|---|
| 1 | 仮想ネットワーク 1 | Azure VMware Solution クラウド リージョン 1 | はい。ハブ 1 のファイアウォール経由します。 |
| 3 | 仮想ネットワーク 2 | Azure VMware Solution クラウド リージョン 1 | はい。ハブ 2 ファイアウォールを経由した後、ハブ 1 ファイアウォールを経由します |
| 5 | 仮想ネットワーク 1 | Azure VMware Solution クラウド リージョン 2 | はい。ハブ 1 ファイアウォールを経由した後、ハブ 2 ファイアウォールを経由します |
| 6 | 仮想ネットワーク 2 | Azure VMware Solution クラウド リージョン 2 | はい (ハブ 2 のファイアウォール経由) |
| 8 | 仮想ネットワーク 1 | オンプレミス | はい。ハブ 1 のファイアウォール経由します。 |
| 9 | 仮想ネットワーク 2 | オンプレミス | はい (ハブ 2 のファイアウォール経由) |
| 10 | 仮想ネットワーク 1 | 仮想ネットワーク 2 | はい。ハブ 1 ファイアウォールを経由した後、ハブ 2 ファイアウォールを経由します |
| 10 | 仮想ネットワーク 2 | 仮想ネットワーク 1 | はい。ハブ 2 ファイアウォールを経由した後、ハブ 1 ファイアウォールを経由します |
各仮想ネットワークは、そのリージョン ハブに直接ピアリングします。
この図は、両方の仮想ネットワーク内のすべての Azure ネイティブ リソースが、その有効なルートを学習する方法を示しています。 ルーティング インテントを有効化すると、ハブ 1 と ハブ 2 は、既定の RFC 1918 アドレスをピアリングされた仮想ネットワークに送信します。 仮想ネットワークの Azure ネイティブ リソース仮想ネットワーク外からの特定ルートは学習しません。
ルーティング インテントを有効化する際、仮想ネットワークのすべてのリソースは、既定の RFC 1918 アドレスを学習し、ネクスト ホップとしてリージョンのハブ ファイアウォールを使用します。 Azure VMware Solution プライベート クラウドは、ローカル リージョン ハブ ファイアウォール経由で接続 D を介して相互通信します。 そこから、Virtual WAN インターハブを通過し、リージョン間ハブ ファイアウォールで検査が実行されます。 また、Azure VMware Solution プライベート クラウドは、ローカル リージョンハブファイアウォール経由で接続 D を介してオンプレミスと通信します。 仮想ネットワークに出入りするすべてのトラフックは、リージョンのハブ ファイアウォールを通過します。
インターネット接続
このセクションでは、仮想ネットワーク内の Azure ネイティブ リソースと、両方のリージョンの Azure VMware Solution プライベート クラウドにインターネット接続を提供する方法について説明します。 詳細については、「インターネット接続の設計に関する考慮事項」を参照してください。 次のオプションを使用して、Azure VMware Solution にインターネット接続を提供できます。
- オプション 1: Azure でホストされるインターネット サービス
- オプション 2: Azure VMware Solution で管理される Source Network Address Translation (SNAT)
- オプション 3: NSX-T データセンター エッジへの Azure パブリック IPv4 アドレス
ルーティング インテントがあるデュアルリージョンのセキュリティで保護された Virtual WAN 設計は、すべてのオプションをサポートしますが、オプション 1 が推奨されます。 この記事の後半のシナリオでは、オプション 1 を使用して、インターネットを接続します。 オプション 1 は、検査、デプロイ、管理が簡単なため、セキュリティで保護された Virtual WAN に最適です。
セキュリティで保護された両方のハブでルーティング インテントを有効にすると、RFC 1918 が直接ピアリングされた仮想ネットワークにアドバタイズされます。 ただし、ダウンストリーム リソースへのインターネット接続のために、既定のルート 0.0.0.0/0 をアドバタイズすることもできます。 ルーティング インテントを有効にすると、両方のハブ ファイアウォールから既定のルートを生成できます。 この既定ルートは、直接接続された仮想ネットワークと直接接続された Azure VMware Solution にアドバタイズされます。
Azure VMware Solution と 仮想ネットワーク インターネット接続
次の図は、Azure VMware Solution プライベート クラウドと仮想ネットワークのトラフィック フローを示しています。
次の表では、前の図のトラフィック フローについて説明します。
| トラフィック フロー番号 | ソース | Destination (公開先) | セキュリティで保護された Virtual WAN ハブ ファイアウォールはこのトラフィックを検査しますか? |
|---|---|---|---|
| 11 | Azure VMware Solution クラウド リージョン 1 | インターネット | はい。ハブ 1 のファイアウォール経由します。 |
| 12 | 仮想ネットワーク 2 | インターネット | はい (ハブ 2 のファイアウォール経由) |
| 13 | 仮想ネットワーク 1 | インターネット | はい。ハブ 1 のファイアウォール経由します。 |
| 14 | Azure VMware Solution クラウド リージョン 2 | インターネット | はい (ハブ 2 のファイアウォール経由) |
インターネット トラフィックのルーティング インテントを有効化すると、セキュリティで保護された Virtual WAN ハブは、ExpressRoute 回線間で既定のルートを規定でアドバタイズしません。 既定のルートが Virtual WAN から直接接続された Azure VMware Solution に伝達されるようにするには、Azure VMware Solution ExpressRoute 回線で既定のルート伝達を有効にする必要があります。 詳細については、「既定ルート 0.0.0.0/0 をエンドポイントにアドバタイズする」を参照してください。
既定のルート伝達を有効にすると、接続 D はハブから既定のルート 0.0.0.0/0 をアドバタイズします。 オンプレミスの ExpressRoute 回線では、この設定を有効にしないでください。 既定ルートを学習しないようにするため、オンプレミスの機器に Border Gateway Protocol (BGP) フィルターを実装することをお勧めします。 BGP フィルターは、追加の保護レイヤーを追加し、構成がオンプレミスのインターネット接続に影響しないようにするのに役立ちます。
インターネット アクセスのルーティング インテントを有効にすると、両方のリージョン ハブで既定のルートが生成され、ハブピアリングされた仮想ネットワーク接続にアドバタイズされます。 仮想ネットワーク内の仮想マシンの network interface cards (NIC) では、0.0.0.0/0 ネクスト ホップがハブ ファイアウォールであることに注意してください。 ネクスト ホップを見つけるには、NIC で [有効なルート] を選択します。 既定のルートは、インターハブ リンクを介してリージョン ハブ間でアドバタイズされません。 そのため、仮想ネットワークは、インターネット アクセスに対してローカル リージョンハブを使用し、リージョン間ハブへのバックアップ インターネット接続はありません。
Azure VMware Solution のインターネット アクセスの回復性
デュアルリージョン設計で Global Reach を使用しない場合、各 Azure VMware Solution プライベート クラウドはローカル リージョン ハブから既定のルートを学習し、リージョン間ハブに直接接続されないため、送信インターネット接続には冗長性がありません。 リージョンの障害がローカル リージョン ハブに影響する場合は、次のいずれかの手動構成を使用して、インターネットの冗長性を実現します。
オプション 1
送信インターネット アクセスの場合にのみ、このオプションを使用します。 ローカル リージョンの停止中に、Azure VMware Solution ワークロードに送信インターネット アクセスが必要な場合は、Azure VMware Solution で管理されている SNAT を使用します。 このソリューションは、シンプルで迅速なアクセスを提供します。 詳細については、「Azure VMware Solution ワークフローのマネージド SNAT を有効にする」を参照してください。
オプション 2
受信および送信のインターネット アクセスには、このオプションを使用します。 ローカル リージョンの停止中に、Azure VMware Solution クラウドの受信と送信の両方のインターネット アクセスが必要な場合は、次の方法を使用します。
Azure VMware Solution からローカル リージョン ハブ (図の接続 D) への接続を削除します。
Azure Portal で、Azure VMware Solution を選択し、接続 D に対して作成した認証キーを削除します。
リージョン間ハブへの新しい接続を作成します。
受信トラフィックを処理するには、Azure Front Door または Azure Traffic Manager を使用してリージョンの高可用性を維持することを検討します。
Global Reach なしで VMware HCX Mobility Optimized Networking (MON) を使用する
HCX Network Extension を使用する際は、VMware HCX Mobility Optimized Networking (MON) を有効化できます。 MON は、特定のシナリオで最適なトラフィック ルーティングを指定し、拡張ネットワーク上のオンプレミス ベースとクラウドベースのリソース間でネットワークが重複またはループするのを防ぎます。
Azure VMware Solution からのエグレス トラフィック
特定の拡張ネットワークと仮想マシンに対して MON を有効にすると、トラフィック フローが変更されます。 MON を実装した後、仮想マシンからのエグレス トラフィックはオンプレミスにループ バックされません。 代わりに、Network Extension IPSec トンネルをバイパスします。 仮想マシンのトラフィックは、AAzure VMware Solution NSX-T Tier-1 ゲートウェイから出て、NSX-T Tier-0 ゲートウェイに向かい、Virtual WAN に向かいます。
Azure VMware Solution へのイグレス トラフィック
特定の拡張ネットワークと仮想マシンに対して MON を有効にすると、次の変更が導入されます。 Azure VMware Solution NSX-T から、MON は /32 ホスト ルートを Virtual WAN に挿入し直します。 Virtual WAN は、この /32 ルートをオンプレミス、仮想ネットワーク、ブランチ ネットワークにアドバタイズし直します。 この /32 ホスト ルートにより、トラフィックが MON 対応仮想マシンに送信されるときに、オンプレミス、仮想ネットワーク、ブランチ ネットワークからのトラフィックは、Network Extension IPSec トンネルを使用しなくなります。 ソース ネットワークからのトラフィックは、/32 ルートを学習するため、MON 対応仮想マシンに直接送信されます。
Global Reach を使用しないセキュリティで保護された Virtual WAN に対する HCX MON の制限
セキュリティで保護されたハブで ExpressRoute 間の移行性を有効にする際に、ルーティング インテント有効にすると、セキュリティで保護されたハブは、既定の RFC 1918 アドレスをオンプレミスと Azure VMware Solution の両方に送信します。 既定の RFC 1918 アドレスに加えて、オンプレミスと Azure VMware Solution の両方は、ハブに接続する Azure 仮想ネットワークとブランチ ネットワークからのより具体的なルートを学習します。
ただし、オンプレミス ネットワークは Azure VMware Solution からの特定のルートを学習せず、Azure VMware Solution はオンプレミス ネットワークからの特定のルートを学習しません。 代わりに、両方の環境が既定の RFC 1918 アドレスに依存して、ハブ ファイアウォール経由で相互にルーティングを支援します。 そのため、MON ホスト ルートなどのより具体的なルートは、Azure VMware Solution ExpressRoute からオンプレミス ベースの ExpressRoute 回線にアドバタイズされません。 逆も同じです。 特定のルートを学習できないと、非対称トラフィック フローが発生します。 トラフィックは NSX-T Tier-0 ゲートウェイ経由で Azure VMware Solution をエグレスしますが、オンプレミスからのトラフィックを返す場合は、Network Extension IPSec トンネル経由で返されます。
トラフィックの非対称性を修正する
トラフィックの非対称性を修正するには、MON ポリシー ルートを調整する必要があります。 MON ポリシー ルートは、L2 拡張機能を介してオンプレミス ゲートウェイに戻るトラフィックを決定します。 また、Azure VMware Solution NSX Tier-0 ゲートウェイを通過するトラフィックも決定します。
宛先 IP が一致し、MON ポリシー構成で許可するように設定すると、2 つのアクションが発生します。 まず、システムはパケットを識別します。 次に、システムは Network Extension アプライアンスを介してオンプレミス ゲートウェイにパケットを送信します。
宛先 IP が一致しない場合、または MON ポリシーで拒否するように設定した場合、システムはルーティングのためにパケットを Azure VMware Solution Tier-0 ゲートウェイに送信します。
次の表では、HCX ポリシー ルートについて説明します。
| ネットワーク | ピアにリダイレクトする | Note |
|---|---|---|
| Azure 仮想ネットワークのアドレス空間 | 拒否 | すべての仮想ネットワークのアドレス範囲を明示的に含めます。 Azure を対象としたトラフィックは、Azure VMware Solution 経由で送信され、オンプレミス ネットワークに戻りません。 |
| 既定の RFC 1918 アドレス空間 | Allow | 既定の RFC 1918 アドレスを追加します。 この構成により、上記の条件に一致しないすべてのトラフィックがオンプレミス ネットワークに再ルーティングされます。 オンプレミスのセットアップで RFC 1918 の一部ではないアドレスを使用する場合は、それらの範囲を明示的に含める必要があります。 |
| 0.0.0.0/0 アドレス空間 | 拒否 | インターネット ルーティング可能な IP、指定されたエントリと一致しないトラフィックなど、RFC 1918 でカバーされていないアドレスは、Azure VMware Solution を介して直接終了し、オンプレミス ネットワークにリダイレクトしません。 |