1 つのリージョンまたはデュアル リージョンの Azure VMware Solution 用の Virtual WAN をセキュリティで保護する
この記事では、ルーティング インテントでセキュリティで保護された Azure Virtual WAN を使用する単一リージョンとデュアル リージョンのシナリオに関する Azure VMware Solution ネットワーク設計トポロジと考慮事項について説明します。 ここでは、ルーティング意図が一元化されたセキュリティ ソリューションを介してトラフィックを転送する方法について説明します。 この方法により、セキュリティが強化され、ネットワーク管理が合理化されます。 この記事では、Azure ExpressRoute Global Reach を使用する場合と使用しない場合のデプロイの設計上の考慮事項について説明します。 各シナリオの利点と課題は強調表示されています。
Virtual WAN ハブにセキュリティ ソリューションを実装すると、ハブをセキュリティで保護された Virtual WAN ハブに変換できます。 ルーティング インテントを構成するには、セキュリティで保護された Virtual WAN ハブが必要です。 ルーティング インテントは、ハブ セキュリティ ソリューションへのすべてのプライベート トラフィックとインターネット トラフィックを駆動し、セキュリティで保護されたハブのルーティングとセキュリティ設計を合理化します。 ルーティング インテントにより、セキュリティの幅が向上し、Azure VMware Solution トラフィックを含め、セキュリティで保護されたハブを通過するすべてのトラフィックに対してトラフィック検査が行われます。
この記事では、ルーティング インテントを使用する Virtual WAN とセキュリティで保護された Virtual WAN の基礎を把握していることを前提としています。
詳細については、次のリソースを参照してください。
- Virtual WAN とは
- セキュリティで保護された仮想ハブとは何か
- Virtual WAN ハブ ルーティング インテントとルーティング ポリシーを構成する
- ExpressRoute Global Reach
Azure VMware Solution 設計用のセキュリティで保護された Virtual WAN を実装する
ルーティング インテントを使用するセキュリティで保護された Virtual WAN を使用して、すべてのインターネット トラフィックとプライベート トラフィック (RFC 1918) を Azure Firewall や Microsoft 以外のネットワーク仮想アプライアンス (NVA) または Software as a Service (SaaS) ソリューションなどのセキュリティ ソリューションを送信します。 単一リージョンとデュアル リージョンの両方の設計をサポートするには、セキュリティで保護された Virtual WAN とルーティング インテントと一緒に Azure VMware Solution を使用します。
単一リージョンの設計
単一リージョン設計を使用して、Azure VMware Solution 間で送受信される仮想ハブ セキュリティ ソリューション内のネットワーク トラフィックを検査します。 この方法により、ネットワーク管理が簡素化され、全体的なセキュリティ体制が強化されます。 この設計によって、デュアル リージョン設計の別のリージョンに別の Azure VMware Solution プライベート クラウドをデプロイする場合の準備も整います。 単一リージョン ハブでルーティング インテントを有効にして、後でデュアル ハブ リージョンの設計に拡張できるようにします。 この設計では、Global Reach を使用するしない関係なく構成がサポートされます。
デュアルリージョンまたはデュアルハブ設計
デュアル リージョン設計を使用して、2 つの仮想ハブ セキュリティ ソリューションのネットワーク トラフィックを検査します。 Azure VMware Solution との間のトラフィックを検査し、異なるリージョンにある Azure VMware Solution プライベート クラウド全体のトラフィックを検査します。 トラフィックが両方のハブ セキュリティ ソリューションを通過できるように、両方のリージョン ハブでルーティング インテントを有効にします。 ルーティング インテントがあるデュアル リージョン設計により、セキュリティが向上し、リージョン間のネットワーク管理が簡素化されます。 この設計では、Global Reach を使用するしない関係なく構成がサポートされます。
Global Reach のデプロイ オプション
Global Reach を使用して、Azure VMware Solution をオンプレミスまたはリージョンの Azure VMware Solution プライベート クラウドに接続します。 Global Reach は、Microsoft バックボーンを介して直接論理リンクを確立します。
Global Reach を使用したデプロイ
Global Reach をデプロイすると、Global Reach サイト間のトラフィックによって、セキュリティで保護された Virtual WAN ハブ ファイアウォールがバイパスされます。 セキュリティで保護された Virtual WAN ハブ ファイアウォールは、Azure VMware Solution とオンプレミス間、または異なるリージョンの Azure VMware Solution プライベート クラウド間を通過する Global Reach トラフィックを検査しません。
たとえば、次の図は、Azure VMware Solution とオンプレミスの間のトラフィックが、A というラベルの付いた Global Reach 接続を使用して通信する方法を示しています。 Global Reach 接続 A が原因で、このトラフィックはハブ ファイアウォールを通過しません。Global Reach サイト間のセキュリティを最適化するには、Azure VMware Solution 環境の NSX-T またはオンプレミスのファイアウォールでトラフィックを検査する必要があります。
Global Reach は、Azure VMware Solution とオンプレミスまたはリージョンの Azure VMware Solution プライベート クラウド間の直接論理接続を提供するため、設計を簡素化します。 Global Reach を使用して、Global Reach サイト間のトラフィックのトラブルシューティングを行い、セキュリティで保護された Virtual WAN でのスループットの制限を排除します。 欠点は、Global Reach では、セキュリティで保護された仮想ハブ セキュリティ ソリューションが、リージョンの Azure VMware Solution プライベート クラウドとオンプレミスの間、および Azure VMware Solution プライベート クラウド自体内のトラフィックを検査できないことです。 そのため、セキュリティで保護された仮想ハブのセキュリティ ソリューションでは、これらのエンティティ間を直接流れるトラフィックを検査することはできません。
Global Reach を使用しないデプロイ
特定の要件がない限り、常に Global Reach を使用することが推奨されます。 Global Reach を使用しない場合は、Azure VMware Solution とオンプレミスまたはリージョンの Azure VMware Solution プライベート クラウドの間のセキュリティで保護された Virtual WAN ハブ セキュリティ ソリューション上のすべてのトラフィックを検査できます。 しかし、このアプローチにより、設計がさらに複雑になります。 また、セキュリティで保護された Virtual WAN ハブでのスループットの制限についても考慮してください。 次のいずれかの制限がある場合を除き、Global Reach を使用します。
Azure VMware Solution とオンプレミスの間、および Azure VMware Solution プライベート クラウド内の Virtual WAN ハブ上のトラフィックを検査する必要があります。 Azure VMware Solution とオンプレミス間、または仮想ハブ ファイアウォール上のリージョンの Azure VMware Solution プライベート クラウド間のトラフィックを検査するセキュリティ要件がある場合は、Global Reach を使用できません。
リージョンは Global Reach をサポートしません。 リージョンが Global Reach をサポートしていない場合は、ルーティング インテントを使用して、Azure VMware Solution とオンプレミス間、またはリージョンの Azure VMware Solution プライベート クラウド間の ExpressRoute 接続間の接続を確立できます。 既定では、仮想ハブは ExpressRoute から ExpressRoute への移行性をサポートしません。 この移行性を有効にするには、サポート チケットを挙げる必要があります。 詳細については、「ExpressRoute Global Reach の可用性」を参照してください。
オンプレミスの ExpressRoute インスタンスは、ExpressRoute ローカル SKU を使用します。 ExpressRoute ローカル SKU は Global Reach をサポートしません。 ローカル SKU を使用する場合は、ルーティング インテントを使用すると、Azure VMware Solution とオンプレミス ネットワークの間の接続を確立できます。
次の図は、Global Reach を使用しない例を示しています。
単一リージョンまたはデュアル リージョンに対して Global Reach オプションを検討する
次のガイダンスを使用して、シナリオで Global Reach を有効にする必要があるかどうかを判断します。
Global Reach を備える単一リージョン設計
単一リージョンで Global Reach を使用すると、セキュリティで保護されたハブは、Azure Firewall、Microsoft 以外の NVA、SaaS ソリューションなどのセキュリティ ソリューションを介して、すべてのプライベート トラフィックとインターネット トラフィックをルーティングします。 次の図では、ルーティング インテントはトラフィックを検査しますが、Azure VMware Solution とオンプレミスの間の Global Reach トラフィックはハブ ファイアウォール (接続 A) をバイパスします。 そのため、Global Reach サイト全体のセキュリティを向上させるために、Azure VMware Solution の NSX-T またはオンプレミスのファイアウォールを使用して、この Global Reach トラフィックを検査する必要があります。
次の表に、Azure VMware Solution 間のトラフィック フローを示します。
| 場所 1 | 方向 | 場所 2 | セキュリティで保護された Virtual WAN ハブ ファイアウォールはこのトラフィックを検査しますか? |
|---|---|---|---|
| Azure VMware Solution | → ← |
仮想ネットワーク | はい |
| Azure VMware Solution | → ← |
インターネット | はい |
| Azure VMware Solution | → ← |
オンプレミス | いいえ |
次の表に、仮想ネットワーク間のトラフィック フローを示します。
| 場所 1 | 方向 | 場所 2 | セキュリティで保護された Virtual WAN ハブ ファイアウォールはこのトラフィックを検査しますか? |
|---|---|---|---|
| 仮想ネットワーク | → ← |
オンプレミス | はい |
| 仮想ネットワーク | → ← |
インターネット | はい |
| 仮想ネットワーク | → ← |
仮想ネットワーク | はい |
Global Reach を持たない単一リージョン設計
単一リージョンで Global Reach を使用しない場合、セキュリティで保護されたハブは、すべてのプライベート トラフィックとインターネット トラフィックをセキュリティ ソリューション経由でルーティングします。 ルーティング インテントはトラフィックを検査します。 この設計により、Azure VMware Solution とオンプレミス間のトラフィックは、検査のためにハブ ファイアウォールを通過します。 既定では、仮想ハブは、ExpressRoute から ExpressRouteへの移行性をサポートしません。 この移行性を有効にするには、サポート チケットを挙げる必要があります。 サポート チケットが完了すると、セキュリティで保護されたハブは、既定の RFC 1918 アドレスを Azure VMware Solution とオンプレミスにアドバタイズします。 オンプレミスからルーティング インテントを使用する場合、正確な既定の RFC 1918 アドレス プレフィックス (10.0.0.0/8、172.16.0.0/12、192.168.0.0/16) を Azure にアドバタイズし直すことはできません。 代わりに、より具体的なルートを常にアドバタイズする必要があります。
次の表に、Azure VMware Solution 間のトラフィック フローを示します。
| 場所 1 | 方向 | 場所 2 | セキュリティで保護された Virtual WAN ハブ ファイアウォールはこのトラフィックを検査しますか? |
|---|---|---|---|
| Azure VMware Solution | → ← |
オンプレミス | はい |
| Azure VMware Solution | → ← |
インターネット | はい |
| Azure VMware Solution | → ← |
仮想ネットワーク | はい |
次の表に、仮想ネットワーク間のトラフィック フローを示します。
| 場所 1 | 方向 | 場所 2 | セキュリティで保護された Virtual WAN ハブ ファイアウォールはこのトラフィックを検査しますか? |
|---|---|---|---|
| 仮想ネットワーク | → ← |
オンプレミス | はい |
| 仮想ネットワーク | → ← |
インターネット | はい |
| 仮想ネットワーク | → ← |
仮想ネットワーク | はい |
Global Reach を備えるデュアルリージョン設計
2 つのリージョンで Global Reach を使用する場合は、Virtual WAN 内の異なるリージョンに 2 つのセキュリティで保護されたハブをデプロイします。 また、別のリージョンで 2 つの Azure VMware Solution プライベート クラウドを設定します。
次の図は、この構成の例を示しています。 各リージョンの Azure VMware Solution プライベート クラウドは、ローカル リージョン ハブ (接続 D) に直接接続されます。 オンプレミスは、各リージョン ハブ (接続 E) に接続します。 すべての RFC 1918 トラフィックとインターネット トラフィックは、ルーティング インテントを介して両方のセキュリティ ハブ上のセキュリティ ソリューションを経由してルーティングされます。 Azure VMware Solution プライベート クラウドは、Global Reach (接続 A と B) を介してオンプレミスに接続できます。 Azure VMware Solution クラウドは、Global Reach (接続 C) を介して相互接続されます。 Azure VMware Solution プライベート クラウド間、または Azure VMware Solution プライベート クラウドとオンプレミス間の Global Reach トラフィックは、2 つのハブ ファイアウォール (接続 A、B、C) をバイパスします。 Global Reach サイト全体のセキュリティを強化するには、Azure VMware Solution の NSX-T またはオンプレミス ファイアウォールを使用して、このトラフィックを検査します。
次の表は、Azure VMware Solution プライベート クラウド リージョン 1 間のトラフィック フローを示しています。
| 場所 1 | 方向 | 場所 2 | セキュリティで保護された Virtual WAN ハブ ファイアウォールはこのトラフィックを検査しますか? |
|---|---|---|---|
| Azure VMware Solution のプライベート クラウド リージョン 1 | → ← |
仮想ネットワーク 1 | はい。ハブ 1 のファイアウォール経由します。 |
| Azure VMware Solution のプライベート クラウド リージョン 1 | → ← |
仮想ネットワーク 2 | はい (ハブ 1 とハブ 2 のファイアウォール経由) |
| Azure VMware Solution のプライベート クラウド リージョン 1 | → ← |
インターネット | はい。ハブ 1 のファイアウォール経由します。 |
| Azure VMware Solution のプライベート クラウド リージョン 1 | → ← |
オンプレミス | いいえ |
次の表は、Azure VMware Solution プライベート クラウド リージョン 2 間のトラフィック フローを示しています。
| 場所 1 | 方向 | 場所 2 | セキュリティで保護された Virtual WAN ハブ ファイアウォールはこのトラフィックを検査しますか? |
|---|---|---|---|
| Azure VMware Solution のプライベート クラウド リージョン 2 | → ← |
仮想ネットワーク 1 | はい (ハブ 1 とハブ 2 のファイアウォール経由) |
| Azure VMware Solution のプライベート クラウド リージョン 2 | → ← |
仮想ネットワーク 2 | はい (ハブ 2 のファイアウォール経由) |
| Azure VMware Solution のプライベート クラウド リージョン 2 | → ← |
インターネット | はい (ハブ 2 のファイアウォール経由) |
| Azure VMware Solution のプライベート クラウド リージョン 2 | → ← |
オンプレミス | いいえ |
次の表は、Azure VMware Solution プライベート クラウド リージョン 1 および リージョン 2 間のトラフィック フローを示しています。
| 場所 1 | 方向 | 場所 2 | セキュリティで保護された Virtual WAN ハブ ファイアウォールはこのトラフィックを検査しますか? |
|---|---|---|---|
| Azure VMware Solution のプライベート クラウド リージョン 1 | → ← |
Azure VMware Solution のプライベート クラウド リージョン 2 | いいえ |
次の表に、仮想ネットワーク間のトラフィック フローを示します。
| 場所 1 | 方向 | 場所 2 | セキュリティで保護された Virtual WAN ハブ ファイアウォールはこのトラフィックを検査しますか? |
|---|---|---|---|
| 仮想ネットワーク 1 | → ← |
オンプレミス | はい。ハブ 1 のファイアウォール経由します。 |
| 仮想ネットワーク 1 | → ← |
インターネット | はい。ハブ 1 のファイアウォール経由します。 |
| 仮想ネットワーク 1 | → ← |
仮想ネットワーク 2 | はい (ハブ 1 とハブ 2 のファイアウォール経由) |
| 仮想ネットワーク 2 | → ← |
オンプレミス | はい (ハブ 2 のファイアウォール経由) |
| 仮想ネットワーク 2 | → ← |
インターネット | はい (ハブ 2 のファイアウォール経由) |
Global Reach を持たないデュアルリージョン設計
2 つのリージョンで Global Reach を使用する場合は、Virtual WAN 内の異なるリージョンに 2 つのセキュリティで保護されたハブをデプロイします。 また、別のリージョンで 2 つの Azure VMware Solution プライベート クラウドを設定します。
次の図は、この構成の例を示しています。 各リージョンの Azure VMware Solution プライベート クラウドは、ローカル リージョン ハブ (接続 D) に直接接続されます。 オンプレミスは、各リージョン ハブ (接続 E) に接続します。 すべての RFC 1918 トラフィックとインターネット トラフィックは、ルーティング インテントを介して両方のセキュリティ ハブ上のセキュリティ ソリューションを経由してルーティングされます。
既定では、仮想ハブは、ExpressRoute から ExpressRouteへの移行性をサポートしません。 この移行性を有効にするには、サポート チケットを挙げる必要があります。 サポート チケットが完了すると、セキュリティで保護されたハブは、既定の RFC 1918 アドレスを Azure VMware Solution とオンプレミスにアドバタイズします。 チケットを挙げる際は、両方のリージョン ハブを参照します。 ExpressRoute から ExpressRoute の移行性を使用すると、Azure VMware Solution プライベート クラウドは、Virtual WAN インターハブ経由で相互通信できるようになり、Azure VMware Solution クラウドは、オンプレミスと通信できるようになります。
RFC 1918 アドレスはオンプレミスにアドバタイズされます。正確な既定の RFC 1918 アドレス プレフィックス (10.0.0.0/8、172.16.0.0/12、192.168.0.0/16) を Azure にアドバタイズし直すことはできません。 代わりに、より具体的なルートを常にアドバタイズする必要があります。
次の表は、Azure VMware Solution プライベート クラウド リージョン 1 間のトラフィック フローを示しています。
| 場所 1 | 方向 | 場所 2 | セキュリティで保護された Virtual WAN ハブ ファイアウォールはこのトラフィックを検査しますか? |
|---|---|---|---|
| Azure VMware Solution のプライベート クラウド リージョン 1 | → ← |
仮想ネットワーク 1 | はい。ハブ 1 のファイアウォール経由します。 |
| Azure VMware Solution のプライベート クラウド リージョン 1 | → ← |
仮想ネットワーク 2 | はい (ハブ 1 とハブ 2 のファイアウォール経由) |
| Azure VMware Solution のプライベート クラウド リージョン 1 | → ← |
インターネット | はい。ハブ 1 のファイアウォール経由します。 |
| Azure VMware Solution のプライベート クラウド リージョン 1 | → ← |
オンプレミス | はい。ハブ 1 のファイアウォール経由します。 |
次の表は、Azure VMware Solution プライベート クラウド リージョン 2 間のトラフィック フローを示しています。
| 場所 1 | 方向 | 場所 2 | セキュリティで保護された Virtual WAN ハブ ファイアウォールはこのトラフィックを検査しますか? |
|---|---|---|---|
| Azure VMware Solution のプライベート クラウド リージョン 2 | → ← |
仮想ネットワーク 1 | はい (ハブ 2 のファイアウォール経由) |
| Azure VMware Solution のプライベート クラウド リージョン 2 | → ← |
仮想ネットワーク 2 | はい (ハブ 1 とハブ 2 のファイアウォール経由) |
| Azure VMware Solution のプライベート クラウド リージョン 2 | → ← |
インターネット | はい (ハブ 2 のファイアウォール経由) |
| Azure VMware Solution のプライベート クラウド リージョン 2 | → ← |
オンプレミス | はい (ハブ 2 のファイアウォール経由) |
次の表は、Azure VMware Solution プライベート クラウド リージョン 1 および リージョン 2 間のトラフィック フローを示しています。
| 場所 1 | 方向 | 場所 2 | セキュリティで保護された Virtual WAN ハブ ファイアウォールはこのトラフィックを検査しますか? |
|---|---|---|---|
| Azure VMware Solution のプライベート クラウド リージョン 1 | → ← |
Azure VMware Solution のプライベート クラウド リージョン 2 | はい (ハブ 1 とハブ 2 のファイアウォール経由) |
次の表に、仮想ネットワーク間のトラフィック フローを示します。
| 場所 1 | 方向 | 場所 2 | セキュリティで保護された Virtual WAN ハブ ファイアウォールはこのトラフィックを検査しますか? |
|---|---|---|---|
| 仮想ネットワーク 1 | → ← |
オンプレミス | はい。ハブ 1 のファイアウォール経由します。 |
| 仮想ネットワーク 1 | → ← |
インターネット | はい。ハブ 1 のファイアウォール経由します。 |
| 仮想ネットワーク 1 | → ← |
仮想ネットワーク 2 | はい (ハブ 1 とハブ 2 のファイアウォール経由) |
| 仮想ネットワーク 2 | → ← |
オンプレミス | はい (ハブ 2 のファイアウォール経由) |
| 仮想ネットワーク 2 | → ← |
インターネット | はい (ハブ 2 のファイアウォール経由) |