次の方法で共有

Azure VMware Solution のランディング ゾーン アクセラレータのネットワーク設計ガイド

  • [アーティクル]

このガイドでは、Azure VMware Solution のランディング ゾーン アクセラレータのネットワーク設計について説明します。 これには、以下の 4 つの設計領域が含まれます。

  • オンプレミス データセンターとの接続。 Azure VMware Solution プライベート クラウドとオンプレミス サイト間の接続では、HCX 移行、ハイブリッド アプリケーション、リモート vCenter、NSX-T Data Center の管理など、幅広いユース ケースのセットがサポートされています。 Azure VMware Solution では、Azure ExpressRoute 回線やインターネット ベースの IPSec 仮想プライベート ネットワークなど、ハイブリッド接続のための複数のオプションがサポートされています。

  • Azure 仮想ネットワークとの接続. Azure VMware Solution は、Azure ExpressRoute 経由でネイティブの Azure 仮想ネットワークに接続できるベアメタル VMware vSphere クラスター上で実行されます。 Azure VMware Solution プライベート クラウドと Azure 仮想ネットワーク間の ExpressRoute 接続を使用すると、2 つの環境にまたがるアプリケーションを構築したり、Azure のジャンプ ボックス仮想マシンを使用して、管理目的で vCenter (vSphere Client) および NSX-T Manager コンソールにログインしたりできます。

  • 受信インターネット接続。 受信インターネット接続を使用すると、Azure VMware Solution で実行されているアプリケーションをパブリック IP アドレス経由でインターネットに公開できます。 インターネットに接続するアプリケーションは、ほぼ必ずセキュリティ デバイス (アプリケーション配信コントローラー、Web アプリケーション ファイアウォール、L3/L4 次世代ファイアウォールなど) を介して公開されます。 受信接続に関する設計上の決定は、主にこのようなデバイスの (Azure VMware Solution や Azure 仮想ネットワークでの) 配置によって決まります。

  • 送信インターネット接続。 Azure VMware Solution で実行されているアプリケーションがパブリック エンドポイントにアクセスする必要がある場合は、送信インターネット接続が必要です。 一般的なユース ケースとして、ソフトウェア更新プログラムのダウンロード、パブリック Web サイトまたは API の使用、インターネット閲覧 (たとえば、VDI ソリューションの実行に Azure VMware Solution が使用される場合など) などがあります。 Azure VMware Solution には、送信インターネット接続を実装するためのオプションがいくつか用意されています。 それらは、Azure ネイティブ リソースに依存する場合も、依存しない場合もあります。 通常、ファイアウォールやフォワード プロキシなどのセキュリティ要件により、この領域の設計上の決定が決まります。

Azure VMware Solution には、各設計領域で最も一般的な要件に対応するためのネイティブ機能が用意されているため、追加の Azure リソースをデプロイする必要はありません。 これらのネイティブ機能については、こちらのドキュメントで説明しています。 ただし、エンタープライズ シナリオでは、Azure VMware Solution が、Azure Firewall や Azure Application Gateway などの Azure ネットワーク サービスや、サードパーティのネットワーク仮想アプライアンスを含むより大規模なインフラストラクチャの一部であることが一般的です。 このガイドは、これらのより高度なソリューションを設計するのに役立ちます。

高度な Azure VMware Solution ネットワーク アーキテクチャを設計するには、Azure VMware Solution のネットワークの基本事項をよく理解している必要があります。 この理解は、このガイドを効果的に使用するための前提条件となります。

設計領域の優先順位付けと依存関係

これらの 4 つの設計領域は互いに独立しているわけではありません。 ある領域に対して行われた設計上の決定により、他の領域で使用可能なオプションが制限される可能性があります。 これらの 4 つの領域には、ここに示す順序で対応することをお勧めします。

Flowchart that shows the order in which to address each design area.

上記のフローチャートに示すように、Azure VMware Solution のネットワーク設計には、以下の 4 つのステップのアプローチをお勧めします。

  1. オンプレミス データセンターとの接続を最初に設計します。 この領域の主要な決定事項は以下のとおりです。

    • オンプレミス サイトと Microsoft ネットワークのエッジの間でどの接続サービスを使用するか (インターネットかExpressRoute か)。.
    • トラフィックを Azure VMware Solution に直接ルーティングする (推奨) か、Azure 仮想ネットワークで実行されている仮想デバイスを経由させるか。

    設計フェーズ 1: オンプレミス サイトとの接続」を参照して、Azure VMware Solution でサポートされるオプションと、その選択方法について確認してください。

  2. フェーズ 1 で行った設計の選択に沿った仮想ネットワーク接続オプションを特定します。 Azure 仮想ネットワークでルーティングまたはセキュリティの構成がさらに必要かどうかを判断します。 最も一般的な要件は、Azure VMware Solution と Azure ネイティブ仮想マシン間のトラフィックに対するファイアウォール検査です。 「設計フェーズ 2: Azure 仮想ネットワークとの接続」を参照し、オンプレミス サイトとの接続に関する設計上の決定が、Azure VMware Solution プライベート クラウドから Azure 仮想ネットワークへの接続方法にどのように影響するかについて確認してください。

  3. Azure VMware Solution で実行されているインターネットに接続するアプリケーションを公開する (受信インターネット接続) 方法を決定します。 Azure VMware Solution では、Azure VMware Solution で実行されている仮想アプライアンス、または Azure 仮想ネットワークで実行されている仮想アプライアンスのいずれかに関連するパブリック IP の使用がサポートされています。 どちらのオプションも、フェーズ 1 と 2 でオンプレミス サイトと Azure 仮想ネットワークとの接続に関して行った決定事項に関係なく使用できます。 「設計フェーズ 3: 受信インターネット接続」を参照し、Azure VMware Solution がサポートする受信インターネット接続のオプションと、その選択方法について確認してください。

  4. Azure VMware Solution ワークロードがインターネットに接続する (送信インターネット接続) 方法を決定します。 この設計上の決定は、フェーズ 3 で受信インターネット接続に対して行った決定によって制約される可能性があります。 受信接続用に NSX-T Data Center Edge のパブリック IP を使用する場合は、送信接続にも使用する必要があります。 そうでない場合は、その他のオプションを使用できます。 「設計フェーズ 4: インターネット送信接続」を参照し、サポートされているオプションとその選択方法について確認してください。

次のステップ

このガイドで説明する設計領域を理解するために必要な前提条件となる知識について説明します。

基本事項と前提条件