Azure VMware Solution からの接続を有効にする
はじめに
この設計パターンでは、トラフィックは、オンプレミスのデータセンターから Azure VMware Solution (AVS) プライベート クラウドまで Microsoft バックボーンを経由する専用パスを利用します。 この接続では、Expressroute Global Reach を使用します。これは、顧客管理間の直接パスを提供し、さらに AVS 専用の Expressroute 回線への接続を可能にするメカニズムです。 プライベート クラウドには、別途 NSX Edge からインターネットへのブレークアウトがあり、この場合のトラフィックは Expressroute を経由しません。
重要
Global Reach がサポートされていないリージョンでは、Azure の Expressroute Gateway をデプロイすることでオンプレミスから AVS のプライベート クラウドへの転送が可能です。 エンドツーエンドの推移性を提供するには、Hub Virtual Network (VNET) 内の仮想アプライアンスが必要です。 セクション「トラフィック検査と既定ルートのアドバタイズ」を参照してください。
顧客プロファイル
このアーキテクチャは、以下の場合に最適です:
- Azure VMware Solution SDDC (ソフトウェアによるデータセンター) からインターネットへの低遅延かつネイティブなエグレス。
- Expressroute または VPN 経由での、オンプレミスから Azure への直接トラフィック。
- SDDC 内のワークロードに対するインバウンド L4/L7 サービス (HTTPS など)
AVS NSX ルーターを通過するトラフィックのうち、この設計で対応可能なものには以下が含まれます。
- Azure VMware Solution から Azure ネイティブ仮想ネットワークへのトラフィック
- Azure VMware Solution からインターネットへのトラフィック
- Azure VMware Solution からオンプレミス データセンターへのトラフィック
アーキテクチャ コンポーネント
このシナリオは、次で実装できます。
- NSX Advanced Load Balancer
- Azure VMware Solution からのインターネット ブレイクアウトで、送信元と送信先両方でアドレス変換 (SNAT/DNAT) を行うためのパブリック IP
注意
NSX Advanced Load Balancer (Avi) はインバウンド機能を NSX 内で直接提供しますが、この機能は Azure の WAF または App Gateway v2 でも可能です。
重要な決定事項
このドキュメントでは、オンプレミスまたは AVS からの既定ルートのアドバタイズを想定し、また推奨しています。 Azure を発信元とする既定ルートが必要な場合は、「トラフィック検査と既定ルートのアドバタイズ」のセクションを参照してください。
考慮事項
- Azure portal 上で NSX Edge までのパブリック IP を有効にします。 そうすることで、Azure VMware Solution への低遅延直接接続が可能になり、アウトバウンド接続数のスケーリングができます。
- NSX ファイアウォール規則の作成を適用します。
- NSX Advanced Load Balancer を使用して、トラフィックをワークロードに均等に配分します。
- オーバーフロー防止 (分散およびゲートウェイ) を有効にします。
NSX-T または NVA を使った AVS からのエグレス
| トラフィック検査の対象範囲 | 推奨されるソリューション設計 | 考慮事項 | インターネット ブレイクアウト |
|---|---|---|---|
| - インターネット イングレス - インターネット エグレス - オンプレミス データセンターへのトラフィック - Azure Virtual Network へのトラフィック - Azure VMware Solution 内トラフィック |
Azure VMware Solution で NSX-T またはサード パーティ製の NVA ファイアウォールを使用します。 HTTPS には NSX-T Advanced Load Balancer を、HTTP/S 以外のトラフィックには NSX-T Firewall を使用します。 Azure VMware Solution からのインターネット ブレイクアウト用、および SNAT/DNAT 用のパブリック IP。 |
Azure VMware Solution Private Cloud から 0.0.0.0/0 ルートをアドバタイズする場合にこのオプションを選択します。 Azure portal 上で NSX Edge までのパブリック IP を有効にします。 このオプションを使用すると、Azure への低遅延接続ができ、アウトバウンド接続の数をスケーリングできます。 |
Azure VMware Solution |
オンプレミスからの 0.0.0.0/0 アドバタイズによる Azure VMware Solution からのエグレス
| トラフィック検査の対象範囲 | 推奨されるソリューション設計 | 考慮事項 | インターネット ブレイクアウト |
|---|---|---|---|
| - インターネット イングレス - インターネット エグレス - オンプレミスのデータセンターへ |
オンプレミスでは仮想アプライアンスを使用 HTTP/S トラフィックには NSX Advanced Load Balancer または Azure の Application Gateway を使用。 非 HTTP/S トラフィックの場合は、NSX 分散ファイアウォールを使用。 Azure VMware Solution でパブリック IP を有効化。 |
このオプションを選択すると、オンプレミスのデータセンターから 0.0.0.0/0 ルートがアドバタイズされます。 |
オンプレミス |
重要
従来の VMware アプライアンスの一部では、階層 0 ルーターにアプライアンスを配置するためにサービス挿入を使用します。 階層 0 ルーターのプロビジョニングおよび管理は Microsoft が行っており、エンド ユーザーは使用できません。 すべてのネットワーク アプライアンスとロード バランサーは、階層 1 に配置する必要があります。 次のセクションでは、AVS のパーティ デバイスからの既定ルート伝達について説明します。
AVS でのサード パーティ NVA 統合
サード パーティ製アプライアンスの統合には、慎重な検討が必要です。 この設計では、サード パーティ NVA は 1 つまたは複数の T-1 エッジ ルーターの背後に配置されます。
ライセンスの提供と、デバイス ネイティブな高可用性機能の実装は、ユーザーの責任です。
この実装を選択する場合は、制限に注意してください。 たとえば、仮想マシン上の仮想ネットワーク インターフェイス カード (NIC) 数の上限は 8 です。 AVS に NVA を配置する方法の詳細については、「NSX-T ファイアウォール パターン」を参照してください。
注意
サード パーティの NVA を使用する場合、Mobility Optimized Networking はサポートされません。
ランディング ゾーンに関する考慮事項
このセクションでは、Azure ランディング ゾーンに AVS を統合するためのベスト プラクティスについて説明します。
Azure Route Server
Azure Route Server (ARS) は、AVS から学習したルートを動的に伝達し、ブランチ間接続を VPN ゲートウェイに提供するために使用されます。 ARS が存在する VNET にピアリングされている VNET もルートを動的に学習するため、AVS から Azure のハブ アンド スポーク環境へのルートを学習できます。 Azure Route Server のユース ケースには次のようなものがあります。
動的ルート伝達:
- BGP (Border Gateway Protocol) 経由の、AVS からローカル VNET への特定ルートを学習します。 ピアリングされた VNET もルートを学習できます。
- サード パーティの NVA 統合
- RS を NVA とピアリングすれば、各 AVS セグメントでトラフィックをフィルタリングするために UDR を使う必要がなくなります。
- ピアリング VNET から返されるトラフィックは、ファイアウォールのローカル インターフェイスまで戻る UDR (ユーザー定義ルート) を必要とします
- Expressroute から VPN Gateway への転送メカニズム
- VPN Gateway は、サイト間接続であり、かつアクティブ/アクティブで構成されている必要があります
Azure Route Server を使用するには、以下が必要です。
ブランチ間を有効にする
ルート数が > 1000 の場合にはルート サマリーを使用する、あるいは、「Azure Route Server に関してよく寄せられる質問 (FAQ)」で説明されている
NO_ADVERTISE BGP communitiesフラグを使用しますAzure 以外の特定の ASN に対し NVA をピアリングする。 たとえば、ARS は 65515 を使用するため、VNET 内の他のアプライアンスは、その ASN (自律システム番号) を使用できません。
IPv6 のサポートなし
Azure NetApp Files との統合
Azure NetApp Files (ANF) は、NFS プロトコル経由でネットワーク接続データストアを提供します。 ANF は Azure VNET 上に配置され、AVS のワークロードに接続します。 Azure NetApp Files に基づく NFS データストアを使用すると、クラスターをスケーリングする代わりにストレージを拡張できます。
- Standard ネットワーク機能を使用して Azure NetApp Files ボリュームを作成し、AVS プライベート クラウドから ExpressRoute FastPath 経由での最適化された接続を可能にする
- 委任されたサブネットに ANF をデプロイする
- ハブとスポークのデプロイでは、最大 10 Gbps の ER GW SKU をサポート
- ゲートウェイ ポートの速度制限をバイパスするには、Ultra と ErGw3AZ SKU が必要
- 読み取りトラフィックのイングレスと、書き込みトラフィックのエグレスは、Expressroute 経由です。 Expressroute 回線経由のエグレス トラフィックはゲートウェイをバイパスし、エッジ ルーターに直接送信されます
- AVS からのイングレス/エグレス料金は課金されませんが、ピアリングされた VNET 間でデータが送信される場合はエグレス料金が発生します。
- 現在サポートされているのは NFS v3 のみです。
予想外の遅延が発生している場合、AVS プライベート クラウドと ANF デプロイが同じ AZ (Azure Availability Zone) に固定されていることを確認してください。 高可用性を得るには、別の AZ に ANF ボリュームを作成し、[Cross Zone Replication] を有効にしてください
重要
Microsoft は、可能な最大ポート速度が 20Gbps のセキュリティで保護された Azure VWAN ハブの Fastpath をサポートしていません。 より大きなスループットが必要な場合、ハブとスポーク VNET の使用を検討してください。 Azure NetApp Files データストアを Azure VMware Solution ホストにアタッチする方法については、こちらを参照してください
オンプレミスからの VPN 接続性
Expressroute 回線をお勧めしますが、Azure のトランジット ハブ VNET を使った IPSEC でオンプレミスから AVS に接続することもできます。 このシナリオでは、VPN Gateway と Azure Route Server が必要です。 前述のように、Azure Route Server を使うことで VPN Gateway と AVS Expressroute Gateway の間の推移性が実現できます。
トラフィック検査
前に説明したように、パブリック IP を使用する AVS から NSX Edge オプションまでの既定ルートのアドバタイズが行われますが、オンプレミスからの既定ルートのアドバタイズを継続することもできます。 オンプレミスから AVS へのエンド ツー エンドのトラフィック フィルタリングは、これらのエンドポイントのいずれかに配置されたファイアウォールを使用すれば可能です。
Azure からのデフォルト ルート アドバタイズは、ハブ VNET のサードパーティ NVA を使用するか、Azure vWAN を使用する場合に可能です。 ハブ アンド スポークのデプロイでは、Azure Firewallは BGP に対応していないため使用できませんが、サードパーティの BGP 対応デバイスを使用することはできます。 このシナリオは次からのトラフィックの検査で使用できます。
- オンプレミスから Azure へ
- Azure からインターネットへ
- AVS からインターネットへ
- AVS から Azure へ
ハブ VNet 内のサード パーティの NVA が、AVS とインターネット間、および AVS と Azure VNet 間のトラフィックを検査する
| トラフィック検査の要件 | 推奨されるソリューション設計 | 考慮事項 | インターネット ブレイクアウト |
|---|---|---|---|
| - インターネット イングレス - インターネットエグレス - オンプレミスのデータセンターへ - Azure Virtual Network へ |
Azure Route Server を使用して、ハブ仮想ネットワークでサードパーティのファイアウォール ソリューションを使用します。 HTTP/S トラフィックの場合は、Azure Application Gateway を使用します。 HTTP/S 以外のトラフィックの場合は、Azure でサードパーティのファイアウォール NVA を使用します。 オンプレミスのサードパーティ製ファイアウォール NVA を使用します。 Azure Route Server を使用して、ハブ仮想ネットワークでサードパーティのファイアウォール ソリューションをデプロイします。 |
Azure ハブ仮想ネットワーク内の NVA から Azure VMware Solution に 0.0.0.0/0 ルートをアドバタイズするには、このオプションを選択します。 |
Azure |
追加情報
- Bastion + Jumpbox VM を使用して vCenter にアクセスする - オンプレミスから vCenter にアクセスする場合は、オンプレミス ネットワークから /22 AVS 管理ネットワークへのルートがあることを確認してください。 CLI に
Test-NetConnection x.x.x.2 -port 443と入力して、ルートを検証してください - DNS に関する考慮事項 - プライベート エンドポイントを使用する場合は、次のガイダンスに従ってください: Azure プライベート エンドポイントの DNS 構成 | Microsoft Learn
次の手順
- オンプレミス VPN から Azure VMware Solution への転送方法の詳細については、VPN から ExR への転送方法に関する記事を参照してください
- ハブアンドスポーク ネットワークでのAzure VMware Solution の詳細については、「ハブ アンド スポークのアーキテクチャで Azure VMware Solution を統合する」を参照してください。
- VMware NSX-T Data Center ネットワーク セグメントの詳細については、「Azure VMware Solution を使用して NSX-T データ センター ネットワーク コンポーネントを構成する」を参照してください。
- Azure Router Server の詳細については、製品概要「Azure Route Server とは」を参照してください
次に、Azure VMware Solution への接続を確立するための他の設計パターンを確認します