Virtual WAN と Global Reach がある単一リージョン Azure VMware Solution 設計を使用する
この記事では、ルーティング インテントがあるセキュリティで保護された Azure Virtual WAN を使用する際の、単一リージョンの Azure VMware Solution のベスト プラクティスについて説明します。 これは、ルーティング インテントと Azure ExpressRoute Global Reach を使用するセキュリティで保護された Virtual WAN 向けの接続とトラフック フロー レコメンデーションを提供します。 この記事では、Azure VMware Solution プライベート クラウド、オンプレミス サイト、および Azure ネイティブ リソースの設計のトポロジについて説明します。 ルーティング インテントがあるセキュリティで保護された Virtual WAN の実装と構成についてはこの記事では説明しません。
単一リージョンでセキュリティで保護された Virtual WAN を使用する
Virtual WAN Standard SKU のみが、ルーティング インテントがあるセキュリティで保護された Virtual WAN をサポートします。 ルーティング インテントを使用するセキュリティで保護された Virtual WAN を使用して、すべてのインターネット トラフィックとプライベート トラフィックを Azure Firewall や Microsoft 以外のネットワーク仮想アプライアンス (NVA) または Software as a Service (SaaS) ソリューションなどのセキュリティ ソリューションを送信します。 ルーティング インテントを使用する場合は、セキュリティで保護された Virtual WAN ハブが必要です。
Note
セキュリティで保護された Virtual WAN ハブがある Azure VMware Solution を構成する場合は、ハブ ルーティング優先オプションを設定を [AS パス] に設定して、ハブでの最適なルーティング結果を確実にします。 詳細については、「仮想ハブ ルーティングの優先設定」を参照してください。
このシナリオのハブでは次の構成が使用されています。
単一リージョン ネットワークには、Virtual WAN インスタンスと 1 つのハブがあります。
ハブには Azure Firewall インスタンスがデプロイされているため、セキュリティで保護された Virtual WAN ハブになります。
セキュリティで保護された Virtual WAN ハブでルーティング インテントが有効になっています。
このシナリオには、次のコンポーネントもあります。
単一リージョンには独自のAzure VMware Solution プライベート クラウドと Azure 仮想ネットワークがあります。
オンプレミス サイトは、バブに接続しなおされます。
環境には Global Reach 接続があります。
Global Reach は、Azure VMware Solution をオンプレミスに接続する Microsoft バックボーンを介して直接論理リンクを確立します。
Global Reach 接続はハブ ファイアウォールを通過しません。 そのため、オンプレミスと Azure VMware Solution の両方を通信する Global Reach トラフィックは検査されません。
Note
Global Reach サイト間のセキュリティを強化するには、Azure VMware Solution 環境内の NSX-T またはオンプレミスのファイアウォール内のトラフィックを検査することを検討します。
以下の図はこのシナリオの例を示したものです。
次の表では、前の図のトポロジ接続について説明します。
| つながり | 説明 |
|---|---|
| D | ハブへの Azure VMware Solution プライベート クラウドマネージド ExpressRoute 接続 |
| A | オンプレミスへの Azure VMware Solution Global Reach 接続 |
| E | ハブへのオンプレミス ExpressRoute 接続 |
単一リージョンのセキュリティで保護された Virtual WAN フロー
次のセクションでは、Azure VMware Solution、オンプレミス、Azure 仮想ネットワーク、インターネットのトラフィック フローと接続について説明します。
Azure VMware Solution プライベート クラウド接続とトラフィック フロー
次の図は、Azure VMware Solution プライベート クラウドのトラフィック フローを示しています。
次の表では、前の図のトラフィック フローについて説明します。
| トラフィック フロー番号 | ソース | Destination (公開先) | セキュリティで保護された Virtual WAN ハブ ファイアウォールはこのトラフィックを検査しますか? |
|---|---|---|---|
| 1 | Azure VMware Solution クラウド | Virtual Network | はい |
| 2 | Azure VMware Solution クラウド | オンプレミス | いいえ |
Azure VMware Solution プライベート クラウドは、ExpressRoute 接続 D を介してハブに接続します。Azure VMware Solution クラウド リージョンは、ExpressRoute Global Reach 接続 A を介してオンプレミスへの接続を確立します。Global Reach 経由で移動するトラフィックは、ハブ ファイアウォールを通過しません。
シナリオでは、オンプレミスと Azure VMware Solution 間の接続の問題を防ぐために Global Reach を構成します。
オンプレミスの接続とトラフィック フロー
次の図は、ExpressRoute 接続 E を介してハブに接続されたオンプレミス サイトを示しています。オンプレミス システムは、Global Reach 接続 A を介して Azure VMware Solution と通信できます。
シナリオでは、オンプレミスと Azure VMware Solution 間の接続の問題を防ぐために Global Reach を構成します。
次の表では、前の図のトラフィック フローについて説明します。
| トラフィック フロー番号 | ソース | Destination (公開先) | セキュリティで保護された Virtual WAN ハブ ファイアウォールはこのトラフィックを検査しますか? |
|---|---|---|---|
| 3 | オンプレミス | Azure VMware Solution クラウド | いいえ |
| 4 | オンプレミス | Virtual Network | はい |
Azure 仮想ネットワークの接続とトラフィック フロー
ルーティング インテントが有効になっているセキュリティで保護されたハブは、既定の RFC 1918 アドレス (10.0.0.0/8、172.16.0.0/12 および 192.168.0.0/16) を、プライベートトラフック プレフィックスとして追加されたその他プレフィックスと一緒にピアリングされた仮想ネットワークに送信します。 詳細については、「ルーティング インテント プライベートアドレス プレフィックス」を参照してください。 このシナリオではルーティング インテントが有効になっているため、仮想ネットワークのすべてのリソースが、既定の RFC 1918 アドレスを処理し、ネクスト ホップとしてハブ ファイアウォールを使用します。 仮想ネットワークに出入りするすべてのトラフックは、ハブ ファイアウォールを通過します。
次の図は、仮想ネットワークがハブに直接ピアリングする方法を示しています。
次の表では、前の図のトラフィック フローについて説明します。
| トラフィック フロー番号 | ソース | Destination (公開先) | セキュリティで保護された Virtual WAN ハブ ファイアウォールはこのトラフィックを検査しますか? |
|---|---|---|---|
| 5 | 仮想ネットワーク | Azure VMware Solution クラウド | はい |
| 6 | 仮想ネットワーク | Azure VMware Solution クラウド | はい |
インターネット接続
このセクションでは、仮想ネットワークと Azure VMware Solution プライベート クラウドの Azure ネイティブ リソースにインターネットを接続する方法を説明します。 詳細については、「インターネット接続の設計に関する考慮事項」を参照してください。 次のオプションを使用して、Azure VMware Solution にインターネット接続を提供できます。
- オプション 1: Azure でホストされるインターネット サービス
- オプション 2: Azure VMware Solution で管理される Source Network Address Translation (SNAT)
- オプション 3: NSX-T データセンター エッジへの Azure パブリック IPv4 アドレス
ルーティング インテントがある単一リージョンのセキュリティで保護された Virtual WAN 設計は、すべてのオプションをサポートしますが、オプション 1 が推奨されます。 この記事の後半のシナリオでは、オプション 1 を使用して、インターネットを接続します。 オプション 1 は、検査、デプロイ、管理が簡単なため、セキュリティで保護された Virtual WAN に最適です。
ルーティング インテントを使用する際は、ハブ ファイアウォールからの既定ルートを生成できます。 この規定ルートは、仮想ネットワークと Azure VMware Solution にアドバタイズします。
Azure VMware Solution と 仮想ネットワーク インターネット接続
インターネット トラフィックのルーティング インテントを有効化すると、セキュリティで保護された Virtual WAN ハブは、ExpressRoute 回線間で既定のルートを規定でアドバタイズしません。 既定のルートが Virtual WAN から Azure VMware Solution に伝達されるようにするには、Azure VMware Solution ExpressRoute 回線で既定のルート伝達を有効にする必要があります。 詳細については、「既定ルート 0.0.0.0/0 をエンドポイントにアドバタイズする」を参照してください。
既定のルート伝達を有効にすると、接続 D はハブから既定のルート 0.0.0.0/0 をアドバタイズします。 オンプレミスの ExpressRoute 回線では、この設定を有効にしないでください。 接続 D は、既定のルート 0.0.0.0/0 を Azure VMware Solution にアドバタイズしますが、Global Reach (接続 A) も既定のルートをオンプレミスにアドバタイズします。 そのため、既定のルートを学習しないように、オンプレミスの機器に Border Gateway Protocol (BGP) フィルターを実装することが推奨されます。 この手順は、構成がオンプレミスのインターネット接続に影響しないようにするのに役立ちます。
次の表では、前の図のトラフィック フローについて説明します。
| トラフィック フロー番号 | ソース | Destination (公開先) | セキュリティで保護された Virtual WAN ハブ ファイアウォールはこのトラフィックを検査しますか? |
|---|---|---|---|
| 7 | Azure VMware Solution クラウド | インターネット | はい |
| 8 | 仮想ネットワーク | インターネット | はい |
インターネット アクセスのルーティング インテントを有効にすると、セキュリティで保護された Virtual WAN ハブから生成される既定のルートが、ハブピアリングされた仮想ネットワーク接続に自動的にアドバタイズされます。 仮想ネットワーク内の仮想マシンの network interface cards (NIC) では、0.0.0.0/0 ネクスト ホップがハブ ファイアウォールであることに注意してください。 ネクスト ホップを見つけるには、NIC で [有効なルート] を選択します。