Global Reach がない単一リージョンの Azure VMware Solution 設計を使用する
この記事では、ルーティング インテントがあるセキュリティで保護された Azure Virtual WAN を使用する際の、単一リージョンの Azure VMware Solution のベスト プラクティスについて説明します。 ルーティング インテントを使用しようして、セキュリティで保護された Virtual WAN 向けの接続とトラフィック フローのレコメンデーションを提供します。 この記事では、Azure ExpressRoute Global Reach を使用しない場合の、Azure VMware Solution プライベート クラウド、オンプレミス サイト、および Azure ネイティブ リソースの設計のトポロジについて説明します。 ルーティング インテントがあるセキュリティで保護された Virtual WAN の実装と構成についてはこの記事では説明しません。
Global Reach をサポートしていないリージョンを使用する場合、またはハブ ファイアウォールで Azure VMware Solution とオンプレミスの間のトラフィックを検査するセキュリティ要件がある場合は、サポート チケットを開いて ExpressRoute 間の移行性を有効にする必要があります。 既定では、Virtual WAN は ExpressRoute から ExpressRouteへの移行性をサポートしません。 詳細については、「ルーティング インテントを使用したExpressRoute 回線間のトランジット接続」を参照してください。
Global Reach を使用せずにセキュリティで保護された Virtual WAN を使用する
Virtual WAN Standard SKU のみが、ルーティング インテントがあるセキュリティで保護された Virtual WAN をサポートします。 ルーティング インテントを使用するセキュリティで保護された Virtual WAN を使用して、すべてのインターネット トラフィックとプライベート トラフィック (RFC 1918) を Azure Firewall や Microsoft 以外のネットワーク仮想アプライアンス (NVA) または Software as a Service (SaaS) ソリューションなどのセキュリティ ソリューションを送信します。
このシナリオのハブでは次の構成が使用されています。
単一リージョン ネットワークには、Virtual WAN インスタンスと 1 つのハブがあります。
ハブには Azure Firewall インスタンスがデプロイされているため、セキュリティで保護された Virtual WAN ハブになります。
セキュリティで保護された Virtual WAN ハブでルーティング インテントが有効になっています。
このシナリオには、次のコンポーネントもあります。
単一リージョンには独自のAzure VMware Solution プライベート クラウドと Azure 仮想ネットワークがあります。
オンプレミス サイトは、バブに接続しなおされます。
Note
接続されているオンプレミス リソース、仮想ネットワークまたは Azure VMware Solution で RFC 1918 以外nプレフィックスを使用する場合は、ルーティング インテント機能の [プライベート トラフック プレフィックス] フィールドにこれらのプレフィックスを指定します。 [プライベート トラフィック プレフィックス] フィールドに集約ルートを入力して、範囲をカバーします。 この仕様はルーティングの問題につながる可能性があるため、Virtual WAN にアドバタイズする正確な範囲を入力しないでください。 たとえば、ExpressRoute 回線がオンプレミスから 192.0.2.0/24 をアドバタイズする場合は、たとえば、192.0.2.0/23 など、/23 Classless Inter-Domain Routing (CIDR) 範囲以上を入力します。 詳細については、「Virtual WAN ポータルでルーティング インテントとポリシーを構成する」を参照してください。
Note
セキュリティで保護された Virtual WAN ハブがある Azure VMware Solution を構成する場合は、ハブ ルーティング優先オプションを設定を [AS パス] に設定して、ハブでの最適なルーティング結果を確実にします。 詳細については、「仮想ハブ ルーティングの優先設定」を参照してください。
以下の図はこのシナリオの例を示したものです。
次の表では、前の図のトポロジ接続について説明します。
| つながり | 説明 |
|---|---|
| D | ハブへの Azure VMware Solution プライベート クラウドマネージド ExpressRoute 接続 |
| E | ハブへのオンプレミス ExpressRoute 接続 |
Global Reach を使用しない単一リージョン Virtual WAN のトラフィック フロー
次のセクションでは、Azure VMware Solution、オンプレミス、Azure 仮想ネットワーク、インターネットのトラフィック フローと接続について説明します。
Azure VMware Solution プライベート クラウド接続とトラフィック フロー
次の図は、Azure VMware Solution プライベート クラウドのトラフィック フローを示しています。
次の表では、前の図のトラフィック フローについて説明します。
| トラフィック フロー番号 | ソース | Destination (公開先) | セキュリティで保護された Virtual WAN ハブ ファイアウォールはこのトラフィックを検査しますか? |
|---|---|---|---|
| 1 | Azure VMware Solution クラウド | Virtual Network | はい |
| 2 | Azure VMware Solution クラウド | オンプレミス | はい |
Azure VMware Solution プライベート クラウドには、ハブ (接続 D) への ExpressRoute 接続があります。
セキュリティで保護されたハブで ExpressRoute 間移行性を有効にし、ルーティング インテントを有効にすると、セキュリティで保護されたハブは、既定の RFC 1918 アドレス (10.0.0.0/8、172.16.0.0/12、192.168.0.0/16) を接続 D 経由で Azure VMware Solution に送信します。既定の RFC 1918 アドレスに加えて、Azure VMware Solution は、ハブに接続する Azure 仮想ネットワークとブランチ ネットワーク (サイト間 VPN、P2S VPN、SD-WAN など) からのより具体的なルートを学習します。 Azure VMware Solution は、オンプレミス ネットワークからの特定のルートは学習しません。 Azure VMware Solution は、トラフィックをオンプレミス ネットワークにルーティングするために、接続 D から学習する既定の RFC 1918 アドレスを使用します。このトラフィックはハブ ファイアウォールを通過します。 ハブ ファイアウォールは、オンプレミス ネットワークの特定のルートを使用して、接続 E 経由で宛先にトラフィックをルーティングします。Azure VMware Solution から仮想ネットワークに送信されるトラフィックは、ハブ ファイアウォールを通過します。
オンプレミスの接続とトラフィック フロー
次の図は、オンプレミス接続のトラフィック フローを示しています。
次の表では、前の図のトラフィック フローについて説明します。
| トラフィック フロー番号 | ソース | Destination (公開先) | セキュリティで保護された Virtual WAN ハブ ファイアウォールはこのトラフィックを検査しますか? |
|---|---|---|---|
| 3 | オンプレミス | Azure VMware Solution クラウド | はい |
| 4 | オンプレミス | Virtual Network | はい |
オンプレミス サイトは、ExpressRoute 接続 E を介してハブに接続します。
セキュリティで保護されたハブで ExpressRoute 間の移行性を有効にし、ルーティング インテントを有効にすると、セキュリティで保護されたハブは既定の RFC 1918 アドレスを接続 E 経由でオンプレミスに送信します。既定の RFC 1918 アドレスに加え、オンプレミスでは、ハブに接続する Azure 仮想ネットワークとブランチ ネットワークからのより具体的なルートを学習します。 オンプレミスは、Azure VMware Solution ネットワークからの特定のルートを学習しません。 Azure VMware Solution は、トラフィックを Azure VMware Solution ネットワークにルーティングするために、接続 E から学習する既定の RFC 1918 アドレスを使用します。このトラフィックはハブ ファイアウォールを通過します。 ハブ ファイアウォールは、Azure VMware Solution ネットワークの特定のルートを使用して、接続 D 経由で宛先にトラフィックをルーティングします。Azure VMware Solution から仮想ネットワークに送信されるトラフィックは、ハブ ファイアウォールを通過します。
ハブで ExpressRoute 間の移行性を有効にすると、既定の RFC 1918 アドレスがオンプレミス ネットワークに送信されます。 そのため、正確な RFC 1918 プレフィックスを Azure にアドバタイズし直すべきではありません。 同じ正確なルートをアドバタイズすると、Azure 内でルーティングの問題が発生します。 代わりに、オンプレミス ネットワーク用に、より具体的なルートを Azure にアドバタイズし直す必要があります。
Note
既定の RFC 1918 アドレスをオンプレミスから Azure にアドバタイズし、この方法を続行する場合は、各 RFC 1918 範囲を 2 つの等しいサブ範囲に分割し、これらのサブ範囲を Azure にアドバタイズし直す必要があります。 サブ範囲は 10.0.0.0/9、 10.128.0.0/9、172.16.0.0/13、172.24.0.0/13、192.168.0.0/17、および 192.168.128.0/17 です。
Azure 仮想ネットワークの接続とトラフィック フロー
次の図は、Azure 仮想ネットワーク接続のトラフィック フローを示しています。
次の表では、前の図のトラフィック フローについて説明します。
| トラフィック フロー番号 | ソース | Destination (公開先) | セキュリティで保護された Virtual WAN ハブ ファイアウォールはこのトラフィックを検査しますか? |
|---|---|---|---|
| 5 | 仮想ネットワーク | Azure VMware Solution クラウド | はい |
| 6 | 仮想ネットワーク | オンプレミス | はい |
このシナリオでは、仮想ネットワークはハブに直接ピアリングします。 この図は、仮想ネットワーク内の Azure ネイティブ リソースがそれらのルートを学習する方法を示しています。 ルーティング インテントが有効なセキュリティで保護されたハブは、既定の RFC 1918 アドレスをピアリングされた仮想ネットワークに送信します。 仮想ネットワークの Azure ネイティブ リソース仮想ネットワーク外からの特定ルートは学習しません。 ルーティング インテントを有効化する際、仮想ネットワークのすべてのリソースは、既定の RFC 1918 アドレスを処理し、ネクスト ホップとしてハブ ファイアウォールを使用します。 仮想ネットワークに出入りするすべてのトラフックは、ハブ ファイアウォールを通過します。
インターネット接続
このセクションでは、仮想ネットワーク内の Azure ネイティブ リソースと、単一リージョンの Azure VMware Solution プライベート クラウドにインターネットを接続する方法について説明します。 詳細については、「インターネット接続の設計に関する考慮事項」を参照してください。 次のオプションを使用して、Azure VMware Solution にインターネット接続を提供できます。
- オプション 1: Azure でホストされるインターネット サービス
- オプション 2: Azure VMware Solution で管理される Source Network Address Translation (SNAT)
- オプション 3: NSX-T データセンター エッジへの Azure パブリック IPv4 アドレス
ルーティング インテントがある単一リージョンのセキュリティで保護された Virtual WAN 設計は、すべてのオプションをサポートしますが、オプション 1 が推奨されます。 この記事の後半のシナリオでは、オプション 1 を使用して、インターネットを接続します。 オプション 1 は、検査、デプロイ、管理が簡単なため、セキュリティで保護された Virtual WAN に最適です。
セキュリティで保護されたハブでルーティング インテントを有効にすると、すべてのピアリングされた仮想ネットワークに RFC 1918 がアドバタイズされます。 ただし、ダウンストリーム リソースへのインターネット接続のために、既定のルート 0.0.0.0/0 をアドバタイズすることもできます。 ルーティング インテントを使用する際は、ハブ ファイアウォールからの既定ルートを生成できます。 この規定ルートは、仮想ネットワークと Azure VMware Solution にアドバタイズします。
Azure VMware Solution と 仮想ネットワーク インターネット接続
インターネット トラフィックのルーティング インテントを有効化すると、セキュリティで保護された Virtual WAN ハブは、ExpressRoute 回線間で既定のルートを規定でアドバタイズしません。 既定のルートが Virtual WAN から Azure VMware Solution に伝達されるようにするには、Azure VMware Solution ExpressRoute 回線で既定のルート伝達を有効にする必要があります。 詳細については、「既定ルート 0.0.0.0/0 をエンドポイントにアドバタイズする」を参照してください。
次の図は、仮想ネットワークと Azure VMware Solution インターネット接続のトラフィック フローを示しています。
次の表では、前の図のトラフィック フローについて説明します。
| トラフィック フロー番号 | ソース | Destination (公開先) | セキュリティで保護された Virtual WAN ハブ ファイアウォールはこのトラフィックを検査しますか? |
|---|---|---|---|
| 7 | 仮想ネットワーク | インターネット | はい |
| 8 | Azure VMware Solution クラウド | インターネット | はい |
既定のルート伝達を有効にすると、接続 D はハブから既定のルート 0.0.0.0/0 をアドバタイズします。 オンプレミスの ExpressRoute 回線では、この設定を有効にしないでください。 オンプレミスの機器に Border Gateway Protocol (BGP) フィルターを実装することが推奨されます。 BGP フィルターは、リソースが誤って既定のルートを学習するのを防ぎ、追加の予防措置を追加し、構成がオンプレミスのインターネット接続に影響しないようにするのに役立ちます。
インターネット アクセスのルーティング インテントを有効にすると、セキュリティで保護された Virtual WAN ハブから生成される既定のルートが、ハブピアリングされた仮想ネットワーク接続に自動的にアドバタイズされます。 仮想ネットワーク内の仮想マシンの NIC では、0.0.0.0/0 ネクスト ホップがハブ ファイアウォールであることに注意してください。 ネクスト ホップを見つけるには、NIC で [有効なルート] を選択します。
Global Reach なしで VMware HCX Mobility Optimized Networking (MON) を使用する
HCX Network Extension を使用する際は、VMware HCX Mobility Optimized Networking (MON) を有効化できます。 MON は、特定のシナリオで最適なトラフィック ルーティングを指定し、拡張ネットワーク上のオンプレミス ベースとクラウドベースのリソース間でネットワークが重複またはループするのを防ぎます。
Azure VMware Solution からのエグレス トラフィック
特定の拡張ネットワークと仮想マシンに対して MON を有効にすると、トラフィック フローが変更されます。 MON を実装した後、仮想マシンからのエグレス トラフィックはオンプレミスにループ バックされません。 代わりに、Network Extension IPSec トンネルをバイパスします。 仮想マシンのトラフィックは、AAzure VMware Solution NSX-T Tier-1 ゲートウェイから出て、NSX-T Tier-0 ゲートウェイに向かい、Virtual WAN に向かいます。
Azure VMware Solution へのイグレス トラフィック
特定の拡張ネットワークと仮想マシンに対して MON を有効にすると、次の変更が導入されます。 Azure VMware Solution NSX-T から、MON は /32 ホスト ルートを Virtual WAN に挿入し直します。 Virtual WAN は、この /32 ルートをオンプレミス、仮想ネットワーク、ブランチ ネットワークにアドバタイズし直します。 この /32 ホスト ルートにより、トラフィックが MON 対応仮想マシンに送信されるときに、オンプレミス、仮想ネットワーク、ブランチ ネットワークからのトラフィックは、Network Extension IPSec トンネルを使用しなくなります。 ソース ネットワークからのトラフィックは、/32 ルートを学習するため、MON 対応仮想マシンに直接送信されます。
Global Reach を使用しないセキュリティで保護された Virtual WAN に対する HCX MON の制限
セキュリティで保護されたハブで ExpressRoute 間の移行性を有効にする際に、ルーティング インテント有効にすると、セキュリティで保護されたハブは、既定の RFC 1918 アドレスをオンプレミスと Azure VMware Solution の両方に送信します。 既定の RFC 1918 アドレスに加えて、オンプレミスと Azure VMware Solution の両方は、ハブに接続する Azure 仮想ネットワークとブランチ ネットワークからのより具体的なルートを学習します。
ただし、オンプレミス ネットワークは Azure VMware Solution からの特定のルートを学習せず、Azure VMware Solution はオンプレミス ネットワークからの特定のルートを学習しません。 代わりに、両方の環境が既定の RFC 1918 アドレスに依存して、ハブ ファイアウォール経由で相互にルーティングを支援します。 そのため、MON ホスト ルートなどのより具体的なルートは、Azure VMware Solution ExpressRoute からオンプレミス ベースの ExpressRoute 回線にアドバタイズされません。 逆も同じです。 特定のルートを学習できないと、非対称トラフィック フローが発生します。 トラフィックは NSX-T Tier-0 ゲートウェイ経由で Azure VMware Solution をエグレスしますが、オンプレミスからのトラフィックを返す場合は、Network Extension IPSec トンネル経由で返されます。
トラフィックの非対称性を修正する
トラフィックの非対称性を修正するには、MON ポリシー ルートを調整する必要があります。 MON ポリシー ルートは、L2 拡張機能を介してオンプレミス ゲートウェイに戻るトラフィックを決定します。 また、Azure VMware Solution NSX Tier-0 ゲートウェイを通過するトラフィックも決定します。
宛先 IP が一致し、MON ポリシー構成で許可するように設定すると、2 つのアクションが発生します。 まず、システムはパケットを識別します。 次に、システムは Network Extension アプライアンスを介してオンプレミス ゲートウェイにパケットを送信します。
宛先 IP が一致しない場合、または MON ポリシーで拒否するように設定した場合、システムはルーティングのためにパケットを Azure VMware Solution Tier-0 ゲートウェイに送信します。
次の表では、HCX ポリシー ルートについて説明します。
| ネットワーク | ピアにリダイレクトする | Note |
|---|---|---|
| Azure 仮想ネットワークのアドレス空間 | 拒否 | すべての仮想ネットワークのアドレス範囲を明示的に含めます。 Azure を対象としたトラフィックは、Azure VMware Solution 経由で送信され、オンプレミス ネットワークに戻りません。 |
| 既定の RFC 1918 アドレス空間 | Allow | 既定の RFC 1918 アドレスを追加します。 この構成により、上記の条件に一致しないすべてのトラフィックがオンプレミス ネットワークに再ルーティングされます。 オンプレミスのセットアップで RFC 1918 の一部ではないアドレスを使用する場合は、それらの範囲を明示的に含める必要があります。 |
| 0.0.0.0/0 アドレス空間 | 拒否 | インターネット ルーティング可能な IP、指定されたエントリと一致しないトラフィックなど、RFC 1918 でカバーされていないアドレスは、Azure VMware Solution を介して直接終了し、オンプレミス ネットワークにリダイレクトしません。 |