PowerShell (クラシック) を使用して仮想ネットワークを ExpressRoute 回線に接続する
この記事では、PowerShell を使用して仮想ネットワーク (VNet) を Azure ExpressRoute 回線にリンクする方法について説明します。 単一の VNet を最大 4 つの ExpressRoute 回線にリンクできます。 この記事の手順を使用して、接続先となる各 ExpressRoute 回線への新しいリンクを作成します。 ExpressRoute 回線は、同じサブスクリプション、異なるサブスクリプション、または両方の組み合わせにすることができます。 この記事は、クラシック デプロイ モデルを使用して作成された仮想ネットワークに適用されます。
最大 10 個の仮想ネットワークを ExpressRoute 回線に接続できます。 仮想ネットワークはすべて同じ地理的リージョンにある必要があります。 ExpressRoute プレミアム アドオンを有効にした場合、ExpressRoute 回線により多くの 仮想ネットワークをリンクしたり、それ以外の地理的リージョンにある仮想ネットワークをリンクしたりできます。 プレミアム アドオンの詳細については、FAQ を確認してください。
重要
2017 年 3 月 1 日の時点で、クラシック デプロイ モデルに新しい ExpressRoute 回線を作成することはできません。
- 接続のダウン タイムを発生させずに、クラシック デプロイ モデルから Resource Manager デプロイ モデルに既存の ExpressRoute 回線を移動できます。 詳しくは、既存の回線の移動に関する記事をご覧ください。
- allowClassicOperations を TRUE に設定することで、クラシック デプロイ モデル内の仮想ネットワークを接続できます。
Resource Manager デプロイ モデルで ExpressRoute 回線を作成して管理するには、次のリンクを使用します。
Azure のデプロイ モデルについて
Azure は現在、2 つのデプロイメント モデルで使用できます。Resource Manager とクラシックです。 これらの 2 つのモデルには、完全に互換性があるわけではありません。 作業を開始する前に、使用するモデルを把握しておく必要があります。 デプロイメント モデルについては、デプロイメント モデルの概要に関するページを参照してください。 Azure に慣れていない場合には、Resource Manager デプロイ モデルの使用をお勧めします。
構成の前提条件
- 構成を開始する前に、前提条件、ルーティングの要件、ワークフローを確認します。
- アクティブな ExpressRoute 回線が必要です。
- 手順に従って、 ExpressRoute 回線を作成 し、接続プロバイダーに回線を有効にしてもらいます。
- 回線用に Azure プライベート ピアリングが構成されていることを確認してください。 ルーティング手順については、 ルーティングの構成 に関する記事を参照してください。
- Azure プライベート ピアリングが構成されていることを確認します。また、エンド ツー エンド接続を有効にできるように、ネットワークと Microsoft の間の BGP ピアリングを起動しておく必要があります。
- 仮想ネットワークと仮想ネットワーク ゲートウェイを作成して完全にプロビジョニングする必要があります。 指示に従い、 ExpressRoute 用の仮想ネットワークを構成します。
最新の PowerShell コマンドレットをダウンロードする
最新バージョンの Azure Service Management (SM) PowerShell モジュールと ExpressRoute モジュールをインストールします。 Azure CloudShell 環境を使用して SM モジュールを実行することはできません。
Service Management モジュールのインストールに関する記事の手順を使用して、Azure Service Management モジュールをインストールします。 Az または RM モジュールが既にインストールされている場合は、必ず '-AllowClobber' を使用してください。
インストールされているモジュールをインポートします。 次の例を使用する場合、インストールされている PowerShell モジュールの場所とバージョンを反映するようにパスを調整します。
Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\Azure.psd1' Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\ExpressRoute\ExpressRoute.psd1'
Azure アカウントにサインインするには、管理者特権で PowerShell コンソールを開き、アカウントに接続します。 次の例を使用すると、Service Management モジュールを使用した接続に役立ちます。
Add-AzureAccount
同じサブスクリプション内の仮想ネットワークを回線に接続する
次のコマンドレットを使用して、ExpressRoute 回線に仮想ネットワークをリンクすることができます。 コマンドレットを実行する前に、仮想ネットワーク ゲートウェイが作成されており、リンクの準備ができていることを確認してください。
New-AzureDedicatedCircuitLink -ServiceKey "*****************************" -VNetName "MyVNet"
Provisioned
仮想ネットワークのリンクを回線から削除する
次のコマンドレットを使用して、仮想ネットワークのリンクを ExpressRoute 回線から削除することができます。 現在のサブスクリプションがその仮想ネットワークで選択されていることを確認します。
Remove-AzureDedicatedCircuitLink -ServiceKey "*****************************" -VNetName "MyVNet"
別のサブスクリプション内の仮想ネットワークを回線に接続する
複数のサブスクリプションで ExpressRoute 回線を共有できます。 下図に、複数のサブスクリプションで ExpressRoute 回線を共有するしくみについて概略を示します。
大規模クラウド内のそれぞれの小規模クラウドは、組織内のさまざまな部門に属するサブスクリプションを表すために使用されています。 組織内の各部門はサービスのデプロイ用に固有のサブスクリプションを使用できますが、1 つの ExpressRoute 回線を共有することで、オンプレミス ネットワークに接続し直すことができます。 1 つの部門 (この例では IT) で ExpressRoute 回線を所有できます。 組織内の他のサブスクリプションも ExpressRoute 回線を使用できます。
Note
専用回線の接続と帯域幅の料金は、ExpressRoute 回線の所有者が負担することになります。 すべての仮想ネットワークが同じ帯域幅を共有します。
管理
回線所有者 とは、ExpressRoute 回線が作成されたサブスクリプションの管理者または共同管理者です。 回線所有者は、他のサブスクリプションの管理者または共同管理者 ( 回線ユーザーと呼ぶ) が所有する専用回線を使用することを承認できます。 組織の ExpressRoute 回線の使用を承認される回線ユーザーは、承認後、サブスクリプションの仮想ネットワークを ExpressRoute 回線にリンクできるようになります。
回線所有者は、承認をいつでも変更し、取り消す権限を持っています。 承認を取り消すと、アクセスが取り消されたサブスクリプションからすべてのリンクが削除されます。
Note
回線所有者は、組み込み RBAC ロールではなく、ExpressRoute リソースでも定義されていません。 回線所有者の定義は、次のアクセス権を持つ任意のロールです。
- Microsoft.Network/expressRouteCircuits/authorizations/write
- Microsoft.Network/expressRouteCircuits/authorizations/read
- Microsoft.Network/expressRouteCircuits/authorizations/delete
これには、共同作成者、所有者、ネットワーク共同作成者などの組み込みロールが含まれます。 さまざまな組み込みロールの詳細な説明。
回線所有者の操作
承認の作成
回線所有者は、その他のサブスクリプションの管理者が指定された回線を使用することを承認します。 次の例では、回線 (Contoso IT) の管理者は、別のサブスクリプション (Dev-Test) の管理者が最大 2 個の仮想ネットワークを回線にリンクできるようにします。 Contoso IT 管理者がこの承認を行うとき、Dev-Test Microsoft ID を指定します。 コマンドレットは、指定された Microsoft ID に電子メールを送信しません。 回線所有者が、承認が完了したことをその他のサブスクリプション所有者に明示的に通知する必要があります。
New-AzureDedicatedCircuitLinkAuthorization -ServiceKey "**************************" -Description "Dev-Test Links" -Limit 2 -MicrosoftIds 'devtest@contoso.com'
返された結果:
Description : Dev-Test Links
Limit : 2
LinkAuthorizationId : **********************************
MicrosoftIds : devtest@contoso.com
Used : 0
承認の確認
回線所有者は、次のコマンドレットを実行し、特定の回線で発行されるすべての承認を確認できます。
Get-AzureDedicatedCircuitLinkAuthorization -ServiceKey: "**************************"
返された結果:
Description : EngineeringTeam
Limit : 3
LinkAuthorizationId : ####################################
MicrosoftIds : engadmin@contoso.com
Used : 1
Description : MarketingTeam
Limit : 1
LinkAuthorizationId : @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
MicrosoftIds : marketingadmin@contoso.com
Used : 0
Description : Dev-Test Links
Limit : 2
LinkAuthorizationId : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
MicrosoftIds : salesadmin@contoso.com
Used : 2
承認の更新
回線所有者は、次のコマンドレットを使用して承認を変更できます。
Set-AzureDedicatedCircuitLinkAuthorization -ServiceKey "**************************" -AuthorizationId "&&&&&&&&&&&&&&&&&&&&&&&&&&&&"-Limit 5
返された結果:
Description : Dev-Test Links
Limit : 5
LinkAuthorizationId : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
MicrosoftIds : devtest@contoso.com
Used : 0
承認の削除
回線所有者は、次のコマンドレットを実行して、ユーザーに対する承認を取り消したり削除したりすることができます。
Remove-AzureDedicatedCircuitLinkAuthorization -ServiceKey "*****************************" -AuthorizationId "###############################"
回線ユーザーの操作
承認の確認
回線ユーザーは、次のコマンドレットを使用して承認を確認できます。
Get-AzureAuthorizedDedicatedCircuit
返された結果:
Bandwidth : 200
CircuitName : ContosoIT
Location : Washington DC
MaximumAllowedLinks : 2
ServiceKey : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
ServiceProviderName : equinix
ServiceProviderProvisioningState : Provisioned
Status : Enabled
UsedLinks : 0
リンク承認の適用
回線ユーザーは次のコマンドレットを実行し、リンク承認を利用できます。
New-AzureDedicatedCircuitLink –servicekey "&&&&&&&&&&&&&&&&&&&&&&&&&&" –VnetName 'SalesVNET1'
返された結果:
State VnetName
----- --------
Provisioned SalesVNET1
新たにリンクされた仮想ネットワークのサブスクリプションで、このコマンドを実行します。
New-AzureDedicatedCircuitLink -ServiceKey "*****************************" -VNetName "MyVNet"
次のステップ
ExpressRoute の詳細については、「 ExpressRoute のFAQ」をご覧ください。