Azure Route Server に関してよく寄せられる質問 (FAQ)
全般
Azure Route Server とは何ですか。
Azure Route Server は、ネットワーク仮想アプライアンス (NVA) と仮想ネットワークの間のルーティングを簡単に管理できる、フル マネージド サービスです。
Azure Route Server は単なる仮想マシンなのですか?
いいえ。 Azure Route Server は、高可用性を使用して設計されたサービスです。 可用性ゾーンをサポートする Azure リージョンにルート サーバーをデプロイした場合、ルート サーバーはゾーンレベルの冗長性を持ちます。
各 NVA を両方の Azure Route Server インスタンスとピアリングする必要がありますか?
はい。ルートが Route Server に正常にアドバタイズされるようにし、高可用性を構成するには、各 NVA インスタンスを Route Server の両方のインスタンスとピアリングし、同じルートを両方のインスタンスへアドバタイズする必要があります。 また、少なくとも 2 つの NVA インスタンスを Route Server の両方のインスタンスとピアリングすることをお勧めします。
Note
Route Server のメンテナンス イベントの間に、お使いの NVA と Route Server のインスタンスの 1 つとの間で、BGP ピアリングがダウンすることがあります。 その結果、Route Server の両方のインスタンスとピアリングするように NVA を構成した場合、メンテナンス イベントの間も接続は動き続けるようになります。
Azure Route Server では、顧客データは保存されますか。
いいえ。 Azure Route Server が行うのは、BGP ルートをネットワーク仮想アプライアンス (NVA) と交換し、それらを仮想ネットワークに伝達することのみです。
Azure Route Server では仮想ネットワーク ピアリングがサポートされていますか。
はい。Azure Route Server をホストしている仮想ネットワークを別の仮想ネットワークにピアリングし、2 番目の仮想ネットワークで [リモート仮想ネットワークのゲートウェイまたはルート サーバーを使用する] を有効にした場合、Azure Route Server は、ピアリングされた仮想ネットワークのアドレス空間を学習し、ピアリングされたすべてのネットワーク仮想アプライアンス (NVA) に送信します。 また、NVA から、ピアリングされた仮想ネットワーク内の仮想マシンのルート テーブルへのルートがプログラミングされます。
Azure Route Server に、ポートが開かれたパブリック IP アドレスが必要な理由
これらのパブリック エンドポイントは、Azure の基になる SDN と管理プラットフォームが Azure Route Server と通信するために必要です。 Route Server は顧客のプライベート ネットワークの一部と見なされるため、Azure の基になるプラットフォームは、コンプライアンス要件のために、プライベート エンドポイントを介して Route Server に直接アクセスして管理することはできません。 Route Server のパブリック エンドポイントへの接続は証明書を介して認証され、Azure ではこれらのパブリック エンドポイントの定期的なセキュリティ監査が行われます。 その結果、仮想ネットワークのセキュリティ上の露出は構成されません。
Note
これらの証明書は内部証明機関によって署名されているため、この証明書チェーンは既知の信頼された機関によって署名されていないように見えます。 その結果、これは SSL の脆弱性を表していません。
Azure Route Server では IPv6 がサポートされていますか。
いいえ。 IPv6 サポートは今後追加される予定です。 IPv6 アドレス空間のある仮想ネットワークをデプロイした後、同じ仮想ネットワークに Azure Route Server をデプロイすると、IPv6 トラフィックの接続が切断されます。
警告
IPv6 アドレス空間のある仮想ネットワークをデプロイした後、同じ仮想ネットワークに Azure Route Server をデプロイすると、IPv4 トラフィックの接続も切断されます。 この問題は、IPv4 トラフィックが引き続き期待どおりに動作するように、次のリリースで修正される予定です。
ルーティング
Azure Route Server では NVA と VM の間でデータ トラフィックがルーティングされますか。
いいえ。 Azure Route Server では、ネットワーク仮想アプライアンス (NVA) との間でのみ BGP ルートが交換されます。 データ トラフィックは、NVA と宛先仮想マシン (VM) の間で直接送受信されます。
Azure Route Server ではどのようなルーティング プロトコルがサポートされていますか。
Azure Route Server では、Border Gateway (BGP) Protocol のみがサポートされています。 仮想ネットワーク内の専用サブネットに Route Server をデプロイする必要があるため、ネットワーク仮想アプライアンス (NVA) ではマルチホップの外部 BGP をサポートする必要があります。 NVA で BGP を構成する場合、選択する AS 番号は Route Server の AS 番号とは異なる必要があります。
Azure Route Server は、受信したルートの BGP AS パスを保持しますか。
はい。Azure Route Server は、BGP AS パスをそのまま使用してルートを伝達します。
ルート サーバーに向けて NVA で AS パスの前に構成されている場合、ExpressRoute 回線は AS パスの先頭の情報をオンプレミスに渡しますか。
ExpressRoute は、オンプレミスへのルートをアドバタイズすると、プライベート BGP ASN 情報を削除します。 オンプレミスは、AS 12076 のプレフィックスを受け取ります。
Azure Route Server は、受信したルートの BGP コミュニティを保持しますか。
はい。Azure Route Server は、BGP コミュニティを使用してルートを伝達します。
Azure Route Server の BGP タイマーはどのように設定されていますか。
Azure Route Server の Keepalive タイマーは 60 秒で、Hold タイマーは 180 秒です。
Azure Route Server を使用して、NVA からルートをフィルター処理できますか?
Azure Route Server は、NO_ADVERTISE BGP コミュニティをサポートしています。 ネットワーク仮想アプライアンス (NVA) によってこのコミュニティ文字列を含むルートがルート サーバーにアドバタイズされる場合、ルート サーバーによってそれが ExpressRoute ゲートウェイを含む他のピアにアドバタイズされることはありません。 この機能は、Azure Route Server から ExpressRoute に送信されるルートの数を減らすのに役立ちます。
ハブ VNet とスポーク VNet の間に VNet ピアリングが作成されると、これによって Azure Route Server とそのピアリングされた NVA との間で BGP ソフト リセットが発生しますか?
はい。 ハブ VNet とスポーク VNet の間に VNet ピアリングが作成されると、Azure Route Server では、すべてのピアリングされた NVA にルート更新要求を送信することで BGP ソフト リセットを実行します。 NVA で BGP ルート更新がサポートされていない場合、Azure Route Server では、ピアリングされた NVA で BGP ハード リセットを実行します。これにより、その NVA を通過するトラフィックの接続の中断が発生する可能性があります。
NVA と Azure Route Server の間の BGP ピアリング セッションで、1,000 個のルートの制限はどのように計算されますか?
現在、Route Server は、1 つの BGP ピアから最大 1,000 個のルートを受け入れることができます。 BGP ルートの更新を処理する場合、この制限は、BGP ピアから学習された現在のルートの数と、BGP ルートの更新に含まれるルートの数として計算されます。 たとえば、NVA が最初に 501 個のルートを Route Server にアドバタイズし、後で BGP ルート更新でこれらの 501 個のルートを再アドバタイズした場合、Route Server はこれを 1,002 個のルートとして計算し、BGP セッションを破棄します。
どの自律システム番号 (ASN) を使用できますか。
ネットワーク仮想アプライアンス (NVA) で、独自のパブリック ASN またはプライベート ASN を使用できます。 Azure または IANA によって予約されている AS 番号を使用することはできません。
- Azure によって予約済みの ASN:
- パブリック ASN: 8074, 8075, 12076
- プライベート ASN: 65515, 65517, 65518, 65519, 65520
- IANA によって予約済みの ASN:
- 23456、64496-64511、65535-65551
32 ビット (4 バイト) の ASN を使用できますか。
いいえ。Azure Route Server でサポートされる ASN は、16 ビット (2 バイト) のみです。
Azure Route Server が複数の NVA から同じルートを受け取る場合、どのように処理されますか。
ルートの AS パスの長さが同じ場合、Azure Route Server は、仮想ネットワーク内の仮想マシン (VM) へのルートの複数のコピーを、それぞれ異なるネクスト ホップで作成します。 VM によってこのルートの宛先にトラフィックが送信されると、VM ホストによって等コスト マルチパス (ECMP) ルーティングが使用されます。 ただし、1つの NVA が、他の NVA よりも短い AS パスの長さでルートを送信した場合、Azure Route Server は、この NVA に対してネクスト ホップが設定されているルートのみを、仮想ネットワーク内の VM にプログラムします。
Azure Route Server の作成は、既存の仮想ネットワーク ゲートウェイ (VPN または ExpressRoute) の操作に影響しますか?
はい。 仮想ネットワーク ゲートウェイ (ExpressRoute または VPN) を含む仮想ネットワーク内でルート サーバーを作成または削除する場合、操作が完了するまでにダウンタイムが発生することが想定されます。 Route Server を作成または削除する仮想ネットワークに接続された ExpressRoute 回線がある場合、ダウンタイムは ExpressRoute 回線や他の仮想ネットワークへの接続に影響しません。
Azure Route Server は、NVA と仮想ネットワーク ゲートウェイ (VPN または ExpressRoute) の間で既定でルートを交換しますか?
いいえ。 既定では、Azure Route Server は NVA と仮想ネットワーク ゲートウェイから受信したルートを相互に伝達しません。 ルート サーバーは、ブランチ間 を有効にした後、これらのルートを交換します。
ExpressRoute、VPN、または SDWAN 経由で同じルートを学習するとき、どのネットワークが推奨されますか?
既定では、ExpressRoute 経由で学習されたルートは、VPN または SDWAN 経由で学習されたルートよりも優先されます。 Route Server のルート選択に影響を与えるルーティング優先設定を構成できます。 詳細については、「ルーティングの優先順位」を参照してください。
Azure VPN ゲートウェイが Azure Route Server と連携するための要件は何ですか?
Azure VPN ゲートウェイは、アクティブ/アクティブ モードで構成し、ASN が 65515 に設定されている必要があります。
VPN ゲートウェイで BGP を有効にする必要がありますか?
いいえ。 ルート サーバーと通信するために VPN ゲートウェイで BGP を有効にする必要はありません。
2 つのピアリングされた仮想ネットワーク内の 2 つのルート サーバーをピアリングし、ルート サーバーに接続されている NVA が互いに通信可能となるようにできますか?
トポロジ: NVA1 -> RouteServer1 -> (VNet ピアリング経由) -> RouteServer2 -> NVA2
いいえ。Azure Route Server では、データ トラフィックは転送されません。 NVA を介したトランジット接続を有効にするには、NVA 間の直接接続 (IPsec トンネルなど) を設定し、動的なルート伝達にルート サーバーを使用します。
Azure Route Server を使用して、同じ仮想ネットワーク内のサブネット間でトラフィックを送信して、サブネット間のトラフィックを NVA 経由でフローさせることはできますか。
いいえ。 Azure Route Server は BGP を使用してルートをアドバタイズします。 仮想ネットワーク、仮想ネットワークのピアリング、または仮想ネットワーク サービス エンドポイントに関連したトラフィックに使用されるシステム ルートは、BGP のルートの方が具体的であったとしても、優先されるルートとなります。 引き続き、ユーザー定義ルート (UDR) を使用してルートを上書きする必要があります。また、BGP を利用してこれらのルートを迅速にフェールオーバーすることはできません。 フェールオーバーの場合には、サードパーティのソリューションを使用して、API 経由で UDR を更新するか、HA ポート モードで Azure Load Balancer を使用してトラフィックを送信する必要があります。
Azure Route Server を使用して、異なる仮想ネットワーク内のサブネット間のトラフィックを、NVA を使用してフローするように誘導できます。 "スポーク" 仮想ネットワークごとに 1 つのサブネットがあり、すべての "スポーク" 仮想ネットワークが "ハブ" 仮想ネットワークにピアリングされているという設計が機能する可能性があります。 この設計には非常に制限があり、スケーリングに関する考慮事項と仮想ネットワークとサブネット上の Azure の上限を考慮する必要があります。
"ブランチ間" が有効になっている場合、Azure Route Server では ExpressRoute とポイント対サイト (P2S) VPN ゲートウェイ接続の間での転送を提供できますか?
いいえ、Azure Route Server では、ExpressRoute とサイト間 (S2S) VPN ゲートウェイ接続の間での転送のみが提供されます ("ブランチ間" 設定が有効になっている場合)。
Virtual WAN ハブに接続されているスポーク仮想ネットワーク に Azure Route Server を作成できますか?
いいえ。 仮想 WAN ハブに接続されている場合、スポーク仮想ネットワークに Azure Route Server を配置することはできません。
制限事項
仮想ネットワークにはいくつの Azure Route Server を作成できますか。
仮想ネットワーク内に作成できるルート サーバーは 1 つだけです。 ルート サーバーは、RouteServerSubnet という名前の専用サブネットにデプロイする必要があります。
UDR を RouteServerSubnet に関連付けることはできますか?
いいえ、Azure Route Server は、RouteServerSubnet 上でのユーザー定義ルート (UDR) の構成をサポートしていません。 Azure Route Server は、ネットワーク仮想アプライアンス (NVA) と仮想マシン (VM) の間でデータ トラフィックをルーティングしません。
ネットワーク セキュリティ グループ (NSG) を RouteServerSubnet に関連付けることはできますか?
いいえ、Azure Route Server では、 RouteServerSubnet サブネットへのネットワーク セキュリティ グループの関連付けはサポートされていません。
Azure Route Server の制限
Azure Route Server には、(デプロイごとに) 次の制限があります。
リソース | 制限 |
---|---|
BGP ピアの数 | 8 |
各 BGP ピアで Azure Route Server にアドバタイズできるルートの数 1 | 1,000 |
Azure Route Server で対応できる、仮想ネットワークの最大 VM 数 (ピアリングされた仮想ネットワークの数を含む) | 4,000 |
Azure Route Server でサポートできる仮想ネットワークの数 | 500 |
Azure Route Server でサポートできるオンプレミスおよび Azure Virtual Network のプレフィックスの合計数 | 10,000 |
1 NVA によって制限より多くのルートが公開された場合、BGP セッションは削除されます。
Note
[ブランチ間] が有効になっている場合に、VNet アドレス空間と Route Server から ExpressRoute 回線にアドバタイズされるルートの合計数は、1,000 を超えてはなりません。 詳細については、ExpressRoute の「ルート アドバタイズの制限」を参照してください。
仮想マシンでのルーティングの問題のトラブルシューティングについては、「Azure 仮想マシンのルーティングの問題を診断する」を参照してください。
次のステップ
Azure Route Server を構成する方法を確認します。