Azure Virtual WAN ハブでネットワーク仮想アプライアンスを作成する方法

この記事では、統合ネットワーク仮想アプライアンス (NVA) を Azure Virtual WAN ハブに配置する方法について説明します。

背景

Virtual WAN ハブに配置される NVA は、通常、次の 3 つのカテゴリに分類されます。

• 接続アプライアンス: オンプレミスからの VPN および SD-WAN 接続を終了するために使用されます。 接続アプライアンスは、Border Gateway Protocol (BGP) を使用して、Virtual WAN ハブとルートを交換します。
• 次世代ファイアウォール (NGFW) アプライアンス: ルーティング インテントと共に使用され、Virtual WAN ハブを通過するトラフィックに対して bump-in-the-wire 検査を提供します。
• デュアル ロール接続とファイアウォール アプライアンス: オンプレミス デバイスを Azure に接続し、ルーティング インテントを使用して Virtual WAN ハブを通過するトラフィックを検査する単一デバイス。

Virtual WAN ハブに配置できる NVA の一覧とそれぞれの機能については、Virtual WAN NVA パートナーに関する記事を参照してください。

展開メカニズム

ネットワーク仮想アプライアンスは、異なる種類のワークフローで配置される可能性があります。 ネットワーク仮想アプライアンス パートナーによって、サポートする配置メカニズムは異なります。 すべての Virtual WAN 統合 NVA パートナーは、Azure Marketplace マネージド アプリケーション ワークフローをサポートしています。 他の配置方法については、NVA プロバイダーのドキュメントを参照してください。

• Azure Marketplace マネージド アプリケーション: すべての Virtual WAN NVA パートナーは、Azure Managed Applications を使用して、Virtual WAN ハブに統合 NVA を配置します。 Azure Managed Applications は、NVA プロバイダーが作成した Azure portal エクスペリエンスを介して、NVA を Virtual WAN ハブに配置する簡単な方法を提供しています。 Azure portal エクスペリエンスにより、NVA の配置とブートストラップに必要な不可欠な配置および構成パラメーターが収集されます。 Azure Managed Applications の詳細については、マネージド アプリケーションのドキュメントを参照してください。 Azure マネージド アプリケーションを介した完全な配置ワークフローについては、プロバイダーのドキュメントを参照してください。
• NVA オーケストレーターの配置: 一部の NVA パートナーでは、NVA オーケストレーションまたは管理ソフトウェアから直接 NVA をハブに配置できます。 NVA オーケストレーション ソフトウェアから NVA を配置するには、通常、Azure サービス プリンシパルを NVA オーケストレーション ソフトウェアに提供する必要があります。 Azure サービス プリンシパルは、NVA オーケストレーション ソフトウェアが Azure API と対話してハブ内の NVA の配置と管理を行うために使用されます。 このワークフローは、NVA プロバイダーの実装に固有です。 詳細については、プロバイダーのドキュメントを参照してください。
• その他の配置メカニズム: NVA パートナーは、ARM テンプレートや Terraform など、ハブに NVA を配置するための他のメカニズムも提供している場合があります。 サポートされている他の配置メカニズムの詳細については、プロバイダーのドキュメントを参照してください。

前提条件

次のチュートリアルでは、少なくとも 1 つの Virtual WAN ハブを備えた Virtual WAN リソースが配置されていることを前提としています。 このチュートリアルでは、Azure Marketplace マネージド アプリケーション経由で NVA を配置していることも前提としています。

必要なアクセス許可

ネットワーク仮想アプライアンスを Virtual WAN ハブに配置するには、NVA の作成と管理を行うユーザーまたはサービス プリンシパルには、少なくとも次のアクセス許可が必要です。

• NVA が配置されている Virtual WAN ハブに対する Microsoft.Network/virtualHubs/read。
• NVA が配置されているリソース グループに対する Microsoft.Network/networkVirtualAppliances/write。
• インターネット受信ユース ケースでネットワーク仮想アプライアンスと共に配置されるパブリック IP アドレス リソースに対する Microsoft.Network/publicIpAddresses/join。

配置を確実に成功させるには、これらのアクセス許可を Azure Marketplace マネージド アプリケーションに付与する必要があります。 NVA パートナーが開発した配置ワークフローの実装によっては、他のアクセス許可が必要になる場合があります。

Azure マネージド アプリケーションへのアクセス許可の割り当て

Azure Marketplace マネージド アプリケーション経由で配置されるネットワーク仮想アプライアンスは、管理対象リソース グループという Azure テナント内の特殊なリソース グループに配置されます。 サブスクリプション内にマネージド アプリケーションを作成すると、対応する個別の管理対象リソース グループがサブスクリプション内に作成されます。 マネージド アプリケーション (ネットワーク仮想アプライアンスを含む) によって作成されたすべての Azure リソースは、管理対象リソース グループに配置されます。

Azure Marketplace は、管理対象リソース グループへのリソースの配置を実行するファーストパーティ サービス プリンシパルを所有しています。 このファーストパーティ プリンシパルには、管理対象リソース グループ内にリソースを作成するアクセス許可がありますが、管理対象リソース グループの外部にある Azure リソースを読み取る、更新する、または作成するアクセス許可はありません。

NVA の配置が十分なアクセス許可レベルで実行されるようにするには、Azure Marketplace 配置サービス プリンシパルに追加のアクセス許可を付与します。このためには、ネットワーク仮想アプライアンスで使用する Virtual WAN ハブおよびパブリック IP アドレスに対するアクセス許可を持つユーザー割り当てマネージド ID を使用して、マネージド アプリケーションを配置します。 このユーザー割り当てマネージド ID は、管理対象リソース グループ内のリソースの初期配置にのみ使用され、そのマネージド アプリケーションの配置のコンテキストでのみ使用されます。

Note

Virtual WAN ハブにネットワーク仮想アプライアンスを配置するために、ユーザー割り当てシステム ID のみを Azure Managed Applications に割り当てることができます。 システム割り当て ID はサポートされていません。

1. 新しいユーザー割り当て ID を作成する。 新しいユーザー割り当て ID を作成する手順については、マネージド ID のドキュメントを参照してください。 既存のユーザー割り当て ID を使用することもできます。
2. ユーザー割り当て ID にアクセス許可を割り当てて、NVA プロバイダーが必要とするアクセス許可に加え、少なくとも必要なアクセス許可のセクションに記載されている以上のアクセス許可を持つようにします。 ユーザー割り当て ID に、必要なアクセス許可のスーパーセットを含むネットワーク共同作成者などの組み込みの Azure ロールを付与することもできます。

または、次のサンプル定義を使用してカスタム ロールを作成し、そのカスタム ロールをユーザー割り当てマネージド ID に割り当てることもできます。

{  
"Name": "Virtual WAN NVA Operator", 
  "IsCustom": true,
  "Description": "Can perform deploy and manage NVAs in the Virtual WAN hub.",
  "Actions": [
    "Microsoft.Network/virtualHubs/read",
    "Microsoft.Network/publicIPAddresses/join",
    "Microsoft.Network/networkVirtualAppliances/*",
    "Microsoft.Network/networkVirtualAppliances/inboundSecurityRules/*"    
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
    "/subscriptions/{subscription where Virtual Hub and NVA is deployed}",
    "/subscriptions/{subscription where Public IP used for NVA is deployed}",
  ]
}

NVA の配置

次のセクションでは、Azure Marketplace マネージド アプリケーションを使用してネットワーク仮想アプライアンスを Virtual WAN ハブに配置するために必要な手順について説明します。

1. Virtual WAN ハブに移動し、[サード パーティ プロバイダー] の下の [ネットワーク仮想アプライアンス] を選択します。

2. [ネットワーク仮想アプライアンスの作成] を選択します。

3. NVA ベンダーを選択します。 この例では、"fortinet-ngfw" が選択されており、[作成] を選択します。 この時点で、NVA パートナーの Azure Marketplace マネージド アプリケーションにリダイレクトされます。

4. マネージド アプリケーションの作成エクスペリエンスに従って NVA を配置し、プロバイダーのドキュメントを参照します。 前のセクションで作成したユーザー割り当てシステム ID が、マネージド アプリケーション作成ワークフローの一部として選択されていることを確認します。

一般的な配置エラー

アクセス許可エラー

Note

LinkedAuthorizationFailed に関連付けられたエラー メッセージには、不足しているアクセス許可が 1 つだけ表示されます。 そのため、サービス プリンシパル、マネージド ID、またはユーザーに割り当てられたアクセス許可を更新しても、別の不足しているアクセス許可が表示されることがあります。

• エラー コード LinkedAuthorizationFailed のエラー メッセージが表示された場合は、マネージド アプリケーションの配置の一部として提供されたユーザー割り当て ID に適切なアクセス許可が割り当てられていません。 不足している正確なアクセス許可は、エラー メッセージに記載されています。 次の例では、NVA の配置を試行している Virtual WAN ハブに対して、そのユーザー割り当てマネージド ID に読み取りアクセス許可があることを再確認しています。

The client with object id '<>' does not have authorization to perform action 'Microsoft.Network/virtualHubs/read' over scope '/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>' or the scope is invalid. If access was recently granted, please refresh your credentials

次のステップ

• Virtual WAN の詳細については、「Virtual WAN とは」を参照してください。
• Virtual WAN ハブでの NVA の詳細については、「Virtual WAN ハブのネットワーク仮想アプライアンスについて」を参照してください。