ExpressRoute デプロイのピアリングを構成する
ExpressRoute 回線には、関連するピアリング オプションとして Azure プライベートと Microsoft の 2 つがあります。 各ピアリングは、高可用性のために、ルーターのペアにまったく同様に (アクティブ/アクティブまたは負荷分散構成で) 構成されます。 Azure サービスは Azure Publicおよび Azure Privateとして分類され、IP アドレス指定スキームを表します。
ピアリング構成を作成する
- ExpressRoute 回線にプライベート ピアリングおよび Microsoft ピアリングを構成できます。 ピアリングは任意の順序で構成できます。 ただし、各ピアリングの構成は必ず一度に 1 つずつ完了するようにしてください。
- アクティブな ExpressRoute 回線が必要です。 ピアリングを構成するには、ExpressRoute 回線がプロビジョニングされて有効な状態になっている必要があります。
- 共有キーまたは MD5 ハッシュの使用を計画している場合は、必ずトンネルの両側でキーを使用してください。 制限は、最大 25 文字の英数字です。 特殊文字はサポートされていません。
プライベート ピアリングのみ、Microsoft ピアリングのみ、または両方を選択する
次の表で 2 つのピアリングを比較します。 パブリック ピアリングは、新しいピアリングには非推奨です。
| 機能 | プライベート ピアリング | Microsoft ピアリング |
|---|---|---|
| 最大 各ピアリングでサポートされるプレフィックスの最大数 | 既定 4,000、ExpressRoute Premium 10,000 | 200 |
| サポートされる IP アドレス範囲 | お客様の WAN 内の任意の有効な IP アドレス。 | お客様または接続プロバイダーが所有するパブリック IP アドレス。 |
| AS 番号の要件 | プライベートおよびパブリックの AS 番号。 いずれかを使用する場合はパブリックの AS 番号を所有している必要があります。 | プライベートおよびパブリックの AS 番号。 ただし、パブリック IP アドレスの所有権を証明する必要があります。 |
| サポート対象 IP プロトコル | IPv4、IPv6 (プレビュー) | IPv4、IPv6 |
| ルーティング インターフェイスの IP アドレス | RFC1918 およびパブリック IP アドレス | ルーティング レジストリに登録されているパブリック IP アドレス。 |
| MD5 ハッシュのサポート | はい | はい |
ExpressRoute 回線の一部として 1 つ以上のルーティング ドメインを有効にすることができます。 すべてのルーティング ドメインを 1 つのルーティング ドメインに取り込みたい場合は、同じ VPN 上に配置するように選択できます。 推奨構成は、プライベート ピアリングをコア ネットワークに直接接続し、パブリック ピアリングと Microsoft ピアリングのリンクを DMZ に接続する構成です。
各ピアリングには、個別の BGP セッションが必要です (ピアリングの種類ごとに 1 つのペア)。 BGP セッションのペアによって、高可用性リンクが実現されます。 レイヤー 2 接続プロバイダーを経由して接続している場合、ルーティングの構成と管理はお客様の責任となります。
重要
現在、プライベート ピアリングの IPv6 サポートはパブリック プレビューの段階にあります。 IPv6 ベースのプライベート ピアリングを構成して仮想ネットワークを ExpressRoute 回線に接続したい場合は、仮想ネットワークをデュアル スタックにし、Azure VNet での IPv6 に関するガイドラインに従ってください。
プライベート ピアリングを構成する
Azure Compute Services、つまり、仮想ネットワーク内にデプロイされる仮想マシンと、クラウド サービスには、プライベート ピアリング ドメイン経由で接続できます。 プライベート ピアリング ドメインは、お客様のコア ネットワークを Microsoft Azure に信頼できる方法で拡張したものです。 コア ネットワークと Azure Virtual Network (VNET) の間に双方向接続を設定できます。 このピアリングにより、仮想マシンとクラウド サービスにプライベート IP アドレスで直接接続できます。
プライベート ピアリング ドメインには複数の仮想ネットワークを接続できます。 制限に関する最新情報については、「 Azure サブスクリプションとサービスの制限、クォータ、制約 」ページをご覧ください。
Microsoft ピアリングを構成する
Microsoft オンライン サービス (Microsoft 365 および Azure PaaS サービス) への接続は、Microsoft ピアリング経由で行われます。 Microsoft ピアリングのルーティング ドメイン経由で、お客様の WAN と Microsoft クラウド サービスとの双方向接続を実現できます。 お客様または接続プロバイダーが所有するパブリック IP アドレスのみを使用して Microsoft クラウド サービスに接続する必要があり、定義されてするすべての規則を遵守する必要があります。
Microsoft ピアリングのためにルート フィルターを構成する
ルート フィルターとは、Microsoft ピアリングでサポートされるサービスの一部だけを利用する手段です。
Microsoft 365 サービス (Exchange Online、SharePoint Online、Skype for Business など) には、Microsoft ピアリングを介してアクセスできます。 ExpressRoute 回線に Microsoft ピアリングを構成すると、これらのサービスに関連したすべてのプレフィックスが、確立された BGP セッションを通じてアドバタイズされます。 提供されているサービスをプレフィックスで識別するために、すべてのプレフィックスには BGP コミュニティ値がアタッチされます。
Azure と Microsoft 365 のすべてのサービスに接続すると、多数のプレフィックスが BGP を通じてアドバタイズされます。 このようにプレフィックスが多数になると、ネットワーク内のルーターによって管理されるルート テーブルのサイズが著しく増加します。 Microsoft ピアリング経由で提供されるサービスの一部しか利用する予定がない場合は、ルート テーブルのサイズを 2 とおりの方法で減らすことができます。 次のようにすることができます。
- BGP コミュニティにルート フィルターを適用して不要なプレフィックスを除外する。 ルート フィルター処理はネットワーク運用の標準的技法であり、多くのネットワークで広く使用されています。
- ルート フィルターを定義して ExpressRoute 回線に適用する。 ルート フィルターは、Microsoft ピアリング経由で利用する予定の一連のサービスを選択できる新しいリソースです。 ExpressRoute ルーターからは、ルート フィルターで識別されたサービスに属しているプレフィックスのリストだけが送信されます。
ルート フィルターについて
ExpressRoute 回線に Microsoft ピアリングが構成されると、接続プロバイダーを介してご利用のエッジ ルーターとの間に一対の BGP セッションが Microsoft エッジ ルーターによって確立されます。 貴社のネットワークにはルートが一切アドバタイズされません。 ネットワークに対するルート アドバタイズを有効にするには、ルート フィルターを関連付ける必要があります。
ExpressRoute 回線の Microsoft ピアリング経由で利用するサービスがルート フィルターによって識別されます。 これは、実質的にはすべての BGP コミュニティ値から成る許可リストです。 ルート フィルター リソースを定義して ExpressRoute 回線にアタッチすると、BGP コミュニティ値にマッピングされたすべてのプレフィックスが貴社のネットワークにアドバタイズされます。
Microsoft 365 サービスにルート フィルターをアタッチするには、ExpressRoute 経由での Microsoft 365 サービスの利用に対する承認が必要となります。 ExpressRoute 経由で Microsoft 365 サービスを利用することが承認されていない場合、ルート フィルターをアタッチする操作は失敗します。