ハイブリッド クラウド ネットワーク
従来のマルチサイト オンプレミス ネットワークでは複数のブランチ オフィスを本社に接続することが必要になる場合があります。 同様に、ハイブリッド クラウド ネットワークでは、適切なテクノロジを使用して、オンプレミスのユーザー、アプリケーション、データを、クラウドでホストされているアプリケーションおよびデータにシームレスに相互接続する必要があります。
このシナリオでは、Tailwind Traders は、オンプレミスの場所を、Azure で実行されているリソースに安全な方法で接続できる必要があります。 Tailwind Traders はこれを実現する必要があります。そうすることにより、スタッフにとって、Tailwind Traders のオンプレミスのデータセンターで実行されているワークロードへのアクセスと Azure で実行されているワークロードへのアクセスとの間に実質的な違いがなくなります。
このユニットでは、オンプレミスとクラウドのリソースを単一のハイブリッド クラウドにまとめてネットワーク接続できるようにするネットワーク テクノロジについて学習します。
Azure VPN とは
Azure VPN ゲートウェイにより、パブリック インターネット経由でセキュアな VPN トンネルを使用して、オンプレミス ネットワークを Azure に接続できます。 Azure VPN 接続は、ブランチ オフィスと本社の場所の間に存在している場合がある従来の VPN 接続に似ています。 各仮想ネットワークに配置できる VPN ゲートウェイは 1 つだけですが、各 VPN ゲートウェイでは複数の接続がサポートされます。
次の図は、オンプレミス ネットワークの境界ゲートウェイ デバイスと、Azure 仮想ネットワーク上の VPN ゲートウェイ間の接続を示しています。 これは、Azure Stack デバイスと VPN ゲートウェイ間の接続を示しています。
Tailwind Traders の例では、Azure VPN ゲートウェイを使用することで、Azure ExpressRoute 接続によって提供されるような専用リンクを必要とせずに、小規模のブランチ サイトから接続できるようになります。 Azure VPN ゲートウェイの主な欠点は、インターネット サービス プロバイダー (ISP) のインターネット接続に依存していることです。 ISP で障害が発生した場合、VPN 接続を確立できません。 同様に、ISP で大規模な輻輳が発生した場合、オンプレミスの場所と Azure 間の VPN 接続の速度が低下する可能性があります。
ブランチ サイト間に既存の VPN 接続がある組織では、専用 VPN 接続によって発生する課題にすでに直面しています。
Azure ExpressRoute とは
Microsoft Azure ExpressRoute を使用すると、組織はオンプレミス ネットワークから Azure への専用の高速プライベート接続を確立できます。 この接続は、パブリック インターネットを経由しません。 機能的には、オンプレミスの場所から最寄りの Azure データセンターまでを直接つなぐ専用の光ファイバー回線です。
VPN ゲートウェイと異なり、この接続を提供する機器は ExpressRoute プロバイダーによって管理されます。 ExpressRoute プロバイダーによって、すべての機器が管理されるため、Azure VPN ゲートウェイ接続のユーザーが使用できない信頼性と帯域幅に関して、サービスレベル アグリーメント (SLA) を提供できます。
次の図は、オンプレミスの環境と Azure で実行されているワークロードとの間の ExpressRoute 接続を示しています。 ExpressRoute プロバイダーによって、ExpressRoute 回線とローカル エッジ ルーターが管理されます。
ExpressRoute により、オンプレミス環境と Azure 間に専用の帯域幅接続が提供されるだけでなく、組織は、機密性の高いトラフィックが確実にパブリック インターネットを通過しないようにすることができます。 これは、インターネット経由で特定の種類の情報を送信することがガバナンス要件によって禁止されている管轄区域で重要になります。
ケース スタディ例では、Tailwind Traders は、メルボルン、シドニー、オークランドなど、より多くの人がいる大規模なオフィスから ExpressRoute 接続を実装する可能性があります。 また、コンプライアンス要件のために、インターネット経由で転送できない特定の種類のデータを処理する場合にも、ExpressRoute を使用することが必要になる可能性があります。
ハイブリッド DNS とは
ハイブリッド クラウドを実装する場合は、オンプレミスのワークロードでクラウド ワークロードのアドレスを解決し、クラウド ワークロードでオンプレミスのワークロードのアドレスを解決できることを保証する必要があります。 ハイブリッド クラウドのドメイン ネーム システム (DNS) のデプロイには、通常、オンプレミスと Azure で DNS サーバーが必要です。 さらに、オンプレミスとクラウド間で DNS ゾーンの転送を構成する必要があります。 別の方法として、オンプレミスの DNS ゾーンが、Azure で実行されているワークロードに関連付けられた DNS ゾーンと分離されている場合に、DNS フォワーダーを構成します。
次の図は、Azure で実行されている DNS サーバーに DNS 情報をレプリケートするオンプレミスの DNS サーバーを示しています。 このシナリオでは、Azure で仮想マシン (VM) を DNS サーバーとしてデプロイします。 この図では、オンプレミスの DNS は、VM の DNS サーバーによってハブ サブスクリプションに接続します。 その他の Azure サブスクリプションは、ハブ サブスクリプションに接続します。
または、Azure DNS Private Resolver は、VM ベースの DNS サーバーをデプロイすることなく、オンプレミス環境から Azure DNS プライベート ゾーンに対して (またはその逆方向に) クエリを実行できるサービスです。 プライベート リゾルバー サービスはフル マネージドであり、高可用性機能が組み込まれています。
Tailwind Traders では、Azure DNS Private Resolver を使って、Azure で実行されているすべてのワークロードで、Tailwind Traders の内部ネットワーク上にあるホストの DNS 名が確実に解決されるようにすることができます。 また、Tailwind Traders のすべての内部ネットワーク ホストでも、クラウドで実行されているワークロードの DNS 名を確実に解決できます。
Azure Virtual WAN とは
Azure Virtual WAN により、組織はハブアンドスポーク アーキテクチャで Azure のネットワークを使用できるようになります。 Azure のネットワークは、スポークとして機能するエンドポイント間の推移的な接続のハブとして機能します。
従来、各ブランチ オフィスで本社サイトへの VPN 接続を使用するネットワーク トポロジがある場合があります。 トラフィックが、あるブランチ オフィスから別のブランチ オフィスに渡される場合、ハブ サイトを通過してそこに到達します。 本社とブランチ オフィス サイトがすべて、VPN または ExpressRoute によって Azure に接続される場合、これらの接続はスポークを形成できます。 Azure Virtual WAN は、オンプレミスの場所間のトラフィックのルーティング ハブとして機能できます。
次の図は、Azure Virtual WAN トポロジを示しています。
Azure Virtual WAN により、Tailwind Traders では、ブランチ オフィスと、シドニー、メルボルン、およびオークランドのデータセンターの場所を接続するために、VPN 接続を使用することをやめることができます。 これは、各ブランチ オフィスおよびデータセンターが Azure に VPN または ExpressRoute 接続できるトポロジを提供します。 Azure Virtual WAN サービスにより、場所間のトラフィックのルーティングが管理されます。