Azure Virtual WAN とは

完了

Azure Virtual WAN は、ネットワーク、セキュリティ、ルーティングのための統一されたフレームワークです。

あなたは、Contoso が一般的なハブとスポークのネットワークから移行する方法を調査しています。 Azure リージョン間で使用される Azure Virtual WAN と Virtual WAN ハブは、有望なソリューションであると思われます。

Virtual WAN ハブは、ブランチ、仮想ネットワーク、リモート ユーザーに接続ができます。 ハブによって、現在の Contoso ネットワークにスケールと強化されたパフォーマンスが提供されます。

ハブとスポークのトポロジとはどのようなものか

このネットワーク トポロジはスター トポロジ、あるいはハブおよびスポークと呼ばれ、多くの場合、従来のサイト間 WAN サービスとして使用されます。

Contoso は、Azure を使用して WAN を地理的に拡張することを検討しています。 Azure のネットワークは世界に広がり、Azure のグローバルな高速バックボーンを使って多数のデータセンターが相互に接続されています。

最初に、サービスを Azure に移行すると、仮想マシン (VM) と接続するための仮想ネットワークが作成されます。 オンプレミスのネットワークに Azure VPN ゲートウェイが接続されます。

Azure portal を使用して仮想 WAN を作成すると、そのコンポーネントとして、仮想ハブ、仮想ネットワーク、ゲートウェイ (オプション) が作成されます。

この仮想ハブは、オンプレミス ネットワークおよび他の仮想ネットワークに接続するための中心点として機能します。 スポークは、ハブとピアリングされる仮想ネットワークです。

リージョンおよびグローバルの仮想ネットワーク ピアリングがサポートされています。 仮想ネットワーク ピアリングとは、仮想ネットワークどうしを相互接続することです。 接続の目的では、仮想ネットワークは 1 つのものとして表示されます。 ハブとスポークは、VPN ゲートウェイまたは ExpressRoute を使って接続されます。

このピアリングを使用すると、多数の場所を接続できます。 より多くの場所と WAN を追加するほど、ネットワークの複雑さが増します。 すべてのネットワーク接続、お客様が管理する仮想ハブ、およびピアリング プロセスを追跡することは、困難になるおそれがあります。

Azure Virtual WAN は、これらすべてのポイントを管理するための単一のインターフェイスを提供することで、この問題に対処しています。 ソフトウェアによるハイ パフォーマンスの Virtual WAN ハブも追加されます。

Azure Virtual WAN

Azure Virtual WAN は、ハブとスポークのアーキテクチャです。 Virtual WAN は、Microsoft が管理する Azure ベースのネットワーク サービスです。

このサービスを構成するすべてのコンポーネントは Microsoft がホストし、管理します。 簡単にデプロイして使用でき、次のサービスが提供されます。

  • 仮想ネットワークにグローバルに分散されたワークロードへの Any-to-Any 接続が可能になります
  • 接続するものは次のとおりです。
    • ポイント対サイト VPN を使用する自宅作業およびモバイルのユーザー
    • サイト間 VPN を使用するブランチ オフィス
    • プライベート接続に ExpressRoute を使用する主要な拠点とデータ センター

Azure リージョンで有効になった Virtual WAN ハブは、ネットワーク ハブとして機能します。 これらのハブは、フルメッシュ統合で接続されています。 この統合により、グローバルに分散したワークロードへの Any-to-Any 接続アクセスがサポートされます。

仮想マシンの使用を開始するには:

  • 現在、多数のスポークをサポートしている Azure リージョンに単一の仮想 WAN を作成します。
  • リージョンのスポークをハブに接続し、それから他のリージョンをハブに接続します。 ハブはリージョン接続のための接続ポイントになります。

Azure Virtual WAN ハブ

従来のハードウェア ハブを使用する場合、それに接続されているすべてのネットワーク デバイス相互の直接通信が可能です。 Virtual WAN ハブは、ソフトウェアによる高度なハブです。

Azure Virtual WAN ハブは、すべての Azure リージョンにデプロイできます。 各ハブは、標準の Azure 接続サービスを使用するように接続できます。

たとえば、英国の Azure リージョンにあるブランチ オフィスを米国のリージョンに接続できます。 これらの接続には、Azure グローバル ネットワークを介したハブ間の接続を使用します。

複数のハブがデプロイされた、複数のリージョンにまたがる単一の仮想 WAN においては、ハブ間のリンクによってハブが自動的に相互接続されます。 これらの相互接続により、ブランチおよび仮想ネットワークへのグローバル接続が可能になります。

次の図は、別々の Azure リージョンに 2 つの仮想ハブがある Azure 仮想 WAN のデプロイと、ネットワーク トラフィックのフローを示しています。

Azure Virtual WAN が Any-to-Any 接続、カスタム ルーティング、セキュリティを提供する方法を示す図。

仮想ハブのセキュリティ保護

仮想ハブをセキュリティで保護された仮想ハブに変換するには、Azure Firewall Manager を使用します。

Firewall Manager で作成されるファイアウォール規則を使用して、ネットワーク トラフィックに関するセキュリティとルーティングのポリシーを作成できます。 インターネットからのデータ フロー、プライベート IP アドレス、または Azure プラットフォーム サービスをフィルター処理できます。

Note

ファイアウォール経由でトラフィックをルーティングするためのユーザー定義のルートは必要ありません。

セキュリティで保護された仮想ハブによって、2 つのセキュリティ プロバイダーのプロビジョニングがサポートされています。

  • プライベート トラフィック用の Azure Firewall
  • Firewall Manager と統合されたサードパーティのセキュリティ プロバイダー

仮想ハブ、またはセキュリティで保護された仮想ハブは、仮想 WAN のリージョン接続ポイントです。 これらのハブで複数のサービス エンドポイントがサポートされます。 エンドポイントは、ネットワークとサービスの間の接続を提供するものです。 各リージョンのネットワークの中核です。