複数のサブスクリプションによる ExpressRoute 回線の共有
このポストは、11 月 18 日に投稿された Enabling Multiple Subscriptions to Share an ExpressRoute Circuit の翻訳です。
5 月の ExpressRoute の公開以来、ExpressRoute 回線に複数の VNET をリンクすることが可能になりました。ただしこれは、VNET と回線が同じサブスクリプションに属している場合に限られていました。ExpressRoute は現在までに、多くの企業のお客様に導入されています。お客様によっては、ExpressRoute 経由で何百というサイトを Azure に接続しているケースもあります。ExpressRoute の導入に伴い数多くのフィードバックが寄せられましたが、中でも重要なご要望だったのが、複数のサブスクリプション間で単一の ExpressRoute 回線を共有できるようにしてほしいというものでした。企業のお客様の多くが複数のサブスクリプションをご利用になる理由としては、次のようなものがあります。
- 各サブスクリプションが個別に請求される: 企業では、部門独自の請求ポリシーを設けている場合があるため、各部門で独自のサブスクリプションを作成しています。
- 各サブスクリプションが個別に管理される:企業では、部門によってセキュリティおよびコンプライアンスの要件が異なる場合があるため、各部門で独自のサブスクリプションを所有し管理する必要があります。
このようなお客様が 1 つのサブスクリプションを使用する ExpressRoute 回線を作成する際には、別のサブスクリプションの VNET も同一の回線へリンクすることが必要となります。今後は、このシナリオがサポートされるようになります。この記事では、シナリオ、要件、ワークフローの詳細についてご説明します。
シナリオ
Contoso 社では、各部門で独自の Azure サブスクリプションを所有しています。同社の IT 部門は、ExpressRoute 回線を購入し、オンプレミス ネットワークと Azure 上の IT 部門の VNET を接続しました。さらに営業、マーケティング、エンジニアリングの各部門の VNET も、同じ回線を使用してオンプレミス ネットワークに接続したいと考えています。
要件
単一の ExpressRoute 回線に接続する場合、すべての VNET が同じルーティング ドメイン (英語) に属している必要があります。また、VNET の IP アドレスは重複できません。
ワークフロー
ステップ 1
他のサブスクリプションの管理者が特定の回線を使用できるように、回線所有者が承認を行います。
PS C:\> New-AzureDedicatedCircuitLinkAuthorization -ServiceKey '6ed7e310-1a02-4261-915f-6ccfedc416f1' -Description 'SalesTeam' -Limit 2 -MicrosoftIds 'salesadmin@contoso.com'
Description : SalesTeam
Limit : 2
LinkAuthorizationId : e2bc2645-6fd4-44a4-94f5-f2e43e6953ed
MicrosoftIds : salesadmin@contoso.com
Used : 0
上記の例では、回線の管理者 (Contoso IT) が別のサブスクリプションの管理者 (Contoso Sales) の Microsoft (Live) ID を指定し、回線に最大 2 つまでの VNET のリンクを許可しています。
コマンドレットから指定した Microsoft ID にメールが送信されることはありません。そのため、回線所有者は承認が完了した旨を別のサブスクリプションの所有者に明示的に通知する必要があります。
ステップ 2
回線所有者から通知を受けたら、承認されたサブスクリプションの管理者は次のコマンドレットを実行して回線のサービス キーを取得することができます。
# 指定された Microsoft ID を使用してサインインします
PS C:\> Add-AzureAccount
PS C:\> Get-AzureAuthorizedDedicatedCircuit
Bandwidth : 100
CircuitName : ContosoIT
Location : Washington DC
MaximumAllowedLinks : 2
ServiceKey : 6ed7e310-1a02-4261-915f-6ccfedc416f1
ServiceProviderName : ###########
ServiceProviderProvisioningState : Provisioned
Status : Enabled
UsedLinks : 0
この例では、Contoso Sales の管理者は指定された Microsoft ID (salesadmin@contoso.com) を使用して最初にサインインする必要があります。
ステップ 3
承認されたサブスクリプションの管理者は次のコマンドレットを実行してリンク処理を完了させます。
PS C:\> New-AzureDedicatedCircuitLink –servicekey 6ed7e310-1a02-4261-915f-6ccfedc416f1 –VnetName ‘SalesVNET1’
State VnetName
----- --------
Provisioned SalesVNET1
必要な手順は以上です。これで、IT 部門が作成し、所有する回線に Azure 上の営業部門の VNET がリンクされました。
承認の管理
回線所有者は、回線の使用を承認したユーザーを確認することができます。また、いつでも承認を取り消すことができます。
PS C:\> Get-AzureDedicatedCircuitLinkAuthorization -ServiceKey: 6ed7e310-1a02-4261-915f-6ccfedc416f1
Description : EngineeringTeam
Limit : 3
LinkAuthorizationId : cc958457-c8c1-4f16-af09-e7f099da64bf
MicrosoftIds : engadmin@contoso.com
Used : 1
Description : MarketingTeam
Limit : 1
LinkAuthorizationId : d972726f-c7b9-4658-8598-ad3208ac9348
MicrosoftIds : marketingadmin@contoso.com
Used : 0
Description : SalesTeam
Limit : 2
LinkAuthorizationId : e2bc2645-6fd4-44a4-94f5-f2e43e6953ed
MicrosoftIds : salesadmin@contoso.com
Used : 2
PS C:\> Remove-AzureDedicatedCircuitLinkAuthorization -ServiceKey '6ed7e310-1a02-4261-915f-6ccfedc416f1' -AuthorizationId 'e2bc2645-6fd4-44a4-94f5-f2e43e6953ed'
回線所有者が LinkAuthorizationId を指定して承認を取り消すと、その承認によって許可されていたすべてのリンクが即座に削除されます。ExpressRoute 回線を経由してリンクされていた VNET とオンプレミス ネットワークの接続は失われます。
この記事で使用した PowerShell コマンドレットの詳細については、MSDN のこちらのページ (英語) を参照してください。
この新機能によって、ExpressRoute の管理や使用がより簡単になれば幸いです。ぜひ皆様のご意見、ご質問をお寄せください。