インターネット接続の設計に関する考慮事項
Azure VMware Solution からインターネットへの送信アクセスを作成し、Azure VMware Solution プライベート クラウド上のリソースへの受信インターネット アクセスを実現するには、3 つの主要なパターンが存在します。
- Azure でホストされているインターネット サービス
- Azure VMware Solution のマネージド SNAT
- NSX Data Center Edge への Azure パブリック IPv4 アドレス
セキュリティ制御、可視性、容量、操作に関する要件によって、Azure VMware Solution プライベート クラウドへのインターネット アクセスを提供するための適切な方法の選択が促進されます。
Azure でホストされているインターネット サービス
Azure で既定のルートを生成し、Azure VMware Solution プライベート クラウドまたはオンプレミスに送信する方法は複数あります。 オプションは次のとおりです。
- Virtual WAN ハブの Azure ファイアウォール。
- Virtual WAN ハブ スポーク仮想ネットワーク内のサードパーティ製ネットワーク仮想アプライアンス。
- Azure Route Server を使用したネイティブ Azure 仮想ネットワーク内のサードパーティ製ネットワーク仮想アプライアンス。
- Global Reach 経由でオンプレミスから Azure VMware Solution に転送される既定のルート。
これらのパターンのいずれかを使用して、送信 SNAT サービスで許可されるソースを制御したり、接続ログを表示したり、一部のサービスについてさらにトラフィック検査を行ったりできるようにします。
同じサービスで Azure パブリック IP を使用し、インターネットから Azure VMware Solution のターゲットに向けて受信 DNAT を作成することもできます。
インターネット トラフィック用に複数のパスを利用する環境を構築することもできます。 1 つは送信 SNAT (サードパーティのセキュリティ NVA など) 用、もう 1 つは受信 DNAT (リターン トラフィックに SNAT プールを使用するサードパーティのロード バランサー NVA など) 用です。
Azure VMware Solution のマネージド SNAT
マネージド SNAT サービスを使用すると、Azure VMware Solution プライベート クラウドからの送信インターネット アクセスを簡単に実現できます。 このサービスの機能は次のとおりです。
- 簡単な有効化 – [インターネット接続] タブのラジオ ボタンを選択すると、すべてのワークロード ネットワークが直ちに SNAT ゲートウェイを介してインターネットへの送信アクセスを行えるようになります。
- SNAT ルールを制御することはできません。SNAT サービスに到達するすべてのソースが許可されます。
- 接続ログは表示できません。
- 最大 128k の同時送信接続をサポートするために、2 つのパブリック IP が使用され、ローテーションされます。
- Azure VMware Solution マネージド SNAT では、受信 DNAT 機能は使用できません。
NSX Edge への Azure パブリック IPv4 アドレス
このオプションでは、NSX Edge で使用するための Azure パブリック IPv4 アドレスが直接割り当てられます。 これにより、Azure VMware Solution プライベート クラウドでは、必要に応じて NSX のパブリック ネットワーク アドレスを直接使用して適用できます。 これらのアドレスは、次の種類の接続に使用されます。
- 送信 SNAT
- 受信 DNAT
- VMware NSX Advanced Load Balancer およびその他のサードパーティのネットワーク仮想アプライアンスを使用した負荷分散
- ワークロード VM インターフェイスに直接接続されるアプリケーション。
このオプションを使用すると、サードパーティ製ネットワーク仮想アプライアンスでパブリック アドレスを構成して、Azure VMware Solution プライベート クラウド内に DMZ を作成することもできます。
次のような機能が含まれます。
- スケール – アプリケーションで必要な場合は、64 個という Azure パブリック IPv4 アドレスのソフト制限を 1,000 個の Azure パブリック IP の割り当てにまで増加することを要求できます。
- 柔軟性 – Azure パブリック IPv4 アドレスは、NSX エコシステム内のどの場所にも適用できます。 これを使って SNAT または DNAT を提供したり、VMware の NSX Advanced Load Balancer などのロード バランサーや、サードパーティ製ネットワーク仮想アプライアンスで使用したりできます。 また、VMware セグメント上のサードパーティ製ネットワーク仮想セキュリティ アプライアンス上で使用したり、VM 上で直接使用したりすることもできます。
- 地域性 – NSX Edge に対する Azure パブリック IPv4 アドレスは、ローカル SDDC に固有です。 インターネットへのローカル出口を意図した “分散リージョン内のマルチ プライベート クラウド” のためには、セキュリティや Azure でホストされる SNAT サービスのために既定のルート伝達を制御しようとするよりも、トラフィックをローカルで転送する方が簡単です。 パブリック IP が構成された Azure VMware Solution プライベート クラウドが 2 つ以上接続されている場合は、それらすべてがローカル出口を持つことができます。
オプションの選択に関する考慮事項
お客様が選択するオプションは、以下の要因によって異なります。
- Azure ネイティブでプロビジョニングされた、Azure ネイティブ エンドポイントからのすべてのインターネット トラフィックを検査するセキュリティ検査ポイントに Azure VMware プライベート クラウドを追加するには、Azure ネイティブ構造を使用し、Azure から Azure VMware Solution プライベート クラウドに既定のルートをリークします。
- セキュリティ検査や合理的な運営費のための既存の標準に準拠するためにサードパーティのネットワーク仮想アプライアンスを実行する必要がある場合は、2 つのオプションがあります。 既定のルート手法を使用して Azure ネイティブで Azure パブリック IPv4 アドレスを実行するか、NSX Edge に対する Azure パブリック IPv4 アドレスを使用して Azure VMware Solution でそれを実行することができます。
- ネイティブ Azure で実行したり、Azure Firewall でプロビジョニングしたりするネットワーク仮想アプライアンスに割り当てることができる Azure パブリック IPv4 アドレスの数には、スケールの制限があります。 NSX Edge に対する Azure パブリック IPv4 アドレス オプションの方がより多くの数を割り当てることができます (1,000 個対 100 個)。
- ローカル リージョン内で各プライベート クラウドからインターネットへのローカライズされた出口を確保するには、NSX Edge に対する Azure パブリック IPv4 アドレスを使用します。 相互およびインターネットと通信する必要がある、複数の Azure リージョンの複数の Azure VMware Solution プライベート クラウドを使用する場合、Azure VMware Solution プライベート クラウドと Azure のセキュリティ サービスを一致させるのは困難な場合があります。 その難しさは、Azure からの既定のルートの動作方法が原因です。
重要
仕様上、NSX でのパブリック IPv4 アドレスでは、ExpressRoute プライベート ピアリング接続を介した Azure/Microsoft 所有のパブリック IP アドレスの交換は行えません。 つまり、ExpressRoute 経由でパブリック IPv4 アドレスを顧客 VNet またはオンプレミス ネットワークに公開することはできません。 Azure VMware Solution プライベート クラウドが ExpressRoute 経由で接続されている場合でも、NSX トラフィックを含むすべてのパブリック IPv4 アドレスはインターネットを経由する必要があります。 詳細については、「ExpressRoute 回線ピアリング」を参照してください。
次のステップ
Azure VMware Solution ワークロードのマネージド SNAT を有効にする