パッケージ コンテンツ
Azure Modular Datacenter (MDC) ソリューションには、この記事で参照している追加のネットワーク機器が付属しています。 この機器は、コンテナーをネットワークに接続するために使用されます。
お使いの環境に合ったスイッチ オプティクスを確認してください。
| Quantity | タイプ | Model |
|---|---|---|
| 12 | 12x QSFP-40G | "SR" |
| 12 | 12 x SFP+ 10 GB | "SR" |
| 12 | 12 x SFP 1G | "SR" |
| 12 | QSFP-40G × 12個 | "LR" |
| 12 | 12 x SFP+ 10 GB | "LR" |
| 12 | 12 x SFP 1G | "LR" |
ネットワーク設計の概要
物理ネットワークの設計
MDC ソリューションには、その操作やサービスをサポートするための回復性と可用性の高い物理インフラストラクチャが必要です。 Top-of-Rack (ToR) から境界スイッチへのアップリンクは、SFP+ または SFP28 メディア、および 1 GB、10 GB、または 40 GB の速度に制限されます。
MDC の推奨される設計を次の図に示します。
論理ネットワークの設計
論理ネットワークの設計は、物理ネットワーク インフラストラクチャの抽象化を表します。 これらは、ホスト、仮想マシン (VM)、およびサービスへのネットワーク割り当てを整理および簡略化するために使用されます。 論理ネットワークの作成の一環として、次のものを定義するためにネットワーク サイトが作成されます。
- 仮想ローカル エリア ネットワーク (VLAN)
- IP サブネット
- IP サブネットと VLAN のペア
これらの VLAN とサブネットはすべて、物理的な各場所にある論理ネットワークに関連付けられています。
次の表は、論理ネットワークと、計画する必要がある関連付けらた IPv4 サブネット範囲を示します。
| 論理ネットワーク | 説明 | サイズ |
|---|---|---|
| パブリック仮想 IP (VIP) | MDC により、このネットワークから合計 31 個のアドレスが使用されます。 少数の MDC サービスに 8 個のパブリック IP アドレスが使用され、残りはテナント VM によって使用されます。 Azure App Service と SQL リソース プロバイダーを使用する場合は、さらに 7 個のアドレスを使用します。 残りの 15 個の IP アドレスは、将来の Azure サービスのために予約されています。 | /26 (62 ホスト) - /22 (1022 ホスト) 推奨 = /24 (254 ホスト) |
| スイッチのインフラストラクチャ | ルーティングを目的としたポイント ツー ポイント IP アドレス (スイッチ管理専用インターフェイス) と、スイッチに割り当てられたループバック アドレス。 | /26 |
| インフラストラクチャ | MDC 内部コンポーネントの通信に使用されます。 | /24 |
| 非公開企業 | ストレージ ネットワーク、プライベート VIP、インフラストラクチャ コンテナー、およびその他の内部機能のために使用されます。 | /20 |
| ベースボード管理コントローラー (BMC) | 物理ホスト上の BMC との通信に使用します。 | /26 |
| Isilon | Isilon ストレージとの通信に使用されます。 | 1x /25 TOR、1x /25 BMC (管理) |
ネットワーク インフラストラクチャ
MDC 用のネットワーク インフラストラクチャは、スイッチ上に構成されたいくつかの論理ネットワークから成ります。 次の図は、これらの論理ネットワークと、それらが Top-of-Rack (TOR)、BMC、および境界 (カスタマー ネットワーク) スイッチとどのように統合されているかを示しています。
BMC ネットワーク
このネットワークは、すべての BMC (サービス プロセッサとも呼ばれます) を管理ネットワークに接続するための専用ネットワークです。 例として、iDRAC、iLO、iBMC などがあります。 どの BMC ノードとの通信にも、1 つの BMC アカウントだけが使用されます。 存在する場合は、ハードウェア ライフサイクル ホスト (HLH) がこのネットワーク上に配置され、ハードウェアのメンテナンスまたは監視のための OEM 固有のソフトウェアが提供される可能性があります。
HLH では、デプロイメント仮想マシン (DVM) もホストされます。 DVM は MDC のデプロイ中に使用され、デプロイが完了すると削除されます。 接続されたデプロイのシナリオでは、DVM には、複数のコンポーネントのテスト、検証、およびアクセスのためにインターネット アクセスが必要です。 これらのコンポーネントは、企業ネットワークの内外に配置できます。 例としては、NTP、ドメイン ネーム システム (DNS)、Azure などがあります。 接続の要件の詳細については、MDC ファイアウォールの統合のネットワーク アドレス変換 (NAT) に関するセクションを参照してください。
プライベート ネットワーク
/20 (4096 個のホスト IP) ネットワークは、MDC リージョンに対してプライベートです。 MDC リージョンの境界スイッチ デバイスを超えて拡張されることはありません。 このネットワークは、複数のサブネットに分割されます。次に例を示します。
- ストレージ ネットワーク: ストレージ スペース ダイレクトおよびサーバー メッセージ ブロック (SMB) ストレージ トラフィックの使用や VM のライブ マイグレーションをサポートするために使用される /25 (128 のホスト IP) ネットワーク。
- 内部仮想 IP ネットワーク: ソフトウェア ロード バランサーの内部専用 VIP 専用の /25 ネットワーク。
- 今テナーネットワーク: インフラストラクチャ サービスを実行しているコンテナー間の内部トラフィックのみを対象とする専用 /23 (512 IP) ネットワーク。
プライベート ネットワークのサイズは、プライベート IP 空間の /20 (4096 個の IP) です。 このネットワークは、MDC システムに対してプライベートです。 MDC システムの境界スイッチ デバイスを超えてルーティングが行われることはなく、複数の MDC システムで再利用できます。 ネットワークは MDC に対してプライベートですが、データセンター内の他のネットワークと重複することはできません。 プライベート IP 空間のガイダンスについては、RFC 1918 に従うことをお勧めします。
/20 プライベート IP 空間は複数のネットワークに分割されており、それにより将来のリリースにおいて MDC システム インフラストラクチャをコンテナー上で実行できるようになります。 このプライベート IP 空間によって、デプロイ前に必要となるルーティング可能な IP 空間を減少させるための継続的な作業が可能になります。
MDC インフラストラクチャ ネットワーク
/24 ネットワークは、内部の MDC コンポーネントが互いに通信したりデータを交換したりできるように、これらのコンポーネント専用です。 このサブネットは、MDC ソリューションの外部のデータセンターにルーティングできます。 パブリックまたはインターネットにルーティング可能な IP アドレスをこのサブネットで使用しないことをお勧めします。 このネットワークは境界にアドバタイズされますが、そのほとんどの IP はアクセス制御リストによって保護されています。 アクセスできる IP は、サイズが /27 ネットワークに相当する小さい範囲内です。 これらの IP により、特権エンドポイント (PEP) や MDC バックアップなどのサービスがホストされます。
パブリック VIP ネットワーク
パブリック VIP ネットワークは、MDC 内のネットワーク コントローラーに割り当てられます。 これはスイッチ上の論理ネットワークではありません。 SLB はアドレスのプールを使用して、テナント ワークロードに /32 ネットワークを割り当てます。 スイッチのルーティング テーブルにおいて、これらの /32 IP は Border Gateway Protocol (BGP) 経由で使用可能なルートとしてアドバタイズされます。 このネットワークには、外部からアクセスできるパブリック アドレスが含まれています。 このパブリック VIP ネットワークの最初の 31 個のアドレスは MDC インフラストラクチャによって予約され、残りはテナント VM によって使用されます。 このサブネット上のネットワーク サイズは、最小 /26 (64 個のホスト) から最大 /22 (1,022 個のホスト) までの範囲があります。 /24 ネットワークを計画することをお勧めします。
スイッチ インフラストラクチャ ネットワーク
/26 ネットワークは、ルーティング可能な Point-to-Point IP /30 (2 つのホスト IP) サブネットと Loopback が含まれるサブネットです。 これらのサブネットは、インバンド スイッチ管理と BGP ルーター ID 専用の /32 サブネットです。 この範囲の IP アドレスを、MDC ソリューションの外部のデータセンターにルーティング可能にする必要があります。 IP アドレスは、プライベートまたはパブリックのどちらでもかまいません。
スイッチ管理ネットワーク
/29 (6 個のホスト IP) ネットワークは、スイッチの管理ポートの接続専用です。 このネットワークにより、デプロイ、管理、トラブルシューティングのためのアウトオブバンド アクセスが可能になります。 これは、前のセクションで説明したスイッチ インフラストラクチャ ネットワークから計算されます。
Isilon ネットワーク
2 つの /25 ネットワークがあります。 1 つは TOR スイッチ上にあり、もう 1 つの /25 は管理用の BMC スイッチで使用されるネットワークです。
DNS の設計の概要
MDC の外部から MDC エンドポイント (portal、adminportal、management、および adminmanagement) にアクセスするには、MDC DNS サービスを、MDC で使用したい DNS ゾーンがホストされている DNS サーバーと統合する必要があります。
MDC DNS 名前空間
MDC ソリューションをデプロイするとき、DNS に関するいくつかの重要な情報を指定する必要があります。
| フィールド | 説明 | 例 |
|---|---|---|
| リージョン | MDC のデプロイの地理的な場所。 | 東 |
| 外部ドメイン名 | MDC のデプロイに使用するゾーンの名前。 | cloud.fabrikam.com |
| 内部ドメイン名 | MDC でのインフラストラクチャ サービスに使用される内部ゾーンの名前。 ディレクトリ サービスと統合されており、プライベートです (MDC のデプロイの外部からはアクセスできません)。 | azurestack.local |
| DNS フォワーダー | MDC の外部 (企業イントラネットまたはパブリック インターネット上のどちらか) でホストされている DNS クエリ、DNS ゾーンおよびレコードを転送するために使用される DNS サーバー。 デプロイ後に Set-AzSDnsForwarder コマンドレットを使用して、DNS フォワーダーの値を編集できます。 | |
| 名前付けのプレフィックス (省略可能) | MDC インフラストラクチャのロール インスタンス マシンの名前に使用する名前付けのプレフィックス。 指定されていない場合、既定値は azs です。 | azs |
MDC のデプロイの完全修飾ドメイン名 (FQDN) とエンドポイントは、リージョン パラメーターと外部ドメイン名パラメーターの組み合わせです。 前の表に示した例の値を使用すると、この MDC のデプロイの FQDN は east.cloud.fabrikam.com のようになります。
このデプロイのエンドポイントは次の URL のようになります。
https://portal.east.cloud.fabrikam.comhttps://adminportal.east.cloud.fabrikam.com
この例の DNS 名前空間を MDC のデプロイに使用するには、次の条件を満たしている必要があります。
- ゾーン fabrikam.com が、ドメイン レジストラー、社内 DNS サーバー、またはその両方に登録されています。 登録は、名前解決の要件によって異なります。
- 子ドメイン cloud.fabrikam.com が、ゾーン fabrikam.com の下に存在します。
- ゾーン fabrikam.com と cloud.fabrikam.com をホストする DNS サーバーに、MDC のデプロイから到達できます。
MDC の外部から MDC のエンドポイントとインスタンスの DNS 名を解決するには、DNS サーバーを統合する必要があります。 MDC 用の外部 DNS ゾーンがホストされているサーバーと、使用する親ゾーンがホストされている DNS サーバーを含みます。
DNS 名ラベル
MDC により、パブリック IP アドレスへの DNS 名ラベルの追加がサポートされており、パブリック IP アドレスの名前を解決できます。 DNS ラベルは、MDC でホストされているアプリとサービスにユーザーが名前でアクセスできる便利な方法です。 DNS 名ラベルでは、インフラストラクチャ エンドポイントとはわずかに異なる名前空間が使用されます。 前の名前空間の例に従うと、DNS 名ラベルの名前空間は *.east.cloudapp.cloud.fabrikam.com になります。
テナントがパブリック IP アドレス リソースの DNS 名ラベル フィールドで MyApp を指定した場合、MDC の外部 DNS サーバー上にあるゾーン east.cloudapp.cloud.fabrikam.com 内の myapp に対する A レコードが作成されます。 結果の FQDN は myapp.east.cloudapp.cloud.fabrikam.com になります。
この機能を活用し、この名前空間を使用する場合は、DNS サーバーを統合する必要があります。 MDC 用の外部 DNS ゾーンがホストされているサーバーと、使用する親ゾーンがホストされている DNS サーバーも含みます。 この名前空間は、MDC サービス エンドポイントに使用されるものとは異なるため、追加の委任または条件付き転送ルールを作成する必要があります。
DNS 名ラベルのしくみの詳細については、MDC のドキュメントにある "DNS の使用" に関する説明を参照してください。
解決と委任
DNS サーバーには次の 2 種類があります。
- 権限のある DNS サーバーは、DNS ゾーンをホストします。 このサーバーは、これらのゾーン内のレコードに対する DNS クエリのみに応答します。
- 再帰 DNS サーバーは、DNS ゾーンをホストしません。 このサーバーは、権限のある DNS サーバーを呼び出して必要なデータを収集することで、すべての DNS クエリに応答します。
MDC には、権限のある DNS サーバーと再帰 DNS サーバーの両方が含まれます。 再帰サーバーは、その MDC のデプロイの内部プライベート ゾーンと外部パブリック DNS ゾーンを除くすべての名前の解決に使用されます。
MDC からの外部 DNS 名の解決
MDC の外部にあるエンドポイントの DNS 名 (たとえば www.bing.com) を解決するには、MDC が権限を持たない DNS 要求を転送できるよう、MDC に DNS サーバーを提供する必要があります。 MDC が要求を転送する先の DNS サーバーが、デプロイ ワークシート (DNS フォワーダー フィールド) に必要です。 フォールト トレランスのために、このフィールドには 2 つ以上のサーバーを入力します。 これらの値がないと、MDC のデプロイは失敗します。 デプロイ後に Set-AzSDnsForwarder コマンドレットを使用して、DNS フォワーダーの値を編集できます。
ファイアウォールの設計の概要
ファイアウォール デバイスを使って、MDC を保護することをお勧めします。 ファイアウォールは、分散型サービス拒否 (DDoS) 攻撃に対する防御、侵入検出、コンテンツ検査などに役立ちます。 同時に、これが BLOB、テーブル、キューなどの Azure ストレージ サービスのスループットのボトルネックになる場合もあります。
切断されたデプロイ モードを使用する場合は、Active Directory フェデレーション サービスのエンドポイントを発行する必要があります。 詳細については、データ センターの統合の ID に関する記事をご覧ください。
Azure Resource Manager (管理者)、管理者ポータル、Azure Key Vault (管理者) のエンドポイントには、外部発行が必ずしも必要というわけではありません。 たとえば、サービス プロバイダーはインターネットからではなく、ネットワークの内部からのみ MDC を管理することによって、攻撃対象領域を制限できます。
企業組織では、外部のネットワークは既存の企業ネットワークを指定できます。 このシナリオでは、企業ネットワークから MDC を操作するにはエンドポイントを公開する必要があります。
ネットワーク アドレス変換
デプロイ時の DVM から外部リソースへのアクセスを許可するには、NAT メソッドを使用することをお勧めします。 また、登録とトラブルシューティングの間の、緊急回復コンソール (ERCS) VM または PEP についても NAT をお勧めします。
また、外部ネットワークやパブリック VIP におけるパブリック IP アドレスに代わる働きとして NAT を利用することもできます。 テナントのユーザー エクスペリエンスが制限され、複雑さも増すため、このオプションはお勧めしません。 1 つオプションは、引き続きプール上のユーザー IP ごとに 1 つのパブリック IP が必要な 1 対 1 の NAT です。 もう 1 つのオプションは、ユーザーが使用する可能性のあるすべてのポートのユーザー VIP ごとに NAT 規則が必要な多対 1 の NAT です。
パブリック VIP に NAT を使うことには、いくつか不利な点もあります。
- ファイアウォール規則を管理するときのオーバーヘッド。ユーザーが、ソフトウェア定義ネットワーク スタック内の独自のエンドポイントと公開規則を管理するためです。 ユーザーは MDC オペレーターと連絡をとって、自分の VIP を公開させ、ポート リストを更新する必要があります。
- NAT の使用によりユーザー エクスペリエンスは制限されますが、オペレーターは公開要求を完全に管理できます。
- Azure でのハイブリッド クラウド シナリオの場合、NAT を使うエンドポイントへの VPN トンネルの設定が Azure ではサポートされていないことを考慮します。
SSL インターセプト
現在は、すべての MDC トラフィックで SSL インターセプト (解読のオフロードなど) を無効にすることをお勧めします。 将来の更新でサポートされた場合は、MDC に対して SSL インターセプトを有効にする方法のガイダンスが提供される予定です。
エッジ デプロイ ファイアウォールのシナリオ
エッジ デプロイの場合、MDC はエッジ ルーターまたはファイアウォールのすぐ内側にデプロイされます。 このようなシナリオでは、ファイアウォールを境界の上に配置することがサポートされます (シナリオ 1)。この場合、アクティブ/アクティブとアクティブ/パッシブの両方のファイアウォール構成がサポートされます。 また、境界デバイスとして機能することもできます (シナリオ 2)。この場合は、アクティブ/アクティブ ファイアウォール構成のみがサポートされます。 シナリオ 2 は、フェールオーバーのために BGP または静的ルーティングでの等コスト マルチパスに依存します。
パブリックにルーティング可能な IP アドレスは、デプロイ時に、外部ネットワークからのパブリック VIP プールに対して指定されます。 セキュリティのため、エッジのシナリオでは、他のどのネットワークでもパブリックにルーティング可能な IP を使用することは推奨されません。 このシナリオでは、Azure などのパブリック クラウドでのエクスペリエンスのような、完全に自己管理型のクラウドを体験できます。
企業イントラネットまたは境界ネットワークのファイアウォール シナリオ
企業イントラネットまたは境界デプロイの場合、MDC のデプロイ先は、マルチゾーン ファイアウォールか、またはエッジ ファイアウォールと内部の企業ネットワーク ファイアウォールとの間になります。 そのトラフィックは、次に示すようにセキュア ゾーン、境界ネットワーク ゾーン (DMZ)、セキュリティ保護なしゾーンに分散されます。
- セキュア ゾーン: ルーティング可能な内部 (または企業) IP アドレスを使用した内部ネットワークです。 セキュリティで保護されたネットワークは分割できます。 ファイアウォール NAT 経由でインターネットに送信アクセスできます。 通常、内部ネットワークを介してデータセンター内からアクセスできます。 外部ネットワークのパブリック VIP プールを除き、すべての MDC ネットワークは、セキュア ゾーン内に存在する必要があります。
- 境界ゾーン: 通常、境界ネットワークには、Web サーバーなど、外部 (インターネットに公開される) アプリがデプロイされます。 通常、DDoS や侵入 (ハッキング) などの攻撃を防ぐためにファイアウォールによって監視され、インターネットからは指定した受信トラフィックが引き続き許可されます。 MDC の外部ネットワークのパブリック VIP プールだけが、DMZ ゾーン内に存在している必要があります。
- セキュリティで保護されていないゾーン: 外部ネットワーク、インターネット。 Microsoft では、セキュリティ保護されていないゾーンに MDC をデプロイすることは推奨されていません。
VPN の設計の概要
VPN はユーザーの概念ですが、ソリューションの所有者とオペレーターが知っておく必要のある重要な考慮事項がいくつかあります。
Azure 仮想ネットワークとオンプレミスのサイトとの間でネットワーク トラフィックを送信する前に、仮想ネットワーク用の仮想ネットワーク (VPN) ゲートウェイを作成する必要があります。
VPN ゲートウェイは、パブリック接続で暗号化されたトラフィックを送信する仮想ネットワーク ゲートウェイの一種です。 VPN ゲートウェイを使用して、MDC 内の仮想ネットワークと Azure 内の仮想ネットワーク間で、安全にトラフィックを送信できます。 また、仮想ネットワークと、VPN デバイスに接続されている別のネットワーク間で安全にトラフィックを送信することもできます。
仮想ネットワーク ゲートウェイを作成する場合、作成するゲートウェイの種類を指定する必要があります。 MDC により、仮想ネットワーク ゲートウェイの 1 つの種類である VPN がサポートされます。
各仮想ネットワークに配置できる仮想ネットワーク ゲートウェイは 2 つですが、種類はいずれか 1 つのみになります。 選択する設定によっては、1 つの VPN ゲートウェイへの複数の接続を作成できます。 この種類の設定の一例は、マルチサイト接続構成です。
MDC 用に VPN ゲートウェイを作成して構成する前に、MDC ネットワークに関する考慮事項を確認してください。 MDC の構成と Azure の違いについて理解してください。
Azure では、選択する VPN ゲートウェイ SKU の帯域幅スループットが、ゲートウェイに接続されるすべての接続に分配される必要があります。 一方、MDC の場合は、VPN ゲートウェイ SKU の帯域幅の値が、ゲートウェイに接続される各接続リソースに適用されます。 例えば次が挙げられます。
- Azure では、Basic VPN ゲートウェイ SKU で、約 100 Mbps の総スループットに対応できます。 その VPN ゲートウェイへの接続を 2 つ作成し、1 つの接続で 50 Mbps の帯域幅を使用する場合、もう 1 つの接続では 50 Mbps を使用できます。
- MDC の場合は、Basic VPN ゲートウェイ SKU への各接続に、100 Mbps のスループットが割り当てられます。
VPN の種類
VPN Gateway 構成に対して仮想ネットワーク ゲートウェイを作成する場合は、VPN の種類を指定する必要があります。 選択する VPN の種類は、作成する接続トポロジによって異なります。 VPN の種類は、使用しているハードウェアによっても異なる場合があります。 サイト間構成には、VPN デバイスが必要です。 一部の VPN デバイスでは、特定の VPN の種類のみがサポートされます。
重要
現在、MDC によってサポートされているのは、ルート ベースの VPN の種類のみです。 デバイスがポリシー ベースの VPN のみに対応している場合、MDC からそれらのデバイスへの接続はサポートされません。 カスタムの IPSec/IKE ポリシー構成はサポートされていないため、現時点で MDC ではルート ベース ゲートウェイに対するポリシー ベース トラフィック セレクターの使用はサポートされていません。
- ポリシー ベースの VPN は、IPsec ポリシーに基づいて IPsec トンネルを介してパケットを暗号化して直接送信します。 ポリシーは、オンプレミス ネットワークと MDC 仮想ネットワークの間で、アドレス プレフィックスの組み合わせによって構成されます。 VPN デバイスの構成では、通常このポリシー (またはトラフィック セレクター) がアクセス リストになります。 PolicyBased は Azure ではサポートされていますが、MDC ではサポートされていません。
- RouteBased: ルートベースの VPN は、IP 転送またはルーティング テーブルで構成されているルートを使用します。 ルートにより、対応するトンネル インターフェイスにパケットが送信されます。 その後、トンネル インターフェイスではトンネルの内部または外部でパケットを暗号化または復号します。 RouteBased VPN のポリシー (またはトラフィック セレクター) は、Any-to-Any (またはワイルドカードを使用して) 構成できます。 既定では変更できません。 RouteBased VPN の種類の値は RouteBased です。
VPN ゲートウェイの構成
VPN Gateway 接続は、特定の設定で構成された複数のリソースに依存します。 ほとんどのリソースは個別に構成できますが、一定の順序で構成する必要がある場合があります。
設定
リソースごとに選択する設定は、適切な接続を作成するうえで非常に重要です。
この記事は、次のことを理解するのに役立ちます。
- ゲートウェイの種類、VPN の種類、接続の種類。
- ゲートウェイ サブネット、ローカル ネットワーク ゲートウェイ、および考慮する場合がある他のリソースの設定。
接続トポロジの図
VPN ゲートウェイ接続では、さまざまな構成を利用できます。 どの構成が自分のニーズに最適かを判断します。 以下のセクションでは、次の VPN ゲートウェイ接続に関する情報とトポロジの図を確認できます。
- 利用可能なデプロイメント モデル
- 利用可能な構成ツール
- 記事に直接移動するリンク (利用可能な場合)
以降のセクションの図と説明は、要件を満たす接続トポロジを選択するために役立ちます。 図は主要なベースライン トポロジを示していますが、図をガイドとして使用して、より複雑な構成を構築することもできます。
サイト間とマルチサイト (IPsec/IKE VPN トンネル)
サイト間
サイト間 VPN ゲートウェイ接続とは、IPsec/IKE (IKEv2) VPN トンネルを介した接続です。 この種類の接続では、オンプレミスに配置され、パブリック IP アドレスが割り当てられている、VPN デバイスが必要です。 このデバイスを NAT の内側に配置することはできません。 サイト間接続は、クロスプレミスおよびハイブリッド構成に使用できます。
マルチサイト
マルチサイト接続は、サイト間接続の一種です。 仮想ネットワーク ゲートウェイから複数の VPN 接続を作成し、通常は複数のオンプレミスのサイトに接続します。 複数の接続を使用する場合は、(クラシック仮想ネットワークを使用する際に動的ゲートウェイと呼ばれる) ルートベースの VPN の種類を使用する必要があります。 各仮想ネットワークに配置できる VPN ゲートウェイは 1 つのみであるため、ゲートウェイを経由するすべての接続は、使用可能な帯域幅を共有します。
Gateway の SKU
MDC 用の仮想ネットワーク ゲートウェイを作成するときは、使用するゲートウェイ SKU を指定します。 以下の VPN ゲートウェイ SKU がサポートされています。
- ベーシック
- スタンダード
- 高パフォーマンス
選択するゲートウェイ SKU が高いほど、より多くの CPU とネットワーク帯域幅がゲートウェイに割り当てられます。 その結果、ゲートウェイは、仮想ネットワークに対してより高いネットワーク スループットをサポートできます。
MDC の場合、Ultra Performance ゲートウェイ SKU はサポートされていません。これは、Azure ExpressRoute 専用です。 SKU を選択する場合は、次の点を考慮してください。
- MDC の場合、ポリシー ベースのゲートウェイはサポートされていません。
- BGP は、Basic SKU ではサポートされていません。
- ExpressRoute と VPN ゲートウェイが共存する構成は、MDC においてはサポートされていません。
ゲートウェイの可用性
高可用性シナリオは、ハイ パフォーマンス ゲートウェイ接続 SKU 上でのみ構成できます。 アクティブ/アクティブとアクティブ/パッシブの両方の構成で可用性を提供する Azure とは異なり、MDC の場合はアクティブ/パッシブ構成のみがサポートされています。
フェールオーバー
MDC には 3 つのマルチ テナント ゲートウェイ インフラストラクチャの VM があります。 これらの VM のうち 2 つはアクティブ モードです。 3 つ目の VM は冗長モードです。 アクティブな VM ではその上に VPN 接続を作成できます。 冗長 VM ではフェールオーバーが発生した場合に VPN 接続のみを受け入れます。 アクティブなゲートウェイ VM が使用できなくなった場合、短い時間 (数秒) 接続が失われた後に、VPN 接続が冗長 VM にフェールオーバーします。
SKU の予測される合計スループット
次の表は、ゲートウェイの種類と、ゲートウェイ SKU によって予測される合計スループットを示したものです。
| ゲートウェイの種類 | VPN ゲートウェイのスループット (1) | VPN ゲートウェイの IPsec トンネルの最大数 (2) |
|---|---|---|
| Basic SKU (3) | 100 Mbps | 20 |
| スタンダードSKU | 100 Mbps | 20 |
| 高性能 SKU | 200 Mbps | 10 |
表の注記:
(1) インターネット経由でのクロスプレミス接続の場合、VPN スループットは保証されたスループットではありません。 この値は、達成可能な最大スループットです。
(2) トンネルの最大数は、すべてのサブスクリプションに対する MDC のデプロイごとの合計です。
(3) Basic SKU に対しては BGP ルーティングはサポートされません。
重要
2 つの MDC のデプロイ間に作成できるのは、サイト間 VPN 接続だけです。 この制限は、同じ IP アドレスに対して許容される VPN 接続が 1 つだけであるというプラットフォームの制限によるものです。 MDC によって使用されるマルチテナント ゲートウェイの場合、その MDC システム内のすべての VPN Gateway に対して単一のパブリック IP が使用されるため、2 つの MDC システムの間に存在できる VPN 接続は 1 つだけです。
この制限は、単一の IP アドレスを使用する VPN ゲートウェイに複数のサイト間 VPN 接続を接続する場合にも当てはまります。 MDC を使用して、同じ IP アドレスを使用する複数のローカル ネットワーク ゲートウェイ リソースを作成することはできません。
IPsec/IKE パラメーター
MDC で VPN 接続を設定する場合、両端で接続を構成する必要があります。 MDC とハードウェア デバイスの間に VPN 接続を構成する場合、そのデバイスによって追加の設定が要求されることがあります。 たとえば、デバイスから VPN ゲートウェイとして機能するスイッチやルーターが要求される場合があります。
イニシエーターとレスポンダーの両方として複数のオファーがサポートされる Azure とは異なり、MDC の場合は、既定では 1 つのオファーだけがサポートされます。 VPN デバイスを操作するために異なる IPsec/IKE 設定を使用する必要がある場合は、接続を手動で構成するために使用できる設定が他にもあります。
IKE フェーズ 1 (メイン モード) のパラメーター
| プロパティ | 価値 |
|---|---|
| IKE のバージョン | IKEv2 |
| Diffie-hellman グループ | ECP384 |
| 認証方法 | 事前共有キー |
| 暗号化 & ハッシュ アルゴリズム | AES256、SHA384 |
| SA の有効期間 (時間) | 28,800 秒 |
IKE フェーズ 2 (クイック モード) のパラメーター
| プロパティ | 価値 |
|---|---|
| IKE のバージョン | IKEv2 |
| 暗号化 & ハッシュ アルゴリズム (暗号化) | GCMAES256 |
| 暗号化 & ハッシュ アルゴリズム (認証) | GCMAES256 |
| SA の有効期間 (時間) | 27,000 秒 |
| SA の有効期間 (キロバイト単位) | 33,553,408 |
| Perfect Forward Secrecy (PFS) | ECP384 |
| デッド ピア検出 | サポート |
カスタム IPsec/IKE 接続ポリシーを構成する
IPsec/IKE 標準プロトコルでは、幅広い暗号アルゴリズムがさまざまな組み合わせでサポートされています。 コンプライアンスまたはセキュリティ要件を満たすために MDC でサポートされているパラメーターを確認するには、「IPsec/IKE パラメーター」を参照してください。
この記事では、IPsec/IKE ポリシーを作成して構成し、新規または既存の接続に適用する方法を示します。
考慮事項
これらのポリシーを使用する際は、次の重要な考慮事項に注意してください。
- IPsec/IKE ポリシーは、Standard および High Performance (ルートベース) ゲートウェイ SKU でのみ機能します。
- ある特定の接続に対して指定できるポリシーの組み合わせは 1 つだけです。
- IKE (メイン モード) と IPsec (クイック モード) の両方について、すべてのアルゴリズムとパラメーターを指定する必要があります。 ポリシーを部分的に指定することはできません。
- オンプレミスの VPN デバイスでポリシーがサポートされることを、VPN デバイス ベンダーの仕様で確認してください。 ポリシーに対応していない場合、サイト対サイト接続を確立することはできません。
IPsec/IKE ポリシーを作成して設定するためのワークフロー
このセクションでは、サイト間 VPN 接続に関する IPsec/IKE ポリシーの作成と更新を行うために必要なワークフローについて説明します。
- 仮想ネットワークと VPN ゲートウェイを作成します。
- クロスプレミス接続用のローカル ネットワーク ゲートウェイを作成します。
- 選択したアルゴリズムとパラメーターを使用して IPsec/IKE ポリシーを作成します。
- IPsec/IKE ポリシーを使用する IPSec 接続を作成します。
- 既存の接続に対して、IPsec/IKE ポリシーを追加、更新、または削除します。
サポートされる暗号アルゴリズムとキーの強度
次の表は、サポートされている暗号アルゴリズムと、MDC のユーザーが構成できるキーの強度を一覧にしたものです。
| IPsec/IKEv2 | オプション |
|---|---|
| IKEv2 暗号化 | AES256、AES192、AES128、DES3、DES |
| IKEv2 整合性 | SHA384、SHA256、SHA1、MD5 |
| DH グループ | ECP384、ECP256、DHGroup14、DHGroup2048、DHGroup2、DHGroup1、なし |
| IPsec 暗号化 | GCMAES256、GCMAES192、GCMAES128、AES256、AES192、AES128、DES3、DES、なし |
| IPsec 整合性 | GCMASE256、GCMAES192、GCMAES128、SHA256、SHA1、MD5 |
| PFS グループ | PFS24、ECP384、ECP256、PFS2048、PFS2、PFS1、なし |
| QM SA の有効期間 | (オプション: 指定されていない場合、既定値が使用されます。) |
| 秒 (整数、最小値 300 秒、既定値 27,000 秒) | |
| キロバイト数 (整数、最小値 1,024 キロバイト、既定値 102,400,000 キロバイト) | |
| トラフィック セレクター | MDC においてはポリシーベースのトラフィック セレクターはサポートされていません。 |
ご使用のオンプレミス VPN デバイスの構成は、Azure IPsec/IKE ポリシーで指定した次のアルゴリズムおよびパラメーターと一致している (または含んでいる) 必要があります。
- IKE 暗号化アルゴリズム (メイン モード/フェーズ 1)。
- IKE 整合性アルゴリズム (メイン モード/フェーズ 1)。
- DH グループ (メイン モード/フェーズ 1)。
- IPsec 暗号化アルゴリズム (クイック モード/フェーズ 2)。
- IPsec 整合性アルゴリズム (クイック モード/フェーズ 2)。
- PFS グループ (クイック モード/フェーズ 2)。
- SA の有効期間はローカルの指定のみです。 一致している必要はありません。
IPsec 暗号化アルゴリズム用として GCMAES を使用する場合は、IPsec 整合性に、同じ GCMAES アルゴリズムとキーの長さを選択する必要があります。 たとえば、両方に GCMAES128 を使用します。
上記の表では、
- IKEv2 はメイン モードまたはフェーズ 1 に対応しています。
- IPsec はクイック モードまたはフェーズ 2 に対応しています。
- DH グループは、メイン モードまたはフェーズ 1 で使用される Diffie-Hellman グループを指定します。
- PFS グループは、クイック モードまたはフェーズ 2 で使用される Diffie-Hellman グループを指定します。
- MDC VPN ゲートウェイの場合、IKEv2 メイン モード SA の有効期間は 28,800 秒に固定されています。
以下の表は、カスタム ポリシーでサポートされている、対応する Diffie-Hellman グループを示したものです。
| Diffie-hellman グループ | DHGroup | PFSGroup | キーの長さ |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | 768 ビット MODP |
| 2 | DHGroup2 | PFS2 | 1024 ビット MODP |
| 14 | DHGroup14 | PFS2048 | 2048 ビット MODP |
| DHGroup2048 | |||
| 19 | ECP256 | ECP256 | 256 ビット ECP |
| 20 | ECP384 | ECP384 | 384 ビット ECP |
| 24 | DHGroup24 | PFS24 | 2048 ビット MODP |
Azure ExpressRoute を使用して MDC を Azure に接続する
概要と前提条件
Azure ExpressRoute を使用すると、オンプレミスのネットワークを Microsoft クラウドに拡張できます。 接続プロバイダーによって提供されるプライベート接続を使用します。 ExpressRoute は、パブリック インターネットを経由する VPN 接続ではありません。
Azure ExpressRoute の詳細については、ExpressRoute の概要に関するページを参照してください。
前提条件
この記事では、以下のことを前提としています。
- Azure に関する実用的な知識。
- MDC に関する基礎的な知識。
- ネットワークに関する基礎的な知識。
前提条件
ExpressRoute を使用して MDC と Azure を接続するには、次の要件を満たしている必要があります。
- 接続プロバイダー経由でプロビジョニングされている ExpressRoute 回線があること。
- Azure で ExpressRoute 回線と仮想ネットワークを作成するための Azure サブスクリプションがあること。
- 次の内容が確実に備わっているルーターがあること:
- LAN インターフェイスと Azure Stack マルチテナント ゲートウェイの間のサイト間 VPN 接続がサポートされている。
- MDC のデプロイに複数のテナントが存在する場合に、複数の仮想ルーティングおよび転送のインスタンスを作成することができる。
- 次の内容が備わっているルーターがあること:
- ExpressRoute 回線に接続された WAN ポート。
- MDC マルチテナント ゲートウェイに接続された LAN ポート。
ExpressRoute ネットワークのアーキテクチャ
次の図は、この記事の例に従って ExpressRoute の設定を完了した後の MDC と Azure の環境を示したものです。
