Azure のハブスポーク ネットワーク トポロジ

Network Watcher
ファイアウォール
Virtual Network
Bastion
VPN Gateway

この参照アーキテクチャでは、Azure でのハブスポーク トポロジの詳細を示します。 ハブ仮想ネットワークは、多くのスポーク仮想ネットワークに接続するための中心的なポイントとして機能します。 ハブは、オンプレミス ネットワークへの接続ポイントとしても使用できます。 スポーク仮想ネットワークはハブとピアリングし、ワークロードを分離するために使用できます。

アーキテクチャ

Azure のハブスポーク トポロジ

このアーキテクチャの Visio ファイルをダウンロードします。

ワークフロー

アーキテクチャ*は、次のアスペクト*で構成されています:

  • ハブ仮想ネットワーク: ハブ仮想ネットワークは、オンプレミス ネットワークへの接続の中心となるポイントです。 これは、スポーク仮想ネットワークでホストされているさまざまなワークロードが使用できるサービスをホストする場所です。

  • スポーク仮想ネットワーク: スポーク仮想ネットワークは、専用の仮想ネットワークにワークロードを分離するために使用され、他のスポークとは別に管理されます。 各ワークロードには複数の階層が含まれる場合があります。これらの階層には、Azure ロード バランサーを使用して接続されている複数のサブネットがあります。

  • 仮想ネットワーク ピアリング:ピアリング接続を使用して、2 つの仮想ネットワークを接続できます。 ピアリング接続は、仮想ネットワーク間の待機時間の短い非推移的な接続です。 ピアリングが完了すると、仮想ネットワークにより Azure のバックボーンを使用してトラフィックが交換されます。ルーターは必要ありません。

  • Bastion ホスト: Azure Bastion を使用すると、ブラウザーと Azure portal を使用して仮想マシンに安全に接続できます。 Azure Bastion ホストは、Azure Virtual Network 内にデプロイされ、仮想ネットワーク (VNet) 内の仮想マシンまたはピアリングされた VNet 内の仮想マシンにアクセスできます。

  • Azure Firewall: Azure Firewall は、サービスとしてのマネージド ファイアウォールです。 Firewall のインスタンスは、独自のサブネットに配置されます。

  • VPN 仮想ネットワーク ゲートウェイまたは ExpressRoute ゲートウェイ。 仮想ネットワーク ゲートウェイでは、オンプレミス ネットワークとの接続に使用する VPN デバイス (ExpressRoute 回線) に仮想ネットワークを接続できます。 詳細については、「オンプレミス ネットワークを Microsoft Azure 仮想ネットワークに接続する」を参照してください。

  • VPN デバイス: オンプレミス ネットワークへの外部接続を提供するデバイスまたはサービス。 VPN デバイスは、ハードウェア デバイスの場合もあれば、Windows Server 2012 のルーティングとリモート アクセス サービス (RRAS) などのソフトウェア ソリューションの場合もあります。 詳細については、サイト間 VPN Gateway 接続用の VPN デバイスに関するページを参照してください。

コンポーネント

  • Azure Virtual Network。 Azure Virtual Network (VNet) は、Azure 内のプライベート ネットワークの基本的な構成要素です。 VNet により、Azure Virtual Machines (VM) などのさまざまな種類の Azure リソースが、他の Azure リソース、インターネット、およびオンプレミスのネットワークと安全に通信することができます。

  • Azure Bastion。 Azure Bastion は、パブリック IP アドレスを介して公開されることなく、より安全でシームレスなリモート デスクトップ プロトコル (RDP) および Secure Shell プロトコル (SSH) アクセスを仮想マシン (VM) に提供するフル マネージド サービスです。

  • Azure Firewall。 Azure Firewall は、Azure Virtual Network リソースを保護するクラウドベースのマネージド ネットワーク セキュリティ サービスです。 ステートフル ファイアウォール サービスには、高可用性と無制限のクラウド スケーラビリティが組み込まれており、サブスクリプションと仮想ネットワーク間でアプリケーションとネットワーク接続ポリシーを作成、適用、ログに記録するのに役立ちます。

  • VPN Gateway。 VPN Gateway は、Azure 仮想ネットワークとオンプレミスの場所の間で、パブリック インターネットを介して暗号化されたトラフィックを送信します。 VPN Gateway を使用すると、Microsoft ネットワークを経由して Azure 仮想ネットワーク間で暗号化されたトラフィックを送信することもできます。 VPN ゲートウェイは仮想ネットワーク ゲートウェイの特定の種類です。

  • Azure Monitor。 Azure およびオンプレミス環境からテレメトリ データを収集、分析、処理できます。 Azure Monitor はアプリケーションのパフォーマンスと可用性を最大限に引き上げ、数秒で問題を事前に特定するために役立ちます。

シナリオの詳細

ハブとスポークの構成を使用する利点としては、コストの削減、サブスクリプションの制限の克服、ワークロードの分離などがあります。

考えられるユース ケース

このアーキテクチャの一般的な用途は次のとおりです。

  • DNS、IDS、NTP、AD DS などの共有サービスを必要とするさまざまな環境 (開発、テスト、運用など) でデプロイされるワークロード。 共有サービスはハブ仮想ネットワークに配置され、分離を維持するために各環境はスポークにデプロイされます。
  • 相互接続は必要ないが、共有サービスへのアクセスは必要なワークロード。
  • セキュリティ要素 (DMZ としてのハブのファイアウォールなど) の一元管理と、各スポークでのワークロードの分別管理を必要とする企業。

Recommendations

ほとんどのシナリオに次の推奨事項が適用されます。 これらの推奨事項には、オーバーライドする特定の要件がない限り、従ってください。

リソース グループ

このドキュメントに含まれるサンプル ソリューションでは、1 つの Azure リソース グループが使用されています。 実際には、ハブと各スポークは異なるリソース グループに実装でき、異なるサブスクリプションに実装することもできます。 異なるサブスクリプションに属する仮想ネットワークをピアリングする場合、両方のサブスクリプションを同じまたは異なる Azure Active Directory テナントに関連付けることができます。 この柔軟性により、ハブでサービスの共有を維持しながら、各ワークロードを分散管理できます。 「仮想ネットワーク ピアリングを作成する - Resource Manager、異なるサブスクリプション、および Azure Active Directory テナント」を参照してください。

仮想ネットワークと GatewaySubnet

GatewaySubnet という名前のサブネットを作成します。アドレス範囲は /27 です。 仮想ネットワーク ゲートウェイには、このサブネットが必要です。 このサブネットに 32 個のアドレスを与えると、将来的にゲートウェイ サイズの制限に達するのを回避できます。

ゲートウェイの設定について詳しくは、接続の種類に応じて、次の参照アーキテクチャをご覧ください。

高可用性を確保するために、ExpressRoute に加えてフェールオーバー用の VPN を使用できます。 「VPN フェールオーバー付きの ExpressRoute を使用してオンプレミス ネットワークを Azure に接続する」を参照してください。

オンプレミス ネットワークに接続する必要がない場合は、ゲートウェイを設定せずにハブスポーク トポロジを使用することもできます。

仮想ネットワーク ピアリング

仮想ネットワーク ピアリングは、2 つの仮想ネットワーク間の非推移的な関係です。 相互接続のためにスポークが必要な場合は、これらのスポーク間に個別のピアリング接続を追加することを検討してください。

相互に接続する必要があるスポークが複数あるとします。 この場合、仮想ネットワークごとの仮想ネットワーク ピアリングの数には制限があるため、使用可能なピアリング接続をすぐに使い果たすことになります。 詳細については、「ネットワークの制限」を参照してください。 このシナリオでは、ユーザー定義ルート (UDR) を使用して、スポーク宛てのトラフィックを Azure Firewall に、またはハブでルーターとして機能するネットワーク仮想アプライアンスに、強制的に送信することを検討してください。 この変更により、スポークを相互に接続できます。

また、ハブ ゲートウェイを使用してリモート ネットワークと通信するようにスポークを構成することもできます。 ゲートウェイ トラフィックをスポークからハブに流して、リモート ネットワークに接続するには、次の手順を実行する必要があります。

  • ゲートウェイ転送を許可するように、ハブでピアリング接続を構成します。
  • リモート ゲートウェイを使用するように、各スポークでピアリング接続を構成します。
  • 転送されたトラフィックを許可するようにすべてのピアリング接続を構成します。

詳細については、「VNet ピアリングの作成」を参照してください。

スポーク接続

スポーク間の接続が必要な場合は、Azure Firewall またはその他のネットワーク仮想アプライアンスをデプロイすることを検討してください。 その後、スポークからファイアウォールまたはネットワーク仮想アプライアンスにトラフィックを転送するルートを作成します。その後、そこから 2 番目のスポークにルーティングできます。 このシナリオでは、転送されたトラフィックを許可するようにピアリング接続を構成する必要があります。

Azure Firewall を使用したスポーク間のルーティング

このアーキテクチャの Visio ファイルをダウンロードします。

VPN ゲートウェイを使用して、スポーク間でトラフィックをルーティングすることもできますが、この選択は待機時間とスループットに影響します。 構成の詳細については、「仮想ネットワーク ピアリングの VPN ゲートウェイ転送を構成する」を参照してください。

多数のスポークに合わせてハブを拡張するために、ハブで共有するサービスを検討します。 たとえば、ハブがファイアウォール サービスを提供する場合は、複数のスポークを追加するときにファイアウォール ソリューションの帯域幅の制限を検討します。 このような一部の共有サービスを第 2 レベルのハブに移動することをお勧めします。

考慮事項

これらの考慮事項は、ワークロードの品質向上に使用できる一連の基本原則である Azure Well-Architected Framework の要素を組み込んでいます。 詳細については、「Microsoft Azure Well-Architected Framework」を参照してください。

管理

Azure Virtual Network Manager (AVNM) を使用すると、接続とセキュリティ制御を一元管理するために、ハブ アンド スポーク仮想ネットワーク トポロジを新規に作成したり (既存のものをオンボードしたり) することができます。

AVNM を使用すると、ハブ アンド スポーク ネットワーク トポロジが、複数のサブスクリプション、管理グループ、およびリージョン間で将来の大規模な成長に備えて準備されます。 次のシナリオ例を参照してください。

  • 部署やアプリケーション チームなど、組織のグループに対するスポーク仮想ネットワーク管理の民主化により、多数の VNet 間接続とネットワーク セキュリティ規則の要件が発生。
  • アプリケーションのグローバル フットプリントを確保することを目的とした、複数の Azure リージョンでの複数のレプリカ ハブ アンド スポーク アーキテクチャの標準化。

AVNM で管理する仮想ネットワークの検出可能性は、スコープ機能を使用して定義することができます。 この機能により、必要な数の AVNM リソース インスタンスを柔軟に使用できるため、VNet のグループの管理をさらに民主化することができます。

同じ Azure AD テナントにある任意のサブスクリプション、管理グループ、またはリージョン内の VNet をネットワーク グループにグループ化して、予想される接続とネットワーク ルールの統一性を確保することができます。 仮想ネットワークは、動的メンバーシップまたは静的メンバーシップによって、ネットワーク グループに自動または手動でオンボードすることができます。

AVNM の直接接続機能を使用して VNet ピアリングを有効にすることで、同じネットワーク グループ内のスポーク VNet を相互に接続することができます。 異なるリージョンのスポークが直接接続できるように機能を拡張するには、グローバル メッシュ機能を使用します。これにより、グローバル VNet ピアリングの作成が容易になります。 下の図の例を参照してください。

スポークの直接接続を示す図。

さらに、セキュリティ規則のベースライン セットを確保するために、同じネットワーク グループ内の VNet をセキュリティ管理規則に関連付けることができます。 セキュリティ管理規則は NSG 規則の前に評価され、優先順位付け、サービス タグ、L3-L4 プロトコルをサポートするなど、NSG と同じ性質を持っています。

最後に、ネットワーク グループ、接続、およびセキュリティ規則の変更の制御されたロールアウトを容易にするために、AVNM のデプロイ機能を使用すると、これらの構成の破壊的変更をハブ アンド スポーク環境に安全にリリースすることができます。

使用を開始する方法の詳細については、「Azure Virtual Network Manager を使用してハブ アンド スポーク トポロジを作成する」を参照してください。

操作上の考慮事項

ハブとスポークのネットワークをデプロイして管理するときは、次の情報を考慮します。

ネットワーク監視

Azure Network Watcher を使用して、ネットワーク コンポーネントの監視とトラブルシューティングを行います。 Traffic Analytics などのツールでは、最も多くのトラフィックを生成する仮想ネットワーク内のシステムが表示されます。 ボトルネックが問題に発展する前に、ボトルネックを視覚的に特定できます。 Network Performance Manager は、Microsoft ExpressRoute 回線に関する情報の監視に適したツールです。 VPN 診断も、アプリケーションとオンプレミスのユーザーをつなぐサイト間 VPN 接続のトラブルシューティングに役立つツールです。

詳細については、「Azure Network Watcher」をご覧ください。

コスト最適化

コストの最適化とは、不要な費用を削減し、運用効率を向上させる方法を検討することです。 詳しくは、コスト最適化の柱の概要に関する記事をご覧ください。

ハブとスポークのネットワークをデプロイして管理するときは、コストに関連する次の項目について検討します。

Azure Firewall

このアーキテクチャでは、Azure Firewall はハブ ネットワークにデプロイされます。 Azure Firewall を共有ソリューションとして使用し、複数のワークロードで使用すると、他のネットワーク仮想アプライアンスより最大で 30 から 50% 節約できます。 詳細については、Azure Firewall とネットワーク仮想アプライアンスに関するページを参照してください。

仮想ネットワーク ピアリング

仮想ネットワーク ピアリングを使用すると、プライベート IP アドレスを使って、仮想ネットワーク間でトラフィックをルーティングすることができます。 ここではポイントをいくつか紹介します。

  • イングレスおよびエグレス トラフィックは、ピアリングされたネットワークの両端で課金されます。
  • ゾーンが異なると、転送料金も異なってきます。

たとえば、ゾーン 1 の仮想ネットワークからゾーン 2 の別の仮想ネットワークへのデータ転送の場合は、ゾーン 1 の送信転送コストとゾーン 2 の受信コストが発生します。 詳細については、「Virtual Network の価格」を参照してください。

このシナリオのデプロイ

このデプロイには、1 つのハブ仮想ネットワークと 2 つのピアリングされたスポークが含まれます。 Azure Firewall と Azure Bastion ホストもデプロイされます。 必要に応じて、最初のスポーク ネットワーク内の仮想マシンと VPN ゲートウェイをデプロイに含めることができます。

デプロイ用のリソース グループを作成するには、次のコマンドを使用します。 [Try it](試す) ボタンをクリックして、埋め込みシェルを使用します。

az group create --name hub-spoke --location eastus

次のコマンドを実行して、ハブとスポークのネットワーク構成、ハブとスポークの間の VNet ピアリング、Bastion ホストをデプロイします。 プロンプトが表示されたら、ユーザー名とパスワードを入力します。 これらの値は、スポーク ネットワークにある仮想マシンへのアクセスに使用できます。

az deployment group create --resource-group hub-spoke \
    --template-uri https://raw.githubusercontent.com/mspnp/samples/main/solutions/azure-hub-spoke/azuredeploy.json

詳細および他のデプロイ オプションについては、このソリューションのデプロイに使用される Azure Resource Manager テンプレート (ARM) を参照してください。

次のステップ

コンポーネントのテクノロジの詳細については、次を参照してください。

次の関連するアーキテクチャを確認してください。