適用対象: Azure Local 2311.2 以降。Windows Server 2022、Windows Server 2019、Windows Server 2016
この記事では、Azure Local および Windows Server におけるソフトウェア定義ネットワーク (SDN) 用のリモート アクセス サービス (RAS) ゲートウェイの概要を示します。
RAS ゲートウェイは、Hyper-V ネットワーク仮想化 (HNV) を使用してマルチテナント仮想ネットワークをホストするクラウド サービス プロバイダー (CSP) および企業向けに設計された、ソフトウェアベースの Border Gateway Protocol (BGP) 対応ルーターです。 RAS ゲートウェイを使用すると、仮想ネットワークと別のネットワーク (ローカルまたはリモート) の間で、ネットワーク トラフィックをルーティングすることができます。
RAS ゲートウェイには、ゲートウェイ プールのデプロイを実行し、各ゲートウェイでテナント接続を構成し、ゲートウェイが失敗した場合にネットワーク トラフィック フローをスタンバイ ゲートウェイに切り替える ネットワーク コントローラーが必要です。
注
マルチテナントは、複数のテナントの仮想マシン (VM) ワークロードをサポートするための、クラウド インフラストラクチャの機能であり、ワークロードは互いに分離されますが、すべて同じインフラストラクチャ上で実行されます。 個別のテナントの複数のワークロードは相互接続でき、リモートで管理できますが、これらのシステムが他のテナントのワークロードと相互接続したり、他のテナントがこれらをリモートで管理したりすることはできません。
機能
RAS ゲートウェイは、VPN (仮想プライベート ネットワーク)、トンネリング、転送、動的ルーティングなど、多くの機能を提供します。
サイト間 IPsec VPN
RAS ゲートウェイのこの機能を使用すると、サイト間 (S2S) 仮想プライベート ネットワーク (VPN) 接続を使用して、物理的に異なる場所にある 2 つのネットワークをインターネット経由で接続することができます。 この接続は、IKEv2 VPN プロトコルを使用して暗号化されます。
データセンターで多数のテナントをホストする CSP の場合は、RAS ゲートウェイにより、マルチテナント ゲートウェイ ソリューションが提供されます。これにより、テナントはリモート サイトからサイト間 VPN 接続を介してリソースにアクセスし、管理することができます。 RAS ゲートウェイを使用すると、データセンターの仮想リソースとそれらの物理ネットワークの間をネットワーク トラフィックが流れられるようになります。
サイト間 GRE トンネル
Generic Routing Encapsulation (GRE) に基づくトンネルを使用すると、テナントの仮想ネットワークと外部ネットワークを接続できます。 GRE プロトコルは軽量であり、GRE のサポートはほとんどのネットワーク デバイスで利用できるため、データの暗号化を必要としないトンネリングに最適な選択肢です。
S2S トンネルでの GRE のサポートにより、マルチテナント ゲートウェイを使用したテナントの仮想ネットワークとテナントの外部ネットワークの間の転送の問題が解決されます。
レイヤー 3 転送
レイヤー 3 (L3) 転送により、データ センター内の物理インフラストラクチャと Hyper-V ネットワーク仮想化クラウド内の仮想化インフラストラクチャとの間の接続が可能になります。 L3 転送接続を使用することで、テナント ネットワーク VM は、SDN 環境に既に構成されている SDN ゲートウェイを介して物理ネットワークに接続できます。 この場合、SDN ゲートウェイは仮想化されたネットワークと物理ネットワークとの間のルーターとして機能します。
次の図では、SDN で構成された Azure Local での L3 転送の設定例を示しています。
- Azure Local インスタンスには 2 つの仮想ネットワークがあります。アドレス プレフィックス 10.0.0.0/16 の SDN 仮想ネットワーク 1 と、アドレス プレフィックス 16.0.0.0/16 の SDN 仮想ネットワーク 2 です。
- 各仮想ネットワークには、物理ネットワークへの L3 接続があります。
- SDN ゲートウェイは、異なる仮想ネットワークにつながる L3 接続それぞれに専用のコンパートメントを設けて、L3 接続間が確実に分離されるようにしています。
- SDN ゲートウェイの各コンパートメントには、仮想ネットワーク空間と物理ネットワーク空間のそれぞれに 1 つのインターフェイスがあります。
- 各 L3 接続は、物理ネットワーク上の固有の VLAN にマッピングする必要があります。 この VLAN は、仮想化されたネットワーク トラフィックの基盤となるデータ転送用物理ネットワークとして使用される HNV プロバイダー VLAN とは異なる必要があります。
- この例では静的ルーティングを使用しています。
この例で使用されている各接続の詳細は次のとおりです。
| ネットワーク要素 | 接続 1 | 接続 2 |
|---|---|---|
| ゲートウェイ サブネット プレフィックス | 10.0.1.0/24 | 16.0.1.0/24 |
| L3 IP アドレス | 15.0.0.5/24 | 20.0.0.5/24 |
| L3 ピアの IP アドレス | 15.0.0.1 | 20.0.0.1 |
| 接続のルート情報 | 18.0.0.0/24 | 22.0.0.0/24 |
L3 転送を使用する場合のルーティングに関する考慮事項
静的ルーティングの場合、仮想ネットワークに到達するためのルートを物理ネットワーク上で構成する必要があります。 たとえば、アドレス プレフィックスが 10.0.0.0/16 で、ネクスト ホップが接続の L3 IP アドレス (15.0.0.5) であるルートを構成します。
BGP を使用した動的ルーティングの場合でも、BGP 接続はゲートウェイ コンパートメントの内部インターフェイスと L3 ピア IP との間で行われるため、静的 /32 ルートを構成する必要があります。 接続 1 の場合、ピアリングは 10.0.1.6 と 15.0.0.1 の間で行われます。 そのためこの接続では、接続先プレフィックスが 10.0.1.6/32 で、ネクスト ホップが 15.0.0.5 である静的ルートを物理スイッチで構成する必要があります。
BGP ルーティングを使用して L3 ゲートウェイ接続をデプロイする予定の場合は、Top of Rack (ToR) スイッチの BGP 設定を次のように構成してください。
- update-source: BGP ルーティング更新情報の送信元アドレスを指定します。この場合は L3 VLAN です。 たとえば、VLAN 250 を指定します。
- ebgp multihop: BGP ネイバーが 1 ホップ以上離れているため、より多くのホップが必要であることを指定します。
BGP を使用した動的ルーティング
BGP を使用するとルーター上で手動でルートを構成する必要性が減ります。それは、BGP が動的ルーティング プロトコルであり、サイト間 VPN 接続を使用して接続されているサイト間のルートが自動的に学習されるためです。 組織に RAS ゲートウェイなどの BGP 対応ルーターを使用して接続されている複数のサイトがある場合、BGP により、ネットワークの中断や障害時でもルーターは相互に有効なルートを自動的に計算して使用できます。
RAS ゲートウェイに含まれる BGP ルート リフレクターにより、ルーター間のルート同期に必要な BGP 完全メッシュ トポロジの代替手段が提供されます。 詳細については、「ルート リフレクタとは」を参照してください。
RAS ゲートウェイのしくみ
RAS ゲートウェイにより、場所に関係なく、物理ネットワークと VM ネットワーク リソース間のネットワーク トラフィックがルーティングされます。 物理的に同じ場所でも、または多くの異なる場所でも、ネットワーク トラフィックをルーティングできます。
複数の機能が同時に使用される高可用性プールに、RAS ゲートウェイを展開できます。 ゲートウェイ プールには、高可用性とフェールオーバーのために、RAS ゲートウェイの複数のインスタンスが含まれています。
プール内のゲートウェイ VM を追加または削除することで、ゲートウェイ プールを簡単にスケールアップまたはスケールダウンできます。 ゲートウェイを削除または追加しても、プールによって提供されるサービスが中断されることはありません。 また、ゲートウェイのプール全体を追加および削除することもできます。 詳細については、「 RAS ゲートウェイの高可用性」を参照してください。
すべてのゲートウェイ プールで、M+N の冗長性が提供されています。 これは、"M" 個のアクティブ ゲートウェイ VM が、"N" 個のスタンバイ ゲートウェイ VM によってバックアップされることを意味します。 M+N の冗長性を使用すると、RAS ゲートウェイを展開するときに必要な信頼性のレベルを柔軟に決定できます。
1 つのパブリック IP アドレスを、すべてのプールに、またはプールのサブセットに、割り当てることができます。 これにより、すべてのテナントが 1 つの IP アドレスでクラウドに接続できるため、必要なパブリック IP アドレスの数を大幅に削減できます。
次のステップ
関連情報については、以下も参照してください。