この記事では、Azure ランディング ゾーン アーキテクチャを、アマゾン ウェブ サービス (AWS) や Google Cloud などの他のクラウド プロバイダーに接続する方法について説明します。 組織では、予測可能なネットワーク動作でエンタープライズ ハイブリッドワークロードとマルチクラウド ワークロードを実行するために、信頼性が高く、セキュリティで保護され、高パフォーマンスのクラウド間接続が必要です。
Note
Microsoft と Oracle は、Azure と Oracle Cloud Infrastructure (OCI) 間の高スループットで待機時間の短いクロス接続を提供するために提携しています。 詳細については、「 Oracle クラウド インフラストラクチャへの接続」を参照してください。
接続オプションを評価する
3 つの基盤となる接続アーキテクチャにより、Azure と他のクラウド プロバイダーとの間にエンタープライズ レベルの接続が確立されます。 組織は、ネットワーク パフォーマンス、セキュリティ体制、運用の複雑さの特定の要件に基づいて、これらのクラウド間接続手法を体系的に評価する必要があります。
オプション 1 - 最大限の制御とパフォーマンスの最適化を実現するために、カスタマー マネージド ルーティングを使用して ExpressRoute を選択します。 カスタマー マネージド ルーティングを使用する ExpressRoute (Azure のプライベート回線サービス) は、ExpressRoute 回線を他のクラウド プロバイダーのプライベート接続 ( AWS Direct Connect や Google Cloud Interconnect など) に接続します。 この方法では、BGP (Border Gateway Protocol) ルーティングの決定とトラフィック エンジニアリングを完全に制御できます。 複雑なマルチクラウド ルーティング構成の運用とトラブルシューティングには高度なネットワークの専門知識が必要ですが、パフォーマンス チューニングには最も柔軟性が高くなります。 詳細については、「 ExpressRoute 接続モデル」を参照してください。
オプション 2 - 運用管理を簡素化するために、クラウド交換プロバイダーを使用して ExpressRoute を選択します。 クラウド交換プロバイダー ルーティングを使用する ExpressRoute は、 Equinix Cloud Exchange、 Megaport、 PacketFabric などのサードパーティ プロバイダーを介して同じプライベート回線を接続しますが、ルーティングの複雑さと運用オーバーヘッドを Exchange プロバイダーに転送します。 この戦略的アプローチにより、プライベート接続のパフォーマンス上の利点と予測可能な待機時間特性を維持しながら、日常の運用上の負担を軽減できます。 使用可能なクラウド交換プロバイダーと場所については、 ExpressRoute 接続パートナーとピアリングの場所に関する説明を参照してください。
オプション 3 - プライベート回線が実現できない場合は、コスト効率の高いインターネット ベースの接続にサイト間 VPN を使用します。 パブリック インターネット経由のサイト間 VPN は、特定のワークロードの需要に対してプライベート回線が利用できない、コスト効率が高い、または技術的に必要な場合に、最もアクセスしやすく迅速な展開オプションを提供します。 この方法では、暗号化されたセキュリティで保護された接続が提供されますが、ExpressRoute プライベート接続オプションと比較して、スループットのパフォーマンスが低下し、待機時間の変動が大きくなる可能性があります。 実装の詳細なガイダンスについては、「Azure VPN Gateway とは」を参照してください。
次のクラウド間接続フロー チャートを使用して、適切なオプションを選択します。
フロー チャートでは、意思決定プロセスを通じて、顧客が管理するルーティングを使用した ExpressRoute、クラウド交換プロバイダーによる ExpressRoute、サイト間 VPN 接続を選択できます。 このグラフには、パフォーマンス要件、運用の複雑さ、コストに関する考慮事項、展開タイムラインの制約に関する決定ポイントが含まれています。 各パスは、組織のニーズと技術的な機能に基づいて特定の推奨事項につながります。
図 1: クラウド間接続フロー チャート
ネットワーク アーキテクチャの要件を計画する
ネットワーク アーキテクチャ設計の基礎により、Azure と他のクラウド プロバイダー間の接続の成功が決まります。 組織は、エンタープライズ レベルの信頼性でクラウド間通信を成功させるために、特定の技術的要件とパフォーマンス特性に体系的に対処する必要があります。
ルーティングの競合を防ぐために、接続を確立する前に、重複していない IP アドレス空間を確認します。 Azure 仮想ネットワーク (VNet) は、プライベート IP アドレス範囲がトポロジ内のどこにも重なっていない場合にのみ、別のクラウド プロバイダーの仮想プライベート クラウド (VPC) に接続できます。 設計時にクラウド間での IP アドレスの割り当てを計画します。 CIDR (クラスレス Inter-Domain ルーティング) 計画ツールと、マルチクラウド デプロイ用の一元化された IP アドレス管理 (IPAM) システムを使用します。
最適なワークロード パフォーマンスを得るための接続オプションに対してパフォーマンス要件を評価します。 サイト間 VPN (インターネット経由の IPsec ベースの VPN) は、通常、ExpressRoute プライベート接続よりもスループットが低く、待機時間が可変です。 ExpressRoute では、要求の厳しいエンタープライズ ワークロードに合わせて、予測可能な帯域幅と一貫した待機時間が提供されます。 ExpressRoute プロバイダー回線では、通常、50 Mbps から 10 Gbps が提供されます。 ExpressRoute Direct では、10 Gbps ポートと 100 Gbps ポートがサポートされており、それらの容量まで論理回線をホストできます。
接続方法とビジネス継続性計画の展開タイムラインの制約を評価します。 Azure ExpressRoute と他のクラウド プロバイダーのプライベート接続に相当するものがまだネットワーク インフラストラクチャで確立されていない場合、サイト間 VPN は最速のデプロイ オプションを提供します。 組織は、プロビジョニングと構成に数週間または数か月かかる可能性がある長期的なプライベート接続ソリューションを計画しながら、数日以内に VPN 接続を実装できます。
接続方法を選択するときは、ルーティングの複雑さと運用上のオーバーヘッドを考慮してください。 カスタマー マネージドの ExpressRoute ルーティングにより、運用の複雑さが増し、クラウド交換プロバイダーを使用しない場合はネットワークの専門知識が必要になります。 BGP ルーティング管理、トラフィック エンジニアリング、および継続的なネットワーク運用のコストに対するきめ細かな制御の利点を比較検討します。
コストに関する考慮事項を考慮して、クラウド環境間の DNS 解決を計画します。 Azure と他のクラウド プロバイダー間の DNS 解決には、追加の構成、特殊な DNS 転送規則が必要であり、追加の運用コストが発生します。 DNS ゾーン計画と条件付き転送戦略を使用して関連する経費を管理しながら、クラウド プラットフォーム間でシームレスな名前解決をサポートするように戦略的に DNS アーキテクチャを設計します。 実装者については、マネージド DNS 転送ソリューションの DNS プライベート リゾルバーの概要 を参照してください。
FastPath を使用してパフォーマンスを最適化する
FastPath テクノロジは、Azure と他のクラウド プロバイダー間のネットワーク パフォーマンスを向上させる基礎となる機能として機能します。 組織では、従来のゲートウェイ処理のボトルネックをバイパスすることで、FastPath を使用して待機時間を大幅に短縮し、クラウド間のシナリオでのデータ転送効率を向上させることができます。
FastPath を有効にして ExpressRoute ゲートウェイの処理をバイパスし、最適なネットワーク パフォーマンスを実現します。 FastPath (ExpressRoute データ パスの最適化) は、ネットワーク トラフィックを VNet 内の仮想マシンに直接送信し、ゲートウェイのデータ プレーン処理をバイパスします。 これにより、待機時間が短縮され、サポートされているシナリオのスループットが向上します。 詳細と互換性の規則については、「 ExpressRoute FastPath について」を参照してください。
パフォーマンス要件と回線仕様に基づいて、ExpressRoute 回線に FastPath を実装します。 FastPath は、ExpressRoute Direct 回線と ExpressRoute プロバイダー回線の両方で使用でき、特定の回線の種類と帯域幅の割り当てによって IP アドレスの制限が異なります。 組織は、ExpressRoute インフラストラクチャ全体でこのパフォーマンス最適化機能を有効にして、各回線の種類と帯域幅レベルに固有の技術的な制限を考慮して、ネットワーク パフォーマンスを最適化できます。
FastPath 機能の適切な SKU 仕様を使用して仮想ネットワーク ゲートウェイをデプロイします。 FastPath では、データ トラフィックが通常の操作中にこのゲートウェイをバイパスする場合でも、基本的なルート交換の目的で仮想ネットワーク ゲートウェイが必要です。 ExpressRoute ゲートウェイの Ultra Performance SKU または ErGw3AZ SKU を使用して、適切なルート管理と最適な FastPath 機能を有効にします。 ゲートウェイ SKU の仕様とパフォーマンスの特性の詳細については、「 ExpressRoute 仮想ネットワーク ゲートウェイについて」を参照してください。
互換性を確保するために、実装前に FastPath の制限事項を体系的に確認してください。 一部の構成では、ゲートウェイ サブネット上の UDR (ユーザー定義ルート) や特定のネットワーク セキュリティ グループ設定など、FastPath がサポートされていません。 有効にする前に、現在のネットワーク設計に対する FastPath の互換性を確認してください。 完全な制限事項については、 FastPath の制限事項を参照してください。
接続ソリューションを実装する
実装アプローチは、クラウド間接続のデプロイの成功を決定する基盤として機能します。 組織は、特定の技術的な手順とアーキテクチャのベスト プラクティスに従って、Azure とエンタープライズ レベルの信頼性を備えた他のクラウド プロバイダーとの間に信頼性の高い高パフォーマンスの接続を確立する必要があります。
運用ワークロードとミッション クリティカルなアプリケーションに対して、インターネットベースの接続経由のプライベート接続を選択します。 ExpressRoute を介したプライベート接続は、インターネットベースの接続と比較して、包括的なサービス レベル アグリーメント、予測可能なスループット パフォーマンス、および強化されたセキュリティ体制を提供します。 組織のネットワークの専門知識、運用要件、パフォーマンスの最適化のニーズに基づいて、カスタマー マネージド ルーティングまたはクラウド 交換プロバイダーを選択します。 ExpressRoute 回線は、高可用性 SLA で保証された帯域幅を提供します。 詳細については、「 ExpressRoute SLA」を参照してください。
適切なリソース編成のために、接続サブスクリプションに ExpressRoute 回線を作成します。 ExpressRoute 回線を専用の接続サブスクリプション (ネットワーク リソースに使用されるサブスクリプション) に配置します。 これにより、リソースの編成、課金、アクセス制御を一元化できます。 このプラクティスは、 Azure ランディング ゾーンのアーキテクチャの原則に沿っています。
アーキテクチャ パターンに基づいて、ExpressRoute 回線を適切な Azure ネットワーク トポロジに接続します。 ExpressRoute 回線をハブ アンド スポーク設計のハブ仮想ネットワークまたは Azure Virtual WAN (マネージド ハブ サービス) の仮想ハブにリンクします。 これにより、トラフィック フロー、ネットワークのセグメント化、ポリシーの適用が正しく行われます。 Virtual WAN のガイダンスについては、「 Virtual WAN ネットワーク トポロジ」を参照してください。
待機時間とコストを最適化するために、同じ都市のデプロイに ExpressRoute Metro を検討してください。 ExpressRoute Metro は、同じ大都市圏内でのデプロイの待機時間特性を減らした、強化された接続オプションを提供します。 このオプションを使用すると、高帯域幅の機能を維持しながら、地理的に近接したリソースを持つ組織のネットワーク待機時間と運用コストを大幅に削減できます。 詳細な技術仕様については、「 ExpressRoute Metro について」を参照してください。
この図には、ExpressRoute 経由で Azure に接続されたオンプレミス ネットワークが表示され、カスタマー マネージド BGP ルーティングにより、それぞれのプライベート接続サービス (直接接続またはクラウド 相互接続) を介して別のクラウド プロバイダー (AWS または Google Cloud) への接続が拡張されています。 このアーキテクチャでは、トラフィック エンジニアリングとルーティングの決定を最大限に制御するために、顧客組織によって管理される ExpressRoute 回線、仮想ネットワーク ゲートウェイ、およびクロスクラウド ルーティング パスが示されています。
図 2: カスタマー マネージド ルーティングを使用したクラウド間接続 (オプション 1)
この図は、Equinix、Megaport、PacketFabric などのサード パーティのクラウド交換プロバイダーを介したオンプレミス ネットワーク、Azure、およびその他のクラウド プロバイダー間の接続を示しています。 クラウド交換プロバイダーは、複数のクラウド プラットフォーム間のルーティングの複雑さと相互接続を管理し、プライベート接続のパフォーマンスを維持しながら運用オーバーヘッドを簡素化します。 このアーキテクチャは、Exchange プロバイダーがマルチクラウド接続の中央ルーティング ハブとして機能する方法を示しています。
図 3: クラウド交換プロバイダーとのクラウド間接続 (オプション 2)
最適化されたネットワーク構成をデプロイする
ネットワーク構成の最適化により、クラウド間接続のパフォーマンスとエンタープライズ レベルの信頼性が最大限に高まります。 組織は、最適なクロスクラウド ネットワーク パフォーマンスを実現するために、パフォーマンス要件と接続の目標に基づいて、特定のデプロイ パターンとアーキテクチャ構成を実装する必要があります。
ネットワーク待機時間を最小限に抑える必要がある待機時間の影響を受けやすいアプリケーション用に、単一の仮想ネットワーク アーキテクチャをデプロイします。 Azure と他のクラウド プロバイダーとの間のネットワーク待ち時間を最小限に抑える必要があるアプリケーションは、ExpressRoute ゲートウェイと FastPath を有効にした単一の仮想ネットワークへのデプロイによって大きなメリットを得られます。 この最適化された構成により、ネットワーク パスの複雑さを最小限に抑え、接続のオーバーヘッドを削減して、重要なワークロードに最適な待機時間のパフォーマンスを実現します。
この図は、FastPath が有効になっている ExpressRoute ゲートウェイを持つ単一の Azure 仮想ネットワークを示しています。このゲートウェイを使用すると、他のクラウド プロバイダーに直接接続できます。 FastPath は、仮想マシン トラフィックのために ExpressRoute ゲートウェイをバイパスし、待機時間を短縮し、スループットを向上させます。 このアーキテクチャでは、ネットワーク トラフィックが Azure VM から他のクラウド プロバイダー内のリソースに直接流れる方法を示し、待機時間の影響を受けやすいアプリケーションのネットワーク ホップとゲートウェイ処理の遅延を最小限に抑えます。
図 4: FastPath を有効にしたクラウド間接続
ExpressRoute が利用できない場合、コスト効率が高い場合、または技術的に必要な場合は、サイト間 VPN を使用します。 パブリック インターネット経由のサイト間 VPN は、プライベート回線が利用できない場合、コスト効率が高い場合、または特定のユース ケース要件に必要な場合に、セキュリティで保護された暗号化された接続を提供します。 このアプローチは、要求の厳しいパフォーマンス要件、予算の制約、または迅速な展開のニーズを持つ組織をサポートします。 包括的な実装ガイダンスについては、 BGP 対応 VPN ゲートウェイを使用して AWS と Azure を接続する方法に関するページを参照してください。
この図は、パブリック インターネット経由のサイト間 VPN トンネルを使用して、Azure と他のクラウド プロバイダー間のセキュリティで保護された暗号化された接続を示しています。 このアーキテクチャでは、セキュリティで保護されたデータ転送用の IPsec トンネルを確立する各クラウド プラットフォームの VPN ゲートウェイが示されています。 このコスト効率の高いアプローチでは、プライベート回線が使用できない場合や必要な場合に暗号化された接続が提供され、暗号化プロトコルを使用してセキュリティを維持しながら、予算の制約や迅速な展開タイムラインを持つ組織をサポートします。
図 5: インターネット経由のサイト間 VPN を使用したクラウド間接続
Azure のツールとリソース
| カテゴリ | Tool | Description |
|---|---|---|
| プライベート接続 | Azure ExpressRoute | 保証された帯域幅、99.9% 可用性 SLA、予測可能なパフォーマンス特性を使用して、Azure と他のクラウド プロバイダー間の専用プライベート接続を提供します |
| ネットワーク パフォーマンスの最適化 | ExpressRoute FastPath | ExpressRoute ゲートウェイをバイパスして仮想マシンに直接接続することで待機時間を短縮することで、データ パスのパフォーマンスが向上します |
| セキュリティで保護された VPN 接続 | サイト間 VPN ゲートウェイ | BGP ルーティングをサポートする Azure と他のクラウド プロバイダー間のインターネット経由の暗号化されたセキュリティで保護された接続を有効にします |
| メトロポリタン エリアの接続性 | ExpressRoute Metro | 待機時間を短縮し、コスト構造を最適化して、同じ都市のデプロイに対して強化された接続オプションを提供します |
| ネットワーク トポロジの管理 | Azure Virtual WAN | 仮想ハブ接続を介したクラウド間接続をサポートし、ネットワーク管理とグローバル接続を簡素化 |
| クラウド間統合 | ExpressRoute 接続モデル | さまざまなデプロイ モデルを使用して Azure と他のクラウド プラットフォーム間のプライベート接続を確立するための包括的なガイダンス |
次のステップ
Oracle Cloud Infrastructure (OCI) への接続の詳細については、「 Oracle Cloud Infrastructure への接続」を参照してください。