Share via

設計フェーズ 4: アウトバウンド インターネット接続

  • [アーティクル]

この設計フェーズで行う選択は、Azure VMware Solution にデプロイされているアプリケーションのアウトバウンド インターネット接続の要件によって決まります。 プライベート クラウドでホストされている仮想マシンがソフトウェアの更新をダウンロードできるようにするだけであれば、基本的なインターネット アクセスで十分かもしれません。 許可された IP アドレスからのみサードパーティ API へのアクセスが許可される B2B コラボレーション シナリオでは、NAT プールのきめ細かい制御が必要になる場合があります。 Virtual Desktop Infrastructure (VDI) のシナリオでは、サポートする必要があるインターネット閲覧セッションのボリュームが大きいと、NAT プールのサイズを制御する必要が生じるかもしれません。

ほとんどの場合は、ファイアウォールまたはプロキシ デバイスを介して接続をルーティングすることで、アウトバウンド インターネット アクセスのセキュリティを強化する必要があります。 Azure VMware Solution は、そのようなデバイスをプライベート クラウド自体またはプライベート クラウドに接続された Azure 仮想ネットワークにデプロイすることをサポートしています。 これら 2 つのオプションのどちらかを選択することが、この設計フェーズの主な目標です。 どちらを選択するかは、次の考慮事項によって決まります。

  • コストの最適化と一貫性を図るために、Azure 仮想ネットワークにデプロイされている既存のセキュリティ強化インターネット アクセス NVA (ファイアウォールや転送プロキシなど) を使用できます。
  • Azure サービスとしてのプラットフォーム (PaaS) ソリューションは、管理オーバーヘッドを削減できる可能性があります。 特に Premium SKU 機能を有効にしている場合は、Azure Firewall をセキュリティ強化インターネット アクセスに使用することができます。
  • サードパーティのファイアウォールおよび/またはプロキシ デバイスを仮想アプライアンスとして Azure VMware Solution にデプロイできます。 インストール手順と推奨トポロジについては、ベンダーのドキュメントを参照してください。

この設計フェーズで行う選択は、フェーズ 3 で行う選択によって異なります。 インバウンド インターネット接続オプションとして NSX-T Data Center Edge のパブリック IP を選択した場合は、それをアウトバウンド接続にも使用する必要があります。 Azure VMware Solution の仮想マシンによって開始されるすべてのアウトバウンド接続は、NSX-T エッジで管理されます。 接続は、ソース ネットワーク アドレス変換 (SNAT) を使用して、プライベート クラウドの NSX-T エッジに関連付けられている Azure パブリック IP プレフィックス内のアドレスに変換されます。

次のフローチャートは、この設計フェーズにアプローチする方法をまとめたものです。

Flowchart that shows the decision-making process for outbound internet connectivity.

Azure VMware Solution の既定のルートとアウトバウンド インターネット接続

Azure VMware Solution プライベート クラウド内の仮想マシンによって開始されるアウトバウンド インターネット接続のルーティングは、構成された既定のルートによって決まります。 管理セグメントとワークロード セグメントには、異なる既定のルートが使用されます。

  • プライベート クラウドの管理ネットワーク (vCenter Server と NSX-T 管理をホストする) は、常にプラットフォーム マネージドのインターネット ブレークアウト経由で直接インターネット アクセスを提供する既定のルートを使用します。 この既定のルートは上書きできません。 管理ネットワークから開始される接続の SNAT プールを制御することはできません。
  • すべてのワークロード セグメントが同じ既定のルート構成を共有します。 ルート構成は次のいずれかになります。
    • プラットフォーム マネージドのブレークアウトを介したインターネット アクセス。プラットフォームが提供する SNAT を使用します。 ユーザーが SNAT プール内のパブリック IP アドレスを制御することはできません。 詳細については、「Azure VMware Solution マネージド SNAT」を参照してください。
    • プラットフォーム マネージドのブレークアウトを介したインターネット アクセス。NSX-T でユーザーが構成した SNAT を使用します。 ユーザーには以下の責任があります。
    • プライベート クラウドの Azure ExpressRoute 回線で通知される既定のルート。 この既定のルートは、Azure 仮想ネットワーク上またはオンプレミス サイト上の BGP 対応デバイスによって生成できます。 SNAT はユーザーの責任であり、Azure 仮想ネットワークまたはオンプレミスのネットワーク デバイスによって実行される必要があります。 詳細については、「Azure でホストされているインターネット サービス」を参照してください。

Azure portal を使用して、ワークロード セグメントのアウトバウンド インターネット接続を構成できます。 次のセクションで説明するオプションのいずれかを選択します。 詳細については、「インターネット接続の設計に関する考慮事項」を参照してください。

Azure VMware Solution マネージド SNAT を使用する

マネージド SNAT は、Azure VMware Solution でアウトバウンド インターネット アクセスを実装する最も簡単な方法です。 プライベート クラウドでこのオプションを有効にすると、既定のルートが T0/T1 ゲートウェイにインストールされます。 このルートは、インターネット宛てのトラフィックをプラットフォーム マネージド エッジに転送します。 プラットフォーム マネージド エッジが SNAT を実行します。 NAT プールを制御することはできません。 マネージド SNAT を使用して、Azure VMware Solution 仮想マシンへの直接インターネット アクセスを提供できます。 また、仮想マシンによって開始されたインターネットへの接続を、プライベート クラウド自体に仮想アプライアンスとしてデプロイされているセキュリティ強化インターネット エッジ デバイス (ファイアウォールまたは転送プロキシ) にルーティングする NSX-T トポロジを定義することもできます。 アウトバウンド接続にこのオプションを使用しないことを決定する一般的な理由を次にいくつか示します。

  • NAT プールのきめ細かい制御が必要な場合。 たとえば、SNAT を使用して、パブリック IP 経由で、特定の仮想マシンによって開始された接続を、特定のパブリック エンドポイントに向かうように変換する必要がある場合がそれに相当します。 この場合は、NSX-T Data Center Edge のパブリック IP を使用することを検討する必要があります。
  • 設計フェーズ 3 で、インバウンド インターネットのインバウンド接続用に NSX-T Data Center Edge のパブリック IP を選択した場合。 この場合は、アウトバウンド インターネット接続にも NSX-T Data Center Edge のパブリック IP を使用する必要があります。 詳細については、次のセクションを参照してください。
  • Azure 仮想ネットワーク (またはオンプレミス サイト) でホストされているセキュリティ強化インターネット エッジ経由でアウトバウンド インターネット接続をルーティングしたい場合。 この場合は、Azure のインターネット エッジから既定のルートを生成し、そのルートをプライベート クラウドにアドバタイズする必要があります。 詳細については、この記事の「Azure から既定のルートを生成する」のセクションを参照してください。

NSX-T Data Center Edge のパブリック IP をデプロイする

NSX-T Data Center Edge のパブリック IP を使用する場合は、T1/T0 ゲートウェイから Azure ネットワークのインターネット エッジにトラフィックを転送する既定のルートがプライベート クラウドに存在します。 T1 ゲートウェイのアウトバウンド インターネット接続を、プライベート クラウドに関連付けられているいずれかのパブリック IP を使用するように、SNAT を介して変換する必要があります。 T1 ゲートウェイでの NAT 規則の構成については、「VM のアウトバウンド インターネット アクセス」を参照してください。 このオプションを使用して、Azure VMware Solution 仮想マシンへの直接インターネット アクセスを提供できます。 また、Azure VMware Solution 仮想マシンによって開始されたインターネットへの接続を、プライベート クラウドに仮想アプライアンスとしてデプロイされているセキュリティ強化インターネット エッジ デバイス (ファイアウォールまたは転送プロキシ) にルーティングする NSX-T トポロジを定義することもできます。

Azure (カスタマー マネージド仮想ネットワークまたは Azure Virtual WAN) から既定のルートを生成する

プライベート クラウドのマネージド ExpressRoute 回線を介して既定のルートをアナウンスすることで、Azure VMware Solution 仮想マシンによって開始されたインターネット宛てのトラフィックを Azure ネイティブの NVA にルーティングすることができます。 プライベート クラウドの T0 ゲートウェイは、Azure から受信した既定のルートを使用して、受信した既定のルートで指定された次ホップにインターネット宛てのトラフィックを送信します。 Azure のインターネット エッジ NVA が BGP をサポートしている場合は、それらの NVA を BGP スピーカーとして使用して既定のルートを生成できます。 NVA が BGP をサポートしていない場合 (またはセキュリティ上の制約により NVA を BGP スピーカーとして使用できない場合) は、他の NVA をデプロイして BGP スピーカーとして機能させることができます。 追加の BGP 対応 NVA が必要となる一般的なシナリオは、Azure インターネット エッジで Azure Firewall を使用している場合です。 (Azure Firewall は BGP をサポートしていません。)結果として得られるネットワーク トポロジを次に示します。

Diagram that shows a default route origination from Azure virtual networks.

次のステップ

Azure VMware Solution のガバナンスについて説明します。

Azure VMware Solution のガバナンス