ExpressRoute のルーティングの要件
ExpressRoute を使用して Microsoft クラウド サービスに接続するには、ルーティングをセットアップして管理する必要があります。 一部の接続プロバイダーでは、ルーティングのセットアップと管理が管理されたサービスとして提供されています。 このサービスが提供されているかどうか、接続プロバイダーに問い合わせてください。 提供されていない場合は、次の要件に従う必要があります。
接続を容易にするために設定する必要があるルーティング セッションの説明については、回線とルーティング ドメインに関する記事をご覧ください。
Note
Microsoft では、高可用性構成のためのルーター冗長化プロトコル (HSRP、VRRP など) をサポートしていません。 代わりに、ピアリングごとの BGP セッションの冗長ペアに依存して高可用性を実現します。
ピアリングに使用する IP アドレス
ネットワークと Microsoft のエンタープライズ エッジ (MSEE) ルーター間のルーティングを構成するには、IP アドレスのいくつかのブロックを予約する必要があります。 このセクションでは、要件の一覧を示すと共に、これらの IP アドレスを取得および使用する方法に関する規則について説明します。
Azure プライベート ピアリングに使用する IP アドレス
ピアリングは、プライベート IP アドレスまたはパブリック IP アドレスを使用して構成できます。 ルートを構成するために使用されるアドレス範囲と Azure で仮想ネットワークを作成するために使用されるアドレス範囲とが重複しないようにする必要があります。
- IPv4:
- ルーティング インターフェイス用に、1 つの
/29
サブネットまたは 2 つの/30
サブネットを予約する必要があります。 - ルーティングに使用するサブネットには、プライベート IP アドレスまたはパブリック IP アドレスを指定できます。
- サブネットと、Microsoft クラウドで使用するために顧客によって予約された範囲とが競合しないようにする必要があります。
/29
サブネットを使用すると、2 つの/30
サブネットに分割されます。- 最初の
/30
サブネットはプライマリ リンクに、2 つ目の/30
サブネットはセカンダリ リンクに使用します。 - それぞれの
/30
サブネットに対し、ルーター上で/30
サブネットの最初の IP アドレスを使用する必要があります。 Microsoft は、/30
サブネットの 2 番目の IP アドレスを使用して BGP セッションをセットアップします。 - 可用性 SLA を有効にするには、両方の BGP セッションをセットアップする必要があります。
- 最初の
- ルーティング インターフェイス用に、1 つの
- IPv6 : よく寄せられる質問 ◆セグ : 次の TU を含む◇
- ルーティング インターフェイス用に、1 つの
/125
サブネットまたは 2 つの/126
サブネットを予約する必要があります。 - ルーティングに使用するサブネットには、プライベート IP アドレスまたはパブリック IP アドレスを指定できます。
- サブネットと、Microsoft クラウドで使用するために顧客によって予約された範囲とが競合しないようにする必要があります。
/125
サブネットを使用すると、2 つの/126
サブネットに分割されます。- 最初の
/126
サブネットはプライマリ リンクに、2 つ目の/126
サブネットはセカンダリ リンクに使用します。 - それぞれの
/126
サブネットに対し、ルーター上で/126
サブネットの最初の IP アドレスを使用する必要があります。 Microsoft は、/126
サブネットの 2 番目の IP アドレスを使用して BGP セッションをセットアップします。 - 可用性 SLA を有効にするには、両方の BGP セッションをセットアップする必要があります。
- 最初の
- ルーティング インターフェイス用に、1 つの
プライベート ピアリング用の例
a.b.c.d/29
を使用してピアリングをセットアップすることを選択した場合、このサブネットは 2 つの /30
サブネットに分割されます。 次の例では、a.b.c.d/29
サブネットの使用方法に注意してください。
a.b.c.d/29
は、a.b.c.d/30
とa.b.c.d+4/30
に分割され、プロビジョニング API を介して Microsoft に渡されます。a.b.c.d+1
をプライマリ PE の VRF IP として使用すると、Microsoft はa.b.c.d+2
をプライマリ MSEE の VRF IP として使用します。a.b.c.d+5
をセカンダリ PE の VRF IP として使用すると、Microsoft はa.b.c.d+6
をセカンダリ MSEE の VRF IP として使用します。
ここで、192.168.100.128/29
を選択してプライベート ピアリングをセットアップするとします。 192.168.100.128/29
には、192.168.100.128
~ 192.168.100.135
の範囲のアドレスが含まれています。この中で、
192.168.100.128/30
はlink1
に割り当てられます。プロバイダーは192.168.100.129
を使用し、Microsoft は192.168.100.130
を使用します。192.168.100.132/30
はlink2
に割り当てられます。プロバイダーは192.168.100.133
を使用し、Microsoft は192.168.100.134
を使用します。
Microsoft ピアリングに使用する IP アドレス
ユーザーは、所有しているパブリック IP アドレスを使用して BGP セッションをセットアップする必要があります。 Microsoft は、ルーティング インターネット レジストリおよびインターネット ルーティング レジストリを介して IP アドレスの所有権を確認できる必要があります。
- ポータルの、Microsoft ピアリング用にアドバタイズされたパブリック プレフィックスの一覧に表示されている IP アドレスによって、これらの IP から送信される受信トラフィックを許可する Microsoft コア ルーターの ACL が作成されます。
- ユーザーは、一意のサブネット (IPv4 の場合は
/29
、IPv6 の場合は/125
) または 2 つのサブネット (IPv4 の場合は/30
、IPv6 の場合は/126
) サブネットを使用して、ExpressRoute 回線ごとに (複数存在する場合) それぞれのピアリングの BGP ピアリングをセットアップする必要があります。 /29
サブネットを使用すると、2 つの/30
サブネットに分割されます。- 最初の
/30
サブネットはプライマリ リンク用に使用され、2 つ目の/30
サブネットはセカンダリ リンク用に使用されます。 - それぞれの
/30
サブネットに対し、ルーター上で/30
サブネットの最初の IP アドレスを使用する必要があります。 Microsoft は、/30
サブネットの 2 番目の IP アドレスを使用して BGP セッションをセットアップします。 /125
サブネットを使用すると、2 つの/126
サブネットに分割されます。- 最初の
/126
サブネットはプライマリ リンク用に使用され、2 つ目の/126
サブネットはセカンダリ リンク用に使用されます。 - それぞれの
/126
サブネットに対し、ルーター上で/126
サブネットの最初の IP アドレスを使用する必要があります。 Microsoft は、/126
サブネットの 2 番目の IP アドレスを使用して BGP セッションをセットアップします。 - 可用性 SLA を有効にするには、両方の BGP セッションをセットアップする必要があります。
Azure パブリック ピアリングに使用する IP アドレス
Note
Azure パブリック ピアリングは新しい回線では使用できません。
ユーザーは、所有しているパブリック IP アドレスを使用して BGP セッションをセットアップする必要があります。 Microsoft は、ルーティング インターネット レジストリおよびインターネット ルーティング レジストリを介して IP アドレスの所有権を確認できる必要があります。
- ユーザーは、一意の
/29
サブネットまたは 2 つの/30
サブネットを使用して、ExpressRoute 回線ごとに (複数存在する場合) それぞれのピアリングの BGP ピアリングをセットアップする必要があります。 /29
サブネットを使用すると、2 つの/30
サブネットに分割されます。- 最初の
/30
サブネットはプライマリ リンクに、2 つ目の/30
サブネットはセカンダリ リンクに使用します。 - それぞれの
/30
サブネットに対し、ルーター上で/30
サブネットの最初の IP アドレスを使用する必要があります。 Microsoft は、/30
サブネットの 2 番目の IP アドレスを使用して BGP セッションをセットアップします。 - 可用性 SLA を有効にするには、両方の BGP セッションをセットアップする必要があります。
- 最初の
パブリック IP アドレス要件
プライベート ピアリング
パブリックまたはプライベート IPv4 アドレスをプライベート ピアリングに使用することもできます。 プライベート ピアリングの場合に他の顧客とのアドレスの重複が発生しないように、トラフィックのエンド ツー エンドの分離が提供されます。 これらのアドレスはインターネットにはアドバタイズされません。
Microsoft ピアリング
Microsoft ピアリング パスを使用して、Microsoft クラウド サービスに接続できます。 対象となるサービスには、Exchange Online、SharePoint Online、Skype for Business、Microsoft Teams などの Microsoft 365 サービスが含まれます。 Microsoft では、Microsoft ピアリングで双方向接続をサポートしています。 Microsoft クラウド サービスに送信されるトラフィックが Microsoft ネットワークに入るには、有効なパブリック IPv4 アドレスを使用している必要があります。
以下のレジストリのいずれかで IP アドレスと AS 番号が自分に登録されていることを確認します。
上記のレジストリでプレフィックスと AS 番号が自分に割り当てられていない場合は、プレフィックスと ASN を手動で検証するためにサポート ケースを開く必要があります。 サポートを受けるには、リソースの使用が許可されていることを証明するドキュメント (たとえば、承認状) が必要になります。
Microsoft ピアリングではプライベート AS 番号を使用できますが、手動による検証も必要になります。 さらに、受信したプレフィックスの AS PATH からプライベート AS 番号が削除されます。 その結果、Microsoft ピアリングのルーティングを制御するために、AS PATH にプライベート AS 番号を付加できません。 また、IANA によってドキュメント用に予約されている AS 番号 64496 から 64511 は、パスには使用できません。
重要
パブリック インターネット向けと ExpressRoute 経由で同じパブリック IP ルートをアドバタイズしないでください。 非対称ルーティングの原因となる間違った構成のリスクを減らすために、ExpressRoute 経由で Microsoft にアドバタイズされる NAT IP アドレス は、インターネットにまったくアドバタイズされない範囲のものにすることを強くお勧めします。 これを実現するのが不可能な場合は、インターネット接続の範囲よりもさらに具体的な ExpressRoute 経由の範囲をアドバタイズしていることを確認する必要があります。 NAT 用のパブリック ルートに加えて、Microsoft 内の Microsoft 365 エンドポイントと通信するオンプレミスのネットワーク内のサーバーによって使用されるパブリック IP アドレスを ExpressRoute 経由でアドバタイズすることもできます。
パブリック ピアリング (非推奨 - 新しい回線では使用できません)
Azure パブリック ピアリング パスを利用すれば、パブリック IP アドレスで Azure にホストされているすべてのサービスに接続できます。 これには、「ExpressRoute の FAQ」の一覧にあるサービスや Microsoft Azure で ISV によりホストされているサービスが含まれます。 パブリック ピアリングでの Microsoft Azure への接続は常にネットワークから Microsoft ネットワークに対して開始されます。 Microsoft ネットワークに送信されるトラフィックには、パブリック IP アドレスを使用する必要があります。
重要
すべての Azure PaaS サービスは、Microsoft ピアリング経由でアクセスできます。
パブリック ピアリングでは、プライベート AS 番号を使用できます。
動的なルート交換
ルーティングの交換は eBGP プロトコル上で実行されます。 MSEE とルーターとの間に EBGP セッションが確立されます。 BGP セッションの認証は必須ではありません。 必要な場合は、MD5 ハッシュを構成することができます。 BGP セッションの構成については、ルーティングの構成に関する記事および回線のプロビジョニング ワークフローと回線の状態に関する記事をご覧ください。
自律システム番号 (ASN)
Microsoft は、Azure パブリック、Azure プライベート、および Microsoft ピアリングのために AS 12076 を使用します。 ASN 65515 ~ 65520 は、内部使用のために予約されています。 16 ビットと 32 ビットの両方の AS 番号がサポートされています。
データ転送の対称性に関する要件はありません。 転送パスとリターン パスは、異なるルーター ペアを通過することができます。 同じルートについては、自分に属している複数の回線ペアのどちらかの側からアドバタイズする必要があります。 ルートのメトリックは同一である必要はありません。
ルート集約とプレフィックスの制限
Azure プライベート ピアリングを介してアドバタイズされるプレフィックスは、最大で IPv4 の場合は 4,000 個、IPv6 の場合は 100 個がサポートされます。 ExpressRoute Premium アドオンが有効になっている場合、IPv4 ではこのプレフィックスを最大 10,000 個まで増やすことができます。 Azure パブリックおよび Microsoft ピアリングの場合、BGP セッションあたり最大で 200 個のプレフィックスを使用できます。
プレフィックスの数がこの制限を超えると、BGP セッションは切断されます。 デフォルト ルートは、プライベート ピアリング リンクのみで使用できます。 プロバイダーは、Azure パブリック パスと Microsoft ピアリング パスからデフォルト ルートおよびプライベート IP アドレス (RFC 1918) をフィルターで除外する必要があります。
トランジット ルーティングおよびリージョン間ルーティング
ExpressRoute をトランジット ルーターとして構成することはできません。 トランジット ルーティング サービスについては、接続プロバイダーに依存する必要があります。
デフォルト ルートのアドバタイズ
デフォルト ルートは、Azure プライベート ピアリング セッションでのみ許可されます。 その場合、Microsoft は、関連付けられている仮想ネットワークからのすべてのトラフィックをユーザーのネットワークにルーティングします。 プライベート ピアリングにデフォルト ルートをアドバタイズすると、Azure からのインターネット パスがブロックされます。 Azure でホストされるサービスのトラフィックをインターネットとの間で送受信するには、会社のエッジに依存する必要があります。
他の Azure サービスおよびインフラストラクチャ サービスへの接続を有効にするには、次のどちらかの条件が満たされている必要があります。
- Azure パブリック ピアリングが有効になっていて、トラフィックをパブリック エンドポイントにルーティングするように設定されている。
- ユーザー定義のルーティングを使用して、インターネット接続を必要とするすべてのサブネットに対してインターネット接続を許可している。
Note
デフォルト ルートをアドバタイズすると、Windows VM や他の VM のライセンス認証が破棄されます。 これを回避する方法については、 このページ を参照してください。
BGP コミュニティのサポート
ここでは、ExpressRoute で BGP コミュニティがどのように使用されるかについて概説します。 Microsoft は、プライベート、Microsoft、およびパブリック (非推奨) のピアリング パスのルートに適切なコミュニティ値をタグ付けしてアドバタイズします。 その理由とコミュニティ値の詳細については以降に示します。 ただし、Microsoft は、Microsoft にアドバタイズされるルートにタグ付けされたすべてのコミュニティ値を無視します。
プライベート ピアリングの場合、Azure 仮想ネットワークでカスタム BGP コミュニティ値を構成すると、このカスタム値とリージョン BGP コミュニティ値が、ExpressRoute でオンプレミスにアドバタイズされた Azure ルート上で確認されます。
Microsoft ピアリングの場合、ある地理的リージョン内の任意の 1 つのピアリングの場所で ExpressRoute を介して Microsoft に接続すると、その地理的境界内のすべてのリージョンにわたってすべての Microsoft クラウド サービスにアクセスできます。
たとえば、ExpressRoute を介してアムステルダムの Microsoft に接続している場合、北ヨーロッパと西ヨーロッパでホストされているすべての Microsoft クラウド サービスにアクセスできます。
地理的リージョン、関連付けられている Azure リージョン、および対応する ExpressRoute のピアリングの場所の詳細な一覧については、「 ExpressRoute パートナーとピアリングの場所 」を参照してください。
地理的リージョンごとに複数の ExpressRoute 回線を購入できます。 複数の接続を持つことで、geo 冗長性による高可用性が確保される大きなメリットがあります。 複数の ExpressRoute 回線がある場合、Microsoft パブリック ピアリングおよび Microsoft ピアリング パスで Microsoft からアドバタイズされたプレフィックスの同じセットを受け取ります。 これは、ネットワークから Microsoft へのパスが複数あることを意味します。 これは、ネットワーク内で十分に最適化されないルーティングの決定が行われる可能性があることを示します。 その結果、さまざまなサービスの接続エクスペリエンスが十分に最適化されない可能性があります。 ユーザーは、このコミュニティ値に依存して、最適なルーティングをユーザーに提供するための適切なルーティングの決定を行うことができます。
Microsoft Azure リージョン | リージョン BGP コミュニティ (プライベート ピアリング) | リージョン BGP コミュニティ (Microsoft ピアリング) | ストレージ BGP コミュニティ | SQL BGP コミュニティ | Azure Cosmos DB BGP コミュニティ | バックアップ BGP コミュニティ |
---|---|---|---|---|---|---|
北米 | ||||||
米国東部 | 12076:50004 | 12076:51004 | 12076:52004 | 12076:53004 | 12076:54004 | 12076:55004 |
米国東部 2 | 12076:50005 | 12076:51005 | 12076:52005 | 12076:53005 | 12076:54005 | 12076:55005 |
米国西部 | 12076:50006 | 12076:51006 | 12076:52006 | 12076:53006 | 12076:54006 | 12076:55006 |
米国西部 2 | 12076:50026 | 12076:51026 | 12076:52026 | 12076:53026 | 12076:54026 | 12076:55026 |
米国中西部 | 12076:50027 | 12076:51027 | 12076:52027 | 12076:53027 | 12076:54027 | 12076:55027 |
米国中北部 | 12076:50007 | 12076:51007 | 12076:52007 | 12076:53007 | 12076:54007 | 12076:55007 |
米国中南部 | 12076:50008 | 12076:51008 | 12076:52008 | 12076:53008 | 12076:54008 | 12076:55008 |
米国中部 | 12076:50009 | 12076:51009 | 12076:52009 | 12076:53009 | 12076:54009 | 12076:55009 |
カナダ中部 | 12076:50020 | 12076:51020 | 12076:52020 | 12076:53020 | 12076:54020 | 12076:55020 |
カナダ東部 | 12076:50021 | 12076:51021 | 12076:52021 | 12076:53021 | 12076:54021 | 12076:55021 |
南アメリカ | ||||||
ブラジル南部 | 12076:50014 | 12076:51014 | 12076:52014 | 12076:53014 | 12076:54014 | 12076:55014 |
ヨーロッパ | ||||||
北ヨーロッパ | 12076:50003 | 12076:51003 | 12076:52003 | 12076:53003 | 12076:54003 | 12076:55003 |
西ヨーロッパ | 12076:50002 | 12076:51002 | 12076:52002 | 12076:53002 | 12076:54002 | 12076:55002 |
英国南部 | 12076:50024 | 12076:51024 | 12076:52024 | 12076:53024 | 12076:54024 | 12076:55024 |
英国西部 | 12076:50025 | 12076:51025 | 12076:52025 | 12076:53025 | 12076:54025 | 12076:55025 |
フランス中部 | 12076:50030 | 12076:51030 | 12076:52030 | 12076:53030 | 12076:54030 | 12076:55030 |
フランス南部 | 12076:50031 | 12076:51031 | 12076:52031 | 12076:53031 | 12076:54031 | 12076:55031 |
スイス北部 | 12076:50038 | 12076:51038 | 12076:52038 | 12076:53038 | 12076:54038 | 12076:55038 |
スイス西部 | 12076:50039 | 12076:51039 | 12076:52039 | 12076:53039 | 12076:54039 | 12076:55039 |
ドイツ北部 | 12076:50040 | 12076:51040 | 12076:52040 | 12076:53040 | 12076:54040 | 12076:55040 |
ドイツ中西部 | 12076:50041 | 12076:51041 | 12076:52041 | 12076:53041 | 12076:54041 | 12076:55041 |
ノルウェー東部 | 12076:50042 | 12076:51042 | 12076:52042 | 12076:53042 | 12076:54042 | 12076:55042 |
ノルウェー西部 | 12076:50043 | 12076:51043 | 12076:52043 | 12076:53043 | 12076:54043 | 12076:55043 |
アジア太平洋 | ||||||
東アジア | 12076:50010 | 12076:51010 | 12076:52010 | 12076:53010 | 12076:54010 | 12076:55010 |
東南アジア | 12076:50011 | 12076:51011 | 12076:52011 | 12076:53011 | 12076:54011 | 12076:55011 |
日本 | ||||||
東日本 | 12076:50012 | 12076:51012 | 12076:52012 | 12076:53012 | 12076:54012 | 12076:55012 |
西日本 | 12076:50013 | 12076:51013 | 12076:52013 | 12076:53013 | 12076:54013 | 12076:55013 |
オーストラリア | ||||||
オーストラリア東部 | 12076:50015 | 12076:51015 | 12076:52015 | 12076:53015 | 12076:54015 | 12076:55015 |
オーストラリア南東部 | 12076:50016 | 12076:51016 | 12076:52016 | 12076:53016 | 12076:54016 | 12076:55016 |
オーストラリア政府 | ||||||
オーストラリア中部 | 12076:50032 | 12076:51032 | 12076:52032 | 12076:53032 | 12076:54032 | 12076:55032 |
オーストラリア中部 2 | 12076:50033 | 12076:51033 | 12076:52033 | 12076:53033 | 12076:54033 | 12076:55033 |
インド | ||||||
インド南部 | 12076:50019 | 12076:51019 | 12076:52019 | 12076:53019 | 12076:54019 | 12076:55019 |
インド西部 | 12076:50018 | 12076:51018 | 12076:52018 | 12076:53018 | 12076:54018 | 12076:55018 |
インド中部 | 12076:50017 | 12076:51017 | 12076:52017 | 12076:53017 | 12076:54017 | 12076:55017 |
韓国 | ||||||
韓国南部 | 12076:50028 | 12076:51028 | 12076:52028 | 12076:53028 | 12076:54028 | 12076:55028 |
韓国中部 | 12076:50029 | 12076:51029 | 12076:52029 | 12076:53029 | 12076:54029 | 12076:55029 |
南アフリカ | ||||||
南アフリカ北部 | 12076:50034 | 12076:51034 | 12076:52034 | 12076:53034 | 12076:54034 | 12076:55034 |
南アフリカ西部 | 12076:50035 | 12076:51035 | 12076:52035 | 12076:53035 | 12076:54035 | 12076:55035 |
アラブ首長国連邦 | ||||||
アラブ首長国連邦北部 | 12076:50036 | 12076:51036 | 12076:52036 | 12076:53036 | 12076:54036 | 12076:55036 |
アラブ首長国連邦中部 | 12076:50037 | 12076:51037 | 12076:52037 | 12076:53037 | 12076:54037 | 12076:55037 |
Microsoft からアドバタイズされるすべてのルートには、適切なコミュニティ値がタグ付けされます。
重要
グローバル プレフィックスは、適切なコミュニティ値でタグ付けされます。
BGP コミュニティ値へのサービス
さらに、Microsoft は、所属先のサービスに基づいてプレフィックスにもタグ付けします。 これは、Microsoft ピアリングにのみ該当します。 次の表に、サービスと BGP コミュニティ値のマッピングを示します。 最新の値の完全な一覧を表示するには、Get-AzBgpServiceCommunity コマンドレットを実行します。
サービス | BGP コミュニティ値 |
---|---|
Exchange Online** | 12076:5010 |
SharePoint Online** | 12076:5020 |
Skype For Business Online**/*** | 12076:5030 |
CRM Online**** | 12076:5040 |
Azure Global Services* | 12076:5050 |
Azure Active Directory | 12076:5060 |
Azure Resource Manager | 12076:5070 |
その他の Office 365 Online サービス** | 12076:5100 |
* 現在のところ、Azure Global Services には、Azure DevOps のみが含まれています。
** Microsoft からの承認が必要です。「Microsoft ピアリングにルート フィルターを構成する」を参照してください
*** このコミュニティでは、Microsoft Teams サービスに必要なルートも発行されます。
**** CRM Online では、Dynamics v8.2 以下をサポートしています。 より新しいバージョンの場合は、Dynamics デプロイのリージョン コミュニティを選択してください。
Note
Microsoft は、Microsoft にアドバタイズされるルートに設定されたすべての BGP コミュニティ値を無視します。
National Clouds の BGP コミュニティのサポート
National Clouds Azure リージョン | BGP コミュニティ値 |
---|---|
米国政府 | |
US Gov アリゾナ | 12076:51106 |
US Gov アイオワ | 12076:51109 |
US Gov バージニア州 | 12076:51105 |
US Gov テキサス | 12076:51108 |
US DoD Central | 12076:51209 |
US DoD East | 12076:51205 |
中国 | |
中国北部 | 12076:51301 |
中国東部 | 12076:51302 |
中国東部 2 | 12076:51303 |
中国北部 2 | 12076:51304 |
National Clouds のサービス | BGP コミュニティ値 |
---|---|
米国政府 | |
Exchange Online | 12076:5110 |
SharePoint Online | 12076:5120 |
Skype for Business Online | 12076:5130 |
Azure Active Directory | 12076:5160 |
その他の Office 365 Online サービス | 12076:5200 |
- Office 365 コミュニティは、Azure China リージョンの Microsoft ピアリングではサポートされていません。
次のステップ
ExpressRoute 接続を構成します。