CLI を使用した ExpressRoute 回線のピアリングの作成と変更

この記事では、CLI を使用して Resource Manager デプロイ モデルで ExpressRoute 回線のルーティング構成またはピアリングを作成および管理する方法について説明します。 また、ExpressRoute 回線の状態確認、ピアリングの更新、または削除およびプロビジョニング解除を行うこともできます。 別の方法を使用して回線を操作する場合は、次の一覧から記事を選択してください。

• Azure Portal
• PowerShell
• Azure CLI
• パブリック ピアリング
• ビデオ - プライベート ピアリング
• ビデオ - Microsoft ピアリング
• PowerShell (クラシック)

前提条件

• 開始する前に、最新バージョンの CLI コマンド (2.0 以降) をインストールします。 CLI コマンドのインストール方法については、「Azure CLI 2.0 のインストール」をご覧ください。
• 構成を開始する前に、必ず、前提条件、ルーティングの要件、ワークフローの各ページを確認してください。
• アクティブな ExpressRoute 回線が必要です。 手順に従って、ExpressRoute 回線を作成し、接続プロバイダー経由で回線を有効にしてから続行してください。 この記事のコマンドを実行するには、ExpressRoute 回線がプロビジョニングされ、有効な状態になっている必要があります。

次の手順は、サービス プロバイダーが提供するレイヤー 2 接続サービスで作成された回線にのみ適用されます。 サービス プロバイダーが提供するマネージド レイヤー 3 サービス (MPLS など、通常は IPVPN) を使用する場合、接続プロバイダーがユーザーに代わってルーティングを構成および管理します。

ExpressRoute 回線にプライベート ピアリングおよび Microsoft ピアリングを構成できます。 ピアリングは、任意の順序で構成できます。 ただし、各ピアリングの構成は必ず一度に 1 つずつ完了するようにしてください。 ルーティング ドメインとピアリングの詳細については、ExpressRoute のルーティング ドメインに関する記事をご覧ください。

Microsoft ピアリング

このセクションでは、ExpressRoute 回線用の Microsoft ピアリング構成を作成、取得、更新、および削除します。

重要

2017 年 8 月 1 日より前に構成された ExpressRoute 回線の Microsoft ピアリングでは、ルート フィルターが定義されていない場合でも、すべてのサービス プレフィックスが Microsoft ピアリングでアドバタイズされます。 2017 年 8 月 1 日以降に構成された ExpressRoute 回線の Microsoft ピアリングでは、ルート フィルターが回線に接続されるまで、プレフィックスはアドバタイズされません。 詳しくは、「Configure a route filter for Microsoft peering」(Microsoft ピアリング用にルート フィルターを構成する) をご覧ください。

Microsoft ピアリングを作成するには

1. 最新バージョンの Azure CLI をインストールして使用します。

   az login
   

   ExpressRoute 回線を作成するサブスクリプションを選択します。

   az account set --subscription "<subscription ID>"
   

2. ExpressRoute 回線を作成します。 手順に従って、 ExpressRoute 回線 を作成し、接続プロバイダー経由で回線をプロビジョニングします。 接続プロバイダーが管理対象レイヤー 3 サービスを提供する場合は、Microsoft ピアリングを有効にするように接続プロバイダーに依頼できます。 その場合は、次のセクションにリストされている手順に従う必要はありません。 ただし、接続プロバイダーがルーティングを管理しない場合は、回線を作成した後、次の手順を使用して、構成を続行します。

3. ExpressRoute 回線がプロビジョニングされ、有効になっていることを確認します。 次の例を使用してください。

   az network express-route list
   

   応答は次の例のようになります。

   "allowClassicOperations": false,
   "authorizations": [],
   "circuitProvisioningState": "Enabled",
   "etag": "W/\"1262c492-ffef-4a63-95a8-a6002736b8c4\"",
   "gatewayManagerEtag": null,
   "id": "/subscriptions/81ab786c-56eb-4a4d-bb5f-f60329772466/resourceGroups/ExpressRouteResourceGroup/providers/Microsoft.Network/expressRouteCircuits/MyCircuit",
   "location": "westus",
   "name": "MyCircuit",
   "peerings": [],
   "provisioningState": "Succeeded",
   "resourceGroup": "ExpressRouteResourceGroup",
   "serviceKey": "1d05cf70-1db5-419f-ad86-1ca62c3c125b",
   "serviceProviderNotes": null,
   "serviceProviderProperties": {
    "bandwidthInMbps": 200,
    "peeringLocation": "Silicon Valley",
    "serviceProviderName": "Equinix"
   },
   "serviceProviderProvisioningState": "Provisioned",
   "sku": {
    "family": "UnlimitedData",
    "name": "Standard_MeteredData",
    "tier": "Standard"
   },
   "tags": null,
   "type": "Microsoft.Network/expressRouteCircuits]
   

4. 回路の Microsoft ピアリングを構成する 続行する前に、次の情報を確認してください。

   • 自分が所有し、RIR/IRR に登録されているサブネットのペア。 1 つのサブネットはプライマリ リンクに使われ、もう 1 つはセカンダリ リンクに使われます。 これらの各サブネットから、ユーザーは 1 番目に使用可能な IP アドレスを自分のルーターに割り当て、Microsoft は 2 番目に使用可能な IP アドレスをそのルーターに使用します。 このサブネットのペアには、3 つのオプションがあります。
     • IPv4: 2 つの /30 サブネット。 これらは有効なパブリック IPv4 プレフィックスである必要があります。
     • IPv6: 2 つの /126 サブネット。 これらは有効なパブリック IPv6 プレフィックスである必要があります。
     • 両方: 2 つの /30 サブネットと 2 つの /126 サブネット。
   • Microsoft ピアリングを使用すると、Microsoft ネットワーク上のパブリック IP アドレスと通信できます。 そのため、オンプレミス ネットワーク上のトラフィック エンドポイントもパブリックにする必要があります。 これは多くの場合、SNAT を使用して行われます。

   Note

   SNAT を使用する場合、プライマリまたはセカンダリ リンクに割り当てられた範囲のパブリック IP アドレスはお勧めしません。 代わりに、自分に割り当てられ、地域インターネット レジストリ (RIR) またはインターネット ルーティング レジストリ (IRR) に登録されている別の範囲のパブリック IP アドレスを使用する必要があります。 呼び出し量によっては、この範囲は 1 つの IP アドレスと同じくらい小さくできます (IPv4 の場合は '/32'、IPv6 の場合は '/128' として表される)。

   • このピアリングを確立するための有効な VLAN ID。 回線の他のピアリングが同じ VLAN ID を使用しないようにしてください。 プライマリとセカンダリの両方のリンクに対し、同じ VLAN ID を使用する必要があります。
   • ピアリングの AS 番号。 2 バイトと 4 バイトの AS 番号の両方を使用することができます。
   • アドバタイズするプレフィックス:BGP セッションを介してアドバタイズする予定のすべてのプレフィックスのリストを指定します。 パブリック IP アドレス プレフィックスのみが受け入れられます。 一連のプレフィックスを送信する場合は、コンマ区切りのリストを送信できます。 これらのプレフィックスは、RIR/IRR に登録する必要があります。
   • 省略可能 - 顧客 ASN:ピアリング AS 番号に登録されていないプレフィックスをアドバタイズしている場合は、それらが登録されている AS 番号を指定できます。
   • ルーティング レジストリ名: AS 番号とプレフィックスを登録する RIR/IRR を指定することができます。
   • 省略可能 - MD5 を使用する場合には、パスワードを準備します。

   次の例を実行して、回線用に Microsoft ピアリングを構成します。

   az network express-route peering create --circuit-name MyCircuit --peer-asn 100 --primary-peer-subnet 123.0.0.0/30 -g ExpressRouteResourceGroup --secondary-peer-subnet 123.0.0.4/30 --vlan-id 300 --peering-type MicrosoftPeering --advertised-public-prefixes 123.1.0.0/24
   

Microsoft ピアリングの詳細を表示するには

構成の詳細を取得するには、次の例を使用します。

az network express-route peering show -g ExpressRouteResourceGroup --circuit-name MyCircuit --name AzureMicrosoftPeering

重要

Microsoft は、指定された 'アドバタイズされたパブリック プレフィックス' と 'ピア ASN' (または '顧客 ASN') がインターネット ルーティング レジストリでユーザーに割り当てられているかどうかを確認します。 別のエンティティからパブリック プレフィックスを取得している場合、およびルーティング レジストリに割り当てが記録されていない場合、自動検証は完了せず、手動検証が必要になります。 自動検証が失敗すると、上記のコマンドの出力時に 'AdvertisedPublicPrefixesState' が '検証が必要です' と表示されます。

'検証が必要です' というメッセージが表示された場合は、ルーティング レジストリにプレフィックスの所有者として一覧表示されているエンティティによって組織にパブリック プレフィックスが割り当てられていることを示すドキュメントを収集し、サポート チケットを開くことにより、これらのドキュメントを手動検証のために送信してください。

出力は次の例のようになります。

{
  "azureAsn": 12076,
  "etag": "W/\"2e97be83-a684-4f29-bf3c-96191e270666\"",
  "gatewayManagerEtag": "18",
  "id": "/subscriptions/9a0c2943-e0c2-4608-876c-e0ddffd1211b/resourceGroups/ExpressRouteResourceGroup/providers/Microsoft.Network/expressRouteCircuits/MyCircuit/peerings/AzureMicrosoftPeering",
  "lastModifiedBy": "Customer",
  "microsoftPeeringConfig": {
    "advertisedPublicPrefixes": [
        ""
      ],
     "advertisedPublicPrefixesState": "",
     "customerASN": ,
     "routingRegistryName": ""
  }
  "name": "AzureMicrosoftPeering",
  "peerAsn": ,
  "peeringType": "AzureMicrosoftPeering",
  "primaryAzurePort": "",
  "primaryPeerAddressPrefix": "",
  "provisioningState": "Succeeded",
  "resourceGroup": "ExpressRouteResourceGroup",
  "routeFilter": null,
  "secondaryAzurePort": "",
  "secondaryPeerAddressPrefix": "",
  "sharedKey": null,
  "state": "Enabled",
  "stats": null,
  "vlanId": 100
}

Microsoft ピアリング構成を更新するには

構成のどの部分でも更新することができます。 次の例では、回線のアドバタイズされたプレフィックスが 123.1.0.0/24 から 124.1.0.0/24 に更新されています。

az network express-route peering update --circuit-name MyCircuit -g ExpressRouteResourceGroup --peering-type MicrosoftPeering --advertised-public-prefixes 124.1.0.0/24

IPv6 Microsoft ピアリング設定を既存の IPv4 構成に追加するには

az network express-route peering update -g ExpressRouteResourceGroup --circuit-name MyCircuit --peering-type MicrosoftPeering --ip-version ipv6 --primary-peer-subnet 2002:db00::/126 --secondary-peer-subnet 2003:db00::/126 --advertised-public-prefixes 2002:db00::/126

Azure プライベート ピアリング

このセクションでは、ExpressRoute 回線用の Azure プライベート ピアリング構成を作成、取得、更新、および削除します。

Azure プライベート ピアリングを作成するには

1. 最新バージョンの Azure CLI をインストールします。

   az login
   

   ExpressRoute 回線を作成するサブスクリプションを選択します。

   az account set --subscription "<subscription ID>"
   

2. ExpressRoute 回線を作成します。 手順に従って、 ExpressRoute 回線 を作成し、接続プロバイダー経由で回線をプロビジョニングします。 接続プロバイダーが管理対象レイヤー 3 サービスを提供する場合は、Azure プライベート ピアリングを有効にするように接続プロバイダーに依頼できます。 その場合は、次のセクションにリストされている手順に従う必要はありません。 ただし、接続プロバイダーがルーティングを管理しない場合は、回線を作成した後、次の手順を使用して、構成を続行します。

3. ExpressRoute 回線がプロビジョニングされ、有効になっていることを確認します。 次の例を使用してください。

   az network express-route show --resource-group ExpressRouteResourceGroup --name MyCircuit
   

   応答は次の例のようになります。

   "allowClassicOperations": false,
   "authorizations": [],
   "circuitProvisioningState": "Enabled",
   "etag": "W/\"1262c492-ffef-4a63-95a8-a6002736b8c4\"",
   "gatewayManagerEtag": null,
   "id": "/subscriptions/81ab786c-56eb-4a4d-bb5f-f60329772466/resourceGroups/ExpressRouteResourceGroup/providers/Microsoft.Network/expressRouteCircuits/MyCircuit",
   "location": "westus",
   "name": "MyCircuit",
   "peerings": [],
   "provisioningState": "Succeeded",
   "resourceGroup": "ExpressRouteResourceGroup",
   "serviceKey": "1d05cf70-1db5-419f-ad86-1ca62c3c125b",
   "serviceProviderNotes": null,
   "serviceProviderProperties": {
   "bandwidthInMbps": 200,
   "peeringLocation": "Silicon Valley",
   "serviceProviderName": "Equinix"
   },
   "serviceProviderProvisioningState": "Provisioned",
   "sku": {
    "family": "UnlimitedData",
    "name": "Standard_MeteredData",
    "tier": "Standard"
   },
   "tags": null,
   "type": "Microsoft.Network/expressRouteCircuits]
   

4. 回線用に Azure プライベート ピアリングを構成します。 次の手順に進む前に、以下のものがそろっていることを確認します。

   • 仮想ネットワーク用に予約されたアドレス空間の一部ではないサブネットのペア。 一方のサブネットはプライマリ リンク用に使用され、もう一方はセカンダリ リンク用に使用されます。 これらの各サブネットから、ユーザーは 1 番目に使用可能な IP アドレスを自分のルーターに割り当て、Microsoft は 2 番目に使用可能な IP アドレスをそのルーターに割り当てます。 このサブネットのペアには、3 つのオプションがあります。
     • IPv4: 2 つの /30 サブネット。
     • IPv6: 2 つの /126 サブネット。
     • 両方: 2 つの /30 サブネットと 2 つの /126 サブネット。
   • このピアリングを確立するための有効な VLAN ID。 回線の他のピアリングが同じ VLAN ID を使用しないようにしてください。
   • ピアリングの AS 番号。 2 バイトと 4 バイトの AS 番号の両方を使用することができます。 このピアリングではプライベート AS 番号を使用できます。 65515 は使用しないようにしてください。
   • 省略可能 - MD5 を使用する場合には、パスワードを準備します。

   次の例を使用して、回線用に Azure プライベート ピアリングを構成します。

   az network express-route peering create --circuit-name MyCircuit --peer-asn 100 --primary-peer-subnet 10.0.0.0/30 -g ExpressRouteResourceGroup --secondary-peer-subnet 10.0.0.4/30 --vlan-id 200 --peering-type AzurePrivatePeering
   

   MD5 ハッシュを使用する場合は、次の例を使用します。

   az network express-route peering create --circuit-name MyCircuit --peer-asn 100 --primary-peer-subnet 10.0.0.0/30 -g ExpressRouteResourceGroup --secondary-peer-subnet 10.0.0.4/30 --vlan-id 200 --peering-type AzurePrivatePeering --SharedKey "A1B2C3D4"
   

   重要

   顧客 ASN ではなく、ピアリング ASN として AS 番号を指定するようにしてください。

Azure プライベート ピアリングの詳細を表示するには

構成の詳細を取得するには、次の例を使用します。

az network express-route peering show -g ExpressRouteResourceGroup --circuit-name MyCircuit --name AzurePrivatePeering

出力は次の例のようになります。

{
  "azureASN": 12076,
  "connections": [],
  "etag": "W/\"abcdef12-3456-7890-abcd-ef1234567890\"",
  "gatewayManagerEtag": "",
  "id": "/subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourceGroups/ExpressRouteResourceGroup/providers/Microsoft.Network/expressRouteCircuits/MyCircuit/peerings/AzurePrivatePeering",
  "lastModifiedBy": "Customer",
  "microsoftPeeringConfig": {
    "advertisedCommunities": [],
    "advertisedPublicPrefixes": [],
    "advertisedPublicPrefixesState": "NotConfigured",
    "customerASN": 0,
    "legacyMode": 0,
    "routingRegistryName": "NONE"
  },
  "name": "AzurePrivatePeering",
  "peerASN": 65020,
  "peeredConnections": [],
  "peeringType": "AzurePrivatePeering",
  "primaryAzurePort": "",
  "primaryPeerAddressPrefix": "192.168.17.16/30",
  "provisioningState": "Succeeded",
  "resourceGroup": "ExpressRouteResourceGroup",
  "secondaryAzurePort": "",
  "secondaryPeerAddressPrefix": "192.168.17.20/30",
  "state": "Enabled",
  "type": "Microsoft.Network/expressRouteCircuits/peerings",
  "vlanId": 100
}

Azure プライベート ピアリングの構成を更新するには

構成の任意の部分を更新するには、次の例を使用します。 この例では、回線の VLAN ID が 100 から 500 に更新されています。

az network express-route peering update --vlan-id 500 -g ExpressRouteResourceGroup --circuit-name MyCircuit --name AzurePrivatePeering

リソースをクリーンアップする

Microsoft ピアリングを削除するには

ピアリング構成を削除するには、次の例を実行します。

az network express-route peering delete -g ExpressRouteResourceGroup --circuit-name MyCircuit --name MicrosoftPeering

Azure プライベート ピアリングを削除するには

ピアリング構成を削除するには、次の例を実行します。

警告

この例を実行する前に、すべての仮想ネットワークと ExpressRoute Global Reach 接続が削除されていることを確認する必要があります。

az network express-route peering delete -g ExpressRouteResourceGroup --circuit-name MyCircuit --name AzurePrivatePeering

次のステップ

Azure プライベート ピアリングを構成すると、仮想ネットワークを回線にリンクできます。詳細については、次を参照してください。

ExpressRoute 回線への VNet のリンク