この記事では、Azure のネットワーク サービスがコントロール プレーン レベルとデータ プレーン レベルでどのように相互運用されるかを分析するために使用できる、テスト セットアップについて説明します。 Azure のネットワーク コンポーネントについて簡単に見てみましょう。
Azure ExpressRoute: Azure ExpressRoute でプライベート ピアリングを使用すると、ご利用の Azure 仮想ネットワーク デプロイにオンプレミス ネットワーク内のプライベート IP 空間を直接接続することができます。 ExpressRoute は、より帯域幅の広いプライベート接続を実現するのに役立ちます。 ExpressRoute 接続は、多くの ExpressRoute エコ パートナーから SLA 付きで提供されています。 ExpressRoute とその構成方法の詳細については、「ExpressRoute の概要」を参照してください。
サイト間 VPN: Azure VPN Gateway をサイト間 VPN として使用すると、オンプレミス ネットワークをインターネットまたは ExpressRoute 経由で Azure に安全に接続することができます。 サイト間 VPN を Azure に接続するように構成する方法については、「VPN ゲートウェイの構成」を参照してください。
仮想ネットワーク ピアリング: 仮想ネットワーク ピアリングを使用すると、Azure の仮想ネットワーク間の接続を確立できます。 仮想ネットワーク ピアリングの詳細については、「チュートリアル: VNet ピアリングを使用して仮想ネットワークを接続する - Azure portal」をご覧ください。
テストの設定
次の図は、テスト セットアップを示したものです。
テスト セットアップの中心となるのは、Azure Region 1 のハブ仮想ネットワークです。 ハブ仮想ネットワークは、次の方法でさまざまなネットワークに接続されています:
ハブ仮想ネットワークは、仮想ネットワーク ピアリングを使用してスポーク仮想ネットワークに接続されます。 スポーク仮想ネットワークには、ハブ仮想ネットワーク内の両方のゲートウェイへのリモート アクセスがあります。
ハブ仮想ネットワークは、サイト間 VPN を使用してブランチ仮想ネットワークに接続されます。 この接続では eBGP を使用してルートを交換します。
ハブ仮想ネットワークは、ExpressRoute プライベート ピアリングをプライマリ パスに使用して、オンプレミスの Location 1 ネットワークに接続されます。 バックアップ パスにはサイト間 VPN 接続が使用されます。 以降、この記事では、この ExpressRoute 回線を ExpressRoute 1 と呼びます。 ExpressRoute 回線には、冗長接続による高可用性が既定で確保されています。 ExpressRoute 1 では、セカンダリの Microsoft Enterprise エッジ ルーター (MSEE) に接続するセカンダリ カスタマー エッジ (CE) ルーターのサブインターフェイスが無効になります。 上の図では、二重線の矢印にある赤い線が、無効になった CE ルーターのサブインターフェイスを表しています。
ハブ仮想ネットワークは、別の ExpressRoute プライベート ピアリングを使用して、オンプレミスの Location 2 ネットワークに接続されます。 以降、この記事では、この 2 つ目の ExpressRoute 回線を ExpressRoute 2 と呼びます。
ExpressRoute 1 では、ハブ仮想ネットワークとオンプレミスの Location 1 ネットワークの両方を、Azure リージョン 2 にあるリモート仮想ネットワークに接続します。
ExpressRoute とサイト間 VPN 接続の併用
ExpressRoute 上のサイト間 VPN
ExpressRoute Microsoft ピアリングを使用してサイト間 VPN を構成することにより、オンプレミス ネットワークと Azure 仮想ネットワークの間でプライベートにデータを交換することができます。 この構成を使用すれば、機密性、信頼性、整合性が確保されたデータ交換を実現できます。 また、このデータ交換には、アンチリプレイ対策も講じられています。 ExpressRoute Microsoft ピアリングを使用してトンネル モードでサイト間 IPsec VPN を構成する方法の詳細については、ExpressRoute Microsoft ピアリングでのサイト間 VPN に関するページを参照してください。
Microsoft ピアリングを使用するサイト間 VPN 構成に伴う主な制限はスループットです。 IPsec トンネル上では、VPN ゲートウェイの容量によりスループットが制限されます。 VPN ゲートウェイのスループットは、ExpressRoute のスループットよりも低くなります。 このシナリオでは、高いセキュリティが要求されるトラフィックには IPsec トンネルを使用し、それ以外のすべてのトラフィックにはプライベート ピアリングを使用すると、ExpressRoute の帯域幅使用率の最適化に役立ちます。
ExpressRoute の安全なフェールオーバー パスとしてのサイト間 VPN
ExpressRoute は、高可用性を確保する冗長回線ペアの役割を果たします。 異なる Azure リージョンで geo 冗長 ExpressRoute 接続を構成することができます。 また、このテスト セットアップで紹介したとおり、Azure リージョン内でサイト間 VPN を使用して、ExpressRoute 接続のフェールオーバー パスを作成することができます。 ExpressRoute とサイト間 VPN の両方に同じプレフィックスがアドバタイズされた場合、Azure では ExpressRoute が優先されます。 ExpressRoute とサイト間 VPN の間で非対称なルーティングを回避するために、オンプレミス ネットワークも、ExpressRoute 接続をサイト間 VPN 接続よりも優先して使用するように構成する必要があります。
ExpressRoute とサイト間 VPN が共存する接続を構成する方法の詳細については、ExpressRoute とサイト間の共存に関するページを参照してください。
バックエンドの接続性をスポーク仮想ネットワークとブランチの場所に拡張する
仮想ネットワーク ピアリングを使用したスポーク仮想ネットワーク接続性
ハブ アンド スポークの仮想ネットワーク アーキテクチャは、広く利用されています。 ハブは、Azure 内の仮想ネットワークであり、スポーク仮想ネットワークとオンプレミス ネットワークをつなぐ接続性の中央拠点として機能します。 スポークはハブとピアリングする仮想ネットワークであり、ワークロードの分離に利用できます。 オンプレミスのデータセンターとハブとの間のトラフィックは、ExpressRoute または VPN 接続を経由して送信されます。 このアーキテクチャの詳細については、「Azure にハブスポーク ネットワーク トポロジを実装する」を参照してください。
リージョン内の仮想ネットワーク ピアリングでは、スポーク仮想ネットワークはハブ仮想ネットワーク ゲートウェイ (VPN と ExpressRoute ゲートウェイの両方) を使用してリモート ネットワークと通信できます。
サイト間 VPN を使用したブランチ仮想ネットワーク接続
異なるリージョンにあるブランチ仮想ネットワークと、オンプレミス ネットワークを、ハブ VNet を介して相互に通信させることができます。 この構成に対する Azure のネイティブ ソリューションは、VPN を使用したサイト間 VPN 接続です。 その他に、ネットワーク仮想アプライアンス (NVA) をハブでのルーティングに使用する方法もあります。
詳細については、「VPN ゲートウェイとは」および高可用性 NVA のデプロイに関するページを参照してください。
次のステップ
「ExpressRoute の FAQ」を参照して以下を行います。
ExpressRoute ゲートウェイに接続できる ExpressRoute 回線の数について学習する。
ExpressRoute 回線に接続できる ExpressRoute ゲートウェイの数について学習する。
ExpressRoute のその他のスケールの制限について学習する。