次の方法で共有

Azure Route Server を使用したデュアルホーム ネットワークについて

  • [アーティクル]

一般的なハブとスポークのアーキテクチャでは、アプリケーション ワークロードはスポークの仮想ネットワーク (VNet) にデプロイされます。 これらのスポークは、VPN や ExpressRoute ゲートウェイなどの共有ネットワーク リソースを含む単一のハブ VNet とピアリングされます。 状況によっては、何らかの理由で複数の VPN または ExpressRoute ゲートウェイが必要な場合など、複数のハブ VNet にスポークをピアリングすることが望ましい場合があります。 Azure Route Server はこのアーキテクチャを有効にして、スポーク VNet 内のワークロードが、接続されているいずれかのハブ VNet を通して通信できるようにします。

設定方法

次の図に示すように、次のことを行う必要があります。

  • 各ハブ仮想ネットワークにネットワーク仮想アプライアンス (NVA) を、スポーク仮想ネットワークにルート サーバーをデプロイします。
  • ハブおよびスポークの仮想ネットワーク間で VNet ピアリングを有効にします。
  • ルート サーバーとデプロイされた各 NVA との間の BGP ピアリングを構成します。

Diagram of Route Server in a dual-homed topology.

それはどのように機能しますか?

コントロール プレーンでは、NVA とルート サーバーは、同じ仮想ネットワークにデプロイされているかのように、ルートを交換します。 NVA は、ルート サーバーからスポーク VNet アドレスについて学習します。 ルート サーバーは、各 NVA からルートを学習します。 その後、ルート サーバーは、学習したルートを使って、スポーク VNet 内のすべての仮想マシンをプログラムします。

データ プレーンでは、スポーク VNet 内の仮想マシンは、ハブ内のセキュリティ NVA または VPN NVA をネクスト ホップとして認識します。 インターネットにバインドされたトラフィックまたはハイブリッド クロス プレミス トラフィック宛てのトラフィックは、ハブ VNet 内の NVA を経由してルーティングされます。 両方のハブをアクティブ/アクティブまたはアクティブ/パッシブのどちらかに構成できます。 アクティブなハブで障害が発生した場合、仮想マシンとの間のトラフィックはもう一方のハブにフェールオーバーされます。 これらのエラーには、NVA エラーやサービス接続エラーが含まれますが、これらに限定されません。 この設定により、ネットワークが高可用性用に構成されます。

ExpressRoute との統合

2 つ以上の ExpressRoute 接続を含むデュアルホーム ネットワークを構築できます。 上記の手順と共に、次のことを実行する必要があります。

  • ExpressRoute ゲートウェイを持つ各ハブ VNet にルート サーバーを作成します。
  • NVA とハブ VNet 内のルート サーバーの間に BGP ピアリングを構成します。
  • ExpressRoute ゲートウェイとハブ VNet 内のルート サーバーの間のルート交換を有効にします
  • スポーク仮想ネットワークの VNet ピアリング構成で "リモート ゲートウェイまたはリモート ルート サーバーを使用する" ことが無効になっている必要があります。

Diagram of Route Server in a dual-homed topology with ExpressRoute.

それはどのように機能しますか?

コントロール プレーンでは、ハブ VNet 内の NVA は、ハブ内のルート サーバーとのルート交換を介して、ExpressRoute ゲートウェイからオンプレミスのルートについて学習します。 同じルート サーバーを使って、今度は NVA から ExpressRoute ゲートウェイにスポーク VNet アドレスが送信されます。 スポークとハブ両方の VNet のルート サーバーで、それぞれの仮想ネットワーク内の仮想マシンへのオンプレミス ネットワーク アドレスがプログラムされます。

重要

BGP で AS パスの AS 番号を確認することによってループが回避されます。 受信ルート サーバーは、受信した BGP パケットの AS パスに自分の AS 番号が設定されている場合、そのパケットをドロップします。 この例では、どちらのルート サーバーも AS 番号は同じ 65515 です。 各ルート サーバーで他のルート サーバーからのルートが削除されるのを防ぐには、NVA と各ルート サーバーのピアリング時に、as-override の BGP ポリシーを適用する必要があります。

データ プレーンでは、スポーク VNet 内の仮想マシンは、最初にハブ VNet 内の NVA に、オンプレミス ネットワーク宛てのすべてのトラフィックを送信します。 その後、NVA から ExpressRoute 経由でオンプレミス ネットワークにトラフィックが転送されます。 オンプレミスからのトラフィックは、同じデータ パスを逆方向に進みます。 どのルート サーバーもデータ パスに存在しないことがわかります。

関連するコンテンツ