Azure Virtual Network Manager の接続構成

  • [アーティクル]

この記事では、Azure Virtual Network Manager を使って作成してデプロイできるさまざまな種類の構成について説明します。 現在使用できる構成には、接続性セキュリティ管理者の 2 種類があります。

重要

Azure Virtual Network Manager は、Virtual Network Manager とハブ アンド スポークの接続構成で一般提供されています。 メッシュ接続の構成は、パブリック プレビューのままです。

セキュリティ管理者ルールを使用したセキュリティ構成は、次のリージョンで一般提供されています。

  • オーストラリア中部
  • オーストラリア中部 2
  • オーストラリア東部
  • オーストラリア南東部
  • ブラジル南部
  • ブラジル南東部
  • カナダ中部
  • カナダ東部
  • 東アジア
  • ヨーロッパ北部
  • フランス中部
  • フランス南部
  • ドイツ北部
  • ドイツ中西部
  • インド中部
  • インド南部
  • インド西部
  • イスラエル中部
  • イタリア北部
  • 東日本
  • 西日本
  • JIO インド西部
  • 韓国中部
  • 韓国南部
  • ノルウェー東部
  • ノルウェー西部
  • ポーランド中部
  • カタール中部
  • 南アフリカ北部
  • 南アフリカ西部
  • スウェーデン中部
  • スウェーデン南部
  • スイス北部
  • スイス西部
  • アラブ首長国連邦中部
  • アラブ首長国連邦北部
  • 英国南部
  • 英国西部
  • 米国中部
  • 米国東部
  • 英国北部
  • 米国西部
  • 米国西部 2
  • 米国西部 3
  • 米国中西部

他のすべてのリージョンでは、パブリック プレビューのままです。

このプレビュー バージョンはサービス レベル アグリーメントなしで提供されています。運用環境のワークロードに使用することはお勧めできません。 特定の機能はサポート対象ではなく、機能が制限されることがあります。 詳しくは、Microsoft Azure プレビューの追加使用条件に関するページをご覧ください。

接続の構成

接続性を使用すると、ネットワークのニーズに応じてさまざまなネットワーク トポロジを作成できます。 トポロジはメッシュ ネットワークハブ アンド スポークの 2 種類から選択できます。 仮想ネットワーク間の接続性は、構成設定内で定義されます。

メッシュ ネットワーク トポロジ

メッシュ ネットワークは、ネットワーク グループのすべての仮想ネットワークが互いに接続されているトポロジです。 すべての仮想ネットワークが接続され、双方向にトラフィックを渡す可能性があります。 既定では、メッシュはリージョン メッシュであるため、同じリージョン内の仮想ネットワークだけが相互に通信できます。 グローバル メッシュ を有効にすると、すべての Azure リージョン間で仮想ネットワークの接続を確立できます。 仮想ネットワークは、最大で 2 つの接続グループに属することができます。 仮想ネットワークのアドレス空間は、仮想ネットワーク ピアリングの場合とは異なり、メッシュ構成で重ねることができます。 ただし、ルーティングは決定論的でないため、重複する特定のサブネットへのトラフィックは破棄されます。

ネットワーク トポロジの図。

接続されたグループ

メッシュ トポロジを作成すると、接続されているグループという新しい接続構造が作成されます。 接続されたグループ内の仮想ネットワークは、仮想ネットワークを手動で接続する場合と同様に、相互に通信できます。 ネットワーク インターフェイスの有効なルートを確認すると、ネクスト ホップの種類として ConnectedGroup が表示されます。 接続されたグループ内で相互に接続されている仮想ネットワークには、仮想ネットワークの [ピアリング] の一覧に表示されるピアリング設定はありません。

Note

  • 2 つ以上の仮想ネットワークでサブネットが競合している場合、それらのサブネットのリソースは、同じメッシュ ネットワークに属していても相互に通信できません
  • 仮想ネットワークは、最大で 2 つのメッシュ構成に属することができます。

ハブとスポークのトポロジ

ハブ アンド スポークは、仮想ネットワークがハブ仮想ネットワークとして選択されているネットワーク トポロジです。 この仮想ネットワークは、構成内のすべてのスポーク仮想ネットワークと双方向にピアリングされます。 このトポロジは、仮想ネットワークを分離し、ハブ仮想ネットワーク内の共通リソースに接続する必要がある場合に便利です。

ハブ アンド スポーク トポロジの図。

この構成では、スポーク仮想ネットワーク間の直接接続など、有効にできる設定があります。 既定では、この接続性は同じリージョン内の仮想ネットワークにのみ適用されます。 異なる Azure リージョン間を接続できるようにするには、"グローバル メッシュ" を有効にする必要があります。 また、ゲートウェイ転送を有効にすると、スポーク仮想ネットワークがハブに導入された VPN または ExpressRoute のゲートウェイを使用できるようになります。

直接接続

"直接接続" を有効にすると、ハブとスポークトポロジの上に "接続されたグループ" のオーバーレイが作成されます。これには特定のグループのスポーク仮想ネットワークが含まれます。 直接接続により、スポーク VNet はスポーク グループ内の他の VNet と直接通信できますが、他のスポークの VNet と直接通信することはできません。

たとえば、2 つのネットワーク グループを作成します。 Production ネットワーク グループでは直接接続を有効にしますが、Test ネットワーク グループでは有効にしません。 この設定では、Production ネットワーク グループの仮想ネットワークは相互に通信できますが、Test ネットワーク グループの仮想ネットワークは通信できません。

2 つのネットワーク グループを含むハブ アンド スポーク トポロジの図。

VM 上の有効なルートを調べると、ハブ アンド スポーク仮想ネットワーク間のルートは、ネクスト ホップの種類が VNetPeering または GlobalVNetPeering となっています。 スポーク仮想ネットワーク間のルートは、ConnectedGroup のネクスト ホップの種類で表示されます。 上記の例では、Production ネットワーク グループのみが "直接接続" を有効にしているため、ConnectedGroup を持ちます。

トポロジ ビューを使用したネットワーク グループ トポロジの検出

ユーザーがネットワーク グループのトポロジを理解しやすいように用意されている Azure Virtual Network Manager のトポロジ ビューには、ネットワーク グループとそのメンバー仮想ネットワークの間の接続が表示されます。 次の手順のようにして接続構成を作成する間に、ネットワーク グループのトポロジを見ることができます。

  1. [構成] ページに移動して、接続構成を作成します。
  2. [トポロジ] タブで、目的のトポロジの種類を選び、1 つ以上のネットワーク グループをトポロジに追加して、他の必要な接続設定を構成します。
  3. [Preview Topology] (トポロジのプレビュー) タブを選んでトポロジ ビューをテストし、構成の現在の接続を確認します。
  4. 接続構成の作成を完了します。

Note

トポロジ ビューは、Azure portal で接続構成を作成しているときにだけ使用できます。 構成を作成した後では、トポロジを表示できなくなります。

ユース ケース

スポーク仮想ネットワーク間の直接接続を有効にすると、ハブ仮想ネットワークに NVA または共通のサービスを使用するが、ハブに常にアクセスする必要はない場合に役立ちます。 ただし、ネットワーク グループ内のスポーク仮想ネットワークが相互に通信する必要があります。 このトポロジは、従来のハブ アンド スポーク ネットワークと比較して、ハブ仮想ネットワーク経由の余分なホップを排除することでパフォーマンスを向上させます。

グローバル メッシュ

メッシュと同様に、これらのスポーク接続グループは、リージョンまたはグローバルとして構成できます。 グローバル メッシュは、スポーク仮想ネットワークがリージョンを超えて相互に通信する場合に必要です。 この接続は、同じネットワーク グループ内の仮想ネットワークに限定されます。 リージョン間の仮想ネットワークの接続を有効にするには、ネットワーク グループのリージョン間のメッシュ接続を有効にする必要があります。 スポーク仮想ネットワーク間に作成された接続は、接続グループ内に含まれます。

ハブをゲートウェイとして使用する

ハブアンドスポーク構成で有効にできるもう 1 つのオプションは、ハブをゲートウェイとして使用する方法です。 この設定により、ネットワーク グループ内のすべての仮想ネットワークは、ハブ仮想ネットワーク内の VPN または ExpressRoute ゲートウェイを使って、トラフィックを渡すことができるようになります。 ゲートウェイとオンプレミスの接続を参照してください。

Azure portal からハブ アンド スポーク トポロジをデプロイすると、ネットワーク グループ内のスポーク仮想ネットワークに対して、ハブをゲートウェイとして使用するが規定で有効になります。 Azure Virtual Network Manager は、リソース グループ内のハブとスポーク仮想ネットワークの間に、仮想ネットワーク ピアリング接続の作成を試みます。 ゲートウェイがハブ仮想ネットワークに存在しない場合、スポーク仮想ネットワークからハブへのピアリングの作成は失敗します。 ハブからスポークへのピアリング接続は、確立された接続なしで作成されます。

次のステップ