仮想ハブのルーティングについて

  • [アーティクル]

仮想ハブのルーティング機能は、Border Gateway Protocol (BGP) を使用してゲートウェイ間のすべてのルーティングを管理するルーターによって提供されます。 仮想ハブには、サイト間 VPN ゲートウェイ、ExpressRoute ゲートウェイ、ポイント対サイト ゲートウェイ、Azure Firewall などの複数のゲートウェイを含めることができます。 また、このルーターは、仮想ハブに接続する仮想ネットワーク間の転送接続を提供し、最大 50 Gbps の合計スループットをサポートできます。 これらのルーティング機能は、Standard Virtual WAN のお客様に適用されます。

ルーティングを構成する方法については、「仮想ハブのルーティングを構成する方法」を参照してください。

ルーティングの概念

次のセクションでは、仮想ハブのルーティングでの主要な概念について説明します。

ハブ ルート テーブル

仮想ハブ ルート テーブルには、1 つ以上のルートを含めることができます。 ルートには、その名前、ラベル、宛先の種類、宛先プレフィックスの一覧、およびルーティングされるパケットの次ホップ情報が含まれます。 接続には、通常、ルート テーブルに関連付ける、またはルート テーブルに伝達するルーティング構成があります。

ハブのルーティング インテントとポリシー

ルーティング インテントとルーティング ポリシーを使用すると、Virtual WAN ハブを構成して、インターネット接続トラフィックとプライベート (Virtual WAN ハブ内および Virtual Network 内のポイント対サイト、サイト間、ExpressRoute、ネットワーク仮想アプライアンス) トラフィックを、Virtual WAN ハブにデプロイされた Azure Firewall、次世代ファイアウォール NVA、または "サービスとしてのソフトウェア" ソリューションを経由して送信することができます。 ルーティング ポリシーには、インターネット トラフィックとプライベート トラフィックの 2 種類のルーティング ポリシーがあります。 各 Virtual WAN ハブは、最大で 1 つのインターネット トラフィック ルーティング ポリシーと 1 つのプライベート トラフィック ルーティング ポリシーを持ち、それぞれ次ホップ リソースを持つことができます。

プライベート トラフィックには、ブランチと Virtual Network の両方のアドレス プレフィックスが含まれますが、それらはルーティング ポリシーで、ルーティング インテントの概念の中の 1 つのエンティティと見なされます。

  • インターネット トラフィック ルーティング ポリシー: インターネット トラフィック ルーティング ポリシーが Virtual WAN ハブに構成されている場合、その Virtual WAN ハブへのすべてのブランチ (ユーザー VPN (ポイント対サイト VPN)、サイト間 VPN、ExpressRoute) と仮想ネットワーク接続では、インターネットへのトラフィックは、ルーティング ポリシーの一部として指定された Azure Firewall リソースまたはサードパーティのセキュリティ プロバイダーに転送されます。

  • プライベート トラフィック ルーティング ポリシー: プライベート トラフィック ルーティング ポリシーが Virtual WAN ハブに構成されている場合、ハブ間のトラフィックを含む、Virtual WAN ハブ内外のすべてのブランチおよび仮想ネットワーク トラフィックは、プライベート トラフィック ルーティング ポリシーに指定された Azure Firewall のネクスト ホップ リソースに転送されます。

ルーティング インテントとポリシーを構成する方法の詳細については、次のドキュメントを参照してください。

接続

接続は、ルーティング構成を持つ Resource Manager のリソースです。 4 種類の接続は次のとおりです。

  • VPN 接続:VPN サイトを仮想ハブ VPN ゲートウェイに接続します。
  • ExpressRoute 接続: ExpressRoute 回線を仮想ハブの ExpressRoute ゲートウェイに接続します。
  • P2S 構成接続: ユーザー VPN (ポイント対サイト) 構成を仮想ハブのユーザー VPN (ポイント対サイト) ゲートウェイに接続します。
  • ハブ仮想ネットワーク接続: 仮想ネットワークを仮想ハブに接続します。

仮想ネットワーク接続のルーティング構成は、セットアップ中に設定できます。 既定では、すべての接続は既定のルート テーブルに関連付けられ、伝達します。

関連付け

各接続は、1 つのルート テーブルに関連付けられています。 ルート テーブルに接続を関連付けることにより、ルート テーブルにルートとして示されている宛先に (その接続からの) トラフィックを送信できます。 接続のルーティング構成には、関連付けられているルート テーブルが表示されます。 複数の接続を同じルート テーブルに関連付けることができます。 すべての VPN、ExpressRoute、およびユーザー VPN 接続は、同じ (既定の) ルート テーブルに関連付けられます。

既定では、すべての接続は、仮想ハブ内の既定のルート テーブルに関連付けられます。 各仮想ハブには独自の既定のルート テーブルがあり、これを編集して静的ルートを追加することができます。 静的に追加されたルートは、同じプレフィックスに対する動的に学習されたルートより優先されます。

Diagram shows Association.

伝達

接続は、ルート テーブルにルートを動的に伝達します。 VPN 接続、ExpressRoute 接続、または P2S 構成接続では、ルートは、BGP を使用して仮想ハブからオンプレミス ルーターに伝達されます。 ルートは、1 つまたは複数のルート テーブルに伝達できます。

各仮想ハブでは、None ルート テーブルも使用できます。 None ルート テーブルに伝達するということは、接続から伝達する必要があるルートがないことを意味します。 VPN、ExpressRoute、およびユーザー VPN 接続は、ルートを同じルート テーブルのセットに伝達します。

Diagram shows propagation.

ラベル

ラベルは、ルート テーブルを論理的にグループ化するためのメカニズムを提供します。 接続から複数のルート テーブルにルートを伝達するときに特に役立ちます。 たとえば、既定のルート テーブルには、'Default' という組み込みのラベルがあります。 ユーザーが接続ルートを 'Default' ラベルに伝達すると、Virtual WAN 内のすべてのハブのすべての既定のルート テーブルに自動的に反映されます。

仮想ネットワーク接続での静的ルートの構成

静的ルートを構成すると、仮想ハブに接続されたスポーク VNet にプロビジョニングされているネットワーク仮想アプライアンス (NVA) のものである可能性がある次ホップ IP 経由でハブからのトラフィックを誘導するメカニズムが提供されます。 静的ルートは、ルート名、宛先プレフィックスの一覧、および次ホップ IP で構成されます。

静的ルートの削除

静的ルートを削除するには、ルートが配置されているルート テーブルからルートを削除する必要があります。 手順については、「ルートの削除」を参照してください

既存のルートのルート テーブル

ルート テーブルに、関連付けと伝達の機能が備わりました。 既存のルート テーブルは、これらの機能を持たないルート テーブルです。 ハブ ルーティングに既存のルートがあり、新しい機能を使用する場合は、以下を考慮してください。

  • 仮想ハブに既存のルートがある Standard Virtual WAN のお客様:

    Azure portal のハブの [ルーティング] セクションにルートが既にある場合、まずそれらを削除してから、(Azure portal のハブの [ルート テーブル] セクションで使用できる) 新しいルート テーブルを作成する必要があります。

  • 仮想ハブに既存のルートがある Basic Virtual WAN のお客様:

    Azure portal のハブの [ルーティング] セクションにルートが既にある場合、まずそれらを削除してから、お使いの Basic Virtual WAN を Standard Virtual WAN にアップグレードします。 「Virtual WAN を Basic から Standard にアップグレードする」を参照してください。

ハブのリセット

仮想ハブのリセットは、Azure portal でのみ使用できます。 リセットを行うと、ルート テーブル、ハブ ルーター、または仮想ハブ リソース自体などの失敗したリソースを、適切なプロビジョニング状態に戻すことができます。 Microsoft にサポートを問い合わせる前に、ハブをリセットすることを検討してください。 この操作では、仮想ハブ内のいずれのゲートウェイもリセットされません。

その他の注意点

Virtual WAN ルーティングを構成するときは、次の点を考慮してください。

  • すべてのブランチ接続 (ポイント対サイト、サイト間、および ExpressRoute) が既定のルート テーブルに関連付けられている必要があります。 これにより、すべてのブランチが同じプレフィックスを学習します。
  • すべてのブランチ接続が、同じルート テーブルのセットにルートを伝達する必要があります。 たとえば、ブランチが既定のルート テーブルに伝達するように決定した場合、この構成はすべてのブランチで一貫している必要があります。 その結果、既定のルート テーブルに関連付けられているすべての接続が、すべてのブランチに到達できるようになります。
  • 複数のリージョンで Azure Firewall を使用する場合は、すべてのスポーク仮想ネットワークが、同じルート テーブルに関連付けられている必要があります。 たとえば、VNet のサブセットが Azure Firewall を通過する一方で、他の VNet が同じ仮想ハブ内の Azure Firewall をバイパスすることはできません。
  • 1 つの仮想ネットワーク接続で複数の次ホップ IP アドレスを指定できます。 ただし、仮想ネットワーク接続では、次ホップ IP を使用するいずれかのルートでパブリック IP アドレスまたは 0.0.0.0/0 (インターネット) が示されている場合は、SPOKE 仮想ネットワーク内の "同じ" ネットワーク仮想アプライアンスへの "複数または唯一の" 次ホップ IP はサポートされません。
  • 0\.0.0.0/0 ルートに関連するすべての情報は、ローカル ハブのルート テーブルに限定されます。 このルートは、ハブ間で伝達されません。
  • Virtual WAN を使用してスポーク内にルートをプログラムできるのは、プレフィックスが仮想ネットワークのプレフィックスよりも短い (特定性が低い) 場合のみです。 たとえば、上の図で、スポーク VNET1 のプレフィックスは 10.1.0.0/16 です。この場合、 Virtual WAN では、仮想ネットワーク プレフィックス (10.1.0.0/16) またはいずれかのサブネット (10.1.0.0/24、10.1.1.0/24) に一致するルートを挿入できません。 つまり、Virtual WAN は、同じ仮想ネットワーク内の 2 つのサブネット間のトラフィックを引き付けられません。
  • 同じ仮想 WAN 上の 2 つのハブが相互にルートをアナウンスするのは事実ですが (同じラベルへの伝達が有効になっている限り)、これは動的ルーティングにのみ適用されます。 静的ルートを定義した後は、この操作は行われません。

次のステップ