Virtual WAN の仮想ハブ ルーティングを使用する場合、多くのシナリオを利用できます。 この NVA シナリオでは、ブランチから仮想ネットワークへ、また仮想ネットワークからブランチへの交通を NVA (ネットワーク仮想アプライアンス) を使用してルーティングすることが目標です。 仮想ハブ ルーティングの詳細については、「仮想ハブのルーティングについて」を参照してください。
注
新しい機能が導入される前から使用しているルート設定がある場合、仮想ハブ ルーティングを構成する方法 の記事の、このバージョンの手順を使用してください。
デザイン
このシナリオでは、次の名前付け規則を使用します。
- ユーザーが NVA をデプロイし、その他の仮想ネットワークをスポークとして接続している仮想ネットワークの場合は "NVA VNet" を使用 (この記事の下の方にある図 2 の、VNet 2 および VNet 4)。
- NVA VNet に接続されている仮想ネットワークの場合は "NVA スポーク" を使用 (この記事の下の方にある図 2 の VNet 5、VNet 6、VNet 7 および VNet 8)。
- NVA またはその他の VNet がピアリングされていない Virtual WAN に接続されている仮想ネットワークの場合は "NVA 以外の VNet" を使用 (この記事の下の方にある図 2 の VNet 1 および VNet 3)。
- NVA VNet が接続される Microsoft が管理する Virtual WAN ハブを「ハブ」と呼びます。 ** NVA スポーク VNet は、Virtual WAN ハブではなく、NVA VNet にのみ接続する必要があります。
次の接続マトリックスは、このシナリオでサポートされるフローの概要を示しています。
接続マトリックス
| 接続元 | 接続先: | NVA スポーク | NVA VNet | NVA 以外の VNet | ブランチ |
|---|---|---|---|---|---|
| NVA スポーク | → | NVA VNet 経由 | ピアリング | NVA VNet を通じて | NVA VNet を通じて |
| NVA VNet | → | ピアリング | 直接 | 直接 | 直接 |
| NVA 以外の VNet | → | NVA VNet 経由 | 直接 | 直接 | 直接 |
| ブランチ | → | NVA VNet 経由 | 直接 | 直接 | 直接 |
接続マトリックスの各セルは、VNetまたはブランチ(フローの「送信元」側、表の行ヘッダー)が宛先VNetまたはブランチ(フローの「宛先」側、表の斜体の列ヘッダー)とどのように通信するかを示しています。 "直接" は、Virtual WAN によって接続がネイティブに提供されることを意味します。"ピアリング" は、VNet 内のユーザー定義ルートによって接続が提供されることを意味します。"NVA VNet 経由" は、NVA VNet にデプロイされた NVA を介して接続が行われることを意味します。 次の項目について検討してください。
- NVA スポークは、Virtual WAN によって管理されていません。 そのため、他の VNet またはブランチとの通信に使用されるメカニズムは、ユーザーによって管理されます。 NVA VNet への接続性は、VNet ピアリングによって提供され、次ホップとして NVA を指す 0.0.0.0/0 への既定のルートは、インターネット、その他のスポーク、およびブランチへの接続に対応している必要があります
- NVA VNet では自身の NVA スポークは認識されますが、他の NVA VNet に接続されている NVA スポークは認識されません。 たとえば、この記事の下の方にある図 2 では、VNet 2 によって VNet 5 と VNet 6 が認識されますが、VNet 7 や VNet 8 などの他のスポークは認識されません。 他のスポークのプレフィックスを NVA VNet に挿入するには、静的ルートが必要です
- 同様に、NVA スポークは Virtual WAN ハブに接続されていないため、ブランチ、および NVA 以外の VNet で NVA スポークは認識されません。 そのため、ここでも静的ルートが必要です。
NVA スポークは Virtual WAN によって管理されていないことを考慮すると、他のすべての行は同じ接続パターンを示しています。 そのため、1 つのルート テーブル (既定のもの) で十分です。
- 仮想ネットワーク (ハブ以外の VNet とユーザーハブ VNet):
- 関連付けられたルート テーブル: [Default]
- ルート テーブルへの伝達: Default
- ブランチ:
- 関連付けられたルート テーブル: [Default]
- ルート テーブルへの伝達: 既定値
ただし、このシナリオでは、どの静的ルートを構成するかを考える必要があります。 各静的ルートには 2 つのコンポーネントがあります。図 1 に示されているように、1 つは Virtual WAN ハブ内にあり、各スポークに使用する接続を Virtual WAN コンポーネントに伝え、もう 1 つは、その特定の接続内にあり、NVA (または複数の NVA の前に配置されているロード バランサー) に割り当てられた具体的な IP アドレスをポイントしています。
図 1
そのため、NVA VNet の後に配置されている NVA スポークにトラフィックを送信するために、既定のテーブルに必要な静的ルートは次のようになります。
| 説明 | ルートテーブル | 静的ルート |
|---|---|---|
| VNet 2 | 既定値 | 10.2.0.0/16 -> eastusconn |
| VNet 4 | 既定値 | 10.4.0.0/16 -> weconn |
これで、これらの静的ルートがオンプレミスのブランチにアドバタイズされ、Virtual WAN ハブがトラフィックの転送先の VNet 接続を認識するようになります。 ただし、VNet 接続は、このトラフィックを受信するときに何を行うかを把握する必要があります: ここで、接続ルート テーブルが使用されます。 ここでは、より短いプレフィックス (より長い /16 ではなく /24) を使用して、これらのルートが NVA VNet (VNet 2 および VNet 4) からインポートされたルートよりも優先されるようにします。
| 説明 | 接続 | 静的ルート |
|---|---|---|
| VNet 5 | eastusconn | 10.2.1.0/24 -> 10.2.0.5 |
| VNet 6 | eastusconn | 10.2.2.0/24 -> 10.2.0.5 |
| VNet 7 | weconn | 10.4.1.0/24 -> 10.4.0.5 |
| VNet 8 | ウィコーン | 10.4.2.0/24 -> 10.4.0.5 |
NVA VNet、NVA 以外の VNet、ブランチで、すべての NVA スポークへの到達方法が認識されました。 仮想ハブ ルーティングの詳細については、「仮想ハブのルーティングについて」を参照してください。
アーキテクチャ
図 2 には、2 つのハブ (Hub1 と Hub2) があります。
Hub1 と Hub2 は、NVA VNet の VNet 2 および VNet 4 に直接接続されています。
VNet 5 と VNet 6 は、VNet 2 とピアリングされています。
VNet 7 と VNet 8 は、VNet 4 とピアリングされています。
VNet 5、6、7、8 は間接的なスポークであり、仮想ハブに直接接続されてはいません。
図 2
考慮事項
このシナリオでは、サード パーティの NVA または VNet 2 と VNet 4 の Azure Firewall を使用できます。
このシナリオでは、静的ルートに関する ルーティング ポリシーの制限 があるため、ルーティングインテントを持つ Secure Hubs はサポートされていません。 ただし、BGP ピアリング機能を使用して、ルーティング インテントと共に Secure Hubs を用いることで、間接スポークを活用できます。
シナリオのワークフロー
NVA 経由のルーティングを設定するには、次のような手順を検討します。
NVA スポークの VNet 接続を特定します。 これらは、図 2 における VNet 2 の接続 (eastusconn) と VNet 4 の接続 (weconn) です。
UDR が設定されていることを確認します。
- VNet 5 および VNet 6 から VNet 2 NVA IP へ
- VNet 7 および VNet 8 から VNet 4 NVA IP へ
VNet 5、6、7、8 を仮想ハブに直接接続する必要はありません。 VNet 5、6、7、8 の NSG で、ブランチ (VPN/ER/P2S) またはリモート VNet に接続されている VNet に対するトラフィックが許可されていることを確認します。 たとえば、VNet 5、6 の NSG では、リモート Hub 2 に接続されているオンプレミスのアドレス プレフィックスと VNet 7、8 に対するトラフィックが確実に許可されている必要があります。
Virtual WAN は、VNet 5、6 が仮想ハブに接続される一方で、VNet 2 の NVA IP を介して通信を行うというシナリオをサポートしていません。そのため、VNet 5、6 は VNet 2 に接続し、同様に VNet 7、8 は VNet 4 に接続する必要があります。
VNet 2、5、6 に対する集約静的ルート エントリを、Hub 1 の既定のルート テーブルに追加します。
注記
ルーティングを簡略化し、Virtual WAN ハブ ルート テーブルの変更を少なくするには、新しい Virtual WAN ハブとの BGP ピアリング機能をお勧めします。 詳細については、次の記事をご覧ください。
VNet 2 の仮想ネットワーク接続で、VNet 5、6 に対する静的ルートを構成します。 仮想ネットワーク接続に対するルーティング構成の設定については、仮想ハブルーティングに関する記事を参照してください。
VNet 4、7、8 に対する集約静的ルート エントリを、Hub 1 の既定のルート テーブルに追加します。
Hub 2 の既定のルート テーブルについて、ステップ 2、3、4 を繰り返します。
これにより、図 3 に示すように、ルーティング構成が変更されます。
図 3
次のステップ
- Virtual WAN の詳細については、FAQ を参照してください。
- 仮想ハブ ルーティングの詳細については、「仮想ハブのルーティングについて」を参照してください。