Important
Azure Virtual Network Manager ハブ アンド スポーク接続構成でAzure Virtual WAN ハブを使用することは現在プレビュー段階です。 プレビュー段階では、この機能の機能、可用性、およびその他の側面が、フィードバックに応じて変更される可能性があります。
このプレビュー バージョンは、サービス レベル アグリーメントなしで提供され、運用環境のワークロードには推奨されません。 特定の機能がサポートされていないか、機能が制限されている可能性があります。 これは、次のAzureリージョンでのみ使用できます。
- 米国中西部
- オーストラリア中部
- オーストラリア南東部
- ブラジル南部
- カナダ中部
- 北ヨーロッパ
- フランス南部
- ドイツ北東部
- ドイツ中西部
- インド中部
- インド西部
- 東日本
- 韓国中部
- マレーシア南部
- マレーシア西部
- メキシコ中部
- ノルウェー西部
- カタール中部
- 南アフリカ北部
- スウェーデン中部
- スイス西部
- 台湾北部
- アラブ首長国連邦中部
- 米国東部
- 米国西部
- 米国西部 2
詳細については、「 Microsoft Azure プレビューの追加使用条件」を参照してください。
概要
Azure Virtual Network Managerは、ハブ スポーク ネットワーク トポロジのハブとしてVirtual WAN ハブを利用できます。 これにより、Azure仮想ネットワークを
仮想ネットワーク マネージャー の 接続構成では、ネットワーク グループを Virtual WAN ハブの 接続ポリシーに割り当てることもでき、これにより Virtual WAN ハブへのすべての接続で同じルーティング構成が使用されるようになります。 接続ポリシーは、次のVirtual Network接続設定を管理します。
- インターネット セキュリティを有効にする: Virtual WANがファイアウォールまたはネットワーク仮想アプライアンス (NVA) 経由でインターネット トラフィックをルーティングするように構成されている場合は、既定のルート (0.0.0.0/0) をスポーク仮想ネットワークにアドバタイズするかどうかを制御します。
- ルート マップ: Virtual Network接続に適用されるルート マップを割り当てます。
- ルーティング構成: Virtual Network 接続がどの Virtual WAN のルート テーブルからルートを学習し、Virtual Network がどのルート テーブルに伝播するかを指定します。
この統合を使用する方法の詳細については、Network Manager の Configure Virtual WAN ハブを参照してください。
Virtual WANと Network Manager の対話に関する主な考慮事項
次の表は、Virtual WANでAzure Virtual Network Managerを使用する場合に考慮すべき重要な動作と制限事項をまとめたものです。
| Area | Consideration | Guidance |
|---|---|---|
| ハブ スコープ | 1 つの仮想ネットワーク マネージャーネットワーク グループと接続ポリシーは、1 つのVirtual WAN ハブにのみ適用できます。 | 複数のVirtual WAN ハブへの接続を管理するには、ハブごとに個別のネットワーク グループと接続ポリシーを作成します。 |
| 接続ポリシーの更新 | 仮想ネットワーク マネージャーでは、接続構成で使用されるVirtual WAN接続ポリシーを更新できます。 | 現在関連付けられている接続ポリシーを編集して、ルーティングの変更をネットワーク グループ内のすべての仮想ネットワークに直ちに適用するか、別の接続ポリシーを関連付けて変更を段階的にステージングしてデプロイします。 |
| ネットワーク グループ メンバーの削除 | Virtual WANに接続されているネットワーク グループから仮想ネットワークを削除すると、Virtual WAN ハブから仮想ネットワークが切断されます。 | ネットワーク グループから仮想ネットワークを削除する前に、ハブ接続も削除する必要があるかどうかを確認します。 |
| 既存のユーザーが作成した接続 | 既存のユーザー作成Virtual WAN仮想ネットワーク接続が、Virtual WAN ハブに接続されているネットワーク グループに追加された場合、仮想ネットワーク マネージャーはユーザーが作成した接続を保持します。 ネットワーク グループから仮想ネットワークを削除しても、ユーザーが作成した元の接続は削除されません。 | ユーザーが作成した接続を削除する必要がある場合は、手動で削除します。 |
| 直接接続 | 仮想ネットワーク マネージャーは、Virtual WAN ハブに接続されているネットワーク グループ内の仮想ネットワーク間の直接接続を有効にして、接続されたグループまたはメッシュを形成できます。 有効にすると、ネットワーク グループ内の仮想ネットワーク間トラフィックは、Virtual WAN ハブを通過するのではなく、仮想ネットワーク間で直接ルーティングされます。 | 接続されたグループとメッシュの構成は、仮想ネットワーク間トラフィックを Virtual WAN ハブにデプロイされたセキュリティ ソリューションに送信するルーティング意図またはルーティング構成よりも優先されます。 |
| 接続ポリシー Virtual WAN のルーティング属性 | 接続ポリシーによって管理されるプロパティは、個々のVirtual WAN接続で直接構成された競合する設定をオーバーライドします。 | 詳細については、 接続ポリシー を参照してください。 |
| 接続の強制 | 仮想ネットワーク マネージャー接続構成では、ピアリングやVirtual WAN ハブへの接続は強制されません。 仮想ネットワーク マネージャーによって作成されたVirtual Network接続は削除できます。 | 仮想ネットワーク マネージャーは、次回スポーク仮想ネットワークのリージョンに接続構成がデプロイされるときに、仮想ネットワークを Virtual WAN ハブに自動的に再接続しようとします。 |
既知の問題
次の表では、仮想ネットワーク マネージャーとVirtual WANの統合に関する既知の問題について説明します。
| 問題点 | Description | 緩和策 |
|---|---|---|
| テナント間のネットワーク グループ メンバーに接続構成が正しく適用されません。 | デプロイされた接続構成は、Virtual WAN ハブとは異なるテナント内の仮想ネットワークに適切に適用されません。 | Terraform、Azure CLI、またはAzure PowerShellを使用して、テナント間のメンバーをVirtual WAN ハブに手動で接続して管理します。 |
| 既存の (ユーザーが作成した) Virtual WAN Virtual Network接続は、仮想ハブ間で移動されません。 | 仮想ネットワークに既にユーザーが作成したVirtual WAN ハブへの接続がある場合、仮想ネットワーク マネージャーは、ユーザーが作成した既存の接続に優先順位を付け、保持します。 接続構成が後で別のVirtual WAN ハブを対象とする場合、Azure Virtual Network Managerは引き続き既存の接続に優先順位を付け、既存の接続を新しいハブに移動しません。 | 既存のVirtual Network接続を元のVirtual WAN ハブから目的のVirtual WAN ハブに手動で移動します。 |
| 大規模なプライベート エンドポイント | 1 つのVirtual WAN ハブに接続されている仮想ネットワークに 4,000 を超えるプライベート エンドポイントがデプロイされている場合、仮想ネットワークまたはオンプレミスからハブを通過するPrivate Link接続が影響を受ける可能性があります。 詳細については、「 |
1 つのVirtual WAN ハブに接続されているすべての仮想ネットワークのプライベート エンドポイントの数が 4000 を超えないようにします。 |
| Azure ポータルでの接続ポリシーの読み込みが遅い。 | Azure Virtual Network Managerの接続ポリシー エクスペリエンスでは、ユーザーがネットワーク マネージャーの接続構成に接続ポリシーを割り当てられるようにする前に、いくつかの検証チェックが実行されます。 | 操作を再試行する前に、Azure ポータルエクスペリエンスの読み込みに時間を追加します。 |
さらに、 接続ポリシー の制限事項と考慮事項の詳細については、接続ポリシーの既知の問題を参照してください。
ユースケース例
次のセクションでは、Virtual WANで仮想ネットワーク マネージャーを使用するための一般的なユース ケースについて説明します。
Virtual WAN ハブへの仮想ネットワークの一括接続
仮想ネットワーク マネージャー 接続構成を使用すると、ネットワーク ハブとしてVirtual WANを持つ network グループを定義できます。 これにより、ネットワーク グループ内の all 仮想ネットワークがVirtual WAN ハブに並列で接続されます。 定義済みのルーティング構成は、ネットワーク グループ内のすべてのスポーク仮想ネットワークに自動的に適用されます。
すべてのVirtual Network接続は、仮想ネットワーク マネージャーによって自動的に調整されます。
Azure Policyを使用して仮想ネットワークをVirtual WANに動的に接続する
サブスクリプションに Azure Policy を実装して、新しく作成された Virtual Network を Virtual WAN に自動的に接続し、正しいルーティング構成を適用します。 これにより、新しいワークロードのオンボードとネットワーク アクセスを自動化することで、より迅速に構築できます。
大規模なバッチ ルーティング構成の更新
仮想ネットワーク マネージャーとVirtual WANのコントロール プレーン統合により、ネットワーク グループ内のすべての仮想ネットワークに、完全に並列化された単一の操作として重要な構成設定をプッシュできます。
更新の並列化により、ネットワーク変更の実施や必要に応じたロールバックに必要なメンテナンスウィンドウの時間を大幅に短縮できるほか、Infrastructure as Code(IaC)や CI/CD パイプラインに依存することなく、大規模な変更を実施できます。
段階的なデプロイと管理
仮想ネットワーク マネージャーを使用すると、Virtual WAN Virtual Network接続に増分的に変更を適用することで、ネットワークをより正確な更新ドメインにセグメント化できます。 個々のネットワーク グループは、環境 (ステージング、開発、運用など) またはリージョン別に作成できます。 その後、接続ポリシーを各ネットワーク グループまたは Azure リージョンに個別に適用できます。これにより、グローバルに適用する前に、ネットワークの小さなサブセットで変更をテストできます。 これにより、構成ミスの可能性がある爆発半径を最小限に抑え、ネットワークの安定性を確保できます。
選択的検査シナリオ向けの直接接続性を実現するメッシュ ピアリング
ルーティング意図とルーティング ポリシーを使用すると、Virtual WANのお客様は、Virtual WAN ハブ内のファイアウォール アプライアンスによって検査されるすべてのプライベート (Virtual Networkおよびオンプレミス) トラフィックを構成できます。
夜間のデータベース更新など、特定の高スループットまたは待機時間に依存するアプリケーションでは、Virtual WAN ハブにデプロイされた次世代ファイアウォールを介してトラフィックを検査すると、スループットが調整され、待機時間が増加し、コストが増加します。 仮想ネットワーク間のトラフィックが検査をバイパスするには、直接接続を有効にして、ネットワーク グループ内の仮想ネットワーク間にメッシュを形成します。
大規模なアクセス制御リストの展開と管理を簡略化するセキュリティ管理者ルールを実装する
スポーク仮想ネットワークをVirtual WANに接続するネットワーク グループを定義し、セキュリティ管理者ルールを使用してAccess Control リスト (ACL) を作成し、Virtual WANスポーク ネットワークに展開します。 セキュリティ管理者ルールは、Virtual WAN ハブの次世代ファイアウォールと共に、外部の脅威から複数の防御レイヤーを構成するための使いやすい方法を提供します。
