Azure Virtual WAN とは
Azure Virtual WAN は、ネットワーク、セキュリティ、ルーティングのさまざまな機能をまとめて、1 つの運用インターフェイスを提供するネットワーク サービスです。 主な機能の一部は次のとおりです。
- ブランチ接続 (SD-WAN、VPN CPE などの Azure Virtual WAN パートナー デバイスからの接続性自動化による)。
- サイト間 VPN 接続性。
- リモート ユーザーの VPN 接続性 (ポイント対サイト)。
- プライベート接続性 (ExpressRoute)。
- クラウド内接続性 (仮想ネットワークの推移的な接続性)。
- VPN ExpressRoute の相互接続性。
- プライベート接続性のルーティング、Azure Firewall、暗号化。
Virtual WAN の利用を開始するために、これらのすべてのユース ケースを用意する必要はありません。 1 つのユース ケースだけで始めて、その後発展に応じてネットワークを調整することができます。
Virtual WAN アーキテクチャは、ブランチ (VPN または SD-WAN デバイス)、ユーザー (Azure VPN、OpenVPN、または IKEv2 クライアント)、ExpressRoute 回線、仮想ネットワーク向けにスケールとパフォーマンスが組み込まれたスケールスケーリングするハブ アンド スポーク アーキテクチャです。 これにより、グローバルトランジットネットワークアーキテクチャが可能になり、クラウドでホストされるネットワーク 「ハブ」は、さまざまな種類の "スポーク" に分散される可能性のあるエンドポイント間の推移的な接続を可能にします。
Azure リージョンは、接続先として選択できるハブとして機能します。 Standard Virtual WAN ではすべてのハブがフル メッシュで接続されるため、ユーザーは Any-to-Any (任意のスポーク) 接続に Microsoft バックボーンを簡単に使用できます。
SD-WAN または VPN デバイスとのスポーク接続の場合、ユーザーは Azure Virtual WAN 内で手動で設定するか、Virtual WAN CPE (SD-WAN または VPN) パートナー ソリューションを使用して Azure への接続を設定することができます。 Azure Virtual WAN での接続の自動化 (デバイス情報を Azure にエクスポートし、Azure 構成をダウンロードして接続を確立する機能) をサポートするパートナーの一覧が提供されています。 詳細については、Virtual WAN のパートナーと場所に関する記事を参照してください。
Virtual WAN には次の利点があります。
- ハブ アンド スポーク型の統合された接続ソリューション: オンプレミス サイトと Azure ハブの間のサイト間の構成と接続を自動化します。
- 自動化されたスポークの設定と構成: 仮想ネットワークとワークロードを Azure ハブにシームレスに接続します。
- 直感的なトラブルシューティング: Azure 内でエンド ツー エンドのフローを確認し、この情報を使用して必要なアクションを実行できます。
アーキテクチャ
仮想 WAN のアーキテクチャと Virtual WAN への移行方法については、次の記事を参照してください。
利用可能なリージョンと場所
利用可能なリージョンと場所については、Virtual WAN パートナー、リージョン、場所を参照してください。
Virtual WAN リソース
エンドツーエンドの仮想 WAN を構成するには、次のリソースを作成します。
Virtual WAN:virtualWAN リソースは、Azure ネットワークの仮想オーバーレイを表し、複数のリソースのコレクションです。 これには、仮想 WAN 内に配置するすべての仮想ハブへのリンクが含まれます。 Virtual WAN は相互に分離されており、共通のハブを含むことはできません。 異なる仮想 WAN 内の仮想ハブは、相互に通信しません。
ハブ: 仮想ハブは、Microsoft のマネージド仮想ネットワークです。 ハブには、接続を可能にするためのさまざまなサービス エンドポイントが含まれています。 オンプレミス ネットワーク (vpnsite) から、仮想ハブ内の VPN Gateway に接続したり、ExpressRoute 回線を仮想ハブに接続したり、またはモバイル ユーザーを仮想ハブ内のポイント対サイト ゲートウェイに接続したりすることもできます。 ハブは、リージョン内のネットワークのコアです。 同じリージョン内に複数の仮想ハブを作成できます。
ハブ ゲートウェイは、ExpressRoute および VPN Gateway に使用する仮想ネットワーク ゲートウェイと同じではありません。 たとえば、Virtual WAN を使用する場合は、オンプレミス サイトから直接 VNet にサイト間接続を作成しません。 代わりに、ハブへのサイト間接続を作成します。 トラフィックは、常にハブ ゲートウェイを通過します。 これは、VNet には独自の仮想ネットワーク ゲートウェイが必要ないことを意味します。 Virtual WAN により、VNet は、仮想ハブと仮想ハブ ゲートウェイを介して簡単にスケーリングできます。
ハブ仮想ネットワーク接続: ハブ仮想ネットワーク接続リソースは、ハブを仮想ネットワークにシームレスに接続するために使用します。 1 つの仮想ネットワークは、1 つの仮想ハブにしか接続できません。
ハブ間接続:ハブはすべて、仮想 WAN 内で相互に接続されています。 これは、ローカル ハブに接続されているブランチ、ユーザー、または VNet が、接続されたハブのフル メッシュ アーキテクチャを使用して、別のブランチまたは VNet と通信できることを意味します。 また、ハブ間の VNet と同様に、ハブ間接続されたフレームワークを使用して、仮想ハブを通じて転送するハブ内の VNet を接続することもできます。
ハブのルート テーブル: 仮想ハブのルートを作成して、そのルートを仮想ハブのルート テーブルに適用することができます。 仮想ハブのルート テーブルには、複数のルートを適用できます。
追加の Virtual WAN リソース
- サイト: このリソースは、サイト間接続にのみ使用されます。 サイト リソースは vpnsite です。 これは、オンプレミスの VPN デバイスとその設定を表します。 Virtual WAN パートナーと連携することで、この情報を Azure に自動的にエクスポートする組み込みのソリューションが得られます。
Virtual WAN の種類
仮想 WAN には、次の 2 つの種類があります:Basic と Standard です。 各種類に対して使用できる構成を、次の表に示します。
| Virtual WAN の種類 | ハブの種類 | 利用可能な構成 |
|---|---|---|
| Basic | Basic | サイト間 VPN のみ |
| Standard | Standard | ExpressRoute ユーザー VPN (P2S) VPN (サイト対サイト) 仮想ハブを経由したハブ間および VNet 対 VNet トランジット Azure Firewall 仮想 WAN の NVA |
注意
Basic から Standard にアップグレードすることはできますが、Standard から Basic に戻すことはできません。
仮想 WAN をアップグレードする手順については、「Virtual WAN を Basic から Standard にアップグレードする」をご覧ください。
接続
サイト間 VPN 接続
サイト間 IPsec または IKE (IKEv2) 接続を使用して、Azure 内のリソースに接続することができます。 詳細については、Virtual WAN を使用したサイト間接続の作成に関するページを参照してください。
この種類の接続には、VPN デバイスまたは Virtual WAN パートナー デバイスが必要です。 Virtual WAN パートナーは、デバイス情報を Azure にエクスポートし、Azure 構成をダウンロードして、Azure Virtual WAN ハブへの接続を確立できる、接続の自動化を提供しています。 利用可能なパートナーと場所の一覧については、Virtual WAN のパートナー、リージョン、場所に関する記事を参照してください。 VPN または SD-WAN デバイス プロバイダーが前述のリンク先に記載されていない場合は、Virtual WAN を使用したサイト間接続の作成に関する記事の手順を使用し、接続を設定します。
ユーザー VPN (ポイント対サイト) 接続
IPsec/IKE (IKEv2) 接続または OpenVPN 接続を使用して、Azure 内のリソースに接続できます。 この種類の接続を使うには、クライアント コンピューター上で VPN クライアントを構成する必要があります。 詳細については、ポイント対サイト接続の作成に関する記事をご覧ください。
ExpressRoute 接続
ExpressRoute を使用すると、プライベート接続を介してオンプレミス ネットワークを Azure に接続できます。 接続を作成するには、Virtual WAN を使用した ExpressRoute 接続の作成に関するページを参照してください。
ExpressRoute トラフィックの暗号化
Azure Virtual WAN には、ExpressRoute トラフィックを暗号化する機能があります。 この手法により、パブリック インターネットを経由したり、パブリック IP アドレスを使用したりすることなく、ExpressRoute を経由してオンプレミス ネットワークと Azure 仮想ネットワークの間で暗号化されたトランジットを提供できます。 詳細については、Virtual WAN 向けの ExpressRoute 経由の IPsecに関するページを参照してください。
ハブから VNet への接続
Azure 仮想ネットワークを仮想ハブに接続することができます。 詳細については、VNet のハブへの接続に関するセクションを参照してください。
トランジット接続
VNet 間のトランジット接続
Virtual WAN では、VNet 間のトランジット接続が可能です。 VNet では、仮想ネットワーク接続を介して仮想ハブに接続します。 すべての仮想ハブにはルーターが存在するため、Standard Virtual WAN の VNet 間でトランジット接続が有効になります。 このルーターは、仮想ハブが最初に作成されたときにインスタンス化されます。
ハブ ルーターには 4 つのルーティング状態があります。プロビジョニング済み、プロビジョニング中、失敗、または、なしです。 Azure portal で [仮想ハブ] ページに移動すると、 [Routing status](ルーティングの状態) が表示されます。
- なし状態は、仮想ハブでルーターがプロビジョニングされなかったことを示します。 これは、Virtual WAN の種類が Basic の場合、またはサービスが利用可能になる前に仮想ハブがデプロイされた場合に発生する可能性があります。
- 失敗状態は、インスタンス化中の失敗を示します。 ルーターをインスタンス化またはリセットするには、Azure portal の仮想ハブの [概要] ページに移動し、 [Reset Router](ルーターのリセット) オプションを見つけます。
各仮想ハブ ルーターは、最大 50 Gbps の集約スループットをサポートしています。
仮想ネットワーク接続間の接続では、単一の仮想ハブに接続されているすべての VNet 全体で、合計 2,000 VM の最大ワークロードを既定で想定しています。 ハブ インフラストラクチャ ユニットは追加の VM をサポートするように調整できます。 ハブ インフラストラクチャ ユニットの詳細については、「ハブの設定」を参照してください。
VPN と ExpressRoute 間のトランジット接続
Virtual WAN では、VPN と ExpressRoute 間のトランジット接続が可能です。 これは、VPN 接続サイトまたはリモート ユーザーが ExpressRoute 接続サイトと通信できることを意味します。 また、ブランチ間フラグが有効であり、VPN と ExpressRoute 接続で BGP がサポートされていることが暗黙的に想定されています。 このフラグは、Azure portal の Azure Virtual WAN 設定にあります。 すべてのルート管理は仮想ハブ ルーターによって提供されます。これにより、仮想ネットワーク間のトランジット接続も可能になります。
カスタム ルーティング
Virtual WAN には、高度なルーティング機能強化があります。 カスタム ルート テーブルの設定、ルートの関連付けと伝達による仮想ネットワーク ルーティングの最適化、ラベルを使用したルート テーブルの論理的なグループ化、多数のネットワーク仮想アプライアンス (NVAs) または共有サービスのルーティング シナリオを簡素化する機能があります。
グローバル VNET ピアリング
グローバル VNet ピアリングには、異なるリージョンにある 2 つの VNet を接続するメカニズムが用意されています。 Virtual WAN では、仮想ネットワーク接続によって VNet が仮想ハブと接続されます。 ユーザーはグローバル VNet ピアリングを明示的に設定する必要がありません。 同じリージョンの仮想ハブに接続された VNet には、VNet ピアリング料金が発生します。 別のリージョンの仮想ハブに接続された VNet には、グローバル VNet ピアリング料金が発生します。
ルート テーブル
ルート テーブルに、関連付けと伝達の機能が備わりました。 既存のルート テーブルは、これらの機能を持たないルート テーブルです。 ハブ ルーティングに既存のルートがあり、新しい機能を使用する場合は、以下を考慮してください。
仮想ハブに既存のルートがある Standard Virtual WAN のお客様: Azure portal のハブの [ルーティング] セクションにルートが既にある場合、まずそれらを削除してから、新しいルート テーブルを作成する必要があります (Azure portal のハブの [ルート テーブル] セクションにあります)。 仮想 WAN 内のすべてのハブに対して削除ステップを実行することをお勧めします。
仮想ハブに既存のルートがある Basic Virtual WAN のお客様:Azure portal のハブの [ルーティング] セクションにルートが既にある場合、まずそれらを削除してから、お使いの Basic Virtual WAN を Standard Virtual WAN にアップグレードします。 「Virtual WAN を Basic から Standard にアップグレードする」を参照してください。 仮想 WAN 内のすべてのハブに対して削除ステップを実行することをお勧めします。
よく寄せられる質問
よく寄せられる質問については、「Virtual WAN の FAQ」を参照してください。
プレビューと新機能
- 最近のリリース、プレビューの進行中、プレビューの制限事項、既知の問題、非推奨の機能の詳細については、「新機能」を参照してください。
- RSS フィードを購読し、Azure Virtual WAN 更新情報ページで、最新の Virtual WAN 機能の更新を確認します。