Azure VMware Solution ワークロードのネットワークに関する考慮事項
この記事では、Azure VMware Solution ワークロードのネットワーク設計領域について説明します。 適切に設計されたネットワークは、接続の有効化、応答時間の最適化、トラフィックの分散、Azure VMware Solutionでのワークロードの継続的な可用性の確保に不可欠です。
高可用性のために負荷を分散する
影響: 信頼性、パフォーマンス効率
スケーラビリティを実現し、パフォーマンスを最適化するには、Azure VMware Solution インフラストラクチャ内の宛先にトラフィックを分散する必要があります。 トラフィックAzure VMware Solution負荷分散する場合は、パフォーマンスと重みを考慮するアルゴリズムなど、さまざまなアルゴリズムを使用して分散できます。 受信トラフィックを分散すると、ワークロード アプリケーションのスケールと信頼性が向上します。 アプリケーションが複数のソフトウェア定義データセンター (SDDC) にまたがる場合、Azure ロード バランサーはすべての環境にトラフィックを分散できます。
推奨事項
- トラフィックを均等に分散するには、VMware NSX Advanced Load Balancer などのロード バランサーを使用します。 内部向けおよび外部向けのアプリケーション ゲートウェイをサポートします。 ルーティング、アプリケーション配信、TLS 終了にはロード バランサーを使用します。
- Azure に拡張されるワークロードの場合は、Azure Application Gateway を使用します。 このロード バランサーは、アプリケーションのパフォーマンスを向上させるためにトラフィックを分散します。 Application Gatewayでは、侵入検出および防止システム (IDPS) と Azure Web Application Firewall機能も提供されます。 Azure Load Balancerは、複数の Azure 可用性ゾーンにまたがるワークロードに高可用性とフォールト トレランスを提供するために、ゾーン間でトラフィックを分散できます。
グローバル分布の距離を最小限に抑える
影響: 信頼性、パフォーマンス効率、コストの最適化
グローバルに存在するアプリケーションの場合は、インスタンスとユーザーの間の距離を最小限に抑える必要があります。 この目標を達成するには、最も近いAzure VMware Solution SDDC にトラフィックをルーティングします。 トラフィック マネージャーを使用する場合は、送信データ転送コストを削減することもできます。 具体的には、最も近いAzure VMware Solutionデプロイまたはエッジの場所にユーザーを送信できます。 データが移動する距離を減らすことは、長いデータ転送を回避するのに役立ちます。
推奨事項
- 複数のリージョンにまたがるアプリケーションの場合は、Azure Traffic Manager などのドメイン ネーム システムベースのグローバル トラフィック負荷分散ソリューションをデプロイすることを検討してください。
- トラフィック ルーティング プロファイルを作成します。 優先度ベースのルーティング、重み付けラウンドロビン、パフォーマンスベースのルーティング、地理的ベースのルーティングなど、さまざまなルーティング方法を構成します。
コンテンツを配信する
影響: パフォーマンス、コストの最適化
トラフィックの多いアプリケーションでは、コンテンツを最適に取得する必要があります。 圧縮や HTTP アクセラレータなどの最適化手法を使用すると、Azure VMware Solution環境内の資産の取得パフォーマンスを向上させることができます。 ファイルを送信する前に、圧縮手法を使用できます。 この方法では、送信するデータの量を減らすことでコストを削減できます。 コンテンツ配信ネットワークは、頻繁にアクセスされるコンテンツをキャッシュします。 その結果、Azure VMware Solutionでコンテンツ配信ネットワークを使用すると、取得と配布を最適化するのに役立ちます。 コンテンツ配信ネットワークは、他の方法でコストを節約するのにも役立ちます。 これらのネットワークは、ユーザーに近いエッジの場所に日付をキャッシュするため、データが移動する距離を減らします。
推奨事項
- Azure Content Delivery Network を使用して応答性を向上させ、アプリケーションや Web サイトにアクセスするユーザーの待機時間を短縮します。
- 圧縮を使用して、静的資産のペイロードを最小限に抑えます。
- Redis や Azure Cache for Redis などのキャッシュ ソリューションを使用して、頻繁にアクセスされるデータをキャッシュします。
インターネットに接続するワークロードにファイアウォールを使用する
影響: セキュリティ
Azure VMware Solutionの前面に接続されたワークロードは、パブリック IP アドレスにマップされます。 その結果、インターネットに公開でき、外部ソースからの受信接続を受け入れます。 この仮想マシン (VM) またはロード バランサーとの関連付けにより、ワークロードにリスクが発生します。
推奨事項
- インターネットに接続するアプリケーションの場合は、Azure Firewallや認定されたサードパーティ NVA などのファイアウォールを使用して、インターネットと Azure へのAzure VMware Solutionトラフィックを検査します。
- ファイアウォールに、受信トラフィックを制限およびフィルター処理するための規則とアクセス制御リストがあることを確認します。
内部ワークロード間のトラフィックをセキュリティで保護する
影響: セキュリティ
ネットワークは、Azure VMware Solution環境の重要な境界です。 ネットワークは、アクセスの制御、データの保護、脅威の軽減に役立ちます。 堅牢なネットワーク セキュリティ対策は、Azure VMware Solutionワークロードの可用性と回復性を確保するのに役立ちます。 たとえば、セグメント化と仮想 LAN の使用によるネットワーク分離の実装は、Azure VMware Solution環境のコンポーネント間の不正アクセスを防ぐのに役立ちます。 ネットワーク セキュリティ グループを使用して、ワークロード仮想ネットワーク内のトラフィックを分離および保護できます。
推奨事項
- Azure VMware Solution ワークロードのネットワーク セグメントを作成します。
- VMware NSX-T データ センター内にファイアウォール規則を作成します。
拡張のための IP アドレス指定スキームを設計する
影響: セキュリティ、オペレーショナル エクセレンス
意図的なサブネット セキュリティ戦略を使用して、拡張のためにAzure VMware Solutionとクラウド仮想ネットワークを設計できます。 この設計には、IP アドレスの割り当てを戦略的に整理する必要があります。 また、IP アドレス指定ツールを使用し、割り当てを適用する必要があります。
/22 RFC-1918 アドレス範囲に加えて、ワークロード セグメントには、クラスレスドメイン間ルーティング (CIDR) 範囲が個別に存在します。 VM、パブリック IP アドレス、ロード バランサーに十分な IP アドレスを持つ計画を立てます。
推奨事項
- IP アドレス範囲が、現在および将来のすべてのAzure VMware Solutionワークロードに対応するのに十分な大きさであることを確認します。
- スプレッドシートまたは IP アドレス管理 (IPAM) ツールを使用して、使用可能な IP アドレスを効率的に整理し、IP アドレスの使用状況を追跡し、IP アドレスの競合を回避します。
- デバイス、セグメント、またはサブネットの潜在的な増加を計画します。 需要の増加に対応できる IP アドレス指定スキームを使用します。
- 動的 IP アドレスの割り当てには、動的ホスト構成プロトコル (DHCP) を使用します。
次のステップ
Azure VMware Solutionでネットワークを調べたので、インフラストラクチャとアプリケーションを監視するためのベスト プラクティスを調査します。
評価ツールを使用して、設計の選択を評価します。