ExpressRoute 回線を仮想ネットワークに接続する

  • 5 分

ExpressRoute 回線は、接続プロバイダー経由のオンプレミス インフラストラクチャと Microsoft クラウド サービス間の論理接続を表します。 複数の ExpressRoute 回線を注文できます。 回線はそれぞれ、同じリージョンや異なるリージョンに配置したり、異なる接続プロバイダーを経由して社内に接続したりすることができます。 ExpressRoute 回線は物理エンティティにはマップされません。 回線は、サービス キー (s キー) という標準 GUID によって一意に識別されます。

以前の演習では、ExpressRoute ゲートウェイと ExpressRoute 回線を作成しました。 その後、Express Route 回線のためにピアリングを構成する方法について学習しました。 ここでは、ExpressRoute 回線と Azure 仮想ネットワークの間に接続を作成する方法について学習します。

ExpressRoute 回線に仮想ネットワークを接続する

  • アクティブな ExpressRoute 回線が必要です。
  • 回線用に Azure プライベート ピアリングが構成されていることを確認してください。
  • エンドツーエンド接続のために、確実に Azure プライベート ピアリングが構成され、ご使用のネットワークと Microsoft の間の BGP ピアリングを確立します。
  • 仮想ネットワークと仮想ネットワーク ゲートウェイを作成し、完全にプロビジョニングします。 ExpressRoute 用の仮想ネットワーク ゲートウェイは、VPN ではなく GatewayType 'ExpressRoute' を使用します。
  • 最大 10 個の仮想ネットワークを標準 ExpressRoute 回線に接続できます。 標準 ExpressRoute 回線を使用する場合は、すべての仮想ネットワークが同じ地理的リージョンに存在する必要があります。
  • 単一の VNet を最大 16 本の ExpressRoute 回線にリンクできます。 下記のプロセスを使用して、接続先となる ExpressRoute 回線ごとに新しい接続オブジェクトを作成します。 ExpressRoute 回線は、同じサブスクリプション、異なるサブスクリプション、または両方の組み合わせにすることができます。
  • ExpressRoute Premium アドオンを有効にした場合は、ExpressRoute 回線の地理的リージョンの外部にある仮想ネットワークをリンクすることができます。 Premium アドオンを使用すると、選択した帯域幅に応じて、10 を超える仮想ネットワークを ExpressRoute 回線に接続することもできます。
  • ExpressRoute 回線からターゲットの ExpressRoute 仮想ネットワーク ゲートウェイへの接続を作成するには、ローカルまたはピアリングされた仮想ネットワークからアドバタイズされるアドレス空間の数が 200 以下である必要があります。 接続が正常に作成されたら、ローカルまたはピアリングされた仮想ネットワークにアドレス空間をさらに追加できます (最大 1,000 個)。

ExpressRoute デプロイに VPN を追加する

このセクションは、ExpressRoute プライベート接続を経由するオンプレミス ネットワークと Azure 仮想ネットワーク (VNet) の間に、セキュリティで保護された暗号化接続を構成する際に役立ちます。 Microsoft ピアリングを使って、選択したオンプレミス ネットワークと Azure VNet の間に、サイト間 IPsec/IKE VPN トンネルを確立できます。 ExpressRoute 経由の安全なトンネルを構成することで、機密性、アンチリプレイ、信頼性、および整合性が確保されたデータ交換が可能です。

Note

Microsoft ピアリング経由のサイト間 VPN を設定すると、VPN ゲートウェイおよび VPN エグレスに対して料金が発生します。

高可用性と冗長性を実現するため、1 つの ExpressRoute 回線の 2 つの MSEE-PE ペアを経由するトンネルを複数構成し、それらのトンネル間での負荷分散を有効にすることができます。

Microsoft ピアリング経由の VPN トンネルは、VPN ゲートウェイを使用するか、Azure Marketplace を通して提供されている適切なネットワーク仮想アプライアンス (NVA) を使用して終了することができます。 ルートの交換は、暗号化されたトンネルを介して静的または動的に行うことができます。その際、そのルート交換が、基になる Microsoft ピアリングに公開されることはありません。 このセクションでは、BGP (Microsoft ピアリングの作成に使用された BGP セッションとは異なります) を使用して、暗号化されたトンネル経由でプレフィックスが動的に交換されます。

重要

オンプレミス側では、通常、Microsoft ピアリングは DMZ で終了し、プライベート ピアリングはコア ネットワーク ゾーンで終了します。 2 つのゾーンは、ファイアウォールを使用して分離されます。 ExpressRoute 経由のセキュリティで保護されたトンネリングを有効化するためだけに Microsoft ピアリングを構成する場合は、Microsoft ピアリング経由で公開されている目的のパブリック IP アドレスのみをフィルター処理してください。

手順

  • ExpressRoute 回線用に Microsoft ピアリングを構成します。
  • 選択した Azure リージョン パブリック プレフィックスを、Microsoft ピアリング経由でオンプレミス ネットワークに公開します。
  • VPN ゲートウェイを構成し、IPsec トンネルを確立します。
  • オンプレミスの VPN デバイスを構成します。
  • サイト間 IPsec/IKE 接続を作成します。
  • (省略可能) オンプレミスの VPN デバイスでファイアウォール/フィルター処理を構成します。
  • ExpressRoute 回線経由の IPsec 通信をテストして検証します。