Azure Virtual WAN を使用してリモート リソースを接続する
現在の従業員は、これまで以上に分散しています。 組織は、従業員、パートナー、および顧客がどこにいても必要なリソースに接続できるようにするオプションを模索しています。 組織が国や地域の境界を越えたり、タイム ゾーンをまたがって活動することは珍しくありません。
Azure Virtual WAN とは
Azure Virtual WAN は、ネットワーク、セキュリティ、ルーティングのさまざまな機能をまとめて、1 つの運用インターフェイスを提供するネットワーク サービスです。 主な機能の一部は次のとおりです。
- ブランチ接続 (SD-WAN、VPN CPE などの Azure Virtual WAN パートナー デバイスからの接続性自動化による)。
- サイト間 VPN 接続性。
- リモート ユーザーの VPN 接続性 (ポイント対サイト)。
- プライベート接続性 (ExpressRoute)。
- クラウド内接続性 (仮想ネットワークの推移的な接続性)。
- VPN ExpressRoute の相互接続性。
- プライベート接続性のルーティング、Azure Firewall、暗号化。
次の図は、スポークを接続する 2 つの Virtual WAN ハブを持つ組織を示しています。 VNet、サイト間 VPN、ポイント対サイト VPN、SD WAN、ExpressRoute 接続はすべてサポートされています。
エンドツーエンドの仮想 WAN を構成するには、次のリソースを作成します。
- Virtual WAN
- ハブ
- ハブ仮想ネットワーク接続
- ハブ間の接続
- ハブ ルート テーブル
Virtual WAN SKU を選択する
virtualWAN リソースは、Azure ネットワークの仮想オーバーレイを表し、複数のリソースのコレクションです。 これには、仮想 WAN 内に配置するすべての仮想ハブへのリンクが含まれます。 Virtual WAN は相互に分離されており、共通のハブを含むことはできません。 異なる仮想 WAN 内の仮想ハブは、相互に通信しません。
Virtual WAN には、Basic と Standard という 2 つの種類があります。 各種類に対して使用できる構成を、次の表に示します。
| Virtual WAN の種類 | ハブの種類 | 利用可能な構成 |
|---|---|---|
| Basic | Basic | サイト間 VPN のみ |
| Standard | Standard | ExpressRoute ユーザー VPN (P2S) VPN (サイト対サイト) 仮想ハブを経由したハブ間および VNet 対 VNet トランジット Azure Firewall 仮想 WAN の NVA |
ハブのプライベート アドレス空間
仮想ハブは、Microsoft のマネージド仮想ネットワークです。 ハブには、接続を可能にするためのさまざまなサービス エンドポイントが含まれています。 オンプレミス ネットワーク (vpnsite) から、仮想ハブ内の VPN Gateway に接続したり、ExpressRoute 回線を仮想ハブに接続したり、またはモバイル ユーザーを仮想ハブ内のポイント対サイト ゲートウェイに接続したりすることもできます。 ハブは、リージョン内のネットワークのコアです。 同じリージョン内に複数の仮想ハブを作成できます。
ハブを作成するための最小アドレス空間は /24 です。 /25 から /32 の範囲で使用すると、作成中にエラーが発生します。 仮想ハブ内のサービスのサブネット アドレス空間を明示的に計画する必要はありません。 Azure Virtual WAN はマネージド サービスであるため、異なるゲートウェイまたはサービス (VPN ゲートウェイ、ExpressRoute ゲートウェイ、ユーザー VPN またはポイント対サイト ゲートウェイ、ファイアウォール、ルーティングなど) に対して、適切なサブネットが仮想ハブに作成されます。
Gateway スケール
ハブ ゲートウェイは、ExpressRoute および VPN Gateway に使用する仮想ネットワーク ゲートウェイと同じではありません。 たとえば、Virtual WAN を使用する場合は、オンプレミス サイトから直接 VNet にサイト間接続を作成しません。 代わりに、ハブへのサイト間接続を作成します。 トラフィックは、常にハブ ゲートウェイを通過します。 これは、VNet には独自の仮想ネットワーク ゲートウェイが必要ないことを意味します。 Virtual WAN により、VNet は、仮想ハブと仮想ハブ ゲートウェイを介して簡単にスケーリングできます。
ゲートウェイ スケール ユニットを使うと、仮想ハブ内のゲートウェイの総スループットを選択できます。 ゲートウェイ スケール ユニットの種類 (サイト間、ユーザー VPN、ExpressRoute) ごとに、個別に構成します。
クロステナント Vnet を Virtual WAN ハブに接続する
Virtual WAN を使用して VNet を別のテナントの仮想ハブに接続することができます。 このアーキテクチャは、同じネットワークに接続する必要があるのに異なるテナント上に置かれたクライアント ワークロードがある場合に便利です。 たとえば、次の図に示すように、Contoso 以外の VNet (リモート テナント) を Contoso の仮想ハブ (親テナント) に接続できます。
クロステナント VNet を Virtual WAN ハブに接続する前に、次の構成が既に設定されている必要があります。
- 親サブスクリプション内の Virtual WAN と仮想ハブ。
- リモート テナントのサブスクリプションで構成された仮想ネットワーク。
- リモート テナント内の重複しないアドレス空間と、親仮想ハブに既に接続されている他の VNet 内のアドレス空間。
仮想ハブのルーティング
仮想ハブのルーティング機能は、Border Gateway Protocol (BGP) を使用してゲートウェイ間のすべてのルーティングを管理するルーターによって提供されます。 仮想ハブには、サイト間 VPN ゲートウェイ、ExpressRoute ゲートウェイ、ポイント対サイト ゲートウェイ、Azure Firewall などの複数のゲートウェイを含めることができます。 また、このルーターは、仮想ハブに接続する仮想ネットワーク間の転送接続を提供し、最大 50 Gbps の合計スループットをサポートできます。 これらのルーティング機能は、Standard Virtual WAN のお客様に適用されます。
ルーティングを構成する方法の詳細については、「仮想ハブ ルーティングを構成する方法」を参照してください。
ハブ ルート テーブル
仮想ハブのルートを作成して、そのルートを仮想ハブのルート テーブルに適用することができます。 仮想ハブのルート テーブルには、複数のルートを適用できます。