Azure で仮想ネットワークを計画する
調査に基づいて、あなたは会社の Azure への移行のためにハブスポーク ネットワーク アーキテクチャを実装することを選択しました。 あなたはプロジェクトのアーキテクト リーダーとして、本社の接続のために Azure ExpressRoute を使用して仮想ネットワーク設計の運用を管理しています。 会社のサテライト オフィスを新しいハブスポーク ネットワークに接続する方法を決定する必要もあります。
このユニットでは、Azure プラットフォーム内の仮想ネットワーク、設計上の考慮事項、オンプレミス ネットワークへの接続のために ExpressRoute を実装する方法を確認します。
Azure 仮想ネットワークの概要
仮想ネットワークでは、Azure でネットワーク サービスを提供し、既存のオンプレミス インフラストラクチャを拡張できるようにします。 Azure 仮想ネットワークにより、クラウド内のプライベート IT インフラストラクチャを表すことができ、サブスクリプション内の専用リソースを論理的に分離できます。 仮想ネットワークにより、次のことが可能になります。
- インターネットへの外部接続。
- 異なる内部 Azure リソース間の通信。
- これらのリソースの分離。
- オンプレミス コンピューターへの接続。
- ネットワーク トラフィック管理。
仮想ネットワークの 2 つの重要な要素は、サブネットとネットワーク セキュリティ グループです。
- サブネット: 各仮想ネットワークには多数のサブネットを含めることができます。 各サブネットには、独自の固有プロパティがあります。
- ネットワーク セキュリティ グループ: これらの NSG を使用すれば、仮想ネットワークまたはサブネット経由の受信および送信トラフィックをフィルター処理できます。 また、NSG を使用して、発信元と宛先の IP アドレス、ポート、またはプロトコルでトラフィックをフィルター処理することができます。
仮想ネットワークの計画と設計に関する考慮事項
オンプレミスであるかクラウド内にあるかにかかわらず、どのネットワークでも、通過するトラフィックのフロー、方向、および種類を管理する方法が必要です。 仮想ネットワークには、次のようないくつかの考慮事項があります。
- セグメント化: トラフィックが異なるサブネットまたは仮想ネットワーク、あるいは別のサブスクリプションに分離される可能性を考慮することが重要です。
- セキュリティ: NSG およびネットワーク仮想アプライアンスを使って、仮想ネットワーク内のリソース間のネットワーク トラフィックをフィルター処理します。
- 接続: 仮想ネットワークは、仮想ネットワーク ピアリングを使って他の仮想ネットワークに、または ExpressRoute あるいは Azure VPN Gateway を使用してオンプレミス ネットワークに接続することができます。
- ルーティング: Azure 仮想ネットワークにより、各サブネット内に自動的にルーティング テーブルが作成され、テーブルに既定のシステム ルートが追加されます。 カスタム ルートを使用すると、これらの既定のシステム ルートをオーバーライドすることができます。 カスタム ルートにより、ネットワーク仮想アプライアンスを介してトラフィックを誘導し、セキュリティとフィルター処理機能を強化することができます。
オンプレミス ネットワークの接続
オンプレミス ネットワークと Azure の統合に取り組むときは、この 2 つのネットワーク間をつなぐブリッジが必要です。 この機能を提供するのが Azure VPN Gateway です。 VPN Gateway によって、2 つのネットワーク間の暗号化されたトラフィックがインターネット経由で送信されます。 ゲートウェイでは、使用可能な帯域幅を介して VPN トンネルをルーティングする複数の接続がサポートされますが、仮想ネットワークには 1 つのゲートウェイしか割り当てることができません。 Azure での仮想ネットワーク間の接続に VPN ゲートウェイを使用することもできます。
Azure ExpressRoute は、ブリッジ用に検討するもう 1 つのオプションです。 ExpressRoute を使用すると、オンプレミス ネットワークをプライベート接続で Azure に拡張することができます。 この接続は、接続プロバイダーつまりクラウド エクスチェンジ プロバイダーによって促進されます。 ExpressRoute は Azure リソースだけでなく幅広く使用され、Office 365 などの他の Microsoft クラウド サービスへの接続を確立することができます。
ExpressRoute の実装には少し時間がかかります。 あなたは接続プロバイダーを経由して作業する必要があり、物理ネットワーク デバイスの実装が必要になる場合があります。 この実装の進行中に接続を提供するために、サイト間 VPN を使用して、オンプレミス リソースと Azure 仮想ネットワークの間に接続を追加できます。 その後、サービス プロバイダーによって設定の完了が確認されたら、新しい ExpressRoute 接続に移行します。
ハブスポーク トポロジでの ExpressRoute の使用
ハブスポーク トポロジで ExpressRoute を使用することに、他のアーキテクチャ パターンとの違いはありません。 ハブとオンプレミス ネットワークの間の接続を支える ExpressRoute は、着信と発信両方のデータ スループットが高い場合に最も適しています。
回線を使って、トラフィックの管理とルーティングを行い、ExpressRoute を Azure の仮想ネットワークにリンクします。 仮想ネットワークに接続される回線は、異なる複数のリージョンまたはサブスクリプション内に存在する可能性があります。 ExpressRoute 回線あたりの仮想ネットワーク数には制限があります。 Standard レベルの場合、ネットワーク数の現在の上限は 10 です。 Premium アドオンを使用する場合、制限は回線サイズに基づいて引き上げられます。 最小数は、50 Mbps 回線では 20 仮想ネットワーク、10 Gbps 以上の回線の場合は最大で 100 になります。