次の方法で共有


Azure Virtual Network Manager の接続構成

この記事では、Azure Virtual Network Manager を使って作成してデプロイできるさまざまな種類の構成について説明します。 現在使用できる構成には、接続性セキュリティ管理者の 2 種類があります。

接続の構成

接続性を使用すると、ネットワークのニーズに応じてさまざまなネットワーク トポロジを作成できます。 トポロジはメッシュ ネットワークハブ アンド スポークの 2 種類から選択できます。 仮想ネットワーク間の接続性は、構成設定内で定義されます。

メッシュ ネットワーク トポロジ

メッシュ ネットワークは、ネットワーク グループのすべての仮想ネットワークが互いに接続されているトポロジです。 すべての仮想ネットワークが接続され、双方向にトラフィックを渡す可能性があります。

メッシュ ネットワーク トポロジの一般的なユース ケースは、ハブ アンド スポーク トポロジ内の一部のスポーク仮想ネットワークが、ハブ仮想ネットワークを通過するトラフィックなしで相互に直接通信できるようにすることです。 この方法では、ハブ内のルーター経由でトラフィックをルーティングすることで生じる可能性のある待機時間が短縮されます。 さらに、Azure Virtual Network Manager でネットワーク セキュリティ グループ規則またはセキュリティ管理規則を実装することで、スポーク ネットワーク間の直接接続に対するセキュリティと監視を維持できます。 トラフィックは、仮想ネットワーク フロー ログを使用して監視および記録することもできます。

既定では、メッシュはリージョン メッシュであるため、同じリージョン内の仮想ネットワークだけが相互に通信できます。 グローバル メッシュ を有効にすると、すべての Azure リージョン間で仮想ネットワークの接続を確立できます。 仮想ネットワークは、最大で 2 つの接続グループに属することができます。 仮想ネットワークのアドレス空間は、仮想ネットワーク ピアリングの場合とは異なり、メッシュ構成で重ねることができます。 ただし、ルーティングは決定論的でないため、重複する特定のサブネットへのトラフィックは破棄されます。

ネットワーク トポロジの図。

接続されたグループ

ハブ アンド スポーク トポロジでメッシュ トポロジまたは直接接続を作成すると、接続されたグループと呼ばれる新しい接続コンストラクトが作成されます。 接続されたグループ内の仮想ネットワークは、仮想ネットワークを手動で接続する場合と同様に、相互に通信できます。 ネットワーク インターフェイスの有効なルートを確認すると、ネクスト ホップの種類として ConnectedGroup が表示されます。 接続されたグループ内で相互に接続されている仮想ネットワークには、仮想ネットワークの [ピアリング] の一覧に表示されるピアリング設定はありません。

Note

  • 2 つ以上の仮想ネットワークでサブネットが競合している場合、それらのサブネットのリソースは、同じメッシュ ネットワークに属していても相互に通信できません
  • 仮想ネットワークは、最大で 2 つのメッシュ構成に属することができます。

ハブとスポークのトポロジ

ハブ アンド スポークは、仮想ネットワークがハブ仮想ネットワークとして選択されているネットワーク トポロジです。 この仮想ネットワークは、構成内のすべてのスポーク仮想ネットワークと双方向にピアリングされます。 このトポロジは、仮想ネットワークを分離し、ハブ仮想ネットワーク内の共通リソースに接続する必要がある場合に便利です。

ハブ アンド スポーク トポロジの図。

この構成では、スポーク仮想ネットワーク間の直接接続など、有効にできる設定があります。 既定では、この接続性は同じリージョン内の仮想ネットワークにのみ適用されます。 異なる Azure リージョン間を接続できるようにするには、"グローバル メッシュ" を有効にする必要があります。 また、ゲートウェイ転送を有効にすると、スポーク仮想ネットワークがハブに導入された VPN または ExpressRoute のゲートウェイを使用できるようになります。

オンにすると、この構成のデプロイ後にこれらのピアリングが手動で作成された場合でも、この構成の内容と一致しないピアリングを削除できます。 構成に使用されているネットワーク グループから VNet を削除すると、仮想マネージャーによって作成されたピアリングのみが削除されます。

直接接続

"直接接続" を有効にすると、ハブとスポークトポロジの上に "接続されたグループ" のオーバーレイが作成されます。これには特定のグループのスポーク仮想ネットワークが含まれます。 直接接続により、スポーク VNet はスポーク グループ内の他の VNet と直接通信できますが、他のスポークの VNet と直接通信することはできません。

たとえば、2 つのネットワーク グループを作成します。 Production ネットワーク グループでは直接接続を有効にしますが、Test ネットワーク グループでは有効にしません。 この設定では、Production ネットワーク グループの仮想ネットワークは相互に通信できますが、Test ネットワーク グループの仮想ネットワークは通信できません。

2 つのネットワーク グループを含むハブ アンド スポーク トポロジの図。

VM 上の有効なルートを調べると、ハブ アンド スポーク仮想ネットワーク間のルートは、ネクスト ホップの種類が VNetPeering または GlobalVNetPeering となっています。 スポーク仮想ネットワーク間のルートは、ConnectedGroup のネクスト ホップの種類で表示されます。 上記の例では、Production ネットワーク グループのみが "直接接続" を有効にしているため、ConnectedGroup を持ちます。

トポロジ ビューを使用したネットワーク グループ トポロジの検出

ユーザーがネットワーク グループのトポロジを理解しやすいように用意されている Azure Virtual Network Manager のトポロジ ビューには、ネットワーク グループとそのメンバー仮想ネットワークの間の接続が表示されます。 次の手順のようにして接続構成を作成する間に、ネットワーク グループのトポロジを見ることができます。

  1. [構成] ページに移動して、接続構成を作成します。
  2. [トポロジ] タブで、目的のトポロジの種類を選び、1 つ以上のネットワーク グループをトポロジに追加して、他の必要な接続設定を構成します。
  3. [Preview Topology] (トポロジのプレビュー) タブを選んでトポロジ ビューをテストし、構成の現在の接続を確認します。
  4. 接続構成の作成を完了します。

ネットワーク グループの詳細ページの [設定][視覚化] を選択すると、ネットワーク グループの現在のトポロジを確認できます。 このビューには、ネットワーク グループ内のメンバー仮想ネットワーク間の接続が表示されます。

ネットワーク グループのトポロジを示す視覚化ウィンドウのスクリーンショット。

ユース ケース

スポーク仮想ネットワーク間の直接接続を有効にすると、ハブ仮想ネットワークに NVA または共通のサービスを使用するが、ハブに常にアクセスする必要はない場合に役立ちます。 ただし、ネットワーク グループ内のスポーク仮想ネットワークが相互に通信する必要があります。 このトポロジは、従来のハブ アンド スポーク ネットワークと比較して、ハブ仮想ネットワーク経由の余分なホップを排除することでパフォーマンスを向上させます。

グローバル メッシュ

メッシュと同様に、これらのスポーク接続グループは、リージョンまたはグローバルとして構成できます。 グローバル メッシュは、スポーク仮想ネットワークがリージョンを超えて相互に通信する場合に必要です。 この接続は、同じネットワーク グループ内の仮想ネットワークに限定されます。 リージョン間の仮想ネットワークの接続を有効にするには、ネットワーク グループのリージョン間のメッシュ接続を有効にする必要があります。 スポーク仮想ネットワーク間に作成された接続は、接続グループ内に含まれます。

ハブをゲートウェイとして使用する

ハブアンドスポーク構成で有効にできるもう 1 つのオプションは、ハブをゲートウェイとして使用する方法です。 この設定により、ネットワーク グループ内のすべての仮想ネットワークは、ハブ仮想ネットワーク内の VPN または ExpressRoute ゲートウェイを使って、トラフィックを渡すことができるようになります。 ゲートウェイとオンプレミスの接続を参照してください。

Azure portal からハブ アンド スポーク トポロジをデプロイすると、ネットワーク グループ内のスポーク仮想ネットワークに対して、ハブをゲートウェイとして使用するが規定で有効になります。 Azure Virtual Network Manager は、リソース グループ内のハブとスポーク仮想ネットワークの間に、仮想ネットワーク ピアリング接続の作成を試みます。 ゲートウェイがハブ仮想ネットワークに存在しない場合、スポーク仮想ネットワークからハブへのピアリングの作成は失敗します。 ハブからスポークへのピアリング接続は、確立された接続なしで作成されます。

次のステップ