Azure Well-Architected フレームワークのレビュー - Azure ExpressRoute
この記事では、Azure ExpressRoute のアーキテクチャに関するベスト プラクティスについて説明します。 このガイダンスは、アーキテクチャの卓越性の 5 つの柱に基づいています。
Azure ExpressRoute に関する実用的な知識があり、すべての機能に習熟していることを前提としています。 詳細については、「Azure ExpressRoute」をご覧ください。
前提条件
コンテキストについては、これらの考慮事項を設計に反映した参照アーキテクチャを確認することを検討してください。 クラウド導入フレームワークの準備手法を扱ったガイダンス「Azure に接続する」および Azure ExpressRoute を使用したハイブリッド接続のアーキテクチャに関するガイダンスから開始することをお勧めします。 ロー コード アプリケーションのアーキテクチャでは、Microsoft Power Platform での ExpressRoute の使用を計画および構成する際に、Power Platform での ExpressRoute の有効化に関する記事を確認することをお勧めします。
信頼性
クラウドでは、障害が発生することを認識しています。 目標は、障害がまったく発生しないように努力することではなく、障害が発生した単一コンポーネントの影響を最小限に抑えることです。 次の情報を活用することで、Azure ExpressRoute を使用して接続を確立するときに Azure との間のダウンタイムを最小限に抑えることができます。
Azure ExpressRoute で信頼性について検討する際、帯域幅の使用状況、ネットワークの物理的なレイアウト、障害が発生した場合のディザスター リカバリーを考慮に入れることは重要です。 Azure ExpressRoute では、これらの設計上の考慮事項を実現でき、チェックリストの各項目に対する推奨事項が用意されています。
以下の設計チェックリストと推奨事項の一覧には、Azure 環境とオンプレミス ネットワークの間で高可用性ネットワークを設計するための情報が示されています。
設計チェック リスト
Azure ExpressRoute の設計上の選択を行う際は、アーキテクチャの信頼性を向上させるために「設計の原則」を確認してください。
- ビジネス要件に合わせて ExpressRoute 回線または ExpressRoute Direct を選択します。
- 運用ワークロード向けに最大または高回復性を備えた ExpressRoute 回線を構成します。
- サービス プロバイダーに対して多様で冗長な物理層ネットワークを構成します。
- 異なるサービス プロバイダーで ExpressRoute 回線を構成し、多様なルーティング パスを確保します。
- オンプレミスと Azure の間でアクティブ/アクティブ ExpressRoute 接続を構成します。
- 可用性ゾーン対応 ExpressRoute 仮想ネットワーク ゲートウェイを設定します。
- オンプレミス ネットワークとは異なる場所に ExpressRoute 回線を構成します。
- 異なるリージョンで ExpressRoute 仮想ネットワーク ゲートウェイを構成します。
- ExpressRoute プライベート ピアリングのバックアップとしてのサイト間 VPN を構成します。
- ExpressRoute 回線と ExpressRoute 仮想ネットワーク ゲートウェイの正常性の監視を設定します。
- ExpressRoute 回線メインテナンス通知を受信するようにサービスの正常性を構成します。
推奨事項
次の推奨事項の表を参照して ExpressRoute 構成を最適化し、信頼性を確保します。
| 推奨 | 特長 |
|---|---|
| ExpressRoute 回路または ExpressRoute Direct の計画 | 最初の計画フェーズで、ExpressRoute 回路と、ExpressRoute Direct 接続のどちらを構成するかを決定します。 ExpressRoute 回路を使用すると、接続プロバイダーの支援を受けて、Azure へのプライベート専用接続が可能になります。 ExpressRoute Direct を使用すると、オンプレミス ネットワークをピアリングの場所で Microsoft ネットワークに直接拡張できます。 ビジネス ニーズを満たすための帯域幅要件と SKU の種類の要件を特定する必要もあります。 |
| 物理層の多様性 | 最大または高い回復性を達成するために、オンプレミスのエッジとピアリング場所 (プロバイダーと Microsoft エッジの場所) の間に複数のパスを確保することを計画します。 この構成を実現する場合、最大の回復性を目指すには複数の回線を異なるピアリング拠点に構成し、オンプレミス ネットワークからの高回復性を目指すには同じ都市圏内の複数のピアリング拠点間に回路を構成します。 |
| geo 冗長回線の計画 | ディザスター リカバリーを計画するには、複数のピアリング場所に ExpressRoute 回線を設定します。 同じ都市圏または異なる都市圏内のピアリング場所に回線を作成し、各回線を経由する多様なパスに対して異なるサービス プロバイダーと連携することを選択できます。 詳細については、ディザスター リカバリーのための設計および高可用性の設計に関するページを参照してください。 |
| アクティブ/アクティブ接続の計画 | このモードを選ぶと、ExpressRoute 接続の可用性が向上します。 接続でリンク障害が発生した場合の高速フェールオーバーのために BFD を構成することもお勧めします。 |
| 仮想ネットワーク ゲートウェイの計画 | 回復性を高めるために可用性ゾーン対応の仮想ネットワーク ゲートウェイを作成するとともに、回復性、ディザスター リカバリー、高可用性を目的として複数の仮想ネットワーク ゲートウェイをそれぞれ異なるリージョンに持つことを計画します。 |
| 回線とゲートウェイの正常性を監視する | 使用可能なさまざまなメトリックに基づいて、ExpressRoute 回線と仮想ネットワーク ゲートウェイの正常性の監視とアラートを設定します。 |
| Service Health を有効にする | ExpressRoute では、Service Health を使用して、計画済みおよび計画外のメンテナンスについて通知します。 Service Health を構成すると、ExpressRoute 回線に加えられた変更について通知されます。 |
その他の推奨事項については、信頼性の柱の原則を参照してください。
Azure Advisor を利用すると、ExpressRoute 回線の信頼性と回復性に関連する多数の推奨事項が得られます。 たとえば、Azure Advisor は次を検出できます。
- 単一の ExpressRoute 回線のみ (複数のピアリング場所と回線ではなく) がデプロイされている ExpressRoute ゲートウェイ。 最大の、または高い回復性を実現するために複数の ExpressRoute 回線とピアリング場所を使用することをお勧めします。
- 接続モニターによって監視されていない ExpressRoute 回線。ExpressRoute 回線のエンドツーエンドの監視は、信頼性の分析情報にとって重要です。
- ExpressRoute Global Reach を利用することで、予期しない接続障害を考慮に入れたオンプレミス接続のディザスター リカバリー設計を改善できる、複数のピアリング場所を含むネットワーク トポロジ。
セキュリティ
セキュリティは、あらゆるアーキテクチャの最も重要な側面の 1 つです。 ExpressRoute は、最小限の特権の原則と多層防御の両方を採用する機能を提供します。 「セキュリティ設計原則」を確認することをお勧めします。
設計チェック リスト
- ログをアーカイブに送信するようにアクティビティ ログを構成します。
- ExpressRoute リソースにアクセスできる管理アカウントのインベントリを維持します。
- ExpressRoute 回線で MD5 ハッシュを構成します。
- ExpressRoute Direct リソース用に MACsec を構成します。
- 仮想ネットワーク トラフィックについてプライベート ピアリングと Microsoft ピアリング経由のトラフィックを暗号化します。
推奨事項
次の推奨事項の表を参照して ExpressRoute 構成を最適化し、セキュリティを確保します。
| 推奨 | 特長 |
|---|---|
| ログをアーカイブに送信するようにアクティビティ ログを構成する | アクティビティ ログは、ExpressRoute リソースのサブスクリプション レベルで実行された操作に関する分析情報を提供します。 アクティビティ ログを使用すると、コントロール プレーンで操作が実行されたユーザーとタイミングを特定できます。 データ保有期間はわずか 90 日です。アーカイブするには、Log Analytics、Event Hubs、またはストレージ アカウントに格納する必要があります。 |
| 管理者アカウントのインベントリを維持する | Azure RBAC を使用して、ExpressRoute 回線でピアリング構成を追加、更新、または削除できるユーザー アカウントを制限するロールを構成します。 |
| ExpressRoute 回線で MD5 ハッシュを構成する | プライベート ピアリングまたは Microsoft ピアリングの構成中に、MD5 ハッシュを適用して、オンプレミス ルートと MSEE ルーターの間のメッセージをセキュリティで保護します。 |
| ExpressRoute Direct リソース用に MACsec を構成する | メディア アクセス制御セキュリティは、データ リンク層でのポイントツーポイント セキュリティです。 ExpressRoute Direct では、通常はイーサネット リンクでセキュリティ保護されていない ARP、DHCP、LACP などのプロトコルに対するセキュリティ上の脅威を防ぐための MACSec の構成がサポートされています。 MACsec の構成方法の詳細については、「ExpressRoute Direct ポートの MACsec」を参照してください。 |
| IPsec を使用してトラフィックを暗号化する | ExpressRoute 回線経由のサイト間 VPN トンネルを構成して、オンプレミス ネットワークと Azure 仮想ネットワークの間で転送されるデータを暗号化します。 プライベート ピアリングを使用するか、Microsoft ピアリングを使用してトンネルを構成できます。 |
その他の推奨事項については、「セキュリティの重要な原則」を参照してください。
コストの最適化
コストの最適化とは、不要な費用を削減し、運用効率を向上させる方法を検討することです。 「コスト最適化設計原則」と「Azure ExpressRoute のコストを計画および管理する」を確認することをお勧めします。
設計チェック リスト
- ExpressRoute の価格について理解を深めます。
- 必要な ExpressRoute 回線 SKU と帯域幅を決定します。
- 必要な ExpressRoute 仮想ネットワーク ゲートウェイのサイズを決定します。
- コストを監視し、予算アラートを作成します。
- 使用しない ExpressRoute 回線のプロビジョニングを解除します。
推奨事項
次の推奨事項の表を参照して ExpressRoute 構成を最適化し、コストを適切な状態に保ちます。
| 推奨 | 特長 |
|---|---|
| ExpressRoute の価格について理解を深める | ExpressRoute の価格の詳細については、Azure ExpressRoute の価格に関するページを参照してください。 Azure 料金計算ツールを使用することもできます。 容量の需要に合わせてこれらのオプションが適切にサイズ設定されていることを確認し、リソースを無駄にすることなく期待されるパフォーマンスを実現します。 |
| 必要な SKU と帯域幅を決定する | ExpressRoute の使用量に対して課金される方法は、この 3 つの SKU の種類によって異なります。 Local SKU では、無制限データ プランで自動的に課金されます。 Standard および Premium SKU では、従量制または無制限データ プランを選択できます。 Global Reach アドオンを使用する場合を除き、すべてのイングレス データの料金は無料です。 コストと予算を最適化するために、実際のワークロードに最適な SKU の種類とデータ プランを理解しておくことが重要です。 ExpressRoute 回線のサイズ変更の詳細については、ExpressRoute 回線の帯域幅のアップグレードに関するページを参照してください。 |
| ExpressRoute 仮想ネットワーク ゲートウェイのサイズを決定する | ExpressRoute 仮想ネットワーク ゲートウェイは、プライベート ピアリング経由で仮想ネットワークにトラフィックを渡すために使用されます。 お好みの仮想ネットワーク ゲートウェイ SKU に関するパフォーマンスとスケールのニーズを確認します。 オンプレミスから Azure へのワークロードに適したゲートウェイ SKU を選択します。 |
| コストを監視し、予算アラートを作成する | ExpressRoute 回線のコストを監視し、異常な支出や支出超過のリスクに関するアラートを作成します。 詳細については、ExpressRoute コストの監視に関するページを参照してください。 |
| 使用しない ExpressRoute 回線のプロビジョニングを解除し、削除する | ExpressRoute 回線は、作成された時点から課金されます。 不要なコストを削減するには、サービス プロバイダーで回線のプロビジョニングを解除し、サブスクリプションから ExpressRoute 回線を削除します。 ExpressRoute 回線を削除する手順については、ExpressRoute 回線のプロビジョニング解除に関する記事を参照してください。 |
その他の提案については、「コスト最適化の設計レビュー チェックリスト」を参照してください。
Azure Advisor は、長期間にわたってデプロイされているものの、プロバイダーの状態が "未プロビジョニング" である ExpressRoute 回線を検出できます。 この状態の回線は動作していません。未使用のリソースを削除すると、不要なコストが削減されます。
オペレーショナルエクセレンス
監視と診断は非常に重要です。 パフォーマンス統計を測定するだけでなく、メトリックをトラブルシューティングと問題の迅速な修復に使用することもできます。 「オペレーショナル エクセレンス設計の原則」を確認することをお勧めします。
設計チェック リスト
- オンプレミスと Azure ネットワークの間の接続監視を構成します。
- 通知を受信するように Service Health を構成します。
- ネットワークの分析情報を使用して、ExpressRoute の分析情報で使用できるメトリックとダッシュボードを確認します。
- ExpressRoute リソース メトリックを確認します。
推奨事項
次の表に記載されている推奨事項を参照して、オペレーショナル エクセレンスを実現するために ExpressRoute 構成を最適化します。
| 推奨 | 特長 |
|---|---|
| 接続監視を構成する | 接続監視を使用すると、ExpressRoute プライベート ピアリングおよび Microsoft ピアリング接続を介して、オンプレミスのリソースと Azure の間の接続を監視できます。 接続モニターは、ネットワーク パスに沿って問題がある場所を特定することでネットワークの問題を検出することができ、構成またはハードウェアの障害をすばやく解決するのに役立ちます。 |
| Service Health を構成する | Service Health の通知を設定して、サブスクリプション内のすべての ExpressRoute 回線に対して計画済みおよび今後のメンテナンスが行われている場合にアラートを生成します。 また、計画外のメンテナンスが発生した場合は、Service Health によって過去のメンテナンスが RCA と共に表示されます。 |
| ネットワークの分析情報を使用してメトリックを確認する | ExpressRoute の分析情報とネットワークの分析情報を一緒に使用することで、ExpressRoute 回線、ゲートウェイ、接続メトリック、正常性ダッシュボードを確認したり、分析したりできます。 ExpressRoute の分析情報では、ExpressRoute 接続のトポロジ ビューも提供され、ピアリング コンポーネントの詳細をすべて 1 か所で表示できます。 使用可能なメトリック: - 可用性 - スループット - ゲートウェイ メトリック |
| ExpressRoute リソース メトリックを確認する | ExpressRoute では、Azure Monitor を使用してメトリックを収集し、構成に基づいてアラートを生成します。 ExpressRoute 回線、ExpressRoute ゲートウェイ、ExpressRoute ゲートウェイ接続、および ExpressRoute Direct のメトリックが収集されます。 これらのメトリックは、接続の問題を診断し、ExpressRoute 接続のパフォーマンスを把握するのに役立ちます。 |
その他の推奨事項については、オペレーショナル エクセレンスの柱の原則を参照してください。
パフォーマンス効率
パフォーマンス効率とは、ユーザーからの要求に合わせて効率的な方法でワークロードをスケーリングできることです。 パフォーマンス効率の原則に関するページを確認することをお勧めします。
設計チェック リスト
- 作業負荷の要件を満たすために ExpressRoute ゲートウェイのパフォーマンスをテストします。
- ExpressRoute ゲートウェイのサイズを大きくします。
- ExpressRoute 回線の帯域幅をアップグレードします。
- スループットを高めるために ExpressRoute FastPath を有効にします。
- ExpressRoute 回線とゲートウェイのメトリックを監視します。
推奨事項
次の表に記載されている推奨事項を参照して、パフォーマンス効率を向上させるために ExpressRoute 構成を最適化します。
| 推奨 | 特長 |
|---|---|
| 作業負荷の要件を満たすために ExpressRoute ゲートウェイのパフォーマンスをテストします。 | Azure 接続ツールキットを使用して ExpressRoute 回線全体のパフォーマンスをテストし、ネットワーク接続の帯域幅容量と待機時間を把握します。 |
| ExpressRoute ゲートウェイのサイズを大きくします。 | オンプレミスと Azure 環境の間のスループット パフォーマンスを向上させるために、より高度なゲートウェイ SKU にアップグレードします。 |
| ExpressRoute 回線の帯域幅のアップグレード | 作業負荷の要件を満たすために、回線帯域幅をアップグレードします。 回線帯域幅は、ExpressRoute 回線に接続されているすべての仮想ネットワーク間で共有されます。 作業負荷に応じて、1 つ以上の仮想ネットワークで、回線上のすべての帯域幅を使い切ることができます。 |
| スループットを高めるために ExpressRoute FastPath を有効にする | Ultra パフォーマンスまたは ErGW3AZ 仮想ネットワーク ゲートウェイを使用している場合は、FastPath を有効にして、オンプレミス ネットワークと Azure 仮想ネットワークの間のデータ パスのパフォーマンスを向上させることができます。 |
| ExpressRoute 回線とゲートウェイのメトリックを監視する | 特定のしきい値が満たされたときに通知を受け取り、先を見越して対応できるように、ExpressRoute メトリックに基づいてアラートを設定します。 これらのメトリックは、ExpressRoute 回線の停止やメンテナンスなど、ExpressRoute 接続で発生する可能性のある異常について把握するのに役立ちます。 |
その他の推奨事項については、パフォーマンス効率の柱の原則を参照してください。
Azure Advisor では、回線で確保している帯域幅の 90% を超えて消費されているときに、その使用状況に対応できるよう ExpressRoute 回線の帯域幅をアップグレードすることをお勧めします。 トラフィックが割り当てられた帯域幅を超えると、パフォーマンスや信頼性に大きな影響を与える可能性のある、パケットのドロップが発生します。
Azure Policy
Azure Policy には ExpressRoute の組み込みポリシーは用意されていませんが、ExpressRoute 回線が、SKU の選択、ピアリングの種類、ピアリング構成など、望む最終的な状態と一致する方法を管理するのに役立つカスタム ポリシーを作成することができます。
その他のリソース
クラウド導入フレームワークのガイダンス
次のステップ
ExpressRoute 回線または ExpressRoute Direct ポートを構成して、オンプレミス ネットワークと Azure の間の通信を確立します。