Azure でのオンプレミス ネットワーク統合
あなたの会社では、そのオンプレミスのリソースの大半を Azure に移行することを計画しています。 ただし、小規模なデータセンターは、Azure ネットワークに統合されるため、オンプレミスのままである必要があります。 アーキテクチャ モデルでは、いくつかのサテライト オフィス用の Azure ネットワーク接続の使用を考慮する必要があります。 オンプレミスとクラウドベースの両方のリソースへのアクセスを許可する、ハイブリッド ネットワーク アーキテクチャを使用したいと考えています。
移行を処理するために、Azure のネットワーク統合計画を立てます。これには、Azure で利用できる最適なハイブリッド ネットワーク オプションの選択が含まれます。 このオプションは、ハイブリッド接続に関する組織の要件を満たす必要があります。
このユニットでは、Azure プラットフォームでのオンプレミス接続について確認します。 また、Azure Virtual Network の概要と、Azure VPN Gateway を使用してオンプレミス ネットワークへのトラフィックをセキュリティで保護する方法について説明します。
Azure Virtual Network について
Azure Virtual Network サービスには、組織用のクラウドベースのネットワーク アーキテクチャを構築するための、特定のツールとリソースのセットが用意されています。 Azure 仮想ネットワークでは、サブスクリプション内で許可されているすべての Azure リソースに対して、セキュリティで保護された仮想通信チャネルが提供されます。
Azure 仮想ネットワークを使用すると、次のことができます。
- 仮想マシンをインターネットに接続する。
- さまざまなデータセンターとリージョンでホストされている Azure リソース間にセキュリティで保護された通信を提供する。
- Azure リソースを分離して管理する。
- オンプレミス コンピューターに接続する。
- ネットワーク トラフィックを管理する。
既定では、仮想ネットワーク内のすべての Azure リソースでインターネットへの送信接続を行います。 外部の受信方向の通信は、公開されたエンドポイントを経由する必要があります。 すべての内部リソースでプライベート エンドポイントを使用して、仮想ネットワークにアクセスします。
仮想ネットワークは、多くの要素で構成されます。 これには、ネットワーク インターフェイス、ロード バランサー、サブネット、ネットワーク セキュリティ グループ、パブリック IP アドレスなどが含まれますが、これらに限定されるものではありません。 これらの要素は連動して、Azure リソース、インターネット、オンプレミス ネットワーク間のセキュリティで保護された信頼性の高いネットワーク通信を可能にします。
Azure 仮想ネットワークでのトラフィックのルーティング
サブネットからの送信トラフィックは、接続先 IP アドレスに基づいてルーティングされます。 ルーティング テーブルでは、トラフィックのルーティング方法と次に行われる処理が定義されます。 接続先 IP アドレスは、複数のルーティング テーブル プレフィックス定義にわたって存在できます。たとえば、10.0.0.0/16 や 10.0.0.0/24 のようになります。 ルーターでは高度なアルゴリズムを使用して、一致する最長プレフィックスを見つけます。 10.0.0.6 アドレスへ向かうトラフィックは、10.0.0.0/24 プレフィックスに解決されて、それに応じてルーティングされます。
ルーティング テーブルには、システムとカスタムという 2 つの主なものがあります。
システム ルーティング テーブル
Azure では、仮想ネットワークと、仮想ネットワーク内の各サブネット マスクに対して、既定のルーティング テーブルのセットが自動的に作成されます。 これらのシステム ルートは固定されており、編集することも削除することもできません。 しかし、カスタム ルーティング テーブルを使用することで、既定の設定をオーバーライドすることはできます。
一般的な既定のルーティング テーブルは、次のようになります。
ソース | アドレス プレフィックス | 次ホップの種類 |
---|---|---|
Default | 仮想ネットワークに固有 | 仮想ネットワーク |
Default | 0.0.0.0/0 | インターネット |
Default | 10.0.0.0/8 | なし |
既定値 | 172.16.0.0/12 | なし |
Default | 192.168.0.0/16 | なし |
Default | 100.64.0.0/10 | なし |
ルーティング テーブルは、ソース、アドレス プレフィックス、"次ホップ" の種類で構成されます。 サブネットから出て行くすべてのトラフィックでは、ルーティング テーブルを使用して、次に進むべき場所が特定されます。 実際には、トラフィックはその経路での次ホップが検索されます。
次ホップでは、プレフィックスに基づいて、トラフィック フローに対して次に行われることが定義されます。 次ホップには 3 つの種類があります。
- 仮想ネットワーク: トラフィックは、仮想ネットワーク内の IP アドレスに従ってルーティングされます。
- インターネット: トラフィックはインターネットにルーティングされます。
- なし:トラフィックは破棄されます。
カスタム ルーティング テーブル
システム定義のルーティング テーブルとは別に、カスタム ルーティング テーブルを作成することもできます。 これらのユーザー定義ルーティング テーブルは、既定のシステム テーブルより優先されます。 カスタム テーブルに設定できるルーティング項目の数には制限があります。
仮想ネットワークに適用される数多くの制限事項の一部を次のテーブルに示します。
リソース | 既定または最大数 |
---|---|
仮想ネットワーク | 1,000 |
仮想ネットワークあたりのサブネット数 | 3,000 |
仮想ネットワークあたりの VNet ピアリング | 500 |
仮想ネットワークあたりのプライベート IP アドレス数 | 65,536 |
システム ルーティング テーブルと同様に、カスタム ルーティング テーブルにも次ホップの種類があります。 ただし、カスタムのルーティング テーブルには、さらにいくつかのオプションが用意されています。
- 仮想アプライアンス:このオプションは、通常は、ファイアウォールなどの特定のネットワーク アプリケーションを実行する仮想マシンです。
- 仮想ネットワーク ゲートウェイ:このオプションは、仮想ネットワーク ゲートウェイにトラフィックを送信する場合に使用します。 仮想ネットワーク ゲートウェイの種類は VPN である必要があります。 種類を Azure ExpressRoute にすることはできません。そのためには、Border Gateway Protocol (BGP) ルーティング プロセスを設定する必要があります。
- なし:このオプションは、トラフィックを転送するのではなく、削除します。
- 仮想ネットワーク: このオプションは、既定のシステム ルーティングをオーバーライドできます。
- インターネット: このオプションでは、すべてのプレフィックスがトラフィックをインターネットに転送するように指定できます。
Azure 仮想ネットワークの接続
仮想ネットワークは、いくつかの方法で接続できます。 Azure VPN Gateway または ExpressRoute を使用することも、ピアリング方法を直接使用することもできます。
Azure VPN Gateway
オンプレミスのネットワークと Azure との統合に取り組むときは、これらの間にブリッジが必要です。 VPN Gateway は、この機能を提供する Azure サービスです。 VPN ゲートウェイを使うと、2 つのネットワークの間で暗号化されたトラフィックを送信できます。 VPN ゲートウェイでは複数の接続がサポートされており、使用可能な任意の帯域幅を使用する VPN トンネルをルーティングできます。 仮想ネットワークの場合、割り当てることができるゲートウェイは 1 つだけです。 VPN ゲートウェイは、Azure の仮想ネットワーク間の接続にも使用できます。
VPN ゲートウェイの実装時、仮想ネットワークを設定するときに作成したサブネットに複数の仮想マシンをデプロイする必要があります。 この場合、サブネットは "ゲートウェイ サブネット" とも呼ばれます。 各仮想マシンには、ルーティングとゲートウェイ サービスの既定の構成が、プロビジョニングされたゲートウェイに対して明示的に割り当てられます。 これらの仮想マシンを直接構成することはできません。
ゲートウェイを作成するときは、いくつかのトポロジを使用できます。 これらのトポロジ ("ゲートウェイの種類" とも呼ばれます) によって、構成する要素と想定される接続の種類が決まります。
サイト間
クロスプレミスおよびハイブリッド ネットワークの構成では、サイト間接続を使用します。 この接続トポロジでは、オンプレミスの VPN デバイスは、パブリックにアクセス可能な IP アドレスを持つ必要があり、ネットワーク アドレス変換 (NAT) の内側に配置することはできません。 この接続では、最大 128 文字のシークレット ASCII 文字列を使用して、ゲートウェイと VPN デバイスの間の認証が行われます。
マルチサイト
マルチサイト接続はサイト間接続と似ていますが、多少の違いがあります。 マルチサイトでは、オンプレミスの VPN デバイスに対する複数の VPN 接続がサポートされます。 この接続トポロジには、動的ゲートウェイと呼ばれる RouteBased VPN が必要です。 マルチサイト構成では、すべての接続で、使用可能なすべての帯域幅がルーティングおよび共有されることに注意してください。
ポイント対サイト
ポイント対サイト接続は、ネットワークに接続するリモートの個々のクライアント デバイスに適しています。 クライアント デバイスは、Microsoft Entra ID または Azure 証明書認証を使用して認証する必要があります。 このモデルは、在宅勤務のシナリオに適しています。
ネットワーク間
ネットワーク間の接続は、複数の Azure 仮想ネットワーク間の接続を作成するために使用します。 この接続トポロジは、他とは異なり、パブリック IP または VPN デバイスを必要としません。 また、クロスプレミス接続と仮想ネットワーク間の接続との組み合わせを確立するには、ネットワーク間の接続をマルチサイトで使用することもできます。
ExpressRoute
ExpressRoute では、オンプレミス ネットワークと Azure 仮想ネットワークの間に、インターネットを使用しない直接接続が作成されます。 Azure 仮想ネットワーク空間全体にローカル ネットワークをシームレスに拡張するには、ExpressRoute を使用します。 Microsoft 以外の数多くの接続プロバイダーが、ExpressRoute サービスを提供しています。 ExpressRoute 接続には、次の 3 つの種類があります。
- CloudExchange コロケーション
- ポイント ツー ポイントのイーサネット接続
- Any-to-Any (IPVPN) 接続
ピアリング
仮想ネットワークは、サブスクリプション間および Azure リージョン間でピアリングできます。 仮想ネットワークがピアリングされると、これらのネットワーク内のリソースは、同じネットワーク内にあるかのように相互に通信します。 トラフィックは、プライベート IP アドレスのみを使用してリソース間でルーティングされます。 ピアリングされた仮想ネットワークは、Azure ネットワーク経由でトラフィックをルーティングし、Azure バックボーン ネットワークの一部として接続をプライベートに維持します。 バックボーン ネットワークにより、低待機時間で高帯域幅のネットワーク接続が提供されます。
サイト間 VPN ゲートウェイの参照アーキテクチャ
ハイブリッド ネットワークを設計するときは多くの参照アーキテクチャを使用できますが、一般的なアーキテクチャの 1 つがサイト間構成です。 次の図で示す簡略化された参照アーキテクチャでは、オンプレミス ネットワークを Azure プラットフォームに接続する方法を示します。 インターネット接続では、IPsec VPN トンネルが使用されます。
このアーキテクチャには、次のいくつかのコンポーネントがあります。
- オンプレミス ネットワークは、オンプレミスの Active Directory とデータまたはリソースを表します。
- パブリック接続を使用しているときは、ゲートウェイによって、暗号化されたトラフィックが仮想 IP アドレスに送信されます。
- Azure 仮想ネットワークには、すべてのクラウド アプリケーションと Azure VPN ゲートウェイ コンポーネントが保持されます。
- Azure VPN ゲートウェイでは、Azure 仮想ネットワークとオンプレミス ネットワークの間に暗号化されたリンクが提供されます。 Azure VPN ゲートウェイは、これらの要素で構成されています。
- 仮想ネットワーク ゲートウェイ
- ローカル ネットワーク ゲートウェイ
- 接続
- ゲートウェイ サブネット
- クラウド アプリケーションは、Azure によって使用できるようにしたものです。
- フロントエンドにある内部ロード バランサーでは、クラウド トラフィックがクラウドベースの適切なアプリケーションまたはリソースにルーティングされます。
このアーキテクチャを使用すると、次のような利点があります。
- 構成とメンテナンスが簡略化されます。
- VPN ゲートウェイを使用すると、オンプレミスのゲートウェイと Azure ゲートウェイの間で、すべてのデータとトラフィックが確実に暗号化されます。
- このアーキテクチャは、組織のネットワーク ニーズに合わせてスケーリングおよび拡張することができます。
このアーキテクチャは、2 つのゲートウェイ ポイント間のリンクとして既存のインターネット接続を使用するため、すべての状況に適用できるわけではありません。 帯域幅の制約により、既存のインフラストラクチャを再利用することによる待機時間の問題が発生する可能性があります。