Azure Route Server を使用してルート テーブルを更新する

この記事では、NVA と仮想ネットワーク間の動的ルーティングを管理するためのソリューションについて説明します。 ソリューションの中核となるのは、Azure Route Server です。 このサービスを使用すると、仮想ネットワーク内での NVA の構成、メンテナンス、デプロイが簡単になります。 Route Server を使用すると、仮想ネットワークのアドレスが変更されたときに、NVA ルート テーブルを手動で更新する必要がなくなります。

アーキテクチャ

このアーキテクチャの Visio ファイルをダウンロードします。

ワークフロー

• このハブアンドスポーク アーキテクチャには、ハブ仮想ネットワークと 1 つのスポーク仮想ネットワークがあります。 ハブ仮想ネットワークには複数のサブネットがあり、それぞれに仮想マシン (VM) が含まれています。

• 各仮想ネットワークのアドレス空間によって、アドレス範囲が定義されます。 これらの範囲ごとに、Azure はその範囲のアドレス プレフィックスを使用してルートを作成します。 Azure はルート テーブルにこれらのルートを追加します。 各仮想ネットワークには複数のサブネットがあり、各サブネットには接続を制御するネットワーク インターフェイス カード (NIC) があります。 Azure は、各仮想ネットワークのルート テーブルをサブネットの NIC に挿入します。

  これらの既定のシステム ルートを作成または削除することはできません。 ただし、次のことができます。

  • 一部のシステム ルートをカスタム ルートでオーバーライドします。
  • 特定のサブネットにオプションの既定のルートを追加するように Azure を構成します。

• ローカル ネットワークでは、Azure VPN Gateway と ExpressRoute ゲートウェイを使用して、共存する構成でハブ仮想ネットワークに接続します。 VPN Gateway を追加すると、次のルートとしてゲートウェイとのルートがルート テーブルに追加されます。 ExpressRoute を追加すると、ルート テーブルも更新されます。 これらのルートは、すべてのサブネットに伝達されます。

• ボーダー ゲートウェイ プロトコル (BGP) を使用すると、オンプレミスと Azure のコンポーネント間で IP アドレスを交換できます。 このプロトコルは、自律システム間でパケットを送信します。 このようなシステムは、1 つの組織が実行する小規模なネットワークや、ルーターの巨大なプールです。

• ハブ仮想ネットワークとスポーク仮想ネットワークの間には、仮想ネットワーク ピアリングが存在します。 ピアリングを作成すると、Azure によってルート テーブルが更新されます。 具体的には、Azure はハブ アドレス空間またはスポークアドレス空間にあるアドレス範囲ごとに対してルートを追加します。 これらのルートは、すべてのサブネットに伝達されます。

• ハブ仮想ネットワークのサブネットは、Azure Storage にサービス エンドポイントを使用します。 Azure によって、そのサブネットのルート テーブルに Storage 用のパブリック IP アドレスが追加されます。

• ハブ仮想ネットワークには、2 つの NVA が含まれています。 NVA は、ゲートウェイ、ソフトウェアで定義されたワイドエリア ネットワーク (SD-WAN)、またはセキュリティ アプライアンス ファイアウォールです。 Route Server は、NVA、ネットワーク アプリケーション、ゲートウェイのルートを次の方法で交換します。

  • Azure Virtual Machine Scale Sets のインスタンスを作成する。 スケール セット内の各 VM には、IP アドレスがあります。 ゲートウェイ IP アドレスと同様に、Route Server は VM の IP アドレスにアクセスできます。
  • 各 NVA とスケール セット内の VM の間に BGP ピアを確立する。
  • 仮想ネットワークと接続されたネットワーク内のすべてのルート テーブルに VM の IP アドレスを挿入する。

  次のことは必要ありません。

  • ユーザー定義ルートを手動で追加する。
  • ルート テーブルを手動で作成する。
  • ルート テーブルをサブネットにリンクし、ルートを伝達する。
  • IP アドレスが変更されたときにルート テーブルを更新する。

コンポーネント

• Route Server を利用すると、BGP と仮想ネットワークをサポートする NVA 間の動的ルーティングが簡単になります。 このサービスにより、ルート テーブルを維持するための管理オーバーヘッドがなくなります。

• Virtual Network は、Azure 内のプライベート ネットワークのための基本的な構成要素です。 Virtual Network を使用すると、VM などの Azure リソースでは、相互に、またインターネットやオンプレミス ネットワークと安全に通信できます。

• 仮想ネットワーク ピアリングを使用すると、2 つ以上の Azure 仮想ネットワークを接続できます。 ピアリングは、異なる仮想ネットワーク内のリソース間で、待機時間の短い広帯域幅の接続を可能にします。 ピアリングされた仮想ネットワーク内の VM 間のトラフィックは、Microsoft プライベート ネットワークのみを使用します。

• VPN Gateway は仮想ネットワーク ゲートウェイの特殊な種類です。 VPN Gateway を使用すると、暗号化されたトラフィックを送信できます。

  • パブリック インターネットを介して、Azure Virtual Network とオンプレミスの場所の間で。
  • Azure のバックボーン ネットワークを介して、Azure の仮想ネットワーク間で。

• ExpressRoute により、オンプレミスのネットワークが Microsoft クラウドに拡張されます。 ExpressRoute は接続プロバイダーを使用して、Azure のサービスや Microsoft 365 などのクラウド コンポーネントへのプライベート接続を確立します。

• サービスエンド ポイントは、仮想ネットワーク内のプライベート IP アドレスから Azure サービスに安全かつ直接接続できるようにします。 サービス エンドポイントは、仮想ネットワークの ID を Azure サービスに提供します。 そのため、仮想ネットワーク リソースはサービスにアクセスするためのパブリック IP アドレスを必要とせず、エンドポイントは、指定された仮想ネットワークからのトラフィックのみを許可することによってサービスを保護します。 接続は、Azure のバックボーン ネットワーク上で最適化されたルートを使用します。

• NVA とは、ファイアウォールのセキュリティや負荷分散などのネットワーク機能を提供する仮想アプライアンスです。

• Azure Storage は、オブジェクト、ファイル、ディスク、キュー、テーブルのストレージを含むクラウド ストレージ ソリューションです。 サービスには、データの転送、共有、バックアップを行うためのハイブリッド ストレージ ソリューションおよびツールが含まれます。

代替

• このソリューションでは、サービス エンドポイントを Storage に接続する必要はありません。 代わりに、他の Azure サービスを使用できます。 サービス エンドポイントでセキュリティ保護できるサービスの一覧については、「Virtual Network サービス エンドポイント」を参照してください。

• Route Server を使用する代わりに、ユーザー定義のルートを各サブネットのルート テーブルに追加できます。 ユーザー定義ルートの詳細については、「仮想ネットワークトラフィックルーティングでのユーザー定義」を参照してください。

シナリオの詳細

ネットワーク ルーティングとは、トラフィックがネットワークを経由して宛先に到達するパスを決定するプロセスです。 ルート テーブルには、ルーティング パスを決定するのに役立つネットワーク トポロジ情報が一覧表示されます。

仮想ネットワークにネットワーク仮想アプライアンス (NVA) が含まれている場合、ルート テーブルを手動で構成して更新する必要があります。

この記事では、NVA と仮想ネットワーク間の動的ルーティングを管理するためのソリューションについて説明します。 ソリューションの中核となるのは、Azure Route Server です。 このサービスを使用すると、仮想ネットワーク内での NVA の構成、メンテナンス、デプロイが簡単になります。 Route Server を使用すると、仮想ネットワークのアドレスが変更されたときに、NVA ルート テーブルを手動で更新する必要がなくなります。

考えられるユース ケース

このソリューションは、以下のようなさまざまなシナリオに適用されます。

• デュアルホーム ネットワークを使用します。 Router Server は、一般的なハブアンドスポークのネットワーク トポロジに加えて、デュアルホーム ネットワーク トポロジもサポートします。 この種類の設定では、2 つ以上のハブ仮想ネットワークを持つスポーク仮想ネットワークがピアになります。 詳細については、「Azure Route Server を使用したデュアルホーム ネットワークについて」を参照してください。
• NVA を Azure ExpressRoute に接続します。 一部の仮想ネットワークには、Route Server、ExpressRoute ゲートウェイ、NVA が含まれます。 既定では、Route Server は NVA ルートを ExpressRoute に伝達しません。 また、Route Server も、ExpressRoute ルートを NVA に伝達しません。 また、Route Server は ExpressRoute ルートを NVA に伝達しません。 詳細については、「ExpressRoute と Azure VPN に対する Azure Route Server のサポートについて」を参照してください。
• Azure を使用して、オンプレミスのシステムからインターネットに接続します。 インターネットにアクセスできない組織では、この構成を使用する場合があります。 既にインターネット プロキシを Azure に移行しているシステムは他の可能性も考えられます。 Route Server を使用すると、この設定を行うことができます。

考慮事項

このソリューションを実装する場合、次の点を考慮してください。

• Route Server は接続を確立し、ルートを交換します。 データ パケットは転送しません。 そのため、Route Server のバックエンドで実行されている VM には、大量の CPU パワーや計算能力は必要ありません。

• Route Server を展開するときは、RouteServerSubnet という IPv 4 サブネットマスクを使用する /27 というサブネットを作成します。 Route Server をそのサブネットに配置します。

• Azure ゲートウェイでは、Basic 価格レベルは共存する ExpressRoute と VPN Gateway 接続をサポートしていません。 共存する構成に関するその他の制限事項については、「制限と制限事項」を参照してください。

• 仮想ネットワークで使用できるサービス エンドポイントの数に制限はありません。 ただし、Storage などの一部の Azure サービスでは、リソースのセキュリティ保護に使用できるサブネットの数に制限が適用されます。 詳細については、「Virtual Network サービス エンドポイントの次のステップ」を参照してください。

このソリューションを検討する場合は、次のセクションの点にも考慮してください。

可用性

Route Server は、高可用性を提供するフル マネージド サービスです。 このサービスの可用性の保証については、「Azure Route Server の SLA」をご覧ください。

スケーラビリティ

このソリューションのほとんどのコンポーネントは、自動スケールするマネージド サービスです。 ただし、例外がいくつかあります。

• Route Server は、ExpressRoute または VPN ゲートウェイに最大 200 のルートを公開できます。
• Route Server では、ピアリングされた仮想ネットワークを含む、仮想ネットワークあたり最大 2,000 台の VM をサポートできます。

セキュリティ

• Azure でのアプリケーションとデータのセキュリティを改善するためのガイダンスについては、「Azure セキュリティ ベンチマークの概要 (v1)」を参照してください。
• Virtual Network に固有の Azure セキュリティ ベンチマーク バージョン 1.0 のガイダンスについては、「Virtual Network 用の Azure セキュリティ ベースライン」を参照してください。

回復性

このソリューションでは、マネージド コンポーネントのみを使用します。 リージョン レベルでは、これらのコンポーネントはすべて自動的な回復性があります。 Route Server は高可用性を提供します。 可用性ゾーンをサポートする Azure リージョンに Route Server をデプロイする場合、実装にはゾーンレベルの冗長性があります。 可用性ゾーンの詳細については、「リージョンと可用性ゾーン」を参照してください。

コスト最適化

このソリューションの実装コストを見積もるには、Azure 料金計算ツールを使用してください。 不要な経費の削減に関する一般的な情報については、「コストの最適化の柱の概要」を参照してください。

以下のセクションでは、ソリューションのコンポーネントの価格情報について説明します。

ルート サーバー

現時点では、Route Server の前払い費用や中途解約料は発生しません。 価格情報については、「Azure Route Server の価格」を参照してください。

Virtual Network

Virtual Network は無料でご使用いただけます。 Azure サブスクリプションを使用すると、すべてのリージョンで最大 50 の仮想ネットワークを作成できます。 仮想ネットワークの境界内にあるトラフィックは無料です。 その結果、同じ仮想ネットワーク内の 2 つの VM 間の通信は無料になります。

VPN Gateway

VPN Gateway を使用すると、すべての受信トラフィックが無料になります。 送信トラフィックに対してだけ課金されます。 インターネット帯域幅のコストは、VPN 送信トラフィックに適用されます。 詳細については、「VPN Gateway の価格」を参照してください。

ExpressRoute

受信する ExpressRoute データ転送は無料です。 送信データ転送の場合、事前に決められた料金が課金されます。 固定の月額ポート料金も適用されます。 詳細については、「Azure ExpressRoute の価格」をご覧ください。

サービス エンドポイント

サービス エンドポイントの使用に料金はかかりません。

NVA

NVA は、使用するアプライアンスに基づいて課金されます。 課金の対象となるのは、デプロイする Azure VM と、基になるインフラストラクチャ リソースのうち使用されたもの (ストレージやネットワークなど) です。 詳細については、「Linux 仮想マシンの料金」を参照してください。

次のステップ

• クイックスタート: Azure portal を使用してルート サーバーを作成および構成する
• ExpressRoute と Azure VPN に対する Azure Route Server のサポートについて
• Azure Route Server に関する FAQ
• Azure のロード マップ
• ネットワークのブログ
• Azure Route Server の SLA
• Azure Route Server とは

関連リソース

• Azure Firewall アーキテクチャ概要
• 仮想ネットワーク ピアリングと VPN ゲートウェイのいずれかを選択
• アベイラビリティ ゾーンとリージョンを使用するための推奨事項
• 高可用性 NVA をデプロイする
• Azure Firewall と Application Gateway を使用した Web アプリケーション用のゼロ トラスト ネットワーク