Azure のネットワーク トポロジを定義する
アプリケーションがどのように相互に通信するかを定義するため、ネットワーク トポロジは、ランディング ゾーン アーキテクチャの重要な要素です。 このセクションでは、Azure デプロイのためのテクノロジとトポロジのアプローチについて説明します。 2 種類の主要なアプローチである、Azure Virtual WAN に基づくトポロジと従来のトポロジに焦点を当てます。
Virtual WAN のネットワーク トポロジ
Virtual WAN は、大規模な相互接続の要件を満たすために 使用されます。 Virtual WAN は Microsoft が管理するサービスで、全体的なネットワークの複雑さを軽減し、組織のネットワークを最新化するのに役立ちます。 以下のいずれかの要件が自分の組織に当てはまる場合、Virtual WAN トポロジを使用します:
組織は、複数の Azure リージョンにわたってリソースをデプロイすることを計画しており、これらの Azure リージョン内の仮想ネットワークと複数のオンプレミスの場所の間のグローバルな接続性を必要としています。
組織は、ソフトウェアによる WAN (SD-WAN) デプロイを使用して大規模なブランチ ネットワークを直接 Azure に統合することを計画しているか、ネイティブ IPsec 終端のために 30 個を超えるブランチ サイトを必要としています。
仮想プライベート ネットワーク (VPN) と Azure ExpressRoute の間の推移的なルーティングが必要です。 たとえば、サイト間 VPN を使用してリモート ブランチやポイント対サイト VPN を使用してリモート ユーザーを接続する場合は、Azure 経由で VPN を ExpressRoute 接続 DC に接続する必要があります。
次の図は、Microsoft が管理する Virtual WAN ネットワーク トポロジを示しています。
従来の Azure ネットワーク トポロジ
従来のハブアンドスポーク ネットワーク トポロジは、カスタマイズされ、セキュリティが強化された大規模ネットワークを Azure 内に構築するのに役立ちます。 このトポロジでは、自分でルーティングとセキュリティを管理します。 以下のいずれかの要件が自分の組織に当てはまる場合、従来のトポロジを使用します:
組織では、1 つまたは複数の Azure リージョンにわたってリソースをデプロイする予定です。 Azure リージョン間の一部のトラフィック (2 カ所の異なる Azure リージョン間の 2 つの仮想ネットワーク間のトラフィックなど) が想定されますが、すべての Azure リージョンにわたってフル メッシュ ネットワークは必要ありません。
リージョンあたりのリモートまたはブランチの場所の数が少なくなっており、IPsec サイト間トンネルが 30 個未満が必要です。
Azure ネットワークのルーティング ポリシーを手動で構成するための完全な制御と細分性が必要です。
次のダイアグラムは、従来の Azure ネットワーク トポロジを示しています。