設計フェーズ 3: 受信インターネット接続

  • [アーティクル]

この設計フェーズで行う選択は、パブリック IP アドレス経由で到達できる必要がある Azure VMware Solution で実行されているアプリケーションの要件によって決まります。 インターネットに接続するアプリケーションはほとんど常に、セキュリティ (次世代ファイアウォール、Web アプリケーション ファイアウォール) と負荷分散 (レイヤー 3 またはレイヤー 4 のロード バランサー、アプリケーション配信コントローラー) を提供するネットワーク デバイスを介して公開されます。 これらのデバイスはプライベート クラウド自体、またはプライベート クラウドに接続された Azure 仮想ネットワークにデプロイすることができます。 どれを選択するかは、以下の考慮事項に基づいて決まります。

  • コストの最適化と一貫性を達成するために、Azure 仮想ネットワークにデプロイされている既存の NVA (ファイアウォールやアプリケーション配信コントローラーなど) を使用して、プライベート クラウドで実行されているアプリケーションを公開できます。
  • インターネットに接続するアプリケーションの公開に使用できる Azure PaaS サービスは、管理オーバーヘッドの削減に役立つ場合があります。これらのサービスには、Azure Firewall (カスタマー マネージド仮想ネットワークにデプロイされる場合と Azure Virtual WAN ハブにデプロイされる場合の両方) や Azure Application Gateway などがあります。
  • ファイアウォールとアプリケーション配信コントローラーは、ベンダーによってサポートされている場合、Azure VMware Solution に仮想アプライアンスとしてデプロイできます。

次のフローチャートは、このフェーズにアプローチする方法をまとめたものです。

Flowchart that shows the design-decision making process for inbound internet connectivity.

Azure 仮想ネットワークにホストされている NVA

仮想ネットワークでホストされている Azure サービス (Azure Firewall、Application Gateway) またはサードパーティの NVA を介して Azure VMware Solution アプリケーションを公開するには、仮想ネットワークと Azure VMware Solution プライベート クラウド間のレイヤー 3 接続のみが必要です。 詳細については、「設計フェーズ 2: Azure 仮想ネットワークとの接続」を参照してください。.

次のセクションでは、各オプションのガイダンスを示します。

Azure Firewall に関する考慮事項

Azure Firewall は、Microsoft レイヤー 3 またはレイヤー 4 デバイスを介して汎用 TCP または UDP エンドポイントを公開する場合に推奨されるオプションです。 Azure Firewall 経由で Azure VMware Solution アプリケーションを公開するには、ファイアウォールのパブリック IP のいずれかを Azure VMware Solution アプリケーション エンドポイントのプライベート IP にマップする宛先ネットワーク アドレス変換 (DNAT) 規則を構成する必要があります。 Azure Firewall は、送信元ネットワーク アドレス変換 (SNAT) を自動的に使用して、インターネットから受信した IP アドレスを独自のプライベート IP アドレスに変換します。 その結果、Azure VMware Solution 仮想マシン (VM) は、送信元 IP アドレスがファイアウォールの IP であるトラフィックを受信します。 詳細については、「Azure portal で Azure Firewall DNAT を使用してインバウンド インターネット トラフィックをフィルター処理する」を参照してください。

Azure Application Gateway に関する考慮事項

Application Gateway は、Azure VMware Solution で実行されている HTTP (S) アプリケーションを公開する場合に推奨されるオプションです。 この Microsoft HTTP リバース プロキシは、以下を提供します。

  • HTTP 要求のルーティング。
  • Web アプリケーション ファイアウォール (WAF) の機能。

Application Gateway を使用すると、Azure VMware Solution プライベート クラウドで実行されているアプリケーション サーバーは、送信元 IP アドレスがアプリケーション ゲートウェイの IP であるトラフィックを受信します。 アプリケーション ロジックがクライアントの IP アドレスの情報にアクセスする必要がある場合、その情報を HTTP 要求 (通常、カスタムの x-forwarded-for ヘッダーとして) で送信できます。 詳細については、Application Gateway を使用した Azure VMware Solution の公開に関するこちらの記事をご覧ください。

Note

現在、Application Gateway は、Azure VMware Solution VM で実行されている Web アプリを公開するために使用できる唯一の Microsoft ロード バランサーです。 これは、VM のバックエンド プールを構成するときに、Azure VMware Solution で実行されている VM のプライベート IP アドレスを直接指すことができるためです。

サードパーティの NVA に関する考慮事項

サードパーティの NVA は、レイヤー 3 またはレイヤー 4 のファイアウォール機能、またはレイヤー 7 のリバース プロキシ/WAF 機能を提供できます。 NVA ベンダーのガイダンスに従って、Azure 仮想ネットワークにデバイスをデプロイしてください。 Azure 上に NVA の高可用性クラスターを作成する方法の詳細なガイダンスについては、このガイドの範囲外です。 次の大まかな考慮事項は、あらゆる NVA テクノロジに適用できる一般的なものです。

  • 高可用性 (HA) はユーザーの責任です。 NVA クラスターには、2 つ以上のアクティブな NVA インスタンス (N-アクティブ HA モデル) が含まれている必要があります。 アクティブ/パッシブ HA は水平スケーラビリティを妨げるので、使用しないようにする必要があります。
  • Standard SKU Azure Load Balancer を使用して、すべての受信インターネット接続をすべての実行中のインスタンスに配布する必要があります。
  • レイヤー 3 とレイヤー 4 の NVA で、DNAT を使用して、公開する Azure VMware Solution アプリケーションのプライベート IP に受信インターネット接続を変換するように構成する必要があります。
  • フローの対称性を維持するには、レイヤー 3 とレイヤー 4 の NVA で、SNAT を使用して、受信インターネット接続をそのエグレス インターフェイスのプライベート IP アドレスに変換するように構成する必要があります。
  • レイヤー 7 NVA は、リバース プロキシとして機能し、受信クライアント接続ごとに 2 つの異なる TCP セッションを維持します。つまり、1 つはクライアントと NVA の間、もう 1 つは NVA とアップストリーム アプリケーション サーバーの間のセッションです。 後者のセッションは、NVA エグレス インターフェイスのプライベート IP アドレスから発信されます。 HTTP(S) アプリケーションでは、レイヤー 7 の NVA が HTTP 要求ヘッダーでクライアントのパブリック IP アドレスをアプリケーション サーバーに渡すことができます。

Azure VMware Solution でホストされている NVA (NSX-T Data Center Edge のパブリック IP)

Azure VMware Solution にデプロイされているサードパーティの NVA を介して Azure VMware Solution アプリケーションを公開するには、NSX-T Data Center Edge のパブリック IP をプライベート クラウドに対応させる必要があります。 この機能は、Azure パブリック IP プレフィックスからの Azure パブリック IP をプライベート クラウドに関連付けて、それらの IP 宛てのインターネット トラフィックをプライベート クラウドの NSX-T T0 または T1 ゲートウェイにルーティングするように Microsoft バックボーンを構成します。 その後、T1 ゲートウェイで、DNAT を使用して、NSX-T セグメントに接続されている NVA のプライベート IP に受信接続を変換するように構成できます。 NSX-T Data Center Edge のパブリック IP の構成、および受信インターネット接続用の DNAT 規則の構成に関するガイダンスについては、NSX-T Data Center Edge のパブリック IP の有効化に関する記事を参照してください。 NSX-T Data Center Edge のパブリック IP と共に Azure VMware Solution を使用する場合は、以下の考慮事項が適用されます。

  • T0 ゲートウェイではなく、T1 ゲートウェイで NAT を実行します。 Azure VMware Solution のプライベート クラウドでは、T0 ゲートウェイはアクティブ/アクティブのデバイス ペアであるため、ステートフル NAT セッションを処理できません。
  • パブリック IP を Azure パブリック IP プレフィックスに関連付ける必要があります。 カスタム IP アドレス プレフィックス (BYOIP) からの IP の使用は現在サポートされていません。
  • Azure VMware Solution のプライベート クラウドが NSX-T Data Center Edge のパブリック IP で構成されている場合、既定のルートが T0/T1 ゲートウェイにインストールされます。 これは、Microsoft バックボーンのエッジ経由で送信インターネット接続をルーティングします。 そのため、受信インターネット接続に NSX-T Data Center Edge のパブリック IP を使用すると、送信接続の実装オプションも決まります。これについては、このガイドの次の記事で説明します。

次のステップ

送信インターネット接続について学習します。

送信インターネット接続