グローバル トランジット ネットワーク アーキテクチャと Virtual WAN

現代の企業では、クラウドとオンプレミスに高度に分散されたアプリケーション、データ、ユーザーの間のユビキタスな接続性が必要です。 グローバル トランジット ネットワーク アーキテクチャは、クラウド中心の最新のグローバル エンタープライズ IT フットプリントを統合、接続、制御するために、企業によって採用されています。

グローバル トランジット ネットワーク アーキテクチャは、クラウドでホストされたネットワーク "ハブ" によって、さまざまな種類の "スポーク" に分散されている可能性があるエンドポイント間の推移的な接続が可能になる、従来のハブ アンド スポーク接続モデルが基になっています。

このモデルでは、次のものがスポークになることができます。

  • 仮想ネットワーク (VNet)
  • 物理的なブランチ サイト
  • リモート ユーザー
  • Internet

Diagram of hub and spoke.

"図 1:グローバル トランジット ハブアンドスポーク ネットワーク

図 1 で示すグローバル トランジット ネットワークの論理ビューでは、地理的に分散したユーザー、物理サイト、VNet が、クラウドでホストされたネットワーク ハブを介して相互接続されています。 このアーキテクチャでは、ネットワーク エンドポイント間の論理的な 1 ホップ トランジット接続が可能になります。

Virtual WAN でのグローバル トランジット ネットワーク

Azure Virtual WAN は Microsoft が管理するクラウド ネットワーク サービスです。 このサービスを構成するすべてのネットワーク コンポーネントは、Microsoft によってホストされて管理されます。 Virtual WAN の詳細については、Virtual WAN の概要に関するページを参照してください。

Azure Virtual WAN を使うと、VNet、ブランチ サイト、SaaS および PaaS アプリケーション、ユーザーのグローバルに分散したクラウド ワークロードのセットの間で、ユビキタスな Any-to-Any 接続を有効にすることにより、グローバル トランジット ネットワーク アーキテクチャを実現できます。

Diagram of global network transit with Virtual WAN.

"図 2:グローバル トランジット ネットワークと Virtual WAN

Azure Virtual WAN アーキテクチャでは、Virtual WAN のハブは Azure リージョンにおいてプロビジョニングされ、それにブランチ、VNet、リモート ユーザーを接続できます。 物理ブランチ サイトは、Premium または Standard の ExpressRoute またはサイト間 VPN によってハブに接続されます。VNet は、VNet 接続によってハブに接続されます。リモート ユーザーは、ユーザー VPN (ポイント対サイト VPN) を使ってハブに直接接続できます。 また、Virtual WAN を使うと、あるリージョン内の VNet を別のリージョンの Virtual WAN ハブに接続できるリージョン間 VNet 接続もサポートされます。

Virtual WAN を確立するには、スポーク (ブランチ、VNet、ユーザー) の数が最も多いリージョンに Virtual WAN ハブを 1 つ作成した後、他のリージョン内にあるスポークをハブに接続します。 これは、エンタープライズ フットプリントの大部分が 1 つのリージョン内にあってリモート スポークの数が少ない場合に適したオプションです。

ハブ間接続

エンタープライズ クラウドのフットプリントは複数のクラウド リージョンにまたがることができ、物理サイトやユーザーに最も近いリージョンからクラウドにアクセスするのに最適です (待ち時間対応)。 グローバル トランジット ネットワーク アーキテクチャの重要な原則の 1 つは、すべてのクラウドとオンプレミスのネットワーク エンドポイントの間のリージョン間接続を有効にすることです。 つまり、あるリージョンのクラウドに接続されているブランチからのトラフィックは、Azure のグローバル ネットワークによって有効になるハブ間接続を使用して、異なるリージョンにある別のブランチまたは VNet に到達できます。

Diagram of cross-region.

"図 3:Virtual WAN のリージョン間接続

1 つの Virtual WAN で複数のハブを有効にすると、ハブはハブ間リンクによって自動的に相互接続されるため、複数のリージョンに分散されたブランチと VNet の間のグローバル接続が可能になります。

さらに、すべて同じ Virtual WAN の一部である複数のハブを、異なるリージョン アクセス ポリシーおよびセキュリティ ポリシーに関連付けることができます。 詳細については、後の「セキュリティとポリシーの制御」を参照してください。

Any-to-Any 接続

グローバル トランジット ネットワーク アーキテクチャを使うと、Virtual WAN ハブ経由で Any-to-Any 接続を実現できます。 このアーキテクチャにより、構築と管理がより複雑な、スポーク間のフル メッシュ接続または部分メッシュ接続を使用する必要が、まったくなくなるか減ります。 さらに、メッシュ ネットワークよりハブ アンド スポークの方が、ルーティング制御の構成と保守が簡単です。

グローバル アーキテクチャのコンテキストにおける Any-to-Any 接続により、企業のグローバルに分散したユーザー、ブランチ、データセンター、VNet、アプリケーションは、"トランジット" ハブ経由で相互に接続できます。 Azure Virtual WAN は、グローバルなトランジット システムとして機能します。

Diagram of any to any.

"図 4:Virtual WAN のトラフィックのパス

Azure Virtual WAN では、次のグローバル トランジット接続パスがサポートされています。 かっこ内の文字は図 4 に対応します。

  • ブランチと VNet (a)
  • ブランチとブランチ (b)
  • ExpressRoute Global Reach と Virtual WAN
  • リモート ユーザーと VNet (c)
  • リモート ユーザーとブランチ (d)
  • VNet 対 VNet (e)
  • ブランチ対ハブとハブ対ブランチ (f)
  • ブランチ対ハブとハブ対 VNet (g)
  • VNet 対ハブとハブ対 VNet (h)

ブランチ対 VNet (a) およびブランチ対 VNet クロスリージョン (g)

ブランチと VNet の間は、Azure Virtual WAN によってサポートされる主要なパスです。 このパスにより、Azure VNet にデプロイされた Azure IAAS エンタープライズ ワークロードにブランチを接続できます。 ブランチは、ExpressRoute またはサイト間 VPN を介して仮想 WAN に接続できます。 トラフィックは、VNet 接続を介して Virtual WAN ハブに接続されている VNet に転送されます。 Virtual WAN によってブランチ サイトへのゲートウェイ トランジットが自動的に有効になるので、明示的なゲートウェイ トランジットは Virtual WAN には必要ありません。 SD-WAN CPE を Virtual WAN に接続する方法については、「Virtual WAN パートナー」を参照してください。

ExpressRoute Global Reach と Virtual WAN

ExpressRoute は、複数のオンプレミス ネットワークを Microsoft Cloud に接続することができるプライベートで回復性がある方法です。 Virtual WAN を使うと、ExpressRoute 回線接続がサポートされます。 Virtual WAN には、ローカル、Standard、Premium の ExpressRoute 回線 SKU を接続できます。

Azure Virtual WAN を使用する際に ExpressRoute から ExpressRoute へのトランジット接続を有効にするには、以下の 2 つのオプションがあります。

  • ExpressRoute 回線で ExpressRoute Global Reach を有効にすることで、ExpressRoute から ExpressRoute へのトランジット接続を有効にすることができます。 Global Reach は、異なるピアリングの場所にある ExpressRoute 回線をリンクしてプライベート ネットワークを作成できるようにする ExpressRoute のアドオン機能です。 Global Reach はグローバル バックボーン上のより最適なパスを可能とするため、Global Reach アドオンを使用した回線間の ExpressRoute から ExpressRoute へのトランジット接続は Virtual WAN ハブを通過しません。

  • プライベート トラフィック ルーティング ポリシーでルーティング インテント機能を使用して、Virtual WAN ハブにデプロイされたセキュリティ アプライアンス経由の ExpressRoute トランジット接続を有効にすることができます。 このオプションでは、Global Reach は必要ありません。 詳細については、ルーティング インテントに関するドキュメントの ExpressRoute セクションを参照してください。

ブランチ対ブランチ (b) およびブランチ対ブランチ クロスリージョン (f)

ブランチは、ExpressRoute 回線またはサイト間 VPN 接続を使用して、Azure Virtual WAN ハブに接続できます。 ブランチに最も近いリージョンにある Virtual WAN ハブに、ブランチを接続できます。

このオプションでは、企業は Azure バックボーンを利用してブランチを接続できます。 ただし、この機能を使用することはできますが、ブランチの接続に Azure Virtual WAN を使う場合とプライベート WAN を使う場合の利点を比較検討する必要があります。

注意

Virtual WAN 間でのブランチ間接続の無効化を構成すると、ブランチ間接続を無効にできます。 この構成によって、VPN (S2S と P2S) と Express Route 接続サイトの間のルート伝達がブロックされます。 この構成は、ブランチと VNet 間および VNet と VNet 間のルート伝達と接続には影響しません。 Azure portal を使用してこの設定を構成するには、次の手順を実行します。[Virtual WAN Configuration] (Virtual WAN 構成) メニューの [Setting:Branch-to-Branch - Disabled] (設定: ブランチとブランチ - 無効) を選択します。

リモート ユーザーと VNet (c)

リモート ユーザー クライアントから Virtual WAN へのポイント対サイト接続を使用して、Azure へのセキュリティ保護された直接リモート アクセスを有効にすることができます。 エンタープライズのリモート ユーザーは、クラウドに戻るのに企業 VPN を使う必要がなくなります。

リモート ユーザーとブランチ (d)

リモート ユーザーとブランチのパスでは、Azure へのポイント対サイト接続を使っているリモート ユーザーが、クラウドを経由してオンプレミスのワークロードとアプリケーションにアクセスできます。 このパスにより、リモート ユーザーは、Azure とオンプレミスの両方にデプロイされているワークロードに柔軟にアクセスできます。 企業では、Azure Virtual WAN でクラウドベースのセキュリティ保護された集中リモート アクセス サービスを有効にすることができます。

VNet 対 VNet トランジット (e) および VNet 対 VNet クロスリージョン (h)

VNet 対 VNet トランジットを使うと、VNet を相互に接続し、複数の VNet に実装されている多層アプリケーションを相互接続できます。 必要に応じて、VNet ピアリングを使用して VNet を相互に接続でき、これは VWAN ハブ経由の転送が不要なシナリオに適している場合があります。

強制トンネリングと既定のルート

強制トンネリングを有効にするには、Virtual WAN の VPN、ExpressRoute、または Virtual Network 接続で既定のルートの有効化を構成します。

仮想ハブは、仮想ネットワーク、サイト間 VPN、または ExpressRoute 接続に対し、学習した既定のルートを伝達します (既定の有効化フラグが、その接続で "有効" になっている場合)。

このフラグは、ユーザーが仮想ネットワーク接続、VPN 接続、または ExpressRoute 接続を編集するときに表示されます。 サイトまたは ExpressRoute 回線がハブに接続されると、このフラグは既定で無効になります。 VNet を仮想ハブに接続するための仮想ネットワーク接続が追加されたときは、既定で有効になります。 既定のルートの起点は Virtual WAN ハブではありません。Virtual WAN ハブにファイアウォールをデプロイした結果としてそのハブが既定のルートを既に学習している場合、または接続されている別のサイトで強制トンネリングが有効な場合に、既定のルートが伝達されます。

セキュリティとポリシーの制御

Azure Virtual WAN ハブにより、ハイブリッド ネットワーク上のすべてのネットワーク エンドポイントが相互接続され、すべてのトランジット ネットワーク トラフィックが認識される可能性があります。 ハブに Bump-in-the-Wire セキュリティ ソリューションをデプロイすると、Virtual WAN ハブをセキュリティ保護付き仮想ハブに変換できます。 Azure Firewall をデプロイし、クラウド ベースのセキュリティ、アクセス、ポリシー制御を有効にするには、Virtual WAN ハブ内の "次世代ファイアウォール ネットワーク仮想アプライアンス" または "サービスとしてのセキュリティ ソフトウェア (SaaS)" を選びます。 仮想ハブ ルーティング インテントを使用して、ハブ内のセキュリティ ソリューションにトラフィックをルーティングするように Virtual WAN を構成できます。

Virtual WAN ハブ内の Azure Firewall のオーケストレーションは、Azure Firewall Manager で実行できます。 Azure Firewall Manager を使うと、セキュリティを管理し、グローバル トランジット ネットワーク用にスケーリングする機能が提供されます。 Azure Firewall Manager には、Azure Firewall と共に、ルーティングの一元管理、グローバル ポリシーの管理、サードパーティによる高度なインターネット セキュリティ サービスの機能が用意されています。

Virtual WAN ハブにおける次世代ファイアウォール ネットワーク仮想アプライアンスのデプロイと統制について詳しくは、Virtual ハブの統合ネットワーク仮想アプライアンスをご覧ください。 Virtual WAN ハブにデプロイできる SaaS セキュリティ ソリューションについて詳しくは、サービスとしてのソフトウェアをご覧ください。

Diagram of secured virtual hub with Azure Firewall.

図 5:Azure Firewall によるセキュリティ保護付き仮想ハブ

Virtual WAN では、次のセキュリティ保護付きグローバル トランジット接続パスがサポートされています。 このセクションのダイアグラムとトラフィック パターンでは "Azure Firewall" のユース ケースが説明されていますが、ハブにデプロイされた "ネットワーク仮想アプライアンス" と "SaaS セキュリティ ソリューション" で同じトラフィック パターンがサポートされています。 かっこ内の文字は図 5 に対応します。

  • ブランチ対 VNet セキュリティ保護付きトランジット (c)
  • 仮想ハブ間のブランチ対 VNet セキュリティ保護付きトランジット (g)、ルーティング インテントでサポート
  • VNet 対 VNet セキュリティ保護付きトランジット (e)
  • 仮想ハブ間の VNet 対 VNet セキュリティ保護付きトランジット (h)、ルーティング インテントでサポート
  • ブランチ対ブランチ セキュリティ保護付きトランジット (b)、ルーティング インテントでサポート
  • 仮想ハブ間のブランチ対ブランチ セキュリティ保護付きトランジット (f)、ルーティング インテントでサポート
  • VNet 対インターネットまたはサードパーティ セキュリティ サービス (i)
  • ブランチ対インターネットまたはサードパーティ セキュリティ サービス (i)

VNet 対 VNet セキュリティ保護付きトランジット (e)、リージョン間の VNet 対 VNet セキュリティ保護付きトランジット (h)

VNet 対 VNet セキュリティ保護付きトランジットを使うと、Virtual WAN ハブにデプロイされたセキュリティ アプライアンス (Azure Firewall、NVA と SaaS を選択) を介して、VNet を相互に接続できます。

VNet 対インターネットまたはサードパーティ セキュリティ サービス (i)

VNet 対インターネットを使うと、Virtual WAN ハブ内のセキュリティ アプライアンス (Azure Firewall、NVA と SaaS を選択) を介して、VNet をインターネットに接続できます。 サポートされているサード パーティのセキュリティ サービスを介したインターネットへのトラフィックは、セキュリティ アプライアンスを経由せず、サード パーティのセキュリティ サービスに直接ルーティングされます。 Azure Firewall Manager を使用して、サポートされているサードパーティのセキュリティ サービスを介して Vnet 対インターネットのパスを構成できます。

ブランチ対インターネットまたはサードパーティ セキュリティ サービス (i)

ブランチ対インターネットを使用すると、ブランチはVirtual WAN ハブ内の Azure Firewall を介してインターネットに接続できます。 サポートされているサード パーティのセキュリティ サービスを介したインターネットへのトラフィックは、セキュリティ アプライアンスを経由せず、サード パーティのセキュリティ サービスに直接ルーティングされます。 Azure Firewall Manager を使用して、サポートされているサードパーティのセキュリティ サービスを介してブランチ対インターネットのパスを構成できます。

ブランチ対ブランチ セキュリティ保護付きトランジット (b)、リージョン間のブランチ対ブランチ セキュリティ保護付きトランジット (f)

ブランチは、ExpressRoute 回線またはサイト間 VPN 接続を使用して、Azure Firewall によるセキュリティ保護付き仮想ハブに接続できます。 ブランチに最も近いリージョンにある Virtual WAN ハブに、ブランチを接続できます。 Virtual WAN ハブにルーティング インテントを構成すると、Virtual WAN ハブにデプロイされたセキュリティ アプライアンス (Azure Firewall、NVA と SaaS を選択) による、同じハブ内のブランチ対ブランチ、またはハブ間やリージョン間のブランチ対ブランチの検査が可能になります。

このオプションでは、企業は Azure バックボーンを利用してブランチを接続できます。 ただし、この機能を使用することはできますが、ブランチの接続に Azure Virtual WAN を使う場合とプライベート WAN を使う場合の利点を比較検討する必要があります。

ブランチ対 VNet セキュリティ保護付きトランジット (c)、リージョン間のブランチ対 VNet セキュリティ保護付きトランジット (g)

ブランチ対 VNet セキュリティ保護付きトランジットを使うと、ブランチは、Virtual WAN ハブと同じリージョン内の仮想ネットワーク、および別のリージョン内の別の Virtual WAN ハブに接続されている別の仮想ネットワークと、通信できます (ハブ間トラフィック検査は、ルーティング インテントでのみサポートされます)。

セキュリティ保護付き仮想ハブで既定のルート (0.0.0.0/0) を有効にする方法

Virtual WAN ハブ (セキュリティ保護付き仮想ハブ) に展開された Azure Firewall は、すべてのブランチ (VPN または ExpressRoute によって接続)、スポーク Vnet およびユーザー (P2S VPN 経由で接続) に対して、インターネットまたは信頼されたセキュリティ プロバイダーへの既定のルーターとして構成できます。 この構成は Azure Firewall Manager を使用して行う必要があります。 Azure Firewall 経由のブランチ (ユーザーを含む) からのすべてのトラフィック、および Vnet 対インターネットを構成する方法については、「ハブへのトラフィックのルーティング」を参照してください。

これは次の 2 つの手順で構成されます。

  1. セキュリティ保護付き仮想ハブのルート設定メニューを使用して、インターネット トラフィック ルーティングを構成します。 ファイアウォール経由でインターネットにトラフィックを送信できる Vnet とブランチを構成します。

  2. ハブまたは信頼されたセキュリティ プロバイダーの Azure FW 経由でインターネット (0.0.0.0/0) にトラフィックをルーティングできる接続 (Vnet とブランチ) を構成します。 この手順により、既定のルートが、この接続を介して Virtual WAN ハブに接続されている、選択したブランチと Vnet に確実に伝達されます。

セキュリティ保護付き仮想ハブでのオンプレミスのファイアウォールへのトラフィックの強制トンネリング

ブランチ (VPN または ER サイト) のいずれかから仮想ハブによって (BGP 経由で) 学習された既定のルートが既にある場合、この既定のルートは Azure Firewall Manager の設定から学習された既定のルートによってオーバーライドされます。 この場合、Vnet とブランチからハブに入ってきてインターネットに送信されるすべてのトラフィックは、Azure Firewall または信頼されたセキュリティ プロバイダーにルーティングされます。

注意

現在、Vnet、ブランチ、またはユーザーから送信されたインターネットへのトラフィックに対して、オンプレミスのファイアウォールまたは Azure Firewall (および信頼されたセキュリティ プロバイダー) を選択するオプションはありません。 Azure Firewall Manager の設定から学習した既定のルートが、いずれかのブランチから学習した既定のルートより常に優先されます。

次のステップ

Virtual WAN を使って接続を作成し、VWAN ハブに Azure Firewall を展開します。