Azure Well-Architected Framework レビュー - Azure ExpressRoute
この記事では、Azure ExpressRoute のアーキテクチャのベスト プラクティスについて説明します。 このガイダンスは、アーキテクチャ エクセレンスの 5 つの柱に基づいています。
Azure ExpressRoute に関する実用的な知識があり、そのすべての機能に精通していることを前提としています。 詳細については、「 Azure ExpressRoute」を参照してください。
前提条件
コンテキストについては、これらの考慮事項を設計に反映した参照アーキテクチャを確認することを検討してください。 まず、クラウド導入フレームワーク Ready の手法のガイダンス「Azure への接続と Azure ExpressRoute とのハイブリッド接続のためのアーキテクト」を参照することをお勧めします。 ローコード アプリケーション アーキテクチャの場合は、Microsoft Power Platform で使用する ExpressRoute を計画および構成するときに、「 Power Platform の ExpressRoute を有効にする 」を確認することをお勧めします。
[信頼性]
クラウドでは、障害が発生することを認識しています。 目標は、障害がまったく発生しないように努力することではなく、障害が発生した単一コンポーネントの影響を最小限に抑えることです。 Azure ExpressRoute を使用して接続を確立するときに、Azure との間のダウンタイムを最小限に抑えるには、次の情報を使用します。
Azure ExpressRoute で信頼性について説明するときは、帯域幅の使用、ネットワークの物理的なレイアウト、障害が発生した場合のディザスター リカバリーを考慮することが重要です。 Azure ExpressRoute は、これらの設計上の考慮事項を達成でき、チェックリストの各項目に関する推奨事項があります。
以下の 設計チェックリスト と 推奨事項の一覧 では、Azure 環境とオンプレミス ネットワークの間の高可用性ネットワークを設計するために情報が表示されます。
設計チェック リスト
Azure ExpressRoute の設計上の選択を行う際は、アーキテクチャに信頼性を追加するための 設計原則 を確認してください。
- ExpressRoute 回線または ExpressRoute Direct for Business の要件を選択します。
- サービス プロバイダーに対して多様な物理層ネットワークを構成します。
- さまざまなルーティング パスを持つ ExpressRoute 回線を異なるサービス プロバイダーで構成します。
- オンプレミスと Azure の間 Active-Active ExpressRoute 接続を構成します。
- 可用性ゾーン対応の ExpressRoute Virtual Network ゲートウェイを設定します。
- オンプレミス ネットワークとは異なる場所に ExpressRoute 回線を構成します。
- 異なるリージョンで ExpressRoute Virtual Network ゲートウェイを構成します。
- ExpressRoute プライベート ピアリングのバックアップとしてサイト間 VPN を構成します。
- ExpressRoute 回線と ExpressRoute Virtual Network ゲートウェイの正常性の監視を設定します。
- ExpressRoute 回線のメンテナンス通知を受信するようにサービス正常性を構成します。
Recommendations
信頼性のために ExpressRoute 構成を最適化するための推奨事項の次の表を確認します。
推奨 | 特長 |
---|---|
ExpressRoute 回線または ExpressRoute Direct の計画 | 最初の計画フェーズでは、ExpressRoute 回線と ExpressRoute 直接接続のどちらを構成するかを決定する必要があります。 ExpressRoute 回線を使用すると、接続プロバイダーの助けを借りて、Azure へのプライベート専用接続が可能になります。 ExpressRoute Direct を使用すると、ピアリングの場所にある Microsoft ネットワークにオンプレミス ネットワークを直接拡張できます。 また、ビジネス ニーズの帯域幅要件と SKU の種類の要件も特定する必要があります。 |
物理層の多様性 | 回復性を向上させるために、オンプレミスのエッジとピアリングの場所 (プロバイダー/Microsoft エッジの場所) の間に複数のパスを設定することを計画します。 この構成は、異なるサービス プロバイダーを経由するか、オンプレミス ネットワークとは別の場所を経由することで実現できます。 |
geo 冗長回線の計画 | ディザスター リカバリーを計画するには、複数のピアリングの場所に ExpressRoute 回線を設定します。 同じメトロまたは異なるメトロ内のピアリングの場所に回線を作成し、各回線を介してさまざまなパスに対して異なるサービス プロバイダーと連携することを選択できます。 詳細については、「 ディザスター リカバリーの設計」 および 「高可用性の設計」を参照してください。 |
Active-Active 接続の計画 | ExpressRoute 専用回線は、オンプレミスと Azure の間でアクティブ/アクティブ接続が構成されている場合に可用性を保証 99.95% します。 このモードでは、Expressroute 接続の可用性が向上します。 接続でリンクエラーが発生した場合は、より高速なフェールオーバーのために BFD を構成することもお勧めします。 |
Virtual Network ゲートウェイの計画 | 回復性を高め、ディザスター リカバリーと高可用性のために異なるリージョンのVirtual Network ゲートウェイを計画するために、可用性ゾーン対応のVirtual Network ゲートウェイを作成します。 |
回線とゲートウェイの正常性を監視する | 使用可能なさまざまなメトリックに基づいて、ExpressRoute 回線とVirtual Network ゲートウェイの正常性の監視とアラートを設定します。 |
サービス正常性を有効にする | ExpressRoute では、サービス正常性を使用して、計画メンテナンスと計画外メンテナンスについて通知します。 サービス正常性を構成すると、ExpressRoute 回線に加えられた変更について通知されます。 |
その他の提案については、「 信頼性の柱の原則」を参照してください。
Azure Advisor には、信頼性に関連する ExpressRoute 回線に関する多くの推奨事項が用意されています。 たとえば、Azure Advisor は次を検出できます。
- 複数ではなく、1 つの ExpressRoute 回線のみがデプロイされる ExpressRoute ゲートウェイ。 ピアリングの場所に回復性を追加するために、複数の ExpressRoute 回線を使用することをお勧めします。
- ExpressRoute 回線のエンドツーエンドの監視は信頼性の分析情報にとって重要であるため、接続モニターによって観察されない ExpressRoute 回線。
- 計画外の接続損失を考慮して、オンプレミス接続のディザスター リカバリー設計を改善するために ExpressRoute Global Reach の利点を得る複数のピアリングの場所を含むネットワーク トポロジ。
Security
セキュリティは、あらゆるアーキテクチャの最も重要な側面の 1 つです。 ExpressRoute には、最小限の特権と防御の両方の原則を採用する機能が用意されています。 セキュリティ設計の原則を確認することをお勧めします。
設計チェック リスト
- アーカイブにログを送信するようにアクティビティ ログを構成します。
- ExpressRoute リソースにアクセスできる管理アカウントのインベントリを維持します。
- ExpressRoute 回線で MD5 ハッシュを構成します。
- ExpressRoute Direct リソースの MACSec を構成します。
- 仮想ネットワーク トラフィックのプライベート ピアリングと Microsoft ピアリング経由のトラフィックを暗号化します。
Recommendations
セキュリティのために ExpressRoute 構成を最適化するための推奨事項の次の表を参照してください。
推奨 | 特長 |
---|---|
アーカイブにログを送信するようにアクティビティ ログを構成する | アクティビティ ログは、ExpressRoute リソースのサブスクリプション レベルで実行された操作に関する分析情報を提供します。 アクティビティ ログを使用すると、コントロール プレーンで操作が実行されたユーザーとタイミングを決定できます。 データの保持期間は 90 日のみで、Log Analytics、Event Hubs、またはアーカイブ用のストレージ アカウントに格納する必要があります。 |
管理アカウントのインベントリを維持する | Azure RBAC を使用して、ExpressRoute 回線でピアリング構成を追加、更新、または削除できるユーザー アカウントを制限するロールを構成します。 |
ExpressRoute 回線で MD5 ハッシュを構成する | プライベート ピアリングまたは Microsoft ピアリングの構成中に、MD5 ハッシュを適用して、オンプレミス ルートと MSEE ルーターの間のメッセージをセキュリティで保護します。 |
ExpressRoute Direct リソースの MACSec を構成する | メディア Access Control セキュリティは、データ リンクレイヤーでのポイントツーポイント セキュリティです。 ExpressRoute Direct では、通常はイーサネット リンクでセキュリティ保護されていない ARP、DHCP、LACP などのプロトコルに対するセキュリティ上の脅威を防ぐための MACSec の構成がサポートされています。 MACSec を構成する方法の詳細については、「 ExpressRoute Direct ポートの MACSec」を参照してください。 |
IPsec を使用してトラフィックを暗号化する | ExpressRoute 回線を介してサイト間 VPN トンネルを構成し、オンプレミス ネットワークと Azure 仮想ネットワーク間のデータ転送を暗号化します。 プライベート ピアリングまたは Microsoft ピアリングを使用して、トンネルを構成できます。 |
その他の推奨事項については、「セキュリティの重要な原則」を参照してください。
コスト最適化
コストの最適化とは、不要な費用を削減し、運用効率を向上させる方法を検討することです。 コスト最適化の設計原則を確認し、Azure ExpressRoute のコストを計画および管理することをお勧めします。
設計チェック リスト
- ExpressRoute の価格について理解を深めてください。
- ExpressRoute 回線 SKU と必要な帯域幅を決定します。
- 必要な ExpressRoute 仮想ネットワーク ゲートウェイのサイズを決定します。
- コストを監視し、予算アラートを作成します。
- ExpressRoute 回線のプロビジョニング解除は使用されなくなりました。
Recommendations
次の推奨事項の表を調べて、コストの最適化のために ExpressRoute 構成を最適化します。
推奨 | 特長 |
---|---|
ExpressRoute の価格について理解する | ExpressRoute の価格については、「 Azure ExpressRoute の価格を理解する」を参照してください。
料金計算ツールを使用することもできます。 容量の需要に合わせてこれらのオプションが適切にサイズ設定されていることを確認し、リソースを無駄にすることなく期待されるパフォーマンスを実現します。 |
SKU と必要な帯域幅を決定する | ExpressRoute の使用に対する課金方法は、3 つの異なる SKU の種類によって異なります。 Local SKU では、無制限データ プランで自動的に課金されます。 Standard および Premium SKU では、従量制または無制限データ プランを選択できます。 Global Reach アドオンを使用する場合を除き、すべてのイングレス データの料金は無料です。 コストと予算を最適化するために、実際のワークロードに最適な SKU の種類とデータ プランを理解しておくことが重要です。 ExpressRoute 回線のサイズ変更の詳細については、「 ExpressRoute 回線帯域幅のアップグレード」を参照してください。 |
ExpressRoute 仮想ネットワーク ゲートウェイのサイズを決定する | ExpressRoute 仮想ネットワーク ゲートウェイは、プライベート ピアリング経由で仮想ネットワークにトラフィックを渡すために使用されます。 お好みのVirtual Network Gateway SKU のパフォーマンスとスケールのニーズを確認します。 オンプレミスから Azure ワークロードへの適切なゲートウェイ SKU を選択します。 |
コストを監視し、予算アラートを作成する | ExpressRoute 回線のコストを監視し、異常や過剰に保留中のリスクを使用するためのアラートを作成します。 詳細については、「 ExpressRoute コストの監視」を参照してください。 |
ExpressRoute 回線のプロビジョニング解除と削除が使用されなくなりました。 | ExpressRoute 回線は、作成された時点から課金されます。 不要なコストを削減するには、サービス プロバイダーで回線のプロビジョニングを解除し、サブスクリプションから ExpressRoute 回線を削除します。 ExpressRoute 回線を削除する手順については、「ExpressRoute 回線 のプロビジョニング解除」を参照してください。 |
その他の提案については、「 コスト最適化の設計レビュー チェックリスト」を参照してください。
Azure Advisor は、長時間デプロイされているが、プロバイダーの状態が [プロビジョニングされていません] になっている ExpressRoute 回線を検出できます。 この状態の回線は動作しません。未使用のリソースを削除すると、不要なコストが削減されます。
オペレーショナル エクセレンス
監視と診断は非常に重要です。 パフォーマンス統計を測定するだけでなく、メトリックをトラブルシューティングと問題の迅速な修復に使用することもできます。 オペレーショナル エクセレンス設計の原則を確認することをお勧めします。
設計チェック リスト
- オンプレミスと Azure ネットワークの間の接続監視を構成します。
- 通知を受信するように Service Health を構成します。
- Network Insights を使用して、ExpressRoute Insights で使用できるメトリックとダッシュボードを確認します。
- ExpressRoute リソース メトリックを確認します。
Recommendations
オペレーショナル エクセレンスのために ExpressRoute 構成を最適化するための推奨事項の次の表を確認します。
推奨 | 特長 |
---|---|
接続の監視を構成する | 接続の監視 を使用すると、ExpressRoute プライベート ピアリングと Microsoft ピアリング接続を介して、オンプレミスのリソースと Azure の間の接続を監視できます。 接続モニターは、ネットワーク パスに沿って問題がある場所を特定することでネットワークの問題を検出し、構成またはハードウェアの障害をすばやく解決するのに役立ちます。 |
Service Health の構成 | サブスクリプション内のすべての ExpressRoute 回線に対して計画済みおよび今後のメンテナンスが行われている場合にアラートを生成するように Service Health 通知 を設定します。 Service Health では、計画外のメンテナンスが発生した場合は、過去のメンテナンスと RCA も表示されます。 |
Network Insights を使用してメトリックを確認する |
Network Insights を使用した ExpressRoute Insights を使用すると、ExpressRoute 回線、ゲートウェイ、接続メトリック、正常性ダッシュボードを確認して分析できます。 ExpressRoute Insights には、ExpressRoute 接続のトポロジ ビューも用意されています。ここで、ピアリング コンポーネントの詳細をすべて 1 か所で表示できます。 使用可能なメトリック: -可用性 -スループット - ゲートウェイ メトリック |
ExpressRoute リソース メトリックを確認する | ExpressRoute では、Azure Monitor を使用してメトリックを収集 し、 構成に基づいてアラートを作成します。 メトリックは、ExpressRoute 回線、ExpressRoute ゲートウェイ、ExpressRoute ゲートウェイ接続、および ExpressRoute Direct に対して収集されます。 これらのメトリックは、接続の問題を診断し、ExpressRoute 接続のパフォーマンスを理解するのに役立ちます。 |
その他の提案については、「 オペレーショナル エクセレンスの柱の原則」を参照してください。
パフォーマンス効率
パフォーマンス効率とは、ユーザーによって行われた要求に合わせて効率的な方法でワークロードをスケーリングできることです。 パフォーマンス効率の原則を確認することをお勧めします。
設計チェック リスト
- 作業負荷の要件を満たすために ExpressRoute ゲートウェイのパフォーマンスをテストします。
- ExpressRoute ゲートウェイのサイズを大きくします。
- ExpressRoute 回線の帯域幅をアップグレードします。
- スループットを向上させるために ExpressRoute FastPath を有効にします。
- ExpressRoute 回線とゲートウェイ メトリックを監視します。
Recommendations
パフォーマンス効率を高めるために ExpressRoute 構成を最適化するための推奨事項の次の表を確認します。
推奨 | 特長 |
---|---|
作業負荷の要件を満たすために ExpressRoute ゲートウェイのパフォーマンスをテストします。 | Azure Connectivity Toolkit を使用して ExpressRoute 回線全体のパフォーマンスをテストし、ネットワーク接続の帯域幅容量と待機時間を把握します。 |
ExpressRoute ゲートウェイのサイズを大きくします。 | オンプレミスと Azure 環境の間のスループット パフォーマンスを向上させるために、より高い ゲートウェイ SKU にアップグレードします。 |
ExpressRoute 回線の帯域幅をアップグレードする | 作業負荷の要件を満たすように 回線帯域幅 をアップグレードします。 回線帯域幅は、ExpressRoute 回線に接続されているすべての仮想ネットワーク間で共有されます。 作業負荷に応じて、1 つ以上の仮想ネットワークで回線上のすべての帯域幅を使用できます。 |
ExpressRoute FastPath を有効にしてスループットを向上する | Ultra パフォーマンスまたは ErGW3AZ 仮想ネットワーク ゲートウェイを使用している場合は、 FastPath を有効にして、オンプレミス ネットワークと Azure 仮想ネットワークの間のデータ パスのパフォーマンスを向上させることができます。 |
ExpressRoute 回線とゲートウェイのメトリックを監視する | 特定のしきい値が満たされたときに事前に通知するように 、ExpressRoute メトリック に基づいてアラートを設定します。 これらのメトリックは、ExpressRoute 回線の停止やメンテナンスなど、ExpressRoute 接続で発生する可能性のある異常を理解するのに役立ちます。 |
その他の推奨事項については、「 パフォーマンス効率の柱の原則」を参照してください。
Azure Advisor では、回線が最近調達された帯域幅の 90% を超えて消費されている場合に使用に対応するために、ExpressRoute 回線の帯域幅をアップグレードすることをお勧めします。 トラフィックが割り当てられた帯域幅を超えると、パケットが破棄され、パフォーマンスや信頼性に大きな影響を与える可能性があります。
Azure Policy
Azure Policyは ExpressRoute の組み込みポリシーを提供しませんが、カスタム ポリシーを作成して、ExpressRoute 回線が目的の終了状態 (SKU の選択、ピアリングの種類、ピアリング構成など) と一致する方法を管理するのに役立ちます。
その他のリソース
クラウド導入フレームワークのガイダンス
次の手順
ExpressRoute 回線 または ExpressRoute Direct ポート を構成して、オンプレミス ネットワークと Azure 間の通信を確立します。