ExpressRoute NAT の要件
ExpressRoute を使用して Microsoft クラウド サービスに接続するには、NAT をセットアップして管理する必要があります。 一部の接続プロバイダーでは、NAT のセットアップと管理が管理されたサービスとして提供されています。 このようなサービスが提供されているかどうか、接続プロバイダーに問い合わせてください。 このようなサービスが提供されていない場合は、この記事に示す要件に従う必要があります。
ExpressRoute の回線とルーティング ドメイン のページをお読みになり、さまざまなルーティング ドメインの概要をご確認ください。 Azure パブリックと Microsoft ピアリングのパブリック IP アドレス要件を満たすために、ネットワークと Microsoft の間に NAT をセットアップすることをお勧めします。 このセクションでは、セットアップする NAT インフラストラクチャに関して説明します。
Microsoft ピアリングの NAT 要件
Microsoft ピアリング パスを使用して、Microsoft クラウド サービスに接続できます。 対象となるサービスには、Exchange Online、SharePoint Online、Skype for Business などの Microsoft 365 サービスが含まれます。 Microsoft は今後、Microsoft ピアリングで双方向の接続をサポートする予定です。 Microsoft クラウド サービスに向かうトラフィックは有効な IPv4 アドレスに SNAT 変換しないと、Microsoft ネットワークに入れません。 Microsoft クラウド サービスからご利用のネットワークに送信されるトラフィックは、非対称ルーティングを回避するためにインターネット エッジで SNAT 変換する必要があります。 下の図に、Microsoft ピアリングのために NAT を設定する方法の概要を示します。
ご利用のネットワークから Microsoft に送信されるトラフィック
トラフィックが有効なパブリック IPv4 アドレスで Microsoft ピアリング パスに入っていることを確認する必要があります。 Microsoft はリージョンのルーティング インターネット レジストリ (RIR) またはインターネット ルーティング レジストリ (IRR) に対して IPv4 NAT アドレスの所有者を検証する必要があります。 ピアリングされている AS 番号と NAT に使っている IP アドレスに基づいて確認されます。 ルーティング レジストリに関する情報については、 ExpressRoute のルーティングの要件 のページを参照してください。
Microsoft ピアリング セットアップと他の ExpressRoute 回線に使用する IP アドレスは BGP セッションで Microsoft にアドバタイズしないでください。 このピアリングでアドバタイズされる NAT IP プレフィックスの長さには制約がありません。
重要
Microsoft にアドバタイズされる NAT IP プールはインターネットにアドバタイズしないでください。 他の Microsoft サービスへの接続が切断されます。 プライマリまたはセカンダリ リンクに割り当てられた範囲のパブリック IP アドレスはお勧めしません。 代わりに、自分に割り当てられ、地域インターネット レジストリ (RIR) またはインターネット ルーティング レジストリ (IRR) に登録されている別の範囲のパブリック IP アドレスを使用する必要があります。 呼び出し量によっては、この範囲は 1 つの IP アドレスと同じくらい小さくできます (IPv4 の場合は '/32'、IPv6 の場合は '/128' として表される)。
Microsoft からあなたのネットワークに送信されるトラフィック
- 一部のシナリオでは、あなたのネットワーク内でホストされているサービス エンドポイントへの接続を Microsoft が開始する必要があります。 そのようなシナリオの典型的な例は、Microsoft 365 からあなたのネットワークでホストされている ADFS サービスに接続する場合です。 そのような場合は、ネットワークから Microsoft ピアリングに適切なプレフィックスをリークする必要があります。
- 非対称ルーティングを回避するために、ご利用のネットワーク内のサービス エンドポイント向けのインターネット エッジで Microsoft トラフィックを SNAT 変換する必要があります。 ExpressRoute から受信したルートと一致する宛先 IP を持つ要求と応答は、常に ExpressRoute を経由します。 要求がインターネット経由で受信され、応答が ExpressRoute 経由で送信される場合に、非対称ルーティングが見られます。 インターネット エッジで受信した Microsoft トラフィックを SNAT 変換すると、応答トラフィックは強制的にインターネット エッジに返されるため、問題は解決します。
NAT IP プールとルート アドバタイズ
トラフィックが有効なパブリック IPv4 アドレスで Microsoft Azure ピアリング パスに入っていることを確認する必要があります。 Microsoft はリージョンのルーティング インターネット レジストリ (RIR) またはインターネット ルーティング レジストリ (IRR) に対して IPv4 NAT アドレスの所有権を検証する必要があります。 ピアリングされている AS 番号と NAT に使っている IP アドレスに基づいて確認されます。 ルーティング レジストリに関する情報については、 ExpressRoute のルーティングの要件 のページを参照してください。
このピアリングでアドバタイズされる NAT IP プレフィックスの長さには制約がありません。 NAT プールを監視し、NAT セッションが不足していないことを確認する必要があります。
重要
Microsoft にアドバタイズされる NAT IP プールはインターネットにアドバタイズしないでください。 他の Microsoft サービスへの接続が切断されます。 プライマリまたはセカンダリ リンクに割り当てられた範囲のパブリック IP アドレスはお勧めしません。 代わりに、自分に割り当てられ、地域インターネット レジストリ (RIR) またはインターネット ルーティング レジストリ (IRR) に登録されている別の範囲のパブリック IP アドレスを使用する必要があります。 呼び出し量によっては、この範囲は 1 つの IP アドレスと同じくらい小さくできます (IPv4 の場合は '/32'、IPv6 の場合は '/128' として表される)。
次のステップ
ワークフロー情報については、「 ExpressRoute 回線のプロビジョニング ワークフローと回線の状態」を参照してください。
ExpressRoute 接続を構成します。