ExpressRoute デプロイのピアリングを構成する
ExpressRoute 回線には、関連するピアリング オプションとして Azure プライベートと Microsoft の 2 つがあります。 各ピアリングは、高可用性のために、ルーターのペアにまったく同様に (アクティブ/アクティブまたは負荷分散構成で) 構成されます。 Azure サービスは Azure Publicおよび Azure Privateとして分類され、IP アドレス指定スキームを表します。
ピアリング構成を作成する
- ExpressRoute 回線にプライベート ピアリングおよび Microsoft ピアリングを構成できます。 ピアリングは任意の順序で構成できます。 ただし、各ピアリングの構成は必ず一度に 1 つずつ完了するようにしてください。
- アクティブな ExpressRoute 回線が必要です。 続行する前に、接続プロバイダーに回線を有効にしてもらいます。 ピアリングを構成するには、ExpressRoute 回線がプロビジョニングされて有効な状態になっている必要があります。
- 共有キーまたは MD5 ハッシュの使用を計画している場合は、必ずトンネルの両側でキーを使用してください。 制限は、最大 25 文字の英数字です。 特殊文字はサポートされていません。
- これが当てはまるのは、レイヤー 2 接続サービスを提供するサービス プロバイダーで作成された回線のみです。 レイヤー 3 のマネージド サービス (一般に MPLS のような IP VPN) を提供するサービス プロバイダーを利用している場合は、接続プロバイダーがユーザーに代わってルーティングの構成と管理を行います。
プライベート ピアリングのみ、Microsoft ピアリングのみ、または両方を選択する
次の表で 2 つのピアリングを比較します。 パブリック ピアリングは、新しいピアリングには非推奨です。
| 機能 | プライベート ピアリング | Microsoft ピアリング |
|---|---|---|
| 最大 各ピアリングでサポートされるプレフィックスの最大数 | 既定 4,000、ExpressRoute Premium 10,000 | 200 |
| サポートされる IP アドレス範囲 | お客様の WAN 内の任意の有効な IP アドレス。 | お客様または接続プロバイダーが所有するパブリック IP アドレス。 |
| AS 番号の要件 | プライベートおよびパブリックの AS 番号。 いずれかを使用する場合はパブリックの AS 番号を所有している必要があります。 | プライベートおよびパブリックの AS 番号。 ただし、パブリック IP アドレスの所有権を証明する必要があります。 |
| サポート対象 IP プロトコル | IPv4、IPv6 (プレビュー) | IPv4、IPv6 |
| ルーティング インターフェイスの IP アドレス | RFC1918 およびパブリック IP アドレス | ルーティング レジストリに登録されているパブリック IP アドレス。 |
| MD5 ハッシュのサポート | はい | はい |
ExpressRoute 回線の一部として 1 つ以上のルーティング ドメインを有効にすることができます。 すべてのルーティング ドメインを 1 つのルーティング ドメインに取り込みたい場合は、同じ VPN 上に配置するように選択できます。 推奨構成は、プライベート ピアリングをコア ネットワークに直接接続し、パブリック ピアリングと Microsoft ピアリングのリンクを DMZ に接続する構成です。
各ピアリングには、個別の BGP セッションが必要です (ピアリングの種類ごとに 1 つのペア)。 BGP セッションのペアによって、高可用性リンクが実現されます。 レイヤー 2 接続プロバイダーを経由して接続している場合、ルーティングの構成と管理はお客様の責任となります。
重要
現在、プライベート ピアリングの IPv6 サポートはパブリック プレビューの段階にあります。 IPv6 ベースのプライベート ピアリングを構成して仮想ネットワークを ExpressRoute 回線に接続したい場合は、仮想ネットワークをデュアル スタックにし、Azure VNet での IPv6 に関するガイドラインに従ってください。
プライベート ピアリングを構成する
Azure Compute Services、つまり、仮想ネットワーク内にデプロイされる仮想マシン (IaaS) とクラウド サービス (PaaS) には、プライベート ピアリング ドメイン経由で接続できます。 プライベート ピアリング ドメインは、お客様のコア ネットワークを Microsoft Azure に信頼できる方法で拡張したものです。 コア ネットワークと Azure Virtual Network (VNET) の間に双方向接続を設定できます。 このピアリングにより、仮想マシンとクラウド サービスにプライベート IP アドレスで直接接続できます。
プライベート ピアリング ドメインには複数の仮想ネットワークを接続できます。 制限に関する最新情報については、「 Azure サブスクリプションとサービスの制限、クォータ、制約 」ページをご覧ください。
Microsoft ピアリングを構成する
Microsoft 365 は、インターネット経由で安全かつ確実にアクセスできるように作られています。 そのため、特定のシナリオには ExpressRoute を使うことをお勧めします。
Microsoft オンライン サービス (Microsoft 365 および Azure PaaS サービス) への接続は、Microsoft ピアリング経由で行われます。 Microsoft ピアリングのルーティング ドメイン経由で、お客様の WAN と Microsoft クラウド サービスとの双方向接続を実現できます。 お客様または接続プロバイダーが所有するパブリック IP アドレスのみを使用して Microsoft クラウド サービスに接続する必要があり、定義されてするすべての規則を遵守する必要があります。
Microsoft ピアリングのためにルート フィルターを構成する
ルート フィルターとは、Microsoft ピアリングでサポートされるサービスの一部だけを利用する手段です。
Microsoft 365 サービス (Exchange Online、SharePoint Online、Skype for Business など) には、Microsoft ピアリングを介してアクセスできます。 ExpressRoute 回線に Microsoft ピアリングを構成すると、これらのサービスに関連したすべてのプレフィックスが、確立された BGP セッションを通じてアドバタイズされます。 提供されているサービスをプレフィックスで識別するために、すべてのプレフィックスには BGP コミュニティ値がアタッチされます。
Azure と Microsoft 365 のすべてのサービスに接続すると、多数のプレフィックスが BGP を通じてアドバタイズされます。 このようにプレフィックスが多数になると、ネットワーク内のルーターによって管理されるルート テーブルのサイズが著しく増加します。 Microsoft ピアリング経由で提供されるサービスの一部しか利用する予定がない場合は、ルート テーブルのサイズを 2 とおりの方法で減らすことができます。 次のようにすることができます。
- BGP コミュニティにルート フィルターを適用して不要なプレフィックスを除外する。 ルート フィルター処理はネットワーク運用の標準的技法であり、多くのネットワークで広く使用されています。
- ルート フィルターを定義して ExpressRoute 回線に適用する。 ルート フィルターは、Microsoft ピアリング経由で利用する予定の一連のサービスを選択できる新しいリソースです。 ExpressRoute ルーターからは、ルート フィルターで識別されたサービスに属しているプレフィックスのリストだけが送信されます。
ルート フィルターについて
ExpressRoute 回線に Microsoft ピアリングが構成されると、接続プロバイダーを介してご利用のエッジ ルーターとの間に一対の BGP セッションが Microsoft エッジ ルーターによって確立されます。 貴社のネットワークにはルートが一切アドバタイズされません。 ネットワークに対するルート アドバタイズを有効にするには、ルート フィルターを関連付ける必要があります。
ExpressRoute 回線の Microsoft ピアリング経由で利用するサービスがルート フィルターによって識別されます。 これは、実質的には全 BGP コミュニティ値から成る許可リストです。 ルート フィルター リソースを定義して ExpressRoute 回線にアタッチすると、BGP コミュニティ値にマッピングされたすべてのプレフィックスが貴社のネットワークにアドバタイズされます。
Microsoft 365 サービスにルート フィルターをアタッチするには、ExpressRoute 経由での Microsoft 365 サービスの利用に対する承認が必要となります。 ExpressRoute 経由での Microsoft 365 サービスの利用が承認されていない場合は、ルート フィルターをアタッチする操作が失敗します。
ルート フィルターとフィルター規則を作成する
ルート フィルターに割り当てることができるルールは 1 つだけで、また "許可" タイプであることが必要です。 このルールに、一連の BGP コミュニティ値を関連付けることができます。
[リソースの作成] を選択して、次の図に示すように "ルート フィルター" を検索します。
ルート フィルターをリソース グループに配置します。 場所は確実に ExpressRoute 回線と同じであるようにします。 [確認および作成] 、 [作成] の順に選択します。
フィルター ルールを作成する
ルールを追加および更新するには、ルート フィルターの [ルールの管理] タブを選択します。
ドロップダウン リストから接続するサービスを選択し、完了したらルールを保存します。
ルート フィルターを ExpressRoute 回線にアタッチする
[+ 回線の追加] ボタンを選択し、ドロップダウン リストから ExpressRoute 回線を選択することで、ルート フィルターを回線にアタッチします。
ご利用の ExpressRoute 回線のピアリングを接続プロバイダーが構成する場合は、 [+ 回線の追加] ボタンを選択する前に ExpressRoute 回線ページから回線を更新します。
一般的なタスク
ルート フィルターのプロパティを取得するには
ポータルでリソースを開くときに、ルート フィルターのプロパティを表示できます。
ルート フィルターのプロパティを更新するには
[ルールの管理] ボタンを選択することで、回線にアタッチした BGP コミュニティ値の一覧を更新できます。
必要なサービス コミュニティを選択し、 [保存] を選択します。
ExpressRoute 回線からルート フィルターをデタッチするには
ルート フィルターから回線をデタッチするには、その回線を右クリックし、 [関連付け解除] を選択します。
リソースのクリーンアップ
ルート フィルターを削除するには、 [削除] ボタンを選択します。 この操作を行う前に、ルート フィルターが確実にどの回線にも関連付けられていないようにします。
ピアリングをリセットする
Azure portal にサインインする
ブラウザーから Azure portal に移動し、Azure アカウントでサインインします。
ピアリングをリセットする
ExpressRoute 回線上の Microsoft ピアリングと Azure プライベート ピアリングは、単独でリセットできます。
変更する回線を選択します。
リセットするピアリング構成を選択します。
[ピアリングを有効にする] チェック ボックスをオフにし、 [保存] を選択してピアリング構成を無効にします。
[ピアリングを有効にする] チェック ボックスをオンにし、 [保存] を選択してピアリング構成を有効にします。