Azure にハブスポーク ネットワーク トポロジを実装する
仮想ネットワーク、ネットワーク セキュリティ グループ、仮想ネットワーク ピアリング、および Azure ExpressRoute を使用することで、クラウドでホストされるさまざまなネットワーク トポロジを作成できます。
あなたの会社では、すべてのオンプレミス リソースを Azure に移行する計画を立てています。 中央データセンターは現在、本社に配置されています。 完全な移行の前に、本社への接続を維持しながら、一部のサテライト オフィスをクラウドに移動することを求められました。 これにより、ハイブリッド ネットワークのシナリオになります。 移行の最終的な目標は、コンピューティング リソースをすべて Azure でホストすることです。
このユニットでは、このモデルの次の部分を見ていきます。
- ハブとスポークのアーキテクチャ
- ネットワーク トポロジ
- Azure で必要なコンポーネント
- 実装インフラストラクチャを計画する方法
ハブスポーク アーキテクチャの基礎
ハブとスポークのトポロジは、複数のポイント (スポーク) に接続される集中型アーキテクチャ (ハブ) で構成されています。 図にすると、中央にハブがあり、それに接続されたスポークがある、車輪のような外観になります。 Azure のこのモデルでは、ネットワーク インフラストラクチャを複数の接続された仮想ネットワークに編成します。 このアーキテクチャでは、一般的な通信、セキュリティ要件、およびサブスクリプションの潜在的な制限を管理するための効率的な方法が提供されます。
ハブとスポークのアーキテクチャを実装すると、次のような利点が得られます。
- オンプレミス環境への一元的に管理された接続。
- 共有サービスの一元的な場所への個別の作業環境の統合。
- 中央のハブを経由したトラフィックのルーティング。これにより、ワークロードを一元的に管理できます。
ハブスポーク トポロジの概要
ハブスポーク ネットワークは、ハイブリッド クラウド アーキテクチャで一般的に使用され、長期的には実装と保持がより簡単になる場合があります。 ハブは、外部接続を管理するための中心的な場所として機能する仮想ネットワークです。 また、複数のワークロードで使用されるサービスをホストします。 ハブでスポーク間のすべての通信が調整されます。 セキュリティのような IT のルールまたはプロセスによって、トラフィックを検査、ルーティング、集中管理できます。 スポークは、ワークロードをホストし、仮想ネットワーク ピアリングを介して中央のハブに接続する仮想ネットワークです。
ハブスポーク トポロジには、次のいくつかのビジネス上の利点があります。
- ネットワーク接続を標準化することにより、ビジネスの機敏性が向上します。 組織は、市場の変化、別の地理的リージョンでの新しいブランチの追加、あるいはスポークとしての新しいビジネス チャネルに適応できます。
- 一貫したアーキテクチャを維持することにより、責任が軽減されます。 ビジネスが拡大するにつれ、あるいはトラフィック量が増加するにつれ、システムをさらに追加することが簡単になります。
- 同じ場所を経由するデータ フローにより、ビジネスの可視性が向上します。 ハブはビジネスの中核であり、組織に属しているすべての情報が処理されるため、より深いビジネスの分析情報を得るための基礎が提供されます。
- 一元化されたサービスを複数のワークロードで共有するための 1 つの場所。 この場所により、冗長リソースとそれらを管理するために必要な労力を最小限に抑えることができます。
アーキテクチャ コンポーネント
ハブスポーク トポロジの参照アーキテクチャを見てみましょう。 次の図は、オンプレミス環境を Azure に拡張するパターンの提案されたアーキテクチャを示しています。
ハブは、ビジネスの接続の中心点である Azure の仮想ネットワークです。 共有サービスは、スポークと共有するための独自のサブネットでホストされます。 境界サブネットが次に、セキュリティ アプライアンスとして機能します。
スポークは、個々のワークロードを分離するために使用される Azure の仮想ネットワークでもあります。 オンプレミスの本社と Azure の間のトラフィック フローは、ハブ仮想ネットワークに接続されている ExpressRoute を介して接続されます。 スポークからハブへの仮想ネットワークがピアリングされ、オンプレミス リソースへの通信が可能になります。 ハブと各スポークは、別々のサブスクリプションまたはリソース グループに実装できます。
このアーキテクチャに含まれるコンポーネントは次のとおりです。
- Azure 仮想ネットワーク: Azure 仮想ネットワークは、ユーザー独自の IT ネットワークを表します。 クラウド内に含まれており、サブスクリプション内の専用の組織リソースを論理的に分離します。
- Azure VPN Gateway: VPN Gateway は、オンプレミス ネットワークと Azure の間のブリッジです。 VPN ゲートウェイは、2 つのネットワーク間で、暗号化されたトラフィックをインターネット経由で送信する特別な種類の仮想ネットワーク ゲートウェイです。
- Azure ExpressRoute: ExpressRoute は、プライベート接続を介してオンプレミス ネットワークを拡張できる Azure のサービスです。