Azure VMware Solution からインターネットへの送信アクセスを作成し、Azure VMware Solution プライベート クラウド上のリソースへの受信インターネット アクセスを実現するには、3 つの主要なパターンが存在します。
- Azure でホストされているインターネット サービス
- Azure VMware Solution のマネージド SNAT
- NSX データ センター エッジへの Azure パブリック IPv4 アドレス
セキュリティ制御、可視性、容量、運用に関する要件により、Azure VMware Solution プライベート クラウドへのインターネット アクセスを配信するための適切な方法の選択が促進されます。
Azure でホストされているインターネット サービス
Azure で既定のルートを生成し、Azure VMware Solution プライベート クラウドまたはオンプレミスに送信する方法は複数あります。 オプションは次のとおりです。
- Virtual WAN ハブの Azure ファイアウォール。
- Virtual WAN ハブ スポーク仮想ネットワーク内のサードパーティ製ネットワーク仮想アプライアンス。
- Azure Route Server を使用したネイティブ Azure 仮想ネットワーク内のサードパーティ製ネットワーク仮想アプライアンス。
- Global Reach 経由でオンプレミスから Azure VMware Solution に転送される既定のルート。
これらのパターンのいずれかを使用して、送信 SNAT サービスに、許可されるソースを制御する機能を提供し、接続ログを表示し、一部のサービスではさらにトラフィック検査を行います。
同じサービスで Azure パブリック IP を使用し、インターネットから Azure VMware Solution のターゲットに向かって受信 DNAT を作成することもできます。
インターネット トラフィックに複数のパスを利用する環境を構築することもできます。 1 つは送信 SNAT 用 (サード パーティのセキュリティ NVA など) 用、もう 1 つは受信 DNAT 用です (リターン トラフィックに SNAT プールを使用するサード パーティのロード バランサー NVA など)。
Azure VMware Solution のマネージド SNAT
マネージド SNAT サービスを使用すると、Azure VMware Solution プライベート クラウドからの送信インターネット アクセスを簡単に実現できます。 このサービスの機能は次のとおりです。
- 簡単な有効化 – [インターネット接続] タブのラジオ ボタンを選択すると、すべてのワークロード ネットワークが直ちに SNAT ゲートウェイを介してインターネットへの送信アクセスを行えるようになります。
- SNAT ルールを制御することはできません。SNAT サービスに到達するすべてのソースが許可されます。
- 接続ログは表示できません。
- 最大 128k の同時送信接続をサポートするために、2 つのパブリック IP が使用され、ローテーションされます。
- Azure VMware Solution マネージド SNAT では、受信 DNAT 機能は使用できません。
NSX Edge への Azure パブリック IPv4 アドレス
このオプションは、割り当てられた Azure パブリック IPv4 アドレスを NSX Edge に直接取り込んで使用します。 これにより、Azure VMware Solution プライベート クラウドでは、必要に応じて NSX のパブリック ネットワーク アドレスを直接使用して適用できます。 これらのアドレスは、次の種類の接続に使用されます。
- 送信 SNAT
- 受信 DNAT
- VMware NSX Advanced Load Balancer およびその他のサードパーティのネットワーク仮想アプライアンスを使用した負荷分散
- ワークロード VM インターフェイスに直接接続されるアプリケーション。
このオプションでは、Azure VMware Solution プライベート クラウド内に DMZ を作成するように、サードパーティのネットワーク仮想アプライアンスでパブリック アドレスを構成することもできます。
次のような機能があります。
- スケール – アプリケーションが要求する場合、64 個の Azure パブリック IPv4 アドレスのソフト制限を 1,000 個の Azure パブリック IP に増やすように要求できます。
- 柔軟性 – Azure パブリック IPv4 アドレスは、NSX エコシステム内の任意の場所に適用できます。 これは、VMware の NSX Advanced Load Balancer やサードパーティのネットワーク仮想アプライアンスなどのロード バランサーで、SNAT または DNAT を提供するために使用できます。 また、VMware セグメント上のサード パーティのネットワーク仮想セキュリティ アプライアンスまたは VM 上で直接使用することもできます。
- 地域 – NSX Edge への Azure パブリック IPv4 アドレスは、ローカル SDDC に固有です。 "分散リージョン内のマルチ プライベート クラウドにおいて、インターネットへのローカル出口を意図する場合、ローカルでトラフィックを誘導する方が、AzureでホストされているセキュリティまたはSNATサービスのデフォルトルートの伝播を制御するよりも簡単です。" パブリック IP が構成された 2 つ以上の Azure VMware Solution プライベート クラウドが接続されている場合は、両方ともローカル出口を持つことができます。
オプションの選択に関する考慮事項
選択するオプションは、次の要因によって異なります。
- Azure ネイティブ エンドポイントからのすべてのインターネット トラフィックを検査する Azure ネイティブでプロビジョニングされたセキュリティ検査ポイントに Azure VMware プライベート クラウドを追加するには、Azure ネイティブ コンストラクトを使用し、Azure から Azure VMware Solution プライベート クラウドへの既定のルートをリークします。
- セキュリティ検査または合理化された運用費に関する既存の標準に準拠するためにサードパーティのネットワーク仮想アプライアンスを実行する必要がある場合は、2 つのオプションがあります。 既定のルート方法を使用して Azure ネイティブで Azure パブリック IPv4 アドレスを実行することも、NSX Edge への Azure パブリック IPv4 アドレスを使用して Azure VMware Solution で実行することもできます。
- ネイティブ Azure で実行されているネットワーク仮想アプライアンスに割り当てることができる、または Azure Firewall でプロビジョニングできる Azure パブリック IPv4 アドレスの数には、スケール制限があります。 NSX Edge への Azure パブリック IPv4 アドレス オプションを使用すると、割り当てを高くできます (1,000 秒と 100 秒)。
- ローカル リージョン内の各プライベート クラウドからインターネットへのローカライズされた出口には、NSX Edge への Azure パブリック IPv4 アドレスを使用します。 相互およびインターネットと通信する必要がある複数の Azure リージョンで複数の Azure VMware Solution プライベート クラウドを使用する場合、Azure VMware Solution プライベート クラウドと Azure のセキュリティ サービスを照合するのは困難な場合があります。 難しいのは、Azure からの既定のルートの動作が原因です。
重要
仕様上、NSX を使用したパブリック IPv4 アドレスでは、ExpressRoute プライベート ピアリング接続経由で Azure/Microsoft 所有のパブリック IP アドレスを交換することはできません。 つまり、パブリック IPv4 アドレスを、ExpressRoute 経由で顧客の VNet またはオンプレミス ネットワークにアドバタイズすることはできません。 NSX トラフィックを含むすべてのパブリック IPv4 アドレスは、Azure VMware Solution プライベート クラウドが ExpressRoute 経由で接続されている場合でも、インターネット パスを取得する必要があります。 詳細については、「 ExpressRoute 回線ピアリング」を参照してください。
次のステップ
Azure VMware Solution ワークロードのマネージド SNAT を有効にする