Azure Virtual Network Manager を使用すると、Azure 環境全体の仮想ネットワーク接続とセキュリティの管理が簡素化されます。 メッシュトポロジやハブアンドスポーク トポロジを含む接続構成は、ネットワークのパフォーマンスとセキュリティを最適化するのに役立ちます。 この記事では、大規模な接続されたグループやグローバル メッシュ接続などの機能と、各トポロジのユース ケースと構成手順について説明します。
接続の構成
接続構成を使用すると、ネットワークのニーズに基づいて異なるネットワーク トポロジを作成できます。 選択できるトポロジは、メッシュ ネットワークとハブ アンド スポーク ネットワークの 2 つあります。 仮想ネットワーク間の接続性は、構成設定内で定義されます。
メッシュ ネットワーク トポロジ
メッシュ ネットワークは、ネットワーク グループのすべての仮想ネットワークが互いに接続されているトポロジです。 すべての仮想ネットワークが接続され、双方向にトラフィックを渡す可能性があります。
メッシュ ネットワーク トポロジの一般的なユース ケースは、ハブ アンド スポーク トポロジ内の一部のスポーク仮想ネットワークが、ハブ仮想ネットワークを通過するトラフィックなしで相互に直接通信できるようにすることです。 この方法では、ハブ内のルーター経由でトラフィックをルーティングすることで生じる可能性のある待機時間が短縮されます。 さらに、Azure Virtual Network Manager でネットワーク セキュリティ グループ規則またはセキュリティ管理規則を実装することで、スポーク ネットワーク間の直接接続に対するセキュリティと監視を維持できます。 トラフィックは、仮想ネットワーク フロー ログを使用して監視および記録することもできます。
既定では、メッシュはリージョン メッシュであるため、同じリージョン内の仮想ネットワークだけが相互に通信できます。 グローバル メッシュを有効にすると、すべての Azure リージョン間で仮想ネットワークの接続を確立できます。 仮想ネットワークは、最大で 2 つの接続グループに属することができます。 仮想ネットワークのアドレス空間は、仮想ネットワーク ピアリングの場合とは異なり、メッシュ構成で重ねることができます。 ただし、ルーティングは非決定的であるため、特定の重複するサブネットへのトラフィックは破棄されます。
接続されたグループ
ハブ アンド スポーク トポロジでメッシュ トポロジまたは直接接続を作成すると、接続されたグループと呼ばれる新しい接続コンストラクトが作成されます。 接続されたグループ内の仮想ネットワークは、手動で接続された仮想ネットワークと同様に、相互に通信できます。 ネットワーク インターフェイスの有効なルートを確認すると、ネクスト ホップの種類として ConnectedGroup が表示されます。 接続されたグループ内で相互に接続されている仮想ネットワークには、仮想ネットワークの [ピアリング] の一覧に表示されるピアリング設定はありません。
注
2 つ以上の仮想ネットワークでサブネットが競合している場合、それらのサブネット内のリソースは、同じメッシュ ネットワークの一部であっても相互に通信 できません 。 仮想ネットワークは、最大で 2 つのメッシュ構成に属することができます。
Azure Virtual Network Manager で大規模なプライベート エンドポイント接続グループを有効にする
Von Bedeutung
Azure Virtual Network Manager の大規模なプライベート エンドポイント接続グループ機能はプレビュー段階です。 プレビュー期間中は、次のリージョンで利用できます。
- 米国東部 2 EUAP
- 米国中部 EUAP
- 米国中西部
- 東アジア
- 英国南部
- 米国東部
このプレビュー バージョンはサービス レベル アグリーメントなしで提供されており、運用環境のワークロードに使用することは推奨されません。 特定の機能はサポート対象ではなく、機能が制限されることがあります。 詳細については、「 Microsoft Azure プレビューの追加使用条件」を参照してください。
Azure Virtual Network Manager の大規模な接続グループ機能を使用すると、ネットワーク容量を拡張できます。 接続されたグループ全体で最大 20,000 個のプライベート エンドポイントをサポートするには、次の手順に従います。
接続されたグループ内の各仮想ネットワークを準備する
プライベート エンドポイント仮想ネットワークの制限の引き上げに関する詳細なガイダンスについては、「プライベート エンドポイント仮想ネットワークの制限の引き上げ」を参照してください。 この機能を有効または無効にすると、1 回限り接続のリセットが開始されます。 メンテナンス期間中は、これらの変更を実行することをお勧めします。
接続されたグループ内の Azure Virtual Network Manager インスタンスまたは仮想ネットワークを含むサブスクリプションごとに、
Microsoft.Network/EnableMaxPrivateEndpointsVia64kPathの機能フラグを登録します。Von Bedeutung
この登録は、拡張プライベート エンドポイント容量のロックを解除するために不可欠です。 詳細については、 Azure プレビュー機能のドキュメントを有効にする方法に関するページを参照してください。
接続されたグループ内の各仮想ネットワークで、または
EnabledにRouteTableEnabledを構成します。 この設定により、仮想ネットワークで高スケールのプライベート エンドポイント機能をサポートする準備が整います。 詳細なガイダンスについては、 プライベート エンドポイントの仮想ネットワーク制限の引き上げに関する記事を参照してください。
大規模なプライベート エンドポイントのメッシュ接続を構成する
この手順では、接続されたグループのメッシュ接続設定を構成して、大規模なプライベート エンドポイントを有効にします。 この手順では、Azure portal で適切なオプションを選択し、構成を確認します。
メッシュ接続の構成で、[ プライベート エンドポイントの高スケールを有効にする] のチェック ボックスを見つけて選択します。 このオプションを選択すると、接続されているグループの高スケール機能がアクティブになります。
接続されたグループ内のすべての仮想ネットワークが、大規模なプライベート エンドポイントで構成されていることを確認します。 Azure portal によって、グループ全体の設定が検証されます。 高スケール構成のない仮想ネットワークを後で追加した場合、他の仮想ネットワーク内のプライベート エンドポイントと通信することはできません。
すべての仮想ネットワークが正しく構成されていることを確認したら、設定をデプロイします。 これにより、大規模な接続済みグループのセットアップが完了します。
ハブとスポークのトポロジ
ハブ アンド スポークは、仮想ネットワークがハブ仮想ネットワークとして選択されているネットワーク トポロジです。 この仮想ネットワークは、構成内のすべてのスポーク仮想ネットワークと双方向にピアリングされます。 このトポロジは、仮想ネットワークを分離し、ハブ仮想ネットワーク内の共通リソースに接続する必要がある場合に便利です。
この構成では、スポーク仮想ネットワーク間の直接接続など、有効にできる設定があります。 既定では、この接続性は同じリージョン内の仮想ネットワークにのみ適用されます。 異なる Azure リージョン間を接続できるようにするには、"グローバル メッシュ" を有効にする必要があります。 また、ゲートウェイ転送を有効にすると、スポーク仮想ネットワークがハブに導入された VPN または ExpressRoute のゲートウェイを使用できるようになります。
オンにすると、この構成の展開後にこれらのピアリングが手動で作成された場合でも、この構成の内容と一致しないピアリングを削除できます。 構成で使用されているネットワーク グループから仮想ネットワークを削除すると、仮想マネージャーは作成したピアリングのみを削除します。
直接接続を有効にする
直接接続を有効にすると、ハブ アンド スポーク トポロジの上に 接続されたグループ のオーバーレイが作成されます。このトポロジには、特定のグループのスポーク仮想ネットワークが含まれます。 直接接続により、スポーク仮想ネットワークはスポーク グループ内の他の VNet と直接通信できますが、他のスポークの VNet とは直接通信できません。
たとえば、2 つのネットワーク グループを作成します。 Production ネットワーク グループでは直接接続を有効にしますが、Test ネットワーク グループでは有効にしません。 この設定では、Production ネットワーク グループの仮想ネットワークは相互に通信できますが、Test ネットワーク グループの仮想ネットワークは通信できません。
仮想マシン上の有効なルートを見ると、ハブとスポーク仮想ネットワークの間のルートの次ホップの種類は VNetPeering または GlobalVNetPeering になります。 スポーク仮想ネットワーク間のルートは、ConnectedGroup のネクスト ホップの種類で表示されます。 運用/テストの例では、直接接続が有効になっているため、実稼働ネットワーク グループのみが ConnectedGroup を持つことになります。
トポロジ ビューを使用してネットワーク グループ トポロジを検出する
ユーザーがネットワーク グループのトポロジを理解しやすいように用意されている Azure Virtual Network Manager のトポロジ ビューには、ネットワーク グループとそのメンバー仮想ネットワークの間の接続が表示されます。 次の手順のようにして接続構成を作成する間に、ネットワーク グループのトポロジを見ることができます。
[構成] ページに移動して、接続構成を作成します。
[トポロジ] タブで、目的のトポロジの種類を選び、1 つ以上のネットワーク グループをトポロジに追加して、他の必要な接続設定を構成します。
[Preview Topology] (トポロジのプレビュー) タブを選んでトポロジ ビューをテストし、構成の現在の接続を確認します。
接続構成の作成を完了します。
ネットワーク グループの詳細ページの [設定] で [視覚化] を選択すると、ネットワーク グループの現在のトポロジを確認できます。 このビューには、ネットワーク グループ内のメンバー仮想ネットワーク間の接続が表示されます。
ユース ケース
スポーク仮想ネットワーク間の直接接続を有効にすると、ハブ仮想ネットワーク内にネットワーク仮想アプライアンス (NVA) または共通のサービスを使用したいが、ハブに常にアクセスする必要がない場合に役立ちます。 ただし、ネットワーク グループ内のスポーク仮想ネットワークが相互に通信する必要があります。 このトポロジは、従来のハブ アンド スポーク ネットワークと比較して、ハブ仮想ネットワーク経由の余分なホップを排除することでパフォーマンスを向上させます。
グローバル メッシュ
メッシュと同様に、これらのスポーク接続グループは、リージョンまたはグローバルとして構成できます。 グローバル メッシュは、スポーク仮想ネットワークがリージョンを超えて相互に通信する場合に必要です。 この接続は、同じネットワーク グループ内の仮想ネットワークに限定されます。 リージョン間の仮想ネットワークの接続を有効にするには、ネットワーク グループのリージョン間のメッシュ接続を有効にする必要があります。 スポーク仮想ネットワーク間に作成された接続は、接続グループ内に含まれます。
ハブをゲートウェイとして使用する
ハブアンドスポーク構成で有効にできるもう 1 つのオプションは、ハブをゲートウェイとして使用する方法です。 この設定により、ネットワーク グループ内のすべての仮想ネットワークは、ハブ仮想ネットワーク内の VPN または ExpressRoute ゲートウェイを使って、トラフィックを渡すことができるようになります。 ゲートウェイとオンプレミスの接続を参照してください。
Azure portal からハブ アンド スポーク トポロジをデプロイすると、ネットワーク グループ内のスポーク仮想ネットワークに対して、ハブをゲートウェイとして使用するが規定で有効になります。 Azure Virtual Network Manager は、リソース グループ内のハブとスポーク仮想ネットワークの間に、仮想ネットワーク ピアリング接続の作成を試みます。 ゲートウェイがハブ仮想ネットワークに存在しない場合、スポーク仮想ネットワークからハブへのピアリングの作成は失敗します。 ハブからスポークへのピアリング接続は、確立された接続なしで作成されます。
次のステップ
- Terraform を使用して Azure Virtual Network Manager をデプロイ して、環境をすばやく設定します。
- ネットワーク設定を効果的に管理するための構成デプロイについて説明します。
- セキュリティ管理者の構成を使用して、不要なネットワーク トラフィックをブロックします。