【Azure】ネットワークサービスの利用シナリオ

Azureネットワーク設計・構築入門　基礎知識から利用シナリオ、設計・運用ベストプラクティスまで [ 山本 学 ] 価格：3,520円（税込、送料無料) (2025/5/22時点) 楽天で購入

Azureネットワークサービスの利用シナリオ

1. オンプレミス to Azure（Azureと繋ぐ = Azureとオンプレミスの接続）
2. Azure to Azure（Azureで繋ぐ = Azureの仮想ネットワーク同士の接続）
3. Azure to インターネット（Azureへ繋ぐ = インターネットとAzureの接続）

Azureネットワークのベストプラクティス

ハブ&スポーク構成

• ハブVNetにはオンプレミスとの接続に必要となる仮想ネットワークGatewayやAzure Firewallなどを配置し、スポークVNetには各個別システムを配置することで、ハブVNetの共有コンポーネントによるガバナンス（ネットワーク制御の一元化など）とコスト削減（各VNet毎に用意しなくてよいため）が可能
• VNetが非推移的（2ホップ不可）という特性を利用し、既定ではスポーク-VNet間の通信ができないため、セキュリティ的脅威にも対応しやすいというメリットがある

オンプレミス to Azure

• 開発/検証用途：VPN接続
• 本番用途：ExpressRoute接続

VPN接続とExpressRoute接続を併用することも可能であり、メイン回線をExpressRoute、バックアップ回線をVPNといった構成を採用する企業もある。

※ExpressRoute：閉域網、VPN：インターネット経由

またグローバルネットワークを必要とする場合、VPNやExpressRouteと合わせてVirtual WANの導入を検討することもある。

日本国外との通信をVirtual WANが担うことで、拠点間の折り返し通信やAzureのVNetにおいて変更があった場合などでも自動的にルーティングすることができる。

VPN導入の流れ

1. 情報収集

• ルーティング方法：ルートベース（動的）とポリシーベース（静的）

基本的にはルートベース（動的）を使用する。

• VPN GatewayのSKU
• オンプレミス側のネットワーク構成の確認
• Azure側のネットワーク構成の検討

2. VPN接続に必要となるAzureリソースの構築

• 仮想ネットワーク（VNet）およびゲートウェイサブネット

• VPN Gateway（パブリックIPアドレス含む）
• ローカルネットワークゲートウェイ
  • オンプレミスのVPNデバイスをAzure上で認識させるために必要なリソース。VPNデバイスに設定されているパブリックIPアドレスとオンプレミスのアドレス空間をローカルネットワークゲートウェイとして指定します。
• 接続
  • VPN Gatewayとローカルネットワークゲートウェイを紐づけるために必要な独立した1つのAzureリソース。

3. VPNデバイスの設定

• 各デバイスのファームウェアに合わせた設定のサンプルがダウンロードできる。（共有キーやVPN GatewayのパブリックIPアドレスは自動的に入力されている）

4. VPN接続の確認（任意）

• 高可用性（VPN）
  • 可用性ゾーンに対応したSKUを選択する
  • VPN Gatewayをデプロイすると、内部的には2つのインスタンスが作成される。このインスタンスの障害ドメインは、SKUによって制御できる。
  • 複数のVPN接続を確立する
    • アクティブ/アクティブモードにするなど

ExpressRoute導入の流れ

1. 前提

• L3接続：ルーティングやルーターの管理等を含めて接続プロバイダーへ任せることができ、導入・運用負荷が少なくなる
• L2接続：ルーティングやルーターの管理などを自分たちで行う必要があるが、より柔軟なネットワーク構成が可能になる

ExpressRouteのピアリングの種類には、Private PeeringとMicrosoft Peeringの2種類がある。

1. Private Peering（仮想ネットワーク内のIaaS、PaaSサービス）
2. Microsoft Peering（Microsoft365、Azure Paasサービス）

以下、L2接続における導入の流れを記載します。（L3接続の場合、5-7の手順は不要です）

1. ExpressRoute導入に向けた情報収集

• 契約する接続プロバイダーの検討
• ExpressRouteを介して利用したいAzureサービスの整理
• ピアリングの種類
• ExpressRouteの本数、場所（ロケーション）やSKUやオプションの選択
• オンプレミス側のネットワーク構成の確認
• Azure側のネットワーク構成の検討

• FastPath：ExpressRouteのオプション機能の1つ。通常はER Gatewayを通過するが、FastPathを有効にすると、ER Gatewayはバイパス（スキップ）され、直接AzureのVNetへ送信されるため、パフォーマンス向上が期待できる。
• Microsoft365はインターネット経由で安全かつ確実にアクセスできるように作られているため、Microsoft365への接続に関してはインターネット経由での接続が推奨されている。

2. ユーザー/接続プロバイダー拠点間を接続する

既存プロバイダーの場合には本手順はスキップされたり、任意のタイミングで実施されることがある

3. ExpressRoute Circuitの作成
4. サービスキーを接続プロバイダーへ連絡する
5. ExpressRoute Circuitとの接続に必要な各種設定作業を行う
6. オンプレミス設置BGPルーターの設定などを行う
7. Private Peeringの構成を行う
8. ER CircuitとER Gatewayを接続する
9. ExpressRoute接続を確認する

Azure to Azure

VNet内の異なるサブネットにある仮想マシン間は、既定で通信可能となっている。通信できる状態が好ましくない（通信不可にしたい）場合、以下のいずれかの方法を選択する必要があります。

• NSGやAzure Firewallを利用してアクセス制御する
• 異なるVNetに仮想マシンを配置する

異なるVNet間を接続する方法

1. VNetピアリング

• 最もシンプルでパフォーマンスが高い構成
  • リージョンが同一であればVNet内通信と同等のスループットが得られる
  • 物理経路的にもVNet内通信と同じMicrosoftのバックボーンを利用する
  • 送受信データ量に応じた課金が発生することから、大きなデータ転送が定常的に発生する場合は費用に注意が必要である

2. VPN
3. ExpressRoute
4. パブリックIP（インターネット経由）
5. Private Link

Azure to インターネット

アウトバウンド接続構成の判断フローチャートは以下となります。

1. ルートのネクストホップは？

• インターネット or ネットワーク仮想アプライアンス（NVA）
• ネットワーク仮想アプライアンス（NVA）の場合、ネットワーク仮想アプライアンスを使ったアウトバウンド接続を構成

2. サブネットにNAT Gatewayが関連付けられている？

• Yesの場合、NAT Gatewayを使ったアウトバウンド接続を構成

3. NICにパブリックIPアドレスが関連付けられている？

• Yesの場合、インスタンスレベル パブリックIPアドレスを使ったアウトバウンド接続を構成

4. パブリックロードバランサーの送信規則が構成されている？

• Yesの場合、ロードバランサーの送信規則を使ったアウトバウンド接続を構成

5. 既定の送信アクセスに該当する？

• Yesの場合、規定の送信アクセスを使ったアウトバウンド接続を構成
• Noの場合、送信接続不可である。

Azureのネットワーク仮想アプライアンス（NVA: Network Virtual Appliance）とは、ファイアウォールやルーター、ロードバランサーなどのネットワーク機能を持つ仮想マシンのことを指します。