次の方法で共有

Azure Virtual Network Manager の接続構成

Azure Virtual Network Manager を使用すると、Azure ネットワーク環境全体の接続、セキュリティ、ルーティングなどの管理が簡素化されます。 メッシュトポロジやハブアンドスポーク トポロジを含む接続構成は、組織の規模でネットワークパフォーマンスと接続性を最適化するのに役立ちます。 この記事では、大規模な接続されたグループやグローバル メッシュ接続などの機能と、各トポロジのユース ケースと設定について説明します。

接続性の構成

接続構成を使用すると、ネットワークのニーズに基づいてさまざまなネットワーク トポロジを作成および管理できます。 メッシュとハブアンドスポークの 2 つのトポロジから選択できます。 仮想ネットワーク間の接続は、接続構成の設定によって定義されます。 ネットワーク グループを介して接続を確立する仮想 ネットワークを定義します。 接続構成では、ネットワーク グループを使用して、ネットワーク グループ内の仮想ネットワーク間で目的のトポロジで説明されているように接続を確立します。

接続構成で 既存のピアリングの削除 が有効になっている場合、この構成の展開後にこれらのピアリングが手動で作成された場合でも、この接続構成の内容と一致しないピアリングを削除できます。 構成で使用されているネットワーク グループから仮想ネットワークを削除すると、Azure Virtual Network Manager インスタンスによって作成された接続のみが削除されます。

接続構成をデプロイすると、Azure Virtual Network Manager は、仮想ネットワーク ピアリング (ハブアンドスポーク トポロジの場合) または仮想ネットワーク間の接続されたグループ (メッシュ トポロジの場合) を介して双方向接続を確立します。 この接続は、定義した設定と、接続構成に含まれるネットワーク グループに従って確立されます。

メッシュ型トポロジ

メッシュ トポロジは、 ネットワーク グループ内のすべての仮想ネットワーク間の接続を定義します。 すべてのメンバー仮想ネットワークが接続され、双方向にトラフィックを相互に渡すことができます。

メッシュ トポロジの一般的なユース ケースは、ハブ アンド スポーク トポロジ内のスポーク仮想ネットワークが、ハブ仮想ネットワーク経由でトラフィックをルーティングせずに相互に直接通信できるようにすることです。 この方法では、ハブ内のルーター経由でトラフィックをルーティングすることで生じる可能性のある待機時間が短縮されます。 さらに、Azure Virtual Network Manager またはネットワーク セキュリティ グループ 規則にセキュリティ管理者ルール を実装することで、スポーク仮想ネットワーク間の直接接続に対する セキュリティと監視を維持できます。 トラフィックは、 仮想ネットワーク フロー ログを使用して監視および記録することもできます。

既定では、接続構成で定義されているメッシュ トポロジはリージョン メッシュです。つまり、同じリージョン内の仮想ネットワークのみが相互に通信できます。 接続構成でグローバル メッシュ オプションを有効にして、すべての Azure リージョン間の仮想ネットワーク間の接続を確立できます。

仮想ネットワーク のピアリングとは異なり、仮想ネットワーク アドレス空間はメッシュ構成で重複する可能性がありますが、ルーティングは非決定的であるため、重複するアドレス空間を持つサブネット間のトラフィックは破棄されます。

双方向メッシュで接続された仮想ネットワークを示すメッシュ トポロジ図のスクリーンショット。

舞台裏: 繋がるグループ

メッシュ トポロジを作成するか、ハブアンドスポーク トポロジで直接接続を有効にすると、Azure Virtual Network Manager 専用の新しい接続コンストラクトが作成されます。 このコンストラクトは、 接続されたグループと呼ばれます。 接続されたグループ内の仮想ネットワークは、手動で接続された仮想ネットワークと同様に、相互に通信できます。 ネットワーク インターフェイスの有効なルートを確認すると、次ホップの種類の ConnectedGroup が表示されます。 接続されたグループ内で相互に接続されている仮想ネットワークには、仮想ネットワークの [ピアリング] の一覧に表示されるピアリング設定はありません。 この接続されたグループにより、Azure Virtual Network Manager は従来の仮想ネットワーク ピアリングよりも高いスケールの仮想ネットワーク接続をサポートできます。

仮想ネットワークは、最大 2 つの接続されたグループに含めることができます。つまり、最大 2 つのメッシュ トポロジに含めることができます。

Azure Virtual Network Manager 接続済みグループで大規模な接続を有効にする

接続されたグループ機能における Azure Virtual Network Manager の大規模な接続機能により、ネットワーク容量を拡張できます。 この機能については、Preveiw 機能 "AllowHighScaleConnectedGroup" を登録してください ("Enable High Scale Connected Group"の表示名で見つけることができます)。この機能を使用すると、サポートされているリージョン内の接続されたグループに最大 5,000 の仮想ネットワークを含むことができます。

Azure Virtual Network Manager 接続済みグループで大規模なプライベート エンドポイントを有効にする

Von Bedeutung

Azure Virtual Network Manager の大規模な接続グループ機能はプレビュー段階です。 プレビュー期間中は、次のリージョンで利用できます。

  • 米国東部 2 EUAP
  • 米国中部 EUAP
  • 米国中西部
  • 東アジア
  • 英国南部
  • 米国東部

このプレビュー バージョンはサービス レベル アグリーメントなしで提供されており、運用環境のワークロードに使用することは推奨されません。 特定の機能はサポート対象ではなく、機能が制限されることがあります。 詳細については、「 Microsoft Azure プレビューの追加使用条件」を参照してください。

接続されたグループ機能の Azure Virtual Network Manager の大規模なプライベート エンドポイント機能を使用すると、ネットワーク容量を拡張できます。 この機能を有効にして、接続されたグループ全体で最大 20,000 個のプライベート エンドポイントをサポートするには、次の手順を使用します。

接続されたグループ内の各仮想ネットワークを準備する

  1. これらの 制限の引き上げに関する詳細なガイダンスについては、プライベート エンドポイントの仮想ネットワーク 制限の引き上げに関する記事を参照してください。 この機能を有効または無効にすると、1 回限り接続のリセットが開始されます。 メンテナンス期間中にこれらの変更を実行することをお勧めします。

  2. 接続されたグループ内の Azure Virtual Network Manager インスタンスと仮想ネットワークを含むサブスクリプションごとに、 Microsoft.Network/EnableMaxPrivateEndpointsVia64kPath の機能フラグを登録します。

    Von Bedeutung

    この登録は、拡張プライベート エンドポイント容量のロックを解除するために不可欠です。 詳細については、 Azure プレビュー機能のドキュメントを有効にする方法に関するページを参照してください

  3. 接続されたグループ内の各仮想ネットワークで、またはEnabledRouteTableEnabledを構成します。 この設定により、仮想ネットワークで大規模なプライベート エンドポイント機能をサポートする準備が整います。 詳細なガイダンスについては、 プライベート エンドポイントの仮想ネットワーク制限の引き上げに関する記事を参照してください。

大規模なプライベート エンドポイントのメッシュ トポロジを構成する

この手順では、接続されたグループの接続構成のメッシュ トポロジ設定を構成して、大規模なプライベート エンドポイントを有効にします。 この手順では、Azure portal で適切なオプションを選択し、構成を確認します。

  1. メッシュ接続の構成で、[ プライベート エンドポイントの高スケールを有効にする] のチェック ボックスを見つけて選択します。 このオプションを選択すると、接続されているグループの大規模な機能がアクティブになります。

  2. メッシュ全体 (接続されたグループ) 内のすべての仮想ネットワークが、大規模なプライベート エンドポイントで構成されていることを確認します。 Azure portal によって、グループ全体の設定が検証されます。 大規模な構成のない仮想ネットワークが後で追加された場合、他の仮想ネットワーク内のプライベート エンドポイントと通信することはできません。

  3. すべての仮想ネットワークが正しく構成されていることを確認したら、接続構成をデプロイします。 この手順では、大規模な接続済みグループのセットアップを完了します。

ハブアンドスポーク トポロジ

ハブアンドスポーク トポロジは、選択したハブ仮想ネットワークと、選択した 1 つ以上のスポーク ネットワーク グループのメンバーであるスポーク仮想ネットワークの間の接続を定義します。 ハブ仮想ネットワークは、構成内のすべてのスポーク ネットワーク グループの仮想ネットワーク メンバーと双方向にピアリングされます。 このトポロジは、仮想ネットワークを分離しながら、ハブ仮想ネットワーク内の一般的なリソースへの接続を維持する場合に役立ちます。

複数のスポーク仮想ネットワークに接続されたハブ仮想ネットワークを示すハブアンドスポーク トポロジ図のスクリーンショット。

この構成では、同じスポーク ネットワーク グループに属するスポーク仮想ネットワーク間 の直接接続 など、有効にできる設定があります。 既定では、この接続は同じリージョン内の仮想ネットワークに対してのみ確立されます。 異なる Azure リージョン間の接続を許可するには、スポーク ネットワーク グループの グローバル メッシュ 設定を有効にする必要があります。 また、ゲートウェイ転送を有効にして、スポーク仮想ネットワークがハブ仮想ネットワークにデプロイされた VPN または ExpressRoute ゲートウェイを使用できるようにすることもできます。

直接接続を有効にする

スポーク ネットワーク グループの直接接続を有効にすると、ハブ アンド スポーク トポロジの上に、そのスポーク ネットワーク グループの仮想ネットワーク全体にメッシュ (つまり 接続されたグループ) が作成されます。 直接接続により、仮想ネットワークはスポーク ネットワーク グループ内の他の仮想ネットワークと直接通信できますが、他のスポーク ネットワーク グループ内の仮想ネットワークとの接続は有効 になりません

たとえば、2 つのネットワーク グループを作成し、ハブアンドスポーク接続構成にスポーク ネットワーク グループとして含めます。 Production ネットワーク グループでは直接接続を有効にしますが、Test ネットワーク グループでは有効にしません。 このセットアップでは、ハブ仮想ネットワークを 運用 ネットワーク グループと テスト ネットワーク グループ内のすべての仮想ネットワークに接続しますが、 運用 ネットワーク グループ内の仮想ネットワークのみが相互に通信できます。 実稼働ネットワーク グループの仮想ネットワークは、テスト ネットワーク グループの仮想ネットワークとの接続を持っていません。また、テスト ネットワーク グループの仮想ネットワーク間には接続がありません (テスト ネットワーク グループに対して直接接続も有効になっていない場合)。

2 つのネットワーク グループを含むハブアンドスポーク トポロジのスクリーンショット。

仮想マシン上の有効なルートを見ると、ハブとスポーク仮想ネットワークの間のルートの次ホップの種類は VNetPeering または GlobalVNetPeering になります。 スポーク仮想ネットワーク間のルートは、 ConnectedGroup の次ホップの種類で表示されます。 実稼働テストの例では、直接接続が有効になっているため、実稼働ネットワーク グループのみが ConnectedGroup を持つことになります。

スポーク仮想ネットワーク間の直接接続は、ハブ仮想ネットワーク内にネットワーク仮想アプライアンス (NVA) または共通サービスを使用したいが、信頼されたスポーク仮想ネットワークが相互に通信するためにハブに常にアクセスする必要がない場合に役立ちます。 このトポロジは、従来のハブ アンド スポーク ネットワークと比較して、ハブ仮想ネットワーク経由の余分なホップを削除することでパフォーマンスを向上させます。

グローバル メッシュ

メッシュ トポロジと同様に、直接接続が有効になっているスポーク ネットワーク グループは、既定でリージョンとして構成されます。 スポーク ネットワーク グループの仮想ネットワークがリージョン間で相互に通信できるようにする場合は、 グローバル メッシュ を有効にすることができます。 この接続は、同じネットワーク グループ内の仮想ネットワークに制限されます。 リージョン間の仮想ネットワークに対してこのグローバル メッシュ接続を有効にするには、ネットワーク グループの リージョン間でメッシュ接続を有効にする 必要があります。 スポーク仮想ネットワーク間で作成された接続は、 接続されたグループ内にあります。

ハブをゲートウェイとして使用する

ハブアンドスポーク構成で有効にできるもう 1 つのオプションは、ハブをゲートウェイとして使用する方法です。 この設定により、スポーク ネットワーク グループ内のすべての仮想ネットワークで、ハブ仮想ネットワーク内の VPN または ExpressRoute ゲートウェイを使用してトラフィックを渡すことができます。 ゲートウェイとオンプレミスの接続を参照してください。

Azure portal からハブ アンド スポーク トポロジをデプロイすると、ネットワーク グループ内のスポーク仮想ネットワークに対して [ ハブをゲートウェイとして使用 ] オプションが既定で有効になります。 Azure Virtual Network Manager は、ハブ仮想ネットワークとスポーク ネットワーク グループ内の仮想ネットワークの間に仮想ネットワーク ピアリング接続を作成しようとします。 このオプションが有効になっていても、ゲートウェイがハブ仮想ネットワークに存在しない場合、スポーク仮想ネットワークからハブへのピアリングの作成は失敗します。 ハブからスポークへのピアリング接続は、確立された接続なしで作成されます。

トポロジ ビューを使用してネットワーク グループ トポロジを検出する

ネットワーク グループのトポロジの理解を支援するために、Azure Virtual Network Manager には、ネットワーク グループとそのメンバー仮想ネットワーク間の接続を表示する トポロジ ビュー が用意されています。 次の手順を使用して、接続構成 の作成時に接続構成の トポロジを表示できます。

  1. [構成] ページに移動して、接続構成を作成します。

  2. [トポロジ] タブで、目的のトポロジの種類を選び、1 つ以上のネットワーク グループをトポロジに追加して、他の必要な接続設定を構成します。

  3. [ トポロジの表示 ] タブを選択して、構成の現在の接続を視覚的に確認します。

  4. 接続構成の作成を完了します。

接続構成の現在のトポロジを確認するには、構成の詳細ページの [設定][トポロジの表示] を選択します。 このビューには、この接続構成の仮想ネットワーク部分間の接続が表示されます。

接続構成のトポロジを示す視覚化ウィンドウのスクリーンショット。

次のステップ