Azure Firewall を使用してハブアンドスポーク トポロジをデプロイする方法

この記事では、Azure Virtual Network Manager を使用して Azure Firewall を使用してハブ アンド スポーク トポロジをデプロイする方法について説明します。 Azure Virtual Network Manager インスタンスまたはネットワーク マネージャーを作成し、信頼されたトラフィックと信頼されていないトラフィックのネットワーク グループを実装します。 次に、ハブアンドスポーク トポロジを定義する接続構成をデプロイします。 接続構成をデプロイするときは、スポーク仮想ネットワーク間の信頼された通信用に 直接接続 を追加するか、スポーク仮想ネットワークがハブ仮想ネットワーク経由で通信するように要求するかを選択できます。 完了するには、ルーティング構成をデプロイして、すべてのトラフィックを Azure Firewall にルーティングします。ただし、仮想ネットワークが信頼されている場合は、同じ仮想ネットワーク内のトラフィックを除きます。

多くの組織では、脅威や不要なトラフィックから仮想ネットワークを保護するために Azure Firewall を使用し、同じ仮想ネットワーク内の信頼できるトラフィックを除くすべてのトラフィックを Azure Firewall にルーティングしています。 従来、このようなシナリオの設定は煩雑です。新しいサブネットごとに新しいユーザー定義ルート (UDR) を作成する必要があり、ルート テーブルの UDR が異なるためです。 Azure Virtual Network Manager での UDR 管理は、同じ仮想ネットワーク内のトラフィックを除くすべてのトラフィックを Azure Firewall にルーティングするルーティング規則を作成し、スポーク仮想ネットワーク全体にこの規則を簡単に適用することで、このシナリオを簡単に実現するのに役立ちます。

前提条件

• サブスクリプション内にリソースを作成するためのアクセス許可を持つ Azure サブスクリプション。 Azure サブスクリプションをお持ちでない場合は、始める前に無料アカウントを作成してください。

• 同じリージョン内にサブネットがある 3 つの仮想ネットワーク。 1 つの仮想ネットワークはハブ仮想ネットワークであり、残りの 2 つの仮想ネットワークはスポーク仮想ネットワークです。

  • この例では、ハブ仮想ネットワークは hub-vnet という名前で、スポーク仮想ネットワークは spoke-vnet-1 と spoke-vnet-2 という名前です。
  • ハブ仮想ネットワークには、AzureFirewallSubnet という名前の Azure Firewall のサブネットが必要です。

• ユーザー定義のルーティングと接続機能が有効になっている Azure Virtual Network Manager インスタンス。

• 接続構成を介してハブ アンド スポーク トポロジで構成されたすべての仮想ネットワーク、または手動で作成された仮想ネットワーク。

• ハブ仮想ネットワーク内に Azure Firewall があること。 詳細については、「Azure portal を使用して Azure Firewall とポリシーをデプロイして構成する」を参照してください。

Virtual Network Manager インスタンスを作成する

この手順では、[ユーザー定義ルーティング] を有効にした Virtual Network Manager インスタンスをデプロイします。

1. Azure portal にサインインします。

2. [+ リソースの作成] を選択し、 [ネットワーク マネージャー] を検索します。 次に、[ネットワーク マネージャー] > [作成] を選択して、Virtual Network Manager の設定を開始します。

3. [基本] タブで、次の情報を入力または選択して、[確認と作成] を選択します。

   設定	値
   サブスクリプション	Virtual Network Manager をデプロイするサブスクリプションを選択します。
   リソース グループ	仮想ネットワークとファイアウォールを含むリソース グループを選択します。 [OK] を選びます。
   名前	ネットワーク マネージャーの名前を入力します。
   リージョン	[(米国) 米国東部] または選択したリージョンを選びます。 Virtual Network Manager は、任意のリージョンの仮想ネットワークを管理できます。 選択したリージョンが、Virtual Network Manager インスタンスが配置される場所です。
   説明	(省略可能) この Azure Virtual Network Manager インスタンスと、それが管理するタスクの説明を指定します。
   機能	ドロップダウン リストから [ユーザー定義ルーティング] と [接続] をオンにします。

   

4. [管理スコープ] タブを選ぶか、[次へ: 管理スコープ]> を選び、続行します。

5. [管理スコープ] タブで、[+ 追加] を選びます。

6. [スコープの追加] で、お使いのサブスクリプションまたは管理グループを選択し、[選択] を選択します。

7. [確認と作成]、[作成] の順に選び、Virtual Network Manager インスタンスをデプロイします。

手動メンバーシップを使用してネットワーク グループを作成する

このタスクでは、手動メンバーシップを使用して、スポーク仮想ネットワークを含むネットワーク グループを作成します。 ネットワーク グループは、単一の構成で複数の仮想ネットワークを管理するために使用されます。

1. Azure portal で、ネットワーク マネージャー インスタンスを選択します。

2. 左側にある [設定] で、[ネットワーク グループ] を選択し、[+ 作成] を選択します。

3. [ネットワーク グループの作成] ペインで、次の設定を入力し、[作成] を選択します。

   設定	価値
   名前	ネットワーク グループの名前を入力します。
   説明	(省略可能) ネットワーク グループの説明を入力します。
   メンバーの型	[仮想ネットワーク] を選択します。

4. [ネットワーク グループ] ペインで、作成したネットワーク グループを選択し、[メンバーを手動で追加する] の下にある [仮想ネットワークの追加] を選択します。

5. [メンバーを手動で追加する] ウィンドウで、スポーク仮想ネットワークを選択し、[追加] を選択します。

   重要

   このネットワーク グループにハブ仮想ネットワークを追加しないでください。 ハブ仮想ネットワークをメンバーとして追加すると、このグループを使用してハブおよびスポーク トポロジ接続構成を作成できなくなります。 ハブは、接続構成の作成時に選択します。

接続構成を作成する

このタスクでは、ネットワーク グループとルーティング規則コレクションを含む接続構成を作成します。 ハブおよびスポーク トポロジで直接接続を有効にするか、すべての通信がハブ仮想ネットワークと Azure ファイアウォールを追加する設定のままにするかを選択できます。

1. ネットワーク マネージャー インスタンスで、[設定] の下にある [構成] を選択し、[接続構成の作成] を選択します。

2. [接続構成の作成] ウィンドウの [基本] タブで、接続構成の [名前] と [説明] を入力し、[次へ: トポロジ >] を選択します。

3. [トポロジ] タブで、次の設定を入力するか選択します。

   設定	価値
   トポロジ	[ハブ アンド スポーク] を選択します。
   ハブ	[ハブの選択] を選択します。 [ハブの選択] ページで、ハブ仮想ネットワークを選択し、[選択] を選択します。
   スポーク ネットワーク グループ	[+ 追加]>[ネットワーク グループの追加] の順に選択します。 [ネットワーク グループの追加] ペインで、お使いのネットワーク グループを選択し、[選択] を選択します。

4. [スポーク ネットワーク グループ] の一覧で、[直接接続] または [グローバル メッシュ] の有効化を選択できます。 直接接続を有効にすると、スポーク仮想ネットワークは相互に直接通信できます。 グローバル メッシュを有効にすると、すべての仮想ネットワークが相互に通信できます。 これらをオフのままにすると、すべてのスポーク仮想ネットワークは、ハブ仮想ネットワークと Azure Firewall を経由して通信することになります。

   重要

   直接接続を有効にする場合は、仮想ネットワーク内で直接ルーティングを使用するルーティング構成が必要です。 グローバル メッシュを有効にする場合は、グローバル メッシュを有効にしたルーティング構成が必要です。

   

5. [次へ: 視覚化 >] を選択して接続構成を確認し、[確認と作成]>[作成] の順に選択します。

接続構成をデプロイする

このタスクでは、接続構成をデプロイしてハブおよびスポーク トポロジを作成します。

1. ネットワーク マネージャー インスタンスで、[設定] の下にある [構成] を選択し、作成した接続構成を選択します。

2. タスク バーから [デプロイ] を選択します。

3. [構成のデプロイ] ウィンドウで、作成した接続構成を選択し、構成のデプロイ先となる [ターゲット リージョン] を選択します。

   重要

   ハブおよびスポーク トポロジは、選択したリージョンに作成されます。 必ず、ハブおよびスポーク仮想ネットワークをデプロイするリージョンを選択してください。

4. [次へ] または [確認とデプロイ] タブを選択し、[デプロイ] を選択します。

5. [設定] の下にある [デプロイ] を選択し、デプロイが成功したことを確認します。

ルーティング構成と規則コレクションを作成する

このタスクでは、スポーク ネットワーク グループを含むルーティング構成とルール コレクションを作成します。 ルーティング構成では、仮想ネットワーク間のトラフィックに関するルーティング規則を定義します。

1. ネットワーク マネージャー インスタンスで、[設定] の下にある [構成] を選択します。

2. [ルーティング構成の作成] ページで、[基本] タブでルーティング構成の名前と説明を入力し、[次へ: ルール コレクション >] を選択します。

3. [ルール コレクション] タブで [追加] を選択します。

4. [ルール コレクションの追加] ウィンドウで、ルール コレクションに関する次の設定を入力するか、選択します。

   設定	価値
   名前	ルール コレクションの名前を入力します。
   説明	(省略可能) ルール コレクションの説明を入力します。
   ローカル ルート設定	[仮想ネットワーク内ダイレクト ルーティング] を選びます。
   BGP ルート伝達を有効にする	(省略可能)Border Gateway Protocol ( BGP) ルート伝達を有効 にする場合は、[BGP ルート伝達を有効にする] を選択します。
   ターゲット ネットワーク グループ	スポーク ネットワーク グループを選択します。

5. [ルーティング規則] で、[追加] を選択して新しいルーティング規則を作成します。

6. [ルーティング規則の追加] ウィンドウで、ルーティング規則に関する次の設定を入力するか、選択します。

   設定	価値
   名前	ルーティング規則の名前を入力します。
   宛先
   送信先の種類	[IP アドレス] を選択します。
   宛先 IP アドレス/CIDR 範囲	「0.0.0.0/0」と入力します。
   次ホップ
   次ホップの種類	[仮想アプライアンス] を選択します。 [Azure Firewall のプライベート IP アドレスをインポートする] を選択します
   Azure ファイアウォール	お使いの Azure ファイアウォールを選択し、[選択] を選択します。

7. [追加] を選択して、ルーティング規則をルール コレクションに追加します。

8. [追加] を選択して、ルール コレクションをルーティング構成に追加します。

9. [確認および作成] を選択し、[作成] を選択します。

ルーティング構成をデプロイする

このタスクでは、ルーティング構成をデプロイして、ハブアンドスポーク トポロジのルーティング規則を作成します。

1. ネットワーク マネージャー インスタンスで、[設定] の下にある [デプロイ] を選択します。
2. [構成のデプロイ] を選択し、[ルーティング構成 - プレビュー] を選択します。
3. [ 構成のデプロイ ] ウィンドウで、作成したルーティング構成を選択し、構成をデプロイする ターゲット リージョン を選択します。
4. [次へ] または [確認とデプロイ] を選択してデプロイを確認し、[デプロイ] を選択します。

すべてのリソースの削除

この記事で作成したリソースが不要になった場合は、削除して料金の発生を避けることができます。

1. Azure portal で、「リソース グループ」を検索して選択します。
2. 削除するリソースが含まれているリソース グループを選択します。

次のステップ