次の方法で共有

ハブアンドスポーク ネットワーク内の Azure Private Link

この記事では、ハブ アンド スポーク ネットワーク トポロジで Azure Private Link を使用する方法について説明します。 対象ユーザーには、ネットワーク設計者とクラウド ソリューション設計者が含まれます。 このガイドでは、Azure プライベート エンドポイントを使用して、サービスとしてのプラットフォーム (PaaS) リソースにプライベートアクセスする方法について説明します。

このガイドでは、サービスとしてのインフラストラクチャ (IaaS) コンポーネントを Azure PaaS リソースに接続するための仮想ネットワーク統合、サービス エンドポイント、およびその他のソリューションについては扱いません。 これらのソリューションの詳細については、 ネットワーク分離のための Azure サービスと仮想ネットワークの統合に関するページを参照してください。

Azure ハブアンドスポーク トポロジ

Azure のハブ アンド スポーク ネットワーク トポロジを使用すると、通信サービスを効率的に管理し、大規模なセキュリティ要件を満たすことができます。 詳細については、「ハブ アンド スポーク ネットワーク トポロジ」を参照してください。

ハブアンドスポーク アーキテクチャには、次の利点があります。

  • 中央 IT チームとワークロード チームの間で個々のワークロードをデプロイする
  • 冗長リソースを最小限に抑えることでコストを削減
  • 複数のワークロードが共有するサービスを一元化することで、ネットワークを効率的に管理する
  • 1 つの Azure サブスクリプションに関連付けられている制限を克服する

次の図は、Azure にデプロイできる一般的なハブ アンド スポーク トポロジを示しています。

ハブ仮想ネットワークと 2 つのスポークを示すアーキテクチャ図。1 つのスポークはオンプレミス ネットワークです。もう 1 つはランディング ゾーンの仮想ネットワークです。

このアーキテクチャの Visio ファイルをダウンロードします。

このアーキテクチャは、Azure がサポートする 2 つのネットワーク トポロジ オプションの 1 つです。 この従来の参照設計では、Azure Virtual Network、仮想ネットワーク ピアリング、ユーザー定義ルート (UDR) などの基本的なネットワーク コンポーネントが使用されています。 ハブアンドスポーク トポロジを使用する場合は、サービスを構成し、ネットワークがセキュリティとルーティングの要件を満たしていることを確認する必要があります。

Azure Virtual WAN は、大規模なデプロイの代替手段を提供します。 このサービスでは、簡略化されたネットワーク設計が使用されます。 Virtual WAN を使用すると、ルーティングとセキュリティに関連する構成オーバーヘッドが軽減されます。

Private Link では、従来のハブ アンド スポーク ネットワークと、Virtual WAN ネットワーク用にさまざまなオプションがサポートされています。

Private Link を使用すると、プライベート エンドポイント ネットワーク インターフェイス経由でサービスにアクセスできます。 プライベート エンドポイントは、仮想ネットワークのプライベート IP アドレスを使用します。 そのプライベート IP アドレス経由で、さまざまなサービスにアクセスできます。

  • Azure PaaS サービス
  • Azure でホストされる顧客所有のサービス
  • Azure でホストされるパートナー サービス

仮想ネットワークとアクセスするサービスの間のトラフィックは、Azure ネットワーク バックボーンを経由します。 その結果、パブリック エンドポイント経由でサービスにアクセスすることはなくなりました。 詳細については、「 Private Link」を参照してください。

次の図は、オンプレミスのユーザーが仮想ネットワークに接続し、Private Link を使用して PaaS リソースにアクセスする方法を示しています。

Azure Private Link が仮想ネットワークを PaaS リソースに接続する方法を示すアーキテクチャ図。

このアーキテクチャの Visio ファイルをダウンロードします。

プライベート エンドポイントは、ハブまたはスポークにデプロイできます。 いくつかの要因によって、各状況で最もうまく機能する場所が決まります。 Azure PaaS サービス、および Azure がホストする顧客所有およびパートナー サービスに最適な構成を決定するには、次の要因を考慮してください。

ネットワーク接続ソリューションとして Virtual WAN を使用するかどうかを判断する

Virtual WAN を使用している場合、仮想ハブに接続するスポーク仮想ネットワークにのみプライベート エンドポイントをデプロイできます。 仮想ハブまたはセキュリティで保護されたハブにリソースをデプロイすることはできません。

プライベート エンドポイントをネットワークに統合する方法の詳細については、次の記事を参照してください。

Azure Firewall などのネットワーク仮想アプライアンスを使用するかどうかを判断する

プライベート エンドポイントへのトラフィックは、Azure ネットワーク バックボーンを使用し、暗号化されます。 そのトラフィックをログに記録またはフィルター処理する必要がある場合があります。 次の領域でファイアウォールを使用する場合は、プライベート エンドポイントに流れるトラフィックを分析することもできます。

  • スポーク間
  • ハブとスポークの間
  • オンプレミス コンポーネントと Azure ネットワークの間

この場合は、専用サブネット内のハブにプライベート エンドポイントをデプロイします。 このセットアップには、次の利点があります。

  • セキュリティで保護されたネットワーク アドレス変換 (SNAT) 規則の構成が簡単になります。 プライベート エンドポイントを含む専用サブネットへのトラフィック用の単一の SNAT ルールをネットワーク仮想アプライアンス (NVA) に作成できます。 SNAT を適用せずに他のアプリケーションにトラフィックをルーティングできます。

  • ルート テーブルの構成が簡単になります。 プライベート エンドポイントに流れるトラフィックの場合は、NVA 経由でそのトラフィックをルーティングするルールを追加できます。 この規則は、すべてのスポーク、仮想プライベート ネットワーク (VPN) ゲートウェイ、および Azure ExpressRoute ゲートウェイで再利用できます。

  • プライベート エンドポイント専用のサブネット内の受信トラフィックにネットワーク セキュリティ グループ規則を適用できます。 これらの規則によって、リソースへのトラフィックをフィルター処理します。 リソースへのアクセスを制御するための 1 つの場所が用意されています。

  • プライベート エンドポイントの管理を一元化します。 すべてのプライベート エンドポイントを 1 か所にデプロイすると、すべての仮想ネットワークとサブスクリプションでより効率的に管理できます。

すべてのワークロードが Private Link によって保護される各 PaaS リソースにアクセスする必要がある場合は、この構成を使用します。 ワークロードが異なる PaaS リソースにアクセスする場合は、専用サブネットにプライベート エンドポイントをデプロイしないでください。 代わりに、最小限の特権の原則に従ってセキュリティを強化します。

  • 各プライベート エンドポイントを個別のサブネットに配置します。
  • 保護されたリソースを使用するワークロードにのみ、そのリソースへのアクセス権を与えます。

オンプレミス システムのプライベート エンドポイントを使用するかどうかを判断する

プライベート エンドポイントを使用して、オンプレミス システムからリソースにアクセスすることを計画している場合は、ハブにエンドポイントをデプロイします。 このセットアップには、次の利点があります。

  • ネットワーク セキュリティ グループを使用して、リソースへのアクセスを制御できます。
  • プライベート エンドポイントは、一元化された場所で管理できます。

Azure にデプロイするアプリケーションからリソースにアクセスすることを計画している場合は、次の要因が適用されます。

  • リソースへのアクセスが必要なアプリケーションが 1 つだけの場合は、そのアプリケーションのスポークにプライベート エンドポイントをデプロイします。
  • 複数のアプリケーションがリソースにアクセスする必要がある場合は、ハブにプライベート エンドポイントをデプロイします。

Flowchart

次のフローチャートは、オプションと推奨事項をまとめたものです。 すべての顧客に固有の環境があるため、プライベート エンドポイントを配置する場所を決定するときは、システムの要件を考慮してください。

Private Link をスポークに配置するか、ハブ アンド スポーク ネットワークのハブに配置するかを決定するプロセスを示すフローチャート。

このアーキテクチャの Visio ファイルをダウンロードします。

Considerations

次の要因は、プライベート エンドポイントの実装に影響する可能性があります。 これらは、Azure PaaS サービスと、Azure でホストされる顧客所有およびパートナー サービスに適用されます。

ネットワーク

スポーク仮想ネットワークでプライベート エンドポイントを使用する場合、サブネットの既定のルート テーブルには、次ホップの種類が/32InterfaceEndpoint ルートが含まれます。

  • 従来のハブ アンド スポーク トポロジを使用する場合は、仮想マシン (VM) のネットワーク インターフェイス レベルでこの有効なルートを表示できます。 詳細については、「 VM ルーティングの問題を診断する」を参照してください。

  • Virtual WAN を使用する場合は、仮想ハブの有効なルートでこのルートを表示できます。 詳細については、「仮想ハブの有効なルートを表示する」を参照してください。

/32 ルートは、次の領域に伝達されます。

  • 構成するすべての仮想ネットワーク ピアリング
  • オンプレミス システムへの VPN または ExpressRoute 接続

ハブまたはオンプレミス システムからプライベート エンドポイントへのアクセスを制限するには、プライベート エンドポイントをデプロイするサブネット内のネットワーク セキュリティ グループを使用します。 適切な受信規則を構成します。

名前解決

仮想ネットワーク内のコンポーネントによって、プライベート IP アドレスが各プライベート エンドポイントに関連付けられます。 これらのコンポーネントでは、特定のドメイン ネーム システム (DNS) セットアップを使用する場合にのみ、そのプライベート IP アドレスを解決できます。 カスタム DNS ソリューションを使用する場合は、DNS ゾーン グループを使用します。 ハブまたはスポークにリソースをデプロイするかどうかに関係なく、プライベート エンドポイントを一元化された Azure プライベート DNS ゾーンと統合します。 プライベート DNS ゾーンを、プライベート エンドポイントの DNS 名を解決する必要があるすべての仮想ネットワークとリンクします。

この方法では、オンプレミスと Azure の DNS クライアントが名前を解決し、プライベート IP アドレスにアクセスできます。 参照実装については、「Private Link と DNS の大規模な統合」を参照してください。

Costs

  • リージョンの仮想ネットワーク ピアリング全体でプライベート エンドポイントを使用する場合、プライベート エンドポイントとの間のトラフィックにはピアリング料金は適用されません。

  • ピアリング コストは、仮想ネットワーク ピアリングを経由する他のインフラストラクチャ リソース トラフィックに適用されます。

  • 異なるリージョンにプライベート エンドポイントをデプロイする場合、Private Link レートとグローバル ピアリングの受信と送信のレートが適用されます。

詳細については、「帯域幅の価格」をご覧ください。

Contributors

Microsoft では、この記事を保持しています。 次の共同作成者がこの記事を書きました。

主要著者:

  • Jose Angel Fernandez Rodrigues | シニア スペシャリスト GBB

その他の共同作成者:

公開されていない LinkedIn プロフィールを見るには、LinkedIn にサインインしてください。

次のステップ

  • Last updated on