このガイドでは、Azure Operator Nexus で ExpressRoute 回線の認可キーを更新する手順について説明します。 このプロセスにより、オンプレミス ネットワークと Azure リソースの間で継続的なセキュリティで保護された接続が保証されます。
前提条件
キーの更新を続行する前に、確実に次の前提条件が満たされているようにしてください。
ネットワーク ファブリック コントローラー (NFC) を特定する: ExpressRoute 認可キーを更新するネットワーク ファブリック コントローラー (NFC) を見つけます。
ExpressRoute 接続を確認する: 4 つの ExpressRoute 回線に運用可能な ExpressRoute 接続が 4 つ (インフラストラクチャ ER GW の場合は 2、テナント ER GW の場合は 2) があることを確認します。
新しい認可キーを生成する: 更新するすべての回線で新しい認可キーを取得します。
手順
手順 1: Azure にログインする
ターミナルまたはコマンド ウィンドウを開きます。
次のコマンドを実行して、Azure アカウントにログインします。
az loginAzure CLI セッションにアクティブなサブスクリプションを設定します。
az account set -s <Subscription ID>
<Subscription ID> は、Azure サブスクリプション ID に置き換えてください。
手順 2: 既存の認可キーを取得する
次のコマンドを使用して、最新の認可キーを取得します。
az network express-route auth list \ --resource-group <resource-group> \ --circuit-name <circuit-name>
<resource-group> と <circuit-name> を、特定のリソース グループと回路名に置き換えます。
既存の認可キー
| 接続の種類 | ExpressRoute の回線名 | 認証キー |
|---|---|---|
| インフラストラクチャ | er-circuit-A | er-authz-key-a1 |
| インフラストラクチャ | er-circuit-B | er-authz-key-b1 |
| ワークロード | er-circuit-C | er-authz-key-c1 |
| ワークロード | er-circuit-D | er-authz-key-d1 |
Note
ExpressRoute 回線は 4 つあり、それぞれに既存の接続があります。
回線ごとに新しい認可キーを生成するには、回線ごとにこの手順を繰り返す必要があります。
ここで提供される認可キーはサンプル値であるため、実際のキーとして使用しないでください。
手順 3: 新しい認可キーを生成する
- 次のコマンドを使用して、ExpressRoute 回線の新しい認可キーを生成します。
az network express-route auth create \
--resource-group <resource-group> \
--circuit-name <circuit-name> \
--name <authorization-name>
<resource-group> と <circuit-name> を、特定のリソース グループと回路名に置き換えます。
新しい認可キー
| 接続の種類 | ExpressRoute の回線名 | 認証キー |
|---|---|---|
| インフラストラクチャ | er-circuit-A | er-authz-key-a20 |
| インフラストラクチャ | er-circuit-B | er-authz-key-b20 |
| ワークロード | er-circuit-C | er-authz-key-c20 |
| ワークロード | er-circuit-D | er-authz-key-d20 |
Note
ExpressRoute 回線は 4 つあり、それぞれに既存の接続があります。
回線ごとに新しい認可キーを生成するには、回線ごとにこの手順を繰り返す必要があります。
ここで提供される認可キーはサンプル値であるため、実際のキーとして使用しないでください。
手順 4: 認可キーを更新する
ExpressRoute 回線は 4 つあり、それぞれに既存の接続があります。 インフラストラクチャとワークロードの接続のキーを一度に 1 つずつ更新するには、次の手順に従います。
Note
認可キーのローテーションにより、一時的にネットワーク接続が失われます。 中断を最小限に抑えるために、更新は慎重に計画してください。
手順 4.1: 最初のインフラストラクチャ認可キーを更新する
以下のコマンドを実行して、最初のインフラストラクチャ認可キーを更新します。
az networkfabric controller update \ --resource-group 'nfc resource group' \ --resource-name 'nfc_name' \ --infra-er-connections '[{expressRouteCircuitId:"er-circuit-A",expressRouteAuthorizationKey:"er-authz-key-a20"},{expressRouteCircuitId:"er-circuit-B",expressRouteAuthorizationKey:"er-authz-key-b1"}]' \ --debug
事後チェック: er-circuit-A の新しい接続が動作していることを確認します。
手順 4.2: 2 番目のインフラストラクチャ認可キーを更新する
以下のコマンドを実行して、2 番目のインフラストラクチャ認可キーを更新します。
az networkfabric controller update \ --resource-group 'nfc resource group' \ --resource-name 'nfc_name' \ --infra-er-connections '[{expressRouteCircuitId:"er-circuit-A,expressRouteAuthorizationKey:"er-authz-key-a20"},{expressRouteCircuitId:"er-circuit-B",expressRouteAuthorizationKey:"er-authz-key-b20"}]' \ --debug
事後チェック: er-circuit-B の新しい接続が動作していることを確認します。
手順 4.3: 最初のワークロード認可キーを更新する
以下のコマンドを実行して、最初のワークロード認可キーを更新します。
az networkfabric controller update \ --resource-group 'nfc resource group' \ --resource-name 'nfc_name' \ --workload-er-connections '[{expressRouteCircuitId:"er-circuit-C",expressRouteAuthorizationKey:"er-authz-key-c20"},{expressRouteCircuitId:"er-circuit-D",expressRouteAuthorizationKey:"er-authz-key-d1"}]' \ --debug
事後チェック: er-circuit-C の新しい接続が動作していることを確認します。
手順 4.4: 2 番目のワークロード認可キーを更新する
以下のコマンドを実行して、2 番目のワークロード認可キーを更新します。
az networkfabric controller update \ --resource-group 'nfc resource group' \ --resource-name 'nfc_name' \ --workload-er-connections '[{expressRouteCircuitId:"er-circuit-C",expressRouteAuthorizationKey:"er-authz-key-c20"},{expressRouteCircuitId:"er-circuit-D",expressRouteAuthorizationKey:"er-authz-key-d20"}]' \ --debug
事後チェック: er-circuit-D の新しい接続が動作していることを確認します。
ExpressRoute ゲートウェイのメトリックの監視
ExpressRoute ゲートウェイのメトリックを使用して、更新プロセス中の接続の正常性を監視します。
キー メトリック: ピアから学習したルートの数
更新中に、学習したルートの数が一時的に減少する場合があります。 学習したルートの数は、更新が完了すると元に戻るはずです。
各接続には 2 つのピアがあります。 BGP (Border Gateway Protocol) ピアのメトリックをフィルター処理することで、更新中に影響を受けた接続を具体的に確認できます。 監視についての詳細情報。
