Azure Route Server は、スポーク仮想ネットワークにルートを自動的に挿入することで、ハブ アンド スポーク アーキテクチャのネットワーク管理を簡素化します。 この機能により、複数のスポーク ネットワーク間でユーザー定義ルートを手動で作成および維持する必要がなくなり、ネットワーク仮想アプライアンスを介した動的ルーティングが可能になります。
従来のハブ アンド スポーク設計では、管理者は各スポーク仮想ネットワークでユーザー定義ルート (UDR) を構成して、ハブ内の共有ネットワーク デバイスを介してトラフィックを転送する必要があります。 この手動アプローチは、スポークの数が増えるにつれて維持するのが困難になります。 Azure Route Server は、ネットワーク仮想アプライアンスから学習したルートをすべての接続されたスポーク ネットワークに自動的に分散する一元的なルーティング ソリューションを提供することで、この複雑さに対処します。
ルート サーバー ルート挿入の主な利点は次のとおりです。
- 管理の簡素化: スポーク ネットワークでの手動 UDR 構成を排除
- 動的ルーティング: ネットワーク トポロジの変更に自動的に適応
- 一元的な制御: ハブからのルート配布のための単一ポイントを提供します
- スケーラブルなアーキテクチャ: スポーク仮想ネットワークでの複雑さの挿入を伴わないスポーク ネットワーク数の増加をサポート
基本的なハブアンドスポーク トポロジ
次の図は、Azure Route Server を使用した一般的なハブアンドスポーク設計を示しています。 ハブ仮想ネットワークにはネットワーク仮想アプライアンスとルート サーバーの両方が含まれますが、2 つのスポーク仮想ネットワークはアプリケーション ワークロードをホストします。
ルートインジェクションの仕組み
この構成では、ネットワーク仮想アプライアンスは BGP ピアリングを介してネットワーク プレフィックスをルート サーバーにアドバタイズします。 ルート サーバーは、ハブとスポークの両方の仮想ネットワーク内の仮想マシンの有効なルートにこれらのルートを自動的に挿入します。
ルート挿入の主な要件:
- スポーク仮想ネットワークはハブ仮想ネットワークとピアリングする必要があります
- 仮想ネットワーク ピアリングには、リモート仮想ネットワークのゲートウェイまたはルート サーバーを使用する設定を含める必要があります
- ネットワーク仮想アプライアンスは、ルート サーバーとの BGP ピアリングを確立する必要があります
この方法では、ルート サーバーがルート配布を自動的に処理するため、スポーク ネットワークで手動でユーザー定義ルートを使用する必要がなくなります。 たとえば、NVA によってアドバタイズされた既定のルート (0.0.0.0/0) は、スポーク ネットワークからのすべてのトラフィックをセキュリティ アプライアンスを介して検査を行います。
ネットワーク仮想アプライアンスを介したオンプレミス接続
ネットワーク仮想アプライアンスは、IPsec VPN や SD-WAN ソリューションなどのさまざまなテクノロジを通じて、オンプレミス ネットワークへの接続を提供できます。 Route Server の動的ルーティング機能は、Azure とオンプレミス ネットワーク間の自動ルート交換を有効にすることで、これらのシナリオを強化します。
双方向ルート学習
この構成では、Route Server は双方向のルート学習を容易にします。
Azure からオンプレミス: NVA は、ルート サーバーから Azure ネットワーク プレフィックスを学習し、動的ルーティング プロトコルを使用してオンプレミス ネットワークにアドバタイズします。
オンプレミスから Azure: NVA はオンプレミスのルートを受信し、それらをルート サーバーにアドバタイズし、スポーク仮想ネットワークに挿入します。
この動的アプローチにより、静的ルート構成が不要になり、接続の両側でのネットワーク トポロジの変更に自動的に適応します。
内部トラフィック検査戦略
スポーク間通信とスポーク対オンプレミス通信のトラフィック検査を実装する場合、適切な構成を行うには、ルート サーバーのルート アドバタイズ動作を理解することが不可欠です。
ルート広告の制限事項
Azure Route Server には、ルート アドバタイズメントを処理するときの特定の動作があります。
- プレフィックスが等しいかそれより長い: ルート サーバーは、仮想ネットワークアドレス空間以上のプレフィックスを持つルートをアドバタイズしません
- 短いプレフィックス: ルート サーバーは、仮想ネットワークアドレス空間よりも短いプレフィックス (スーパーネット) を持つルートをアドバタイズします
プライベート トラフィック検査のためのスーパーネット アプローチ
スポーク間のプライベート トラフィックを検査するには、仮想ネットワーク アドレス空間を含むスーパーネットをアドバタイズするように NVA を構成します。
構成例:
- 仮想ネットワークのアドレス空間:
10.0.0.0/16 - NVA アドバタイズ ルート:
10.0.0.0/8(スーパーネット) - 結果: ルート サーバーがスーパーネット ルートを挿入し、NVA 経由でトラフィックを転送する
この動作は、 VPN Gateway を使用した BGP ルート アドバタイズの原則と一致します。
重要
プレフィックスの長さが同じルートが ExpressRoute と NVA の両方からアドバタイズされる場合、Azure は ExpressRoute ルートに優先順位を付けます。 ルート選択の詳細については、 ルーティング設定を参照してください。
重要
同じ長さのプレフィックスが ExpressRoute と NVA からアドバタイズされるシナリオがある場合、Azure は ExpressRoute から学習したルートを優先してプログラムします。 詳細については、「ルーティングの優先順位」を参照してください。
仮想ネットワーク ゲートウェイとのハイブリッド接続
同じ仮想ネットワーク内の VPN または ExpressRoute ゲートウェイとルート サーバーを組み合わせると、トラフィック フロー管理でルートの優先順位が重要になります。
ルート優先順位の動作
仮想ネットワーク ゲートウェイ ルートは、その特定性により、ルート サーバーによって挿入されたルートよりも優先されます。
- ゲートウェイ ルート: VPN または ExpressRoute ゲートウェイから学習されるより具体的なプレフィックス
- ルート サーバーのルート: NVA からのより具体的ではないルート(デフォルトルートなど)
この優先順位は、ゲートウェイによって学習されたオンプレミスのプレフィックスが、ルート サーバーによって挿入された既定のルートをオーバーライドし、既知の宛先に最適なルーティングを保証することを意味します。
ルート伝達の制御
スポーク仮想ネットワークに到達するルートを管理するには:
ゲートウェイ ルート伝達を無効にする: スポーク ルート テーブルで "ゲートウェイ ルートの伝達" を無効にすることで、スポーク サブネットがオンプレミス ルートを学習できないようにします。
既定のルート UDR を使用する: NVA を指す 0.0.0.0/0 でユーザー定義ルートを構成し、トラフィック検査を確実にします。
BGP コミュニティ制御: ルート サーバーが他の BGP ピアへのルートをアドバタイズできないように、 no-advertise BGP コミュニティ (65535:65282) でルートをアドバタイズするように NVA を構成します。
注
また、"ゲートウェイ ルートの伝達" を無効にすると、スポーク サブネットがルート サーバーからのルートを動的に学習できなくなります。 それに応じてルーティング構成を計画します。
ExpressRoute と Azure Firewall との SD-WAN 共存
エンタープライズ環境では、多くの場合、SD-WAN、ExpressRoute、Azure Firewall を組み合わせて、包括的な接続とセキュリティを提供します。 Route Server を使用すると、一元的なトラフィック検査を維持しながら、これらのテクノロジをシームレスに統合できます。
アーキテクチャ コンポーネント
スポーク ネットワーク: Azure Firewall を指す既定のルート (0.0.0.0/0) を使用して、ExpressRoute または Route Server からのルートの学習を禁止するルート テーブルを使用して構成します。
Azure Firewall: ExpressRoute と SD-WAN NVA の両方からルート サーバー経由でルートを学習し、オンプレミス トラフィックに対してインテリジェントなルーティング決定を行います。
ルート アドバタイズ制御: SD-WAN NVA は、ExpressRoute 経由でオンプレミスへのルートインジェクションを防ぐために、 no-advertise BGP コミュニティでルートをアドバタイズする必要があります。
プライベート エンドポイントに関する考慮事項
プライベート エンドポイントを使用してこのアーキテクチャを実装する場合は、ルーティング対称要件を検討してください。
- 非対称ルーティング リスク: オンプレミスからプライベート エンドポイントへのトラフィックがファイアウォール検査をバイパスする
- 解決策: プライベート エンドポイントをホストするサブネット上のプライベート エンドポイントのルート テーブル ネットワーク ポリシー を有効にする
この構成により、ルーティングの対称性が確保され、プライベート エンドポイント トラフィックのセキュリティ ポリシーが維持されます。
トラフィックの対称性に関する考慮事項
高可用性またはスケーラビリティのために複数の NVA インスタンスをデプロイする場合、次世代ファイアウォールなどのステートフル ネットワーク アプライアンスでは、トラフィックの対称性を維持することが重要です。
トラフィック フローのシナリオ
インターネットにバインドされたトラフィック: NVA は送信元ネットワーク アドレス変換 (SNAT) を使用して、リターン トラフィックが送信フローを処理したのと同じアプライアンスに到達するようにします。
受信インターネット トラフィック: NVA では、双方向トラフィックの対称性を確保するために、宛先 NAT (DNAT) と送信元 NAT (SNAT) の両方が必要です。
Azure 間トラフィック: ソース仮想マシンは独立したルーティングの決定を行うので、複数の NVA インスタンス間でトラフィックの対称性を実現するには SNAT が必要です。
高可用性のデプロイ オプション
アクティブ/アクティブ構成: 同一のルート アドバタイズを使用して複数の NVA インスタンスをデプロイし、トラフィックの対称性に SNAT を使用します。
アクティブ/パッシブ構成: セカンダリが長い AS パスを使用してルートをアドバタイズする複数の NVA インスタンスをデプロイし、フェールオーバーまでプライマリ パスの優先設定を確保します。
ルート サーバーの制限事項
Route Server はコントロール プレーンでのみ動作し、データ プレーントラフィック転送には関与しません。 ルート サーバーへのルートをアドバタイズする場合、NVA は次のホップの宛先を次のように指定する必要があります。
- NVA 自体
- NVA の前に配置されるロードバランサー
- 同じ仮想ネットワーク内の別の NVA またはファイアウォール
この設計により、ルーティング制御ポイントとしてのルート サーバーの役割を維持しながら、適切なトラフィック転送が保証されます。
関連コンテンツ
- ExpressRoute と Azure VPN に対する Azure Route Server のサポートについて詳しく説明します。
- Azure Route Server とネットワーク仮想アプライアンスの間のピアリングを構成する方法について説明します。