ハブ アンド スポーク トポロジは、Azure の一般的なネットワーク アーキテクチャ パターンです。 このセットアップでは、ハブは、オンプレミス ネットワークへの主要な接続ポイントとして機能する仮想ネットワーク (VNet) です。 スポークはハブとピアリングする VNet であり、ワークロードの分離に利用できます。 ハブは、さまざまな方法を使用してスポーク間でトラフィックをセキュリティで保護してルーティングすることができます。
たとえば、動的ルーティングとネットワーク仮想アプライアンス (NVA) と共に Azure Route Server を使用して、スポーク間でトラフィックをルーティングできます。ただし、これは複雑になる場合があります。 より簡単な方法には、Azure Firewall と静的ルートの使用が含まれます。
この記事では、静的ユーザー定義ルート (UDR) と共に Azure Firewall を使用して、マルチ ハブ アンド スポーク トポロジでトラフィックをルーティングする方法について説明します。 次の図は、このトポロジを示しています。
ベースライン アーキテクチャ
Azure Firewall ではネットワーク トラフィックをセキュリティで保護して検査するだけでなく、VNet 間のトラフィックのルーティングも行います。 ローカル仮想ネットワーク ゲートウェイによって学習されたローカル スポーク、ハブ、オンプレミス プレフィックスへのシステム ルートを自動的に作成します。 ハブに NVA を配置し、有効なルートのクエリを実行すると、Azure Firewall 内にあるものに似たルート テーブルが表示されます。
この静的ルーティング アーキテクチャでは、ハブ間のグローバル VNet ピアリングを使用して、別のハブへの最短パスが実現されます。 各ハブは他のハブを認識し、各ローカル ファイアウォールには直接接続された各ハブのルート テーブルが含まれています。 ただし、ローカル ハブはローカル スポークについてのみ認識しています。 これらのハブは、同じリージョンにも、異なるリージョンにも存在できます。
ファイアウォール サブネットでのルーティング
各ローカル ファイアウォールは、リモート スポークに到達する方法を認識している必要があるため、ファイアウォール サブネットに UDR を作成する必要があります。 まず、既定のルートを作成してから、他のスポークに特定のルートを追加します。 次のスクリーンショットでは、2 つのハブ VNet のルート テーブルを示しています。
注
ハブ仮想ルート テーブルのアドレス プレフィックスには、2 つのスポーク仮想ネットワークのアドレス空間が含まれている必要があります。
Hub-01 ルート テーブル
Hub-02 ルート テーブル
スポーク サブネットでのルーティング
このトポロジでは、トラフィックをハブ間で移動でき、グローバル ピアリング経由で直接接続されているネクスト ホップに到達できます。
図に示すように、ローカル ファイアウォールをネクスト ホップとして指定する 0/0 ルート (既定のゲートウェイ) を持つスポーク サブネットに UDR を配置することをお勧めします。 これにより、ローカル ファイアウォールからの単一の出口ポイントが確保されます。また、オンプレミス環境からのより具体的なプレフィックスが、トラフィックがファイアウォールをバイパスする原因となる場合は、非対称ルーティングのリスクが軽減されます。 詳細については、「Azure ルートに噛み付かれないようにする」を参照してください。
Hub-01 に接続されているスポーク サブネットのルート テーブルの例を次に示します。
次の手順
- Azure Firewall のデプロイおよび構成方法について説明します。