Azureのハブスポーク ネットワーク トポロジ

この参照アーキテクチャでは、カスタマー マネージド ハブ インフラストラクチャ コンポーネントを使用してハブスポーク ネットワーク パターンを実装します。 ハブスポーク ネットワーク パターン (hub and spoke とも呼ばれます) は、Azureのクラウド導入フレームワークが推奨するネットワーク トポロジです。 Azure ネットワーク トポロジを定義するを参照して、このトポロジが多くの組織にとってベスト プラクティスと見なされる理由を理解してください。

Microsoftマネージド ハブ インフラストラクチャ ソリューションについては、hub-spoke ネットワーク トポロジと Azure Virtual WAN を参照してください。

Architecture

このアーキテクチャのVisio ファイルをダウンロードします。

ハブスポークの概念

ハブスポーク ネットワーク トポロジには、通常、次のアーキテクチャの概念の多くが含まれます。

• Hub 仮想ネットワーク: ハブ仮想ネットワークは、共有Azureネットワーク サービスをホストします。 スポーク仮想ネットワークでホストされているワークロードでは、これらのサービスを使用できます。 ハブ仮想ネットワークは、クロスプレミス ネットワークへの接続の中心となるポイントです。 ハブには主要なエグレス ポイントが含まれており、必要に応じ、仮想ネットワーク間トラフィック用に 1 つのスポークを別のスポークに接続する方法が提供されます。

  ハブはリージョン リソースです。 ワークロードが複数のリージョンに存在する場合は、各リージョンに 1 つのハブを配置します。 ハブには、次の機能とオプションが用意されています。

  • クロスプレミス ゲートウェイ: さまざまなネットワーク環境に接続して統合する機能。 このゲートウェイは、通常、VPN またはAzure ExpressRoute回線です。

  • エグレス制御: ピアリングされたスポーク仮想ネットワークから発信される送信トラフィックを管理・規制します。

  • イングレス コントロール: ピアリングされたスポーク仮想ネットワークに存在するエンドポイントへの受信トラフィックの管理と規制 (省略可能)。

  • リモート アクセス: スポーク ネットワーク内の個々のワークロードに、スポーク独自のネットワークの外部にあるネットワークの場所からアクセスする方法。 このアクセスは、ワークロードのデータまたはコントロール プレーンを対象とする場合があります。

  • 仮想マシン (VM) のスポークアクセス用リモートアクセス: スポークネットワーク全体に分散されたVMへのリモート デスクトップ プロトコル (RDP) およびセキュア シェル プロトコル (SSH) アクセスを可能にする組織横断的なリモート接続ソリューション。

  • ルーティング： ハブと接続されたスポーク間のトラフィックの管理。 ルーティングでは、セキュリティで保護された効率的な通信がサポートされます。

• スポーク仮想ネットワーク: スポーク仮想ネットワークは、各スポークでワークロードを個別に分離および管理します。 各ワークロードには複数の層を含めることができます。複数のサブネットはAzureロード バランサー経由で接続されます。 スポークは、異なるサブスクリプションに存在でき、運用環境や非運用環境など、さまざまな環境を表します。 1 つのワークロードが複数のスポークに分散できます。

  ほとんどのシナリオでは、各スポークを同じリージョン内の 1 つのハブ ネットワークにピアリングする必要があります。

  スポーク ネットワークは、既定の 送信アクセスの規則に従います。 ハブ スポーク ネットワーク トポロジの主な目的は、ハブ内の制御メカニズムを介して送信インターネット トラフィックを送信することです。

• 仮想ネットワークのクロス接続: 仮想ネットワーク接続により、分離された仮想ネットワーク間の通信が容易になります。 制御メカニズムは、アクセス許可を適用し、ネットワーク間の通信の許可された方向を決定します。 ハブには、一元化されたネットワークを流れるネットワーク間接続の選択をサポートするオプションが用意されています。

• Dns： ハブスポーク ソリューションは、多くの場合、すべてのピアリングされたスポークが使用するドメイン ネーム システム (DNS) ソリューションを提供します。特に、クロスプレミス ルーティングとプライベート エンドポイントの DNS レコードに使用されます。

Components

• Azure Virtual Network は、Azureのプライベート ネットワークの基本的な構成要素です。 Virtual Networkは、VM などのAzure リソースと、クロスプレミス ネットワーク、インターネット、および相互に安全な通信を提供します。

  このアーキテクチャでは、仮想ネットワークは Virtual Network peering 接続 を使用してハブに接続します。これは、仮想ネットワーク間の非推移的で待機時間の短い接続です。 ピアリングされた仮想ネットワークは、ルーターなしでAzureバックボーン経由でトラフィックを交換できます。 ハブスポーク アーキテクチャでは、特殊な状況でのみ仮想ネットワーク間の直接ピアリングを使用します。

• Azure Bastion は、パブリック IP アドレスを公開することなく、VM への RDP および SSH アクセスを提供するフル マネージド サービスです。 このアーキテクチャでは、Azure Bastionは、接続されたスポーク間での直接 VM アクセスをサポートするためのマネージド オファリングとして使用されます。

• Azure Firewall は、Virtual Network リソースを保護するマネージド クラウド ベースのネットワーク セキュリティ サービスです。 このステートフル ファイアウォール サービスには、高可用性と無制限のクラウド スケーラビリティが組み込まれており、サブスクリプションと仮想ネットワーク間でアプリケーションとネットワーク接続ポリシーを作成し、適用し、ログに記録するのに役立ちます。

  このアーキテクチャでは、Azure Firewallには複数の潜在的なロールがあります。 ファイアウォールは、ピアリングされたスポーク仮想ネットワークからインターネットへのトラフィックのプライマリ エグレス ポイントです。 ファイアウォールでは、ネットワーク侵入検出および防止システム (IDPS) ルールを使用して受信トラフィックを検査することもできます。 ファイアウォールは、完全修飾ドメイン名 (FQDN) トラフィック ルールをサポートする DNS プロキシ サーバーとして機能することもできます。

• Azure VPN Gateway は、Azure上の仮想ネットワークとパブリック インターネット経由で異なるネットワークの間で暗号化されたトラフィックを送信する仮想ネットワーク ゲートウェイです。 VPN Gatewayを使用して、Microsoft ネットワーク経由で他の仮想ネットワーク間で暗号化されたトラフィックを送信することもできます。

  このアーキテクチャでは、VPN Gatewayはスポークをリモート ネットワークに接続できます。 スポークは通常、独自の VPN ゲートウェイをデプロイしません。 ハブが提供する一元化されたソリューションを使用します。 この接続を管理するには、ルーティング構成を確立する必要があります。

• ExpressRoute ゲートウェイは、オンプレミス ネットワークとAzure仮想ネットワークの間で IP ルートを交換し、ネットワーク トラフィックをルーティングします。 このアーキテクチャでは、ExpressRoute は、スポークをリモート ネットワークに接続するVPN Gatewayの代替手段として機能できます。 スポークは、独自の ExpressRoute ゲートウェイをデプロイしません。 ハブが提供する一元化されたソリューションを使用します。 この接続を管理するには、ルーティング構成を確立する必要があります。

• Azure Monitor は、Azureやオンプレミスを含むクロスプレミス環境からテレメトリ データを収集、分析、および操作できます。 Azure Monitorは、アプリケーションのパフォーマンスと可用性を最大化し、問題をすばやく特定するのに役立ちます。 このアーキテクチャでは、Azure Monitorは、ハブ リソースとネットワーク メトリックのログとメトリック シンクです。 Azure Monitorは、スポーク ネットワーク内のリソースのログ シンクとしても機能します。 各スポーク ワークロードは独自のログ記録構成を決定します。このアーキテクチャでは、Azure Monitorにスポーク ログを必要としません。

Alternatives

このアーキテクチャには、 virtualNetworkPeerings、 routeTables、および subnetsの作成、構成、およびメンテナンスが含まれます。 Azure Virtual Network Manager は、Azureサブスクリプション、リージョン、およびMicrosoft Entra ディレクトリ間で仮想ネットワークを大規模にグループ化、構成、デプロイ、および管理するのに役立つ管理サービスです。

仮想ネットワーク マネージャーを使用すると、network グループを定義して、仮想ネットワークを識別して論理的にセグメント化できます。 また、接続されたグループを使用して、仮想ネットワークのグループ間の通信を、手動で接続されているかのように提供することもできます。 この方法では、実装を変更せずに目的のネットワーク トポロジを記述するための抽象化レイヤーが追加されます。

ネットワーク管理操作を最適化するために仮想ネットワーク マネージャーを使用する必要があるかどうかを評価することをお勧めします。 仮想ネットワーク マネージャーがネットワークのサイズと複雑さに対して正味の価値を提供するかどうかを判断するには、サービス コストを時間の節約と運用上の利点と比較します。

Azure Virtual WAN

このアーキテクチャでは、カスタマー マネージド ハブ インフラストラクチャ コンポーネントを含むネットワーク パターンについて説明します。 Microsoftマネージド ハブ インフラストラクチャ ソリューションについては、Azure Virtual WAN を使用する Hub-spoke ネットワーク トポロジに関する説明を参照してください。

カスタマー マネージド ハブスポーク構成を使用する利点は次のとおりです。

• コスト削減
• サブスクリプションの制限の克服
• ワークロードの分離
• Flexibility
  • NIC の数、インスタンスの数、コンピューティング サイズなど、ネットワーク仮想アプライアンス (NVA) のデプロイ方法をより詳細に制御する
  • Virtual WANでサポートされていない NVA の使用

シナリオの詳細

この参照アーキテクチャでは、ハブ仮想ネットワークが多くのスポーク仮想ネットワークへの接続の中心点として機能するハブスポーク ネットワーク パターンを実装します。 スポーク仮想ネットワークはハブに接続し、ワークロードを分離できます。 ハブを使用してオンプレミス ネットワークに接続することで、クロスプレミス シナリオをサポートすることもできます。

詳細については、「 ハブアンドスポーク ネットワーク トポロジ」を参照してください。

高度なシナリオ

アーキテクチャは、この記事で説明する単純なハブスポーク アーキテクチャとは異なる場合があります。 次の一覧では、高度なシナリオのガイダンスについて説明します。

• リージョンを追加するには、Azure Firewallを使用してマルチハブ スポーク トポロジをルーティングします。

• 高度なスポーク間パターンを使用するには、 スポーク間ネットワークを使用します。

• Azure Firewallをカスタム NVA に置き換えるには、高可用性 NVA をデプロイします。

• 仮想ネットワーク ゲートウェイをカスタムソフトウェア定義 WAN (SD-WAN) NVA に置き換えるには、SD-WAN Azure ハブスポーク ネットワーク トポロジとの統合を参照してください。

• ExpressRoute と VPN または SDWAN の間の推移性を提供する場合、またはAzure仮想ネットワーク ゲートウェイで Border Gateway Protocol (BGP) 経由でアドバタイズされるプレフィックスをカスタマイズするには、expressRoute と Azure VPN の Route Server のサポートを参照してください。

• プライベート リゾルバーまたは DNS サーバーを追加するには、 プライベート 競合回避モジュールのアーキテクチャに関する説明を参照してください。

考えられるユース ケース

ハブスポーク アーキテクチャの一般的な用途には、次のようなワークロードが含まれます。

• 共有サービスを必要とする複数の環境を持つ。 たとえば、1 つのワークロードに開発環境、テスト環境、運用環境がある場合があります。 共有サービスには、DNS ID、ネットワーク タイム プロトコル (NTP)、または Active Directory Domain Services (AD DS) が含まれる場合があります。 共有サービスはハブ仮想ネットワークに配置され、分離を維持するために各環境は別個のスポークにデプロイされます。

• 相互接続は必要ないが、共有サービスへのアクセスが必要。

• ハブ内の境界ネットワーク ( DMZ、 非武装地帯、 スクリーン サブネットとも呼ばれます) ファイアウォールや、各スポークの分離されたワークロード管理など、セキュリティを一元的に制御する必要があります。

• 特定の環境またはワークロードのスポーク間の選択的な接続や分離など、接続を一元的に制御する必要があります。

Recommendations

次の推奨事項は、ほとんどのシナリオに適用できます。 これらの推奨事項には、オーバーライドする特定の要件がない限り、従ってください。

リソース グループ、サブスクリプション、リージョン

このソリューション例では、1 つのAzure リソース グループを使用します。 ハブと各スポークは、異なるリソース グループとサブスクリプションに実装することもできます。

異なるサブスクリプションの仮想ネットワークをピアリングする場合は、サブスクリプションを同じテナントまたは異なるMicrosoft Entra テナントに関連付けることができます。 この柔軟性により、各ワークロードの分散管理が提供され、ハブ内の共有サービスが維持されます。 詳細については、「異なるサブスクリプションとMicrosoft Entraテナント間で仮想ネットワーク ピアリングを作成するを参照してください。

Azure ランディング ゾーン

Azure ランディング ゾーンアーキテクチャは、ハブスポーク トポロジに基づいています。 このアーキテクチャでは、一元化されたプラットフォーム チームがハブの共有リソースとネットワークを管理し、スポークは、スポーク ネットワークを使用するプラットフォーム チームとワークロード チームと共同所有権モデルを共有します。 すべてのハブは、集中管理のために接続サブスクリプションに存在します。 スポーク仮想ネットワークは、 アプリケーション ランディング ゾーン サブスクリプションと呼ばれる、多数の個々のワークロード サブスクリプションに存在します。

仮想ネットワーク サブネット

次の推奨事項では、仮想ネットワーク上でサブネットを構成する方法について説明します。

GatewaySubnet

仮想ネットワーク ゲートウェイには、このサブネットが必要です。 クロスプレミス ネットワーク接続が必要ない場合は、ゲートウェイを設定せずにハブスポーク トポロジを使用することもできます。

IP アドレス範囲が少なくとも /26 以上のゲートウェイ サブネットで、GatewaySubnet という名前を持つものを作成します。 /26 アドレス範囲は、ゲートウェイ サイズの制限を回避し、将来的に追加の ExpressRoute 回線に対応するための十分なスケーラビリティを提供します。 ゲートウェイのセットアップの詳細については、「 PowerShell を使用して ExpressRoute とサイト間の共存接続を構成する」を参照してください。

AzureFirewallSubnet

少なくとものアドレス範囲を持つ /26 という名前のサブネットを作成します。 今後のサイズ制限に対応するために、最小サイズとして /26 することをお勧めします。 このサブネットでは、ネットワーク セキュリティ グループ (NSG) がサポートされません。

Azure Firewallには、このサブネットが必要です。 パートナー NVA を使用する場合は、そのネットワーク要件に従います。

スポーク ネットワーク接続

仮想ネットワーク ピアリングまたは接続されたグループは、仮想ネットワーク間の非推移的な関係です。 スポーク仮想ネットワークが相互に接続する必要がある場合は、それらのスポーク間にピアリング接続を追加するか、同じネットワーク グループに配置します。

Azure Firewallまたは NVA を介したスポーク接続

仮想ネットワークあたりの仮想ネットワーク ピアリングの数は制限されています。 互いに接続する必要があるスポークが多数ある場合は、十分なピアリング接続がない可能性があります。 接続グループにも制限があります。 詳細については、「 ネットワークの制限 」と「 接続されているグループの制限」を参照してください。

このシナリオでは、ユーザー定義ルート (UDR) を使用して、スポーク トラフィックをハブのルーターとして機能する Azure Firewall または別の NVA に強制的に送信することを検討します。 この変更により、スポークを相互に接続できます。 この構成をサポートするには、強制トンネル構成が有効になっているAzure Firewallを実装します。 詳細については、「Azure Firewall強制トンネリングを参照してください。

このアーキテクチャ設計のトポロジにより、エグレス フローが円滑化されます。 Azure Firewallは主にエグレス セキュリティ用ですが、イングレス ポイントになる場合もあります。 ハブ NVA イングレス ルーティングの詳細については、「仮想ネットワークのAzure FirewallとAzure Application Gatewayを参照してください。

リモートネットワークへのスポークの接続は、ハブゲートウェイを通じて行われます。

ハブ ゲートウェイを介してリモート ネットワークと通信するようにスポークを構成するには、仮想ネットワーク ピアリングまたは接続ネットワーク グループを使用できます。 仮想ネットワーク ピアリングを使用するには、仮想ネットワーク ピアリングのセットアップ を 開き、次の操作を完了します。

• ゲートウェイ転送を 許可 するようにハブのピアリング接続を構成します。
• リモート仮想ネットワークのゲートウェイを使用するように、各スポークでピアリング接続を構成します。
• すべてのピアリング接続を [転送されたトラフィックを 許可する] に構成します。

詳細については、「 仮想ネットワーク ピアリングの作成」を参照してください。

接続ネットワーク グループを使用するには、次の手順を実行します。

1. 仮想ネットワーク マネージャーで、ネットワーク グループを作成し、メンバー仮想ネットワークを追加します。
2. ハブスポーク接続構成を作成します。
3. スポーク ネットワーク グループの場合は、ゲートウェイとして [ハブ] を選択します。

詳細については、「仮想ネットワーク マネージャーを参照してください。

スポーク型ネットワーク通信

スポーク仮想ネットワークは、主に次の 2 つの方法で相互に通信できます。

• ファイアウォールやルーターなどの NVA 経由の通信。 このメソッドは、2 つのスポーク間にホップを追加します。

• スポーク間の通信は、仮想ネットワーク ピアリングまたは仮想ネットワーク マネージャーを使用した直接接続によって行われます。 この方法では、2 つのスポーク間にホップは追加されないため、待機時間を最小限に抑えるために推奨されます。

Azure Private Linkは、個々のリソースを他の仮想ネットワークに選択的に公開できます。 たとえば、Private Linkを使用すると、ピアリングやルーティングの関係を形成したり維持したりする必要なく、内部ロード バランサーを別の仮想ネットワークに公開できます。

スポーク間ネットワーク パターンの詳細については、「 仮想ネットワーク接続オプションとスポーク間通信」を参照してください。

NVA を介した通信

スポーク間の接続が必要な場合は、ハブにAzure Firewallまたは別の NVA をデプロイすることを検討してください。 その後、スポークからファイアウォールまたは NVA にトラフィックを転送するルートを作成します。その後、そこから 2 番目のスポークにルーティングできます。 このシナリオでは、転送されたトラフィックを受け入れるようにピアリング接続を構成する必要があります。

VPN ゲートウェイを使用して、スポーク間でトラフィックをルーティングすることもできますが、この選択は待機時間とスループットに影響します。 詳細については、「仮想ネットワーク ピアリングの VPN ゲートウェイ転送を構成する」を参照してください。

ハブで共有するサービスを評価して、ハブがより多くのスポークに対してスケーリングされるようにします。 たとえば、ハブがファイアウォール サービスを提供する場合は、複数のスポークを追加するときにファイアウォール ソリューションの帯域幅の制限を検討します。 このような一部の共有サービスを第 2 レベルのハブに移動できます。

スポーク ネットワーク間の直接通信

ハブ仮想ネットワーク経由でトラフィックをルーティングせずにスポーク仮想ネットワーク間で直接接続するには、スポーク間のピアリング接続を作成するか、ネットワーク グループの直接接続を有効にします。 同じ環境とワークロードの一部であるスポーク仮想ネットワークへのピアリングまたは直接接続を制限することをお勧めします。

仮想ネットワーク マネージャーを使用する場合は、スポーク仮想ネットワークを手動でネットワーク グループに追加するか、定義した条件に基づいてネットワークを自動的に追加できます。

次の図は、スポーク間の直接接続に仮想ネットワーク マネージャーを使用する方法を示しています。

Considerations

これらの考慮事項は、Azure Well-Architected Framework の柱を実装します。これは、ワークロードの品質を向上させるために使用できる一連の基本原則です。 詳細については、「 Well-Architected Framework」を参照してください。

Reliability

信頼性は、アプリケーションが顧客に対して行ったコミットメントを確実に満たすことができるのに役立ちます。 詳細については、「信頼性の設計レビュー チェックリスト」を参照してください。

可用性ゾーンをサポートするハブ内のAzureサービスに使用します。

リージョンごとに少なくとも 1 つのハブを使用し、同じリージョンのスポークのみをそれらのハブに接続することをお勧めします。 この構成は、関連のないリージョンで広範囲にわたるネットワーク ルーティングエラーを引き起こす可能性がある 1 つのリージョンのハブでの障害を回避するために、バルクヘッド リージョンに役立ちます。

可用性を高める場合は、フェールオーバーに ExpressRoute と VPN を使用できます。 詳細については、「ExpressRoute を使用した VPN フェールオーバーでオンプレミス ネットワークを Azure に接続する」および「回復性のための ExpressRoute の設計と構築」を参照してください。

FQDN アプリケーション規則Azure Firewall実装する方法のため、ファイアウォールを通過するすべてのリソースがファイアウォール自体と同じ DNS プロバイダーを使用していることを確認します。 そうしないと、ファイアウォールの FQDN の IP 解決が、同じ FQDN のトラフィック発信元の IP 解決と異なるため、Azure Firewallが正当なトラフィックをブロックする可能性があります。 スポーク DNS 解決に Azure Firewall プロキシを含めることで、FQDN をトラフィックの発信元や Azure Firewall と同期させることができます。

セキュリティ

セキュリティは、意図的な攻撃や貴重なデータとシステムの誤用に対する保証を提供します。 詳細については、「セキュリティ設計レビューチェックリスト」を参照してください。

DDoS 攻撃から保護するには、任意の境界仮想ネットワークで Azure DDoS Protection を有効にします。 パブリック IP を持つリソースは、DDoS 攻撃の影響を受けやすくなります。 ワークロードがパブリックに公開されていない場合でも、次のパブリック IP を保護する必要があります。

• Azure Firewall のパブリック IP アドレス
• VPN ゲートウェイのパブリック IP アドレス
• ExpressRoute コントロール プレーンのパブリック IP アドレス

不正アクセスのリスクを最小限に抑え、厳格なセキュリティ ポリシーを適用するには、常に NSG で明示的な deny 規則を設定します。

Azure Firewall Premium バージョンを使用して、トランスポート層セキュリティ (TLS) 検査、IDPS、URL フィルタリングを有効にします。

仮想ネットワーク マネージャー セキュリティ

セキュリティ規則のベースライン セットを確保するには、 セキュリティ管理者規則 をネットワーク グループ内の仮想ネットワークに関連付けます。 セキュリティ管理規則は NSG 規則よりも優先され、NSG 規則の前に評価されます。 セキュリティ管理者ルールでは、優先順位付け、サービス タグ、およびネットワーク層 (L3) プロトコルとトランスポート層 (L4) プロトコルがサポートされます。

仮想ネットワーク マネージャー deployments を使用して、ネットワーク グループセキュリティ規則に対する破壊的変更の制御されたロールアウトを容易にします。

コストの最適化

コストの最適化では、不要な経費を削減し、運用効率を向上させる方法に重点を置いています。 詳細については、「コストの最適化設計レビューチェックリスト」を参照してください。

ハブスポーク ネットワークをデプロイおよび管理する場合は、次のコスト関連の要因を考慮してください。 詳細については、「 仮想ネットワークの価格」を参照してください。

Azure Firewallコスト

このアーキテクチャでは、ハブ ネットワークに Azure Firewall インスタンスをデプロイします。 複数のワークロードで使用される共有ソリューションとしてAzure Firewallデプロイを使用すると、他の NVA と比較してクラウド コストを大幅に節約できます。 詳細については、「Azure Firewall と NVAを参照してください。

デプロイされたリソースを効果的に使用するには、適切なAzure Firewall サイズを選択します。 必要な機能と、現在のワークロード セットに最適な層を決定します。 使用可能なAzure Firewall SKU の詳細については、「Azure Firewallですか?

ダイレクト ピアリング

Azure Firewall処理コストを削減または排除するには、ハブをバイパスする直接ピアリングまたはその他のスポーク間通信を選択的に使用します。 データベース同期や大規模なファイル コピー操作など、高スループットでリスクの低いスポーク間の通信を行うワークロードを持つネットワークでは、節約が大きくなる可能性があります。

オペレーショナル エクセレンス

オペレーショナル エクセレンスは、アプリケーションをデプロイし、運用環境で実行し続ける運用プロセスを対象としています。 詳細については、「オペレーショナル エクセレンス設計レビュー チェックリスト」を参照してください。

Azure Bastion、Azure Firewall、クロスプレミス ゲートウェイなど、すべてのサービスの診断設定をアクティブにします。 コストを削減するには、操作に関連しない設定をオフにします。 Azure Firewallなどのリソースでは、大量のログが生成され、監視コストが高くなる可能性があります。

異常を検出し、ネットワークの問題を特定してトラブルシューティングするには、エンド ツー エンドの監視に 接続モニター を使用します。

Azure Network Watcherを使用して、traffic 分析を使用して、トラフィックが最も多い仮想ネットワーク内のシステムを表示するなど、ネットワーク コンポーネントの監視とトラブルシューティングを行います。 トラフィック分析を使用して、潜在的なボトルネックを特定できます。

ExpressRoute を使用する場合は、Azure Traffic Collector を使用して、ExpressRoute 回線経由で送信されたネットワーク フローのフロー ログを分析します。 Traffic Collector は、Microsoft のエンタープライズ エッジ ルーターを経由するトラフィックを可視化します。

非 HTTP(S) プロトコルの場合、またはSQL Serverを構成する場合は、Azure Firewallで FQDN ベースの規則を使用します。 FQDN を使用すると、個々の IP アドレス管理と比較して管理の負担が軽減されます。

ピアリングの要件に基づいて IP アドレス指定を計画します。 クロスプレミスの場所とAzureの場所でアドレス空間が重複しないようにします。

仮想ネットワーク マネージャーを使用した自動化

接続とセキュリティ制御を一元的に管理するには、仮想ネットワーク マネージャー を使用して、新しいハブスポーク仮想ネットワーク トポロジを作成するか、既存のトポロジをオンボードします。 仮想ネットワーク マネージャーを使用して、複数のサブスクリプション、管理グループ、リージョン間で将来の大規模な成長に備えてハブスポーク ネットワーク トポロジを準備します。

ユース ケース シナリオ仮想ネットワーク マネージャー例を次に示します。

• ビジネス ユニットやアプリケーション チームなどのグループに対するスポーク仮想ネットワーク管理の民主化。 民主化により、仮想ネットワーク間接続とネットワーク セキュリティ規則の要件が多数発生する可能性があります。

• アプリケーションのグローバルなフットプリントを確保するために、複数のAzure リージョンでの複数のレプリカ アーキテクチャの標準化。

統一された接続とネットワーク セキュリティ規則を確保するために、network グループを使用して、同じMicrosoft Entra テナント内の任意のサブスクリプション、管理グループ、またはリージョン内の仮想ネットワークをグループ化できます。 動的または静的なメンバーシップの割り当てを使用して、仮想ネットワークをネットワーク グループに自動または手動でオンボードできます。

scopesを使用して、仮想ネットワーク マネージャーで仮想ネットワークの検出可能性を定義します。 スコープにより、ネットワーク マネージャー インスタンスの柔軟性が高く、仮想ネットワーク グループ間で管理責任を分散できます。

同じネットワーク グループ内のスポーク仮想ネットワークを相互に接続するには、仮想ネットワーク マネージャーを使用して仮想ネットワーク ピアリングまたは direct 接続を実装します。 グローバル メッシュ オプションを使用して、メッシュ直接接続を異なるリージョンのスポーク ネットワークに拡張します。 次の図は、リージョン間のグローバル メッシュ接続を示しています。

ネットワーク グループ内の仮想ネットワークを、セキュリティ管理規則のベースライン セットに関連付けることができます。 ネットワーク グループのセキュリティ管理者ルールは、スポーク仮想ネットワーク所有者がベースライン セキュリティ規則を上書きできないようにしますが、独自のセキュリティ規則と NSG を追加できます。 ハブスポーク トポロジでセキュリティ管理者ルールを使用する方法の例については、「 セキュリティで保護されたハブスポーク ネットワークを作成する」を参照してください。

ネットワーク グループ、接続、およびセキュリティ規則の制御されたロールアウトを容易にするために、仮想ネットワーク マネージャー構成のデプロイは、ハブスポーク環境に対する構成変更を安全に解放するのに役立ちます。

ルート構成の作成と保守のプロセスを簡略化するために、仮想ネットワーク マネージャー で UDR の自動管理を使用できます。

IP アドレスの管理を一元化するには、仮想ネットワーク マネージャー で IP アドレス管理 (IPAM) を使用できます。 IPAM は、オンプレミスとクラウドの仮想ネットワーク間での IP アドレス空間の競合を防ぎます。

仮想ネットワーク マネージャーの使用を開始するには、「仮想ネットワーク マネージャーを参照してください。

パフォーマンス効率

パフォーマンス効率とは、ユーザーの要求を効率的に満たすためにスケーリングするワークロードの能力を指します。 詳細については、「パフォーマンス効率のための設計レビュー チェックリスト」を参照してください。

低待機時間と高帯域幅を必要とするAzure仮想ネットワーク内のオンプレミスから VM に通信するワークロードの場合は、ExpressRoute FastPath の使用を検討してください。 FastPath を使用して、オンプレミスから仮想ネットワーク内の仮想マシン (VM) にトラフィックを直接送信し、ExpressRoute 仮想ネットワーク ゲートウェイをバイパスすることで、パフォーマンスを向上させます。

低待機時間を必要とするスポーク間通信の場合は、スポーク間ネットワークを設定できます。

ポイント対サイトまたはサイト間接続の数、必要な 1 秒あたりのパケット数、帯域幅の要件、TCP フローなど、要件を満たす ゲートウェイ SKU を 選択します。

SAP やストレージへのアクセスなど、待機時間の影響を受けやすいフローでは、Azure Firewallまたはハブ ルーティングをバイパスできます。 最適な方法を決定するために、Azure Firewallによって導入された待機時間をテストできます。 2 つ以上のネットワークを接続する 仮想ネットワーク ピアリング などの機能を使用することも、Private Link を使用して仮想ネットワーク内のプライベート エンドポイント経由でサービスに接続することもできます。

IDPS などのAzure Firewall機能を使用して、スループットを削減できます。 詳細については、「Azure Firewall performance」を参照してください。

このシナリオを展開する

このデプロイには、1 つのハブ仮想ネットワークと 2 つの接続されたスポークが含まれており、Azure Firewall インスタンスとAzure Bastion ホストがデプロイされます。 必要に応じて、最初のスポーク ネットワーク内の VM と VPN ゲートウェイをデプロイに含めることができます。 ネットワーク接続を作成するには、仮想ネットワーク ピアリングと、または 仮想ネットワーク マネージャー の接続されたグループを選択できます。 それぞれの方法には、いくつかのデプロイ オプションがあります。

• 仮想ネットワークのピアリングを備えたハブ アンド スポークのデプロイ
• 仮想ネットワーク マネージャー で接続グループを含むハブスポークのデプロイ

Contributors

Microsoftはこの記事を保持します。 この記事を書いたのは、以下の寄稿者です。

主要な著者:

• ホセ・モレノ |ソリューション エンジニア
• アレハンドラ パラシオス |シニア カスタマー エンジニア
• アダム・トルカー |シニア カスタマー エクスペリエンス エンジニア

その他の共同作成者:

• マシュー・ブラットシュン |カスタマー エンジニア
• Jay Li | シニア プロダクト マネージャー
• テルモサンパイオ |プリンシパル サービス エンジニアリング マネージャー

パブリックでないLinkedIn プロファイルを表示するには、LinkedIn.

次のステップ

• セキュリティ保護付きバーチャルハブとは
• Azure ネットワーク トポロジを定義します

関連リソース

• 仮想ネットワーク用の Azure Firewall および Application Gateway
• ハイブリッド VPN 接続のトラブルシューティング
• スポーク間ネットワーク
• Azure Kubernetes Service (AKS) クラスターのベースライン アーキテクチャ