この記事は機械翻訳されています。英語版の記事を表示するには、[英語] のチェック ボックスをオンにしてください。また、テキストにマウス ポインターを合わせると、ポップアップ ウィンドウに英語のテキストを表示することもできます。
翻訳
英語

Microsoft Azure IaaS のためのネットワークの設計

 

トピックの最終更新日:2017-06-28

概要:Microsoft Azure IaaS のワークロード用に最適化されたネットワークの設計方法について説明します。

Azure IaaS でホストされている IT ワークロード用のネットワーキングを最適化するには、Azure 仮想ネットワーク (VNet)、アドレス空間、ルーティング、DNS、および負荷分散に精通している必要があります。

どの種類の VNet も、次の手順に従ってください。

Microsoft クラウド接続の一般的な要素 の「Microsoft クラウド サービスを利用するためのネットワークの準備の手順」セクションを読んでください。

Microsoft SaaS のためのネットワーク デザイン の「Microsoft SaaS サービスを利用するためのネットワークの準備の手順」セクションに記載されている手順 2 から 4 を使用して、インターネット帯域幅を最適化します。

クラウド専用の VNet には、オンプレミスのネットワークへの接続がありません。次に例を示します。

図 1: クラウド専用の VNet

図 1:Azure でのクラウド専用の仮想ネットワーク

図 1 は、クラウド専用の VNet の仮想マシンのセットを示しています。

クロスプレミスの VNet には、Azure のゲートウェイを経由してオンプレミスのネットワークに接続する、サイト対サイト (S2S) VPN または ExpressRoute 接続があります。次に例を示します。

図 2: クロスプレミスの VNet

図 2:Azure でのクロスプレミスの仮想ネットワーク

図 2 は、オンプレミスのネットワークに接続される、クロスプレミスの VNet での仮想マシンのセットを示しています。

追加情報については、この記事の「クロスプレミスの VNet 用の手順を計画する」セクションを参照してください。

表 1 は、VNet のさまざまな種類のアドレス空間を示しています。

 

VNet の種類 仮想ネットワークのアドレス スペース

クラウド専用

任意のプライベート アドレス空間

相互接続のクラウド専用

任意のプライベート。ただし、接続された他の VNet と重複しない

クロスプレミス

プライベート。ただし、オンプレミスと重複しない

相互接続のクロスプレミス

プライベート。ただし、オンプレミスおよび接続された他の VNet と重複しない

表 1:VNet の種類と対応するアドレス空間

DHCP によって、仮想マシンにサブネットのアドレス空間からアドレス構成が割り当てられます。

  • アドレス/サブネット マスク

  • 既定のゲートウェイ

  • DNS サーバーの IP アドレス

静的な IP アドレスを予約することもことができます。

仮想マシンには、個別にパブリック IP アドレスを割り当てることもできます。従来の展開のマシンの場合は、含まれているクラウド サービスからパブリック IP アドレスを割り当てることもできます。

VNet には、ゲートウェイ サブネットと仮想マシン ホスト サブネットの、2 種類のサブネットがあります。

図 3:Azure での 2 種類のサブネット

図 3:Azure での 2 種類のサブネット

図 3 は、ゲートウェイ サブネットを含む VNet を示しています。このゲートウェイ サブネットには、Azure ゲートウェイと、複数の仮想マシンを含む仮想マシン ホスト サブネットのセットが含まれています。

Azure ゲートウェイ サブネットは、Azure で Azure ゲートウェイの 2 つの仮想マシンをホストするために必要です。少なくとも 29 ビットのプレフィックス長でアドレス空間を指定します (例:192.168.15.248/29)。ExpressRoute を使用する予定の場合は、28 ビット以下のプレフィックス長をお勧めします。

Azure ゲートウェイ サブネットのアドレス空間を決定する場合のベスト プラクティスを次に示します。

  1. ゲートウェイ サブネットのサイズを決定します。

  2. VNet のアドレス空間の可変ビットでは、ゲートウェイ サブネットに使用するビットを 0、残りのビットを 1 に設定します。

  3. 10 進数に変換して、ゲートウェイ サブネットのサイズに設定されたプレフィックス長のアドレス空間として表現します。

このメソッドでは、ゲートウェイ サブネットのアドレス空間は、常に VNet アドレス空間の最後尾になります。

ゲートウェイ サブネットのアドレス プレフィックスを定義する例を次に示します。VNet のアドレス空間は 10.119.0.0/16 です。組織では、初めはサイト対サイトの VPN 接続を使用しますが、最終的には ExpressRoute を入手することになります。ゲートウェイ サブネットのアドレス プレフィックスを決定する手順と結果をネットワークのプレフィックス表記 (CIDR とも呼ばれる) で表 2 に示します。

 

手順 結果

1. ゲートウェイ サブネットのサイズを決定します。

/28

2. VNet アドレス空間の可変部分 (b) にビットを設定する。ゲートウェイ サブネット ビット (G) は 0、それ以外 (V) は 1 にする。

10.119. bbbbbbbb . bbbbbbbb

10.119. VVVVVVVV . VVVVGGGG
10.119. 11111111 . 11110000

3. 手順 2 の結果を 10 進数に変換し、
 アドレス空間として表す。

10.119.255.240/28

表 2:ゲートウェイ サブネットのアドレス プレフィックスを決定する例

詳細については、「Azure ゲートウェイのサブネットのアドレス スペースの計算機」を参照してください。

Azure 仮想マシンは仮想マシン ホスト サブネットに配置します。これは一般的なオンプレミスのガイドライン (一般的なロール、アプリケーション層、サブネットの分離など) に従って行うことができます。

Azure では、各サブネットの最初の 3 つのアドレスを使用します。したがって、Azure サブネットで使用可能なアドレスの数は 2n – 5 になります (n はホスト ビットの数)。必要な仮想マシンの範囲、必要なホスト ビットの数、対応するサブネットのサイズを表 3 に示します。

 

必要な仮想マシン ホスト ビット サブネットのサイズ

1-3

3

/29

4-11

4

/28

12-27

5

/27

28-59

6

/26

60-123

7

/25

表 3: 仮想マシンの要件とサブネットのサイズ

サブネット上または VNet 上の仮想マシンの最大数の詳細については、「ネットワークの制限」を参照してください。

詳細については、「Azure Virtual Network の計画と設計」を参照してください。

Azure は DHCP によって、仮想マシンに DNS サーバーのアドレスを割り当てます。DNS サーバーは、次のようになります。

  • Azure で提供:ローカルでの名前登録と、ローカルおよびインターネットでの名前解決を提供します。

  • ユーザーが提供:ローカルまたはイントラネットでの名前登録と、イントラネットまたはインターネットのいずれかでの名前解決を提供します。

    表 4 は、DNS サーバーの異なる構成を、VNet の種類ごとに示しています。

 

VNet の種類 DNS サーバー

クラウド専用

Azure で提供される場合は、ローカルおよびインターネットでの名前解決

Azure 仮想マシンの場合は、ローカルおよびインターネットでの名前解決 (DNS 転送)

クロスプレミス

オンプレミスの場合は、ローカルおよびイントラネットでの名前解決

Azure 仮想マシンの場合は、ローカルおよびイントラネットでの名前解決 (DNS レプリケーションおよび転送)

表 4: 異なる 2 つの種類の VNet 用の DNS サーバーのオプション

詳細については、「VM とロール インスタンスの名前解決」を参照してください。

場合によっては、同じロールのサーバーのセットに着信トラフィックを分散する必要があります。Azure IaaS には、インターネット接続および内部トラフィックの負荷に対してこれを行うための機能が組み込まれています。

Azure のインターネット接続の負荷分散は、インターネットから負荷分散セットのメンバーへの未承諾の着信トラフィックをランダムに分散します。

図 4: Azure の外部ロード バランサー

図 4: Azure の外部ロード バランサー

図 4 は、受信 NAT 規則、または負荷分散セット内の仮想マシンへのエンドポイントに着信トラフィックを分散する、Azure の外部ロード バランサーを示しています。

Azure の内部負荷分散は、他の Azure VM またはイントラネット コンピューターから負荷分散セットのメンバーへの未承諾の着信トラフィックをランダムに分散します。

図 5: Azure での内部ロード バランサー

図 5: Azure での内部ロード バランサー

図 5 は、受信 NAT 規則、または負荷分散セット内の仮想マシンへのエンドポイントに着信トラフィックを分散する、Azure の内部ロード バランサーを示しています。

詳細については、「Azure Load Balancer の概要」を参照してください。

トラフィックを VNet の仮想アプライアンスに転送する必要がある場合、サブネットに 1 つ以上のユーザー定義のルートを追加する必要がある場合があります。

図 6: 仮想アプライアンスと Azure 内のユーザー定義ルート

図 6: 仮想アプライアンスと Azure 内のユーザー定義ルート

図 6 は、仮想アプライアンスを指す仮想マシン ホスト サブネットに割り当てられたクロスプレミスの VNet とユーザー定義のルートを示しています。

詳細については、「ユーザー定義のルートおよび IP 転送とは」を参照してください。

VNet の仮想マシンへのインターネット アクセス (組織ネットワークからプロキシ サーバーや他のエッジ デバイスを経由するアクセスを含む) を提供する方法は複数あります。

未承諾の着信トラフィックをフィルタ処理または検査する方法を表 5 に示します。

 

方法 展開モデル

1.クラウド サービス上で構成されたエンドポイントおよび ACL

クラシック

2.ネットワーク セキュリティ グループ

リソース マネージャーおよびクラシック

3.受信 NAT 規則を使用するインターネット接続ロード バランサー

リソース管理者

4.Azure Marketplace (図には表示なし) での
ネットワーク セキュリティ アプライアンス

リソース マネージャーおよびクラシック

表 5: 仮想マシンと対応する Azure 展開モデルに接続する方法

図 7: インターネット経由で Azure 仮想マシンに接続する

図 7: インターネット経由で Azure 仮想マシンに接続する

図 7 は、エンドポイントを使用してクラウド サービス内の仮想マシンに接続しているインターネットに接続されたコンピューター、ネットワーク セキュリティ グループを使用するサブネット上の仮想マシン、および外部ロード バランサーと受信 NAT 規則を使用するサブネット上の仮想マシンを示しています。

追加のセキュリティは、以下のものから提供されます。

  • 認証され、暗号化されたリモート デスクトップおよび SSH 接続。

  • 認証され、暗号化されたリモート PowerShell セッション。

  • エンド ツー エンドの暗号化に使用できる IPsec トランスポート モード。

  • Azure DDoS の保護。外部および内部の攻撃を防止するために有用。

詳細については、マイクロソフトのクラウド セキュリティAzure のネットワーク セキュリティを参照してください。

VNet と VNet は、組織のサイトの接続に使用するトポロジと同様のトポロジを使用して、互いに接続することができます。

デイジー チェーン構成は、一連の VNet を接続します。

図 8: VNet のデイジー チェーン構成

図 8:Azure 仮想ネットワークのデイジーチェーン構成

図 8 は、デイジー チェーン構成を使用して連続的に接続された 5 つの VNet を示しています。

スポークおよびハブ構成は複数の VNet を中央の VNet のセットに接続します。中央の VNet のセットでは、VNet と VNet が互いに接続されています。

図 9: VNet のスポークおよびハブ構成

図 9: Azure 仮想ネットワークのスポークとハブ構成

図 9 は 6 つの VNet を示しています。2 つの VNet がハブになります。ハブは互いに接続し、他の 2 つのスポーク VNet にも接続しています。

フル メッシュ構成は、すべてのVNet を相互接続します。

図 10: VNet のフル メッシュ構成

図 10: Azure 仮想ネットワークのメッシュ構成

図 10 は、合計 6 つの VNet 間接続を使用する、すべてが互いに接続された 4 つの VNet を示しています。

次に示すクロスプレミスの VNet 用の手順を実行してください。

ヒント ヒント:
シミュレートされたクロスプレミス開発/テスト環境を作成するには、「Azure でのシミュレートされたクロスプレミスの仮想ネットワーク」を参照してください。

異なる種類の接続を表 6 に示します。

 

接続の種類 用途

サイト対サイト (S2S) VPN

1 つの VNet に 1 から 10 のサイト (他の VNet を含む) を接続する。

ExpressRoute

インターネット エクスチェンジ プロバイダー (IXP) またはネットワーク サービス プロバイダー (NSP) 経由で Azure に接続する、プライベートで安全なリンク。

ポイント対サイト (P2S) VPN

1 台のコンピューターを VNet に接続する。

VNet のピアリングまたは VNet-to-VNet (V2V) VPN

VNet を他の VNet に接続する。

表 6: クロスプレミス VNet 用の接続の種類

接続の最大数の詳細については、「ネットワークの制限」を参照してください。

VPN デバイスの詳細については、「サイト間 VPN Gateway 接続の VPN デバイスについて」を参照してください。

VNet ピアリングの詳細については、「VNET ピアリング」を参照してください。

図 11: クロスプレミス VNet に接続する 4 つの方法

図 11:クロスプレミスの Azure 仮想ネットワークに接続する 3 つの方法

図 11 は、VNet の 4 種類の接続方法 (コンピューターからの P2S 接続、オンプレミス ネットワークからの S2S VPN 接続、オンプレミス ネットワークからの ExpressRoute 接続、および他の VNet からの VNet 対 VNet 接続) を示しています。

VNet 内の VM には、次の方法で接続できます。

  • オンプレミス ネットワークまたはインターネットから VNet の VM を管理する

  • オンプレミス ネットワークからの IT ワークロードのアクセス

  • 追加の VNet を通じてネットワークを拡張する

接続のセキュリティは、次のことから確保されます。

  • P2S で Secure Socket トンネリング プロトコル (SSTP) を使用する

  • S2S および VNet 対 VNet VPN 接続で AES256 を使用した IPsec トンネル モードを使用する

  • ExpressRoute はプライベート WAN 接続。

詳細については、マイクロソフトのクラウド セキュリティAzure のネットワーク セキュリティを参照してください。

オンプレミスの VPN デバイスやルーターは、次のように機能します。

  • Azure ゲートウェイからの S2S VPN 接続を終了する IPsec ピア。

  • プライベート ピアリング ExpressRoute 接続の BPG ピアおよび終端点。

図 12: オンプレミスの VPN ルーターまたはデバイス

図 12: オンプレミスの VPN ルーターまたはデバイス

図 12 は、オンプレミスの VPN ルーターまたはデバイスに接続されるクロスプレミスの VNet を示しています。

詳細については、 VPN のゲートウェイを参照してください。

オンプレミスから VNet へのルーティングは、次のもので構成されています。

  1. VPN デバイスを指す VNet アドレス空間のルート。

  2. S2S VPN または ExpressRoute 接続全体を指す VPN デバイス上の VNet アドレス空間のルート。

図 13: VNet へのアクセスを可能にするために必要なオンプレミスのルート

図 13: Azure VNet に到達可能にする必要があるオンプレミスのルート

図 13 は、オンプレミスのルーターと、VNet のアドレス空間を表す VPN ルーターやデバイスに必要なルーティング情報を示しています。

次に示す 3 種類の方法で、オンプレミスのネットワークと Microsoft クラウドの間にプライベート ピアリングの ExpressRoute 接続を作成できます。

  • Cloud Exchange でのコロケーション

  • ポイント ツー ポイントのイーサネット接続

  • Any-to-any (IP VPN) ネットワーク

図 14: ExpressRoute を使用してクロスプレミスの VNet に接続する

図 14:ExpressRoute を使用してクロスプレミスの Azure 仮想ネットワークに接続する

図 14 は、オンプレミスのルーターから Microsoft Azure へのクロスプレミスの VNet と ExpressRoute 接続を示しています。

詳細については、「Microsoft クラウド接続のためのExpressRoute」を参照してください。

オンプレミスまたは VNet から他の VNet へのルーティングの場合、Azure はゲートウェイに割り当てられたローカル ネットワークのアドレス空間と一致する Azure ゲートウェイを経由して、トラフィックを転送します。

図 15: クロスプレミスの VNet 用のローカル ネットワーク アドレス空間

図 15: クロスプレミス Azure 仮想ネットワーク用のローカル ネットワーク アドレス空間

図 15 は、クロスプレミス VNet と、オンプレミス ネットワークの到達可能なアドレス空間を表す Azure ゲートウェイのローカル ネットワークのアドレス空間を示しています。

ローカル ネットワークのアドレス空間を定義する方法を次に示します。

  • オプション 1:現在必要か、使用中のアドレス空間のプレフィックスの一覧 (新しいサブネットを追加した場合は更新が必要)。

  • オプション 2:すべてのオンプレミスのアドレス空間 (新しいアドレス空間を追加した場合のみ更新が必要)。

Azure ゲートウェイでは要約ルートが許可されないため、オプション 2 のローカル ネットワークのアドレス空間を定義して、VNet アドレス空間が含まれないようにする必要があります。

図 16: VNet アドレス空間によって作られたアドレス空間の穴

図 16: 仮想ネットワークのアドレス空間によって作られたアドレス空間の穴

図 16 は、アドレス空間 (ルート領域と VNet アドレス空間) を表しています。

次の例は、VNet によって作成されたアドレス空間の「穴」の周囲にあるローカル ネットワークのアドレス空間にプレフィックスを定義します。

  • 組織はプライベートのアドレス空間 (10.0.0.0/8、172.16.0.0/12、および 192.168.0.0/16) の一部をオンプレミスのネットワーク経由で使用します。組織では VNet のアドレス空間として、オプション 2 と 10.100.100.0/24 を選択します。

この例のローカル ネットワークのアドレス空間を定義する手順と、その結果生じるプレフィックスを表 7 に示します。

 

手順 結果

1.VNet アドレス空間のルート領域でないプレフィックスを一覧表示する。

172.16.0.0/12 および 192.168.0.0/16

2.VNet アドレス空間で最後に使用したオクテットを除く、変数のオクテットの、重複していないプレフィックスを一覧表示する。

10.0.0.0/16、10.1.0.0/16…10.99.0.0/16、10.101.0.0/16…10.254.0.0/16、10.255.0.0/16 (255 プレフィックス、10.100.0.0/16 はスキップ)

3.VNet アドレス空間で最後に使用したオクテットで、
重複していないプレフィックスを
一覧表示する。

10.100.0.0/24、10.100.1.0/24…10.100.99.0/24、10.100.101.0/24…10.100.254.0/24、10.100.0.255.0/24 (255 プレフィックス、10.100.100.0/24 はスキップ)

表 7:ローカル アドレスのネットワーク空間の例

オンプレミス コンピューターが Azure ベースのサーバーの名前を解決したり、Azure ベースのサーバーがオンプレミスのコンピューターの名前を解決するには、次に示す構成を行います。

  • VNet 内の DNS サーバーを、オンプレミスの DNS サーバーに転送するように構成する

  • オンプレミスおよび VNet の DNS サーバー間で適切なゾーンの DNS レプリケーションを構成する

図 17: クロスプレミスの VNet 内 DNS サーバーの DNS のレプリケーションおよび転送

図 17: クロスプレミスの Azure 仮想ネットワーク内 DNS サーバーに関する DNS のレプリケーションおよび転送

図17 は、オンプレミス ネットワークと VNet のサブネットの、クロスプレミスの VNet と DNS サーバーを示しています。DNS レプリケーションと転送は、2 つの DNS サーバー間で構成されています。

Azure サブネット用の既定のシステム ルートは、インターネットを指しています。仮想マシンからのすべてのトラフィックが通過を設置型の間の接続は、次ホップ アドレスとして Azure ゲートウェイを使用する既定のルートをルーティング テーブルを作成します。サブネットには、ルート テーブルを関連付けます。これを強制的にトンネリングと呼びます。詳細については、構成の強制的トンネリングを参照してください。

図 18: ユーザー定義のルートおよびクロスプレミスの VNet の強制トンネリング

図 18:ユーザー定義のルートおよびクロスプレミスの Azure 仮想ネットワークの強制トンネリング

図 18 は、クロスプレミスの VNet と、Azure ゲートウェイを指しているサブネットのユーザー定義のルートを示しています。

Azure IaaS でホストされているイントラネット IT ワークロードの一例として、図 19 に示すように、可用性の高い多層 SharePoint Server 2016 ファームがあります。

図 19:Azure IaaS の高可用性イントラネット SharePoint Server 2016 ファーム

Azure IaaS の高可用性 SharePoint Server 2016 ファーム

図 19 は、フロントエンド層とデータ層に内部ロード バランサーを使用するクロスプレミス VNet で展開された SharePoint Server 2016 ファームの 9 台のサーバーを示しています。ステップ バイ ステップの設計と展開の手順を含む詳細については、「Microsoft Azure での SharePoint Server 2016」を参照してください。

ヒント ヒント:
シミュレートされたクロスプレミス VNet で単一サーバーの SharePoint Server 2016 ファームを作成するには、「Azure 開発/テスト環境でのイントラネット SharePoint Server 2016」を参照してください。

IT ワークロードを複数の環境に関する Azure の仮想の仮想マシン上に配置の例についてはその他のネットワーク、 Azure IaaS のハイブリッド クラウド シナリオを参照してください。

https://technet.microsoft.com/ja-jp/library/dn919927.aspx
表示: