Azure Virtual WAN

このエントリは2019/12/11現在の情報に基づいています。将来の機能追加・変更に伴い、記載内容との乖離が発生する場合があります。

Azure Virtual WANとは

Azure Virtual WAN は、Azure への、または Azure 経由での、最適化および自動化されたブランチ接続を提供するネットワーク サービスです。 Azure リージョンは、ブランチの接続先として選択できるハブとして機能します。 Azure バックボーンを利用してブランチを接続し、ブランチから VNet への接続を利用することもできます。

https://docs.microsoft.com/ja-jp/azure/virtual-wan/virtual-wan-about

上記引用からも分かるとおり、Azureのバックボーン回線をWANとして使えるようにするというもの。中核となるのはHubと呼ばれるMicrosoft managedなvirtual network。HubにはBasicとStandardの2種類があり、前者はサイト間VPN機能 (S2S) のみ利用可能で、後者はハブを介した VNet 対 VNet トランジット、ExpressRoute、ユーザー VPN (P2S)、フル メッシュ ハブを利用可能。このあたりの詳細は以下のFAQに記載されている。

FAQ
https://docs.microsoft.com/ja-jp/azure/virtual-wan/virtual-wan-about#faq
https://docs.microsoft.com/en-us/azure/virtual-wan/virtual-wan-about#faq

Virtual WAN のリージョン間接続
https://docs.microsoft.com/ja-jp/azure/virtual-wan/virtual-wan-global-transit-network-architecture#hubtohub

セキュリティ

2019/12/11現在Public Previewではあるが、Azure FirewallをHubと組み合わせることができる。また、サード パーティのセキュリティ プロバイダーのデプロイもPublic Previewではあるが可能。ただし後者はリージョンが限定されているため、注意が必要。

セキュリティ保護付き仮想ハブは、Azure Firewall Manager によって構成された関連するセキュリティ ポリシーとルーティング ポリシーを持つ Azure Virtual WAN ハブです。 セキュリティ保護付き仮想ハブを使用すると、トラフィック ガバナンスと保護のためのネイティブ セキュリティ サービスを使用して、ハブアンドスポーク アーキテクチャと推移的アーキテクチャを簡単に作成できます。

セキュリティ保護付き仮想ハブとは
https://docs.microsoft.com/ja-jp/azure/firewall-manager/secured-virtual-hub

セキュリティ保護付き仮想ハブとは
https://docs.microsoft.com/ja-jp/azure/firewall-manager/secured-virtual-hub
What is a secured virtual hub?
https://docs.microsoft.com/en-us/azure/firewall-manager/secured-virtual-hub

注意

  1. VPNやExpressRouteをVNetと接続する場合、VNetにGateway Subnetを作成してVirtual Network GatewayやExpressRoute Gatewayを配置する必要があるが、Virtual WANの場合、GatewayがあるとVirtual WANに組み込めないという制限があるので、 Gatewayを立ててはいけない。 詳細は以下。

    スポーク VNet に仮想ネットワーク ゲートウェイを配置することはできますか。
    https://docs.microsoft.com/ja-jp/azure/virtual-wan/virtual-wan-about#can-a-spoke-vnet-have-a-virtual-network-gateway
    Can a spoke VNet have a virtual network gateway?
    https://docs.microsoft.com/ja-jp/azure/virtual-wan/virtual-wan-about#can-a-spoke-vnet-have-a-virtual-network-gateway
  2. オンプレミスとVirtual WAN (Hub) 間をExpressRoute、VPNで接続し、他のサイトと接続する場合(例えば、東日本と西ヨーロッパのHub2個で構成されたVirtual WANがあり、東京本社―東日本リージョン間はExpressRouteで接続、西ヨーロッパおよび東日本リージョンにはVNetがあり、かつフランス支社からは西ヨーロッパのHubにS2S VPNで接続しているものとする。東京本社からフランスの支社のサイト、もしくはその逆方向にアクセスしたい場合)、フランス支社から東京本社への接続のためには、ExpressRoute Global Reachが必要(回線はExpressRoute Premium)必要がある。
  3. 2. の場合で、東京本社―西ヨーロッパリージョンのVNetへの通信では、Hubを経由することもできるが、通常はExpressRoute – VNet間のパスを使う。Vnet peering、ExpressRoute to Vnetなどは、Virtual WANに優先する。例えば、 東日本リージョンにHubがあり、オンプレミスから東日本リージョンにExpressRouteを張っていたとする。オンプレミスから米国西部2リージョンで稼働するVirtual Machineに接続したい場合、オンプレミスー米国西部2間の通信は、Hubを経由しない。

    2、3の詳細は以下。
    ExpressRoute Global Reach と Virtual WAN
    https://docs.microsoft.com/ja-jp/azure/virtual-wan/virtual-wan-global-transit-network-architecture#expressroute-global-reach-and-virtual-wan
    ExpressRoute Global Reach and Virtual WAN
    https://docs.microsoft.com/en-us/azure/virtual-wan/virtual-wan-global-transit-network-architecture#expressroute-global-reach-and-virtual-wan
  4. CLIでも操作できるが、拡張機能として提供されているため、Azure CLIをインストールしただけではだめで、明示的にインストールする必要がある(執筆時時点ではPreview)。
az extension add --name virtual-wan

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト /  変更 )

Google フォト

Google アカウントを使ってコメントしています。 ログアウト /  変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト /  変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト /  変更 )

%s と連携中