パートナー VMware Cloud Foundation クラウド

解説! AVS とオンプレミスの接続方法

みなさま、こんにちは! マイクロソフトの前島です。

最初にご報告ですが、2/3にVMwareさんと共同で「ついに国内での提供が始まった Azure VMware Solution とは?」と題し、Webinarを開催させて頂きました。AVSの最新情報に加え、導入検討で活用できるツールについてもご紹介しています。是非ご覧ください。オンデマンドで視聴が可能です。また、AVSの環境構築プロセスを体験頂けるHands-on Labs (HOL)もオープンしています。合わせてご活用頂ければと思います。

さて、前回は Azure VMware Solution (AVS) の全体システム構造を解説しました。その中でも少し触れましたが、AVS システム構成の検討で最も重要な項目の一つが、オンプレミスと AVS 間の接続方法です。第4回となる今回は、このネットワーク接続方法を詳しく見ていきます。

1. コンセプト

AVS のネットワーク接続方法を理解する上で、最初にぜひ押さえておいていただきたいコンセプトがあります。それは、AVS のネットワーク接続は“既存の Azure ネットワークサービスを最大限活用して実装されている”という点です。

多くの実績がある Azure ネットワークサービスを活用することで、Azureを既に活用されているお客様が大きく構成を変えることなく AVS もご利用できる他、(AVS 独自の実装を極力排除することで)他の Azure サービスとのシームレスな連携を実現できたり、Azure ネットワークサービスの絶え間ない進化を AVS 環境でも例外なく享受できるようになります。

2. Azure ネットワークの基礎知識

ただし見方を変えると、Azure に馴染みのない方にとっては、初めて聞く “Azure 用語” に戸惑ってしまうかもしれません。

そこでまずは、AVS を検討する上で押さえておいてほしい Azure ネットワーク関連用語を紹介します。

用語 解説
仮想ネットワーク (VNET) Azure 内の論理的なプライベートネットワーク空間。
特に Azure IaaS を利用する場合は必須の構成要素であり、仮想マシンはいずれかの VNET 内で稼働する。
ExpressRoute オンプレミスと Azure データセンターのプライベート接続を確立するためのサービス。
Microsoft Enterprise Edge (MSEE) ExpressRoute 接続拠点にある、Microsoft が管理するエッジルーター。
ExpressRoute を利用する際は、任意の拠点にある MSEE 経由で Azure リージョンに接続する。
Customer Edge (CE) 上記 MSEE の対向となる、ExpressRoute 接続におけるお客様拠点のエッジルーター。
仮想ネットワーク ゲートウェイ (VNET Gateway) VNET への接続ポイントとなるゲートウェイサービス。
VNET には ExpressRoute および IPSec VPN による接続が可能であり、ゲートウェイ も ExpressRoute Gateway と VPN Gateway の2種類が存在する。

ここまでが、オンプレミスと Azure IaaS 間を接続する典型的なシナリオで登場する基本用語です。イメージで表すと、下図のようになります。

図1: オンプレミスと Azure IaaS 間での接続

これらに加えて、AVS ネットワークを理解するためにもう一つ知っておいていただきたいサービスが、ExpressRoute Global Reach です。

Global Reach は ExpressRoute の拡張機能であり、別々の ExpressRoute 接続拠点 (MSEE) に接続された複数のオンプレミスネットワークを、Microsoft バックボーン経由で通信可能にするサービスです。たとえば東京とロンドンに拠点を持つ企業が、それぞれの場所でExpressRoute を接続しただけでは、お互いのオンプレミス間は通信できませんが、Global Reachを有効化すると双方の MSEE が BGP で経路を学習し、Microsoft バックボーン経由で通信できるようになります。

図2: ExpressRoute Global Reach 概要

一見 AVSとは関係ない話に聞こえるかもしれませんが、これが AVS にとってなぜ重要かは後で解説します。

3. ExpressRoute で AVS と接続する仕組み

それでは、AVS がどのようなアーキテクチャーでオンプレミスや他の Azure (VNET) と接続するかを見ていきます。

AVS はその特徴と一つとして、お客様ごとに完全に占有・分離されたプライベートクラウド環境を提供するサービスです。また、オーバーレイネットワークは VMware のネットワーク仮想化技術である NSX-T を採用しています。そのため、Azure VNET とは完全に別の空間として AVS ネットワークが構成されます。

図3: 初期展開直後の AVS ネットワーク

ですが、この状態では AVS 上の仮想マシンが外部と通信できません。そこで、AVS ではプライベートクラウドを展開するお客様ごとに占有のエッジルーター (D-MSEE) を提供します。D-MSEE は AVS の基本サービスに含まれており、個別費用が発生したりお客様が明示的に展開・管理する必要はありません。

図4: AVS 用 Dedicated MSEE の提供

D-MSEE は物理的には Azure データセンター内にありますが、AVS というプライベートクラウド側にある CE (Customer Edge) と考えていただくとよいでしょう。オンプレミスから ExpressRoute 接続するのと同様の感覚で、D-MSEE と 任意の MSEE 間を接続でき、これによって AVS / VNET 間で疎通できるようになります。

図5: MSEE 経由での AVS/VNET 間の接続

ただ、この状態では一つ問題があります。オンプレミスと AVS ネットワーク間は、2つの異なる ExpressRoute によって接続されているためお互いのネットワーク経路を広報できないのです。そこで登場するのが Global Reach です。所定の手順で Global Reach を有効化すると、オンプレミス/VNET/AVS ネットワーク間すべての経路で通信可能になります。

なお Global Reach は本来有償のサービスですが、AVS では基本パッケージに含まれており別途費用が発生することはありません。また、Global Reach は ExpressRoute の上位エディション (Premium SKU) でのみ提供される機能ですが、Global Reach の有効化は AVS 側で行うため、オンプレミス側で構成する ExpressRoute に関しては、より安価な Standard SKU でも構いません。

図6: Global Reach によるオンプレミスとの接続

さて、これで AVS がオンプレミスや Azure VNET と通信できるようになりましたが、AVS/VNET間の通信に関してはもう一つ検討余地があります。

マイクロソフトでは、お客様が世界中どこからでも Azure に接続できるように ExpressRoute 接続拠点(MSEE)を世界中で展開しています。たとえば日本では、大阪、東京、東京2という接続拠点を提供しており、これらは Microsoft Azure のデータセンターとは別の場所にあります。

国内であればそもそも距離が短いので問題になるケースは少ないと考えられますが、Global Reach 経由で行われる AVS/VNET 間の通信は、一旦 Azure データセンターを抜けて ExpressRoute 接続拠点を経由して戻ってくる形になり、多少なりともレイテンシーが発生します。そのためネットワーク遅延に対する要件が厳しい場合は、追加の構成として AVS と VNET 側 ExpressRoute ゲートウェイの間で直接通信経路を確保させることができます。

図7: ExpressRoute ゲートウェイ経由で接続

以上が、AVS/オンプレミス/VNET 間の通信経路を確保するための一般的なアプローチになります。

文章で解説するとどうしても長くなってしまいますが、AVS という“プライベートクラウド空間”を外部接続するために “Azure がもともと提供する ExpressRoute や Global Reach を活用している“というコンセプトを押さえていただければ正しく実装いただけるはずです。

4. ExpressRouteなし (=VPN) で接続する方法

ここまで ExpressRoute を前提に解説してきましたが、AVS への接続に ExpressRoute を敷設するのが難しい、というケースもあるかと思います。そこで登場するのが、さらに別の Azure ネットワークサービスである Azure VirtualWAN です。

Azure VirtualWAN は、ネットワーク、セキュリティ、ルーティングなどのさまざまな機能をまとめて提供するソリューションです。たとえば任意の Azure リージョン内に VirtualWAN Hub と呼ばれるネットワークを構成し、ExpressRoute / サイト間VPN / ポイント対サイトVPN など様々な形態で Hub に接続した拠点間での相互通信を可能にする機能を提供します。

オンプレミスから VPN 接続したい場合は、この VirtualWAN Hub の機能を活用します。具体的には、オンプレミスからは Hub に対して VPN 接続する一方、AVS からは同じ Hub に ExpressRoute 接続させます。その結果、VirtualWAN Hub 経由でトランジットされ、オンプレミスと AVS 間で疎通できるようになります。

図8: Azure VirtualWAN 経由での AVS への接続

このように、オンプレミスから ExpressRoute を敷設することなく AVS へ接続する方法も提供されています。ただし注意点として、VMware では VPN でカプセル化された環境で HCX を利用することをサポートしておらず、AVS も例外ではありません。

HCX を利用しない環境であれば問題ありませんが、本構成で HCX を利用することは非サポートとなりますのでご注意ください。

5. まとめ

今回は 、Azure VMware Solution とオンプレス間でのネットワーク接続方式を中心にご紹介しました。

慣れない用語等が多くて難しく感じられた方もいらっしゃるかと思いますが、正しく設計・活用いただくことで、ほかの Azure サービスともシームレスに連携できる環境を構成できますので、ぜひ設計時に検討してみてください。

関連記事