Microsoft Azure仮想WAN
Microsoft Azure Virtual WANとCitrix SD-WANは、ハイブリッドクラウドワークロード全体のネットワーク接続と集中管理を簡素化します。ブランチアプライアンスの構成を自動化してAzure WANに接続し、ビジネス要件に応じてブランチトラフィック管理ポリシーを構成できます。組み込みのダッシュボードインターフェースは、時間を節約し、大規模なサイト間接続の可視性を提供するインスタントトラブルシューティングの洞察を提供します。
Microsoft Azure Virtual WANを使用すると、Azure Cloudワークロードへの接続を簡素化し、Azureバックボーンネットワークを越えてトラフィックをルーティングできます。Azureには54以上のリージョンがあり、世界中に複数の拠点が存在します。Azureリージョンは、ブランチに接続するために選択できるハブとして機能します。ブランチが接続されたら、ハブ間接続を介してAzureクラウドサービスを使用します。Azure VNETとのハブピアリングを含む複数のAzureサービスを適用することで、接続を簡素化できます。ハブは、ブランチのトラフィックゲートウェイとして機能します。
Microsoft Azure Virtual WANには次の利点があります。
-
ハブアンドスポークの統合接続ソリューション-接続パートナーソリューションを含むさまざまなソースからのオンプレミスとAzureハブ間のサイト間接続と構成を自動化します。
-
自動セットアップと構成–仮想ネットワークをAzureハブにシームレスに接続します。
-
直感的なトラブルシューティング — Azure 内でエンドツーエンドのフローを確認し、この情報を使用して必要なアクションを実行できます。
ハブ間通信
11.1.0リリース以降、Azure仮想WANは、 標準 タイプの方法を使用したハブ間通信をサポートしています。
Azure Virtual WANのお客様は、リージョン間のハブ間通信(グローバルトランジットネットワークアーキテクチャ)にMicrosoftのグローバルバックボーンネットワークを活用できるようになりました。これにより、ブランチからAzure、ブランチからブランチへのAzureバックボーン、ブランチからハブ(すべてのAzureリージョン)の通信が可能になります。
Azure仮想WAN用の標準SKUを購入した場合にのみ、リージョン間通信にAzureのバックボーンを利用できます。料金の詳細については、「 仮想 WAN の料金」を参照してください。Basic SKUでは、リージョン間のハブ間通信にAzureのバックボーンを使用できません。詳細については、 グローバルトランジットネットワークアーキテクチャと仮想 WANを参照してください。
ハブはすべて仮想WANで相互に接続されています。これは、ローカルハブに接続されたブランチ、ユーザー、またはVNetが、接続されたハブのフルメッシュアーキテクチャを使用して別のブランチまたはVNetと通信できることを意味します。
ハブ間接続フレームワークを使用して、仮想ハブを通過するハブ内のVNet、およびハブ間でVNetを接続することもできます。
仮想WANには2つのタイプがあります。
-
ベーシック: 基本的な 方法を使用すると、ハブ間の通信は1つのリージョン内で行われます。基本的な WANタイプは、基本的なハブ(SKU = 基本)。基本的なハブは、サイト間VPN機能に制限されています。
-
標準: 標準的な 方法を使用すると、ハブ間通信は異なるリージョン間で行われます。標準 WANは、標準ハブ(SKUの作成に役立ちます = 標準)。標準 ハブには、ExpressRoute、ユーザーVPN(P2S)、フルメッシュハブ、およびハブを介したVNet-to-VNetトランジットが含まれます。
Microsoft AzureでAzure Virtual WANサービスを作成する
Azure Virtual WANリソースを作成するには、次の手順を実行します。
-
Azureポータルにログインし、[ リソースの作成]をクリックします 。
-
仮想WAN を検索し、[ 作成]をクリックします 。
-
[ 基本]で、次のフィールドに値を入力します。
-
申し込み: ドロップダウンリストからサブスクリプションの詳細を選択して提供します。
-
リソースグループ: 既存のリソースグループを選択するか、新しいリソースグループを作成します。
注
Azure API通信を許可するサービスプリンシパルを作成するときは、仮想WANを含む同じリソースグループを使用するようにしてください。そうしないと、SD-WANオーケストレーターには、自動接続を可能にするAzure Virtual WAN APIを認証するための十分な権限がありません。
-
リソースグループの場所: ドロップダウンリストからAzureリージョンを選択します。
- 名前: 新しい仮想WANの名前を入力します。
- タイプ: 異なるリージョン間でハブ間通信を使用する場合は[ 標準 ] タイプを選択し、それ以外の場合は[ 基本 ]を選択します。
-
- [Review + create] をクリックします。
- 仮想WANを作成するために入力した詳細を確認し、[ 作成 ]をクリックして仮想WANの作成を完了します。
リソースのデプロイには1分もかかりません。
注意
基本から標準にアップグレードできますが、標準から基本に戻すことはできません。仮想 WAN をアップグレードする手順については、 仮想 WAN を基本から標準にアップグレードするを参照してください。
Azure Virtual WANでハブを作成する
次の手順を実行して、さまざまなエンドポイント(オンプレミスVPNデバイス、SD-WANデバイスなど)からの接続を可能にするハブを作成します。
- 以前に作成したAzure Virtual WANを選択します。
-
[ 接続 ]セクションで[ ハブ ]を選択し、 + 新しいハブ。
-
[ 基本]で、次のフィールドに値を入力します。
- リージョン –ドロップダウンリストからAzure リージョンを選択します。
- 名前 –新しいハブの名前を入力します。
- ハブのプライベートアドレススペース – CIDRにアドレス範囲を入力します。ハブ専用の一意のネットワークを選択してください。
-
[ 次へ]を クリックします:サイト間 > 次のフィールドに値を入力します。
- サイト間(VPNゲートウェイ)を作成しますか? – はいを選択します。
-
Gatewayスケール単位 –必要に応じて、ドロップダウンリストからスケール単位を選択します。
- [Review + create] をクリックします。
- 設定を確認し、[ 作成 ]をクリックして仮想HUBの作成を開始します 。
リソースのデプロイには最大30分かかる場合があります。
Azure Virtual WANのサービスプリンシパルを作成し、IDを特定する
SD-WANオーケストレーターがAzure Virtual WAN APIを介して認証し、自動接続を有効にするには、登録されたアプリケーションを作成して、次の認証資格情報で識別する必要があります。
- サブスクリプション ID
- クライアント ID
- クライアントシークレット
- テナント ID
注
Azure API通信を許可するサービスプリンシパルを作成するときは、仮想WANを含む同じリソースグループを使用するようにしてください。そうしないと、SD-WANオーケストレーターには、自動接続を可能にするAzure Virtual WAN APIを認証するための十分な権限がありません。
新しいアプリケーション登録を作成するには、次の手順を実行します。
- Azureポータルで、 Azure Active Directoryに移動します。
- [管理]で[ アプリの登録]を選択します。
-
[ + 新規登録] をクリックします。
-
次のフィールドに値を入力して、アプリケーションを登録します。
- 名前 –アプリケーション登録の名前を入力します。
- サポートされるアカウントの種類 –この組織ディレクトリのアカウントのみを選択します (* -シングルテナント)オプション。
- リダイレクトURI(オプション) –ドロップダウンリストから[Web]を選択し、ランダムな一意のURL(たとえば、 https:// localhost:4980)
- [登録] をクリックします。
APIの使用のために、Azureサブスクリプションへの認証にSD-WAN Orchestratorで使用できる アプリケーション(クライアント)ID と ディレクトリ(テナント)ID をコピーして保存できます。
アプリケーション登録の次のステップでは、認証のためにサービスプリンシパルキーを作成します。
サービスプリンシパルキーを作成するには、次の手順を実行します。
- Azureポータルで、 Azure Active Directoryに移動します。
- [管理]で、 [ アプリの登録]に移動します。
- 登録済みのアプリケーション(以前に作成したもの)を選択します。
- [ 管理] で、[ 証明書とシークレット] を選択します。
-
[ クライアントシークレット]で、 + 新しいクライアントシークレット。
- クライアントシークレットを追加するには、次のフィールドに値を入力します。
- 説明: サービスプリンシパルキーの名前を指定します。
- 期限切れ: 必要に応じて、有効期限を選択します。
- [追加] をクリックします。
-
[ 値 ]列でクライアントシークレットが無効になっています。キーをクリップボードにコピーします。これは、SD-WANオーケストレータに入力する必要があるクライアントシークレットです。
注意
後で表示されなくなるため、ページをリロードする前に秘密鍵の値をコピーして保存する必要があります。
認証の目的で適切な役割を割り当てるには、次の手順を実行します。
- Azureポータルで、仮想WANが作成された リソースグループに 移動します。
- アクセス制御(IAM)に移動します。
-
クリック + [ 役割の割り当てを追加]を選択します。
-
役割の割り当てを追加するには、次のフィールドに値を入力します。
- 役割 –ドロップダウンリストから[所有者]を選択します。この役割は、リソースへのアクセスを含むすべての管理を許可します。
- アクセスの割り当て – Azure ADユーザー、グループ、 または サービスプリンシパルを選択します。
- 選択 -以前に作成した登録済みアプリケーションの名前を入力し、対応するエントリが表示されたら選択します。
-
[Save] をクリックします。
最後に、AzureアカウントのサブスクリプションIDを取得する必要があります。Azureポータルでサブスクリプションを検索すると、 サブスクリプションID を識別できます。
仮想WANを作成したら、 SD-WAN Center UI> 構成 > Azure> 仮想WAN にログインします。
2つの異なるサイトを選択して、展開を開始します。サイトを展開したら、両方のサイトを2つの異なるハブに関連付けることができます。
メモ デフォルトでは、ブランチ間とBGPは無効になっています。静的ルートを作成するか、BGP(設定の下)およびブランチ間接続を有効にすることができます。
BGPおよびブランチツーブランチチェックボックスを有効にして、トンネルを展開します。トンネルが正常にデプロイされたら、 Microsoft Azure>リソースグループでステータスを確認し、作成したリソースグループを選択し、[VPNサイト]をクリックします 。