次の方法で共有

Azure Route Server を使用したマルチリージョン ネットワーク

最新のアプリケーションでは、多くの場合、高可用性、ディザスター リカバリー、パフォーマンスの要件を満たすために、複数の Azure リージョンにデプロイする必要があります。 Azure Route Server では、ネットワーク仮想アプライアンス (NVA) による一元化されたネットワーク制御を維持しながら、動的ルーティング機能を提供する高度なマルチリージョン ネットワーク アーキテクチャが可能になります。

この記事では、ExpressRoute との統合やルーティング ループを回避するための考慮事項など、Azure Route Server を使用してマルチリージョン トポロジを設計および実装する方法について説明します。

重要な概念

Azure Route Server を使用したマルチリージョン ネットワークには、いくつかの重要な概念が含まれます。

  • 動的ルート伝達: Azure Route Server は、Border Gateway Protocol (BGP) を介してリージョン間でルーティング情報を自動的に交換するため、ネットワーク トポロジの進化に合わせて手動でルート テーブルを管理する必要がなくなります。

  • 一元化されたネットワーク制御: リージョン間の直接仮想ネットワーク ピアリングとは異なり、Route Server を使用すると、トラフィックをハブベースの NVA 経由でフローでき、リージョン間のセキュリティ ポリシーとネットワークの可視性が維持されます。

  • 自動適応: アーキテクチャは、手動による介入なしに、新しいスポーク ネットワークの追加や接続の変更など、トポロジの変更に自動的に適応します。

アーキテクチャの概要

マルチリージョン アーキテクチャでは、グローバル仮想ネットワーク ピアリングを介して接続され、Azure Route Server インスタンスによって調整された、各リージョンのハブアンドスポーク トポロジが使用されます。

各ハブ仮想ネットワーク内の Azure Route Server を使用したマルチリージョン ネットワーク アーキテクチャを示す図。

コア コンポーネント

マルチリージョン アーキテクチャは、動的ルーティング機能を提供するために連携するいくつかの主要なコンポーネントで構成されています。 各リージョンには、ルーティングの決定を管理するために、Azure Route Server とネットワーク仮想アプライアンス (NVA) の両方をホストするハブ仮想ネットワークが含まれています。 アプリケーション ワークロードは、各リージョン内のスポーク仮想ネットワークにデプロイされ、ネットワーク インフラストラクチャとアプリケーション間の分離が維持されます。 ハブ仮想ネットワークは、リージョン間通信を可能にするために、グローバル仮想ネットワーク ピアリングを使用してリージョン間で接続されます。 ネットワーク アプライアンスは、セキュリティで保護されたトンネルを使用してリージョン間で通信し、ルーティング情報の同期を維持します。

トラフィック フロー

トラフィック フローは、マルチリージョン トポロジ全体で効率的なルーティングを保証する構造化されたパターンに従います。 Route Server は、ローカル スポーク ネットワークとそのリージョン内の NVA の両方からのルートを学習して、包括的なルーティング テーブルを構築します。 NVA は、リージョン間でセキュリティで保護されたトンネルを確立してルーティング情報を共有し、リージョン間接続を有効にします。 各ルート サーバーは、学習したルートをローカル スポーク ネットワークに伝達し、ワークロードがリモート リージョンの宛先に到達できるようにします。 新しいスポーク ネットワークの追加や接続の変更など、トポロジの変更が発生すると、アーキテクチャによって、手動による介入を必要とせずに、すべてのリージョンのルート更新が自動的にトリガーされます。

構成要件

このアーキテクチャを正常に実装するには、次のコンポーネントを構成します。

仮想ネットワーク ピアリングの設定

スポーク ネットワークをハブ ネットワークにピアリングするときに、[ リモート仮想ネットワークのゲートウェイまたはルート サーバーを使用 する] 設定を有効にします。 この構成では、次のことができます。

  • スポーク ネットワーク プレフィックスを NVA にアドバタイズするようにサーバーをルーティングする
  • 学習されたルートをスポークネットワークのルートテーブルに挿入すること
  • トポロジ全体にわたる動的ルート伝達

NVA トンネルの構成

カプセル化テクノロジを使用して NVA 間のセキュリティで保護された通信を確立します。

  • IPsec トンネル: リージョンの NVA 間で暗号化された通信を提供する
  • VXLAN オーバーレイ: リージョン間でレイヤー 2 拡張機能を有効にする

BGP AS パス操作

ルーティング ループを防ぐために BGP AS パスを変更するように NVA を構成します。

重要

NVA は、リモート リージョンから学習されたルートをアドバタイズするときに、AS パスから自律システム番号 (ASN) 65515 を削除する必要があります。 このプロセスは、"AS オーバーライド" または "AS パスの書き換え" と呼ばれ、BGP ループ防止メカニズムがルート学習をブロックすることを防ぎます。 この構成がないと、ルート サーバーは独自の ASN (65515) を含むルートを学習しません。

一般的な AS パス手法

AS パスのプリペンド - 経路を長く見せかけることで、ルーティングの判断に影響を与えます。

# Example for Cisco NVA
route-map PREPEND-AS permit 10
 set as-path prepend 65001 65001

AS パス のフィルター処理 - 特定の AS パスを持つルートをブロックします。

# Filter specific AS paths
ip as-path access-list 1 deny _65002_
route-map FILTER-AS permit 10
 match as-path 1

高可用性に関する考慮事項

回復性のあるマルチリージョン接続の場合:

  • 複数の NVA: 各リージョンに複数の NVA をデプロイする (Route Server では最大 8 つの BGP ピアがサポートされます)
  • AS パスのプリペンド] AS パスのプリペンドを使用して、アクティブ/スタンバイの NVA 関係を構築します
  • 冗長トンネル: フェールオーバー用にリージョン間の複数のトンネル接続を構成する

ExpressRoute の統合

複数リージョンのルート サーバー アーキテクチャは、ExpressRoute 回線と統合して、オンプレミス ネットワークへの接続を拡張できます。

Azure Route Server とオンプレミス ネットワークへの ExpressRoute 接続を使用したマルチリージョン アーキテクチャを示す図。

ExpressRoute 統合の利点

  • 簡略化されたルーティング: オンプレミスのプレフィックスは、NVA アドバタイズを介してのみ Azure に表示されます
  • 一元化された制御: すべてのトラフィックがハブ NVA を通過し、一貫したポリシーの適用を実現
  • オーバーレイの最適化: ExpressRoute 回線では、NVA 間のオーバーレイ ネットワークがサポートされます

設計に関する考慮事項

  • ルート アドバタイズ: ExpressRoute ゲートウェイのみに依存するのではなく、オンプレミスのルートをアドバタイズするように NVA を構成する
  • 帯域幅計画: ExpressRoute 回線がリージョン間のトラフィック負荷を処理できることを確認する
  • 冗長性: 高可用性のために複数の ExpressRoute 回線を検討する

オーバーレイ ネットワークを使用しない代替設計

オーバーレイ トンネルが推奨される方法ですが、ユーザー定義ルート (UDR) を使用してトンネルなしでマルチリージョン接続を実装できます。

オーバーレイ トンネルは、マルチリージョン アーキテクチャのルーティング ループに対する基本的な保護を提供します。 オーバーレイ トンネルがないと、リージョン 1 の NVA がリージョン 2 からプレフィックスを学習し、それらをローカル ルート サーバーにアドバタイズすると、ルーティング ループが発生する可能性があります。 次に、ルート サーバーは、NVA を次ホップとして使用して、すべてのリージョン 1 サブネットでこれらのルートをプログラムします。 NVA がリージョン 2 にトラフィックを送信しようとすると、独自のサブネット ルートがそれ自体を指し示し、リージョン間通信の成功を妨げるルーティング ループが作成されます。 オーバーレイ トンネルは、アンダーレイ ネットワーク (トンネルの確立に使用) とオーバーレイ ネットワーク (アプリケーション トラフィックに使用) の論理的な分離を作成することで、この問題を解決します。これにより、ループを作成することなく、リージョン間でトラフィックを正しく流すことができます。

UDR ベースの代替

オーバーレイ トンネルが環境内で実現できない場合は、ユーザー定義ルート (UDR) を使用して代替アプローチを実装できます。 この方法では、競合を引き起こす可能性のある自動ルート学習を防ぐために、NVA サブネットで BGP ルート伝達を無効にする必要があります。 その後、適切なネットワーク パスを介してリージョン間トラフィックを明示的にルーティングする UDR を作成して、静的ルートを構成する必要があります。 この方法は機能しますが、ネットワーク トポロジが時間の経過と同時に変化するにつれて、これらの静的ルートを手動で維持する運用上のオーバーヘッドを受け入れる必要があります。

Trade-offs

方法 Advantages Disadvantages
オーバーレイ トンネル 動的ルーティング、自動適応、セキュリティ より複雑な構成
UDR ベース よりシンプルな初期セットアップ 手動ルート管理、スケーラビリティの制限

次のステップ

複数リージョンのルート サーバー アーキテクチャを実装して最適化するには、次のリソースを参照してください。

  • Last updated on