先人の知恵を借りて自宅に Azure の S2S VPN の検証環境を固定 IPで作成してみる で投稿しましたが、検証目的で Azure と VPN 接続をできるように TP-Link の ER605 を持っています。(過去からの TP-Link の機器についての批評はいろいろありますが、ファームを最新化して、常時起動の機器としてではなく、ネットワーク系の検証を行う場合だけ取り出して使用しています)
これを使用して Azure にハブネットワークを VNET ベースで作成し、Azure / オンプレミスをスポークとして接続した際に調べた内容をメモとして。
一読しておきたい情報
ハブアンドスポークのネットワークを構築するに際して確認しておきたい情報としては次のようなものがあります。
- Azure のハブスポーク ネットワーク トポロジ
- Hub – Spoke で Spoke 間はなぜつながらないのか
- ExpressRoute 経由で hub-spoke1-spoke2 の spoke2 までは届きません!
- Azure で 2リージョンでの VNET の Hub-Spoke 構成・オンプレ接続 (VPN) を Terraformで構築
- 10.Spoke B (PaaS) DMZ WAF の作成
- Azure networking topologies and data transfer costs estimates for architects
- Azure networking topologies and data transfer costs for cloud architects #2
- Azure networking topologies and data transfer costs for cloud architects #3
どのようなリソース / 設定が必要となるかについてはこれらのドキュメントを確認しておくとよいのではないでしょうか。
ER605 で複数のリモートサブネットを指定する方法
ER605 の VPN の設定で、リモートのサブネットの指定は単一となっています。
ハブアンドスポークの場合、複数のリモートサブネットが必要となるかと思いますが、ER605 の VPN の設定では単一設定で複数のリモートサブネットを指定することができません。
どのように対応するかについては How to configure IPSec LAN to LAN VPN for multiple subnets using the new GUI の情報になるのではないでしょうか。
単一の設定では一つのリモートサブネットしか指定できませんので、各リモートサブネット向けの設定を行うことになります。
本来は BGP を使用するべきなのでしょうが、ER605 は BGP が使用できないため、Azure のスポークネットワーク分リモートサブネットを登録しておき、スポークネットワークの通信を VPN 経由で流すようにしておきます。
Azure Virtual Network Manager の活用
ハブアンドスポークのネットワーク構成の場合、スポークのネットワークをハブネットワークに VNET ピアリングしていくことになります。
VNET ピアリングの設定については、以前は各 VNET でピアリングしていたかと思いますが、現在は、Azure Virtual Network Manager を使用することで容易に展開することができるようになっています。
Azure Virutal Netowkr Manager はコストが発生するリソースとなりますが、この機能を使用した際の利点に含まれている次の内容は興味深いのではないでしょうか。
ハブとスポークの構成でスポーク間の直接通信を可能にします。このとき、メッシュ ネットワークの管理が複雑になることはありません。
仮想ネットワーク間の接続の確立に関して、接続グループは仮想ネットワーク ピアリングとどのような違いがありますか? にも情報が記載されているので、従来までは Azure Firewall 等を入れて実現していた箇所がどのように実現されているかは確認しておきたいですね。
(直接接続 によるオーバーレイによる実現のように見えますが)
Azure でハブ アンド スポーク トポロジを作成する – Portal に記載されている操作で容易にハブアンドスポークのネットワーク構成をとることができ、スポークの VNET を増やす場合には、Network Manager のネットワークグループに VNET を追加し、構成を再デプロイすることで、自動的に VNET ピアリングが構成されますので、かなり便利でした。
設定を削除するデプロイもできるため、VNET ピアリングの全解除についても容易に実施することができます。