2023 年 5 月に、すべての Virtual WAN ユーザー向けのルーティング意図とルーティング ポリシーの一般提供を発表しました。この機能は、Virtual WAN ルーティング インフラストラクチャを利用し、Azure Firewall のお客様がプライベート トラフィックとインターネット トラフィックのポリシーを設定できるようにします。また、ネットワーク仮想アプライアンスや、ファイアウォール機能を提供するサービスとしてのソフトウェア (SaaS) ソリューションなど、Azure Virtual WAN 内にデプロイされているすべてのファイアウォール ソリューションに同じルーティング機能を拡張しています。
ルーティングインテントは、ユーザーが Virtual WAN ハブ間のトラフィックをセキュリティで保護し、Virtual WAN ハブを通過する異なるオンプレミス (ブランチ/ExpressRoute/SD-WAN) 間のトラフィックを検査できる、2 つのセキュリティで保護されたハブのユース ケースも完了します。
サービスとしてのネットワークである Azure Virtual WAN (vWAN) は、ネットワーク、セキュリティ、ルーティングの機能を組み合わせて、Azure でのネットワークを簡素化します。vWAN には使いやすさとシンプルさが組み込まれており、トラフィックの接続、保護、ルーティング、広範なネットワークの監視をすべて 1 か所で行えます。
このブログでは、まずルーティング意図のユース ケース、製品エクスペリエンスについて説明し、Virtual WAN でルーティング意図を使用するための追加の考慮事項とリソースをまとめます。
Virtual WAN のユース ケース
ルーティングインテントを使用して、Virtual WAN 内のトラフィックを複数の方法でエンジニアリングできます。メインのユース ケースを次に示します。
仮想ネットワークとオンプレミスのルーティング ポリシーを適用する
多数のルートを持つハブアンドスポーク ネットワーク アーキテクチャを実装しているお客様は、ネットワークの理解、メイン、トラブルシューティングが困難であることがよくあります。Virtual WAN では、Azure Virtual Networks とオンプレミス (ExpressRoute、VPN、SD-WAN) の間のトラフィックに対して、これらのルートを簡略化できます。
Virtual WAN を使用すると、シンプルで宣言型のプライベート ルーティング ポリシーを構成できるため、お客様にとってこれが簡単になります。プライベート ルーティング ポリシーは、Virtual WAN に接続されているすべての Azure 仮想ネットワークとオンプレミス ネットワークに適用されることを前提としています。現在、Virtual Network とオンプレミス プレフィックスのその他のカスタマイズはサポートされていません。プライベート ルーティング ポリシーは、仮想ハブにデプロイされたセキュリティ ソリューションを介して 2 つの異なるオンプレミス (1) 間の転送を可能にするために、基になる Virtual WAN ルーティング インフラストラクチャをプログラミングするように Virtual WAN に指示します。また、仮想ハブにデプロイされたセキュリティ ソリューションを介して、2 つの Azure Virtual Network (2) 間、または Azure Virtual Network とオンプレミス エンドポイント (3) 間のトラフィック転送も可能になります。ハブにデプロイされた Azure Firewall、ネットワーク仮想アプライアンス、サービスとしてのソフトウェア ソリューションでも、同じトラフィックユース ケースがサポートされています。
インターネット トラフィックにルーティング ポリシーを適用する
Virtual WAN を使用すると、既定の (0.0.0.0/0) ルートを Azure Virtual Networks とオンプレミスにアドバタイズするために、インターネット トラフィックのルーティング ポリシーを設定できます。インターネット トラフィック ルーティング構成を使用すると、ハブ内のセキュリティ アプライアンスにインターネット送信トラフィック (1) を送信するように Azure Virtual Networks とオンプレミス ネットワークを構成できます。また、外部ユーザーに Azure Virtual Network またはオンプレミスのアプリケーションへのアクセスを提供する場合は、セキュリティ アプライアンスの宛先ネットワーク アドレス変換 (DNAT) 機能を利用することもできます (2)。
ハブ間リージョン間トラフィックにルーティング ポリシーを適用する
Virtual WAN は、Virtual WAN 全体のすべての Virtual Hub をフル メッシュで自動的にデプロイし、Microsoft グローバル バックボーンを使用して、ゼロタッチの任意のリージョン間接続とハブ間接続を提供します。ルーティング ポリシーは、2 つの Azure 仮想ネットワーク (1)、2 つのオンプレミス (2)、および Azure Virtual Network と異なるハブに接続されているオンプレミス (3) 間のハブ間およびリージョン間のトラフィックを検査するように Virtual WAN をプログラムします。ハブに出入りするすべてのパケットは、最終的な宛先にルーティングされる前に、仮想ハブにデプロイされたセキュリティ ソリューションにルーティングされます。
ルーティング意図のユーザー エクスペリエンス
ルーティング意図を使用するには、Virtual WAN ハブに移動します。[ルーティング] で、[ルーティングの意図とルーティング ポリシー] を選択します。
次ホップの種類 (Azure Firewall、ネットワーク仮想アプライアンス、または SaaS ソリューション) と対応する次ホップ リソースを選択して、ハブにデプロイされたセキュリティ ソリューションにトラフィックを送信するようにインターネットまたはプライベート ルーティング ポリシーを構成します。
Azure Firewall のお客様は、"ハブ間" 設定を有効にすることで、Azure Firewall Manager を使用してルーティング意図を構成することもできます。
ルーティングの意図を構成したら、仮想ハブに移動して [ルーティング] を選択し、[有効なルート] をクリックすることで、セキュリティ ソリューションの有効なルートを表示できます。セキュリティ ソリューションの有効なルートにより、Virtual WAN が仮想ハブのセキュリティ ソリューションによって検査されたトラフィックをルーティングする方法をトラブルシューティングするための可視性が向上します。
この機能を開始する前に、いくつかの重要な考慮事項を次に示します。
- この機能は、仮想ネットワークとオンプレミスのトラフィックをプライベート トラフィックと見なすユーザーに対応します。Virtual WAN は、すべての仮想ネットワークとオンプレミス トラフィックにプライベート ルーティング ポリシーを適用します。
- ルーティング意図は、Virtual WAN に接続された仮想ネットワーク スポークに デプロイされたネットワーク仮想アプライアンス (NVA) を指す "defaultRouteTable" 内のカスタム ルーティングと静的ルートと相互に排他的です。その結果、ユーザーがカスタム ルート テーブルまたは NVA インスポークユース ケースを使用しているユース ケースは適用されません。
- ルーティングインテントは、オンプレミスネットワークへの Virtual WAN へのすべての接続に対応するプレフィックスをアドバタイズします。ユーザーは、ルート マップを使用してルートを集計および集計し、定義された一致条件に基づいてフィルター処理できます。
Azure Virtual WAN の詳細
Microsoft は今後も、Azure Virtual WAN の構築に取り組み、さらに多くの機能を追加してまいります。Azure Virtual WAN のルーティングインテント機能を試してみることをお勧めします。フィードバックを製品に組み込むためのエクスペリエンスの詳細をお待ちしております。