仮想ネットワーク同士をつなぐピアリングでAzureとの接続をシームレスに行おう
ピアリングとは
「ピアリング」とは、ISP等の独自の運用ポリシーを持ったインターネットに接続する組織は、自律システム(AS(Autonomous System))としてAS番号を取得し、他のASとの接続参加をインターネットを介して実現します。その際、AS間での経路交換時にBGP(Border Gateway Protocol)を利用しています。その時BGPを利用するルーター同士の接続を「ピアリング」といいます。
一対の通信機器同士やネットワーク同士がお互いに相手を認識・承認しあって通信しあえる状態のことを言います。
ピアリングの形態
<パブリックピアリング>
IX(Internet Exchange)事業者が運営するスイッチングハブ群に多数の自律システム(AS)を物理的に接続させて当該IXに接続しているAS同士が論理的にピアリングしているどうかを個別で決める形態を言います。よっては物理的回線をピアリングの数だけ設営することなく、効率的に多くのネットワークと接続できます。
<プライベートピアリング>
多対多のプライベートピアリングとは異なり、「プライベートピアリングは1:1」でAS間を直接繋ぐピアリングになります。接続の際には専用の回線を要するため、回線コストが重要になってきます。
Azureにおけるピアリング
<仮想ネットワーク>
「Azure」におけるピアリングはAzureの仮想ネットワーク同士をシームレスに接続します。Azureの仮想ネットワーク同士をAzureのバックボーンを利用して接続しているということです。よっては、仮想ネットワークそのものが独立しているため、通常の仮想ネットワークを介しても接続ができないということでもあります。
通常は「ゲートウェイサブネット」と「ゲートウェイ」を作成して接続する必要があります。しかし、「仮想ネットワーク ピアリング」機能を使用することで複数の仮想ネットワーク同士をゲートウェイなしで接続が可能となります。さらに「Azureの専用バックボーン機能」を利用することでより効率的な展開ができ、より高いパフォーマンスが望めます。
<サポート>
Azureにおけるピアリングのサポートは以下の種類が提供されています
- 1.仮想ネットワーク ピアリング
- 2.グローバル 仮想ネットワーク ピアリング
同じAzureリージョン内の仮想ネットワークを接続する。
Azureリージョン間で仮想ネットワークに接続する。
<利点>
以下の利点はローカル・グローバル間での仮想ネットワークピアリングの利点です。
- 1.異なるネットワークのリソース間でも、待機時間が短く、広帯域幅での接続が可能。
- 2.1仮想ネットワーク内のリソースは別の仮想ネットワーク内のリソースでの通信が可能。
- 3.Azureサブスクリプション、AADテナント(Azure Active Directory)、デプロイモデル、Azureリージョン間で仮想ネットワークを介してデータ転送できる機能がある。
- 4.ARM(Azure Resource Manager)で作成したネットワークをピアリングする機能。
- 5.ピアリング作成前後の仮想ネットワークのリソースにはダウンタイムが発生しない。
- 6.ARMを使用して作成したネットワークをクラシックデプロイメントモデルで作成したものとのピアリングをする機能。
<デプロイモデル>
「デプロイモデル」とはクラウドサービスの基盤を言います。
Resource Manager デプロイモデルとクラシックデプロイモデルにおいてクラウドサービスの基盤が異なります。基本的にシステムごとにデプロイモデルは統一する必要があるのでそれぞれ異なるサービス基盤を持った者同士が混在する構成はなく、どちらか一方を使用するかを決めておく必要があります。そのため、リソースのデプロイと管理を効率よく行うのであれば、すべての新しいリソースにResource Managerを利用することが望ましいです。
「Azure Resource Manager」とは、Azureにおけるデプロイおよび管理サービスのことです。主に利用しているAzureリソースを作成し、更新、および削除できる管理レイヤーの提供をしています。加えて、アクセス制御やロック、タグ等の管理機能を使用してデプロイ後のリソース保護、整理を行います。
また、管理レイヤーは一貫性を採用しています。例えば、利用者がAzureツール、API、SDKのいずれかから要求を送信すると、Resource Managerがその要求を受信して認証と承認が行われます。これらはすべての要求は同一のAPIを介して処理を行います。そのため、異なるツールで一貫した結果と機能が得られます。
<利点>
Resource Managerの利点
- 1.宣言型のテンプレートを利用したインフラストラクチャーを管理。
- 2.ソリューションのリソースを「個別」ではなく「グループ」として監視、管理、デプロイしている。
- 3.リソース間の依存関係を定義して正しい順序でデプロイされるようにしている。
- 4.ロールベースのアクセス制御が管理プラットフォームにネイティブ統合されているため、すべてのサービスにアクセス制御を適用可能。
- 5.リソースは必ず一貫した状態でデプロイされる。
- 6.タグをリソースに適用して、サブスクリプションのすべてのリソースを論理的に整理する。
- 7.同一のタグを共有することでリソースグループのコストを表示して組織の課金額を分かりやすくする。
ピアリングの注意点・制限
Azureのピアリングは「仮想ネットワーク同士をAzureのバックボーンを利用して接続」し「広帯域」で接続ができますが、送受信ともに「データ転送料」が発生します。また以下の制限が発生するのでご注意ください。
- 1.IPセグメントが重複していないこと。
- 2.異なるサブスクリプションでもピアリングが可能。
- 3.Resource Managerからクラシック間のピアリングも可能。
- 4.クラシックデプロイモデル同士のピアリングは不可能。
- 5.ピアリング後の仮想ネットワーク空間に対してのアドレス範囲の追加と削除の実行は不可能。
IPセグメント、つまりは仮想ネットワークのIPアドレス空間の重複ではピアリングはできません。重複した状態は通信障害発生の原因に繋がるので注意が必要です。
異なるサブスクリプション、また同じサブスクリプションでもピアリングはできます。
異なるサブスクリプション同士での接続は、双方のサブスクリプションを同一か異なるAADテナントに関連付けすることが可能です。また所持していない場合は作成もできます。ただし、ポータルから、異なるAADテナントに関連付けされている場合のピアリングは非サポートとなります。
Resource Managerを利用して作成した仮想ネットワークを、クラシックデプロイモデルを利用した仮想ネットワークとピアリングする際は、Resource Managerを使用してデプロイしたネットワークのみをピアリングだけを構築します。
どちらもクラシックで作成された仮想ネットワークをピアリングする場合は、「Azure VPN Gateway」を使用すると、接続が可能になります。
アドレス範囲の追加や削除を行うには一度、ピアリングを削除して、「アドレス範囲の追加、または削除を行って」からピアリングを再作成する必要があります。
まとめ
自律システムは大なり小なりと様々な規模のネットワークが存在します。「ピアリング」は仮想ネットワークにおける自律システムの相互間での接続であり、それは双方において「利害が一致した」という上で成り立っています。「一方にメリットがある形」はなく「双方にメリットがある形」でのみ成立します。例えば、同等規模のインターネットサービスプロバイダー同士であれば、相互間で通信費用や遅延が減るというメリットがあるためピアリングが成立します。
また、Resource ManagerによってAzureのデプロイ、管理サービスを一貫性で管理しており、「クラシックデプロイモデル」とは異なる管理方法です。それゆえに、Azure標準機能で管理できることにより、管理体制が大幅に改善されます