SD-WAN 登場! Azure Virtual WAN を試す!

2018/7/20 Virtual Network

Azureのネットワーク構成に大きな影響を与えそうな、「Azure Virtual WAN」がプレビューで登場しました。大きな特徴として、Azure上でハブ&スポーク構成が組める点、Azure Virtual WAN対応機器に対して、VPN接続のための設定&投入が自動で行われる点にあります。

さっそく、構成を確認してみましょう!

・Virtual Hubは、Active/Activeでデプロイされる。
・Virtual Hub ~ 仮想ネットワーク間はピアリングにて接続される。
・ルーティングテーブルは自動で作成される。
・このネットワーク構成内においては、全ての間で通信が可能
・最大接続数1000
・最大スループット20Gbps ※MAX 20 scale units なのだがA/Aなので

【Azure Virtual WAN の注意点】

・仮想ネットワークは、複数のVirtual Hubに接続できない
・VPN Gatewayが存在する仮想ネットワークは、Virtual Hubに接続できない
・Virtual Hubに接続できる仮想ネットワークは、同じリージョンである必要がある
・Virtual Hubは、各リージョンに対して1つのみ作成可能
・Virtual Hub同士の接続ができない
・オンプレミスとの接続にExpressRouteが対応(プレビュー)
・ポイント対サイト(P2S)に対応(プレビュー)

全体の流れ

Step1:仮想ネットワーク(VNet)の作成 ※省略します。
Step2:Azure Virtual WANの作成
Step3:Virtual Hubの作成
Step4:仮想ネットワーク(VNet)との接続 ※VNetと接続する場合のみ
Step5:VPNサイト(オンプレミス)の作成 ※オンプレと接続する場合のみ

Step1:仮想ネットワーク(VNet)の作成

事前に下記環境を作成しておきます。
・リソースグループ
仮想ネットワーク

Step2:Azure Virtual WANの作成

[+新規]ー[検索:Virtual WAN]ー[Virtual WAN]を選択

名前:表示名
サブスクリプション:Azureサービスの提供範囲
リソースグループ:グループ名(複数のリソースを1つにグループ化する機能)
リソースの場所:デプロイするAzureのリージョン

Step3:Virtual Hubの作成

作成した[仮想 WAN]を選択ー[Hubs]ー[新しいハブ]

場所:仮想ハブを作成する場所
名前:表示名
ハブ プライベート アドレス空間:Virtual Hub用のセグメント[/24]以上
Include vpn gateway for vpn sites:オンプレと接続する際は必要
AS Number:
ーPrivate ASN [64512~65534]から指定
ーAzure予約済み[65515、65517、65518、65519、65520]
Gateway scale units:※unit数に関係なく約30分

Step4:仮想ネットワーク(VNet)との接続

作成した[仮想 WAN]を選択ー[仮想ネットワーク接続]ー[接続の追加]

接続名:表示名
ハブ:作成したVirtual Hubから選択
サブスクリプション:Azureサービスの提供範囲
仮想ネットワーク:ハブと同一リージョンの仮想ネットワーク(VNet)から選択

指定した仮想ネットワークとハブ間にてピアリングが作成されます。
※複数の仮想ネットワークをハブに接続すると、ハブを経由して仮想ネットワーク同士が接続できます。

Step5:VPNサイト(オンプレミス)の作成

作成した[仮想 WAN]を選択ー[VPNサイト]ー[サイトの作成]

名前:※オンプレミス拠点名
パブリックIPアドレス:※オンプレミスGWのIP
プライベート アドレス空間:※オンプレミスのIPセグメント
サブスクリプション:Azureサービスの提供範囲
リソースグループ:グループ名(複数のリソースを1つにグループ化する機能)
場所:デプロイするAzureのリージョン
BGP:BGP利用の有無
ビアリングアドレス:BGPピアアドレスを指定
ASN:Private ASN [64512~65534]から指定
ピアの重み:重い方が優先 ※設定しても[32768]になる気がする
リンク速度:※管理上の情報
デバイス ベンダー:※管理上の情報
デバイス モデル:※管理上の情報

作成した[サイト]を選択ー[新しいハブの関連付け]

ハブ:作成したVirtual Hubから選択
PSK:IPsec用の共有鍵 ※5~128文字

以上で、設定完了です!

ルーティングテーブルの確認

ルーティング設定を一切行っていないのですが、本当に通信ができるのでしょうか?
仮想ネットワーク VNet(192.168.211.0/24)上からのルーティングを確認します。
オンプレミス(192.168.200.0/24) と VNet(192.168.212.0/24) へのルーティングが自動で追加されている事が確認できます。
オンプレミス(192.168.200.0/24)には、Active/Active構成にしたので、2本確認できます。※ちなみに、UDRも設定可能

おまけ

[VPN構成をダウンロードする]を選択すると、作成したサイトの設定情報やVirtual Hubの設定情報を見る事ができます。※サイト作成後にダウンロード可能
Azure Virtual WAN対応ルータは、この設定ファイルを自動で投入しVPN接続を行う。

@tushigami