Zenn
📖

[Azure] Express Routeについてまとめてみた

2023/01/03に公開
Azure
Microsoft
#
VPN
#
expressroute
tech

勉強資材

https://learn.microsoft.com/ja-jp/training/modules/design-implement-azure-expressroute/

冗長化構成について

(正直あまり記載が分からなかったので、追加で調べた内容を記載)
マイクロソフト側で用意されるルータ(Microsoftエンタープライズエッジ(MSEE、Microsoft Edge))は、2台構成のActive/Activeで冗長化されている。
そのため、Microsoft側には単一障害点は存在しない。高可用性設計として重要になるのは、顧客側の回線の冗長化が大事とのこと。

オンプレ側の接続を同一施設内で実施すると、単一障害点になり得る。(もちろん、LRS的な感じで同一施設内での冗長化も必要だが…)
例えば、CE(オンプレルータ)が1台構成になってしまっているとか、PE(プロバイダー側でオンプレサイドのルータ)までの経路が非冗長化、PE自体が1台構成になっているなど、設計時の考慮が必要になる。図も合わせると、イメージしやすいはず。赤枠の記述には注意。

なので、可用性の観点で言うと、東京・大阪のようにクライアント側も冗長化が望ましい。
ただし、ネットワークパフォーマンスの考慮も必要になることは注意が必要。
プロバイダー側のサービスとしては、以下のようなサービスが存在する。上記で記述した、PEの冗長化の選択肢が紹介されている。
https://licensecounter.jp/azure/download/azure06_directaccess.pdf

冗長化の考え方として、上記はオンプレ側の記述だが、そもそもExpress Routeの回線自体の冗長化するという手段もあることを伝えておく。これは、「Azure側」のMSEE(例えば東京リージョンで)が被災する大規模災害を想定した冗長化になるだろう。
https://www.syuheiuda.com/?p=4929

暗号化について

Express Routeでは暗号化はデフォルトでONになっていない。MACsecとIPsecと呼ばれるプロトコルを有効にすることができる。前者はレイヤー2(直接接続されたノード)でエッジ間の暗号化・後者はレイヤー3(ネットワーク間の通信規約)でオンプレネットワークとVnet間の暗号化。ちょっと範囲が違うのだろう。ちなみに、ExpressRoute Directを利用した場合のみ、上記のオプションが利用可能になる。
MACsecの設定方法:
https://learn.microsoft.com/ja-jp/azure/expressroute/expressroute-howto-macsec
OSI参照モデル:
https://www.infraexpert.com/study/networking3.html

Express Routeに関連付けられるピアリング


プライベートピアリングと、Microsoftピアリングが存在する。
両者のざっくり違いとしては、プライベートIPでアクセスするのか、パブリックIPでアクセスするのかといったものである。
具体的には、プライベートピアリングの場合、VnetにデプロイされたIaaSやPaaSに対してアクセスするときに、オンプレ⇔Azure間でプライベートIPを使うようになる。
一方でMicrosoftピアリングの場合、Azure側にデプロイされるPaaSやSaaS(パブリックIP)に対して、オンプレ⇔Azure間でパブリックIPを使うようになる。また、Azureサービスだけでなく、M365サービスといったパブリックIPでアクセスされる前提のMicrosoft製品も含まれる。
https://learn.microsoft.com/ja-jp/azure/expressroute/expressroute-circuit-peerings
プライベートピアリング/Microsoft ピアリングに対しては、暗号化を構成することが可能。(IPsecっぽい。MACsecは物理レベルなのかな…ここで登場しないのは。)
https://learn.microsoft.com/ja-jp/azure/vpn-gateway/site-to-site-vpn-private-peering
https://learn.microsoft.com/ja-jp/azure/expressroute/site-to-site-vpn-over-microsoft-peering

ExpressRouteの作成場所とAzureリージョンの違いについて

Azureリージョンと、ExpressRouteを作成する場所は、厳密には同じ考え方になっていない。
以下を参照し、他のAzureサービスを作成するリージョンが、ExpressRouteでいうとどの場所に該当するかを確認すること。
https://learn.microsoft.com/ja-jp/azure/expressroute/expressroute-locations#locations
ExpressRoute Premiumアドオンの価格モデルを採用すれば、あらゆるリージョンのAzureサービスに接続できるらしいが、従量課金や無制限データモデルだと、適切なマッピングが必要になる。

ExpressRouteの価格プランについて

4種類存在する。
無制限データプラン・従量課金データプラン・Directが存在する。それぞれに、Local・Standard・Premiumが存在する。正し、従量課金だけ、Localプランは存在しない。
Directの場合は、ネットワークを最も近いEdgeノードに接続する。さらにそこから、Microsoftグローバルネットワークに接続する。
https://azure.microsoft.com/ja-jp/pricing/details/expressroute/

ExpressRoute作成時に気になったこと(ProviderモデルとDirectモデル)

Providerモデル:PEとMSEEの接続について、プロバイダーが間に入る。仮想的には直接PEとMSEEが接続されているように見える。帯域は50Mbps~10Gbpsが確保されている。
Directモデル:PEとMSEEの接続について、プロバイダのネットワークは利用せずに、直接光ファイバーで接続する。10Gbpsまたは100Gbpsの帯域が確保され、確保した回線を切り出すことができる。(例えば、10Gbpsの論理的な回線を10本)
https://atbex.attokyo.co.jp/blog/detail/39/

Discussion