[Azure] ハイブリッド ネットワークサービスについてまとめてみた

勉強資材

https://learn.microsoft.com/ja-jp/training/modules/design-implement-hybrid-networking/

Azure VPN Gateway

先に公開しているAz-700勉強メモでも記載したが、主にオンプレミスとの通信時に作成されるゲートウェイリソースになる。
Vnet to Vnetでも利用することができる。Vnet間の接続には、Vnetピアリングも存在する。両者の違いとしては、以下の表を参照すること。差分には、VPNの場合は通信を暗号化することができる。ピアリングの場合はできないので、MWにて暗号化を実装するといった考慮が必要になる。
表は誤植があるので注意、実際はVnetピアリングでもVPNゲートウェイでも暗号化は可能である。
https://learn.microsoft.com/ja-jp/azure/virtual-network/virtual-networks-faq#is-vnet-peering-traffic-encrypted
https://learn.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-ipsecikepolicy-rm-powershell
また、VPNの場合は、通信に余計なリソース(このゲートウェイ）が入ることになるので性能的にはピアリングの方が優れることになる。
暗号化がないといっても、完全にインターネットに出る。。。のではなく、Microsoftバックボーンネットワークを経由するため、外部からのアクセスは無いと言ってもいいのではないか。（傍受されたら非暗号化なのでヤバいけど、そもそもアクセスできないという）
https://logico-jp.io/2020/06/15/options-to-connect-vnets/

ゲートウェイは２種類存在する。VPNゲートウェイとは、基本的にはインターネットを使った接続になる。
専用線を使った接続の場合には、ExpressRouteゲートウェイになる。（ただし、ポイント対サイトやサイト対サイトでは利用できない。）
https://learn.microsoft.com/ja-jp/azure/expressroute/expressroute-about-virtual-network-gateways#gateway-types

• VPN Gateway の種類
  ポリシーベースとルートベースが存在する。要件によって使い分ける必要があるが、基本はルートベースを使うのがいいのだろう。MSのドキュメントにも大体ルートベースだよと記載がある。
  
  例えば、ExpressRouteとの共存の場合は、S2Sしか利用できないポリシーベースではダメになる。

ローカルネットワークゲートウェイとは

オンプレ側の場所を表すもの。これだけ見ると、オンプレ側に作るリソース？と思うが、実際にはVnet内部に作成するリソースになる。

P2SとS２Sの用途の違い

P2S:Vnetへの接続クライアントが数台に留まる時には便利。関係ないクライアントまで接続可能にしてしまうS2Sよりはセキュリティリスクが低いと考えられる。
S2S:クライアントが多い時に便利。

Virtual WANのネットワーク仮想アプライアンス(NVA)について

ハブとして、マイクロソフトベースのハブか、サードパーティー製品のハブを作成することができる。このサードパーティ製品がNVAとなる。クラウドリフトなどで、現行踏襲をする場合には選択肢になるのではないか。具体的なカバー製品は、以下を参照すること。
https://learn.microsoft.com/ja-jp/azure/virtual-wan/about-nva-hub