異なるサブスクリプションの ExpressRoute 回線を利用する
はじめに
今回は、異なるサブスクリプションにある ExpressRoute 回線を利用する手順(1つの ExpressRoute 回線を、複数のプロジェクトで共用する場合の手順)を、ExpressRoute 回線を管理する回線管理者 と 回線を利用するプロジェクト担当者 というイメージで整理してみたいと思います。
No | 概要 | 担当者 |
---|---|---|
1 | Express Route 回線で承認を作成 | 回線管理者 |
2 | Express Route リソースID と 作成した承認キーを連絡 | 回線管理者 → 各プロジェクト側の担当者 |
3 | Express Route 仮想ネットワークゲートウェイ を作成する | 各プロジェクト側の担当者 |
4 | 接続 を作成する | 各プロジェクト側の担当者 |
5 | 動作を確認 | 各プロジェクト側の担当者 |
なお、参考となる公開ドキュメントはこちらです。
No.1 ExpressRoute 回線で承認を作成 : 回線管理者
ExpressRoute Circuit は作成済みの状態から始めます。
ExpressRoute Circuit の 左側メニュー [承認] を選択します。
右側、空欄部分に、任意の名前を入力し、[保存] をすることで 承認キー を作成できます。
作成は、すぐ(1分以内)完了すると思います。
No.2 ExpressRoute リソースID と 作成した承認キーを連絡 : 回線管理者 → プロジェクト側の担当者
ExpressRoute の リソースID と、作成された承認キーをコピーし、プロジェクト側の担当者へ連絡します。
No.3 仮想ネットワークゲートウェイを作る : プロジェクト側の担当者
Azure Portal から [ゲートウェイ] と検索し、[仮想ネットワークゲートウェイ] を選択します。
[+作成] を選択して作成を開始します。
名前や SKU、リージョンなどを入力して作成します。
なお、ゲートウェイの種類は ExpressRoute を選択します。
また、Subnet名は "GatewaySubnet" である必要があります。
No.4 接続を作成する : プロジェクト側の担当者
仮想ネットワークゲートウェイが作成されたら、[接続] を選択します。
上部の [+追加] から、接続の作成を開始します。
接続の種類は ExpressRoute を選択し、接続の名前を入力します。
承認を利用する、にチェックを入れ、
回線管理者から No2. で受け取った 承認キー と リソースID を入力します。
接続が作成します。
No.5 動作を確認 : プロジェクト側の担当者
うまくいけば、状態 "Succeeded" で、作成した接続が表示されます。
オンプレミス側 と Azure 側の接続が確立されていることを確認してください。
No.6 その他
ちなみに、回線管理者側では、プロジェクト側の担当者により接続が作成されても、接続リソースは見えません。
(接続リソースは、プロジェクト側の担当者のサブスクリプションに作成されます。)
回線管理者は、払い出した 承認 が 使用済み であるかどうかで確認が可能です。
まとめ
異なるサブスクリプションにある ExpressRoute 回線を利用する方法を紹介しました。
回線管理者以外に、ExpressRoute 回線に対するなんらかの権限をプロジェクト側の担当者の権限を割り当てることもなく、リソースID と 承認 を払い出すことで回線を共用できます。
回線所有者が承認を作成するために必要な権限については、詳しくは公開ドキュメントを参照してください。
また、今回は異なるサブスクリプションにある、というシナリオでご紹介しましたが、以下QA にあるように、異なるテナントにある回線を利用することも可能です。
ExpressRoute の承認は、サブスクリプション、テナント、および登録の複数の境界にまたがることができます。
参考URL
Discussion