エンタープライズ向けの新しいネットワーク サービス機能とパートナーシップを発表


このポストは、10 月 29 日に投稿された New Networking features and partnerships for Enterprise scenarios の翻訳です。

先日、パブリック クラウド環境やハイブリッド クラウド環境でハイパースケールのエンタープライズ クラス アプリケーションの構築を可能にする Azure ネットワーク サービス関連の発表を行いました。ExpressRoute の機能強化としては、新たな戦略的パートナーシップの締結、オーストラリアの Meet-Me 拠点への展開、マルチサイト ExpressRoute による災害復旧体制の強化、1 本の ExpressRoute 回線の複数サブスクリプションによる共有、4,000 ものルートのサポートを発表しました。また、総合的なセキュリティの強化も行いました。具体的には、マルチティア トポロジでのサブネットの分離を容易にする Network Security Groups、ネットワーク トラフィックをオンプレミスに送り返してポリシー検証を行いコンプライアンス要件に対応させる Site to Site Forced Tunneling、VPN での Perfect Forward Secrecy (PFS) といった機能をサポートしました。マイクロソフトは Azure のネットワーク サービス機能を継続的に強化することを目標としており、その一環として、新たな高パフォーマンス ゲートウェイ、VM の複数の NIC、VPN 操作ログへのアクセス、入れ子状の Traffic Manager ポリシー、Azure Load Balancer の Source IP Affinity の提供も開始しました。北ヨーロッパのリージョンを皮切りに、近日中に Azure のすべてのリージョンでこれらの新機能を使用できるようになります。ロールアウトの最新情報については、こちら (英語) をご確認ください。

新たな ExpressRoute パートナーシップと拠点

マイクロソフトは企業顧客の皆様にも ExpressRoute 経由で Azure にアクセスしていただけるように、グローバル ネットワーク接続エコシステムの拡大に取り組んでいます。このたび新たにヨーロッパの Colt Technology Services、アジアの Tata Communications、オーストラリアの Telstra と、ExpressRoute パートナーシップを締結しました。また、オーストラリアではシドニーの Meet-Me 拠点で ExpressRoute の一般提供が開始し、シドニーからオーストラリアのすべての Azure リージョンにアクセスできるようになりました。

ExpressRoute – 複数のサブスクリプション間で接続を共有

1 本の ExpressRoute 回線を複数の Azure サブスクリプションで共有できるようになりました。これにより、回線所有者が他の Azure アカウントに ExpressRoute 回線の使用を許可することができます。回線所有者は 1 回線につき最大 10 件の回線使用許可を発行可能で、使用許可 1 件につき最大 10 個の VNET リンクをサポートできます。この機能はすべての ExpressRoute 回線 (既存と新規) で利用可能で、あらゆるサービス プロバイダーに対応しています。

ExpressRoute – 高可用性と災害復旧を支えるマルチリージョン接続

現在プロビジョニングされている ExpressRoute 回線は、単一障害点を回避するためにマイクロソフトと接続プロバイダーの間でアクティブ/アクティブ構成が組まれています。これらの回線にリンクされた VNET は高可用性ゲートウェイ テナントを備えており、VNET は最大 4 本の ExpressRoute 回線にリンクできます。ExpressRoute 回線はすべて同じ主要地域内で作成し、複数のプロバイダーを使用できます。これにより経路が多様化し、回復力の高い接続環境を構築できます。このサービスは既存と新規のすべての ExpressRoute 回線でご利用いただけます。

Network Security Groups

Network Security Groups で定義された受信および送信アクセス制御ルールを使用して、VNET の単一または複数の Virtual Machines インスタンスへのトラフィックを制御できます。アクセス制御ルールは標準の 5 要素 (送信元 IP、送信元ポート、送信先 IP、送信先ポート、プロトコル) をサポートしており、ユーザーがネットワーク トラフィックをきめ細かく制御できるようにすることを第一に考えた設計になっています。

Network Security Groups は (Virtual Network 内の) サブネットや Virtual Machines に個別に適用可能で、二層保護を実現します。Network Security Groups のルールは Virtual Machines から独立して変更および更新が可能で、Virtual Machines のライフサイクルの外でアクセス制御リストを管理できます。

Network Security Groups の一般的な用途は、非武装地帯 (DMZ) を実現し、マルチティア アプリケーションのティア全体に対して明示的なアクセス制御を行うことです。

Forced Tunneling

検査や監査を行うために、クラウドからインターネットへのトラフィックを S2S VPN トンネル経由でオンプレミス環境にリダイレクトまたは「強制的 (Forced)」に送信できるようになりました。これはエンタープライズ クラスのアプリケーションにとってきわめて重要なセキュリティ要件であり、コンプライアンス要件でもあります。

Forced Tunneling なしでは、Azure 上のユーザーの VM からインターネットへのトラフィックは常に Azure からインターネットに直行してしまうため、トラフィックの検査や監査ができません。不正なインターネット アクセスは情報漏えいなどのセキュリティ侵害につながるおそれがあります。Forced Tunneling を導入すれば、これを制御することができます。

下の図は Forced Tunneling のしくみを示したものです。

Virtual Machines の 複数の NIC

複数の仮想ネットワーク インターフェイス (複数の NIC) を VM 上に作成し管理できるようになりました。

これにより、ネットワーク インフラストラクチャをより柔軟かつ自在に設計することができます。たとえば、1 つの NIC をフロントエンド NIC に、もう 1 つをバックエンド NIC に指定してトラフィックを分離できます (下図を参照)。また、データ プレーンのトラフィックを管理プレーンから分離できるようになります。

VM での複数の NIC の使用は、多くのネットワーク仮想アプライアンスの基本要件となっています。マイクロソフトは Load Balancer や WAN オプティマイザー、ネットワーク セキュリティ アプライアンスを含む NVA エコシステムの構築にも着手しており、TechEd では Citrix や Riverbed と共同でデモを行う予定です。

なお、複数の NIC を利用できるのは Standard レベルの VM で、Basic レベルでは利用できません。

パフォーマンス ゲートウェイ

ハイブリッド接続スループットに対する厳しい要求や増え続けるクロスプレミス サイトに対応するために、高パフォーマンス VNET ゲートウェイの提供を開始しました。より高速な ExpressRoute と S2S VPN ゲートウェイが実現し、より多くの S2S トンネルをサポートできます。S2S トンネルを使用して他の Virtual Network やオンプレミス サイトと接続できます。

高度な VNET ゲートウェイ ポリシー

パフォーマンス向上を目的に、新たに暗号化のオーバーヘッドなし (暗号化なし) での VNET 間通信が可能になりました。ただし、VNET 間通信はすべてマイクロソフトのコア ネットワーク内で行われ、インターネットは横断しない点に注意してください。より正確に言うと、 VNET 間トンネルの暗号化方法を 3DES、AES128、AES256、暗号化なし (Null) の中から選択することができるということです。また、IPsec/IKE ゲートウェイで Perfect Forward Secrecy (PFS) を有効化することもできます。

新たな検証済み VPN デバイス

検証済み VPN デバイスとして、新たに Barracuda Networks と Palo Alto Networks がリストに加わりました。

VNET ゲートウェイおよび ExpressRoute の操作ログと監査ログ

VNET ゲートウェイや ExpressRoute 回線の操作ログを確認できるようになりました。操作ログのほか、API 呼び出しの情報やゲートウェイの定期更新などインフラストラクチャに対する重要な変更情報を Azure ポータルで確認することができます。

Traffic Manager の入れ子ポリシー

Traffic Manager で、トラフィック プロファイルを使用してネットワーク トラフィックを世界中の複数の Azure 環境にデプロイしているアプリケーションに分散できるようになりました。先日には、加重トラフィック分散と Azure 外部のエンドポイントのサポートが発表されています。これにより、クラウドへのフェールオーバー、クラウドへのバースト、オンプレミスからクラウドへの移行などさまざまなシナリオが可能になっています。

入れ子状のトラフィック プロファイルを使用することで、より柔軟かつ強力なトラフィック分散やフェールオーバー スキームを作成し、大規模かつ複雑なエンタープライズ デプロイメントのニーズに対応できます。

Source IP Affinity

Azure Load Balancer は、Source IP Affinity (セッション アフィニティまたはクライアント IP アフィニティともいう) と呼ばれる分散モードを新たにサポートします。これにより、トラフィックを 2 要素 (送信元 IP、送信先 IP) または 3 要素 (送信元 IP、送信先 IP、プロトコル) の分散モードで負荷分散することが可能になります。

Comments (0)

Skip to main content