グローバル企業における Azure ExpressRoute の管理
Azure
本ポストは以下の記事の翻訳です。
Managing Azure ExpressRoute in a global enterprise
2021 年 3 月 17 日
Microsoft Digital は一元管理されたハブアンドスポーク モデルを利用して、自社の Azure ExpressRoute 環境の効率を向上、管理を簡素化、ネットワーク パフォーマンスを改善しています。
関連コンテンツを調べる
マイクロソフトの駆動、保護、変革を担う組織である Microsoft Digital では、世界最大級のエンタープライズ Azure 環境を管理しています。私たちはワークロードの Azure 移行を進めてきたほか、Azure 上に新規作成するワークロードも年々増やしています。多くの仮想マシン リソースを Azure に直接移行したので、当社のオンプレミス ネットワークと Azure の間には大容量の接続が必要になりました。私たちはオンプレミスのリソースと Azure 環境を接続する ExpressRoute 回線を多数持っており、その数を急速に増やし続けています。このように大規模なネットワークを適切に管理するため、私たちは Azure のネットワーキング環境をハブアンドスポーク方式の共有回線モデルに移行させました。これにより社内の各種ビジネス グループが ExpressRoute やその他の Azure ネットワーキング コンポーネントに一様な方式でアクセス可能となるほか、Azure ネットワーキングのプロビジョニング方式を一元的に管理および監視することも可能になります。
マイクロソフトでどのように ExpressRoute が使われているか
私たちは ExpressRoute を、Azure と社内ネットワークをつなぐ既定の接続方法として使用しています。当社のような大規模なネットワーク環境の場合、ExpressRoute はポイント対サイトやサイト対サイトの仮想ネットワークといった選択肢よりも優れた、Azure における最適なソリューションと言えます。私たちは ExpressRoute を使ってデータセンター、本社オフィス、地域オフィスのさまざまなビジネス グループを Azure と接続しています。私たちが ExpressRoute を使用する目的は、主に次の 2 つです。
- 仮想マシンが含まれる Azure ネットワークに自社やパートナーのオンプレミス リソースを接続し、それにより基本的には Azure とオンプレミス ネットワーク間で継続的な分離ネットワーク空間を形成するため。
- オンプレミスのリソースと Azure コンポーネントとの間に、安定したレベルの専用帯域幅を確保するため。
社内のビジネス グループのサブスクリプションで ExpressRoute をホストする際の困難
私たちが Azure サービスを開始した当初、ExpressRoute 接続のプロビジョニングはビジネス グループの求めに応じて行っていました。ExpressRoute のプロビジョニングを実行し、ExpressRoute 回線に付属する IP アドレス範囲を割り当てるのですが、この回線はビジネス グループやパートナー組織に属する Azure サブスクリプション内に含まれています。この方式では、サブスクリプションを所有するビジネス グループが ExpressRoute の所有権も持てるというメリットがある一方で、以下のような管理上の問題も生じます。
- あまりよくスケールしない。Azure を導入し始めるビジネス チームが増えるにつれ、ExpressRoute 回線と サブスクリプションの 1 対 1 対応はスケールしないことがすぐに明らかになった。
- ビジネス チームは ExpressRoute 回線の IP アドレス範囲を現在のリソース使用状況に基づいて要求してから、後日に、より多くのアドレス範囲を求めることがある。ExpressRoute 回線を再構成してアドレス範囲を増やすためには、ハードウェアの追加や変更といった追加作業が必要になる。
- 回線管理のための中心的なアカウントが、各サブスクリプションに必要となる。複数のアカウントがあると、管理が複雑で時間がかかる。
- ExpressRoute 回線がどこでプロビジョニングされているのかを把握できる、単一の参照ポイントがない。
- ExpressRoute 回線を個々にプロビジョニングしなければいけない。プロビジョニング作業の内容には ExpressRoute 回線の作成だけでなく、IP アドレスの割り当て、ルーターの構成、その他のネットワーク関連作業が含まれる。リクエストのたびにルーターを構成しなければならないので、接続の作成にかかる時間にたちまち影響が出始めた。
プロバイダー サブスクリプション モデルの利用
プロバイダー サブスクリプション モデルの狙いは、ExpressRoute 回線やそれを利用できる仮想ネットワークの、プロビジョニングと管理を簡素化することです。私たちはこのモデルにおいて、単一のプロバイダー サブスクリプションを共有し、そのサブスクリプションにすべての物理的な ExpressRoute 回線を所有させています。続いて、それらの ExpressRoute 回線は、ビジネス グループに属する他のコンシューマー サブスクリプションにより、さまざまなサブスクリプションの仮想ネットワーク同士を接続して利用されます。
図 1. ハブアンドスポーク方式の ExpressRoute 共有回線モデル
ハブとなる共有プロバイダー サブスクリプションの実装
ExpressRoute 環境での仮想ネットワーク管理を向上させるため、私たちは ExpressRoute 回線の管理に特化した共有プロバイダー サブスクリプションを作成しました。それらのプロバイダー サブスクリプションは、中心的な役割を果たす Microsoft Digital のインフラストラクチャー チームが所有しています。このチームは、Microsoft Digital 内のさまざまなビジネス ユニットや、マイクロソフト内のより大規模なコーポレート チームに向けてサービスを提供します。
ExpressRoute 回線と外部の Azure コンシューマー サブスクリプションをリンクさせる手順は簡単です。手順の完了後、ビジネス グループは ExpressRoute による接続を自身の Azure 環境で利用できるようになります。この方法で ExpressRoute 回線を編成すると、別々のサブスクリプションを利用する複数のビジネス グループで接続を共有することができます。これは、ある ExpressRoute 回線で利用可能な帯域幅全体を単一のビジネス グループで使い切らない場合に有益です。また後から必要になった際に IP の数を増やせるという柔軟性の面でも優れています。
図 2 の MSIT-CORP-ERPROVIDER-1 は、ExpressRoute 回線を所有するプロバイダー サブスクリプションとして指定された Azure サブスクリプションを表しています。そのサブスクリプション内にあるのが、Azure リージョンに基づいて命名された Azure リソース グループです。このグループ内に ExpressRoute 回線が配置され、ビジネス ユニットに属するコンシューマー サブスクリプションによって利用されます。
図 2. Microsoft Digital による ExpressRoute ネットワーク用プロバイダー サブスクリプション モデルの実装
このプロバイダー サブスクリプションの構成は非常にシンプルです。私たちは ExpressRoute 接続を張るリージョンごとに、リソース グループを作成しています。このリソース グループは、その仮想ネットワーク接続に関係するリソースを所有します。私たちは中央の IP 管理チームと協力し、各回線に大規模な IP 範囲を割り当てています。比較的狭い IP アドレス範囲は、さらにその中から割り当てられます。特定のリージョンの規模が大きくなった場合は、さらに回線を追加する必要があるかもしれません。表 1 に、私たちが採用している構成と名前付け規則の例を挙げます。
| サブスクリプション名 | リソース グループ名 | ExpressRoute 回線名 |
|---|---|---|
| MSIT-Corp-ERProvider-01 | WestUS | MSIT-CORP-WUS-Ckt-1 |
| MSIT-Corp-ERProvider-01 | WestUS | MSIT-CORP-WUS-Ckt-2 |
| MSIT-Corp-ERProvider-01 | NorthEurope | MSIT-CORP-NEU-Ckt-1 |
| MSIT-Corp-ERProvider-01 | NorthEurope | MSIT-CORP-WUS-Ckt-2 |
| MSIT-Corp-ERProvider-01 | SouthEastAsia | MSIT-CORP-SEA-Ckt-1 |
| MSIT-Corp-ERProvider-01 | SouthEastAsia | MSIT-CORP-SEA-Ckt-2 |
| MSIT-Corp-ERProvider-01 | SouthCentralUS | MSIT-CORP-SCUS-Ckt-1 |
| MSIT-Corp-ERProvider-01 | SouthCentralUS | MSIT-CORP-SCUS-Ckt-2 |
| MSIT-Corp-ERProvider-01 | CentralUS | MSIT-CORP-CUS-Ckt-1 |
| MSIT-Corp-ERProvider-01 | CentralUS | MSIT-CORP-CUS-Ckt-2 |
| MSIT-Corp-ERProvider-01 | CentralUS | MSIT-CORP-CUS-Ckt-3 |
| MSIT-Corp-ERProvider-01 | CentralUS | MSIT-CORP-CUS-Ckt-4 |
| MSIT-Corp-ERProvider-01 | EastUS2 | MSIT-CORP-EUS2-Ckt-1 |
| MSIT-Corp-ERProvider-01 | EastUS2 | MSIT-CORP-EUS2-Ckt-2 |
| MSIT-Corp-ERProvider-01 | WestCentralUS | MSIT-CORP-WCUS-Ckt-1 |
| MSIT-Corp-ERProvider-01 | WestCentralUS | MSIT-CORP-WCUS-Ckt-2 |
| MSIT-Corp-ERProvider-01 | WestCentralUS | MSIT-CORP-WCUS-Ckt-3 |
| MSIT-Corp-ERProvider-01 | WestCentralUS | MSIT-CORP-WCUS-Ckt-4 |
| MSIT-Corp-ERProvider-01 | WestUS2 | MSIT-CORP-WUS2-Ckt-1 |
| MSIT-Corp-ERProvider-01 | WestUS2 | MSIT-CORP-WUS2-Ckt-2 |
| MSIT-Corp-ERProvider-01 | WestUS2 | MSIT-CORP-WUS2-Ckt-3 |
| MSIT-Corp-ERProvider-01 | WestUS2 | MSIT-CORP-WUS2-Ckt-4 |
| MSIT-Corp-ERProvider-01 | WestUS2 | MSIT-CORP-WUS2-Ckt-5 |
表からも分かるように、私たちは ExpressRoute 回線を米国、ヨーロッパ、東南アジアのさまざまな箇所で構成しています。私たちは明確な名前付け規則をサブスクリプション、リソース グループ、ExpressRoute 回線に適用しています。こうすることで環境が標準化され、ExpressRoute の保守と利用が簡素化されます。これらのリソースはすべて、一元化された同一の共有プロバイダー サブスクリプションの中で管理できます。見てのとおり、一部のリージョンに向けては他のリージョンよりも多くの回線が構成されています。これは、私たちがこのモデルを使って必要に応じた拡張を行えていることの表れです。当然と思われるかもしれませんが、WestUS2 (米国西部 2) リージョンには最も多くの回線 (5 回線) があります。このリージョンはワシントン州レドモンドにあるマイクロソフトのメイン キャンパスに近いためです。
社内利用者の接続を確保
社内利用者のために Azure ExpressRoute サービスを一元管理するにあたって、私たちは利用者のサブスクリプション用に ExpressRoute 接続をリクエストするための手段を提供しなければなりませんでした。当初は、Web サイトを作成し、そこでリクエスト実現のための関連情報を利用者から収集し、その情報を実装プロセスでの利用に向けて受け渡すことでその手段を実装していました。図 3 に示すのは、社内 Web サイトの New Network (新しいネットワーク) フォームです。このフォームはリクエストに関係する以下の情報を収集します。
- リクエスト名。“New Finance IT ExpressRoute Request” のような、リクエストを特定するためのプレーン テキスト。
- Azure サブスクリプション。接続するサブスクリプションのサブスクリプション ID (GUID)。
- ネットワークの種類。企業ネットワークか境界ネットワークを選ぶドロップダウン。
- リージョン。仮想ネットワーク接続のために必要なリージョンを選択。
- ネットワークのサイズ。/26 または /27 の仮想ネットワーク。より大規模なネットワークを求める利用者は、私たちに連絡して例外のリクエストを行える。
- サービス名。関係するサービス名。Azure サービス階層で定義されている形式。
- 関係するユーザー。少なくとも 2 件の名前と連絡先を要求した。通知、フォローアップ、および構成に関わる問題が発生した場合の連絡のため。コンプライアンス問題の検出により必要になった場合、セキュリティ チームもこれらの連絡先を利用する。
図 3. ExpressRoute サービスのリクエストに向けた、新しいネットワークの作成ページ
この情報を入手したら、私たちは簡単な自動化機能を使って、新しい仮想ネットワーク リソースをホストするリソース グループを社内利用者のサブスクリプション内に作成します。適切なサイズの仮想ネットワークを利用者のサブスクリプションに作成し、それをプロバイダー サブスクリプション内の適切な ExpressRoute 回線にリンクさせます。これが、ハブアンドスポーク モデルのスポークになったわけです。
図 4 の例は、利用者のサブスクリプションに作成されている ERNETWORK リソース グループを表しています。この例では ERNETWORK リソース グループ内に、MSIT-CORP-WUS-VNET-1 という名前の仮想ネットワークのほか、パブリック IP アドレスやゲートウェイといった、その他のネットワーク リソースが作成されています。私たちは回線所有者として、プロバイダー サブスクリプションで認証キーを作成します。このキーは、利用者のサブスクリプションで ExpressRoute 回線にアクセスするために使用できます。最後に、この認証キーを使って利用者のサブスクリプションで MSIT-CORP-WUS-Conn-1 という名前の接続が作成され、利用者のサブスクリプション内のゲートウェイとプロバイダー サブスクリプション内の ExpressRoute 回線がリンクされます。
図 4: Azure における ExpressRoute ネットワーク インフラストラクチャーの例
ExpressRoute 管理の効率化
プロバイダー サブスクリプション モデルにおける私たちの目標はいくつかの段階に分かれていますが、それも結局のところは管理の効率化に行き着きます。ExpressRoute 回線を単一のサブスクリプションでホストすることで、私たちは Azure ピアリングのオーバーヘッドの削減、ExpressRoute 回線のプロビジョニングの迅速化、ルーティングのオーバーヘッドの削減、ルーティング可能な有限の IP 空間の利用最適化といった、さまざまなメリットを実感してきました。また、以下のようなメリットも見出しました。
- ExpressRoute 回線をホストするサブスクリプションの数が減ることで、一元的な管理が可能となり、無秩序な拡大が緩和される。
- 専用の帯域幅を複数のサブスクリプションで共有できるため、コストとオーバーヘッドが削減される。
- プロビジョニングが簡素化される。ExpressRoute 回線を 1 か所で作成するようになり、個別に作成される ExpressRoute 接続が減ることで、ネットワーク経路を修正したり IP サブネットを構成したりといったネットワーク構成のオーバーヘッドが削減される。
- ベンダー、パートナー、その他のサード パーティも、アカウントの認証情報を交換する必要なく容易にこのモデルを利用できる。
- 物理的な ExpressRoute 回線をホストするサブスクリプション自体とそのアクセス権を中央の IT チームが所有するため、トラブルシューティングと管理が簡素化される。
- コンシューマー サブスクリプションにおける仮想ネットワークをラウンドロビン方式で割り当て、ネットワーク環境全体で負荷分散を維持することができる。
- Microsoft Digital とビジネス グループの関係が、より正確に反映される。ネットワークの構成と管理にはビジネス グループが責任を持ち、ビジネス グループのネットワーク使用状況は主に Microsoft Digital がコントロールする。
詳細情報
© 2020 Microsoft Corporation.このドキュメントは情報提供のみを目的としています。明示または黙示に関わらず、これらの情報についてマイクロソフトはいかなる責任も負わないものとします。記載されている会社名、製品名には、各社の商標のものもあります。
