ハブ&スポークとは
Azure ハブ&スポーク(hub & spoke)とは「ハブ」と呼ばれる仮想ネットワークと「スポーク」と呼ばれる仮想ネットワークを接続した構成のことを言います。
公式ドキュメント
ハブ
全ての通信はこの「ハブ」と呼ばれる仮想ネットワークを通ることになります。
オンプレミスや、インターネットなど外部からの通信がこのハブを経由し、スポークへ配置された各サービスに到達します。
ハブに配置するサービス例としては下記があります。
・Azure Bastion ホスト
・Azure Firewall
・Azure VPN Gateway
・Azure ExpressRoute ゲートウェイ
スポーク
「スポーク」と呼ばれる仮想ネットワークではAzure VMなどのアプリ・サービスが配置されます。
また、公式ドキュメントの図をよく見るとわかりますがスポークはハブの後ろに複数くっつけたりします。
ハブとはピアリングをして接続します。
どんな時に使うのか
用途毎に仮想ネットワークを分けたい場合
スポークを分けてあげることで、別々に管理可能です。
スポーク同士の通信は一見、繋がっているようで分離されており通信できません(ルーティングがない)
よく見かけるのは開発用、本番用に分ける構成です。
Azure Firewallなどのサービスを必ず経由させたい場合
Firewallの例で言うとハブに配置することで必ずFirewall経由の通信をスポークに届けることができ、逆にスポークからの通信も制御可能です。
Firewallの他にはBastion、Gateway、DNSやADサーバなどを配置したりします。
オンプレミスとクラウドを繋ぐ時
絶対というわけではありませんが、よく採用されている印象です。
オンプレ⇒ハブへアクセスさせます。
注意点
・基本的にオンプレミスとAzure内でIPアドレス空間が重複しないようにする必要があります。ハブ、スポークなど仮想ネットワークが複数作成されるため、アドレス空間は要注意です。
・ハブに障害があると全システム使用できません
・一度ハブを経由する分、通信遅延する可能性があります
・仮想ネットワークを複数使用するためピアリングが必要です。ピアリングは通信量が若干発生します。