Go to Qiita Advent Calendar 2024 Top
LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@zukakosan(zukakosan)

Azure Virtual Network Managerによるハブアンドスポーク構成と一部のスポーク間の直接接続

Last updated at Posted at 2022-06-27

Azure Virtual Network Manager

Azure Virtual Network Manager(通称:AVNM)はAzureのVNetをグルーピングし、そのグループに含まれるVNet間の接続やセキュリティルールなどを一括で設定するためのサービスです。特にメッシュ型トポロジを組む場合には従来のやり方では個々のピアリングを管理しなくてはならないため煩雑でしたが、AVNMを利用する場合は管理画面が一つで済みます。なお、2022/06現在AVNM自体の東日本リージョンはパブリックプレビュー段階にあります。

やりたいこと

今回構成したいのはこちらのDocsの内容のように、ハブアンドスポーク構成をとりつつも同じネットワークグループに属するスポーク間を直接接続によるフルメッシュ型でピアリングするというトポロジになります。

手順

下記に検証手順をまとめていきます。

AVNMリソースの作成

image.png

  • Scope:AVNMは特定のスコープ配下のVNETを管理対象とします。そのため管理グループもしくはサブスクリプションをスコープとして選択します。
  • Features:AVNMでは接続性とセキュリティのどちら・もしくは両方を設定するAVNMリソースなのかを指定します。

Network Groupの作成

AVNMリソースに入り、ネットワークグループを作成します。
image.png
作成したネットワークグループを展開し、対象となるVNETを追加します。今回はProd用とTest用の2つのグループを作成しました。ProdのSpokeVNET間をフルメッシュで接続する予定です。

  • Prod-hubSpoke
    image.png
  • Test-hubSpoke
    image.png

Configurationの作成

ConfigurationメニューからConnectivityについての構成を作成します。作成する際にメッシュではなくハブアンドスポークを選択します。また、ハブになるVNETを選択します。ここで指定するものはネットワークグループに属している必要はなく、事前に作成しておいたハブ用のVNETとなります。

Spoke network groupのところでProd用とTest用のネットワークグループを選択します。Prod用については、フルメッシュ構成にしたいのでDirect Connectivityにチェックをします。また、ネットワークグループ内に別のリージョンのVNETが存在する場合にはGlobal meshも併せてチェックをします。今回はjapaneastのVNETのみなのでチェックは無くてもOKです。
image.png

Configurationのデプロイ

Configurationを作成して終了ではなく、実際に反映させるためにはデプロイ作業が必要になります。作成した構成にチェックをしてデプロイボタンをクリックします。
image.png

セキュリティ構成も含めてデプロイしたい場合にはここでチェックをします。ターゲットリージョンについては対象としたいVNETのリージョンをすべて指定しないと接続構成が反映されないため要注意です。今回は東日本のみで十分です。
image.png

次へ進むと全体の変更を確認できます。
image.png
新規の構成をデプロイするともともとあった構成がRemoveされてしまうため、一つ前の画面に戻って既存の接続構成にもチェックマークを入れました。
image.png
こうすることで既存の構成も残しつつ新規のものをAddできます。
image.png
デプロイ状況についてはDeployments画面から確認できます。
image.png

VNETの接続状況の確認

各VNETリソースのピアリング状況を確認していきます。

まずはハブから見ていくと、ピアリングの画面からすべてのSpokeへの接続が張られていることが確認できます。
image.png

続いてTest用。直接接続を構成していないためハブのみとピアリングされています。
image.png

最後にProd用。ネットワークグループ内での直接接続を有効にしているため、ピアリングにProd用VNET間のピアリングが張られている、、、と思いきや見当たりません。
image.png

ピアリングではなくネットワークマネージャの方を見るとGroup ConnectivityがきちんとEnabledになっていることは確認できます。つまりネットワークグループ内の直接接続はピアリングと別扱いのようです。

別扱いという理解の上で、きちんと接続ができているのか確認していきます。まずはProdのSpokeにVMを立てていきます。SSHを許可するNSGもしくはAVNMのセキュリティ構成を設定する事をお忘れなく。

Prod-spoke01にデプロイしたVM(10.0.0.4)からProd-spoke02のVM(10.1.0.4)へのpingが通ることを確認できます。
image.png
逆方向も確認します。問題なく通っていることを確認しました。
image.png
Prod用に3つVNET用意しましたが手間なので2つのみの検証としています。ということで、ピアリングという形では見えてこないものの、きちんとスポーク間の接続ができていることを確認できました。

最後に念のためTest用のVNET間では通信ができないことを確認しておきます。同じく各VNETにVMを2台立てます。
Test-spoke01のVM(10.10.0.4)からTest-spoke02のVM(10.11.0.4)へのpingが通らないことを確認できます。
image.png
逆方向も同じく通信が通りません。
image.png
検証は以上です。

まとめ

直接接続の際にピアリング扱いで見えてこないのは結構厄介な気がします。ハブアンドスポーク構成ではなくメッシュで構成を作成してデプロイした際もピアリングには表れてこなかったため、メッシュ構成をとる際にはトポロジに誤解がないように慎重に設定する必要がありそうですね。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?