Upload
yu-kogasaka
View
4.170
Download
0
Embed Size (px)
Citation preview
エンジニアにもっと推され隊 2015ExpressRoute ってなんたー?
2015/12/12CLR/H カソウ化祭り 2015
焦げノフ
自己紹介小賀坂 優 (Yu Kogasaka)
こげさか (kogesaka) ※ オンラインMicrosoft MVP for Cloud and Datacenter
Management (Jan 2012 - Dec 2015)国内 ISP 所属
Microsoft 製品およびクラウド サービスを中心とした SI 、ソリューション展開 / 開発を担当
Blog 、 SNSBlog: 焦げ log (http://kogelog.wordpress.com/)Twitter: @kogesaka (https://twitter.com/kogesaka/)Facebook: kogesaka (http://www.facebook.com/kogesaka)
2
目的とゴール目的
ExpressRoute の概要、情報をお伝えしますExpressRoute 構築手順についてお伝えします
ゴールExpressRoute の概要について理解できるExpressRoute の構築手順が理解できる
3
アジェンダExpressRoute 概要ExpressRoute がなぜエンジニアに推されないのかExpressRoute の構築手順まとめ
4
はじめに2015/12/12 時点の内容となります。
記載している内容において、仕様および機能について変更される可能性があります。
所属している会社 / 組織、および Microsoft 社の正式な回答 / 見解ではありません。
5
ExpressRoute 概要
ExpressRoute とはMicrosoft Cloud への接続に対して高スループットの専用プライベー
ト ネットワーク ( 閉域網 ) を提供
7
MicrosoftCloud
WAN
東京本社
関西支社
東北支社
インターネット
セキュリティ
低コスト
99.9 % の可用性
高スループット
IPsec VPN 接続との違い
8
IPsec VPN 接続 ExpressRoute 接続
MicrosoftCloud
WAN
東京本社
関西支社
東北支社
インターネット
暗号化されたデータ トラフィックは、Azure に到達するためにインターネットを横断
制限された帯域幅
トラフィックは接続元 WAN から Microsoft への直接フロー
ネットワーク構成における複雑さの軽減 低レイテンシー、高帯域幅、予測可能なパフォー
マンス、よりよいプライバシー
MicrosoftCloud
WAN
東京本社
関西支社
東北支社
インターネット
ExpressRoute 経由で Microsoft Cloud を利用利用するサービスごとに経路が分かれる
Microsoft ピアリング : Office365 サービスAzure パブリック ピアリング : Azure サービスAzure プライベート ピアリング : Azure サービス
9
閉域網Provider Edge
Azure パブリック ピアリング
Azure プライベート ピアリング
Microsoft ピアリング (NEW!)
Microsoft Edge
ExpressRoute の冗長性ルーター間 ( レイヤー 3) で二重化
各ピアリングで冗長化99.9 % の可用性を確保
10
閉域網Provider
EdgeMicrosoft Edge
二重化
Standard 以上の Gateway が必要
11
IPsec VPN と ExpressRoute との共存
Contoso
Exchange
AD/DNS
IIS ServersSQL Farm
Monitoring
Contoso virtual networks/VMs
Services on public IPsVPN Gateway
(Internet Edge)
インターネットExpressRoute
のフェールオーバー
ExpressRoute と接続されていないサイトとの接続
ExpressRoute 回線の帯域幅変更ExpressRoute 回線の切断なしに帯域幅の増加が可能
接続 ( サービス ) プロバイダーとの調整が必要更新用の API や PowerShell コマンドレットを使用帯域幅の減少 ( 例 : 1 Gpbs → 100 Mbps) は不可
ExpressRoute 回線の切断、再作成が必要
12
東京本社
サブスクリプション
100 Mbps
1 Gbps
ExpressRoute 経由で利用可能な Azure のサービス
13
Azure プライベートピアリング経由
Azure パブリックピアリング経由
インターネット経由(not ExpressRoute)
※ Download Microsoft Azure Datacenter IP Ranges from Official Microsoft Download Centerhttp://www.microsoft.com/en-us/download/details.aspx?id=41653
※ ExpressRoute の FAQhttps://azure.microsoft.com/ja-jp/documentation/articles/expressroute-faqs/
仮想ネットワーク上にデプロイされているサービス Virtual Machines (IaaS) Cloud Services (PaaS)
Azure Websitesプライベート ピアリング
経由でアクセスされるサービス以外 Azure Backup StorSimple Azure Automation Machine Learning etc…
CDNVisual Studio Online
の負荷テスト
Multi-Factor Authentication
ExpressRoute 経由で利用可能な Office365 のサービス
14
ExpressRoute 経由接続 インターネット経由接続 Exchange Online および Exchange Online
Protection SharePoint Online Skype for Business Online OneDrive for Business Office 365 Video Azure AD および Azure AD Sync Delve Office Online Power BI Project Online CRM Online (preview)
Yammer Office 365 ProPlus クライアントの
ダウンロード オンプレミス Identity プロバイダへの
サインイン 中国における Office 365 (21 Vianet が運営 )
サービス
ExpressRoute の接続形態
15
接続プロバイダー
Cloud ExchangeCo-location
Point-to-point Ethernet Connection
Any-to-Any (IP-VPN) Connection
課金モデル Metered Data ( 従量制課金データ ) Unlimited Data ( 無制限データ )使用可能な帯域幅 50, 100, 500 Mbps, 1, 2, 5, 10 Gbps ( 接続プロバイダーによって異なる )
WAN
ExpressRoute 接続プロバイダー日本国内では 3 社 (2015/12/12 時点 )
接続場所は Tokyo のみ
ExpressRoute サービス プロバイダー経由でも利用することが可能
16
ExpressRoute Premium Add-onパブリックおよびプライベート ピアリングの最大ルート数が
10,000 ルートに増大既定では 4,000 ルート
世界中の他のすべてのリージョンのリソースにアクセス可能既定では、地域リージョン内のリソースにアクセス可能中国および政府機関向けクラウドを除く
ExpressRoute 回線あたりの vNet リンクの最大リンク数の増大既定では 10 リンク契約する帯域幅によって最大リンク数は異なる
(ExpressRoute FAQ 参照 )https://azure.microsoft.com/en-us/documentation/articles/expressroute-faqs/
17
海外事業用に展開した他地域リージョンの vNet に閉域網で接続
ExpressRoute Premium Add-on の利用例
18
東京本社
西日本リージョン
米国西部リージョン
東日本リージョン
Premiumadd-on
※ExpressRoute との接続を有効にするために、サービス プロバイダーによって追加料金が発生する場合あり
※料金 - ExpressRoute | Microsoft Azure (2015/12/12 時点 )https://azure.microsoft.com/ja-jp/pricing/details/expressroute/
ExpressRoute の価格 (Metered Data, 日本リージョン )
19
帯域幅 月額 Premium add-on月額 データ転送 (受信 ) データ転送 (送信 )
50 Mbps \5,610 \311,610 Unlimited
ゾーン 1 : ¥2.55/GBゾーン 2 : ¥5.10/GBゾーン 3 : ¥14.28/GB
100 Mbps ¥10,200 ¥316,200 Unlimited200 Mbps ¥14,790 ¥320,790 Unlimited500 Mbps ¥29,580 ¥335,580 Unlimited1 Gbps ¥44,472 ¥350,472 Unlimited2 Gbps ¥88,944 ¥394,944 Unlimited5 Gbps ¥222,360 ¥528,360 Unlimited10 Gbps ¥510,000 ¥816,000 Unlimited
※ExpressRoute との接続を有効にするために、サービス プロバイダーによって追加料金が発生する場合あり
※料金 - ExpressRoute | Microsoft Azure (2015/12/12 時点 )https://azure.microsoft.com/ja-jp/pricing/details/expressroute/
ExpressRoute の価格 (Unlimited Data, 日本リージョン )
20
帯域幅 月額 Premium add-on月額 データ転送 (受信 ) データ転送 (送信 )
50 Mbps \62,220 \369,220 Unlimited Unlimited100 Mbps ¥125,460 ¥431,460 Unlimited Unlimited200 Mbps ¥234,600 ¥540,600 Unlimited Unlimited500 Mbps ¥530,400 ¥836,400 Unlimited Unlimited1 Gbps ¥887,400 ¥1,193,400 Unlimited Unlimited2 Gbps ¥1,774,800 ¥2,080,800 Unlimited Unlimited5 Gbps ¥4,182,000 ¥4,488,000 Unlimited Unlimited10 Gbps ¥8,364,000 ¥8,670,000 Unlimited Unlimited
ExpressRoute の要件Azure サブスクリプション
アクティブ状態の Microsoft Azure アカウント最新の Azure PowerShell
2015/12/12 時点では Azure PowerShell 1.0.1接続プロバイダーとの契約
接続プロバイダーによって提供されるサービス ( 課金体系、帯域幅 ) は異なる※契約する接続プロバイダーによっては、以下の要件は不要
接続の冗長性確保 IP アドレスとルーティング設定の管理Azure パブリックにおける NAT 構成
接続元ネットワークと接続プロバイダーの間の物理接続
21
※ ExpressRoute 導入の前提条件 | Microsoft Azure
https://azure.microsoft.com/ja-jp/documentation/articles/expressroute-prerequisites/
サービス プロバイダーと別途契約が必要な場合も
ExpressRoute の追加要件 (Office365)Office365 サブスクリプション
アクティブ状態の Microsoft Azure アカウント
Microsoft ピアリングにおける NAT 構成
VoIP をサポートする複数の CoS を持つ WAN
22
※ ExpressRoute 導入の前提条件 | Microsoft Azure
https://azure.microsoft.com/ja-jp/documentation/articles/expressroute-prerequisites/
ExpressRoute のネットワーク要件
23
Azure プライベート ピアリング
Azure パブリック ピアリング
Microsoft ピアリング
• パス 1 のピアリング サブネット (/30)• パス 2 のピアリング サブネット (/30)• ピアリングの VLAN ID• ピアリング AS 番号 – 許可されたプライベート AS 番号• ExpressRoute ASN = 12076• MD5 ハッシュ ( オプション )
• パス 1 のピアリング サブネット (/30)• パス 2 のピアリング サブネット (/30)• ピアリングの VLAN ID• ピアリング AS 番号 – パブリック AS 番号• ExpressRoute ASN = 12076• MD5 ハッシュ ( オプション )
• パス 1 のピアリング サブネット (/30)• パス 2 のピアリング サブネット (/30)• ピアリングの VLAN ID• ピアリング AS 番号 – パブリック AS 番号• アドバタイズされたプレフィックス – パブリック IP プレフィック
ス• IP および AS 番号が RIR / IRR で検証済• ExpressRoute ASN = 12076• MD5 ハッシュ ( オプション )
ExpressRoute がなぜエンジニアに推されないのか
推されていない理由
25
ExpressRoute を使うためにはどんな準備、設定をすればよいのか?
IPsec VPN 接続の場合責任・作業範囲はシンプルサービス内容、発生費用が把握しやすい
26
ネットワーク
責任・作業範囲
発生費用
社内 SE or SIer プロバイダ 社内 SE or SIer
構築費 プロバイダ使用料 Azure 使用料 (+ 構築費 )回線使用料
プロバイダ Microsoft Cloudインターネットオンプレミス
閉域網IPsec VPN閉域網 or WAN
通信事業者提供回線
ExpressRoute 接続の場合接続形態は 3 種類
接続 ( サービス ) プロバイダーによって異なる
27
Microsoft Cloudプロバイダ
オンプレミス 接続 ( サービス ) プロバイダー
ExpressRoute回線
ネットワーク
責任・作業範囲
発生費用
接続 ( サービス ) プロバイダーで異なる※ここが不明瞭
閉域網 or WAN IPsec VPN
閉域網 閉域網
閉域網WAN
通信事業者提供回線
ExpressRoute 接続プロバイダー (ECP) って何 ?ExpressRoute 回線 ( 接続点 ) を提供
28
閉域網Provider
EdgeMicrosoft Edge
責任・作業範囲 誰がやるの ?
Microsoft Cloudプロバイダ
オンプレミス 接続 ( サービス ) プロバイダー
通信事業者提供回線
ExpressRoute回線
• ExpressRoute回線の提供
接続プロバイダー
• 機器 ( ルータ ) の設置、保守
• 冗長化設定• ルーティング設定• NAT 設定• ExpressRoute の設定
誰がやるの ?
ExpressRoute サービス プロバイダー (ESP) って何 ?接続プロバイダーの回線を利用して ExpressRoute サービスを提供
接続プロバイダー自体が提供する場合も
29
閉域網Provider
EdgeMicrosoft Edge
責任・作業範囲
Microsoft Cloudプロバイダ
オンプレミス 接続 ( サービス ) プロバイダー
ExpressRoute回線
• 機器 ( ルータ ) の設置、保守
• 冗長化設定• ルーティング設定• NAT 設定• ExpressRoute の設定
サービス プロバイダー
• ExpressRoute回線の提供
接続プロバイダー
サービスプロバイダー
通信事業者提供回線
結局、費用ってどうなの?構築費、 Azure (ExpressRoute 含む ) 使用料以外にも維持費、運用費が掛かる
30
閉域網Provider
EdgeMicrosoft Edge
発生費用
Microsoft Cloudプロバイダ
オンプレミス 接続 ( サービス ) プロバイダー
ExpressRoute回線
• 機器 ( ルータ ) の設置、保守
• 冗長化設定• ルーティング設定• NAT 設定• ExpressRoute の設定
構築費 + 回線使用料 (+ プロバイダ使用料 ) (+ 機器費 ) (+ 保守費 ) + 運用費 (ESP)
• ExpressRoute回線の提供
回線維持費等 (ECP)
Azure 使用料 (+ 構築費 (ESP))
通信事業者提供回線
あんまりお金を掛けたくないので…自分たち ( 社内 SE) で ExpressRoute を構築することは可能か?
31
閉域網Provider
EdgeMicrosoft Edge
責任・作業範囲
• ExpressRoute回線の提供
Microsoft Cloudプロバイダ
オンプレミス 接続 ( サービス ) プロバイダー
ExpressRoute回線
• 機器 ( ルータ ) の設置、保守
• 冗長化設定• ルーティング設定• NAT 設定• ExpressRoute の設定
自分たち ( 社内 SE) で何とかならんものか ? 接続プロバイダー
自分たちで (ry
通信事業者提供回線
32
ExpressRoute のすべてを構築、設定するのは難しい
ExpressRoute の構築手順
ExpressRoute の構築フロー
34
※ ExpressRoute 回線の構成ワークフロー | Microsoft Azurehttps://azure.microsoft.com/ja-jp/documentation/articles/expressroute-workflows/
• Azure プライベート ピアリング経由で 仮想ネットワーク (VNet) に接続• Azure パブリック ピアリング経由
でパブリック IP 上の Azure サービスに接続•Microsoft ピアリング経由で Microsoft クラウド サービス (Office 365 など ) に接続
ExpressRoute 回線を用いた接続の開始
• 接続プロバイダーにサービス キー (s-key) を提供• 接続プロバイダーに必要な追加情報(VPN ID など ) を提供• サービス ( 接続 ) プロバイダーが
ルーティング構成を管理する場合、必要な情報を提供
接続プロバイダーとの接続準備
( プロビジョニング )•締結した接続プロバイダーの選択• ピアリングする場所の選択• 帯域幅の選択• 課金モデルの選択•標準もしくは premium add-on の選択
ExpressRoute 回線の注文
• Azure サブスクリプションの作成 / 有効化• サービス プロバイダー経由、もしく
は自身で接続プロバイダーの選定と契約の締結• 接続プロバイダーとネットワークの物理的接続 ( 回線引込み ) の実施
前提条件の確認
ExpressRoute の構築フロー
35
※ ExpressRoute 回線の構成ワークフロー | Microsoft Azurehttps://azure.microsoft.com/ja-jp/documentation/articles/expressroute-workflows/
• Azure プライベート ピアリング経由で 仮想ネットワーク (VNet) に接続• Azure パブリック ピアリング経由
でパブリック IP 上の Azure サービスに接続•Microsoft ピアリング経由で Microsoft クラウド サービス (Office 365 など ) に接続
ExpressRoute 回線を用いた接続の開始
• 接続プロバイダーにサービス キー (s-key) を提供• 接続プロバイダーに必要な追加情報(VPN ID など ) を提供• サービス ( 接続 ) プロバイダーが
ルーティング構成を管理する場合、必要な情報を提供
接続プロバイダーとの接続準備
( プロビジョニング )•締結した接続プロバイダーの選択• ピアリングする場所の選択• 帯域幅の選択• 課金モデルの選択•標準もしくは premium add-on の選択
ExpressRoute 回線の注文
• Azure サブスクリプションの作成 / 有効化• サービス プロバイダー経由、もしく
は自身で接続プロバイダーの選定と契約の締結• 接続プロバイダーとネットワークの物理的接続 ( 回線引込み ) の実施
前提条件の確認
クラシック (Azure Service Management,PowerShell + 管理ポータル ) 、
もしくはリソース マネージャー (Azure Resource Manager,
PowerShell) で構築可能
※以降はリソース マネージャーを用いた構築を説明
前提条件の確認
Azure サブスクリプションの作成 / 有効化最新の Azure PowerShell (1.0.1 以降 )
※Microsoft.Network リソース プロバイダーが有効になっていること
サービス プロバイダー経由、もしくは自身で接続プロバイダーの選定と契約の締結
提供されているサービス、サポート範囲などを確認
接続プロバイダーとネットワークの物理的接続 ( 回線引込みなど ) の実施
36
ExpressRoute 回線の注文 (1)Microsoft.Network リソース プロバイダーが有効化されている必要
がある
接続プロバイダー一覧に記載されている情報を取得Get-AzureRmExpressRouteServiceProvider コマンドレットを用いて一覧を取得
ExpressRoute 用のリソース グループを作成New-AzureRmResourceGroup コマンドレットを用いて作成例 : New-AzureRmResourceGroup -Name
"ExpressRouteResourceGroup" -Location "Japan East"
37
ExpressRoute 回線の注文 (2)ExpressRoute 回線を作成
New-AzureRmExpressRouteCircuit コマンドレットを用いて作成締結した接続プロバイダーの選択ピアリングする場所の選択帯域幅の選択課金モデルの選択標準もしくは premium add-on の選択
例 : New-AzureRmExpressRouteCircuit -Name "ExpressRouteARMCircuit" -ResourceGroupName "ExpressRouteResourceGroup" -Location "Japan East" -SkuTier"Standard -SkuFamily UnlimitedData -ServiceProviderName "IIJ" -PeeringLocation "Tokyo" -BandwidthInMbps 50 -BillingType UnlimitedData
38
接続プロバイダーとの接続準備 ( プロビジョニング )接続プロバイダーにサービス キー (s-key) を提供
Get-AzureRmExpressRouteCircuit コマンドレットを用いてサービス キーを確認
例 : Get-AzureRmExpressRouteCircuit -Name "ExpressRouteARMCircuit" -ResourceGroupName "ExpressRouteResourceGroup"
接続プロバイダーに必要な追加情報 (VPN ID など ) を提供サービス ( 接続 ) プロバイダーがルーティング構成を管理する場合、
必要な情報を提供ExpressRoute 回線の状態が以下になるまで待機 ( 数営業日 )
ServiceProviderProvisioningState : ProvisionedStatus : EnabledGet-AzureRmExpressRouteCircuit コマンドレットを用いて確認
39
ExpressRoute 回線を用いた接続の開始Azure プライベート ピアリング経由で 仮想ネットワーク (vNet) に接
続テンプレート、および New-AzureRmResourceGroupDeployment
コマンドレットを用いて vNet を ExpressRoute に接続例 : New-AzureRmResourceGroupDeployment –ResourceGroupName
"TestRG1" –TemplateFile "c:\Azure\Templates\azuredeploy.json“テンプレートのサンプルは Github 経由で取得可能
https://github.com/Azure/azure-quickstart-templates/tree/ecad62c231848ace2fbdc36cbe3dc04a96edd58c/301-expressroute-circuit-vnet-connection
Azure パブリック ピアリング経由でパブリック IP 上の Azure サービスに接続
Microsoft ピアリング経由で Microsoft クラウド サービス (Office 365 など ) に接続
40
ExpressRoute に接続する vNet の設定
41
①location②gatewayType③connectionType④virtualNetworkName⑤addressPrefix⑥subnetName⑦subnetPrefix⑧gatewaySubnet⑨gatewaySubnetPrefix⑩gatewayPublicIPName⑪gatewayName⑫connectionName⑬circuitName
オンプレミス Azure サブスクリプション
②ExpressRoute③ExpressRoute⑩ERGwPIP⑪ERGw
①Japan East ④ERvNet⑤192.188.0.0/24
⑥Subnet1⑦192.188.0.0/27
⑧GatewaySubnet⑨192.188.0.32/27
⑫ERConnection⑬ERCircuit
接続の冗長性確保が必要ルーター間 ( レイヤー 3) で二重化が必要
2 重化されていない場合、サービス可用性 SLA は無効接続プロバイダーとの物理的接続の冗長性要件なし
42
閉域網Provider
EdgeMicrosoft Edge
二重化
ExpressRoute における NAT 構成
43
Microsoft ピアリングに対して双方向の NAT 構成が必要接続元ネットワーク から Microsoft に送信されるトラフィックを SNAT 変換
Azure パブリック ピアリングも同様Microsoft から接続元ネットワークに送信されるトラフィックを SNAT 変換
ADFS サービスなど
NAT
Microsoft Cloud接続プロバイダー
接続元ネットワーク
Provider Edge
Microsoft Edge
NAT
ExpressRoute
ルート テーブル、 IP アドレス、 AS 番号の要件
44
IP アドレスおよび自律システム (AS) 番号 IPv4 アドレスのみサポート16 および 32 ビットの AS 番号をサポート
Azure プライベート ピアリングPremium add-on を持つプライベート
ピアリングに対し、 10,000 ルートをサポートプライベート IP アドレス、 AS 番号を許可
Azure パブリック、 Microsoft ピアリングパブリック AS 番号 (16 および 32 ビット )
およびパブリック IP アドレスのみを許可パブリック IP アドレスの所有権は RIR と
IRR に対してそれぞれ検証される検証されたプレフィックスのみを許可
ExpressRoute
Azure パブリック ピアリング
Azure プライベート ピアリング
パブリック
パブリック or プライベート
※ ExpressRoute のルーティングの要件 | Microsoft Azurehttps://azure.microsoft.com/ja-jp/documentation/articles/expressroute-routing/
Azure Microsoft ピアリング
Partner Edge
Microsoft Edge
パブリック
標準 BGP を使用したルーティングの影響
45
標準 BGP 方式で動作BGP を介して
アドバタイズされるプレフィックスは /29 以上 (/28 ~ /8)
BGP ローカル基本設定を適用、ネットワークと Microsoft の間で優先するパスを設定
ルート アドバタイズの先頭に「 AS-PATH」を付加、Microsoft からネットワークへのトラフィック フローに影響を与えることが可能
MSEE 0
MSEE 0
MPLSPE 1 PE 1
大阪オフィス 東京オフィス10.3.0.0/16
10.2.0.0.1610.1.0.0.16 Japan EastJapan West
10.3.0.0/16AS PATH 321 xyz
10.3.0.0/16AS PATH 321
PE 0
PE 1
MSEE 0
MSEE 0
VM VM
オンプレミス10.2.0.0/16
Azure VNet10.1.0.0/16
Local Preference 400
Local Preference 100 10.1.0.0/16
10.1.0.0/16 AS PATH: 1234
AS PATH: 1234 1234
ExpressRoute の BGP コミュニティ値
46
MSEE 0
MSEE 0
MPLS
PE 1 PE 1
Office in LA Office in NY10.3.0.0/16
10.2.0.0.1610.1.0.0.16 US EastUS West
10.1.0.0/1610.2.0.0/1612076:3004
リージョンMicrosoft Azure リージョン
BGPコミュニティ値
US East US 12076:3004East US 2 12076:3005West US 12076:3006Central US 12076:3009North Central US 12076:3007South Central US 12076:3008
South America Brazil South 12076:3014Europe North Europe 12076:3003
West Europe 12076:3002Asia Pacific East Asia 12076:3010
Southeast Asia 12076:3011Japan Japan East 12076:3012
Japan West 12076:3013Australia Australia East 12076:3025
Australia SouthEast 12076:3026
India India South 12076:3019India West 12076:3018India Central 12076:3017
10.1.0.0/1610.2.0.0/1612076:3006
10.1.0.0.16Preferred
10.2.0.0.16Preferred
サービス BGP コミュニティ値
Exchange 12076:5010SharePoint 12076:5020
Skype For Business 12076:5030CRM Online 12076:5040
その他の Office 365 サービス 12076:5100グローバル プレフィックス、エニー キャスト 12076:5200
Azure プライベート ピアリングの場合Add-AzureRmExpressRouteCircuitPeeringConfig 、
Set-AzureRmExpressRouteCircuit コマンドレットを用いて作成※ ASN 、プレフィックス、 VLAN ID の値は、環境に合わせた任意の値 MD5 hash (-SharedKey は任意 )
例 : $ckt = Get-AzureRmExpressRouteCircuit -Name “ExpressRouteARMCircuit” -ResourceGroupName "ExpressRouteResourceGroup" Add-AzureRmExpressRouteCircuitPeeringConfig -Name “AzurePrivatePeering” -Circuit $ckt -PeeringType AzurePrivatePeering -PeerASN 100 -PrimaryPeerAddressPrefix “10.0.0.0/30” -SecondaryPeerAddressPrefix “10.0.0.4/30” -VlanId 200 -SharedKey “A1B2C3D4“ Set-AzureRmExpressRouteCircuit -ExpressRouteCircuit $ckt
47
Azure パブリック ピアリングの場合
48
Add-AzureRmExpressRouteCircuitPeeringConfig 、 Set-AzureRmExpressRouteCircuit コマンドレットを用いて作成※ ASN 、プレフィックス、 VLAN ID の値は、環境に合わせた任意の値 MD5 hash (-SharedKey は任意 )
例 : $ckt = Get-AzureRmExpressRouteCircuit -Name “ExpressRouteARMCircuit” -ResourceGroupName "ExpressRouteResourceGroup" Add-AzureRmExpressRouteCircuitPeeringConfig -Name “AzurePublicPeering” -Circuit $ckt -PeeringType AzurePublicPeering -PeerASN 100 -PrimaryPeerAddressPrefix “12.0.0.0/30” -SecondaryPeerAddressPrefix “12.0.0.4/30” -VlanId 100 -SharedKey “A1B2C3D4“ Set-AzureRmExpressRouteCircuit -ExpressRouteCircuit $ckt
Azure Microsoft ピアリングの場合
49
Add-AzureRmExpressRouteCircuitPeeringConfig 、 Set-AzureRmExpressRouteCircuit コマンドレットを用いて作成※ ASN 、プレフィックス、 VLAN ID の値は、環境に合わせた任意の値 MD5 hash (-SharedKey は任意 )
例 : $ckt = Get-AzureRmExpressRouteCircuit -Name “ExpressRouteARMCircuit” -ResourceGroupName "ExpressRouteResourceGroup" Add-AzureRmExpressRouteCircuitPeeringConfig -Name "MicrosoftPeering" -Circuit $ckt -PeeringType MicrosoftPeering -PeerASN 100 -PrimaryPeerAddressPrefix "123.0.0.0/30" -SecondaryPeerAddressPrefix "123.0.0.4/30" -VlanId 300 -MircosoftConfigAdvertisedPublicPrefixes "123.1.0.0/24" -MircosoftConfigCustomerAsn 23 -MircosoftConfigRoutingRegistryName "ARIN" -SharedKey “A1B2C3D4“ Set-AzureRmExpressRouteCircuit -ExpressRouteCircuit $ckt
既定のルーティングについてインターネットに直接アクセス
50
Contoso (10.0.0.0/16)
Exchange
AD/DNS
IIS ServersSQL Farm Proxy/Internet edge Microsof
t Azure
Storage SQL Websites
Contoso virtual networks/Vms
Azure public services
AD/DNS
相互通信インターネットAzure サービス
インターネット
BGP 側でルーティングの設定が必要default router(0.0.0.0/0) のルーティングをオンプレミスに向ける、
など
51
Contoso (10.0.0.0/16)
Exchange
AD/DNS
IIS ServersSQL Farm Proxy/Internet edge Microsof
t Azure
Storage SQL Websites
Contoso virtual networks/Vms
Azure public services
AD/DNS
相互通信インターネットAzure サービス
インターネット
ExpressRoute for Office 365 の QoS 要件について
52
※ ExpressRoute の QoS の要件 | Microsoft Azure
https://azure.microsoft.com/ja-jp/documentation/articles/expressroute-qos/
音声、ビデオ、およびデータ転送が別々に処理される必要がある音声およびビデオはレイテンシーとジッターの影響を受けやすい適切な DSCP 値を持つトラフィックおよびタグによる分類各トラフィック クラスのキューの分離
Best Effort
Video and Interactive
Voice
エンドポイントで使用する IP アドレス範囲の指定Azure 上のパブリック サービスと接続するためには、エンドポイン
トの IP アドレス範囲を設定 ( ルーティング ) する必要があるDownload Microsoft Azure Datacenter IP Ranges from Official Microsoft
Download Centerhttps://www.microsoft.com/en-us/download/details.aspx?id=41653
サービス、リージョンの追加などで使用されるエンドポイントの IP アドレス範囲を追加設定、変更を行う運用が必要
最新版のバージョンは 2015.11.30
53
エンドポイントで使用する IP アドレス範囲の指定Office 365 で使用されているすべてのエンドポイントも更新される
可能性があるエンドポイントが追加される 14 ~ 30 日前に更新
Office 365 URLs and IP address ranges - Office 365 https://support.office.com/en-us/article/Office-365-URLs-and-IP-address-ranges-8548a2
11-3fe7-47cb-abb1-355ea5aa88a2?omkt=en-001&ui=en-US&rs=en-001&ad=USURLs and IP address ranges for Office 365 operated by 21Vianet - Office 365
※ 中国の 21Vianet が運営する Office 365 を使用している場合 https://support.office.com/en-us/article/URLs-and-IP-address-ranges-for-Office-365-oper
ated-by-21Vianet-5c47c07d-f9b6-4b78-a329-bfdc1b6da7a0?ui=en-US&rs=en-001&ad=US
Exchange Online Protection の IP アドレス : Exchange Online Protection Help https://technet.microsoft.com/ja-jp/library/dn163583(v=exchg.150).aspx
RSS フィードからエンドポイント更新を確認Office 365 URLs and IP Addresses
https://support.office.com/en-us/o365ip/rss
54
まとめ
まとめ
56
Azure および Office 365 へのアクセスをプライベート接続に
Core Network
Extranet
Internet edge
Customer’s premises
ExpressRoute
Azure パブリック ピアリング
Microsoft ピアリング
Microsoft Cloud
!=
インターネット
Azure プライベート ピアリング
ExpressRoute 構築における責任・作業範囲まとめExpressRoute の設定までは可能
それ以上先は接続 ( サービス ) プロバイダーに相談、依頼が推奨
57
閉域網Provider
EdgeMicrosoft Edge
責任・作業範囲
Microsoft Cloudプロバイダ
オンプレミス 接続 ( サービス ) プロバイダー
ExpressRoute回線
• 機器 ( ルータ ) の設置、保守
• 冗長化設定• ルーティング設定• NAT 設定 • ExpressRoute
回線の提供
接続プロバイ
ダー
通信事業者提供回線
• ExpressRoute の設定
接続 ( サービス )
プロバイダー
社内 SE or 接続 ( サービ
ス ) プロバイダー
社内 SE or 接続 ( サービス ) プロバイダー
ExpressRoute を実際に試してみたい2015/11/01 から無償で検証できるようになりました
IIJ 、「 IIJ クラウドエクスチェンジサービス for Microsoft Azure」において、無償で利用できる検証環境を提供開始 | 2015年 | IIJhttp://www.iij.ad.jp/news/pressrelease/2015/1022.html
58
参考 URLExpressRoute - クラウド統合ソリューション | Microsoft Azure
https://azure.microsoft.com/ja-jp/services/expressroute/ExpressRoute の概要 | Microsoft Azure
https://azure.microsoft.com/ja-jp/documentation/articles/expressroute-introduction/
Microsoft Azure Bloghttps://azure.microsoft.com/en-us/blog/
Cloud and Server Product Japan Blog - Site Home - TechNet Blogshttp://blogs.technet.com/b/mssvrpmj/
59
参考 URL (Channel 9)Azurecon 2015 | Microsoft Azure
https://azure.microsoft.com/ja-jp/azurecon/Using ExpressRoute with Office 365 | AzureCon 2015
https://channel9.msdn.com/Events/Microsoft-Azure/AzureCon-2015/ACON204
ExpressRoute for experts | AzureCon 2015https://channel9.msdn.com/Events/Microsoft-Azure/AzureCon-2015/ACON301
マイクロソフト クラウドと ExpressRoute で実現するエンタープライズ ハイブリッド クラウドの可能性 | FEST2015https://channel9.msdn.com/Events/FEST/2015/SPN-304
Azure Networking with ExpressRoute | de:code 2015https://channel9.msdn.com/Events/de-code/decode-2015/CDP-003
60
参考 URL (Channel 9)ExpressRoute for Office 365 and other Network Connection
Options | Microsoft Ignite 2015https://channel9.msdn.com/Events/Ignite/2015/BRK2161
Evolve Your Network Infrastructure for Microsoft Azure Connectivity | Microsoft Ignite 2015https://channel9.msdn.com/Events/Ignite/2015/BRK2481
Hybrid Partnerships: Enabling On-Premises Scenarios in Microsoft Azure | Microsoft Ignite 2015https://channel9.msdn.com/Events/Ignite/2015/BRK2481
61
62
おちまい(・ Θ・ ) ノ
おまけ
ExpressRoute に接続する vNet の設定 (1)① Location
デプロイされるリソースのリージョン名
② gatewayTypeデプロイするゲートウェイの型※ ExpressRoute 接続の場合、値は「 ExpressRoute」
③ connectionType接続する型※ ExpressRoute 接続の場合、値は「 ExpressRoute」
④ virtualNetworkName作成する仮想ネットワーク名
⑤ addressPrefix新しい仮想ネットワークのアドレス範囲 (CIDR 表記 )
64
ExpressRoute に接続する vNet の設定 (2)⑥ subnetName
新しい仮想ネットワーク内に作成される最初のサブネット名
⑦ subnetPrefix最初のサブネットのアドレス範囲 (CIDR 表記 )
⑧ gatewaySubnetデプロイされるゲートウェイ サブネット名※値は「 GatewaySubnet」固定
⑨ gatewaySubnetPrefixゲートウェイ サブネットのアドレス範囲 (CIDR 表記 )有効な最小サブネット は「 /28」
65
ExpressRoute に接続する vNet の設定 (3)⑩ gatewayPublicIPName
ゲートウェイにアタッチされる Public IP に付与されるリソース名
⑪ gatewayNameExpressRoute ゲートウェイに付与されるソース名
⑫ connectionNameExpressRoute 回線と vNet ゲートウェイ間の接続に付与されるリソース名
⑬ circuitName接続に必要な vNet ゲートウェイの ExpressRoute 回線名
ExpressRoute 回線が作成済みCircuitProvisioningState の値が「 Enabled」ServiceProviderProvisioningState の値が「 Provisioned」であること
66