20251129_AzureVirtualWANディジー接続検証

Azure Virtual WANをハブとした VNETデイジーチェーン接続を考察 NTTドコモビジネス株式会社 増田 和己 2025/11/29 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved.

発表者 自己紹介 増田 和己 Kazuki Masuda ＜所属先＞ NTTドコモビジネス(株) ※ ビジネスソリューション本部 ソリューションサービス部 ※旧NTTコミュニケーションズ(株) 写真右が発表者 ＜主業務＞ 嘗てはAzure上でApp ServiceやAKS等のWeb基盤開 発に従事していたが、最近はNetwork(AVWAN), Security(Sentinel)に関する基盤開発に従事。 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 2

静岡について 趣味はロードバイクに乗ること、静岡では主に以下コースを複数回走る。 ・フジイチ(富士山1週サイクリング:125km) ・富士ヒル(Mt.富士ヒルクライムレース:1,270m登坂) ただ静岡の東側に集中しており、 西側には行く機会がなかったため・・・・・ © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 3

今回参加させていただくことになりました!! そして浜松ギョウザ食べたい・・・ © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 4

本日お伝えしたいこと ・Azure Virtual WAN の基本機能や利用時の注意点共有 ・Azure Virtual WAN でVNETデイジーチェーンを行う 際の設定内容共有 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 5

目次 1. Azure Virtual WANとは 2. VNETデイジーチェーンとは 3. Azure Virtual WANでVNETデイジーチェーンを行う背景 4. Azure Virtual WANでVNETデイジーチェーン検証 5. まとめ © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 6

目次 1. Azure Virtual WANとは 2. VNETデイジーチェーンとは 3. Azure Virtual WANでVNETデイジーチェーンを行う背景 4. Azure Virtual WANでVNETデイジーチェーン検証 5. まとめ © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 7

1. Azure Virtual WAN とは Azure Virtual WAN は、ネットワーク、セキュリテイ、ルーテイングのさまざまな機能をまとめて、1つの 運用インターフェイスを提供するネットワーク サービスである (ハブ – スポーク構成が可能)。 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. Azure Virtual WAN の概要 | Microsoft Learn 8

• https://learn.microsoft.com/ja-jp/azure/virtual-wan/virtual-wan-about

1. Azure Virtual WAN とは(主な特徴1) 世界のリージョンにハブ(Azure Virtual WAN Hub)を設置可能。 東日本 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 東南アジア 9

1. Azure Virtual WAN とは(主な特徴2) Azure Virtual WAN のスポーク(拠点)先としてVNET/VPN/ExpressRoute接続が可能、また通信可能。 東日本 東南アジア ハブ V P N スポーク © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 10

1. Azure Virtual WAN とは(主な特徴3) Azure Virtual WAN のハブ間は Azure Firewall でNW/アプリケーションの通信制御が可能。 東日本 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 東南アジア 11

1. Azure Virtual WAN とは(主な特徴4) Azure Virtual WAN のハブ – スポーク間はルーテイング制御が可能。 ※ デフォルトは BGP プロトコルで自動ルーテイング 東南アジア 東日本 空のルートテーブルが 自動で作成されている © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 12

目次 1. Azure Virtual WANとは 2. VNETデイジーチェーンとは 3. Azure Virtual WANでVNETデイジーチェーンを行う背景 4. Azure Virtual WANでVNETデイジーチェーン検証 5. まとめ © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 13

2. VNETデイジーチェーンとは VNET間を3つ以上数珠繋ぎすることを指す。 VNET A © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. VNET B VNET C Azure Virtual WAN の概要 | Microsoft Learn 14

• https://learn.microsoft.com/ja-jp/azure/virtual-wan/virtual-wan-about

2. VNETデイジーチェーンとは VNET間をVNETピアリングで接続している場合、VNET A ⇔ VNET C 間の通信は不可である。 ※よくAZ-104試験にも出ますね VNET ピアリング VNET ピアリング VNET A © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. VNET B VNET C Azure Virtual WAN の概要 | Microsoft Learn 15

• https://learn.microsoft.com/ja-jp/azure/virtual-wan/virtual-wan-about

補足. VNETデイジーチェーンとは (回避策案1) VNET A ⇔ VNET C を繋ぐ場合、VNET間をS2S接続でつなぎ、各VNETでルーテイングを制御する。 ※未検証です VPN VPN VNET A © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. VNET B VNET C Azure Virtual WAN の概要 | Microsoft Learn 16

• https://learn.microsoft.com/ja-jp/azure/virtual-wan/virtual-wan-about

補足. VNETデイジーチェーンとは (回避策案2) VNET A ⇔ VNET C を繋ぐ場合、VNET BにNVA(Azure Firewall)を設置し、Azure Firewallをゲートウェ イとしてルーテイングを制御する。 ※未検証です VNET A © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. VNET B VNET C Azure Virtual WAN の概要 | Microsoft Learn 17

• https://learn.microsoft.com/ja-jp/azure/virtual-wan/virtual-wan-about

目次 1. Azure Virtual WANとは 2. VNETデイジーチェーンとは 3. Azure Virtual WANでVNETデイジーチェーンを行う背景 4. Azure Virtual WANでVNETデイジーチェーン検証 5. まとめ © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 18

3. Azure Virtual WANでVNETデイジーチェーンを行う背景 あるお客様の閉域網のクラウド化(Azure Virtual WAN)について相談いただき、検証を行うこととなった。 Future Now 回線老朽化 低速度&高価格 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. V P N 19

3. Azure Virtual WANでVNETデイジーチェーンを行う背景 ただし、現状既にVNETハブスポーク構成となっており、Azure Virtual WANを追加すると子スポーク VNET(VNETデイジーチェーン接続)が生成されることになる。 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 20

3. Azure Virtual WANでVNETデイジーチェーンを行う背景 なお、VPN Gatewayが存在するVNETに対し、Azure Virtual WAN から VNET接続は不可である。 → つまり、以下図の赤線経路と青線経路の共存は不可(移行難易度が上がる)。 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 21

3. Azure Virtual WANでVNETデイジーチェーンを行う背景 なお、VPN Gatewayが存在するVNETに対し、Azure Virtual WAN から VNET接続は不可である。 → つまり、以下図の赤線経路と青線経路の共存は不可(移行難易度が上がる)。 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. Azure Virtual WAN に関する FAQ | Microsoft Learn 22

• https://learn.microsoft.com/ja-jp/azure/virtual-wan/virtual-wan-faq

目次 1. Azure Virtual WANとは 2. VNETデイジーチェーンとは 3. Azure Virtual WANでVNETデイジーチェーンを行う背景 4. Azure Virtual WANでVNETデイジーチェーン検証 5. まとめ © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 23

4. Azure Virtual WANでVNETデイジーチェーン検証 やりたいこと : VNET A ⇔ VNET C 間を通信可能にしたい 子スポーク スポーク VNET ピアリング VNET A VNET B 10.10.0.0/16 10.20.0.0/16 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. スポーク ハブ 10.40.0.0/16 10.50.0.0/16 VNET C 10.30.0.0/16 24

4. Azure Virtual WANでVNETデイジーチェーン検証 現状構成の場合、以下の通り。 子スポーク スポーク VNET ピアリング VNET A VNET B 10.10.0.0/16 10.20.0.0/16 スポーク ハブ 10.40.0.0/16 10.50.0.0/16 VNET C 10.30.0.0/16 通信可能 通信不可 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 25

4. Azure Virtual WANでVNETデイジーチェーン検証(改善1) 思いついた改善1 : Azure Firewall作成し、同リソースをVNET A ~ VNET C のデフォゲとする。 １ 10.20.1.4 VNET A VNET B 10.10.0.0/16 10.20.0.0/16 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 10.40.0.0/16 10.50.0.0/16 VNET C 10.30.0.0/16 26

4. Azure Virtual WANでVNETデイジーチェーン検証(改善2) 思いついた改善2 : ルートテーブルに以下設定を追加する。 ※ルートテーブルはVNET内のサブネットに紐づくが便宜上以下のように表現 2 2 2 2 2 10.20.1.4 VNET A VNET B 10.10.0.0/16 10.20.0.0/16 10.40.0.0/16 10.50.0.0/16 VNET C 10.30.0.0/16 Default Route: 10.20.1.4 Default Route To 10.10.0.0/16 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. : 仮想ネットワーク : 10.20.1.4 27

4. Azure Virtual WANでVNETデイジーチェーン検証 しかし、通信不可は変わらず・・・・・ 10.20.1.4 VNET A VNET B 10.10.0.0/16 10.20.0.0/16 10.40.0.0/16 10.50.0.0/16 VNET C 10.30.0.0/16 Default Route: 10.20.1.4 Default Route To 10.10.0.0/16 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. : 仮想ネットワーク : 10.20.1.4 28

4. Azure Virtual WANでVNETデイジーチェーン検証 解決策 : VNET C と Azure Virtual WAN Hub に対するルートテーブルは不要だった。 ※ Azure Virtual WAN Hub に対するルートテーブル有無はどちらでもよい 10.20.1.4 VNET A VNET B 10.10.0.0/16 10.20.0.0/16 10.40.0.0/16 10.50.0.0/16 VNET C 10.30.0.0/16 Default Route: 10.20.1.4 Default Route To 10.10.0.0/16 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. : 仮想ネットワーク : 10.20.1.4 29

4. Azure Virtual WANでVNETデイジーチェーン検証 原因 : Azure Virtual WAN のハブ – スポーク間は透過的に BGP プロトコルでルート交換が行われてい るが、 Azure Virtual WAN の領域 10.20.1.4 VNET A VNET B 10.10.0.0/16 10.20.0.0/16 10.40.0.0/16 10.50.0.0/16 VNET C 10.30.0.0/16 BGP © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 30

4. Azure Virtual WANでVNETデイジーチェーン検証 原因 : Azure Virtual WAN のハブ – スポーク間は透過的に BGP プロトコルでルート交換が行われてい るが、Staticルートを設定するとAzure Virtual WAN間でルート広報されないようだ。 → VNET C から Azure Virtual WAN Hub (10.50.0.0/16) の Tracert に失敗し、気づくことができた。 Azure Virtual WAN の領域 10.20.1.4 VNET A VNET B 10.10.0.0/16 10.20.0.0/16 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 10.40.0.0/16 10.50.0.0/16 VNET C 10.30.0.0/16 31

目次 1. Azure Virtual WANとは 2. VNETデイジーチェーンとは 3. Azure Virtual WANでVNETデイジーチェーンを行う背景 4. Azure Virtual WANでVNETデイジーチェーン検証 5. まとめ © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 32

5. まとめ ・Azure Virtual WAN の基本機能や利用時の注意点共有 → VPN Gatewayが存在するVNETにVNET接続不可 ・Azure Virtual WAN でVNETデイジーチェーンを行う 際の設定内容共有 → AzureFirewallと最小限のルートテーブル設定で通信可能 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 33

素敵なAzureライフを!! © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 34

© NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 35