Azure Virtual WAN 統合に関する情報
Azure Virtual WAN ハブと Cisco Catalyst SD-WAN の統合
サポートされている最小リリース:Cisco IOS XE Catalyst SD-WAN リリース 17.4.1a、Cisco vManage リリース 20.4.1
Cisco Catalyst SD-WAN ソリューションと Azure Virtual WAN の統合により、Cloud OnRamp for Multicloud 展開が強化され、Cisco Catalyst 8000V Edge ソフトウェア(Cisco Catalyst 8000V)を Azure Virtual WAN ハブのネットワーク仮想アプライアンス(NVA)として設定できます。
この統合により、トランジット仮想ネットワーク(VNet)を作成する必要がなくなり、Azure 仮想 WAN ハブを介してホスト VNet 接続を直接制御できるため、クラウドサービスの消費モデルが簡素化されます。Azure Virtual WAN は、Microsoft Azure を介して最適化および自動化されたブランチ間の接続を提供するネットワーキングサービスです。Azure と通信できるブランチデバイスを接続して設定できます。Azure 仮想ハブ内に Cisco Catalyst 8000V インスタンスを設定すると、より高速で広い帯域幅が提供され、トランジット VNet を使用する場合の速度と帯域幅の制限が克服されます。
Cloud OnRamp for IaaS と Cloud OnRamp for Multicloud の比較
この表では、Microsoft Azure 統合のコンテキストでの Cloud OnRamp for IaaS と Cloud OnRamp for Multicloud の違いを示しています。
Azure 用の Cloud OnRamp for IaaS |
Azure 用の Cloud OnRamp for Multicloud |
---|---|
Cisco SD-WAN Manager での Cloud OnRamp for IaaS ワークフローを介したトランジット VNet の自動プロビジョニングを可能にします |
Cisco SD-WAN Manager での Cloud OnRamp for Multicloud ワークフローを介した Azure 仮想ハブの自動プロビジョニングを可能にします |
Cisco SD-WAN Manager がトランジット VNet 内の 2 つの Cisco Cloud Services Router 1000V シリーズ(Cisco CSR1000V)デバイスを自動的にプロビジョニングします |
Cisco SD-WAN Manager が Azure 仮想ハブ内の 2 つの Cisco Catalyst 8000V インスタンスを自動的にプロビジョニングします |
Azure を使用した Cloud OnRamp for IaaS に関する情報と、トランジット VNet の設定方法については、「Configure Cloud OnRamp for IaaS for Azure」を参照してください。
仮想 WAN ハブ統合の仕組み
オーバーレイネットワークとパブリック クラウド アプリケーション間の接続は、Azure 用の Cloud OnRamp for Multicloud ワークフローの一環として Azure Virtual WAN ハブ内で設定された冗長 Cisco Catalyst 8000V インスタンスのペアによって提供されます。冗長ルータを使用してトランジットを形成すると、パブリッククラウドに対するパスの復元力が得られます。
Cisco SD-WAN Manager の Cloud OnRamp for Multicloud フローは、地理的なクラウドリージョン内の既存の VNet を検出し、選択した VNet をオーバーレイネットワークに接続できるようにします。このようなシナリオでは、Cloud OnRamp for Multicloud を使用すると、レガシーパブリッククラウド接続と Cisco Catalyst SD-WAN オーバーレイネットワークを簡単に統合できます。
Cisco SD-WAN Manager の構成ウィザードは、パブリック クラウド アカウントに接続するための Azure Virtual WAN ハブの起動を自動化します。また、このウィザードは、パブリック クラウド アプリケーションと、オーバーレイ ネットワーク内のブランチにいるそれらのアプリケーションのユーザーとの間の接続を自動化します。Cisco SD-WAN Manager では、タグを使用して、ブランチ内のサービス VPN をパブリック クラウド インフラストラクチャ内の特定の VNet にマッピングできます。
VNet から VPN へのマッピング
Cisco SD-WAN Manager のインテント管理ワークフローは、Cisco SD-WAN VPN(ブランチネットワーク)と VNet 間の接続、および VNet から VNet への接続を可能にします。VNet は、Cloud OnRamp for Multicloud の Discover ワークフローで作成されたタグで表されます。VNet が仮想 WAN ハブに接続するようにマッピングされると、デフォルトルートが割り当てられ、デフォルトラベルに伝達されます。Azure リージョン内で VNet タグを作成すると、同じタグを共有する他の VNet および VPN に基づいてマッピングが自動的に作成されます。
Cisco SD-WAN Manager が接続のインテントを記録すると、クラウドゲートウェイが存在するリージョンのクラウドでマッピングが実現されます。クラウドゲートウェイが異なるリージョンに存在しなくても、マッピングインテントを入力できます。マッピングインテントは、新しいクラウドゲートウェイまたはマッピングの変更が検出されたときに保持され、実現されます。クラウドゲートウェイが異なるリージョンでインスタンス化または検出されると、マッピングインテントがそれらのリージョンで実現されます。同様に、タグ付け操作はさまざまなリージョンのマッピングにも影響を与える可能性があり、タグごとのマッピングはクラウドで実現されます。
(注) |
VNet タグにマッピングされるように選択した VPN は、重複する IP アドレスを持つことはできません。これは、Microsoft Azure Virtual WAN ではセグメンテーションがサポートされていないためです。 |
リージョン間の Azure ハブ間接続は、VNet タグを作成し、それらを VPN サイトにマッピングすることで有効になります。リージョン間のハブ間接続を有効にするために、追加の設定は必要ありません。VNet は、それぞれのリージョンの仮想 WAN ハブに関連付けられます。異なる Azure リージョン内の VNet が同じ VNet タグを共有している場合、そのような VNet 間の接続は自動的に確立され、VNet が接続されているそれぞれの仮想 WAN ハブを介して実行されます。
Azure 仮想 WAN 統合ワークフローのコンポーネント
ブランチとデータセンターをパブリック クラウド インフラストラクチャに接続するためのクラウドゲートウェイは、Cisco Catalyst 8000V インスタンスをホストする論理オブジェクトです。Azure リソースグループ、Azure Virtual WAN、および Azure Virtual WAN ハブで構成されます。
リソース グループ
すべての Azure ネットワーキングリソースはリソースグループに属し、リソースグループは Azure サブスクリプションの下に作成されます。Azure クラウドゲートウェイの場合、Azure 仮想 WAN と Azure 仮想 WAN ハブはリソースグループの下に作成されます。
したがって、Azure クラウドゲートウェイを作成する最初の手順は、リソースグループを作成することです。
リソースグループを作成したら、Azure 仮想 WAN を構成できます。
Azure 仮想 WAN
Azure 仮想 WAN は、Azure ネットワーキングサービスのバックボーンです。既存の Azure リソースグループの下に作成されます。Azure 仮想 WAN には、各仮想ハブが異なる Azure リージョンに属している限り、複数の Azure 仮想ハブを含めることができます。Azure リージョンごとに 1 つの仮想ハブのみがサポートされます。
リージョン内のリソースグループで仮想 WAN を定義したら、次のステップは Azure 仮想 WAN ハブの作成です。
Azure 仮想 WAN ハブ
Azure Virtual WAN ハブは、VPN サイトと NVA および VNet 間のコア接続を管理します。仮想ハブが作成されると、Cisco Catalyst 8000V インスタンスを Azure ネットワーキングサービスに統合できます。
接続モデル
Azure Virtual WAN と Cisco Catalyst SD-WAN ソリューションの統合では、次の接続モデルがサポートされています。
-
Cisco Catalyst SD-WAN ブランチから同じ Azure リージョン内の Azure ホスト VNet へ
-
リージョン間の Azure 仮想ハブから仮想ハブへの接続
Cisco Catalyst SD-WAN ブランチから Azure ホスト VNet へ(単一リージョン)
このシナリオでは、仮想ハブはスタンドアロンであり、他の Azure リージョンの仮想ハブには接続されていません。このような場合、VNet は仮想ハブと同じリージョンに属し、Cisco SD-WAN Manager で定義されている VNet タグを使用してブランチ VPN に接続されます。
仮想 WAN ハブから仮想 WAN ハブへ(リージョン間)
この画像は、Azure バックボーンでのハブ間接続を表しています。この接続を個別に設定する必要はありません。異なる Azure リージョンの VNet が同じ VNet タグを共有している場合、この接続は自動的に実現されます。
セキュリティ保護付き仮想ハブまたはローカルファイアウォールへのトラフィックフローのルーティング
サポートされている最小リリース:Cisco IOS XE Catalyst SD-WAN リリース 17.6.1a、Cisco vManage リリース 20.6.1
Microsoft Azure 環境には、Azure Virtual Network(VNet)ワークロードとローカルブランチデバイス間の接続を可能にする仮想ハブが含まれています。Cisco Catalyst SD-WAN と Azure 環境の統合により、次のファイアウォールオプションが有効になります。
-
Azure Virtual WAN ハブの発信インターネットトラフィックを、ローカルブランチルータのファイアウォールにルーティングする
-
ローカルブランチルータからの発信インターネットトラフィックを Azure のセキュリティ保護付き仮想ハブにルーティングし、Azure Firewall Manager のセキュリティポリシーを適用する。
(注)
Azure のセキュリティ保護付き仮想ハブは、Azure Firewall Manager によって管理されるセキュリティおよびルーティングポリシーを持つ Azure Virtual WAN ハブです。
どちらの場合も、リターントラフィックは発信インターネットトラフィックと同じパスをたどるため、同じファイアウォールポリシーが両方向のトラフィックに適用されます。
Azure Virtual WAN の監査
サポートされている最小リリース:Cisco IOS XE Catalyst SD-WAN リリース 17.7.1a、Cisco vManage リリース 20.7.1
マルチクラウド監査サービスは、Cisco SD-WAN Manager データベースの情報を Azure クラウドデータベースの情報と比較します。この情報には、Azure Virtual WAN、仮想ハブ、ネットワーク仮想アプライアンス、仮想ネットワーク、および VPN から仮想ネットワークへのマッピングが含まれます。その後、Cloud OnRamp for Multicloud は結果を比較して不一致を特定し、エラーの有無にかかわらず Microsoft Azure オブジェクトのリストを表示します。
Cisco IOS XE Catalyst SD-WAN リリース 17.8.1a および Cisco vManage リリース 20.8.1 以降では、監査機能には次の拡張機能が組み込まれています。
-
オンデマンド監査を開始すると、Cloud OnRamp for Multicloud の監査サービスが、Cisco SD-WAN Manager データベース内の情報と Azure クラウド内の情報の不一致を特定して一覧表示します。すべての不一致をまとめて修正するか、不一致を選択して個別に修正することができます。個々の不一致の横にあるチェックボックスをオンにすると、問題の簡単な説明が不一致の下に表示されます。
監査の不一致と解決の詳細については、「Audit Discrepancies and Resolutions」を参照してください。
-
定期監査を有効または無効にできるようになりました。詳細については、「Enable Periodic Audit」を参照してください。
定期監査に関する情報
サポートされている最小リリース:Cisco IOS XE Catalyst SD-WAN リリース 17.8.1a、Cisco vManage リリース 20.8.1
Cisco IOS XE Catalyst SD-WAN リリース 17.8.1a および Cisco vManage リリース 20.8.1 以降では、Cisco SD-WAN Manager は 2 時間間隔のオプションの定期監査を提供しています。この自動監査はバックグラウンドで実行され、不一致のレポートが生成されます。自動修正オプションを有効にすると、Cisco SD-WAN Manager は定期監査中に検出された回復可能な問題を自動的に解決します(存在する場合)。定期監査とその解決の詳細については、「Audit Discrepancies and Resolutions」を参照してください。
(注) |
Cisco SD-WAN Manager バージョンをアップグレードした場合、定期監査と自動修正のオプションはデフォルトで無効になっています。[Cloud Global Settings] ウィンドウから有効にできます。詳細については、「Add and Manage Global Cloud Settings」を参照してください。 |
監査の不一致と解決
次の表に、監査の不一致と解決の詳細を示します。
不一致 |
説明 |
対処法 |
|||||||
---|---|---|---|---|---|---|---|---|---|
オンデマンド監査の [Fix Sync Issues] ボタン |
定期監査と自動修正 |
||||||||
タグ内の VNet が使用できない |
Cisco SD-WAN Manager データベースでは VNet がタグ付けされているが、Azure ポータルでは使用できない場合。 |
Cisco SD-WAN Manager データベースから VNet を削除するには、[Fix Sync Issues] をクリックします。 |
Cisco SD-WAN Manager データベースから VNet を削除します。 注 2 を参照してください。 |
||||||
Azure ポータルから VNet タグが削除された場合、または Cisco SD-WAN Manager と Azure ポータルの間で VNet タグの不一致がある場合。 |
Cisco SD-WAN Manager データベースから Azure ポータルに VNet タグを適用するには、[Fix Sync Issues] をクリックします。 |
Cisco SD-WAN Manager データベースから Azure ポータルに VNet タグを追加します。 |
|||||||
ストレージアカウント(NVA の設定の保存)が使用できない |
Azure ポータルではストレージアカウントが使用できないが、Cisco SD-WAN Manager データベースでは使用できる場合。 |
Cisco SD-WAN Manager データベースからストレージアカウントを削除するには、[Fix Sync Issues] をクリックします。 |
Cisco SD-WAN Manager データベースからストレージアカウントを削除します。 注 2 を参照してください。 |
||||||
仮想 WAN、vHub、および NVA が使用できない |
Azure ポータルで仮想 WAN、vHub、または NVA が使用できない場合。 |
|
注 2 を参照してください。 |
||||||
Azure ポータルでマッピングが使用できない 注 1 を参照してください。 |
Cisco SD-WAN Manager データベースにはマッピングがありますが、Azure ポータルにはありません。 |
マッピングを Azure ポータルに再度追加するには、[Fix Sync Issues] をクリックします。 |
マッピングを Azure ポータルに再度追加します。 |
||||||
Cisco SD-WAN Manager データベースでマッピングを使用できない
|
Azure ポータルにはマッピングがありますが、Cisco SD-WAN Manager データベースにはありません。 |
マッピングを Cisco SD-WAN Manager データベースに再度追加するには、Cisco SD-WAN Manager ワークフローを使用して VNet を手動でタグ付けし、マッピングする必要があります。
|
マッピングを Cisco SD-WAN Manager データベースに再度追加するには、Cisco SD-WAN Manager ワークフローを使用して VNet を手動でタグ付けし、マッピングする必要があります。
|
(注) |
1.Cisco IOS XE Catalyst SD-WAN リリース 17.8.1a および Cisco vManage リリース 20.8.1 以降では、この不一致を表示して修正することができます。 |
(注) |
2.Cisco vManage リリース 20.9.x 以降では、自動修正オプションは使用できません。代わりに、次のようにクラウドサービス監査を表示します。Cisco SD-WAN Manager のメニューから、 を選択して、[Intent Management] ペインで [Audit] をクリックします。クラウドプロバイダーを選択します。Cisco SD-WAN Manager が監査レポートを表示します。 |
ネットワーク仮想アプライアンスの SKU スケール値
サポートされている最小リリース:Cisco IOS XE Catalyst SD-WAN リリース 17.7.1a、Cisco vManage リリース 20.7.1
Azure で Cisco Catalyst 8000V Edge インスタンスの SKU スケール値を編集できます。Cisco IOS XE Catalyst SD-WAN リリース 17.7.1a および Cisco vManage リリース 20.7.1 より前のリリースでは、SKU スケール値は編集できません。SKU スケール値を変更する場合は、クラウドゲートウェイを削除してから、新しい SKU スケール値を使用して再作成する必要があります。
より高い SKU スケール値を選択してパフォーマンスを向上させることや、より低い値を選択してコスト効率を高めることができます。
SKU スケール値を更新する方法の詳細については、「Configure SKU Scale Value」を参照してください。
(注) |
SKU スケール値を編集した後は、3 〜 4 分のネットワークダウンタイムが予想されます。 |
サポートされる SKU スケールの詳細については、「Supported Azure Instances for Azure Virtual WAN Integration」を参照してください。
ネットワーク仮想アプライアンスのセキュリティルールの設定
サポートされている最小リリース:Cisco IOS XE Catalyst SD-WAN リリース 17.7.1a、Cisco vManage リリース 20.7.1
Microsoft Azure には、ネットワーク仮想アプライアンス(NVA)のセキュリティルールを編集するオプションがあります。Cisco SD-WAN Manager は、NVA のこれらのセキュリティルールの設定をサポートしています。
クラウドゲートウェイの作成中に起動される Cisco Catalyst 8000V NVA は、Cisco Catalyst SD-WAN 関連のポートを除くすべてのインバウンドポートの使用を禁止します。NVA 機能のセキュリティルール設定を使用すると、デバッグ目的などで、必要に応じて特定のポートを有効にすることができます。新しい NVA ルールを追加してポートを有効にすると、そのポートは 2 時間だけアクティブのままになります。同時に、別の NVA ルールを追加するとタイマーが再起動し、すべての有効なポートが 2 時間アクティブのままになります。
(注) |
|
NVA への Azure ExpressRoute 接続に関する情報
サポートされている最小リリース:Cisco IOS XE Catalyst SD-WAN リリース 17.8.1a、Cisco vManage リリース 20.8.1
Cisco IOS XE Catalyst SD-WAN リリース 17.8.1a および Cisco vManage リリース 20.8.1 以降では、Cisco SD-WAN Manager は、SD-WAN トンネルを介したブランチオフィスから NVA への ExpressRoute 接続をサポートしています。ExpressRoute 接続は、データ転送のための、信頼性が高く、遅延が少なく、接続が高速なプライベートネットワークです。
NVA への Azure ExpressRoute 接続の詳細については、「Alternative Azure Designs」を参照してください。
各リージョンの複数の仮想ハブに関する情報
サポート対象の最小リリース:Cisco vManage リリース 20.11.1
(注) |
この機能は、Azure クラウドと Azure Government クラウドの両方でサポートされています。 |
単一のリージョンで Azure に接続されている数千のサイトを持つ組織の場合、Microsoft は複数のクラウドゲートウェイの作成と、単一のリージョンで最大 8 つの仮想ハブの作成をサポートしています。
Cisco vManage リリース 20.10.1 以前のリリースでは、Azure Virtual WAN ソリューションは、1 つのリージョンで単一の仮想ハブのみをサポートしています。Cisco vManage リリース 20.11.1 以降では、このソリューションは各リージョンで複数の仮想ハブをサポートしています。
仮想ネットワークへのクラウド ゲートウェイ アタッチメントは、ロード バランシング アルゴリズムに基づいています。クラウド ゲートウェイ アタッチメントにタグを追加する場合は、[Auto] を選択し、これによって、ロード バランシング アルゴリズムに基づいて VNet を配布することができます。新しいクラウドゲートウェイを作成したときは、VNet を再配布して、すべてのクラウドゲートウェイ間で既存の VNet をロードバランスすることができます。[Auto] の VNet タグを選択した場合にのみ、クラウドゲートウェイ間で VNet を再割り当てできます。クラウドゲートウェイにアタッチされている専用 VNet タグを再割り当てすることはできません。