Azure ExpressRoute は、通信帯域の確保や安定性を目的としたオンプレミスから Azure (Microsoft クラウド) への専用プライベートネットワーク接続する際に使用されるサービスですが、「ExpressRoute Local」や「ExpressRoute FastPath」、「ExpressRoute Direct」、「ExpressRoute Global Reach」といった色んな機能や名称が出てきています。
Azure ExpressRoute サービス全体について記載された公式ドキュメントは存在するものの、特徴と機能が一緒に記載されているので読み手によっては多少理解しにくいかな、という印象を受けました。
なるほど、分からん
自分好み (自分が理解できる) の形ではありますが、Azure ExpressRoute サービスの各機能について纏めてみました。
Azure ExpressRoute サービスについて
※2021/08/16 時点で確認できる情報をまとめたものとなります。
※また、オンプレミス – Azure 間の ExpressRoute 接続方式や設定方法といった具体的な手順は省略しています。
ExpressRoute Circuit (回線)
ExpressRoute を説明する際、以下の図などが用いられますが、オンプレミス ネットワークと Microsoft Azure を含む Microsoft クラウド間の論理的な回線リソース (ExpressRoute Circuit) のことを指します。
なお、実際にオンプレミス ネットワークと Microsoft クラウド間で通信する際には物理的に配線されている (ExpressRoute サービス プロバイダー経由もしくは ExpressRoute Direct による直接接続) 必要がありますが、ほとんどが ExpressRoute サービス プロバイダー経由で接続する形になると思います。
ExpressRoute サービス プロバイダーを用いて ExpressRoute Circuit を作成する際、主に以下の項目を設定する必要があります。
※各項目内で選択できる値は、ExpressRoute サービス プロバイダーごとに異なります。
- ピアリングの場所 (東京、大阪など)
※ExpressRoute サービス プロバイダーごとに異なる。 - 帯域幅 (50Mbps/100Mpbs/200Mbps/500Mbps/1Gbps/2Gbps/5Gbps/10Gbps)
※ExpressRoute サービス プロバイダーごとに異なる。 - SKU (Local/Standard/Premium)
- 課金モデル (従量課金/無制限)
また、ExpressRoute 回線を用いて通信を行う際に以下のピアリングが必要になります。用途に合わせてピアリングを構成する必要がありますが、Microsoft 365 を利用する際は Microsoft の承認が必要なので注意。
- Microsoft ピアリング
- Azure PaaS、Microsoft 365、Dynamics 365、Power Platform といったサービスを ExpressRoute 経由で通信を行う 際に必要となります。
※オンプレミスからはパブリック IP アドレスで接続ルーティング情報は BGP で広報され、必要なサービスのルーティング情報のみを受け取ることも可能です (ルート フィルター) が、ExpressRoute サービス プロバイダー側で制御している場合があるので、プロバイダーとの調整が必要です。
- Azure PaaS、Microsoft 365、Dynamics 365、Power Platform といったサービスを ExpressRoute 経由で通信を行う 際に必要となります。
- プライベート ピアリング
- Azure VNet 内にデプロイされた IaaS (仮想マシンなど) や PaaS (ストレージ アカウントなど) と ExpressRoute 経由で通信を行う際に必要となります。
※オンプレミスからはプライベート IP アドレスで接続実際に接続、通信する際は ExpressRoute Gateway の構築も必要となります。
- Azure VNet 内にデプロイされた IaaS (仮想マシンなど) や PaaS (ストレージ アカウントなど) と ExpressRoute 経由で通信を行う際に必要となります。
ExpressRoute Circuit の SKU
各 SKU の違いについては、以下の図で表現することができますが、各 SKU の主な違いとしては、価格もそうですが ExpressRoute 経由で接続可能なリージョンが異なる、という点になります。
- Local
- ピアリングの場所の近くにある 1 つ or 2 つのリージョンにのみアクセスできます。
※ピアリングの場所が東京であれば、東日本リージョンのみにアクセス可能Local SKU を利用する利点としてはエグレス データ転送に対して料金が発生しない (無制限課金モデル) ため、通信費用を抑えることはできますが、ExpressRoute Cirtuit の帯域幅を 1 Gbps 以上にする必要があります。
- ピアリングの場所の近くにある 1 つ or 2 つのリージョンにのみアクセスできます。
- Standard
- ピアリングの場所に属する地理的リージョン内のすべてのリージョンにアクセスすることが可能です。
※ピアリングの場所が東京であれば、日本リージョン (東日本リージョン、西日本リージョン) にアクセス可能
- ピアリングの場所に属する地理的リージョン内のすべてのリージョンにアクセスすることが可能です。
- Premium
- 世界中のリージョンにアクセスすることが可能です。メリットとしては、日本リージョン内に存在していないサービスを ExpressRoute 経由でアクセスすることが可能となります。
※Microsoft 365 や地理的リージョン外で ExpressRoute Global Reach を利用する際は Premium SKU が必要
- 世界中のリージョンにアクセスすることが可能です。メリットとしては、日本リージョン内に存在していないサービスを ExpressRoute 経由でアクセスすることが可能となります。
ExpressRoute の接続モデル
ExpressRoute 回線を用いた接続モデルは以下の図となります。
ExpressRoute サービス プロバイダーによって異なりますが、”Service Provider model” の Cloud Exchange co-location や Any-to-Any (IPVPN) connection で提供されている場合が多く、Point-to-Point Ethernet connection はあまり見ない感じです。
“Direct model” は後述しますが構築/利用できる環境はそんなに多くなさそうな感じです。
ExpressRoute Gateway
プライベート ピアリングを用いてオンプレミスから Azure VNet 内のリソースと通信を行う際に必要となります。
ExpressRoute Gateway は、「IP ルートの交換」と「ネットワーク トラフィックのルーティング」で利用されます。
ExpressRoute Gateway の SKU
各 SKU の違いとしては、 以下の表となります。
| ExpressRoute Gateway SKU |
帯域幅 | ゾーン冗長 | ExpressRoute FastPath |
|---|---|---|---|
| Standard | 1 Gbps | なし | 利用不可 |
| HighPerformance | 2 Gbps | なし | 利用不可 |
| UltraPerformance | 10 Gbps | なし | 利用可能 |
| ErGw1AZ | 1 Gbps | あり | 利用不可 |
| ErGw2AZ | 2 Gbps | あり | 利用不可 |
| ErGw3AZ | 10 Gbps | あり | 利用可能 |
ExpressRoute Gateway でゾーン冗長を利用するかどうか、ExpressRoute Cirtuit の帯域幅に合わせるかどうか、後述する ExpressRoute FastPath を利用するかどうかを基に SKU を決めていく形となります。
ExpressRoute FastPath
プライベート ピアリングを用いてオンプレミスから Azure VNet 内のリソースと通信を行う際、上述のとおり ExpressRoute Gateway でルーティングが行われますが、ExpressRoute FastPath を利用することで、ExpressRoute Gateway をバイパスして VNet 内の IaaS と通信することが可能となります。
ExpressRoute FastPath を利用するには前提として ExpressRoute Gateway の SKU を Ultraperformance or ErGw3AZ にする必要があり、設定も Azure ポータルからではなく、Azure PowerShell or Azure CLI を用いて有効化する必要があります。
また制限事項として、ユーザー定義ルート (UDR) の設定には影響しないことや、プライベート エンドポイントへの通信は ExpressRoute ゲートウェイを通るといった点があります。
前提条件や制限事項に加えて、現時点で確認する限りでは、ExpressRoute FastPath の利用有無での比較情報もないため、よほどの大規模環境でない限りは利用するケースは少ないかなと感じました。
ExpressRoute Direct
ExpressRoute サービス プロバイダーを利用せず、ピアリングの場所から直接 ExpressRoute に接続するためのサービスとなります。
物理的な回線を準備する、課金モデルが従量制課金のみなど、かなり導入のコストやハードルが高いものとなっていますが、100 Gbps ないし 10 Gpbs の接続が利用可能となる点や、政府機関や銀行といった専用の分離された接続が必要な業種にとっては十分に利用する価値があると思います。
ExpressRoute Global Reach
各拠点ごとに存在するピアリングの場所から ExpressRoute を利用している環境の場合、以下の図のように拠点間の通信は社内 WAN ないしインターネット VPN 経由での通信になっているかと思います。
ExpressRoute Global Reach を利用することで、拠点間の通信を ExpressRoute 経由にすることが可能となります。
ExpressRoute Global Reach を利用するメリットとしては、社内 WAN 内で発生していた通信を ExpressRoute 経由で Microsoft Backbone Network 内に集約することができる点になるかなと。
地理的リージョン外のリージョンと ExpressRoute Global Reach を構成する場合、ExpressRoute Circuit の Premium SKU が必要になりますが、日本国外にも拠点があるような企業に対して、最も効果がある機能であると思います。
まとめ
ExpressRoute を利用するにあたっては、おおざっぱではありますが、以下の観点で SKU の選定や機能利用の有無を判断していけば、クリアにはなるかなと思います。
- 接続モデルおよびピアリングの場所の選定
- Service Provider model の場合は ExpressRoute サービス プロバイダーの選定も含む
- ExpressRoute 回線の SKU、帯域幅、課金モデル、ピアリングの選定
- Microsoft ピアリングの場合は、利用する Microsoft クラウド サービスの選定も含む
- プライベート ピアリングの場合は、ExpressRoute Gateway SKU の選定も含む
- 機能の利用可否
- ExpressRoute FastPath
- ExpressRoute Global Reach
簡単に利用・検証ができないサービスだからこそ、概要や機能の利用するポイントはきちんと押さえておきたかった
おまけ : ExpressRoute or Express Route?
公式のドキュメントを見る限りでは「ExpressRoute」が正しいはずで自分もこの表記でブログに記載していますが、中の人とかベンダーの方がたまに「Express Route」を使っていたりするので、どちらでもよいのかもしれませんw
表記のゆれで目くじら立てたり、文句を言うほどでもないけど、「ExpressRoute」で統一されると幸せになれると思う
参考リンク
