今さら聞けない~Azureハブ&スポーク構成~

皆さんこんにちは!徐々にAzureに慣れてきた森です。

 

今回は、基本的なAzureネットワーク環境のデザインパターンとして、よく用いられるAzureハブ&スポーク構成について、ピックアップしてみました。

「よく用いられる基本的なデザインパターン」ですので、今さら周りの同僚に聞けそうにありません。Azureハブ&スポーク構成を、基本的な概念からメリット、実装方法までをわかりやすく解説していきたいと思います。

 

 

1. 基本的な概念

Azureのハブ&スポーク構成とは、複数のAzure仮想ネットワークを接続するためのデザインパターンです。

この構成では、「ハブ」と「スポーク」という2種類の仮想ネットワークを使用します。

参考URL:Azure のハブスポーク ネットワーク トポロジ – Azure Architecture Center | Microsoft Learn

 

1.1 ハブ

ハブとは、Azure BastionやAzure Firewall、VPN Gatewayのように共有で利用されるAzure サービスをホストし、オンプレミスネットワーク、もしくはインターネットからの接続の中心点として機能します。

全ての通信はこのハブを介して、後続のサービスに接続されます。

 

1.2 スポーク

スポークとは、ハブとピアリングして、ワークロードを分離するための仮想ネットワークです。

スポークには、Azure VMやAzure App Serviceなどのアプリケーションやサービスが配置されます。

ハブから提供される共通のサービスやポリシーを利用しながら、独立した管理やセキュリティを実現できます。

 

2. メリット/デメリット

Azureのハブ&スポーク構成では、以下のようなメリットがあります。

 

  • ネットワークの可用性や、セキュリティ向上のために利用するサービス(例:Azure Firewall、Azure Bastion)を一元化して管理できます。
  • ワークロードごとに、別のスポークにデプロイすることで、仮想ネットワークを分離して管理できます。
  • 必ずハブを介することになるので、トラフィックの流れを制御してコストを削減できます。
  • オンプレミスインフラからクラウドへの移行を容易にできます。

 

もちろん、オンプレミスと接続しない場合でも、ハブ&スポーク構成採用するメリットがあります。

  • ネットワーク仮想アプライアンスや DNS サーバーなど、複数のワークロードで共有できるサービスを一か所に集約できるため、リソースや管理作業量を最小限に抑えることができます。
  • 管理側の情報システム企画担当と、現場とで、ワークロードを分離して管理できます。例えば、開発やテスト、本番などの異なる環境や、組織内のさまざまなグループを分けることができます。

では、デメリットは何なのか。

  • 必ずハブを介することになるため、ハブに障害が発生した場合は、スポークとの接続が遮断されてしまい、全体の通信が停止する可能性があります。
  • また、ハブ経由になることで、ワークロードがデプロイされているスポークに対して、直接アクセスすることができません。そのため、ハブを介する分、ネットワーク遅延が発生してしまう恐れがあります。
  • ハブとスポークは別の仮想ネットワークにあるため、VnetピアリングのようなAzureのサービスを導入する必要があります。そのため、選択するサービスのオプションで機能が制限されたり、追加でのコストが必要となったりする可能性があります。

 

3. 実装計画

実際にハブ&スポーク構成を構築してみたいと思います。次回の記事でより詳細にご紹介しますが、先んじて、どのような構成で実装するかご説明します。

図)左がハブ、右がスポークとなります。

 

ハブのVnetには、Azure FirewallとAzure Bastionをデプロイする予定です。

Azure Firewallでトラフィックを制御し、スポークのAzure VMにアクセスさせるために、Azure Bastionを利用させます。

それぞれのサブネットを作成し、そこへデプロイします。スポークには、AzureVMをデプロイします。

 

最終的な目標は、Azure BastionからのみスポークにあるAzureVMに接続できることです!

 

ここまで、Azureハブ&スポーク構成の基本的概念から、メリット・デメリットをご紹介しました。

次回は実際にAzure環境上にハブ&スコープ構成を構築してみたいと思います。

 

 

この記事を書いた人

森 信之介
テクニカルマーケターとして、ブログ執筆、セミナー講師を行っております!