--- title: 20251129_AzureVirtualWANディジー接続検証 tags: author: [マスダカズキ](https://image.docswell.com/user/5592427366) site: [Docswell](https://www.docswell.com/) thumbnail: https://bcdn.docswell.com/page/VJPPNZWZJ8.jpg?width=480 description: 20251129_AzureVirtualWANディジー接続検証 by マスダカズキ published: November 30, 25 canonical: https://image.docswell.com/s/5592427366/5EY337-2025-11-30-163009 --- # Page. 1 ![Page Image](https://bcdn.docswell.com/page/VJPPNZWZJ8.jpg) Azure Virtual WANをハブとした VNETデイジーチェーン接続を考察 NTTドコモビジネス株式会社 増田 和己 2025/11/29 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. # Page. 2 ![Page Image](https://bcdn.docswell.com/page/2EV2KW8MEQ.jpg) 発表者 自己紹介 増田 和己 Kazuki Masuda <所属先> NTTドコモビジネス(株) ※ ビジネスソリューション本部 ソリューションサービス部 ※旧NTTコミュニケーションズ(株) 写真右が発表者 <主業務> 嘗てはAzure上でApp ServiceやAKS等のWeb基盤開 発に従事していたが、最近はNetwork(AVWAN), Security(Sentinel)に関する基盤開発に従事。 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 2 # Page. 3 ![Page Image](https://bcdn.docswell.com/page/57GRQD5XEL.jpg) 静岡について 趣味はロードバイクに乗ること、静岡では主に以下コースを複数回走る。 ・フジイチ(富士山1週サイクリング:125km) ・富士ヒル(Mt.富士ヒルクライムレース:1,270m登坂) ただ静岡の東側に集中しており、 西側には行く機会がなかったため・・・・・ © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 3 # Page. 4 ![Page Image](https://bcdn.docswell.com/page/4EQVK1Z5JP.jpg) 今回参加させていただくことになりました!! そして浜松ギョウザ食べたい・・・ © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 4 # Page. 5 ![Page Image](https://bcdn.docswell.com/page/KJ4MPR3VE1.jpg) 本日お伝えしたいこと ・Azure Virtual WAN の基本機能や利用時の注意点共有 ・Azure Virtual WAN でVNETデイジーチェーンを行う 際の設定内容共有 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 5 # Page. 6 ![Page Image](https://bcdn.docswell.com/page/LE189Q147G.jpg) 目次 1. Azure Virtual WANとは 2. VNETデイジーチェーンとは 3. Azure Virtual WANでVNETデイジーチェーンを行う背景 4. Azure Virtual WANでVNETデイジーチェーン検証 5. まとめ © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 6 # Page. 7 ![Page Image](https://bcdn.docswell.com/page/GEWZQM8ZE2.jpg) 目次 1. Azure Virtual WANとは 2. VNETデイジーチェーンとは 3. Azure Virtual WANでVNETデイジーチェーンを行う背景 4. Azure Virtual WANでVNETデイジーチェーン検証 5. まとめ © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 7 # Page. 8 ![Page Image](https://bcdn.docswell.com/page/47Z1WQ8LJ3.jpg) 1. Azure Virtual WAN とは Azure Virtual WAN は、ネットワーク、セキュリテイ、ルーテイングのさまざまな機能をまとめて、1つの 運用インターフェイスを提供するネットワーク サービスである (ハブ – スポーク構成が可能)。 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. Azure Virtual WAN の概要 | Microsoft Learn 8 # Page. 9 ![Page Image](https://bcdn.docswell.com/page/YJ6LG6PMEV.jpg) 1. Azure Virtual WAN とは(主な特徴1) 世界のリージョンにハブ(Azure Virtual WAN Hub)を設置可能。 東日本 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 東南アジア 9 # Page. 10 ![Page Image](https://bcdn.docswell.com/page/GJ51V6KQ74.jpg) 1. Azure Virtual WAN とは(主な特徴2) Azure Virtual WAN のスポーク(拠点)先としてVNET/VPN/ExpressRoute接続が可能、また通信可能。 東日本 東南アジア ハブ V P N スポーク © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 10 # Page. 11 ![Page Image](https://bcdn.docswell.com/page/9E213MWWJR.jpg) 1. Azure Virtual WAN とは(主な特徴3) Azure Virtual WAN のハブ間は Azure Firewall でNW/アプリケーションの通信制御が可能。 東日本 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 東南アジア 11 # Page. 12 ![Page Image](https://bcdn.docswell.com/page/D7YZ1XL9JM.jpg) 1. Azure Virtual WAN とは(主な特徴4) Azure Virtual WAN のハブ – スポーク間はルーテイング制御が可能。 ※ デフォルトは BGP プロトコルで自動ルーテイング 東南アジア 東日本 空のルートテーブルが 自動で作成されている © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 12 # Page. 13 ![Page Image](https://bcdn.docswell.com/page/VEN3214DE8.jpg) 目次 1. Azure Virtual WANとは 2. VNETデイジーチェーンとは 3. Azure Virtual WANでVNETデイジーチェーンを行う背景 4. Azure Virtual WANでVNETデイジーチェーン検証 5. まとめ © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 13 # Page. 14 ![Page Image](https://bcdn.docswell.com/page/Y79915Q873.jpg) 2. VNETデイジーチェーンとは VNET間を3つ以上数珠繋ぎすることを指す。 VNET A © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. VNET B VNET C Azure Virtual WAN の概要 | Microsoft Learn 14 # Page. 15 ![Page Image](https://bcdn.docswell.com/page/G7894YGZJD.jpg) 2. VNETデイジーチェーンとは VNET間をVNETピアリングで接続している場合、VNET A ⇔ VNET C 間の通信は不可である。 ※よくAZ-104試験にも出ますね VNET ピアリング VNET ピアリング VNET A © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. VNET B VNET C Azure Virtual WAN の概要 | Microsoft Learn 15 # Page. 16 ![Page Image](https://bcdn.docswell.com/page/L7LW64G1ER.jpg) 補足. VNETデイジーチェーンとは (回避策案1) VNET A ⇔ VNET C を繋ぐ場合、VNET間をS2S接続でつなぎ、各VNETでルーテイングを制御する。 ※未検証です VPN VPN VNET A © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. VNET B VNET C Azure Virtual WAN の概要 | Microsoft Learn 16 # Page. 17 ![Page Image](https://bcdn.docswell.com/page/4EM95KQ57W.jpg) 補足. VNETデイジーチェーンとは (回避策案2) VNET A ⇔ VNET C を繋ぐ場合、VNET BにNVA(Azure Firewall)を設置し、Azure Firewallをゲートウェ イとしてルーテイングを制御する。 ※未検証です VNET A © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. VNET B VNET C Azure Virtual WAN の概要 | Microsoft Learn 17 # Page. 18 ![Page Image](https://bcdn.docswell.com/page/PERG3X8Z79.jpg) 目次 1. Azure Virtual WANとは 2. VNETデイジーチェーンとは 3. Azure Virtual WANでVNETデイジーチェーンを行う背景 4. Azure Virtual WANでVNETデイジーチェーン検証 5. まとめ © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 18 # Page. 19 ![Page Image](https://bcdn.docswell.com/page/P7XX46817X.jpg) 3. Azure Virtual WANでVNETデイジーチェーンを行う背景 あるお客様の閉域網のクラウド化(Azure Virtual WAN)について相談いただき、検証を行うこととなった。 Future Now 回線老朽化 低速度&高価格 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. V P N 19 # Page. 20 ![Page Image](https://bcdn.docswell.com/page/37KWZ1KM7D.jpg) 3. Azure Virtual WANでVNETデイジーチェーンを行う背景 ただし、現状既にVNETハブスポーク構成となっており、Azure Virtual WANを追加すると子スポーク VNET(VNETデイジーチェーン接続)が生成されることになる。 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 20 # Page. 21 ![Page Image](https://bcdn.docswell.com/page/LJ31DQZ2E5.jpg) 3. Azure Virtual WANでVNETデイジーチェーンを行う背景 なお、VPN Gatewayが存在するVNETに対し、Azure Virtual WAN から VNET接続は不可である。 → つまり、以下図の赤線経路と青線経路の共存は不可(移行難易度が上がる)。 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 21 # Page. 22 ![Page Image](https://bcdn.docswell.com/page/8JDXP9R67G.jpg) 3. Azure Virtual WANでVNETデイジーチェーンを行う背景 なお、VPN Gatewayが存在するVNETに対し、Azure Virtual WAN から VNET接続は不可である。 → つまり、以下図の赤線経路と青線経路の共存は不可(移行難易度が上がる)。 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. Azure Virtual WAN に関する FAQ | Microsoft Learn 22 # Page. 23 ![Page Image](https://bcdn.docswell.com/page/VEPPNZMZE8.jpg) 目次 1. Azure Virtual WANとは 2. VNETデイジーチェーンとは 3. Azure Virtual WANでVNETデイジーチェーンを行う背景 4. Azure Virtual WANでVNETデイジーチェーン検証 5. まとめ © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 23 # Page. 24 ![Page Image](https://bcdn.docswell.com/page/27V2KW9M7Q.jpg) 4. Azure Virtual WANでVNETデイジーチェーン検証 やりたいこと : VNET A ⇔ VNET C 間を通信可能にしたい 子スポーク スポーク VNET ピアリング VNET A VNET B 10.10.0.0/16 10.20.0.0/16 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. スポーク ハブ 10.40.0.0/16 10.50.0.0/16 VNET C 10.30.0.0/16 24 # Page. 25 ![Page Image](https://bcdn.docswell.com/page/5JGRQDZX7L.jpg) 4. Azure Virtual WANでVNETデイジーチェーン検証 現状構成の場合、以下の通り。 子スポーク スポーク VNET ピアリング VNET A VNET B 10.10.0.0/16 10.20.0.0/16 スポーク ハブ 10.40.0.0/16 10.50.0.0/16 VNET C 10.30.0.0/16 通信可能 通信不可 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 25 # Page. 26 ![Page Image](https://bcdn.docswell.com/page/47QVK1L5EP.jpg) 4. Azure Virtual WANでVNETデイジーチェーン検証(改善1) 思いついた改善1 : Azure Firewall作成し、同リソースをVNET A ~ VNET C のデフォゲとする。 1 10.20.1.4 VNET A VNET B 10.10.0.0/16 10.20.0.0/16 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 10.40.0.0/16 10.50.0.0/16 VNET C 10.30.0.0/16 26 # Page. 27 ![Page Image](https://bcdn.docswell.com/page/KE4MPRDV71.jpg) 4. Azure Virtual WANでVNETデイジーチェーン検証(改善2) 思いついた改善2 : ルートテーブルに以下設定を追加する。 ※ルートテーブルはVNET内のサブネットに紐づくが便宜上以下のように表現 2 2 2 2 2 10.20.1.4 VNET A VNET B 10.10.0.0/16 10.20.0.0/16 10.40.0.0/16 10.50.0.0/16 VNET C 10.30.0.0/16 Default Route: 10.20.1.4 Default Route To 10.10.0.0/16 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. : 仮想ネットワーク : 10.20.1.4 27 # Page. 28 ![Page Image](https://bcdn.docswell.com/page/L7189QZ4JG.jpg) 4. Azure Virtual WANでVNETデイジーチェーン検証 しかし、通信不可は変わらず・・・・・ 10.20.1.4 VNET A VNET B 10.10.0.0/16 10.20.0.0/16 10.40.0.0/16 10.50.0.0/16 VNET C 10.30.0.0/16 Default Route: 10.20.1.4 Default Route To 10.10.0.0/16 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. : 仮想ネットワーク : 10.20.1.4 28 # Page. 29 ![Page Image](https://bcdn.docswell.com/page/G7WZQM9Z72.jpg) 4. Azure Virtual WANでVNETデイジーチェーン検証 解決策 : VNET C と Azure Virtual WAN Hub に対するルートテーブルは不要だった。 ※ Azure Virtual WAN Hub に対するルートテーブル有無はどちらでもよい 10.20.1.4 VNET A VNET B 10.10.0.0/16 10.20.0.0/16 10.40.0.0/16 10.50.0.0/16 VNET C 10.30.0.0/16 Default Route: 10.20.1.4 Default Route To 10.10.0.0/16 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. : 仮想ネットワーク : 10.20.1.4 29 # Page. 30 ![Page Image](https://bcdn.docswell.com/page/4JZ1WQ9LE3.jpg) 4. Azure Virtual WANでVNETデイジーチェーン検証 原因 : Azure Virtual WAN のハブ – スポーク間は透過的に BGP プロトコルでルート交換が行われてい るが、 Azure Virtual WAN の領域 10.20.1.4 VNET A VNET B 10.10.0.0/16 10.20.0.0/16 10.40.0.0/16 10.50.0.0/16 VNET C 10.30.0.0/16 BGP © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 30 # Page. 31 ![Page Image](https://bcdn.docswell.com/page/YE6LG6KM7V.jpg) 4. Azure Virtual WANでVNETデイジーチェーン検証 原因 : Azure Virtual WAN のハブ – スポーク間は透過的に BGP プロトコルでルート交換が行われてい るが、Staticルートを設定するとAzure Virtual WAN間でルート広報されないようだ。 → VNET C から Azure Virtual WAN Hub (10.50.0.0/16) の Tracert に失敗し、気づくことができた。 Azure Virtual WAN の領域 10.20.1.4 VNET A VNET B 10.10.0.0/16 10.20.0.0/16 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 10.40.0.0/16 10.50.0.0/16 VNET C 10.30.0.0/16 31 # Page. 32 ![Page Image](https://bcdn.docswell.com/page/GE51V6PQJ4.jpg) 目次 1. Azure Virtual WANとは 2. VNETデイジーチェーンとは 3. Azure Virtual WANでVNETデイジーチェーンを行う背景 4. Azure Virtual WANでVNETデイジーチェーン検証 5. まとめ © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 32 # Page. 33 ![Page Image](https://bcdn.docswell.com/page/97213M6WER.jpg) 5. まとめ ・Azure Virtual WAN の基本機能や利用時の注意点共有 → VPN Gatewayが存在するVNETにVNET接続不可 ・Azure Virtual WAN でVNETデイジーチェーンを行う 際の設定内容共有 → AzureFirewallと最小限のルートテーブル設定で通信可能 © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 33 # Page. 34 ![Page Image](https://bcdn.docswell.com/page/DJYZ1X99EM.jpg) 素敵なAzureライフを!! © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 34 # Page. 35 ![Page Image](https://bcdn.docswell.com/page/V7N321LD78.jpg) © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 35