20260424_オンプレNetworkからAzure Virtual WAN移行時の課題事例あれこれ

-- Views

April 25, 26

#azure #network

スライド概要

Kazuki Masuda

@5592427366

スライド一覧

masuda

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

ダウンロード

関連スライド

20251129_AzureVirtualWANディジー接続検証

azure network

Kazuki Masuda 0.9K

20260324_AzureVirtualWANでS2SVPNを試した内容共有

azure network

Kazuki Masuda 821

20260418_Azure Virtual WAN テナント間ネットワーク接続をやってみたお話

azure network

Kazuki Masuda 797

Azure Front Door Premium 版で複数リージョンにある App Service への接続を試してみた

azure network

Kazuki Masuda 299

学振特別研究員になるために～2025年度申請版

学振 dc1 dc2 jsps pd

大上雅史 816.8K

ZAZA株式会社_会社紹介

ZAZA株式会社 433.8K

各ページのテキスト

オンプレ閉域網 Network から Azure Virtual WAN移行時の課題事例あれこれ 2026/4/24 NTTドコモビジネス株式会社増田和己

本日お伝えしたいこと以下検討しているネットワーク担当者向けに、Azure Virtual WAN の特徴や移行方法、移行時の留意点を共有したい。・Azure Virtual WAN が何ぞやを知りたい・閉域網からのクラウドリフト化を検討している・Azure Virtual WAN を用いたハブ – スポーク構成を検討している 2

目次 1. Azure Virtual WAN 検討背景 2. Azure Virtual WAN の特徴 3. 閉域網からの Azure Virtual WAN の移行方式 4. Azure Virtual WAN の移行方式補足 5. まとめ 3

本発表留意事項・本内容は2026/4/24時点の情報であること・Azure Virtual WAN 導入は道半ばであり、本日共有する情報に加筆修正が発生する可能性があること・本内容は個人の見解であり、弊社の方向性を示したものではないこと 4

いきなりクイズです! Azure Virtual WAN について誤っているものはどれ??(回答は最後に) 1. Azure Virtual WAN Hub は Japan East/West に構築可能である 2. Azure Virtual WAN のルーティングプロトコルは OSPF である 3. Azure Virtual WAN は Azure Firewall 機能利用が可能である 4. 閉域網からの Azure Virtual WAN 移行方式は2つである(発表者見解) 5

目次 1. Azure Virtual WAN 検討背景 → 省略 2. Azure Virtual WAN の特徴 3. 閉域網からの Azure Virtual WAN の移行方式 4. Azure Virtual WAN の移行方式補足 5. まとめ 6

目次 1. Azure Virtual WAN 検討背景 2. Azure Virtual WAN の特徴 3. 閉域網からの Azure Virtual WAN の移行方式 4. Azure Virtual WAN の移行方式補足 5. まとめ 7

2. Azure Virtual WAN の特徴発表者の考える Azure Virtual WAN の特徴は以下のとおり。特徴1. Azure Virtual WAN Hub の世界設置が可能特徴2. 多様なハブ – スポーク構成が可能特徴3. BGPによる自動ルーティング制御が可能特徴4. Azure Firewall 機能追加が可能 8

Azure Virtual WAN とは Azure Virtual WAN は、ネットワーク、セキュリテイ、ルーテイングのさまざまな機能をまとめて、 1つの運用インターフェイスを提供するネットワークサービスである (所謂ハブ構成)。 Azure Virtual WAN の概要 | Microsoft Learn 9

10.

特徴1. Azure Virtual WAN Hub の世界設置が可能世界のリージョンに仮想ハブ (Azure Virtual WAN Hub) を設置した WAN 構成実現が可能。欧州仮想ハブ仮想ハブ米国東日本香港西日本東南アジア 10

11.

特徴1. Azure Virtual WAN Hub の世界設置が可能(留意点) ハブは無制限で構築可能だが、ハブに接続するリソースに各種制限あり(以下例) ・1. 仮想ハブの ExpressRoute Gateway に接続可能な回線最大数 : 8 (条件付き) ・2. 仮想ハブの VPN Gateway (S2S VPN)に接続可能なデバイス数 : 1,000 etc VPN Gateway ExpressRoute Gateway Azure Virtual WAN での ExpressRoute 接続について | Microsoft Learn Azure Virtual WAN に関する FAQ | Microsoft Learn 11

12.

特徴2. 多様なハブ – スポーク構成が可能 Azure Virtual WAN Hub と各拠点(スポーク)間の接続方法として以下が可能。 ①VNET接続、②Site to Site VPN(S2S VPN)接続、③ExpressRoute接続 On-Premise On-Premise 2 3 スポーク V P N ハブ VPN Gateway ExpressRoute Gateway １スポーク 12

13.

特徴2. 多様なハブ – スポーク構成が可能(留意点) S2S VPN接続は Azure Virtual WAN Hub 毎の冗⾧構成が可能。 On-Premise V P N V P N 13

14.

特徴2. 多様なハブ – スポーク構成が可能(留意点) ExpressRoute 接続も Azure Virtual WAN Hub 毎の冗⾧構成が可能。 On-Premise 14

15.

特徴2. 多様なハブ – スポーク構成が可能(留意点) VNET接続は Azure Virtual WAN Hub 毎の冗⾧構成が不可。 → (見た目上) 非冗⾧化である点に注意 2回線目の接続を試みるとエラー発生 15

16.

特徴3. BGPによる自動ルーティング制御が可能ハブ - スポーク間は BGP プロトコルを用いた自動ルーティング制御が可能。 On-Premise On-Premise スポーク V P N ハブ B G P スポーク 16

17.

特徴3. BGPによる自動ルーティング制御が可能(留意点) ただし子スポークは BGP 範囲外のため、スポークに個別設定(NVA)が必要。 On-Premise On-Premise スポーク V P N ハブ B G P スポーク子スポーク 17

18.

特徴3. BGPによる自動ルーティング制御が可能(留意点対応例) VNET A(子スポーク) ⇔ VNET C(スポーク) 間を通信可能にするには? 子スポークスポーク VNET A VNET B 10.10.0.0/16 10.20.0.0/16 スポークハブ 10.40.0.0/16 ? 10.50.0.0/16 VNET C 10.30.0.0/16 18

19.

特徴3. BGPによる自動ルーティング制御が可能(留意点対応例) VNET A(子スポーク) ⇔ VNET C(スポーク) 間を通信可能にするには? 子スポークスポーク VNET A VNET B 10.10.0.0/16 スポークハブ 10.40.0.0/16 10.50.0.0/16 10.20.0.0/16 VNET C 10.30.0.0/16 <手順> a. スポークVNET(VNET B)にNVA相当のリソース(Azure Firewall等)を用意し、 VNET A ⇔ VNET B 間の通信を開放するネットワークルールを設定。 b. VNET B に VNET A へのルートが記載されたルートテーブルを用意。 c. VNET A に VNET B へのルートが記載されたルートテーブルを用意。 19

20.

特徴3. BGPによる自動ルーティング制御が可能(留意点対応例) a. スポークVNET(VNET B)にNVA相当のリソース(Azure Firewall等)を用意し、 VNET A ⇔ VNET B 間の通信を開放するネットワークルールを設定。 ※ スポーク VNET にAzure Route Server の配置不可 a 10.20.1.4 VNET A VNET B 10.10.0.0/16 10.20.0.0/16 10.40.0.0/16 10.50.0.0/16 VNET C 10.30.0.0/16 BGP Azure Virtual WAN に関する FAQ | Microsoft Learn 20

21.

特徴3. BGPによる自動ルーティング制御が可能(留意点対応例) b. VNET B に VNET A へのルートが記載されたルートテーブルを用意。 <Table例> Default Route To 10.10.0.0/16 : 仮想ネットワーク内部 : 10.20.1.4 が GW b 10.20.1.4 VNET A VNET B 10.10.0.0/16 10.20.0.0/16 10.40.0.0/16 10.50.0.0/16 VNET C 10.30.0.0/16 BGP 21

22.

特徴3. BGPによる自動ルーティング制御が可能(留意点対応例) c. VNET A に VNET B へのルートが記載されたルートテーブルを用意。 <Table例> Default Route : 10.20.1.4 がGW c 10.20.1.4 VNET A VNET B 10.10.0.0/16 10.20.0.0/16 10.40.0.0/16 10.50.0.0/16 VNET C 10.30.0.0/16 BGP 22

23.

特徴4. Azure Firewall 機能追加が可能仮想ハブ通過通信は Azure Firewall(L4レイヤ) で制御可。 ※ “セキュリティ保護付き仮想ハブ” 機能 On-Premise On-Premise V P N 23

24.

特徴4. Azure Firewall 機能追加が可能(留意点) ただし、Azure Virtual WAN に WAF(L7レイヤ) の搭載は不可である。 On-Premise On-Premise V P N 24

25.

特徴4. Azure Firewall 機能追加が可能(留意点) ハブ拠点で WAF を利用したい場合、Azure ランディングゾーン(*)に基づき VNET をハブとするネットワーク構成とすること。 * Azure環境を効率的かつ安全に構築運用するためのフレームワーク On-Premise On-Premise スポークハブスポーク 25

26.

2. Azure Virtual WAN の特徴 Azure Virtual WAN の特徴を踏まえた選定基準は以下(以下赤字が許容されること) 特徴1. Azure Virtual WAN Hub の世界設置が可能 → Hub 数は無制限に構築可能だが、Hub に紐づく Gateway 数などの制限に該当しないこと特徴2. 多様なハブ – スポーク構成が可能 → (見た目上)非冗⾧化な箇所がある点が許容されること特徴3. BGPによる自動ルーティング制御が可能 → 子スポークが存在する場合、子スポークの接続元スポークに NVA を用意できること特徴4. Azure Firewall 機能追加が可能 → Azure Virtual WAN Hub に WAF 機能は不要であること 26

27.

目次 1. Azure Virtual WAN 検討背景 2. Azure Virtual WAN の特徴 3. 閉域網からの Azure Virtual WAN の移行方式 4. Azure Virtual WAN の移行方式補足 5. まとめ 27

28.

3. 閉域網からの Azure Virtual WAN 移行方式閉域網からの Azure Virtual WAN への移行方式として、以下2つが考えられる。・方式1 : Azure ランディングゾーン踏襲型・方式2 : 既存ハブ – スポーク環境維持型 28

29.

3. 閉域網からの Azure Virtual WAN 移行方式閉域網からの Azure Virtual WAN への移行方式として、以下2つが考えられる。・方式1 : Azure ランディングゾーン踏襲型 → 子スポークは作成しない構成、公式情報には当該方法の手順が展開スポーク VNET B 10.20.0.0/16 スポークハブ 10.40.0.0/16 10.50.0.0/16 VNET C 10.30.0.0/16 アーキテクチャ:Azure Virtual WAN に移行する | Microsoft Learn 29

30.

3. 閉域網からの Azure Virtual WAN 移行方式閉域網からの Azure Virtual WAN への移行方式として、以下2つが考えられる。・方式2 : 既存ハブ – スポーク環境維持型 → 子スポークの存在を許容する構成子スポークスポーク VNET A VNET B 10.10.0.0/16 10.20.0.0/16 スポークハブ 10.40.0.0/16 10.50.0.0/16 VNET C 10.30.0.0/16 30

31.

3. 閉域網からの Azure Virtual WAN 移行方式移行開始前のサンプル構成例 App SV スポークハブ App SV Arcstar Universal One スポーク Europe HQ Europe DC 31

32.

3. 閉域網からの Azure Virtual WAN 移行方式移行後の構成(移行方式1と2) Hub/Spoke 方式1 : Azure ランディングゾーン踏襲型子スポークなしスポーク方式2 : 既存ハブ – スポーク環境維持型 App SV App SV App SV App SV Azure Virtual WAN Azure Virtual WAN ハブスポーク Europe HQ Europe DC Europe HQ Europe DC 32

33.

3. 閉域網からの Azure Virtual WAN 移行方式移行方式1と2のメリット/デメリットは以下。 (〇のほうが優位性ありの評価(発表者主観)) 評価項目方式1. Azure ランディングゾーン踏襲型方式2. 既存ハブ – スポーク環境維持型移行方式の複雑性 × 〇移行後の管理性〇 × 移行時のシステム停止時間 × 〇移行時の通信テスト項目 △ △ 選定基準小規模閉域網からの移行時大規模閉域網からの移行時補足 : 弊社プロジェクト検討方式 33

34.

3. 閉域網からの Azure Virtual WAN 移行方式移行フロー例(1/2)、①～⑧は方式1,2共通。移行遷移図は後述。方式1. Azure ランディングゾーン踏襲型方式2. 既存ハブ – スポーク環境維持型 ①. Azure Virtual WAN と Azure Virtual WAN Hub を構築 ②. Azure Virtual WAN Hub に ExpressRoute Gateway を構築し、既存 ExpressRoute に接続 ③. 既存ハブ VNET に存在する ExpressRoute Gateway を削除 ④. Azure Virtual WAN Hub ⇔ 現行ハブ VNET 間で VNET ピアリング ⑤. Azure Virtual WAN Hub に VPN Gateway 構築 ⑥. オンプレ拠点に Site to Site VPN(S2SVPN) 機器構築 ⑦. S2S VPN 機器と VPN Gateway を接続 ⑧. 現行閉域網と関連リソースの撤去 ⑨ ⑪ ※表現便宜上1,2の移行方式のフローが極力同一になるように作業順番を構成 34

35.

3. 閉域網からの Azure Virtual WAN 移行方式移行フロー例(2/2)、①～⑧は方式1,2共通。移行遷移図は後述。方式1. Azure ランディングゾーン踏襲型方式2. 既存ハブ – スポーク環境維持型 ⑧ ⑨. 既存環境ハブ VNET – スポーク VNET 間の VNET ピアリング切断 ⑩. 既存環境スポーク VNET を Azure Virtual WAN Hub と VNET ピアリング ⑪. 既存環境ハブ VNET に設定していたルートテーブルや Azure Firewall ポリシー等変更 ※既存環境スポーク VNET 切断対応 ⑪. 既存環境ハブ VNET に設定していたルートテーブルやAzure Firewall ポリシー等変更 ※子スポーク VNET との通信設定対応 ※表現便宜上1,2の移行方式のフローが極力同一になるように作業順番を構成 35

36.

3. 閉域網からの Azure Virtual WAN 移行方式 ⓪. 移行開始前サンプル構成例(再掲) App SV スポークハブ App SV Arcstar Universal One スポーク Europe HQ Europe DC 36

37.

3. 閉域網からの Azure Virtual WAN 移行方式 ①. Azure Virtual WAN と Azure Virtual WAN Hub を構築 App SV App SV Azure Virtual WAN Arcstar Universal One Europe HQ Europe DC 37

38.

3. 閉域網からの Azure Virtual WAN 移行方式 ②. Azure Virtual WAN Hub に ExpressRoute Gateway を構築し、既存 ExpressRoute に接続 App SV App SV Azure Virtual WAN Arcstar Universal One Europe HQ Europe DC 38

39.

3. 閉域網からの Azure Virtual WAN 移行方式 ③. 既存ハブ VNET に存在する ExpressRoute Gateway を削除 ※削除理由後述 App SV App SV Azure Virtual WAN Arcstar Universal One Europe HQ Europe DC 39

40.

3. 閉域網からの Azure Virtual WAN 移行方式 ③. 既存ハブ VNET に存在する ExpressRoute Gateway を削除 → Azure Virtual WAN Hub に接続する VNET に VPN Gateway/ExpressRoute Gateway 存在不可 Azure Virtual WAN に関する FAQ | Microsoft Learn 40

41.

3. 閉域網からの Azure Virtual WAN 移行方式 ④. Azure Virtual WAN Hub ⇔ 現行ハブ VNET 間で VNET ピアリング App SV App SV Azure Virtual WAN Arcstar Universal One Europe HQ Europe DC 41

42.

3. 閉域網からの Azure Virtual WAN 移行方式 ⑤. Azure Virtual WAN Hub に VPN Gateway 構築 App SV App SV Azure Virtual WAN Arcstar Universal One 凡例 VPN Gateway Europe HQ Europe DC ExpressRoute Gateway 42

43.

3. 閉域網からの Azure Virtual WAN 移行方式 ⑥. オンプレ拠点に Site to Site VPN(S2SVPN) 機器構築 App SV App SV Azure Virtual WAN Arcstar Universal One Europe HQ Europe DC 43

44.

3. 閉域網からの Azure Virtual WAN 移行方式 ⑦. S2S VPN 機器と VPN Gateway を接続 App SV App SV Azure Virtual WAN Arcstar Universal One Europe HQ Europe DC 44

45.

3. 閉域網からの Azure Virtual WAN 移行方式 ⑧. 現行閉域網と関連リソースの撤去 App SV App SV Azure Virtual WAN Arcstar Universal One Europe HQ Europe DC 45

46.

3. 閉域網からの Azure Virtual WAN 移行方式 ⑧. 現行閉域網と関連リソースの撤去 App SV App SV Azure Virtual WAN Europe HQ Europe DC 46

47.

方式1の場合 47

48.

3. 閉域網からの Azure Virtual WAN 移行方式 ⑨. 既存環境ハブ VNET – スポーク VNET 間の VNET ピアリング切断 App SV App SV Azure Virtual WAN Europe HQ Europe DC 48

49.

3. 閉域網からの Azure Virtual WAN 移行方式 ⑩. 既存環境スポーク VNET を Azure Virtual WAN Hub と VNET ピアリング App SV Azure Virtual WAN App SV Europe HQ Europe DC 49

50.

3. 閉域網からの Azure Virtual WAN 移行方式 ⑪. 既存環境ハブ VNET に設定していたルートテーブル(ユーザ定義ルート)や Azure Firewall ポリシー変更変更 App SV Azure Virtual WAN App SV Europe HQ Europe DC 50

51.

3. 閉域網からの Azure Virtual WAN 移行方式方式1完了後構成スポーク App SV App SV Azure Virtual WAN ハブスポーク Europe HQ Europe DC 51

52.

方法2の場合 52

53.

3. 閉域網からの Azure Virtual WAN 移行方式 ※ ⑨⑩はスキップ ⑪. 既存 VNET ハブのルートテーブルやAzure Firewall(NW Policy)等を変更する App SV App SV 変更 Azure Virtual WAN Europe HQ Europe DC 53

54.

3. 閉域網からの Azure Virtual WAN 移行方式方式2完了後構成子スポーク App SV App SV スポーク Azure Virtual WAN ハブスポーク Europe HQ Europe DC 54

55.

目次 1. Azure Virtual WAN 検討背景 2. Azure Virtual WAN の特徴 3. 閉域網からの Azure Virtual WAN の移行方式 4. Azure Virtual WAN の移行方式補足 5. まとめ 55

56.

4. Azure Virtual WAN の移行方式補足(再掲) 移行方式1と2のメリット/デメリットは以下。 (〇のほうが優位性ありの評価) 評価項目方式1. Azure ランディングゾーン踏襲型方式2. 既存ハブ – スポーク環境維持型移行方式の複雑性 × 〇移行後の管理性〇 × 移行時のシステム停止時間 × 〇移行時の通信テスト項目 △ △ 選定基準小規模閉域網からの移行時大規模閉域網からの移行時補足 : 弊社プロジェクト検討方式 56

57.

4. Azure Virtual WAN の移行方式補足方式1(42頁43頁フロー図⑨⑩)について、切断する子スポークVNETや接続拠点が少ない場合は実施が容易と考えている。 ⑩ ⑨ App SV App SV Azure Virtual WAN Azure Virtual WAN App SV App SV Europe HQ Europe DC Europe HQ Europe DC 57

58.

4. Azure Virtual WAN の移行方式補足しかし、切断する子スポークVNETや接続拠点が複数存在する場合、作業影響調査の観点で方式1の実行が容易でない。 App SV App SV Azure Virtual WAN (実情)切断VNETが20以上存在・・・・・・ Europe HQ Europe DC (実情)拠点が20以上存在・・・・・・ 58

59.

4. Azure Virtual WAN の移行方式補足＜マイクロソフト社様依頼事項(可能なら)＞ Azure Virtual WAN 利用検討ユーザの大半は、ネットワークが大規模構成の認識。その場合、サービス維持観点で方式1実現は容易でなくなるため(顧客説得が難しい)、方式2実施時の考慮点を以下 Web 等に公開いただけると幸いである。 M アーキテクチャ:Azure Virtual WAN に移行する | Microsoft Learn 59

60.

目次 1. Azure Virtual WAN 検討背景 2. Azure Virtual WAN の特徴 3. 閉域網からの Azure Virtual WAN の移行方式 4. Azure Virtual WAN の移行方式補足 5. まとめ 60

61.

5. まとめ Azure Virtual WAN の特徴や移行方式を共有した。＜特徴＞多様なハブ – スポーク構成が可能 & BGPによる自動ルーティング制御が可能(子スポークVNET存在時注意) ＜移行方式＞ “Azure ランディングゾーン踏襲型” と “既存ハブ – スポーク環境維持型” の2方式を紹介 61

62.

クイズの答え (2番が誤りです～) Azure Virtual WAN について誤っているものはどれ?? 1. Azure Virtual WAN Hub は Japan East/West に構築可能である 2. Azure Virtual WAN のルーティングプロトコルは OSPF BGP である 3. Azure Virtual WAN は Azure Firewall 機能利用が可能である 4. 閉域網からの Azure Virtual WAN 移行方式は2つである(発表者見解) 62

63.

さいごに本日は登壇の機会を設けていただき、誠にありがとうございました。 Azure Virtual WAN 導入は道半ばであり、ノウハウが溜まれば別途登壇等で共有させていただけますと幸いです。 M 63

64.

素敵なAzureライフを!! 64

65.

ご清聴ありがとうございました 65