Q-in-Q に関するよくある質問:パート 2

前回の記事 (http://www.megaport.com/blog/q-in-q-questions-answered-part-1/ ) では、VLAN 二重タグ (Q-in-Q) のコンセプトについて説明しました。引き続きパート 2 では、Azure パブリック クラウド環境に直接接続をもたらす Microsoft Azure および ExpressRoute プロダクトについて具体的な例を挙げて説明します。Microsoft ExpressRoute for Azure の実装を検討中で、Megaport を接続ソリューション プロバイダーとしてお考えの方に、この投稿では、小規模な開発/テストから高可用性の本番ワークロードまで、実際の顧客実例をいくつかご紹介します。

質問:Megaport を介して ExpressRoute 接続をプロビジョニングするにはどうすればよいですか?

下の図は、全体のプロセスをいくつかの簡単なステップにまとめたものです。

質問:Microsoft Azure ExpressRoute キー (サービス キー) をリクエスト/生成するにはどうすればよいですか?

最新の開発では、Azure Resource Manager (ARM) ポータル経由でサービス キーをリクエストすることになっています。当社では、サービス キーを生成するために必要なステップを詳しく説明するビデオ (こちらをクリック) を制作しました。PowerShell を使用して一部の機能をスクリプト化または自動化したいという場合は、Azure ドキュメント (https://azure.microsoft.com/en-us/documentation/articles/expressroute-howto-circuit-arm/ ) を参照するか、PowerShell (クラシック) のセットアップ プロセスに関する当社のビデオをご覧ください。最近の変更により、ASM (クラシック) と ARM VNet の両方を 1 本の ER 回線に接続できるようになりました。ガイド (https://azure.microsoft.com/en-us/documentation/articles/expressroute-howto-move-arm/ ) の「Enable an ExpressRoute circuit for both deployment models’ section (両方の構築モデルに対して ExpressRoute 回線アクセスを有効化する)」セクションにあるステップを参照してください。

質問:1 本の ExpressRoute 回線で複数のサブスクリプションを共有できますか?

はい。1 本の ExpressRoute 回線を Megaport 経由で活用して最大 10 個のサブスクリプションを共有できます。ER 回線を効率的に共有する方法の詳細については、https://azure.microsoft.com/en-us/documentation/articles/expressroute-howto-linkvnet-arm/ を参照してください。

質問:1 本の ExpressRoute 回線で複数の VNet を共有できますか?

「Standard」タイプとして作成される 1 本の ExpressRoute 回線に対する VNet のデフォルト制限は 10 です。ただし、Premium SKU オプションを使用する場合は、リクエストする回線サイズによって異なります (最小 20。https://azure.microsoft.com/en-us/documentation/articles/azure-subscription-service-limits/#networking-limits を参照してください)。ただし、最近の変更 ( VNet ピアリング) により、Azure バックボーン ネットワークを介して同じリージョン内で 2 つ以上の仮想ネットワークを接続できるようになりました。ピアリングが確立されると、2 つの仮想ネットワークはすべての接続目的に対して 1 つの仮想ネットワークのように機能します。この構成の詳細については、https://azure.microsoft.com/en-us/documentation/articles/virtual-networks-create-vnetpeering-arm-portal/ を参照してください。これは、Premium にアップグレードしなくても、ExpressRoute 回線に設けられたデフォルトの VNet 制限を回避できるようになるため、とても便利な機能です。

質問:Microsoft Azure ExpressRoute は Megaport の VXC サービスとどのように連動しますか?

Megaport を介した Azure 接続は、Q-in-Q VLAN 経由で所定の Azure リージョン内のいずれかの Microsoft プライマリ/セカンダリ ルーターに提供されます。Megaport ポータルで定義される 1 つの外部タグ (S タグ) 内には、Azure ポータルで定義される最大 3 つの内部タグ (C タグ) があり、これらは Azure プライベート、Azure パブリック、および Office 365 トラフィックを伝送する Microsoft ピアです。この 3 番目のピアリング タイプを使用できるかどうかは、Microsoft による事前承認があるかどうかによって異なります。詳細については、https://support.office.com/en-us/article/Azure-ExpressRoute-for-Office-365-6d2534a2-c19c-4a99-be5e-33a0cee5d3bd を参照してください。Megaport は、顧客の Megaport (Megaport によって提供されるイーサネット インターフェイス/ポート) 間でポイント ツー ポイント レイヤー 2 接続を提供します。 レイヤー 3 BGP セッションは、Azure と Megaport 顧客との間で直接確立されます。

質問:「A エンド VLAN」は当社のエンドまたは Microsoft エンドのいずれに属しますか?

Megaportal で指定する必要がある「A エンド」は、Microsoft エンドではなくお客様のエンドになります。Microsoft エンドは「B エンド」VLAN で、トラフィック ソース ロケーション (プライマリ/セカンダリ ルーター) で Megaport と Microsoft 間でのみ関連性があります。上の図で「A エンド」VLAN ID は「外部タグ」によって表されます。

質問:内部 VLAN タグに同じ VLAN ID を使用する必要はありますか?

一般的に、内部 (または顧客) タグには異なる VLAN ID を使用することを推奨します。ExpressRoute リクエストがプロビジョニングされたら 、内部 VLAN タグのリクエストが Azure Resource Manager ポータルまたは PowerShell 経由で行われます。 例えば、VLAN 2000 (「外部タグ」) を Megaport VLAN として使用し、Azure ポータルでパブリック/プライベート/Microsoft VLAN に 20/30/40 を設定することができます。 各フレームは「内部タグ」と「外部タグ」(Q-in-Q) を使用して 2 回タグ付けされ、2000 タグ (「外部タグ」) を削除するためにはネットワーク機器は「内部タグ」を解除する必要があります。ポートに最初の VXC を作成するとき、「Untag this VLAN (この VLAN をタグなしにする)」を選択して、Megaport に外部タグの削除を依頼することができますが、これによりポートはこの VXC 専用になるため、長期的なソリューションには推奨できません。以後、お客様のポートに対して (セカンダリ Azure VXC、プライベート VXC、IX 接続などの) 他のサービスを追加することが難しくなってしまうからです。

質問:プライマリおよびセカンダリ回線をユーザー ExpressRoute に設定する必要はありますか?

厳密に言うと、セカンダリ回線を設定する必要はありません。Azure ポータル内では、プライマリおよびセカンダリ ルーター プレゼンテーション用に IP アドレスを設定する必要がある点に注意してください。これは Megaportal でサービス キーを入力するときに選択する回線終端に一致しなければなりません。Microsoft では、ライブ BGP セッションに接続されたプライマリとセカンダリ回線の両方が ExpressRoute SLA (https://azure.microsoft.com/en-us/support/legal/sla/expressroute/v1_0/ を参照) の対象となることを要求しています。

質問:当社のルーターから ExpressRoute ルーターまで BGP ピアリング構成を設定するにはどうすればよいですか?

Microsoft は、Cisco および Juniper ルーター向けのサンプル構成ガイドを提供しています。 https://azure.microsoft.com/en-us/documentation/articles/expressroute-config-samples-routing/ を参照してください。

質問:Azure パブリック ピアリングを設定することを考えています。 ルーティング可能なパブリック IP アドレスと AS 番号 (ASN) はどこで取得できますか?

お客様のネットワークが APAC リージョン内にある場合は、Asia Pacific Network Information Centre (APNIC) – https://www.apnic.net/get-ip および APNIC Helpdesk – https://www.apnic.net/get-ip/helpdesk にお問い合わせください。ネットワークが北米リージョン内にある場合は、America Region Internet Numbers (ARIN) – https://www.arin.net/resources/request.html にお問い合わせください。ネットワークがヨーロッパ リージョン内にある場合は、RIPE Network Coordination Centre (RIPE NCC) – https://www.ripe.net/manage-ips-and-asns/ipv4/request-an-ipv4-22-from-the-last-8 および https://www.ripe.net/manage-ips-and-asns/as-numbers にお問い合わせください。

質問:Megaport VXC を利用して完全に異なる ExpressRoute 回線を構成するにはどうすればよいですか?

下の図は、2 つの物理的 Megaport にまたがって表示される 3 つのピアリング タイプすべてを使用した完全に異なる ExpressRoute 構成の例です。

上のシナリオの構成については、 下記を参照してください (構成例はガイドとしてのみ提示されており、お客様のネットワーク固有の要因を考慮していませんのでご注意ください)。

Cisco 3850 スイッチ スタック – IOS XE

vlan 45
name Megaport_Azure-Pri
vlan 55
name Megaport_Azure-Sec
!
interface TenGigabitEthernet1/0/24
Description Megaport Primary
switchport mode trunk
no cdp enable
!
interface TenGigabitEthernet2/0/24
description Megaport Secondary
switchport mode trunk
no cdp enable
!
interface Port-channel101
switchport access vlan 45
switchport trunk native vlan 45
switchport trunk allowed vlan 45
switchport mode dot1q-tunnel
!
interface Port-channel102
switchport access vlan 55
switchport trunk native vlan 55
switchport trunk allowed vlan 55
switchport mode dot1q-tunnel
!

Cisco Nexus 9000 – アグリゲーション スイッチ #1

vlan 100
name AzurePri-Link1
vlan 101
name AzurePub-Link1
vlan 102
name MSFT-Link1
!
interface port-channel101
switchport mode trunk
switchport trunk native vlan 45 
!
interface Vlan100
no shutdown
vrf member AzurePriv01 ip address 10.x.x.x/30
!
interface Vlan101
no shutdown
vrf member AzurePublic01 ip address y.y.y.v/30
!
interface Vlan102
no shutdown
vrf member MSFT01 ip address y.y.y.w/30
!
interface port-channel1
switchport mode trunk
switchport trunk allowed vlan {lower-upper}
!

Nexus 9000 – アグリゲーション スイッチ #2

vlan 100
name AzurePri-Link2
vlan 101
name AzurePub-Link2
vlan 102
name MSFT-Link2
!
interface port-channel102
switchport mode trunk
switchport trunk native vlan 55 
!
interface Vlan100
no shutdown
vrf member AzurePriv02 ip address 10.x.x.y/30
!
interface Vlan101
no shutdown
vrf member AzurePublic02 ip address y.y.y.x/30
!
interface Vlan102
no shutdown
vrf member MSFT02 ip address y.y.y.y/30
!
interface port-channel1
switchport mode trunk
switchport trunk allowed vlan {lower-upper}
!