忍びツール

Azure

Microsoft Azure の仮想ネットワーク Peering を試したときのメモ

投稿日:2017年11月6日 更新日:




ネスケラボで、「Global 接続ができるようになった Microsoft Azure の仮想ネットワーク Peering を試してみたよ」という記事を書いたのです、その時の検証用のメモです。

ネスケラボの方では、実際に VNET Peering を構成した後に NW の速度測定をし、その結果を記述してます。
もし、VNET Peering の利用を検討していて、仮想ネットワークの種類の違いや、グローバル接続した場合のNW速度が気になるかたがいました、是非ネスケラボをご覧ください。

 

VNET Peering の設定

設定画面は、VNET の Peeringです。
ARM to ARM の場合は、両方の VNET から相互に設定が必要で、ARM to ASM(クラシック)は、片方向の設定で大丈夫。

 

Ignite で発表されたときは、Global Peering をするときは、PowerShell で設定でしたが、ポータルからできるようになったのは、直感的でとてもいいと思います。
ちなみに、PowerShell は、こんな感じです。

 

# Variables for common values used throughout the script.
$rgName='gvnetpeer'

# Create a resource group.
New-AzureRmResourceGroup -Name $rgName  -Location westcentralus

# Create virtual network 1.
$vnet1 = New-AzureRmVirtualNetwork -ResourceGroupName $rgName -Name 'myVnet1' -AddressPrefix '10.0.0.0/16' -Location westcentralus

# Create virtual network 2.
$vnet2 = New-AzureRmVirtualNetwork -ResourceGroupName $rgName -Name 'myVnet2' -AddressPrefix '10.1.0.0/16' -Location westus2

# Peer VNet1 to VNet2.
Add-AzureRmVirtualNetworkPeering -Name myVnet1ToMyVnet2 -VirtualNetwork $vnet1 -RemoteVirtualNetworkId $vnet2.Id

# Peer VNet2 to VNet1.
Add-AzureRmVirtualNetworkPeering -Name myVnet2ToMyVnet1 -VirtualNetwork $vnet2 -RemoteVirtualNetworkId $vnet1.Id

 

Configuration のところは、「Allow forwarded traffic」のチェックは通信するためにはマストで、
「Allow gateway transit」と「Use remote gateways」は排他の設定で、コメントを見る限りVNET GW を利用するみたいです。
これは、まだ未検証。
(もしかして、Peering + VNET GW で BGP 使うとかできるのかな・・・)

以下のドキュメントでは、VNET GW は使用しないと記載されているけど。。。
https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-about-vpngateways#V2V

※ 「Allow gateway transit」と「Use remote gateways」 については、別途検証とします。

ちなみに、設定の意味は、

Allow gateway transit
2 つの仮想ネットワーク間の通信を有効にする場合は、[有効] (既定値) を選択します。 仮想ネットワーク間の通信を有効にすると、各仮想ネットワークに接続されているリソースは、同じ仮想ネットワークに接続されている場合と同様に、同じ帯域幅と待機時間で相互に通信できます。 2 つの仮想ネットワーク内のリソース間のすべての通信は、Azure プライベート ネットワーク経由で行われます。 ネットワーク セキュリティ グループの既定の VirtualNetwork タグには、仮想ネットワークとピアリングされた仮想ネットワークが含まれます。 ネットワーク セキュリティ グループの既定のタグの詳細については、ネットワーク セキュリティ グループの概要に関する記事をご覧ください。 ピアリングされた仮想ネットワークにトラフィックが流れないようにする場合は、[無効] を選択します。 仮想ネットワークを別の仮想ネットワークとピアリングしていても、2 つの仮想ネットワーク間のトラフィック フローを無効にする必要がある場合は、[無効] を選択できます。 ピアリングを削除し、再作成するよりも、有効化/無効化する方が便利な場合があります。 この設定を無効にすると、ピアリングされた仮想ネットワーク間でトラフィックが流れなくなります。

Use remote gateways
この仮想ネットワークからのトラフィックが、ピアリングされた仮想ネットワークに接続された仮想ネットワーク ゲートウェイ経由で流れることを許可する場合は、このボックスをオンにします。 たとえば、ピアリングされた仮想ネットワークに、オンプレミス ネットワークとの通信を可能にする VPN Gateway が接続されているとします。 このボックスをオンにすると、この仮想ネットワークからのトラフィックを、ピアリングされた仮想ネットワークに接続された VPN Gateway 経由で流すことができます。 このボックスをオンにする場合、ピアリングされた仮想ネットワークに仮想ネットワーク ゲートウェイが接続されている必要があります。また、ピアリングされた仮想ネットワークで [ゲートウェイ転送を許可する] チェック ボックスがオンになっている必要があります。 このボックスをオフ (既定値) のままにしても、ピアリングされた仮想ネットワークからのトラフィックはこの仮想ネットワークに流れますが、この仮想ネットワークに接続された仮想ネットワーク ゲートウェイ経由で流れることはできません。

※ Allow gateway transitとUse remote gateways は、送信元と送信先の設定で、ASM の場合はこの設定を利用することはできない。だから、ARM は、両方向での設定なのですね。

 

速度測定ツール(ifperf)のインストールと使い方

 

検証で利用した、Ubuntu への ifperf のインストールと使い方

 

インストール

sudo apt-get -y install iperf3

 

サーバの起動

iperf3 -s

 

速度測定

iperf3 -c 10.3.0.4
※ 10.3.0.4は、iperf3 -s を起動しているVM

 

まとめ

 

ネスケラボで書いたことの裏話的なことをこっちに書くのも楽しいかも~w。
ネスケラボ側にも、こっちへのリンク貼っちゃおうかなーw

 










-Azure
-,

Copyright© メモログ , 2017 All Rights Reserved Powered by STINGER.