Azure ネットワーク アーキテクチャAzure network architecture

  • 共同作成者
    • TerryLanfear
    • qimu
    • olprod

Azure ネットワーク アーキテクチャでは、個別のハードウェア レイヤーで、業界標準の改訂版のコア モデル、配布モデル、アクセス モデルに準拠しています。The Azure network architecture follows a modified version of the industry standard core/distribution/access model, with distinct hardware layers. レイヤーには、次が含まれています。The layers include:

  • コア (データセンター ルーター)Core (datacenter routers)
  • 配布 (アクセス ルーターと L2 アグリゲーション)。Distribution (access routers and L2 aggregation). 分散レイヤーは、L3 のルーティングを L2 スイッチから分離します。The distribution layer separates L3 routing from L2 switching.
  • アクセス (L2 ホストのスイッチ)Access (L2 host switches)

ネットワーク アーキテクチャは、L2 の 2 つのレベルのスイッチを備えています。The network architecture has two levels of layer 2 switches. 1 つ目のレイヤーはもう 1 つのレイヤーからのトラフィックを集計します。One layer aggregates traffic from the other layer. 2 つ目のレイヤーはループして冗長性を取り入れます。The second layer loops to incorporate redundancy. これによって、より柔軟な VLAN フットプリントが得られ、ポートのスケーリングが改善されます。This provides a more flexible VLAN footprint, and improves port scaling. アーキテクチャでは、L2 および L3 の区分を保持します。これにより、ネットワークの各レイヤーの区分でハードウェアを使用でき、一方のレイヤーが他方のレイヤーに影響に与えるリスクを最小限に抑えます。The architecture keeps L2 and L3 distinct, which allows the use of hardware in each of the distinct layers in the network, and minimizes fault in one layer from affecting the other layer(s). トランクの使用により、L3 インフラストラクチャへの接続など、リソース共有が可能になります。The use of trunks allows for resource sharing, such as the connectivity to the L3 infrastructure.

ネットワーク構成Network configuration

データセンター内の Azure クラスターのネットワーク アーキテクチャは、以下のデバイスで構成されています。The network architecture of an Azure cluster within a datacenter consists of the following devices:

  • ルーター (データセンター、アクセス ルーター、およびボーダー リーフ ルーター)Routers (datacenter, access router, and border leaf routers)
  • スイッチ (アグリゲーションとトップ オブ ラック スイッチ)Switches (aggregation and top-of-rack switches)
  • Digi CMDigi CMs
  • 電力配分装置Power distribution units

Azure には、2 つの個別のアーキテクチャがあります。Azure has two separate architectures. 一部の既存の Azure のお客様と共有サービスは既定の LAN アーキテクチャ (DLA) 上に置かれ、新しいリージョンや仮想のお客様は、Quantum 10 (Q10) アーキテクチャ上に置かれます。Some existing Azure customers and shared services reside on the default LAN architecture (DLA), whereas new regions and virtual customers reside on Quantum 10 (Q10) architecture. DLA アーキテクチャは、アクティブ/パッシブ アクセス ルーターとアクセス ルーターに適用されるセキュリティ アクセス制御リスト (ACL) を備えた、従来のツリー設計です。The DLA architecture is a traditional tree design, with active/passive access routers and security access control lists (ACLs) applied to the access routers. Quantum 10 アーキテクチャはルーターのクロス/メッシュ設計です。この設計では、ACL はルーターには適用されません。The Quantum 10 architecture is a Close/mesh design of routers, where ACLs are not applied at the routers. 代わりに、Software Load Balancing (SLB) またはソフトウェア定義の VLAN 経由のルーティング下に適用されます。Instead, ACLs are applied below the routing, through Software Load Balancing (SLB) or software defined VLANs.

次の図は、Azure クラスター内のネットワーク アーキテクチャの概要です。The following diagram provides a high-level overview of the network architecture within an Azure cluster:

Azure ネットワークの図

Quantum 10 デバイスQuantum 10 devices

Quantum 10 の設計では、クロス/メッシュ設計で複数のデバイスにわたって配置されているレイヤー 3 スイッチを操作します。The Quantum 10 design conducts layer 3 switching spread over multiple devices in a Clos/mesh design. Q10 設計の利点として、容量の大規模化と、既存のネットワーク インフラストラクチャをスケーリングするための機能の向上が挙げられます。The advantages of the Q10 design include larger capability and greater ability to scale existing network infrastructure. 設計では、ボーダー リーフ ルーター、スパイン スイッチ、トップ オブ ラック ルーターを採用し、フォールト トレランスを可能にする複数のルートにわたるクラスターにトラフィックを渡します。The design employs border leaf routers, spine switches, and top-of-rack routers to pass traffic to clusters across multiple routes, allowing for fault tolerance. ネットワーク アドレス変換などのセキュリティ サービスは、ハードウェア デバイスではなく、ソフトウェアの負荷分散によって処理されます。Software load balancing, instead of hardware devices, handles security services such as network address translation.

アクセス ルーターAccess routers

配布/アクセスの L3 ルーター (AR) は、配布レイヤーとアクセス レイヤーに対する基本的なルーティング機能を実行します。The distribution/access L3 routers (ARs) perform the primary routing functionality for the distribution and access layers. これらのデバイスはペアで配置され、サブネットの既定のゲートウェイになります。These devices are deployed as a pair, and are the default gateway for subnets. 各 AR ペアでは、容量に応じて複数の L2 アグリゲーション スイッチのペアをサポートできます。Each AR pair can support multiple L2 aggregation switch pairs, depending on capacity. 最大数は、デバイスの容量とエラーになっているドメインに応じて、異なります。The maximum number depends on the capacity of the device, as well as failure domains. 通常の数は、1 つの AR ペアごとに 3 つの L2 アグリゲーション スイッチです。A typical number is three L2 aggregation switch pairs per AR pair.

L2 アグリゲーション スイッチL2 aggregation switches

これらのデバイスは、L2 トラフィックの集約ポイントとして機能します。These devices serve as an aggregation point for L2 traffic. L2 ファブリックの配布レイヤーであり、大量のトラフィックを処理できます。They are the distribution layer for the L2 fabric, and can handle large amounts of traffic. これらのデバイスはトラフィックを集約するため、802.1q 機能と、ポート アグリゲーションや 10GE などの高帯域幅のテクノロジを必要とします。Because these devices aggregate traffic, they require 802.1q functionality, and high bandwidth technologies such as port aggregation and 10GE.

L2 ホストのスイッチL2 host switches

ホストは、これらのスイッチに直接接続されます。Hosts connect directly to these switches. ラックマウント方式のスイッチ、またはシャーシの配置を利用できます。They can be rack mounted switches, or chassis deployments. 802.1q 標準では、ネイティブ VLAN として 1 つの VLAN の指定が可能であり、VLAN を通常の (タグ付けされていない) イーサネット フレームとして扱います。The 802.1q standard allows for the designation of one VLAN as a native VLAN, treating that VLAN as normal (untagged) Ethernet framing. 通常の状況下では、ネイティブ VLAN 上のフレームは転送され、タグ付けされない状態で 802.1q トランク ポートに受信されます。Under normal circumstances, frames on the native VLAN are transmitted and received untagged on an 802.1q trunk port. この機能は、802.1q への移行と 802.1 q 非対応のデバイスとの互換性のために設計されました。This feature was designed for migration to 802.1q and compatibility with non-802.1q capable devices. このアーキテクチャでは、ネットワーク インフラストラクチャのみがネイティブ VLAN を使用します。In this architecture, only the network infrastructure uses the native VLAN.

このアーキテクチャでは、ネイティブ VLAN の選択で標準を指定します。This architecture specifies a standard for native VLAN selection. 標準を指定することで、可能な場合は、AR デバイスがすべてのトランクに対する固有のネイティブ VLAN と L2Aggregation トランクへの L2Aggregation を確実に備えるようにします。The standard ensures, where possible, that the AR devices have a unique, native VLAN for every trunk and the L2Aggregation to L2Aggregation trunks. L2Aggregation から L2Host へのスイッチ トランクは、既定ではないネイティブ VLAN を備えます。The L2Aggregation to L2Host Switch trunks have a non-default native VLAN.

リンク アグリゲーションは、複数の個々のリンクを 1 つにまとめて、単一の論理リンクとして扱えるようにします。Link aggregation allows multiple individual links to be bundled together, and treated as a single logical link. 操作デバッグを容易にするため、ポートチャネル インターフェイスの指定に使用する番号を標準化する必要があります。To facilitate operational debugging, the number used to designate port-channel interfaces should be standardized. ネットワークの残りの部分では、ポートチャネルの両端で同じ番号を使用します。The rest of the network uses the same number at both ends of a port-channel.

L2Agg から L2Host へのスイッチに指定された番号は、L2Agg 側で使用されるポートチャネル番号になります。The numbers specified for the L2Agg to L2Host switch are the port-channel numbers used on the L2Agg side. L2Host 側では番号の範囲がより限定されるため、標準では、1 および 2 の番号を L2Host 側で使用します。Because the range of numbers is more limited at the L2Host side, the standard is to use numbers 1 and 2 at the L2Host side. これらによって、それぞれ "a" 側と "b" 側に向かうポートチャネルが参照されます。These refer to the port-channel going to the “a” side and the “b” side, respectively.

VLANVLANs

ネットワーク アーキテクチャでは VLAN を使用して、複数のサーバーを単一のブロードキャスト ドメインにグループ化します。The network architecture uses VLANs to group servers together into a single broadcast domain. VLAN の番号は、1 から 4094 の番号が付けられた VLAN をサポートする 802.1q 標準に準拠しています。VLAN numbers conform to 802.1q standards, which supports VLANs numbered 1–4094.

お客様の VLANCustomer VLANs

お客様には、ソリューションの分離とアーキテクチャ上のニーズを満たすための、Azure portal 経由でデプロイできるさまざまな VLAN 実装オプションがあります。You have various VLAN implementation options you can deploy through the Azure portal to meet the separation and architecture needs of your solution. これらのソリューションは、仮想マシンを通してデプロイします。You deploy these solutions through virtual machines. お客様の参照アーキテクチャの例については、「Azure の参照アーキテクチャ」を参照してください。For customer reference architecture examples, see Azure reference architectures.

エッジ アーキテクチャEdge architecture

Azure データ センターは、冗長性の高い、適切にプロビジョニングされたネットワーク インフラストラクチャに基づいて構築されています。Azure datacenters are built upon highly redundant and well-provisioned network infrastructures. Microsoft では、"予備の 1 台" (N+1) 冗長またはそれ以上のアーキテクチャで Azure データ センター内にネットワークを実装しています。Microsoft implements networks within the Azure datacenters with “need plus one” (N+1) redundancy architectures or better. データ センター内とデータセンター間での完全フェールオーバー機能は、ネットワークとサービスの可用性の保証に役立ちます。Full failover features within and between datacenters help to ensure network and service availability. 外部的には、データセンターは、高帯域幅の専用ネットワーク回路によって提供されます。Externally, datacenters are served by dedicated, high-bandwidth network circuits. この回路は、複数のピアリング ポイントで、1,200 を超えるインターネット サービス プロバイダーを使って、グローバルにプロパティを冗長接続します。These circuits redundantly connect properties with over 1200 internet service providers globally at multiple peering points. これは、ネットワーク全体での潜在的な上限の容量として 2,000 Gbps 以上を提供しています。This provides in excess of 2,000 Gbps of potential edge capacity across the network.

Azure ネットワークのエッジ レイヤーとアクセス レイヤーでルーターをフィルター処理すると、パケット レベルで適切に確立されたセキュリティが提供されます。Filtering routers at the edge and access layer of the Azure network provide well-established security at the packet level. これは、未承認の Azure への接続試行を防止するのに役立ちます。This helps to prevent unauthorized attempts to connect to Azure. ルーターは、パケットの実際のコンテンツが、想定される形式でデータを含み、想定されるクライアント/サーバー通信のスキームに準拠することを保証するのに役立ちます。The routers help to ensure that the actual contents of the packets contain data in the expected format, and conform to the expected client/server communication scheme. Azure では、次のネットワークの分離とアクセス制御コンポーネントで構成される階層型アーキテクチャを実装しています。Azure implements a tiered architecture, consisting of the following network segregation and access control components:

  • エッジ ルーター。Edge routers. これは、インターネットからアプリケーション環境を分離します。These segregate the application environment from the internet. エッジ ルーターは、スプーフィング対策のセキュリティ保護を提供し、ACL を使用してアクセスを制限するように設計されています。Edge routers are designed to provide anti-spoof protection and limit access by using ACLs.
  • 配布 (アクセス) ルーター。Distribution (access) routers. これは、Microsoft が承認した IP アドレスのみを許可し、スプーフィング対策と、ACL を使用して確立された接続を提供します。These allow only Microsoft approved IP addresses, provide anti-spoofing, and establish connections by using ACLs.

A10 DDOS リスク軽減アーキテクチャA10 DDOS mitigation architecture

サービス拒否攻撃 (DoS) は、オンライン サービスの信頼性に対する実際の脅威を継続的に提示します。Denial of service attacks continue to present a real threat to the reliability of online services. 攻撃の対象がより明確に、より巧妙になったこと、また、Microsoft が提供するサービスが地理的により多様になったことから、これらの攻撃の影響を特定して最小化することが最優先になっています。As attacks become more targeted and sophisticated, and as the services Microsoft provides become more geographically diverse, identifying and minimizing the impact of these attacks is a high priority. 以下に、ネットワーク アーキテクチャの観点から、A10 DDOS リスク軽減システムがどのように実装されているかを詳しく説明します。The following details explain how the A10 DDOS mitigation system is implemented from a network architecture perspective.

Azure では、データセンター ルーター (DCR) で、自動で検出と軽減策を提供する A10 ネットワーク デバイスを使用します。Azure uses A10 network devices at the datacenter router (DCR) that provide automated detection and mitigation. A10 ソリューションでは、Azure Network Monitoring を使用してフロー パケットをサンプリングし、攻撃があるかどうかを判断します。The A10 solution uses Azure Network Monitoring to sample flow packets and determine if there is an attack. 攻撃が検出されると、A10 デバイスはスクラブして攻撃を軽減します。If the attack is detected, A10 devices scrub to mitigate attacks. こうすることで初めて、クリーンなトラフィックが DCR から直接、Azure データ センターへ許可されます。Only then is clean traffic is allowed into the Azure datacenter directly from the DCR. Microsoft では、A10 ソリューションを使用して Azure ネットワーク インフラストラクチャを保護しています。Microsoft uses the A10 solution to protect the Azure network infrastructure.

A10 ソリューションの DDoS 保護には次が含まれます。DDoS protections in the A10 solution include:

  • UDP IPv4 および IPv6 のオーバーフロー防止UDP IPv4 and IPv6 flood protection
  • ICMP IPv4 および IPv6 のオーバーフロー防止ICMP IPv4 and IPv6 flood protection
  • TCP IPv4 および IPv6 のオーバーフロー防止TCP IPv4 and IPv6 flood protection
  • IPv4 および IPv6 に対する TCP SYN 攻撃の防止TCP SYN attack protection for IPv4 and IPv6
  • 攻撃のフラグメント化Fragmentation attack

注意

Microsoft では、すべての Azure のお客様に対して、既定で DDoS 保護を提供しています。Microsoft provides DDoS protection by default for all Azure customers.

ネットワーク接続規則Network connection rules

Azure では、未承認の Azure への接続試行を防止するために、パケット レベルでセキュリティを提供するエッジ ルーターをネットワーク上にデプロイします。On its network, Azure deploys edge routers that provide security at the packet level to prevent unauthorized attempts to connect to Azure. エッジ ルーターは、パケットの実際のコンテンツが、想定される形式でデータを含み、想定されるクライアント/サーバー通信のスキームに準拠することを保証します。Edge routers ensure that the actual contents of the packets contain data in the expected format, and conform to the expected client/server communication scheme.

エッジ ルーターは、インターネットからアプリケーション環境を分離します。Edge routers segregate the application environment from the internet. これらのルーターは、スプーフィング対策のセキュリティ保護を提供し、ACL を使用してアクセスを制限するように設計されています。These routers are designed to provide anti-spoof protection, and limit access by using ACLs. Microsoft では、階層化された ACL アプローチを使用して、エッジ ルーターを通過してルーターにアクセスすることを許可されているネットワーク プロトコルに限定するように、エッジ ルーターを構成しています。Microsoft configures edge routers by using a tiered ACL approach, to limit network protocols that are allowed to transit the edge routers and access routers.

Microsoft では、ネットワーク デバイスをアクセスとエッジの位置に配置して、イングレス フィルターまたはエグレス フィルターが適用される境界ポイントとして機能するようにしています。Microsoft positions network devices at access and edge locations, to act as boundary points where ingress or egress filters are applied.

次の手順Next steps

Microsoft が Azure インフラストラクチャのセキュリティ保護を支援するために行っていることの詳細については、以下を参照してください。To learn more about what Microsoft does to help secure the Azure infrastructure, see: