はじめに
パブリッククラウドのサービスには設定できる項目に制限が存在します。この制限には、緩和申請が存在しており一定の数量まで制限を増やせるタイプと、緩和申請が存在せず制限を増やせないタイプが存在します。
そのため、制限を考慮せずに設計してしまうと、構築時に制限に引っかかってしまい想定していた構成が組めないという事態が起きる場合があります。万が一の手戻りを防ぐためにも、制限が厳しく、かつ再検討時の影響が大きいサービスについては、制限を事前に理解したうえで設計に臨んだほうがよいです。
この考慮が必要な Azure サービスの一つが ExpressRoute です。ExpressRoute の制限の中には値が少ないものがあるため、複雑な構成を組もうとすると制限に引っかかる場合があります。引っかかってしまった場合はオンプレミス側のネットワーク含めて再検討が必要になるため、再検討時の影響が大きくなりがちです。
というわけで、実現できる構成/実現できない構成を踏まえて ExpressRoute 周りの制限をまとめました。
おさらい
ExpressRoute の制限を解説していく前に、前提となる ExpressRoute の構成要素をおさらいします。オンプレミスと Virtual Network をシンプルに接続した構成図は次の通りです。ピアリングの場所に ExpressRoute 回線を作成したうえで、Virtual Network 内に存在する ExpressRoute Gateway と接続する形です。下図では、東京のピアリングの場所に作成した ExpressRoute 回線と、東日本リージョンの ExpressRoute Gateway を接続しています。この「接続」する部分に様々な制限が存在します。
ExpressRoute の基本的な構成
主要な制限
ExpressRoute 関連で注意すべき制限は次の通りです。
| 項目 | 制限 |
|---|---|
| 接続できるリージョン | ・Standard:ピアリングの場所に対応する Azure リージョンのみ ・Premium:全 Azure リージョン |
| 同じピアリング場所で同じ仮想ネットワークにリンクされる ExpressRoute 回線の最大数 | 4 |
| さまざまなピアリング場所で同じ仮想ネットワークにリンクされる ExpressRoute の最大数 | ・Standard SKU/ERGw1Az: 4 ・High Perf SKU/ERGw2Az:8 ・Ultra Performance SKU/ErGw3Az: 16 |
| ExpressRoute 回線あたりで許可される仮想ネットワークのリンク数 | ・Standard:10 ・Premium:20~100(帯域による) |
参考:
できる構成・できない構成
上記の制限ごとに、実現できる構成/実現できない構成を確認していきます。
接続できるリージョン
次のような構成は Standard な ExpressRoute 回線で実現できます。東京と大阪のピアリングの場所が東日本リージョンと西日本リージョンに対応しているためです。
対応するリージョンとの接続
一方で、次のような構成を実現するためには東京および大阪の ExpressRoute 回線を Premium にする必要があります。東京と大阪のピアリングの場所が米国西部2リージョンに対応していないため、Standard な ExpressRoute 回線では 米国西部2リージョンに接続できません。
対応しないリージョンとの接続
同じ仮想ネットワークにリンクされる ExpressRoute 回線の最大数
この制限は特に注意が必要です。次のような構成は実現できません。東京という1つのピアリングの場所に存在する5つの ExpressRoute 回線を同じ ExpressRoute Gateway に接続しようとしているためです。この構成では「同じピアリング場所で同じ仮想ネットワークにリンクされる ExpressRoute 回線の最大数」が5となるため、制限である4を越えてしまいます。
同じピアリング場所の制限に引っかかる構成その1
ExpressRoute Gateway と同一サブスクリプション内の ExpressRoute 回線だけでなく、別サブスクリプション上の ExpressRoute 回線も制限の対象となります。つまり、次の構成も実現できません。
同じピアリング場所の制限に引っかかる構成その2
実際に検証したところ、ExpressRoute Gateway に5本目の ExpressRoute 回線を接続しようとした時点で次のエラーが発生しました。
Failed to create connection ‘er05’. Error: Cannot have anymore circuits in same location : Tokyo link to the same vnet : , vnetId : xxxxxxxx-xxxx-xxxx-xxxx-96177391e59c, serviceKey : xxxxxxxx-xxxx-xxxx-xxxx-253cc2ca3b34
Info
Virtual Hub 内の ExpressRoute Gateway も同様の制限を受けるようで、Virtual Hub 内の ExpressRoute Gateway に5本目の ExpressRoute 回線を接続しようとした時点で同様のエラーがでました。
Virtual WAN は同一リージョンに複数の Virtual Hub を作成できますので、1つのピアリングの場所に存在する5つ以上の ExpressRoute 回線を同じ仮想ネットワークに接続したい場合は、4本の ExpressRoute 回線ごとに Virtual WAN 内に Virtual Hub を増やしていく構成をとればよさそうです。(本エントリの趣旨から外れるため、検証はしてません)
参考:Virtual WAN ネットワーク トポロジ (Microsoft 管理)
複数の Azure Virtual WAN ハブを同じリージョンにデプロイして、単一のハブの制限を超えてスケーリングできます。
また、この構成を検討する際には「サブスクリプションあたりのリージョンごとの ExpressRoute 回線数 (Azure Resource Manager)」という別の制限にも注意が必要です。この制限によって、1つのサブスクリプション内で1つのリージョンに作成できる ExpressRoute 回線は最大10個までとなります。
さまざまなピアリング場所で同じ仮想ネットワークにリンクされる ExpressRoute の最大数
次のような構成は OK です。6つの ExpressRoute 回線が1つの仮想ネットワークに接続していますが、1つのピアリングの場所に存在する ExpressRoute 回線が4以下だからです。この構成の場合、「1つのピアリングの場所に存在する ExpressRoute 回線」を4以下にしていれば、「さまざまなピアリング場所で同じ仮想ネットワークにリンクされる ExpressRoute の最大数」の制限である16個まで異なるピアリングの場所に存在する ExpressRoute 回線を接続できます。
ピアリングの場所を変えることで制限を回避する構成
ただし、接続先となる ExpressRoute Gateway の SKU によって、接続できる ExpressRoute 回線の最大数が異なるため注意が必要です。前述の実現できる構成では1つの ExpressRoute Gateway に6つの ExpressRoute 回線 が接続していますので、High Perf SKU/ERGw2Az 以上の ExpressRoute Gateway が必要です。
接続先である ExpressRoute Gateway の注意点
また、接続先の Virtual Network が東日本リージョンに存在するため、接続したい ExpressRoute 回線のピアリングの場所が東京・大阪以外の場合には Premium な ExpressRoute 回線が必要になる点にも注意です。
ExpressRoute 回線あたりで許可される仮想ネットワークのリンク数
Hub and Spoke 構成が一般的になってきた昨今では利用頻度が減った構成ではありますが、1つの ExpressRoute 回線に複数の Virtual Network を接続する構成は注意が必要です。「ExpressRoute 回線あたりで許可される仮想ネットワークのリンク数」の制限に抵触する可能性があります。
ExpressRoute 回線の SKU が Standard の場合「ExpressRoute 回線あたりで許可される仮想ネットワークのリンク数」は10です。
Standard な ExpressRoute 回線の限界
11個以上の Virtual Network と接続したい場合は、ExpressRoute 回線を Premium SKU にします。もしくは、下図のような Hub and Spoke 型の構成にして ExpressRoute 回線に接続する Virtual Network の数を削減することで、Standard な ExpressRoute 回線と11以上の仮想ネットワークを間接的にリンクします。
Standard な ExpressRoute 回線の制限を Hub and Spoke で回避する構成
なお、Azure サブスクリプションとサービスの制限、クォータ、制約 に記載されているとおり、「ExpressRoute 回線あたりで許可される仮想ネットワークのリンク数」には Global Reach で接続する ExpressRoute 回線が含まれます。したがって、次の構成を実現するためには Premium な ExpressRoute 回線が必要です。Azure VMware Solutuon の ExpressRoute 回線と接続するための ExpressRoute Global Reach がリンク数にカウントされてリンク数の合計が11となり、Standard な ExpressRoute 回線の制限である10を越えるためです。
Global Reach によって Premium な ExpressRoute 回線が必要になる構成
契約方式による制限
なお、機能的な制限ではなく契約による制限にも注意が必要です。注意すべき制限は、CSP で提供される Azure サブスクリプションではクラシックな機能を利用できない点です
Azure Resource Manager モデルに基づくすべてのサービスは、CSP プログラムで利用できます。 クラシック デプロイ モデル サービスなどの Azure Resource Manager 以外のサービスは、CSP プログラムでは利用できません。
参考:Azure クラウド ソリューション プロバイダー (CSP) プログラムで利用可能な Azure サービス
したがって、CSP で提供される Azure サブスクリプション上に存在する ExpressRoute 回線では、次の URL で説明されている「“allowClassicOperations “を有効化することでクラシックな仮想ネットワークを接続する機能」を利用できません
参考:クラシック デプロイ モデルから Resource Manager デプロイ モデルへの ExpressRoute 回線の移行
この制限により、次の構成が実現できません。
CSP サブスクリプションの制限によって実現できない構成
CSP サブスクリプション上の ExpressRoute 回線を利用してクラシック Virtual Network とオンプレミスを接続したい場合は、クラシック Virtual Network を ExpressRoute 回線に直接接続するのではなく、VNet Peering で Virtual Network と接続します。
CSP サブスクリプションの制限を回避できる構成
おわりに
本エントリでは、ExpressRoute 周りの制限を実現できる構成/実現できない構成を踏まえてまとめました。特に複数の ExpressRoute 回線を利用する際には、制限を理解して手戻りの発生しない構成を検討しましょう。
Note
- 当サイトは個人のブログです。このブログに示されている見解や意見は個人的なものであり、所属組織の見解や意見を表明するものではありません。
- 公開情報を踏まえて正確な情報を掲載するよう努めますが、その内容の完全性や正確性、有用性、安全性、最新性について一切保証しません。
- 添付文章やリンク先などを含む本サイトの内容は作成時点でのものであり、予告なく変更される場合があります。