Azureをセンターとしたハブ&スポークトポロジのNW構成において拠点間通信を制限する方法
前提
・センターはAzure、拠点側はオンプレ(複数拠点あり)
・「Azure⇔拠点」間は、S2S VPNまたはExpress Routeで接続
実現したいこと
・拠点間の通信を拒否したい(Azureでの折り返し通信を拒否したい)
VPN GW → 実現不可
VPN ゲートウェイはルーティングをフィルタリングする機能がないので、同じ VPN ゲートウェイに接続されている拠点間通信をブロックすることはできない
Virtual WAN → 実現可
Virtual WAN のブランチ間接続を無効にすることで実現が可能。
(参考ドキュメント)
アーキテクチャ:グローバル転送ネットワーク アーキテクチャ – Azure Virtual WAN | Microsoft Learn
https://learn.microsoft.com/ja-jp/azure/virtual-wan/virtual-wan-global-transit-network-architecture
(抜粋)
—–
Virtual WAN 間でのブランチ間接続の無効化を構成すると、ブランチ間接続を無効にできます。 この構成によって、VPN (S2S と P2S) と Express Route 接続サイトの間のルート伝達がブロックされます。
—–