ExpressRoute が含まれる Azure 環境にて、VMから直接インターネットに接続されない環境にしたい

通常、ExpressRoute に接続されていない仮想ネットワークでは、Azure から直接インターネットへ出れるようにルーティングされますが、強制トンネリング設定にて直接インターネットへ接続されないようにすることが可能です。

Azure の観点からとなりますと、強制トンネリングにより Azure VM からインターネット向けの通信は、BGP で配信されたデフォルトルート (0.0.0.0/0) 宛に通信が行われますが、その宛先を Azure 側の設定や構成により、オンプレミスの各 Provider Edge や各社オンプレミス環境に振り分けることはできません。

ExpressRoute で接続された Azure VM は、オンプレミスからくる BGP の経路情報をもとにルーティングされます。Azure VM がオンプレミスにない経路 (宛先) への通信が発生した場合、Azure VM はデフォルトルート宛に通信を行います。
Azure では既定でデフォルトルートは Azure からインターネットに抜ける構成となっていますが、強制トンネリング (オンプレミスから BGP でデフォルトルートを配信) を構成することで、インターネット宛への通信を ExpressRoute の先のオンプレミスに向けることができます。
Azure からデフォルトルートで ExpressRoute の先のオンプレミスに向けられた通信は、オンプレミスのネットワークにより通信の先が制御されます。

一般的に BGP の経路は、同じ経路が伝播された場合、優先度が高い方に通信が寄る構成となります。
通信元 (Azure VM) や宛先 (オンプレミスのルーター) によって通信を分ける場合は、通信を明示的に振り分ける機能を持つルーターを構成する必要があります。

また、強制トンネリングに関しての情報、構成例については下記ページに記載があります。

[詳説 Azure ExpressRoute – Part2: ExpressRoute のルーティング制御について] https://jpaztech1.z11.web.core.windows.net/%E8%A9%B3%E8%AA%ACAzureExpressRoute-Part2ExpressRoute%E3%81%AE%E3%83%AB%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0%E5%88%B6%E5%BE%A1%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6.html
※ 3 枚目の画像が強制トンネリングにてオンプレミス経由でインターネットを行う構成になります。

なお、制限設定の内容によってはライセンス認証ができなくなる場合がありますので、設定の際は下記ページ記載の内容をご参照ください。

[ExpressRoute 環境でライセンス認証ができない事象について]
https://jpaztech1.z11.web.core.windows.net/ExpressRoute%E7%92%B0%E5%A2%83%E3%81%A7%E3%83%A9%E3%82%A4%E3%82%BB%E3%83%B3%E3%82%B9%E8%AA%8D%E8%A8%BC%E3%81%8C%E3%81%A7%E3%81%8D%E3%81%AA%E3%81%84%E4%BA%8B%E8%B1%A1%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6.html

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、弊社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。