expressroute for office 365 の現状について

ExpressRoute for Office 365 の現状について

2017/03/11株式会社インターネットイニシアティブ小賀坂優

注意事項

本資料は、2017/03/10 時点で公開されているドキュメントおよび情報を元に作成しています

記載している内容において仕様および機能について今後変更される可能性があります

所属する会社、組織、および Microsoft 社の正式な回答 / 見解ではありません個人的見解です

第 18 回 Office 365 勉強会 2

自己紹介

小賀坂優 (Yu Kogasaka) こげさか (kogesaka) ※オンライン

株式会社インターネットイニシアティブ (IIJ) 所属 Microsoft Azure, Office 365 を中心としたサービス、

ソリューション開発、検証など

Microsoft MVP Cloud and Datacenter Management (Jan 2012 – ) 旧 : System Center Cloud and Datacenter Management

Blog, SNS Blog: 焦げlog (http://kogelog.com/)

Twitter: @kogesaka (https://twitter.com/kogesaka/)

Facebook: kogesaka (http://www.facebook.com/kogesaka)


アジェンダ

ExpressRoute について

ExpressRoute for Office 365 (ER for O365) の現状

まとめ


ExpressRoute について


ExpressRoute とは

オンプレミスと Microsoft クラウドサービスとの接続に対して専用ネットワーク (閉域網) を提供する Microsoft Azure のサービス Microsoft Azure

Office 365

Microsoft Dynamics 365 など


WAN

東北支社

関西支社

東京本社

使用する Microsoft クラウドサービスで経路が分かれる

利用するサービスによって対応する 3 種類の経路 (Peering) を有効化 Microsoft Peering : Office 365, Microsoft Dynamics 365 など Azure Public Peering : Azure サービス (PaaS)

Azure Private Peering : Azure サービス (IaaS)


閉域網Provider Edge

Azure Public PeeringAzure Private Peering

Microsoft Peering

Microsoft Edge

ExpressRoute でサポートされているサービス

Private Peering すべての仮想マシン (IaaS) とクラウドサービスを含む、仮想ネットワーク

Public Peering 例外を除くほとんどの Azure サービス (PaaS)

Power BI

Dynamics 365 for Operations (旧称 Dynamics AX Online)

Microsoft Peering ほとんどの Dynamics 365 サービス (旧称 CRM Online)

Dynamics 365 for Sales

Dynamics 365 for Customer Service

Dynamics 365 for Field Service

Dynamics 365 for Project Service


• Azure ExpressRoute の FAQ | Microsoft Docshttps://docs.microsoft.com/ja-jp/azure/expressroute/expressroute-faqs

ExpressRoute でサポートされていないサービス

以下のサービスはサポートされません CDN

Visual Studio Team Services のロードテスト Multi-factor Authentication

Traffic Manager


• Azure ExpressRoute の FAQ | Microsoft Docshttps://docs.microsoft.com/ja-jp/azure/expressroute/expressroute-faqs

ExpressRoute の帯域幅、SLA

利用用途、規模に合わせた帯域幅を選択可能 50、100、200、500 Mbps、1、2、5、10 Gbps

99.95 % 以上の可用性を確保 Edge ルーター間 (レイヤー 3) を 2 重化各 Peering で冗⾧化


Provider Edge

Microsoft Edge

2 重化

ExpressRoute とインターネットとの違い

安全性と信頼性が高く、待機時間も短く、高速な通信を提供インターネット : 無料道路 (ネットワーク帯域の予測が難しい)

ExpressRoute : 有料道路 (ネットワーク帯域の予測が容易)


インターネット

ExpressRoute

ExpressRoute とインターネット VPN との比較

インターネット VPN で Microsoft クラウドサービスが利用できるのは Azure IaaS サービスとの通信のみ Azure PaaS、Office 365 などのサービスはインターネット経由


Provider Edge

インターネット VPN通信

インターネット通信

ExpressRoute Premium Add-on

日本以外に存在するすべてのリージョンのリソースにアクセス可能既定では、地域リージョン (日本) 内のリソース (東日本、西日本) にアクセス可能リージョン間で接続されているバックボーンネットワーク経由で通信中国および政府機関向けクラウドを除く

Private Peering 用のルートプレフィックス数が 10,000 に増大既定では、 Private Peering 用のルートプレフィックス数は 4,000

Public Peering 用および Microsoft Peering 用のルートプレフィックス数はそれそれ 200

ExpressRoute 回線あたりの VNet リンクの最大リンク数の増大既定では 10 リンク契約する帯域幅によって最大リンク数は異なる Azure ExpressRoute の FAQ | Microsoft Docs

https://docs.microsoft.com/ja-jp/azure/expressroute/expressroute-faqs


ExpressRoute の接続 / 利用形態


接続プロバイダーPoint-to-point Ethernet

ConnectionCloud Exchange

Co-location (L2 接続サービス)Any-to-Any

Connection (L3 接続サービス)

課金モデル Metered Data (従量制課金データ) Unlimited Data (無制限データ)使用可能な帯域幅 50、100、200、500 Mbps、1、2、5、10 Gbps

WAN

契約する ExpressRoute 接続プロバイダーによって接続形態は異なる

ExpressRoute の接続 / 利用形態


ExpressRoute 接続プロバイダーPoint-to-point Ethernet

ConnectionCloud Exchange

Co-location (L2 接続サービス)Any-to-Any

Connection (L3 接続サービス)

課金モデル Metered Data (従量制課金データ) Unlimited Data (無制限データ)使用可能な帯域幅 50、100、200、500 Mbps、1、2、5、10 Gbps

WAN日本では未提供

契約する ExpressRoute 接続プロバイダーによって接続形態は異なる

ネットワーク設定などフルマネージド提供のため運用が容易

ネットワークの自由な設計、管理が可能アドバタイズ変更による運用が大変

Microsoft クラウドサービスと ExpressRoute 接続プロバイダーの間 Cloud Exchange Co-location (L2 接続サービス)

Any-to-Any Connection (L3 接続サービス)

ExpressRoute 接続プロバイダーと顧客ネットワーク間は WAN / IPVPN 接続

どこまでが ExpressRoute 接続?


※ExpressRoute との接続を有効にするために、接続 (サービス) プロバイダーによって追加のネットワーク設定、機器準備・設定が必要な場合あり

閉域網Provider

EdgeMicrosoft

Edge

Microsoft クラウドサービス

お客様環境

ExpressRoute接続プロバイダー

ExpressRoute回線WAN / IPVPN

Azure ポータルから設定をしただけでは閉域網接続にはならない ExpressRoute 接続プロバイダーとの回線引き込み発行されたサービスキーと契約内容を元に ExpressRoute 接続プロバイダーが

設定、接続処理を実施

ExpressRoute はどうやって利用できる?


• Azure プライベートピアリング経由で仮想ネットワーク (VNet)に接続

• Azure パブリックピアリング経由でパブリック IP 上の Azureサービスに接続

• Microsoft ピアリング経由でMicrosoft クラウドサービス(Office 365 など) に接続

ExpressRoute 回線を用いた接続の開始

• 接続プロバイダーにサービスキー (s-key) を提供

• 接続プロバイダーに必要な追加情報(VPN ID など) を提供

• ExpressRoute 接続プロバイダーがルーティング構成を管理する場合、必要な情報を提供

接続プロバイダーとの接続準備

(プロビジョニング)

• 締結した接続プロバイダーの選択

• ピアリングする場所の選択• 帯域幅の選択• 課金モデルの選択• 標準もしくは premium add-onの選択

ExpressRoute回線の注文

• Azure サブスクリプションの作成 / 有効化

• ExpressRoute 接続プロバイダーの選定と契約の締結

• ExpressRoute 接続プロバイダーとネットワークの物理的接続(回線引込み) の実施

前提条件の確認

ExpressRoute 接続パートナー


日本 (Tokyo, Osaka) で利用可能なパートナー日本 (Tokyo) で利用可能なパートナー

ExpressRoute の価格 : 従量課金 (Metered Data)


帯域幅月額 Premium add-on月額データ転送 (受信) データ転送 (送信)

50 Mbps ¥5,610 ¥15,810 Unlimited

ゾーン 1 : ¥2.55/GB

ゾーン 2 : ¥5.10/GB

ゾーン 3 : ¥14.28/GB

100 Mbps ¥10,200 ¥28,050 Unlimited

200 Mbps ¥14,790 ¥45,390 Unlimited

500 Mbps ¥29,580 ¥111,180 Unlimited

1 Gbps ¥44,472 ¥192,372 Unlimited

2 Gbps ¥88,944 ¥318,444 Unlimited

5 Gbps ¥222,360 ¥528,360 Unlimited

10 Gbps ¥510,000 ¥816,000 Unlimited

ExpressRoute との接続を有効にするために、サービスプロバイダーによって追加料金が発生する場合あり

料金 - ExpressRoute | Microsoft Azure https://azure.microsoft.com/ja-jp/pricing/details/expressroute/

ExpressRoute の価格 : 固定課金 (Unlimited Data)


帯域幅月額 Premium add-on月額データ転送 (受信) データ転送 (送信)

50 Mbps ¥62,220 ¥72,420 Unlimited Unlimited




1 Gbps ¥887,400 ¥1,035,300 Unlimited Unlimited

2 Gbps ¥1,774,800 ¥2,004,300 Unlimited Unlimited



ExpressRoute との接続を有効にするために、サービスプロバイダーによって追加料金が発生する場合あり

料金 - ExpressRoute | Microsoft Azure https://azure.microsoft.com/ja-jp/pricing/details/expressroute/

ExpressRoute for Office 365 の現状


ER for O365 の導入による期待するメリットって何?


セキュリティの向上

インターネット接続との分離

低遅延、通信品質の安定化

申し訳ありません


(すべてのシナリオにおいて推奨されるわけではないため)

だって “security” って書いてあるんだもん (2017/03/10 時点)


• ExpressRoute - Virtual Private Cloud Connections | Microsoft Azurehttps://azure.microsoft.com/en-us/services/expressroute/

だって Office 365 サービスに接続する “閉域網” なんだもん

「素朴な疑問◆Q＆A - 閉域網ってどんなネットワークなの?:ITpro 」より抜粋 http://itpro.nikkeibp.co.jp/article/COLUMN/20120827/418387/?rt=nocnt


インターネットのように誰もが利用できるオープンなネットワークに対し、通信事業者が自社のサービスとして構築した"閉じた" ネットワークを閉域網と呼びます。閉域網の "閉じた"とは、「インターネットから直接アクセスを受けない」ことを意味します。つまり、閉域網とはインターネットから分離されたネットワークです。

～略～

冒頭でインターネットから直接アクセスできないと説明しましたが、IP-VPNのようなサービスでは閉域網経由でインターネットへアクセスする仕組みを用意しています。完全な閉域であれば安全には違いありませんが、インターネットへ接続できないと不便だからです。インターネットとの接続点にはファイアウォールを設けて、インターネット側からの不正なアクセスを遮断しています。

ER for O365 は ExpressRoute 経由しか通信しない?

Azure (東西) へのレスポンス (ping の到達時間を連続計測)

だってインターネットより通信品質が “安定” してるんだもん


低遅延はもとより、抜群の安定性

24時間

インターネット経由 ExpressRoute 経由

24時間

[time][time]5分間隔プロット 5分間隔プロット

[ms] [ms]

ER for O365 の導入でセキュリティは向上するか

閉域網接続 ≠ セキュリティ対策「インターネットなど、外部から直接アクセスを受けない」ため、送受信中の

データが傍受、改ざんされる恐れはないインターネット経由でも、Office 365 では「ユーザー⇔ MS」間通信は暗号化される

Office 365 での暗号化https://technet.microsoft.com/ja-jp/library/dn569286.aspx

以下には対応できない標的型攻撃ウイルス / スパム個人の Office 365 テナントの利用


ER for O365 を導入してもセキュリティ強化、および根本的な対策にはならない

余談

ドキュメントは日々ブラッシュアップされていきます


• ExpressRoute - 仮想プライベートクラウド接続 | Microsoft Azurehttps://azure.microsoft.com/ja-jp/services/expressroute/

2017/03/03 に確認 2017/03/10 に確認

すごい昔に指摘した内容が修正されてよかったです

ExpressRotue を経由する / しない Office 365 のサービス

すべての O365 サービスが ExpressRoute 経由になる訳ではない


ExpressRoute を経由するサービス ExpressRoute を経由しないサービス Exchange Online Exchange Online Protection Delve Skype for Business Online SharePoint Online Onedrive for Business Project Online ポータルと共有 Azure Active Diretory AAD Connect Office Online Microsoft Teams

Yammer Office 365 ProPlus クライアントの

ダウンロードオンプレミス Identity プロバイダー

へのサインイン中国における Office 365

(21 Vianet が運営) サービスその他の Office 365 サービス Office365 Video Planner など

• Office 365 向け Azure ExpressRoute - Office 365https://support.office.com/ja-jp/article/Office-365-%E5%90%91%E3%81%91-Azure-ExpressRoute-6d2534a2-c19c-4a99-be5e-33a0cee5d3bd

すべての O365 サービスが ER を経由するかどうか

すべての O365 サービスで発生する通信が ExpressRoute 経由(Microsoft Peering) になる訳ではないインターネット経由 Public Peering 経由完全にネットワーク分離することは

できない


• Office 365 URLs and IP address ranges - Office 365https://support.office.com/en-us/article/Office-365-URLs-and-IP-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2

SharePoint Online and OneDrive for Business の場合

O365 サービスで発生するどの通信が ER 経由とならないか

CDN (コンテンツデリバリネットワーク) を使用しているサービス Office 365 ビデオのコンテンツ配信ネットワーク Web ポータル画面で使用されるアイコンやスクリプトなどの汎用コンテンツなど

Office 365 ビデオのストリーミングサービス Azure Media Services が動作、Public Peering 経由での通信となる

インターネットのみアドバタイズされる FQDN の存在インターネットのみアドバタイズされるサブ FQDN click.email.microsoftonline.com

odc.officeapps.live.com などインターネットのみにアドバタイズされるワイルドカード FQDN *.office.com

*.outlook.com など


補足 : ER for O365 には Premium Add-on が必要

ER for O365 を利用するリージョン内にサービスが存在しない Sway、Yammer、Planner など「日本」リージョンでも、使用されるデータセンターが「日本以外」である

可能性がある


• Online Serviceshttp://o365datacentermap.azurewebsites.net/

Region Datacenters

Japan

Osaka Prefecture, JapanSaitama Prefecture, JapanUnited StatesAmsterdam, the NetherlandsIrelandHong Kong, ChinaSingapore

CDN による O365 サービスの高速化

エンドユーザーに対して Office 365 を高速で信頼できる状態に維持 ExpressRouteなしでも安定した通信を実現可能


• Office Dev Center - Office 365 Public CDN Developer Preview Releasehttps://dev.office.com/blogs/office-365-public-cdn-developer-preview-release

• コンテンツ配信ネットワーク - Office 365https://support.office.com/ja-jp/article/%E3%82%B3%E3%83%B3%E3%83%86%E3%83%B3%E3%83%84%E9%85%8D%E4%BF%A1%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF-0140f704-6614-49bb-aa6c-89b75dcd7f1f

ER for O365 に関しては…


利用者が期待するメリットと

ER for O365 導入による効果とのギャップがある

ER for O365 を利用するには

事前に Microsoft から承認を受ける必要がある Microsoft Sales Account Team と協力し、リクエストを実施、承認に必要な

要件を確認、申請承認に必要な要件については、一般公開されていない

O365 のサービスでどのサービスを利用したいかインターネット経由ではなく、ER 経由で通信しないと絶対にいけない環境かどうかインターネット経由では実現できないネットワーク環境、要件 (QoS) があるのかどうか

承認されないと Microsoft Peering は有効にならない ER for O365 は利用できない


承認の申請を行う前に、まずは Microsoft Sales Account Team と

ExpressRoute 接続プロバイダーに ER for O365を導入すべきかどうかのご相談を!!

ER for O365 の要件を満たす必要がある Premium Add-on の追加 Microsft Peering の NAT 要件 Office 365 へのトラフィックは有効な IPv4 アドレスに SNAT 変換する必要がある Office 365 からのトラフィックについても SNAT 変換する必要がある

Microsoft クラウドサービス接続プロバイダー

接続元ネットワーク

承認されたからといって安心してはいけない


閉域網 Microsoft Edge

NAT Provider Edge

• ExpressRoute 回線の NAT 要件 | Microsoft Docshttps://docs.microsoft.com/ja-jp/azure/expressroute/expressroute-nat

インターネットと ExpressRoute の振り分け

どのサービスが、どの経路で出て行くか経路設定が必要 ER for O365 を使用することで、インターネット経由のみだったのが

「どのサービスが」「どの経路で」通信を行うかを設定する必要がある O365 のアドレス空間は 3,000 経路以上 Office 365 の URL は 600 を超える

各 O365 サービスが持つグローバル IP アドレスや FQDN についても変更される(事前アナウンス) 2017 年 1 月の FQDN 変更は 5 回 2014 年 7 月～ 2017 年まで 300 通知以上


静的ルーティングによる手動運用、定期メンテナンスは現実的はない

Selective Routing with ER

O365 ネットワークトラフィックを選択するために使用可能なツールルートのフィルタリング / 分離 ER を経由した O365 への BGP ルートを一部のサブネットまたはルータに対して許可段階的導入する際には一般的であるが、静的ルーティングでは現実的でない

PAC ファイル / URL 特定の FQDN が特定のパス上でルーティングされるように Office 365 宛てのネット

ワークトラフィックを PAC ファイルで管理プロキシサーバー、PAC ファイルの静的運用は困難

BGP コミュニティ (Preview) BGP コミュニティタグに基づくフィルター処理により O365 アプリケーションが、

ER 経由かインターネット経由かを決定デフォルト GW が集約されていない環境の場合、ネットワーク全体 (WAN) に経路を

アドバタイズしてしまう


• Office 365 向け ExpressRoute でのルーティング - Office 365https://support.office.com/ja-jp/article/Office-365-%E5%90%91%E3%81%91-ExpressRoute-%E3%81%A7%E3%81%AE%E3%83%AB%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0-e1da26c6-2d39-4379-af6f-4da213218408

結局どうすればいいの?

ヒアリングによる振り分けツールの選定ネットワーク構成 / 機器 / 環境使用する O365 サービス利用クライアント数 / 規模セッション数

振り分けツールによるソリューション、SI の提案 / 実施顧客環境ごとに設計は必要サービスとしての提供は現状困難

自動化 / 簡略化できるものはするなるべく導入後の手離れをよくする


振り分けに関する参考

色んなドキュメントが公開されています Office 365 向け Azure ExpressRoute - Office 365 https://support.office.com/ja-jp/article/Office-365-%E5%90%91%E3%81%91-Azure-

ExpressRoute-6d2534a2-c19c-4a99-be5e-33a0cee5d3bd

Office 365 向け ExpressRoute の接続を管理する - Office のサポート https://support.office.com/ja-jp/article/Office-365-%E5%90%91%E3%81%91-

ExpressRoute-%E3%81%AE%E6%8E%A5%E7%B6%9A%E3%82%92%E7%AE%A1%E7%90%86%E3%81%99%E3%82%8B-e4468915-15e1-4530-9361-cd18ce82e231

Office 365 向け ExpressRoute でのルーティング - Office 365 https://support.office.com/ja-jp/article/Office-365-%E5%90%91%E3%81%91-

ExpressRoute-%E3%81%A7%E3%81%AE%E3%83%AB%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0-e1da26c6-2d39-4379-af6f-4da213218408


振り分けに関する参考

色んなドキュメントが公開されています Office 365 向け ExpressRoute のネットワーク計画 - Office 365 https://support.office.com/ja-jp/article/Office-365-%E5%90%91%E3%81%91-

ExpressRoute-%E3%81%AE%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E8%A8%88%E7%94%BB-103208f1-e788-4601-aa45-504f896511cd

Office 365 向け ExpressRoute の実装 - Office 365 https://support.office.com/ja-jp/article/Office-365-%E5%90%91%E3%81%91-

ExpressRoute-%E3%81%AE%E5%AE%9F%E8%A3%85-77735c9d-8b80-4d2f-890e-a8598547dea6

Using BGP communities in ExpressRoute for Office 365 scenarios - Office 365 https://support.office.com/en-us/article/Using-BGP-communities-in-ExpressRoute-for-

Office-365-scenarios-9ac4d7d4-d9f8-40a8-8c78-2a6d7fe96099?omkt=en-US&ui=en-US&rs=en-US&ad=US※Preview


まとめ


まとめExpressRoute は Microsoft クラウドサービスとの接続に対して

閉域網を提供するサービスです利用するサービスによって Peering は異なります

ExpressRoute for Office 365 を利用するには Microsoft の承認が必要になっています ExpressRoute を使用しない場合でも、Office 365 のサービスの通信は

暗号化され、CDN で高速、安定化した通信を行うことが可能 ExpressRoute for Office 365 が必要となるケースや状況の見極めが必要

Offce 365 で使用される経路や IP アドレス、URL は今後も変更される使用するツールは顧客環境や変更可能なレイヤーで実施静的にではなく、変更があるタイミングで動的に対応できる仕組みが必要

利用者が快適に Office 365 を使ってもらうためにはどうしたらよいか、様々な視点で各レイヤーを組み合わせた最適な設計が環境ごとに必要



おちまい (・θ・)ノ

expressroute for office 365 の現状について

Technology