ExpressRoute や S2S VPN を用いて仮想ネットワークとオンプレミス環境を接続しているような環境において、
VM などからのすべての通信を Azure Firwall 経由にする際によくある間違いの一例です。
まず、オンプレミス環境から仮想ネットワークへの通信を Firwall 経由にする場合は、
GatewaySubnet へ Firwall に通信を向ける UDR (VNET-address NextHop Firewall) を構成します。
続いて、仮想ネットワークからオンプレミス環境へ通信する際の経路として、
同じように対象となるサブネットに Firewall に向ける UDR (0.0.0.0/0 NextHop Firwall) を構成します。
このように構成としてはシンプルですが、二つ目の UDR の設定に注意が必要です。
具体的には UDR の[ゲートウェイのルートを伝達する] のオプションを「いいえ」に設定します。
上記を「いいえ」に設定していない場合、UDR (0.0.0.0/0 NextHop Firwall) の経路よりも、
仮想ネットワーク ゲートウェイを介してオンプレミス環境へ直接通信する経路が優先的に利用さてしまいます。
つまり、行きと戻りの通信が非対称のルーティングとなってしまい、通信が失敗してしまいます。
そのため、このような構成で通信が失敗するような場合、まずは UDR が適切に構成されているか確認しましょう。
入会申込
ログイン
