virtualNetworkGateways
Summary
Details
ExpressRoute ゲートウェイをさまざまなピアリングの場所からの回線に接続し、回復力を強化します
Impact: High Category: High Availability PG Verified: Verified
Description:
信頼性を高めるために、各 ExpressRoute ゲートウェイを少なくとも 2 つの回線に接続し、各回線が他の回線とは異なるピアリングの場所から発信され、回復力を強化するための多様な接続パスを確保することをお勧めします。
Potential Benefits:
Enhanced resiliency for Azure service
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// Azure Resource Graph Query
// Provides a list of ExpressRoute Gateways that are not connected to two or more ExpressRoute Circuits. Baremetal circuits are excluded from consideration
//This query assumes that the running entity has visibilty to the gateway, connection, and circuit scopes.
//Start with a full list of gateways
(resources
| where type == "microsoft.network/virtualnetworkgateways"
| where properties.gatewayType == "ExpressRoute"
| extend exrGatewayId = tolower(tostring(id))
| join kind=inner(
resources
| where type == "microsoft.network/virtualnetworkgateways"
| where properties.gatewayType == "ExpressRoute"
| extend exrGatewayId = tolower(tostring(id))
| join kind=leftouter(
//connections joined with circuit peer info
resources
| where type == "microsoft.network/connections"
| extend connectionType = properties.connectionType
| extend exrGatewayId = tolower(tostring(properties.virtualNetworkGateway1.id))
| extend peerId = tolower(tostring(properties.peer.id))
| extend connectionId = tolower(tostring(id))
| where connectionType == "ExpressRoute"
| join kind=leftouter(
resources
| where type == "microsoft.network/expressroutecircuits"
//should this be location instead of peeringLocation
| extend circuitId = tolower(tostring(id))
| extend peeringLocation = tostring(properties.serviceProviderProperties.peeringLocation)
| extend peerId = tolower(id)
) on peerId ) on exrGatewayId
//remove bare metal services connections/circuits
| where not(isnotnull(connectionId) and isnull(sku1))
//group by gateway ID's and peering locations
| summarize by exrGatewayId, peeringLocation
//summarize to connections with fewer than two unique connections
| summarize connCount = count() by exrGatewayId
| where connCount < 2) on exrGatewayId
| project recommendationId = "d37db635-157f-584d-9bce-4f6fc8c65ce5", name, id, tags, param1 = "twoOrMoreCircuitsConnectedFromDifferentPeeringLocations: false")
| union
(
resources
| where type == "microsoft.network/virtualnetworkgateways"
| where properties.gatewayType == "ExpressRoute"
| extend exrGatewayId = tolower(tostring(id))
| join kind=leftouter(
//connections joined with circuit peer info
resources
| where type == "microsoft.network/connections"
| extend connectionType = properties.connectionType
| extend exrGatewayId = tolower(tostring(properties.virtualNetworkGateway1.id))
| extend peerId = tolower(tostring(properties.peer.id))
| extend connectionId = tolower(tostring(id))
| where connectionType == "ExpressRoute") on exrGatewayId
| where isnull(connectionType)
| project recommendationId = "d37db635-157f-584d-9bce-4f6fc8c65ce5", name, id, tags, param1 = "twoOrMoreCircuitsConnectedFromDifferentPeeringLocations: false", param2 = "noConnectionsOnGateway: true"
)
ゾーン冗長 ExpressRoute ゲートウェイ SKU を使用する
Impact: High Category: High Availability PG Verified: Verified
Description:
Azure ExpressRoute ゲートウェイは、単一または複数の可用性ゾーンでのデプロイに基づいて可変 SLA を提供します。ゾーン間で仮想ネットワーク ゲートウェイを自動的にデプロイするには、ゾーン冗長ゲートウェイを使用して、回復力が強化された重要でスケーラブルなサービスにアクセスします。
Potential Benefits:
Enhanced SLA and resilience
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// Azure Resource Graph Query
// For all VNGs of type ExpressRoute, show any that do not have AZ in the SKU tier
resources
| where type =~ "Microsoft.Network/virtualNetworkGateways"
| where properties.gatewayType == "ExpressRoute"
| where properties.sku.tier !contains 'AZ'
| project recommendationId = "bbe668b7-eb5c-c746-8b82-70afdedf0cae", name, id, tags, param1= strcat("sku-tier: " , properties.sku.tier), param2=location
| order by id asc
ゾーン冗長パブリック IP を使用したゾーン冗長 ExpressRoute ゲートウェイをデプロイする
Impact: High Category: High Availability PG Verified: Preview
Description:
ゾーン冗長 ExpressRoute ゲートウェイの場合は、すべてのインスタンスが 1 つのゾーンにデプロイされることを避けるために、常にゾーン冗長 Standard SKU パブリック IP を使用してください。これにより、ゲートウェイの信頼性が確保されます。
Potential Benefits:
Enhanced reliability and disaster recovery
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// Azure Resource Graph Query
// Provides a list of zone-redundant Azure ExpressRoute gateways associated with non-zone-redundant Public IPs
resources
| where type =~ "Microsoft.Network/virtualNetworkGateways"
| where properties.gatewayType == "ExpressRoute"
| where properties.sku.tier contains 'AZ'
| mv-expand ipconfig = properties.ipConfigurations
| extend pipId = tostring(ipconfig.properties.publicIPAddress.id)
| join kind=inner (
resources
| where type == "microsoft.network/publicipaddresses"
| where isnull(zones) or array_length(zones) < 3 )
on $left.pipId == $right.id
| project recommendationId = "292e6e8e-7795-4e82-857a-bb9ca08b330c", name, id, tags, param1 = strcat("PublicIpAddressName: ", name1), param2 = strcat ("PublicIpAddressId: ",id1), param3 = strcat ("PublicIpAddressTags: ",tags1)
ExpressRoute ゲートウェイの Azure リソース ロックを構成して、誤って削除されないようにする
Impact: Medium Category: High Availability PG Verified: Verified
Description:
ExpressRoute ゲートウェイの Azure リソース ロックを構成すると、管理者が Azure サブスクリプション、リソース グループ、またはリソースをロックできるようになり、ロックがすべてのユーザー アクセス許可をオーバーライドして、意図しないユーザーの削除や変更から保護できるため、誤って削除されることを防ぎます。
Potential Benefits:
Prevents accidental deletions
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// under-development
ExpressRoute ゲートウェイのゲートウェイの正常性を監視する
Impact: High Category: Monitoring and Alerting PG Verified: Verified
Description:
Network Insights を使用して、可用性、パフォーマンス、スケーラビリティなどの ExpressRoute Gateway の正常性を監視します。
Potential Benefits:
Enhanced monitoring and alerting
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// under-development
VNet 間の通信に ExpressRoute 回線の使用を避ける
Impact: Medium Category: High Availability PG Verified: Verified
Description:
複数の VNet が同じ ExpressRoute ゲートウェイ経由で接続できますが、Microsoft では、VNet 間の通信には、VNet ピアリング、Azure Firewall、NVA、Azure Route Server、サイト間 VPN、仮想 WAN、SD-WAN などの代替手段を使用することをお勧めします。ネットワークのパフォーマンスと管理を最適化します。
Potential Benefits:
Enhanced VNet integration efficiency
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// under-development
お客様が管理する ExpressRoute ゲートウェイ メンテナンスを構成する
Impact: High Category: High Availability PG Verified: Verified
Description:
ExpressRoute ゲートウェイが更新され、機能、信頼性、パフォーマンス、セキュリティが向上しました。お客様が管理するメンテナンスの構成とスケジュールにより、更新の影響を最小限に抑え、メンテナンス期間に合わせて調整できます。
Potential Benefits:
Minimizes update impact
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// Azure Resource Graph Query
// Find all Virtual Network Gateways without Maintenance Configurations
resources
| where type =~ "Microsoft.Network/virtualNetworkGateways"
| extend resourceId = tolower(id)
| join kind=leftouter (
maintenanceresources
| where type =~ "Microsoft.Maintenance/configurationAssignments"
| project JsonData = parse_json(properties)
| extend maintenanceConfigurationId = tolower(tostring(JsonData.maintenanceConfigurationId))
| join kind=inner (
resources
| where type =~ "Microsoft.Maintenance/maintenanceConfigurations"
| project maintenanceConfigurationId=tolower(id)
) on maintenanceConfigurationId
| project maintenanceConfigurationId, resourceId=tolower(tostring(JsonData.resourceId))
) on resourceId
| where isempty(maintenanceConfigurationId)
| project recommendationId = "3e115044-a3aa-433e-be01-ce17d67e50da", name, id, tags, param1= strcat("sku-tier: " , properties.sku.tier), param2=location
ゾーン冗長 VPN ゲートウェイを選択する
Impact: High Category: High Availability PG Verified: Verified
Description:
Azure VPN ゲートウェイは、1 つまたは 2 つの可用性ゾーンでのデプロイに基づいて可変 SLA を提供します。可用性ゾーン全体にゾーン冗長仮想ネットワーク ゲートウェイをデプロイすると、ゾーンの復元力が確保され、Azure 上のミッション クリティカルでスケーラブルなサービスへのアクセスが向上します。
Potential Benefits:
Enhanced reliability and scalability
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// Azure Resource Graph Query
// For all VNGs of type Vpn, show any that do not have AZ in the SKU tier
resources
| where type =~ "Microsoft.Network/virtualNetworkGateways"
| where properties.gatewayType == "Vpn"
| where properties.sku.tier !contains 'AZ'
| project recommendationId = "5b1933a6-90e4-f642-a01f-e58594e5aab2", name, id, tags, param1= strcat("sku-tier: " , properties.sku.tier), param2=location
| order by id asc
冗長性のためにアクティブ/アクティブ VPN ゲートウェイを有効にする
Impact: Medium Category: High Availability PG Verified: Verified
Description:
アクティブ/アクティブ モードは、Basic を除くすべての SKU で利用でき、2 つのゲートウェイ IP 構成と 2 つのパブリック IP アドレスが可能になり、冗長性とトラフィック処理が強化されます。
Potential Benefits:
Enhanced reliability and network capacity
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// Azure Resource Graph Query
// Identifies non-active-active VPN type virtual network gateways
resources
| where type =~ 'Microsoft.Network/virtualNetworkGateways'
| where properties.gatewayType =~ "vpn"
| extend gatewayType = properties.gatewayType, vpnType = properties.vpnType, connections = properties.connections, activeactive=properties.activeActive
| where activeactive == false
| project recommendationId = "281a2713-c0e0-3c48-b596-19f590c46671", name, id, tags
アクティブ/アクティブ VPN コンセントレータをオンプレミスに導入して、VPN ゲートウェイの復元力を最大限に高めます
Impact: High Category: Disaster Recovery PG Verified: Verified
Description:
アクティブ/アクティブ VPN コンセントレーターと Azure VPN ゲートウェイを展開すると、4 つの IPSec トンネルを備えたフルメッシュ トポロジを使用して、復元力と可用性が最大化されます。
Potential Benefits:
Maximizes resilience and availability
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// under-development
VPN ゲートウェイの接続と状態を監視する
Impact: High Category: Monitoring and Alerting PG Verified: Verified
Description:
仮想ネットワーク ゲートウェイの健全性の監視とアラートを設定して、さまざまなメトリックを利用して、運用効率を確保し、中断に対する迅速な対応を確保します。
Potential Benefits:
Improved uptime and issue awareness
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// under-development
VPN ゲートウェイ サービスの健全性を有効にする
Impact: High Category: Monitoring and Alerting PG Verified: Verified
Description:
VPN ゲートウェイは、サービスの健全性を活用して、計画的および計画外のメンテナンスについてユーザーに通知し、VPN 接続の変更について確実にユーザーに通知します。
Potential Benefits:
Improves VPN maintenance alerts
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// under-development
ゾーン冗長パブリック IP を備えたゾーン冗長 VPN ゲートウェイを展開する
Impact: High Category: High Availability PG Verified: Verified
Description:
ゾーン冗長 VPN ゲートウェイの場合は、すべてのインスタンスが 1 つのゾーンにデプロイされることを避けるために、常にゾーン冗長 Standard SKU パブリック IP を使用してください。これにより、アクティブ/パッシブ (シングル IP) セットアップとアクティブ/アクティブ (デュアル IP) セットアップの両方に適用され、ゲートウェイの信頼性が確保されます。
Potential Benefits:
Enhanced reliability and disaster recovery
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// Azure Resource Graph Query
// Provides a list of zone-redundant Azure VPN gateways associated with non-zone-redundant Public IPs
resources
| where type =~ "Microsoft.Network/virtualNetworkGateways"
| where properties.gatewayType == "Vpn"
| where properties.sku.tier contains 'AZ'
| mv-expand ipconfig = properties.ipConfigurations
| extend pipId = tostring(ipconfig.properties.publicIPAddress.id)
| join kind=inner (
resources
| where type == "microsoft.network/publicipaddresses"
| where isnull(zones) or array_length(zones) < 3 )
on $left.pipId == $right.id
| project recommendationId = "4bae5a28-5cf4-40d9-bcf1-623d28f6d917", name, id, tags, param1 = strcat("PublicIpAddressName: ", name1), param2 = strcat ("PublicIpAddressId: ",id1), param3 = strcat ("PublicIpAddressTags: ",tags1)