Meraki vMXをAzureでデプロイする場合は、既存のVirtual NetworkにvMXを参加させます。
背景理由を説明します。
Meraki vMXをデプロイすると、vMX向けのManaged用途のResource Groupが作成されますが、管理者による設定変更の権限が限られております。 そのため、vMX向けのResource GroupにVirtual Networkを新規作成して紐付けてしまうと、VNet Peeringのようなネットワーク間の接続を行うための設定変更が行えなくなります。 よって、実質的にvMXのAuto VPNトンネルを介した通信を行えなくなります。
下記のエラー画面はVirtual Networkを新規作成してしまい、VNet Peeringの設定を行えずvMXとServer間の接続性を確保できない状態です。
Failed to add virtual network peering 'peer_server_to_vmx' to 'vnet-server'. Error: The client '****@****.***' with object id '********-****-****-****-************' has permission to perform action 'Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write' on scope 'rg-meraki-vmx/providers/Microsoft.Network/virtualNetworks/vnet-server/virtualNetworkPeerings/peer_server_to_vmx'>vnet-server/peer_server_to_vmx'; however, it does not have permission to perform action 'peer/action' on the '0' linked scope(s) '' or the linked scope(s) are invalid and is blocked by deny assignments on the '1' linked scope(s) '/subscriptions/********-****-****-****-************/resourceGroups/mrg-cisco-meraki-vmx-20220205142152/providers/Microsoft.Network/virtualNetworks/vmx-vnet'.
背景理由までは明記されてませんが、ドキュメント上での該当記述は下記になります。
Virtual network: Choose an existing virtual network from the list; minimum allowed prefix size for the virtual network is /24 and max is /8
本記事の内容は2022年02月頃の情報です。AzureとMerakiの仕様の影響を受ける内容のため、最新の情報には注意を払ってください。
