Azure Virtual Network Gateway の機能強化
このポストは、12 月 2 日に投稿された Azure Virtual Network Gateway Improvements の翻訳です。
マイクロソフトは TechEd Europe 2014 にて、Azure Virtual Network Gateway に対する以下の機能強化を発表しました。
- High Performance ゲートウェイ SKU
- Azure Virtual Network Gateway の操作ログ
- PFS (Perfect Forward Secrecy) のサポート
- S2S トンネルの No Encryption オプションのサポート
この記事では、各新機能の概要と使用手順についてご紹介します。
概要
Azure Virtual Network Gateway は、Azure Virtual Network のワークロードをオンプレミスのサイトに接続するクロスプレミス ゲートウェイとして機能します。オンプレミスのサイトへの接続は、IPsec S2S VPN トンネル経由または ExpressRoute 回線経由で行う必要があります。IPsec/IKE VPN トンネルの場合は、IKE ハンドシェイクを実行し、オンプレミスのサイト間に IPsec S2S VPN トンネルを確立します。ExpressRoute の場合は、Virtual Network のプレフィックスをピア回線経由で通知し、ExpressRoute 回線のパケットを Virtual Network 内の VM に転送します。
High Performance ゲートウェイ
クロスプレミス接続のスループットを向上し、使用できる S2S VPN トンネルの数を増やすために、新しい Azure Virtual Network Gateway の SKU として High Performance ゲートウェイをリリースしました。以下の表に、現在のゲートウェイおよび High Performance ゲートウェイの暫定的な総スループットの測定値と S2S VPN トンネルの仕様を示します。
ゲートウェイ SKU |
ExpressRoute のスループット* |
S2S VPN のスループット |
S2S トンネルの最大数 |
Default |
~ 500 Mbps |
~80Mbps |
10 |
High Performance |
~ 1000Mbps |
~ 200Mbps |
30 |
* 実際のスループットは、トラフィックの状況やアプリケーションの動作に応じて異なります。
High Performance ゲートウェイの料金設定は以下のとおりです。
- 1 ゲートウェイあたり 0.49 ドル/時間
- データ転送および VNET 間のトラフィックの料金は変更なし
High Performance ゲートウェイは、Azure Dynamic Routing ゲートウェイおよび Azure ExpressRoute で利用可能です。Static Routing ゲートウェイはサポートされません。次に、新しい High Performance ゲートウェイを作成したり、既存のゲートウェイを新しい SKU にアップグレードするためのコマンドレットをご紹介します。
High Performance ゲートウェイの作成
Azure PowerShell コマンドレットに新しく追加された New-AzureVNetGateway オプションを使用して、SKU を指定します。以下の例では、"MyAzureVNet" という Virtual Network に High Performance ゲートウェイを作成しています。
PS D:\> New-AzureVNetGateway –VNetName MyAzureVNet –GatewayType DynamicRouting –GatewaySKU HighPerformance
DynamicRouting は、DynamicRouting ゲートウェイと専用の (ExpressRoute) ゲートウェイの両方の GatewayType として使用されます。そのため、上記のコマンドレットの例は、ExpressRoute 回線に接続する Virtual Network ゲートウェイを作成するためにも使用できます。
ゲートウェイ SKU の更新
Azure Virtual Network Gateway の SKU を更新するには、次の Resize-AzureVNetGateway コマンドレットを使用します。
PS D:\> Resize-AzureVNetGateway –VNetName MyAzureVNet –GatewaySKU HighPerformance
このコマンドレットによって、MyAzureVNet のゲートウェイが Default から High Performance に変更されます。また次のコマンドレットを使用すれば、High Performance から Default に戻すことも可能です。
PS D:\> Resize-AzureVNetGateway –VNetName MyAzureVNet –GatewaySKU Default
ゲートウェイの操作ログ
Azure 管理ポータルの [MANAGEMENT SERVICES] タブを使用すると、Azure サービスおよびコンポーネントで操作ログを記録することができます。ここに Azure Virtual Network Gateway のログが追加されたことで、Azure VPN ゲートウェイと Azure ExpressRoute 上の以下の一連のイベントを取得できるようになりました。
- ゲートウェイの作成と削除
- ExpressRoute 回線の作成と削除
- ExpressRoute 回線のリンクの承認、作成、削除
- ExpressRoute BGP セッションの作成、削除、更新
以下のスクリーンショットはその簡単な例です。
現在提供されているのは上記のイベントのみですが、他のイベントについても今後追加が予定されています。
IPsec/IKE VPN のカスタム オプションの追加
今回、IPsec/IKE S2S VPN トンネルの設定に PFS (Perfect Forward Secrecy) および No Encryption という 2 つのカスタム オプションが新しく追加されました。
この機能を利用すると、トンネルごとに IKE に PFS を指定することができます。No Encryption は、S2S VPN トンネルに使用できる新しいオプションであり、Azure 内の VNET 間通信を対象としています。クロスリージョン通信などの Azure Virtual Network Gateway 間のトラフィックは、マイクロソフトが運用するネットワーク内に引き続き保持されます。現在、このトラフィックは既定で暗号化されています。スループットの向上を希望するお客様は、No Encryption オプションを利用することで、暗号化および暗号化解除のオーバーヘッドをなくすことができます。このオプションを使用するとパケットが暗号化されずに送信されるため、インターネットを経由するトラフィックに対してはこのオプションは推奨されませんのでご注意ください。Azure の VNET 間通信のみでの使用をお勧めします。
現在、この 2 つの機能の PowerShell コマンドレットでの有効化を可能にするべく作業を進めていますので、今しばらくお待ちください。