ExpressRoute の仮想ネットワーク ゲートウェイについて
Azure ExpressRoute を使って Azure 仮想ネットワーク (VNet) とオンプレミス ネットワークを接続するには、最初に仮想ネットワーク ゲートウェイを作る必要があります。 仮想ネットワーク ゲートウェイには 2 つの目的があります。1 つはネットワーク間で IP ルートを交換すること、もう 1 つはネットワーク トラフィックをルーティングすることです。
この記事では、さまざまなゲートウェイの種類、ゲートウェイ SKU、および SKU ごとの予測パフォーマンスについて説明します。 また、パフォーマンスを向上させるために、お使いのオンプレミス ネットワークからのネットワーク トラフィックが仮想ネットワーク ゲートウェイをバイパスできるようにする機能、ExpressRoute FastPath についても説明します。
ゲートウェイの種類
仮想ネットワーク ゲートウェイを作成する場合、設定をいくつか指定する必要があります。 必須の設定の 1 つである -GatewayType では、ゲートウェイを ExpressRoute と VPN トラフィックのどちらに使うかを指定します。 ゲートウェイには、次の 2 種類があります。
Vpn: パブリック インターネット経由で暗号化されたトラフィックを送信するには、-GatewayTypeにVpnを使います (VPN Gateway とも呼ばれます)。 サイト間、ポイント対サイト、VNet 間のすべての接続で、VPN Gateway が使われます。ExpressRoute: プライベート接続でネットワーク トラフィックを送信するには、-GatewayTypeにExpressRouteを使います (ExpressRoute ゲートウェイとも呼ばれます)。 この種類のゲートウェイは、ExpressRoute を構成するときに使われます。
各仮想ネットワークに配置できる仮想ネットワーク ゲートウェイは、ゲートウェイの種類ごとに 1 つに限られています。 たとえば、1 つの仮想ネットワーク ゲートウェイでは -GatewayType に Vpn を使い、もう 1 つでは -GatewayType に ExpressRoute を使うといったことができます。
Gateway の SKU
仮想ネットワーク ゲートウェイを作成する場合、使用するゲートウェイの SKU を指定する必要があります。 選択するゲートウェイ SKU を高くするほど、ゲートウェイに割り当てられる CPU とネットワーク帯域幅が増えます。 その結果、ゲートウェイは、仮想ネットワークに対してより高いネットワーク スループットをサポートできます。
ExpressRoute の仮想ネットワーク ゲートウェイでは、次の SKU を使用できます。
- ERGwScale (プレビュー)
- Standard
- HighPerformance
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
ゲートウェイをより大容量のゲートウェイ SKU にアップグレードしたい場合は、Azure portal または PowerShell でシームレス ゲートウェイ移行ツールを使用できます。 次のアップグレードがサポートされています。
- Basic IP の Az 非対応 SKU から、Standard IP の Az 非対応 SKU
- Basic IP の Az 非対応 SKU から、Standard IP の Az 対応 SKU
- Standard IP の Az 非対応 SKU から、Standard IP の Az 対応 SKU
詳しくは、可用性ゾーン対応ゲートウェイへの移行に関する記事をご覧ください。
他のすべてのダウングレード シナリオでは、ゲートウェイをいったん削除して作成し直す必要があり、ダウンタイムが発生します。
ゲートウェイ サブネットの作成
ExpressRoute ゲートウェイを作成する前に、ゲートウェイ サブネットを作成する必要があります。 仮想ネットワーク ゲートウェイの仮想マシン (VM) とサービスは、ゲートウェイ サブネットに含まれる IP アドレスを使います。
仮想ネットワーク ゲートウェイを作成すると、ゲートウェイ VM はゲートウェイ サブネットにデプロイされ、必要な ExpressRoute ゲートウェイ設定で構成されます。 ゲートウェイ サブネットには、他には何もデプロイしないでください。 ゲートウェイ サブネットが正常に動作するには、その名前を "GatewaySubnet" にする必要があります。そうすると、Azure は仮想ネットワーク ゲートウェイの VM とサービスをこのサブネットにデプロイすることがわかります。
Note
0.0.0.0/0 が宛先のユーザー定義のルートと、ゲートウェイ サブネット上のネットワーク セキュリティ グループ (NSG) は、"サポートされていません"。 この構成のゲートウェイの作成はブロックされます。 ゲートウェイが正常に機能するためには、管理コントローラーへのアクセスが必要です。 可用性の高いゲートウェイにするため、ゲートウェイ サブネットで Border Gateway Protocol (BGP) のルート伝達を有効にする必要があります。 BGP のルート伝達が無効になっていると、ゲートウェイは機能しません。
診断、データ パス、および制御パスは、ユーザー定義ルートがゲートウェイ サブネット範囲またはゲートウェイ パブリック IP 範囲と重複している場合に影響を受ける可能性があります。
- ExpressRoute 仮想ネットワーク ゲートウェイがある仮想ネットワークに Azure DNS Private Resolver をデプロイし、すべての名前解決を特定の DNS サーバーに転送するようにワイルドカード規則を設定することはお勧めしません。 そのような構成では、管理接続の問題が発生する可能性があります。
ゲートウェイ サブネットを作成するときに、サブネットに含まれる IP アドレスの数を指定します。 ゲートウェイ サブネット内の IP アドレスは、ゲートウェイ VM とゲートウェイ サービスに割り当てられます。 一部の構成では、他の構成よりも多くの IP アドレスを割り当てる必要があります。
ゲートウェイ サブネットのサイズを計画する際は、作成する構成に関するドキュメントを参照してください。 たとえば、ExpressRoute と VPN Gateway が共存する構成では、他のほとんどの構成より大きなゲートウェイ サブネットが必要です。 さらに、ゲートウェイ サブネットには、将来的に可能性のある構成に対応できる十分な数の IP アドレスが含まれるようにすることをお勧めします。
/27 以上のゲートウェイ サブネットを作成することをお勧めします。 ゲートウェイに 16 本の ExpressRoute 回線を接続する予定の場合は、/26 以上のゲートウェイ サブネットを作成する "必要があります"。 デュアル スタックのゲートウェイ サブネットを作成する場合は、/64 以上の IPv6 範囲も使用することをお勧めします。 この設定は、ほとんどの構成に対応します。
次の Azure Resource Manager PowerShell の例では、GatewaySubnet という名前のゲートウェイ サブネットが示されています。 クラスレス ドメイン間ルーティング (CIDR) 表記で /27 が指定されていることがわかります。このようにすると、現在存在するほとんどの構成に十分な IP アドレスが確保されます。
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
重要
ゲートウェイ サブネット上の NSG はサポートされていません。 ネットワーク セキュリティ グループをこのサブネットに関連付けると、仮想ネットワーク ゲートウェイ (VPN と ExpressRoute ゲートウェイ) が想定どおりに機能しなくなる可能性があります。 ネットワーク セキュリティ グループの詳細については、ネットワーク セキュリティ グループの概要に関するページを参照してください。
仮想ネットワーク ゲートウェイの制限事項とパフォーマンス
ゲートウェイ SKU による機能のサポート
次に示すのは、各ゲートウェイの種類でサポートされている機能と、各ゲートウェイ SKU でサポートされている ExpressRoute 回線の最大接続数の表です。
| ゲートウェイ SKU | VPN Gateway と ExpressRoute の共存 | FastPath | 回線接続の最大数 |
|---|---|---|---|
| Standard SKU/ERGw1Az | はい | いいえ | 4 |
| High Perf SKU/ERGw2Az | はい | いいえ | 8 |
| Ultra Performance SKU/ErGw3Az | はい | はい | 16 |
| ErGwScale (プレビュー) | はい | はい - 最小スケール ユニットは 10 です | 4 - 最小スケール ユニットは 1 です 8 - 最小スケール ユニットは 2 です 16 - 最小スケール ユニットは 10 です |
Note
同じ仮想ネットワークに接続できる同じピアリングの場所からの ExpressRoute 回線の最大数は、すべてのゲートウェイに対して 4 です。
ゲートウェイ SKU の推定パフォーマンス
次の表に、さまざまな種類のゲートウェイ、それらに個別の制限事項、想定されるパフォーマンス メトリックの概要を示します。 これらの数値は、以下のテスト条件から得られたもので、サポートの上限を表しています。 実際のパフォーマンスは、トラフィックによってテスト条件がどれだけ厳密に再現されるかによって異なる場合があります。
テスト条件
| ゲートウェイ SKU | オンプレミスから送信されるトラフィック | ゲートウェイによってアドバタイズされるルートの数 | ゲートウェイによって学習されるルートの数 |
|---|---|---|---|
| Standard/ERGw1Az | 1 Gbps | 500 | 4,000 |
| High Performance/ERGw2Az | 2 Gbps | 500 | 9,500 |
| Ultra Performance/ErGw3Az | 10 Gbps | 500 | 9,500 |
| ErGwScale (スケール ユニットごと) | 1 Gbps | 500 | 4,000 |
Note
ExpressRoute は、仮想ネットワーク アドレス空間、オンプレミス ネットワーク、および関連するすべての仮想ネットワーク ピアリング接続にまたがる、最大 11,000 件のルーティングを支援します。 ExpressRoute 接続の安定性を確保するには、11,000 件を超えるルーティングを ExpressRoute にアドバタイズしないようにします。
パフォーマンスの結果
この表は、Azure Resource Manager とクラシック デプロイ モデルの両方に適用されます。
| ゲートウェイ SKU | 1 秒あたりのメガビット数 | 1 秒あたりのパケット数 | Virtual Network 1 でサポートされている VM の数 | フロー数の上限 |
|---|---|---|---|---|
| Standard/ERGw1Az | 1,000 | 100,000 | 2,000 | 200,000 |
| High Performance/ERGw2Az | 2,000 | 200,000 | 4,500 | 400,000 |
| Ultra Performance/ErGw3Az | 10,000 | 1,000,000 | 11,000 | 1,000,000 |
| ErGwScale (スケール ユニットごと) | 1,000 | 100,000 | 2,000 | スケール ユニットあたり 100,000 |
1 表の値は推定値であり、ゲートウェイでの CPU 使用率によって異なります。 CPU の使用率が高く、VM の数がサポート範囲を超えると、ゲートウェイはパケットのドロップを開始します。
重要
- アプリケーションのパフォーマンスは、エンド ツー エンドの待ち時間や、アプリケーションが開くトラフィック フローの数など、複数の要因に依存します。 テーブルの数値は、アプリケーションが理想的な環境で理論上達成できる上限を表しています。 さらに、サービスの信頼性を維持するため、ExpressRoute 仮想ネットワーク ゲートウェイではホストと OS のメンテナンスが定期的に行われます。 メンテナンス期間中は、ゲートウェイのコントロール プレーンとデータ パスの容量が減ります。
- メンテナンス期間中は、プライベート エンドポイント リソースへの接続の問題が断続的に発生する可能性があります。
- ExpressRoute でサポートされている TCP と UDP の最大パケット サイズは 1,400 バイトです。 1,400 バイトを超えるパケット サイズはフラグメント化されます。
- Azure Route Server では、最大 4,000 VM をサポートできます。 この制限には、ピアリングされた仮想ネットワーク内の VM が含まれます。 詳細については、Azure Route Server の制限に関するページを参照してください。
ゾーン冗長ゲートウェイ SKU
Azure Availability Zones に ExpressRoute ゲートウェイをデプロイすることもできます。 ゲートウェイを Availability Zones に物理的および論理的に分離すると、Azure へのオンプレミス ネットワークの接続をゾーン レベルの障害から保護するのに役立ちます。
ゾーン冗長ゲートウェイでは、ExpressRoute ゲートウェイに特定の新しいゲートウェイ SKU が使われます。
- ErGw1AZ
- ErGw2AZ
- ErGw3AZ
- ErGwScale (プレビュー)
新しいゲートウェイ SKU では、ニーズに最も適したその他のデプロイ オプションもサポートされます。 新しいゲートウェイ SKU を使って仮想ネットワーク ゲートウェイを作成するときは、特定のゾーンにゲートウェイをデプロイできます。 この種のゲートウェイは "ゾーン ゲートウェイ" と呼ばれます。 ゾーン ゲートウェイをデプロイすると、すべてのゲートウェイ インスタンスが同じ可用性ゾーンにデプロイされます。
ExpressRoute ゲートウェイの移行について詳しく確認するには、「ゲートウェイの移行」を参照してください。
ExpressRoute スケーラブル ゲートウェイ (プレビュー)
ErGwScale 仮想ネットワーク ゲートウェイ SKU を使うと、仮想ネットワーク内の VM とプライベート エンドポイントへの 40 Gbps の接続を実現できます。 この SKU を使うと、アクティブな帯域幅またはフロー数に基づいて自動スケーリングする仮想ネットワーク ゲートウェイ インフラストラクチャの最小と最大のスケール ユニットを設定できます。 固定のスケール ユニットを設定して、必要な帯域幅の値で一定の接続を維持することもできます。
可用性ゾーンのデプロイとリージョンの可用性
ErGwScale は、Azure 可用性ゾーンでゾーン デプロイとゾーン冗長デプロイの両方をサポートしています。 これらの概念の詳細については、ゾーンとゾーン冗長サービスのドキュメント参照してください。
ErGwScale は、プレビューで次のリージョンで使用できます。
- オーストラリア東部
- ブラジル南部
- カナダ中部
- 米国東部
- 東アジア
- フランス中部
- ドイツ中西部
- インド中部
- イタリア北部
- 北ヨーロッパ
- ノルウェー東部
- スウェーデン中部
- アラブ首長国連邦北部
- 英国南部
- 米国西部 2
- 米国西部 3
自動スケールと固定スケール ユニット
仮想ネットワーク ゲートウェイ インフラストラクチャは、ユーザーが構成した最小と最大のスケール ユニットの間で、帯域幅またはフロー数の使用率に基づいて自動スケーリングします。 スケール操作は、完了するまでに最大 30 分かかることがあります。 特定の帯域幅値で固定接続を実現する場合は、最小と最大のスケール ユニットを同じ値に設定することで、固定スケール ユニットを構成できます。
制限事項
- Basic IP: ErGwScale では、Basic IP SKU はサポートされていません。 ErGwScale を構成する場合は、Standard IP SKU を使用する必要があります。
- 最大と最小のスケール ユニット: ErGwScale のスケール ユニットは、1 から 40 の間で構成できます。 "最小スケール ユニット" を 1 より小さくすることはできず、"最大スケール ユニット" を 40 より大きくすることはできません。
- 移行シナリオ: プレビューでは、Standard/ErGw1Az または HighPerf/ErGw2Az/UltraPerf/ErGw3Az から ErGwScale に移行することはできません。
価格
ErGwScale はプレビュー期間中は無料です。 ExpressRoute の価格の詳細については、「Azure ExpressRoute の価格」を参照してください。
スケール ユニットあたりのサポートされるパフォーマンス
| スケール ユニット | 帯域幅 (Gbps) | 1 秒あたりのパケット数 | 1 秒あたりの接続数 | 最大 VM 接続数 1 | フローの最大数 |
|---|---|---|---|---|---|
| 1 ~ 10 | 1 | 100,000 | 7,000 | 2,000 | 100,000 |
| 11-40 | 1 | 100,000 | 7,000 | 1,000 | 100,000 |
スケール ユニットによるサンプル パフォーマンス
| スケール ユニット | 帯域幅 (Gbps) | 1 秒あたりのパケット数 | 1 秒あたりの接続数 | 最大 VM 接続数 1 | フローの最大数 |
|---|---|---|---|---|---|
| 10 | 10 | 1,000,000 | 70,000 | 20,000 | 1,000,000 |
| 20 | 20 | 2,000,000 | 140,000 | 30,000 | 2,000,000 |
| 40 | 40 | 4,000,000 | 280,000 | 50,000 | 4,000,000 |
1 最大 VM 接続数は、10 スケール ユニットを超えるとスケーリングが異なります。 最初の 10 スケール ユニットでは、スケール ユニットあたり 2,000 VM に対する容量が提供されます。 11 以上のスケール ユニットでは、スケール ユニットごとにさらに 1,000 VM 容量が提供されます。
VNet から VNet および VNet から Virtual WAN への接続
既定では、すべてのゲートウェイ SKU で ExpressRoute 回線を介した VNet から VNet と VNet から Virtual WAN への接続は無効になっています。 この接続を有効にするには、このトラフィックを許可するように ExpressRoute 仮想ネットワーク ゲートウェイを構成する必要があります。 詳細については、ExpressRoute 経由の仮想ネットワーク接続に関するガイダンスを参照してください。 このトラフィックを有効にする方法については、ExpressRoute 経由での VNet から VNet または VNet から Virtual WAN への接続の有効化に関する記事をご覧ください。
FastPath
ExpressRoute 仮想ネットワーク ゲートウェイは、ネットワーク ルートを交換し、ネットワーク トラフィックをルーティングするように設計されています。 FastPath の目的は、お使いのオンプレミス ネットワークと仮想ネットワークの間のデータ パスのパフォーマンスを向上させることです。 FastPath が有効になっていると、ネットワーク トラフィックは仮想ネットワーク内の仮想マシンに直接送信され、ゲートウェイはバイパスされます。
制限や要件を含む FastPath の詳細については、FastPath の概要に関するページを参照してください。
プライベート エンドポイントへの接続
ExpressRoute 仮想ネットワーク ゲートウェイは、仮想ネットワーク ゲートウェイと同じ仮想ネットワークに、また仮想ネットワークのピアを横断してデプロイされたプライベート エンドポイントへの接続を容易にします。
重要
- プライベート エンドポイント リソースへの接続のスループットとコントロール プレーン容量は、プライベート エンドポイント以外のリソースへの接続と比べて、半分に減る可能性があります。
- メンテナンス期間中は、プライベート エンドポイント リソースへの接続の問題が断続的に発生する可能性があります。
- ユーザーは、メンテナンス イベントがない限り、IP 5 タプルの転送のパケットが単一のネクスト ホップ (Microsoft Enterprise Edge ルーター) を使うように、オンプレミスの構成 (ルーターやファイアウォールの設定など) が正しく構成する必要があります。 オンプレミスのファイアウォールまたはルーターの構成のために、同じ IP 5 タプルがネクスト ホップを頻繁に切り替える場合、接続の問題が発生します。
プライベート エンドポイント接続と計画済みメンテナンス イベント
プライベート エンドポイント接続はステートフルです。 ExpressRoute プライベート ピアリング経由でプライベート エンドポイントへの接続が確立されると、インバウンドとアウトバウンドの接続は、ゲートウェイ インフラストラクチャのバックエンド インスタンスの 1 つを通してルーティングされます。 メンテナンス イベント中に、仮想ネットワーク ゲートウェイ インフラストラクチャのバックエンド インスタンスが一度に 1 つずつ再起動されるため、接続の問題が断続的に発生する可能性があります。
メンテナンス アクティビティ中にプライベート エンドポイントとの接続の問題を回避するか、最小限に抑えるため、オンプレミス アプリケーションで TCP タイムアウトの値を 15 秒から 30 秒の間に設定することをお勧めします。 アプリケーションの要件に基づいて、最適な値をテストして構成します。
REST API および PowerShell コマンドレット
仮想ネットワーク ゲートウェイの構成に REST API と PowerShell コマンドレットを使っている場合、他のテクニカル リソースや特定の構文の要件については、次のページをご覧ください。
| クラシック | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
VNet 間接続
既定では、複数の仮想ネットワークを同じ ExpressRoute 回線にリンクすると、仮想ネットワーク間の接続が有効になります。 仮想ネットワーク間の通信には ExpressRoute 回線を使わないことをお勧めします。 代わりに、仮想ネットワーク ピアリングを使うことをお勧めします。 VNet 間接続に ExpressRoute が推奨されない理由について詳しくは、「ExpressRoute 経由の仮想ネットワーク間の接続」をご覧ください。
仮想ネットワーク ピアリング
ExpressRoute ゲートウェイのある仮想ネットワークは、最大 500 の他の仮想ネットワークと仮想ネットワーク ピアリングを確立できます。 ExpressRoute ゲートウェイのない仮想ネットワーク ピアリングでは、これよりもピアリングの制限が高くなる可能性があります。
関連するコンテンツ
使用可能な接続構成の詳細については、「ExpressRoute の概要」を参照してください。
ExpressRoute ゲートウェイの作成の詳細については、ExpressRoute 用の仮想ネットワーク ゲートウェイの作成に関するページを参照してください。
ErGwScale のデプロイ方法について詳しくは、「Azure portal を使用して ExpressRoute の仮想ネットワーク ゲートウェイを構成する」をご覧ください。
ゾーン冗長ゲートウェイの構成の詳細については、ゾーン冗長仮想ネットワーク ゲートウェイの作成に関するページを参照してください。
FastPath の詳細については、FastPath の概要に関するページを参照してください。