次の方法で共有

Azure portal を使用して ExpressRoute およびサイト間の共存接続を構成する

  • [アーティクル]

この記事は、共存する ExpressRoute とサイト間 VPN の接続を構成するのに役立ちます。 両方の接続の構成には、セキュリティで保護されたフェールオーバー パスの提供や、ExpressRoute 経由でリンクされていないサイトへの接続などのいくつかの利点があります。 このガイドは、Resource Manager デプロイ モデルに適用されます。

共存接続の利点

  • セキュリティで保護されたフェールオーバー パス: ExpressRoute のバックアップとしてサイト間 VPN を構成します。
  • 追加のサイトへの接続: サイト間 VPN を使用して、ExpressRoute 経由で接続されていないサイトに接続します。

この記事では、両方のシナリオを構成する手順について説明します。 どちらのゲートウェイを最初に構成してもかまいません。通常、新しいゲートウェイまたはゲートウェイ接続を追加してもダウンタイムは発生しません。

Note

  • ExpressRoute 接続経由のサイト間 VPN の作成については、Microsoft ピアリング経由のサイト間 VPN に関するページを参照してください。
  • 既に ExpressRoute がある場合は、仮想ネットワークまたはゲートウェイ サブネットを作成する必要はありません。これらは、ExpressRoute を作成するための前提条件です。
  • 暗号化された ExpressRoute ゲートウェイの場合は、MSS (最大セグメント サイズ) クランプが Azure VPN Gateway 経由で実行され、TCP パケット サイズが 1,250 バイトでクランプされます。

制限と制限事項

  • ルート ベースの VPN ゲートウェイのみがサポートされる: ルート ベースの VPN ゲートウェイを使用します。 また、複数のポリシー ベースの VPN デバイスへの接続に関するページで説明されているように、"ポリシー ベースのトラフィック セレクター" に対して VPN 接続が構成されているルート ベースの VPN ゲートウェイを使用することもできます。
  • ExpressRoute と VPN Gateway が共存する構成は、Basic SKU ではサポートされていません
  • BGP 通信: ExpressRoute と VPN ゲートウェイはどちらも、BGP 経由で通信する必要があります。 ゲートウェイ サブネット上のどの UDR にも、そのゲートウェイ サブネット範囲自体のルートが含まれていないことを確認してください。そうなっていると、BGP トラフィックへの干渉が発生するためです。
  • トランジット ルーティング: ExpressRoute と VPN の間のトランジット ルーティングの場合は、Azure VPN Gateway の ASN が 65515 に設定されている必要があります。 Azure VPN Gateway は、BGP ルーティング プロトコルをサポートします。 連携して機能させするには、Azure VPN ゲートウェイの ASN を既定値の 65515 のままにします。 ASN を 65515 に変更した場合は、その設定を有効にするために VPN ゲートウェイをリセットします。
  • ゲートウェイ サブネットのサイズ: ゲートウェイ サブネットは /27 か、またはより短いプレフィックス (/26 や /25 など) である必要があります。そうでないと、ExpressRoute 仮想ネットワーク ゲートウェイを追加したときにエラー メッセージが表示されます。

構成の設計

ExpressRoute のフェールオーバー パスとしてサイト間 VPN を構成します。

ExpressRoute のバックアップとしてサイト間 VPN 接続を設定できます。 この設定は、Azure プライベート ピアリング パスにリンクされた仮想ネットワークにのみ適用されます。 Azure Microsoft ピアリングを介してアクセスできるサービスに対応した VPN ベースのフェールオーバー ソリューションはありません。 ExpressRoute 回線はプライマリ リンクのままであり、データがサイト間 VPN パスを経由するのは ExpressRoute 回線に障害が発生した場合だけです。 非対称ルーティングを回避するには、ExpressRoute 経由で受信されたルートのローカル設定を高く設定することにより、サイト間 VPN より ExpressRoute 回線を優先するようにローカル ネットワークを構成します。

Note

ExpressRoute Microsoft ピアリングを有効にしている場合、ExpressRoute 接続で Azure VPN Gateway のパブリック IP アドレスを受け取ることができます。 バックアップとしてサイト間 VPN 接続を設定するには、その VPN 接続がインターネットにルーティングされるようにオンプレミス ネットワークを構成します。

Note

両方のルートが同じである場合はサイト間 VPN より ExpressRoute 回線が優先されますが、Azure では、最長プレフィックス一致を使用してパケットの宛先へのルートを選択します。

ExpressRoute のバックアップとして使われるサイト間 VPN 接続の図。

ExpressRoute 経由で接続されていないサイトに接続するようにサイト間 VPN を構成する

一部のサイトからはサイト間 VPN 経由で Azure に直接接続するのに対して、他のユーザーは ExpressRoute 経由で接続するようにネットワークを構成できます。

2 つの異なるサイトの ExpressRoute 接続と共存するサイト間 VPN 接続の図。

使用する手順の選択

2 とおりの手順があり、そのいずれかを選択できます。 選択する構成手順は、接続先にしたい既存の仮想ネットワークがあるのか、または新しい仮想ネットワークを作成する必要があるのかによって異なります。

  • VNet がないため、作成する必要がある。

    まだ仮想ネットワークがない場合は、「新しい仮想ネットワークおよび共存する接続を作成するには」の手順に従って、Resource Manager デプロイ モデルを使用して新しい仮想ネットワークを作成し、新しい ExpressRoute とサイト間 VPN 接続を設定します。

  • 既に Resource Manager デプロイ モデルの VNet がある。

    既に既存のサイト間 VPN 接続または ExpressRoute 接続を備えた仮想ネットワークがあり、ゲートウェイ サブネットのプレフィックスが /28 以上 (/29、/30 など) である場合は、既存のゲートウェイを削除する必要があります。 「既存の仮想ネットワークの共存接続を構成するには」の手順に従って、そのゲートウェイを削除し、新しい ExpressRoute とサイト間 VPN 接続を作成します。

    ゲートウェイを削除して再作成すると、クロスプレミス接続のためのダウンタイムが発生します。 ただし、VM とサービスは、このプロセス中でもロード バランサー経由で引き続き通信できます (そのように構成されている場合)。

新しい仮想ネットワークおよび共存する接続を作成するには

この手順では、仮想ネットワークを作成し、共存するサイト間および ExpressRoute 接続を構成する方法について説明します。

  1. Azure portal にサインインします。

  2. 画面の左上で、[+ リソースの作成] を選択し、「Virtual network」を検索します。

  3. [作成] を選択して、仮想ネットワークの構成を開始します。

  4. [基本] タブで、仮想ネットワークを格納する新しいリソース グループを選択または作成します。 名前を入力し、仮想ネットワークをデプロイするリージョンを選択します。 [次へ: IP アドレス >] を選択して、アドレス空間とサブネットを構成します。

    仮想ネットワークを作成する [基本] タブのスクリーンショット。

  5. [IP アドレス] タブで、仮想ネットワークのアドレス空間を構成します。 作成するサブネット (ゲートウェイ サブネットを含む) を定義します。 [確認と作成][作成] の順に選択して仮想ネットワークをデプロイします。 仮想ネットワークの作成の詳細については、「Create a virtual network (仮想ネットワークの作成)」を参照してください。 サブネットの作成の詳細については、サブネットの作成に関するページを参照してください。

    重要

    ゲートウェイ サブネットは /27 またはこれより短いプレフィックス (/26 や /25 など) にする必要があります。

    仮想ネットワークを作成する [IP アドレス] タブのスクリーンショット。

  6. サイト間 VPN ゲートウェイとローカル ネットワーク ゲートウェイを作成します。 VPN ゲートウェイの構成の詳細については、サイト間接続を使用した仮想ネットワークの構成に関するページを参照してください。 GatewaySku は VpnGw1VpnGw2VpnGw3StandardHighPerformance の各 VPN ゲートウェイでのみサポートされています。 ExpressRoute と VPN Gateway が共存する構成は、Basic SKU ではサポートされていません。 VpnType には、RouteBased を指定する必要があります。

  7. ローカルの VPN デバイスを構成して、新しい Azure VPN ゲートウェイに接続します。 VPN デバイス構成の詳細については、「 VPN デバイスの構成」を参照してください。

  8. 既存の ExpressRoute 回線に接続している場合は、手順 8 と 9 をスキップし、手順 10 に移動します。 ExpressRoute 回線を構成します。 ExpressRoute 回線の構成の詳細については、ExpressRoute 回線の作成に関するページを参照してください。

  9. ExpressRoute 回線上で Azure プライベート ピアリングを構成します。 ExpressRoute 回線経由で Azure プライベート ピアリングを構成する方法の詳細については、ピアリングの構成に関するページを参照してください。

  10. [リソースの作成] を選択し、仮想ネットワーク ゲートウェイを検索します。 [作成] を選択します。

  11. ExpressRoute ゲートウェイの種類、適切な SKU、ゲートウェイのデプロイ先の仮想ネットワークを選択します。

    ExpressRoute の仮想ネットワーク ゲートウェイを作成するスクリーンショット。

  12. ExpressRoute ゲートウェイを ExpressRoute 回線にリンクします。 この手順が完了すると、オンプレミス ネットワークと Azure の間の ExpressRoute 経由の接続が確立されます。 リンク操作の詳細については、「 Link VNets to ExpressRoute (ExpressRoute への Vnet のリンク)」を参照してください。

既存の仮想ネットワークの共存接続を構成するには

仮想ネットワーク ゲートウェイが 1 つしかない (サイト間 VPN ゲートウェイなど) 仮想ネットワークがあり、異なる種類の別のゲートウェイ (ExpressRoute ゲートウェイなど) を追加する場合は、ゲートウェイ サブネットのサイズを確認してください。 ゲートウェイ サブネットが /27 以上である場合は、以降の手順をスキップして、前のセクションの手順に従って、サイト間 VPN ゲートウェイまたは ExpressRoute ゲートウェイを追加することができます。 ゲートウェイ サブネットが /28 または /29 の場合、まず仮想ネットワーク ゲートウェイを削除してから、ゲートウェイ サブネットのサイズを増やしてください。 このセクションの手順では、その方法を説明します。

  1. 既存の ExpressRoute またはサイト間 VPN ゲートウェイを削除します。

  2. プレフィックスが /27 以下のゲートウェイ サブネットを削除して再作成します。

  3. サイト間接続を使用して仮想ネットワークを構成してから、ExpressRoute ゲートウェイを構成します。

  4. ExpressRoute ゲートウェイをデプロイしたら、仮想ネットワークを ExpressRoute 回線にリンクすることができます。

VPN ゲートウェイにポイント対サイト構成を追加するには

Azure 証明書認証を使用したポイント対サイト VPN 接続の構成に関するページの手順に従って、共存するセットにポイント対サイト構成を追加できます。

ExpressRoute と Azure VPN の間でトランジット ルーティングを有効にするには

ExpressRoute に接続されているローカル ネットワークのいずれかと、サイト間 VPN 接続に接続されている別のローカル ネットワークの間の接続を有効にする場合は、Azure Route Server を設定する必要があります。

次のステップ

ExpressRoute の詳細については、「 ExpressRoute のFAQ」をご覧ください。