サイト間 VPN ゲートウェイを使用してオンプレミス ネットワークを Azure に接続する
仮想プライベート ネットワーク (VPN) は、プライベート相互接続ネットワークの一種です。 VPN では、別のネットワーク内で暗号化されたトンネルが使用されます。 それらは通常、信頼された 2 つ以上のプライベート ネットワークを、信頼されていないネットワーク (通常はパブリック インターネット) を介して相互に接続するためにデプロイされます。 傍受やその他の攻撃を防ぐために、信頼されていないネットワークを通過中のトラフィックは暗号化されます。
ここで扱う医療機関のシナリオでは、VPN によって、医療の専門家どうしが異なる場所で機密情報を共有できるようになります。 たとえば、ある患者が専門施設で手術を必要としているとします。 手術チームは、患者の病歴の詳細を確認することができる必要があります。 この医療データは、Azure のシステム上に格納されます。 施設から Azure への接続を行う VPN を使用することで、手術チームはこの情報に安全にアクセスすることができます。
Azure VPN ゲートウェイ
VPN ゲートウェイは、仮想ネットワーク ゲートウェイの一種です。 VPN ゲートウェイは Azure 仮想ネットワークにデプロイされ、次の接続が有効になります。
- "サイト対サイト" 接続を介して、Azure 仮想ネットワークにオンプレミス データセンターを接続する。
- "ポイント対サイト" 接続を介して、Azure 仮想ネットワークに個々のデバイスを接続する。
- "ネットワーク対ネットワーク" 接続を介して、Azure 仮想ネットワークを他の Azure 仮想ネットワークに接続する。
転送されるデータはすべて、インターネットを通過するときに、プライベート トンネル内で暗号化されます。 各仮想ネットワークでデプロイできるのは 1 つの VPN ゲートウェイのみですが、1 つのゲートウェイを使用して、他の Azure 仮想ネットワークやオンプレミス データセンターなど、複数の場所に接続することができます。
VPN ゲートウェイをデプロイする場合は、VPN の種類として、ポリシーベースまたはルートベースのいずれかを指定します。 これら 2 種類の VPN の主な違いは、暗号化されたトラフィックを指定する方法です。
ポリシーベースの VPN
ポリシーベースの VPN ゲートウェイでは、各トンネル間で暗号化する必要があるパケットの IP アドレスを静的に指定します。 この種類のデバイスでは、そのような IP アドレスのセットに対してすべてのデータ パケットが評価され、そのパケットの送信先となるトンネルが選択されます。 ポリシー ベースの VPN ゲートウェイでは、サポートできる機能と接続に制限があります。 Azure のポリシーベースの VPN ゲートウェイの主な機能を次に示します。
- IKEv1 のみのサポート。
- "静的ルーティング" の使用。両方のネットワークからのアドレス プレフィックスの組み合わせによって、VPN トンネルを通じてトラフィックを暗号化および暗号化解除する方法が制御されます。 トンネリングされたネットワークの送信元と送信先はポリシーで宣言され、ルーティング テーブルで宣言する必要はありません。
- ポリシーベースの VPN は、これらを必要とする特定のシナリオで使用する必要があります。たとえば、従来のオンプレミス VPN デバイスとの互換性を保つ場合です。
ルートベースの VPN
各トンネルの背後にある IP アドレスの定義があまりにも面倒な状況の場合。 または、ポリシーベースのゲートウェイがサポートしない機能や接続が必要な場合。 ルートベースのゲートウェイを使うことをお勧めします。 ルートベースのゲートウェイでは、IPSec トンネルはネットワーク インターフェイスまたは VTI (仮想トンネルインターフェイス) としてモデル化されます。 IP ルーティング (静的ルートまたは動的ルーティング プロトコル) によって、各パケットの送信に使われるトンネル インターフェイスが決まります。 ルートベースの VPN は、たとえば新しいサブネットの作成などのトポロジの変更に対する回復性がより高いため、オンプレミスのデバイスに対して推奨される接続方法です。 次のいずれかの種類の接続が必要な場合は、ルートベースの VPN ゲートウェイを使用します。
- 仮想ネットワーク間の接続
- ポイント対サイト接続
- マルチサイト接続
- Azure ExpressRoute ゲートウェイとの共存
Azure でのルートベースの VPN ゲートウェイの主な機能を次に示します。
- IKEv2 のサポート。
- Any-to-Any (ワイルドカード) のトラフィック セレクターの使用。
- ルーティング/転送テーブルによってトラフィックが異なる IPSec トンネルに転送される、"動的ルーティング プロトコル" を使用できる。 この場合、送信元と送信先のネットワークは、ポリシーベースの VPN 内に存在するか静的ルーティングを使用するルートベース VPN 内にあるため、静的に定義されることはありません。 代わりに、データパケットは、BGP (Border Gateway Protocol) などのルーティング プロトコルを使って動的に作成されたネットワーク ルーティング テーブルに基づいて暗号化されます。
Azure のどちらの種類の VPN ゲートウェイ (ルートベースとポリシーベース) でも、認証の唯一の方法として事前共有キーが使われます。 また、どちらの種類も、バージョン 1 またはバージョン 2 のインターネット キー交換とインターネット プロトコル セキュリティ (IPSec) に依存しています。 IKE は 2 つのエンドポイント間のセキュリティ アソシエーション (暗号化の契約) を設定するために使用されます。 そして、このアソシエーションは IPSec スイートに渡され、それにより VPN トンネル内でカプセル化されるデータ パケットの暗号化と暗号化解除が行われます。
VPN ゲートウェイのサイズ
デプロイする SKU またはサイズによって、VPN ゲートウェイの機能が決まります。 次の表に、ゲートウェイ SKU の例をいくつか示します。 この表の数値は随時変更される可能性があります。 最新情報については、Azure VPN Gateway ドキュメントの「Gateway の SKU」を参照してください。 Basic ゲートウェイ SKU は、Dev/Test ワークロードにのみ使用する必要があります。 さらに、Basic から任意の VpnGw#/Az の SKU に後で移行するには、ゲートウェイを削除して再デプロイする必要があります。
| VPN Gateway 世代 |
SKU | S2S/VNet-to-VNet トンネル |
P2S SSTP 接続 |
P2S IKEv2/OpenVPN 接続 |
Aggregate スループット ベンチマーク |
BGP | ゾーン冗長 | Virtual Network でサポートされている VM の数 |
|---|---|---|---|---|---|---|---|---|
| Generation1 | Basic | 最大 10 | 最大 128 | サポートされていません | 100 Mbps | サポートされていません | いいえ | 200 |
| Generation1 | VpnGw1 | 最大 30 | 最大 128 | 最大 250 | 650 Mbps | サポートされています | いいえ | 450 |
| Generation1 | VpnGw2 | 最大 30 | 最大 128 | 最大 500 | 1 Gbps | サポートされています | いいえ | 1300 |
| Generation1 | VpnGw3 | 最大 30 | 最大 128 | 最大 1000 | 1.25 Gbps | サポートされています | いいえ | 4000 |
| Generation1 | VpnGw1AZ | 最大 30 | 最大 128 | 最大 250 | 650 Mbps | サポートされています | はい | 1000 |
| Generation1 | VpnGw2AZ | 最大 30 | 最大 128 | 最大 500 | 1 Gbps | サポートされています | はい | 2,000 |
| Generation1 | VpnGw3AZ | 最大 30 | 最大 128 | 最大 1000 | 1.25 Gbps | サポートされています | はい | 5000 |
| Generation2 | VpnGw2 | 最大 30 | 最大 128 | 最大 500 | 1.25 Gbps | サポートされています | いいえ | 685 |
| Generation2 | VpnGw3 | 最大 30 | 最大 128 | 最大 1000 | 2.5 Gbps | サポートされています | いいえ | 2240 |
| Generation2 | VpnGw4 | 最大 100* | 最大 128 | 最大 5000 | 5 Gbps | サポートされています | いいえ | 5300 |
| Generation2 | VpnGw5 | 最大 100* | 最大 128 | 最大 10000 | 10 Gbps | サポートされています | いいえ | 6700 |
| Generation2 | VpnGw2AZ | 最大 30 | 最大 128 | 最大 500 | 1.25 Gbps | サポートされています | はい | 2,000 |
| Generation2 | VpnGw3AZ | 最大 30 | 最大 128 | 最大 1000 | 2.5 Gbps | サポートされています | はい | 3300 |
| Generation2 | VpnGw4AZ | 最大 100* | 最大 128 | 最大 5000 | 5 Gbps | サポートされています | はい | 4400 |
| Generation2 | VpnGw5AZ | 最大 100* | 最大 128 | 最大 10000 | 10 Gbps | サポートされています | はい | 9000 |
VPN ゲートウェイのデプロイ
VPN ゲートウェイをデプロイするには、事前に Azure リソースとオンプレミスのリソースがいくつか必要になります。
必要な Azure リソース
運用 VPN ゲートウェイをデプロイするには、事前に以下の Azure リソースが必要になります。
- Virtual network。 VPN ゲートウェイに対して必要になる追加のサブネット用に十分なアドレス空間を用意して Azure 仮想ネットワークをデプロイします。 この仮想ネットワークのアドレス空間が、接続するオンプレミス ネットワークと重複しないようにしてください。 仮想ネットワーク内にデプロイできる VPN ゲートウェイは 1 つだけであることに注意してください。
- GatewaySubnet。 VPN ゲートウェイ用の
GatewaySubnetというサブネットをデプロイします。 少なくとも /27 のアドレス マスクを使用し、将来の拡張を考慮してサブネット内に十分な IP アドレスが用意されていることを確認してください。 他のサービスでこのサブネットを使用することはできません。 - パブリック IP アドレス。 ゾーン非対応のゲートウェイを使用している場合は、Basic-SKU 動的パブリック IP アドレスを作成します。 このアドレスでは、ご利用のオンプレミス VPN デバイスのターゲットとして、ルーティング可能なパブリック IP アドレスが提供されます。 この IP アドレスは動的ですが、VPN ゲートウェイを削除して再作成しない限り、変わりません。
- ローカル ネットワーク ゲートウェイ。 ローカル ネットワーク ゲートウェイを作成して、オンプレミス ネットワークの構成を定義します。 具体的には、VPN ゲートウェイが接続する場所と接続先です。 この構成には、オンプレミス VPN デバイスのパブリック IPv4 アドレスと、ルーティング可能なオンプレミス ネットワークが含まれています。 この情報は、オンプレミス ネットワークが宛先となるパケットを IPSec トンネル経由でルーティングするために VPN ゲートウェイによって使用されます。
- 仮想ネットワーク ゲートウェイ。 仮想ネットワークとオンプレミス データセンターまたは他の仮想ネットワークの間のトラフィックをルーティングするための仮想ネットワーク ゲートウェイを作成します。 仮想ネットワーク ゲートウェイは、VPN ゲートウェイまたは ExpressRoute ゲートウェイのいずれかとして構成できますが、このモジュールでは VPN 仮想ネットワーク ゲートウェイのみを扱います。
- 接続。 VPN ゲートウェイとローカル ネットワーク ゲートウェイの間の論理接続を作成するための接続リソースを作成します。 同じゲートウェイに対して複数の接続を作成することができます。
- ローカル ネットワーク ゲートウェイによる定義に従って、オンプレミス VPN デバイスの IPv4 アドレスへの接続が確立されます。
- 仮想ネットワーク ゲートウェイとそれに関連付けられているパブリック IP アドレスから接続が行われます。
次の図に、このリソースの組み合わせとそれらの関係を示します。これは、VPN ゲートウェイのデプロイに必要なものをよりよく理解するのに役立ちます。
必要なオンプレミス リソース
ご利用のデータセンターを VPN ゲートウェイに接続するには、次のオンプレミス リソースが必要です。
- ポリシーベースまたはルートベースの VPN ゲートウェイをサポートする VPN デバイス
- 公開された (インターネット ルーティング可能な) IPv4 アドレス
高可用性のシナリオ
フォールト トレラント構成を確実に備えるためのオプションがいくつかあります。
アクティブ/スタンバイ
既定では、VPN ゲートウェイは、Azure で 1 つの VPN ゲートウェイ リソースしか表示されない場合でも、"アクティブ/スタンバイ" 構成で 2 つのインスタンスとしてデプロイされます。 計画メンテナンスまたは計画外の中断がアクティブなインスタンスに影響を与える場合、スタンバイ インスタンスがユーザーの介入なしに自動的に接続の担当を引き受けます。 接続は、このフェールオーバー中には中断されますが、通常、計画メンテナンスでは数秒以内、計画外の中断では 90 秒以内に復元されます。
アクティブ/アクティブ
BGP ルーティング プロトコルのサポート開始により、VPN ゲートウェイをアクティブ/アクティブ構成でもデプロイできるようになりました。 この構成では、各インスタンスに一意のパブリック IP アドレスを割り当てます。 その後、オンプレミス デバイスから各 IP アドレスへの別のトンネルを作成します。 オンプレミスに別の VPN デバイスを配置することで、高可用性を拡張できます。
ExpressRoute のフェールオーバー
もう 1 つの高可用性オプションは、ExpressRoute 接続用にセキュリティで保護されたフェールオーバー パスとして VPN ゲートウェイを構成することです。 ExpressRoute 回線には回復性が組み込まれていますが、接続を提供するケーブルに影響を与える物理的な問題や、完全な ExpressRoute の場所に影響を与える障害の影響を免れることはできません。 ExpressRoute 回線の停止に関連するリスクが存在する、高可用性のシナリオでは、接続の代替方法としてインターネットを使う VPN ゲートウェイも構成して、Azure 仮想ネットワークへの接続を常に維持することができます。
ゾーン冗長ゲートウェイ
可用性ゾーンをサポートするリージョンでは、ゾーン冗長構成で VPN と ExpressRoute のゲートウェイをデプロイできます。 この構成によって、仮想ネットワーク ゲートウェイに回復性、スケーラビリティ、および高可用性が提供されます。 Azure Availability Zones にゲートウェイをデプロイすると、オンプレミス ネットワークの Azure への接続をゾーン レベルの障害から保護しながら、ゲートウェイを 1 つのリージョン内に物理的かつ論理的に分離できます。 これらには異なるゲートウェイ SKU が必要であり、Basic パブリック IP アドレスではなく Standard パブリック IP アドレスを使用します。