Azure 仮想プライベート ネットワークについて説明する

完了

仮想プライベート ネットワーク (VPN) では、暗号化されたトンネルを別のネットワーク内で使用します。 VPN は通常、信頼された 2 つ以上のプライベート ネットワークを、信頼されていないネットワーク (通常はパブリック インターネット) を介して相互に接続するためにデプロイされます。 傍受やその他の攻撃を防ぐために、信頼されていないネットワークを通過中のトラフィックは暗号化されます。 VPN では、ネットワークで機密情報をセキュリティで保護し、安全に共有できます。

VPN ゲートウェイ

VPN ゲートウェイは仮想ネットワーク ゲートウェイの一種です。 仮想ネットワークの専用サブネット内に Azure VPN Gateway インスタンスがデプロイされ、次の接続が可能になります。

  • オンプレミス データセンターは "サイト間" 接続を介して仮想ネットワークに接続する。
  • 個々のデバイスは "ポイント対サイト" 接続を介して仮想ネットワークに接続する。
  • 仮想ネットワークは "ネットワーク対ネットワーク" 接続を介して他の仮想ネットワークに接続する。

すべてのデータ転送は、インターネットを通過するときに、プライベート トンネル内で暗号化されます。 デプロイできる VPN ゲートウェイは仮想ネットワークごとに 1 だけとなります。 ただし、1 つのゲートウェイを使用して他の仮想ネットワークやオンプレミス データセンターなどの複数の場所に接続できます。

VPN ゲートウェイを設定するときは、VPN の種類 (ポリシーベースまたはルートベース) を指定する必要があります。 これら 2 つの種類の主な違いは、暗号化が必要なトラフィックを決定する方法です。 Azure では、VPN の種類に関係なく、使用される認証方法は事前共有キーです。

  • ポリシーベースの VPN ゲートウェイでは、各トンネル間で暗号化する必要があるパケットの IP アドレスを静的に指定します。 この種類のデバイスでは、そのような IP アドレスのセットに対してすべてのデータ パケットが評価され、そのパケットの送信先となるトンネルが選択されます。
  • ルートベースのゲートウェイでは、IPSec トンネルはネットワーク インターフェイスまたは仮想トンネル インターフェイスとしてモデル化されます。 IP ルーティング (静的ルートまたは動的ルーティング プロトコル) により、各パケットを送信するときに、これらのトンネル インターフェイスのどちらを使用するかが決まります。 ルートベースの VPN は、オンプレミス デバイス用の接続方法として推奨されます。 そちらのほうが、新しいサブネットの作成などのトポロジの変更に対する回復性が高くなっています。

次のいずれかの種類の接続が必要な場合は、ルートベースの VPN ゲートウェイを使用します。

  • 仮想ネットワーク間の接続
  • ポイント対サイト接続
  • マルチサイト接続
  • Azure ExpressRoute ゲートウェイとの共存

高可用性のシナリオ

情報を安全に保つために VPN を構成する場合、高可用性でフォールト トレラントな VPN 構成であることを確認する必要もあります。 VPN ゲートウェイの回復性を最大限に高める方法はいくつかあります。

アクティブ/スタンバイ

既定では、VPN ゲートウェイは、Azure で 1 つの VPN ゲートウェイ リソースしか表示されない場合でも、"アクティブ/スタンバイ" 構成で 2 つのインスタンスとしてデプロイされます。 計画メンテナンスまたは計画外の中断がアクティブなインスタンスに影響を与える場合、スタンバイ インスタンスがユーザーの介入なしに自動的に接続の担当を引き受けます。 接続は、このフェールオーバー中には中断されますが、通常、計画メンテナンスでは数秒以内、計画外の中断では 90 秒以内に復元されます。

アクティブ/アクティブ

BGP ルーティング プロトコルのサポート開始により、VPN ゲートウェイをアクティブ/アクティブ構成でもデプロイできるようになりました。 この構成では、各インスタンスに一意のパブリック IP アドレスを割り当てます。 その後、オンプレミス デバイスから各 IP アドレスへの別のトンネルを作成します。 オンプレミスで追加の VPN デバイスをデプロイすることで、高可用性を拡張することができます。

ExpressRoute のフェールオーバー

もう 1 つの高可用性オプションは、ExpressRoute 接続用のセキュリティで保護されたフェールオーバー パスとして VPN ゲートウェイを構成することです。 ExpressRoute 回線には、回復性が組み込まれています。 ただし、接続を提供するケーブルに影響を与える物理的な問題や、ExpressRoute の場所全体に影響を与える停止の影響を免れることはできません。 ExpressRoute 回線の停止に関連するリスクが存在する高可用性のシナリオでは、接続の代替方法としてインターネットを使用する VPN ゲートウェイをプロビジョニングすることもできます。 この方法で、仮想ネットワークへの接続を常に維持することができます。

ゾーン冗長ゲートウェイ

可用性ゾーンがサポートされるリージョンでは、VPN ゲートウェイと ExpressRoute ゲートウェイをゾーン冗長構成でデプロイできます。 この構成によって、仮想ネットワーク ゲートウェイに回復性、スケーラビリティ、および高可用性が提供されます。 Azure 可用性ゾーンへの複数のゲートウェイのデプロイでは、オンプレミス ネットワークの Azure への接続をゾーンレベルの障害から保護すると同時に、ゲートウェイが 1 つのリージョン内で物理的かつ論理的に分離されます。 これらのゲートウェイにはさまざまなゲートウェイ最小在庫管理単位 (SKU) が必要であり、Basic パブリック IP アドレスではなく Standard パブリック IP アドレスが使用されます。