Azure VPN Gateway のしくみ
各 Azure 仮想ネットワークには VPN ゲートウェイを 1 つだけデプロイできます。 VPN ゲートウェイは 1 つに制限されていますが、このゲートウェイは、他の Azure 仮想ネットワークやオンプレミスのデータセンターなどの複数の場所に接続するように構成できます。
Note
仮想ネットワーク ゲートウェイは、"ゲートウェイ サブネット" と呼ばれる特定のサブネットにデプロイされた、2 台以上の特殊な VM で構成されます。 仮想ネットワーク ゲートウェイ VM はルーティング テーブルをホストし、特定のゲートウェイ サービスを実行します。 ゲートウェイを構成するこれらの VM は、仮想ネットワーク ゲートウェイの作成時に作成され、Azure によって自動的に管理されるため、管理上の注意は必要ありません。
VPN ゲートウェイの種類
仮想ネットワーク ゲートウェイを構成するときに、ゲートウェイの種類を指定する設定を選択します。 ゲートウェイの種類により、仮想ネットワーク ゲートウェイの使用方法と、ゲートウェイによって実行されるアクションが決まります。 ゲートウェイの種類 Vpn
は、作成される仮想ネットワーク ゲートウェイの種類が VPN gateway
であることを指定します。 これにより、異なるゲートウェイの種類を使用する ExpressRoute ゲートウェイと区別されます。 1 つの Azure 仮想ネットワークで 2 つの仮想ネットワーク ゲートウェイ (1 つの VPN ゲートウェイと 1 つの ExpressRoute ゲートウェイ) を使用できます。
Azure VPN ゲートウェイには、次の 2 種類があります。
- ポリシーベースの VPN ゲートウェイ
- ルートベースの VPN ゲートウェイ
ポリシーベースの VPN ゲートウェイ
ポリシーベースの VPN ゲートウェイの場合、各トンネルを介して暗号化する必要があるパケットの固定 IP アドレス セットを指定する必要があります。 この種類のデバイスは、すべてのデータ パケットをこれらの固定 IP アドレス セットに照らして評価したうえで、そのトラフィックを送信するトンネルを選択します。
Azure のポリシーベースの VPN ゲートウェイの主な機能を次に示します。
- IKEv1 のみのサポート
- 静的ルーティングの使用
トンネリングされたネットワークの送信元と送信先は VPN ポリシーで宣言され、ルーティング テーブルで宣言する必要はありません。 ポリシーベースの VPN は、これらを必要とする特定のシナリオでのみ使用する必要があります。たとえば、従来のオンプレミス VPN デバイスとの互換性を保つ場合です。
ルートベースの VPN ゲートウェイ
ルートベースの Azure VPN ゲートウェイを使用する場合、IPsec トンネルはネットワーク インターフェイスまたは仮想トンネル インターフェイス (VTI) として機能します。 IP ルーティング (静的ルートまたは動的ルーティング プロトコル) は、各パケットを送信するトンネル インターフェイスを決定します。 ルートベースの VPN の方が、新しいサブネットの作成などのトポロジの変更に対して回復性が高いため、オンプレミスのデバイスに推奨される接続方法です。 Adatum にはルートベースの VPN の方がはるかに適しています。これを使用すると、新しいサブネットが追加された場合、Azure VPN ゲートウェイを再構成する必要なく仮想ネットワーク上の Azure IaaS リソースに接続できるからです。
次のいずれかの種類の接続が必要な場合は、ルートベースの VPN ゲートウェイを使用します。
- 仮想ネットワーク間の接続
- ポイント対サイト接続
- マルチサイト接続
- Azure ExpressRoute ゲートウェイとの共存
Azure でのルートベースの VPN ゲートウェイの主な機能を次に示します。
- IKEv2 のサポート
- Any-to-Any (ワイルドカード) のトラフィック セレクターの使用
- ルーティングおよび転送テーブルによってトラフィックを別の IPSec トンネルに転送する動的ルーティング プロトコルを使用できる
動的ルーティングを使用するように構成した場合、送信元と送信先のネットワークは静的に定義されません。これらがポリシーベースの VPN や、さらには静的ルーティングを使用したルートベース VPN 内にあるためです。 代わりに、Border Gateway Protocol (BGP) などのルーティング プロトコルを使用して動的に作成されたネットワーク ルーティング テーブルに基づいて、データ パケットが暗号化されます。
Azure VPN ゲートウェイは、事前共有キーを使用した認証方法のみをサポートしています。 また、ルートベースとポリシーベースのどちらの種類も、バージョン 1 またはバージョン 2 のインターネット キー交換とインターネット プロトコル セキュリティ (IPsec) に依存しています。 IKE は 2 つのエンドポイント間のセキュリティ アソシエーション (暗号化の契約) を設定するために使用されます。 そして、このアソシエーションは IPsec スイートに渡され、それにより VPN トンネル内でカプセル化されるデータ パケットの暗号化と暗号化解除が行われます。
Azure VPN ゲートウェイのサイズ
仮想ネットワーク ゲートウェイを作成するときには、ゲートウェイの SKU を指定する必要があります。 ワークロードの種類、スループット、機能、SLA に基づいて、要件を満たす SKU を選択する必要があります。
ゲートウェイの SKU - Generation1 | サイト間 VPN トンネルの最大数 | 合計スループット | BGP のサポート |
---|---|---|---|
Basic | 10 | 100 Mbps | サポートされていません |
VpnGw1/Az | 30 | 650 Mbps | サポートされています |
VpnGw2/Az | 30 | 1 Gbps | サポートされています |
VpnGw3/Az | 30 | 1.25 Gbps | サポートされています |
この表は、Generation1 の SKU を示しています。 Generation1 の SKU を使用する場合は、必要に応じて、VpnGw1、VpnGw2、VpnGw3 の各 SKU 間で移行できます。 Basic SKU から移行するには、必ず VPN ゲートウェイを削除してから再デプロイする必要があります。 Generation 2 の SKU を使用して VPN ゲートウェイを作成することもできます。 SKU、スループット、サポートされている機能に関する最新情報については、このモジュールの「まとめ」セクションにあるリンクを参照してください。
VPN ゲートウェイの要件
運用 VPN ゲートウェイをデプロイするには、次の Azure リソースが存在している必要があります。
- 仮想ネットワーク: VPN ゲートウェイで必要になる追加のサブネット用の十分なアドレス空間を備えた Azure 仮想ネットワーク。 この仮想ネットワークのアドレス空間は、接続先のオンプレミス ネットワークと重複しないようにする必要があります。
- GatewaySubnet: VPN ゲートウェイ用の GatewaySubnet というサブネット。 少なくとも 1 つの /27 アドレス マスクが必要です。 このサブネットは、他のサービスには使用できません。
- パブリック IP アドレス: ゾーン非対応のゲートウェイを使用している場合は、Basic SKU の動的パブリック IP アドレス。 このアドレスでは、ご利用のオンプレミス VPN デバイスのターゲットとして、ルーティング可能なパブリック IP アドレスが提供されます。 この IP アドレスは動的ですが、VPN ゲートウェイを削除して再作成しない限り、変わりません。
- ローカル ネットワーク ゲートウェイ: オンプレミス ネットワークの構成 (VPN ゲートウェイの接続場所と対象) を定義するためにローカル ネットワーク ゲートウェイを作成します。 この構成には、オンプレミス VPN デバイスのパブリック IPv4 アドレスと、ルーティング可能なオンプレミス ネットワークが含まれています。 この情報は、オンプレミス ネットワークが宛先となるパケットを IPsec トンネル経由でルーティングするために VPN ゲートウェイによって使用されます。
前提条件となるこれらのコンポーネントが存在している場合は、仮想ネットワークとオンプレミス データセンターまたは他の仮想ネットワークの間のトラフィックをルーティングするための仮想ネットワーク ゲートウェイを作成します。 仮想ネットワーク ゲートウェイをデプロイした後、接続リソースを作成して、VPN ゲートウェイとローカル ネットワーク ゲートウェイの間に論理接続を作成できます。
- ローカル ネットワーク ゲートウェイによる定義に従って、オンプレミス VPN デバイスの IPv4 アドレスへの接続が確立されます。
- 仮想ネットワーク ゲートウェイとそれに関連付けられているパブリック IP アドレスから接続が行われます。
Azure VPN ゲートウェイごとに、SKU で定義されている上限に達するまで、複数の接続を構成できます。
高可用性
Azure で 1 つの VPN ゲートウェイ リソースしか表示されない場合でも、VPN ゲートウェイは、アクティブ/スタンバイ構成でマネージド仮想マシンの 2 つのインスタンスとしてデプロイされます。 計画メンテナンスまたは計画外の中断がアクティブなインスタンスに影響を与える場合、接続はユーザーまたは管理者の介入なしに自動的にスタンバイ インスタンスに引き継がれます。 接続は、このフェールオーバー中には中断されますが、通常、計画メンテナンスでは数秒以内、計画外の中断では 90 秒以内に復元されます。
Azure VPN ゲートウェイでは、BGP ルーティング プロトコルがサポートされています。これにより、VPN ゲートウェイをアクティブ/アクティブ構成でデプロイすることもできます。 この構成では、各インスタンスに一意のパブリック IP アドレスを割り当てます。 その後、オンプレミス デバイスから各 IP アドレスへの別のトンネルを作成します。 オンプレミスに別の VPN デバイスを配置することで、高可用性を拡張できます。
Note
ExpressRoute 接続を使用する多くの組織は、追加の冗長性レイヤーを実現するためにサイト間 VPN 接続もデプロイしています。