次の方法で共有


ゲートウェイ SKU について

VPN Gateway 仮想ネットワーク ゲートウェイを作成するときには、使用するゲートウェイの SKU を指定します。 この記事では、ゲートウェイ SKU を選ぶときに考慮すべき要素について説明します。 ExpressRoute ゲートウェイ SKU についての情報を確認する場合は、ExpressRoute の仮想ネットワーク ゲートウェイに関するページを参照してください。 Virtual WAN ゲートウェイについては、Virtual WAN ゲートウェイの設定に関するページを参照してください。

仮想ネットワーク ゲートウェイ SKU を構成する場合は、ワークロード、スループット、機能、SLA の種類に基づいて、要件を満たす SKU を選びます。 次のセクションでは、決定する際に使用する必要がある関連情報を示します。

Note

Microsoft は、VPN Gateway SKU ポートフォリオの簡略化を行っており、将来的には可用性ゾーン (AZ) がサポートされていないすべての SKU を AZ がサポートされている SKU に移行する予定です。 詳細とタイムラインについては、「VPN Gateway SKU の統合と移行」を参照してください。

各ゲートウェイ SKU のトンネル数、接続数、およびスループット

VPN
Gateway
世代
SKU S2S/VNet-to-VNet
トンネル
P2S
SSTP 接続
P2S
IKEv2/OpenVPN 接続
Aggregate
スループット ベンチマーク
BGP ゾーン冗長 Virtual Network でサポートされている VM の数
Generation1 Basic 最大 10 最大 128 サポートされていません 100 Mbps サポートされていません いいえ 200
Generation1 VpnGw1 最大 30 最大 128 最大 250 650 Mbps サポートされています いいえ 450
Generation1 VpnGw2 最大 30 最大 128 最大 500 1 Gbps サポートされています いいえ 1300
Generation1 VpnGw3 最大 30 最大 128 最大 1000 1.25 Gbps サポートされています いいえ 4000
Generation1 VpnGw1AZ 最大 30 最大 128 最大 250 650 Mbps サポートされています はい 1000
Generation1 VpnGw2AZ 最大 30 最大 128 最大 500 1 Gbps サポートされています はい 2,000
Generation1 VpnGw3AZ 最大 30 最大 128 最大 1000 1.25 Gbps サポートされています はい 5000
Generation2 VpnGw2 最大 30 最大 128 最大 500 1.25 Gbps サポートされています いいえ 685
Generation2 VpnGw3 最大 30 最大 128 最大 1000 2.5 Gbps サポートされています いいえ 2240
Generation2 VpnGw4 最大 100* 最大 128 最大 5000 5 Gbps サポートされています いいえ 5300
Generation2 VpnGw5 最大 100* 最大 128 最大 10000 10 Gbps サポートされています いいえ 6700
Generation2 VpnGw2AZ 最大 30 最大 128 最大 500 1.25 Gbps サポートされています はい 2,000
Generation2 VpnGw3AZ 最大 30 最大 128 最大 1000 2.5 Gbps サポートされています はい 3300
Generation2 VpnGw4AZ 最大 100* 最大 128 最大 5000 5 Gbps サポートされています はい 4400
Generation2 VpnGw5AZ 最大 100* 最大 128 最大 10000 10 Gbps サポートされています はい 9000

(*)100 を超える S2S VPN トンネルが必要な場合は、VPN Gateway ではなく Virtual WAN を使用します。

追加情報

  • Basic SKU パブリック IP は 2025 年 9 月 30 日に廃止されることが発表されているため、Basic SKU パブリック IP を使用した新しいゲートウェイの作成は許可されなくなります。 2023 年 12 月 1 日から、新しい VPN ゲートウェイを作成するときは、Standard SKU のパブリック IP を使用する必要があります。 この制限は、VPN Gateway Basic ゲートウェイ SKU を使用して作成する新しいゲートウェイには適用されません。 Basic SKU パブリック IP を使用する Basic SKU VPN ゲートウェイは引き続き作成できます。

  • Basic ゲートウェイ SKU は IPv6 をサポートしていないため、PowerShell または Azure CLI のみを使用して構成できます。 さらに、Basic ゲートウェイ SKU は RADIUS 認証をサポートしていません。

  • これらの接続の制限は別々になっています。 たとえば、VpnGw1 SKU では 128 の SSTP 接続が利用できると共に 250 の IKEv2 接続を利用できます。

  • 多数の P2S 接続がある場合、S2S 接続に悪影響を及ぼす可能性があります。 合計スループット ベンチマークは、サイト間接続とポイント対サイト接続の組み合わせを最大化した状態でテストしました。 1 つのポイント対サイト接続またはサイト間接続の場合、スループットが大幅に低下する場合があります。

  • 価格情報については、 価格 ページを参照してください。

  • SLA (サービス レベル アグリーメント) の情報については、SLA ページを参照してください。

  • すべてのベンチマークは、インターネットのトラフィック状態とアプリケーションの動作によって保証されるわけではありません。

パフォーマンス別のゲートウェイ SKU

このセクションの表には、VpnGW SKU のパフォーマンス テストの結果が一覧表示されています。 VPN トンネルは VPN Gateway インスタンスに接続します。 各インスタンスのスループットは、前のセクションのスループット テーブルに記載されており、そのインスタンスに接続するすべてのトンネルで集計して使用できます。 この表は、異なるゲートウェイ SKU のトンネルあたりの 1 秒あたりのスループットで観察された帯域幅とパケット数を示しています。 すべてのテストは、Azure 内のさまざまなリージョンにわたるゲートウェイ (エンドポイント) 間で、接続数は 100、標準の負荷条件下で実行されました。 サイト間接続のパフォーマンスを測定には、一般的に利用できる iPerf および CTSTraffic ツールを使用しました

  • IPsec 暗号化と整合性の両方にGCMAES256 アルゴリズムを使用すると、最適なパフォーマンスが得られました。
  • IPsec 暗号化に AES256 を使用し、整合性に SHA256 を使用すると、平均パフォーマンスが得られました。
  • IPsec 暗号化に DES3 を使用し、整合性に SHA256 を使用した場合、最も低いパフォーマンスが得られました。
世代 SKU Algorithms
used
観察されたトンネルごとの
スループット
観察されたトンネルごとの 1 秒あたりのパケット数
Generation1 VpnGw1 GCMAES256
AES256 と SHA256
DES3 と SHA256
650 Mbps
500 Mbps
130 Mbps
62,000
47,000
12,000
Generation1 VpnGw2 GCMAES256
AES256 と SHA256
DES3 と SHA256
1.2 Gbps
650 Mbps
140 Mbps
100,000
61,000
13,000
Generation1 VpnGw3 GCMAES256
AES256 と SHA256
DES3 と SHA256
1.25 Gbps
700 Mbps
140 Mbps
120,000
66,000
13,000
Generation1 VpnGw1AZ GCMAES256
AES256 と SHA256
DES3 と SHA256
650 Mbps
500 Mbps
130 Mbps
62,000
47,000
12,000
Generation1 VpnGw2AZ GCMAES256
AES256 と SHA256
DES3 と SHA256
1.2 Gbps
650 Mbps
140 Mbps
110,000
61,000
13,000
Generation1 VpnGw3AZ GCMAES256
AES256 と SHA256
DES3 と SHA256
1.25 Gbps
700 Mbps
140 Mbps
120,000
66,000
13,000
Generation2 VpnGw2 GCMAES256
AES256 と SHA256
DES3 と SHA256
1.25 Gbps
550 Mbps
130 Mbps
120,000
52,000
12,000
Generation2 VpnGw3 GCMAES256
AES256 と SHA256
DES3 と SHA256
1.5 Gbps
700 Mbps
140 Mbps
140,000
66,000
13,000
Generation2 VpnGw4 GCMAES256
AES256 と SHA256
DES3 と SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
Generation2 VpnGw5 GCMAES256
AES256 と SHA256
DES3 と SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
Generation2 VpnGw2AZ GCMAES256
AES256 と SHA256
DES3 と SHA256
1.25 Gbps
550 Mbps
130 Mbps
120,000
52,000
12,000
Generation2 VpnGw3AZ GCMAES256
AES256 と SHA256
DES3 と SHA256
1.5 Gbps
700 Mbps
140 Mbps
140,000
66,000
13,000
Generation2 VpnGw4AZ GCMAES256
AES256 と SHA256
DES3 と SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
Generation2 VpnGw5AZ GCMAES256
AES256 と SHA256
DES3 と SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000

各ゲートウェイ SKU の機能セット

SKU 機能
Basic (\*\*) ルート ベースの VPN: S2S/接続用に 10 個のトンネル。RADIUS 認証なし (P2S)、IKEv2 なし (P2S)
ポリシー ベースの VPN: (IKEv1): 1 S2S/接続トンネル、P2S なし
Basic を除くすべての Generation1 および Generation2 SKU ルートベース VPN: 最大 100 トンネル (*)、P2S、BGP、アクティブ/アクティブ、カスタム IPsec/IKE ポリシー、ExpressRoute/VPN 共存

( * ) "PolicyBasedTrafficSelectors" を構成することによって、ルートベースの VPN Gateway を、オンプレミスにある複数のポリシーベース ファイアウォール デバイスに接続することができます。 詳細については、PowerShell を使って複数のオンプレミス ポリシーベース VPN デバイスに VPN Gateway を接続する方法に関するページを参照してください。

(**) Basic SKU には特定の機能とパフォーマンスに関する制限があるため、運用目的で使用するべきではありません。 Basic SKU を使用する前に、必要としている機能がサポートされていることを確認してください。 Basic SKU は IPv6 をサポートしていないため、PowerShell または Azure CLI のみを使用して構成できます。 さらに、Basic SKU は RADIUS 認証をサポートしていません。

ゲートウェイ SKU - 運用環境と開発-テスト ワークロード

SLA と機能セットに違いがあるため、運用環境と開発テスト環境には以下の SKU をお勧めします。

[ワークロード] SKU
運用環境での重要なワークロード Basic を除くすべての Generation1 および Generation2 SKU
開発テストまたは概念実証 Basic (\*\*)

(**) Basic SKU には特定の機能とパフォーマンスに関する制限があるため、運用目的で使用するべきではありません。 Basic SKU を使用する前に、必要としている機能がサポートされていることを確認してください。 Basic SKU は IPv6 をサポートしていないため、PowerShell または Azure CLI のみを使用して構成できます。 さらに、Basic SKU は RADIUS 認証をサポートしていません。

古い SKU (レガシ) を使用している場合、運用 SKU レコメンデーションは Standard と HighPerformance です。 古い SKU の情報や指示事項については、ゲートウェイ SKU (レガシ) に関するページを参照してください。

レガシ SKU について

SKU の非推奨化など、レガシ ゲートウェイ SKU (Standard および High Performance) の操作については、「レガシ ゲートウェイ SKU の管理」を参照してください。

SKU を指定する

VPN Gateway を作成するときに、ゲートウェイ SKU を指定します。 手順については、次の記事を参照してください。

SKU の変更またはサイズ変更

Note

レガシ ゲートウェイ SKU (Standard と High Performance) を使用している場合は、「レガシ ゲートウェイ SKU の管理」を参照してください。

別の SKU に移動する場合、複数の方法があり、それらから選択できます。 選ぶ方法は、移動元のゲートウェイ SKU によって異なります。

  • SKU のサイズ変更: SKU のサイズを変更するとき、ごくわずかなダウンタイムが発生します。 SKU のサイズ変更では、ワークフローに従う必要はありません。 SKU のサイズ変更は、Azure Portal で、すばやく簡単に行うことができます。 PowerShell または Azure CLI を使用することもできます。 VPN デバイスや P2S クライアントを再構成する必要はありません。

  • SKU の変更: SKU のサイズを変更できない場合、特定のワークフローを使用して SKU を変更できます。 SKU の変更には、サイズ変更よりも大きいダウンタイムが発生します。 その上、この方法を使用する場合には、再構成が必要な複数のリソースがあります。

考慮事項

新しいゲートウェイ SKU に移行する場合は、多くのことを考慮する必要があります。 このセクションでは、主要な項目についてその概要を説明します。また、使用する最適な方法を選ぶのに役立つ表も用意されています。

  • SKU をダウングレードするために、サイズを変更することはできません。
  • レガシ SKU を新しい Azure SKU (VpnGw1、VpnGw2AZ など) のいずれかにサイズ変更することはできませんResource Manager デプロイ モデルのレガシ SKU には、Standard と High Performance が存在します。 代わりに、SKU を変更する必要があります。
  • Basic SKU を除き、同じ世代にある限り、ゲートウェイ SKU のサイズを変更できます。
  • Basic SKU は別の SKU に変更できます。
  • レガシ SKU から新しい SKU に変更した場合は、接続のダウンタイムが発生します。
  • 新しいゲートウェイ SKU に変更すると、使用している VPN ゲートウェイのパブリック IP アドレスが変わります。 これは、以前に使用したのと同じパブリック IP アドレス オブジェクトを指定した場合でも発生します。
  • クラシック VPN ゲートウェイを使用している場合は、引き続きそのゲートウェイ用の以前のレガシ SKU を使用する必要があります。 ただし、クラシック ゲートウェイ用に使用できるレガシ SKU 間でのサイズ変更はできます。 新しい SKU に変更することはできません。
  • Standard と High Performance のレガシ SKU は非推奨になっています。 SKU の移行とアップグレードのタイムラインについては、レガシ SKU の非推奨に関する説明を参照してください。

次の表は、SKU 間の移動を行うために必要な方法の理解に役立ちます。

移動前の SKU 移動後の SKU サイズ変更 Change
Basic SKU その他の SKU いいえ はい
Standard SKU 新しい Azure SKU いいえ はい
Standard SKU HighPerformance SKU いいえ 必要なし
HighPerformance 新しい Azure SKU いいえ はい
Generation 1 SKU Generation 1 SKU はい 必要なし
Generation 1 SKU Generation 1 AZ SKU いいえ はい
Generation 1 AZ SKU Generation 1 AZ SKU はい 必要なし
Generation 1 AZ SKU Generation 2 AZ SKU いいえ はい
Generation 2 SKU Generation 2 SKU はい 必要なし
Generation 2 SKU Generation 2 AZ SKU いいえ はい
Generation 2 AZ SKU Generation 2 AZ SKU はい 必要なし

次のステップ

使用可能な接続構成の詳細については、「VPN Gateway について」を参照してください。