次の方法で共有

VPN Gateway のトポロジと設計

  • [アーティクル]

VPN Gateway 接続では、さまざまな構成オプションを利用できます。 以降のセクションの図と説明は、要件を満たす接続トポロジを選択するために役立ちます。 図は主要なベースライン トポロジを示していますが、図をガイドラインとして使用して、より複雑な構成を構築することもできます。

サイト間 VPN

"サイト間" (S2S) VPN ゲートウェイ接続とは、IPsec/IKE (IKEv1 または IKEv2) VPN トンネルを介した接続です。 サイト間接続は、クロスプレミスおよびハイブリッド構成に使用できます。 サイト間接続には、パブリック IP アドレスを割り当てたオンプレミスの VPN デバイスが必要です。 VPN デバイスの選択に関する詳細については、VPN ゲートウエイ に関する FAQ の VPN デバイスに関する項目を参照してください。

クロスプレミスのサイト間 VPN Gateway 接続の図。

VPN ゲートウエイ は、1 つのパブリック IP を使用してアクティブ/スタンバイ モードで構成することも、2 つのパブリック IP を使用してアクティブ/アクティブ モードで構成することもできます。 アクティブ/スタンバイ モードでは、一方の IPsec トンネルがアクティブになり、もう一方のトンネルがスタンバイ状態になります。 このセットアップでは、トラフィックはアクティブ トンネルを通過します。このトンネルで何らかの問題が発生した場合、トラフィックはスタンバイ トンネルに切り替わります。 両方の IPsec トンネルが同時にアクティブになり、両方のトンネルを同時に通過するデータ フローがある場合は、アクティブ/アクティブ モードで VPN Gateway を設定することを "お勧め" します。 アクティブ/アクティブ モードのもう 1 つの利点は、顧客がより高いスループットを体験できることです。

仮想ネットワーク ゲートウェイから複数の VPN 接続を作成し、通常は複数のオンプレミスのサイトに接続します。 複数の接続を使用する場合は、(クラシック VNet を使用する際に動的ゲートウェイと呼ばれる) RouteBased という VPN の種類を使用する必要があります。 各仮想ネットワークに配置できる VPN ゲートウェイは 1 つのみであるため、ゲートウェイを経由するすべての接続は、使用可能な帯域幅を共有します。 この種類の構成は、"マルチサイト" 接続と呼ばれることがあります。

複数サイトとのクロスプレミスのサイト間 VPN Gateway 接続の図。

S2S で使用できるデプロイメント モデルとデプロイ方法

デプロイメント モデル/方法 Azure Portal PowerShell Azure CLI
リソース マネージャー チュートリアル チュートリアル チュートリアル
クラシック (従来のデプロイ モデル) チュートリアル** チュートリアル サポートされていません

"**" は、PowerShell を必要とする手順を含む方法を示します。

ポイント対サイト VPN

ポイント対サイト (P2S) VPN ゲートウェイ接続を利用すると、個々のクライアント コンピューターから仮想ネットワークに対してセキュリティで保護された接続を確立できるようになります。 ポイント対サイト接続は、クライアント コンピューターから接続を開始することによって確立されます。 このソリューションは、在宅勤務者が自宅や会議室などのリモートの場所から Azure Virtual Networks に接続する場合に便利です。 ポイント対サイト VPN は、仮想ネットワークへの接続が必要なクライアントがごく少ない場合に、サイト対サイト VPN の代わりに使用するソリューションとしても便利です。

サイト間接続とは異なり、ポイント対サイト接続には、オンプレミスの公開 IP アドレスまたは VPN デバイスは必要ありません。 ポイント対サイト接続とサイト間接続は、両者の構成要件がすべて両立する場合に、同じ VPN ゲートウェイを使って併用することができます。 ポイント対サイト接続について詳しくは、「ポイント対サイト VPN について」をご覧ください。

ポイント対サイト構成の図。

P2S で使用できるデプロイメント モデルとデプロイ方法

認証方法 記事
証明書 チュートリアル
使用方法
Microsoft Entra ID 使用方法
RADIUS 使用方法

P2S VPN クライアント構成

認証 トンネルの種類 クライアントの OS VPN client
証明書
IKEv2、SSTP Windows ネイティブ VPN クライアント
IKEv2 macOS ネイティブ VPN クライアント
IKEv2 Linux strongSwan
OpenVPN Windows Azure VPN クライアント
OpenVPN クライアント
OpenVPN macOS OpenVPN クライアント
OpenVPN iOS OpenVPN クライアント
OpenVPN Linux Azure VPN クライアント
OpenVPN クライアント
Microsoft Entra ID
OpenVPN Windows Azure VPN クライアント
OpenVPN macOS Azure VPN クライアント
OpenVPN Linux Azure VPN クライアント

VNet 間接続 (IPsec/IKE VPN トンネル)

仮想ネットワーク間 (VNet 間) の接続は、仮想ネットワークをオンプレミスのサイトの場所に接続することと似ています。 どちらの接続タイプでも、VPN ゲートウェイを使用して、IPsec/IKE を使った安全なトンネルが確保されます。 マルチサイト接続構成と VNet 間通信を組み合わせることもできます。 そのため、クロスプレミス接続と仮想ネットワーク間接続とを組み合わせたネットワーク トポロジを確立することができます。

接続できる仮想ネットワークは、次のとおりです。

  • 同じリージョンまたは異なるリージョンにある
  • 同じサブスクリプションまたは異なるサブスクリプションにある
  • 同じデプロイメント モデルまたは異なるデプロイメント モデルである

VNet 間接続の図。

VNet 間接続で使用できるデプロイメント モデルとデプロイ方法

デプロイメント モデル/方法 Azure Portal PowerShell Azure CLI
リソース マネージャー チュートリアル+ チュートリアル チュートリアル
クラシック (従来のデプロイ モデル) チュートリアル* サポートされています サポートされていません
Resource Manager デプロイ モデルとクラシック (レガシ) デプロイ モデルの間の接続 チュートリアル* チュートリアル サポートされていません

"+" は、このデプロイ方法が同じサブスクリプションの VNet でのみ利用できることを示します。
" * " は、PowerShell が必要なデプロイ方法を示します。

場合によっては、VNet 間の仮想ネットワーク接続の代わりに、仮想ネットワーク ピアリングを使用できます。 仮想ネットワーク ピアリングは、仮想ネットワーク ゲートウェイを使用しません。 詳細については、「[仮想ネットワーク ピアリング](../virtual-network/virtual-network-peering-overview.md)」をご覧ください。

サイト間と ExpressRoute の共存接続

ExpressRoute は、(パブリック インターネット経由ではなく) WAN から (Azure を含む) Microsoft サービスへの直接的なプライベート接続です。 サイト間 VPN トラフィックは、暗号化が施されたうえでパブリック インターネット経由で送受信されます。 同じ仮想ネットワークに対してサイト間 VPN と ExpressRoute 接続が構成可能な場合、いくつかの利点があります。

ExpressRoute 用にセキュリティで保護されたフェールオーバー パスとしてサイト間 VPN を構成したり、サイト間 VPN を使用して、ネットワークの一部ではないものの、ExpressRoute 経由で接続されているサイトに接続したりすることができます。 この構成では、同一の仮想ネットワークに 2 つの仮想ネットワーク ゲートウェイが必要なことに注意してください (1 つのゲートウェイの種類は Vpn、もう 1 つのゲートウェイの種類は ExpressRoute)。

ExpressRoute と VPN Gateway の共存接続の図。

S2S と ExpressRoute の共存で使用できるデプロイ モデルとデプロイ方法

デプロイメント モデル/方法 Azure Portal PowerShell
リソース マネージャー サポートされています チュートリアル
クラシック (従来のデプロイ モデル) サポートされていません チュートリアル

高可用性接続

高可用性接続の計画と設計については、高可用性接続に関するページをご覧ください。

次のステップ