仮想ネットワーク ゲートウェイは、Azure Stack Hub 仮想ネットワークのソフトウェア VPN デバイス (VPN ゲートウェイ) です。 これを接続または接続と共に使用して、Azure Stack Hub 仮想ネットワークとローカル ネットワーク間のサイト間またはサイト間 VPN 接続、または異なる Azure Stack Hub スタンプ上に作成された 2 つの仮想ネットワーク間の VNet 間 VPN 接続を設定します。
仮想ネットワーク ゲートウェイを作成するときは、作成するゲートウェイの種類を指定します。 Azure Stack Hub では、 Vpn の種類のみがサポートされます。
各仮想ネットワークに含めることができる仮想ネットワーク ゲートウェイは 1 つだけです。 選択した設定に応じて、1 つの仮想ネットワーク ゲートウェイに複数の接続を作成できます。 この種類のセットアップの例として、サイト間トポロジ構成があります。
Azure Stack Hub の仮想ネットワーク ゲートウェイ リソースを作成して構成する前に、 Azure Stack Hub のネットワークに関する考慮事項 を確認して、Azure Stack Hub の構成と Azure との違いを確認してください。
注
Azure では、選択した仮想ネットワーク ゲートウェイ SKU の帯域幅スループットを、ゲートウェイに接続されているすべての接続に分割する必要があります。 ただし、Azure Stack Hub では、仮想ネットワーク ゲートウェイ SKU の帯域幅の値は、ゲートウェイに接続されている各接続リソースに適用されます。
例えば次が挙げられます。
- Azure では、基本的な仮想ネットワーク ゲートウェイ SKU は、約 100 Mbps の合計スループットに対応できます。 その仮想ネットワーク ゲートウェイへの 2 つの接続を作成し、1 つの接続で 50 Mbps の帯域幅を使用している場合、もう一方の接続では 50 Mbps を使用できます。
- Azure Stack Hub では、基本仮想ネットワーク ゲートウェイ SKU への各接続に 100 Mbps のスループットが割り当てられます。
VPN ゲートウェイの構成
VPN ゲートウェイは、特定の設定で構成された複数のリソースに依存します。 これらのリソースのほとんどは個別に構成できますが、場合によっては特定の順序で構成する必要があります。
設定
各リソースに対して選択する設定は、接続を正常に作成するために重要です。
VPN ゲートウェイの個々のリソースと設定については、「 Azure Stack Hub の VPN ゲートウェイ設定について」を参照してください。
デプロイ ツール
Azure Stack Hub ポータルなどの 1 つの構成ツールを使用して、リソースを作成および構成できます。 後で、PowerShell などの別のツールに切り替えて、追加のリソースを構成したり、必要に応じて既存のリソースを変更したりできます。
現時点では、Azure Stack Hub ポータルですべてのリソースとリソースの設定を構成することはできません。 各接続トポロジの記事の手順では、特定の構成ツールが必要なタイミングを指定します。
接続トポロジの図
VPN ゲートウェイにはさまざまな構成を使用できます。 どの構成が自分のニーズに最適かを判断します。 次のセクションでは、次の VPN ゲートウェイ シナリオに関する情報とトポロジ図を表示できます。
- サイト間接続
- サイト間接続
- Azure Stack Hub スタンプ間のサイト間接続またはサイト間接続
以降のセクションの図と説明は、要件を満たす接続トポロジを選択するために役立ちます。 図は主要なベースライン トポロジを示していますが、図をガイドとして使用して、より複雑な構成を構築することもできます。
サイト間接続
"サイト間" (S2S) VPN ゲートウェイ接続とは、IPsec/IKE (IKEv2) VPN トンネルを介した接続です。 この種類の接続では、オンプレミスに配置され、パブリック IP アドレスが割り当てられている、VPN デバイスが必要です。 S2S 接続は、クロスプレミス構成とハイブリッド構成に使用できます。
サイト間接続
サイト間 トポロジは、サイト間トポロジのバリエーションです。 仮想ネットワーク ゲートウェイから複数の VPN 接続を作成します。通常は、複数のオンプレミス サイトに接続します。
Azure Stack Hub スタンプ間のサイト間接続またはサイト間接続
2 つの Azure Stack Hub デプロイ間で作成できるサイト間 VPN 接続は 1 つだけです。 これは、同じ IP アドレスに対して許容される VPN 接続が 1 つだけであるというプラットフォームの制限によるものです。 Azure Stack Hub では、Azure Stack Hub システム内のすべての VPN Gateway に対して単一のパブリック IP を使用するマルチテナント ゲートウェイが活用されているため、2 つの Azure Stack Hub システム間に存在できる VPN 接続は 1 つだけです。 この制限は、単一の IP アドレスを使用する VPN ゲートウェイに複数のサイト間 VPN 接続を接続する場合にも当てはまります。 Azure Stack Hub では、同じ IP アドレスを使用して複数のローカル ネットワーク ゲートウェイ リソースを作成することはできません。
次の図は、スタンプ間にメッシュ トポロジを作成する必要がある場合に、複数の Azure Stack Hub スタンプを相互に接続する方法を示しています。
このシナリオでは、3 つの Azure Stack Hub スタンプがあり、それぞれに 1 つの仮想ネットワーク ゲートウェイがあり、2 つの接続と 2 つのローカル ネットワーク ゲートウェイがあります。 新しい SKU を使用すると、ユーザーは、最大 1250 Mbps Tx/Rx の VPN 接続スループットでスタンプ間でネットワークとワークロードを接続でき、各スタンプのゲートウェイ プール容量の 50% を割り当てられます。 各スタンプの残りの容量は、他のユース ケースに必要な追加の VPN 接続に使用できます。
Gateway の SKU
Azure Stack Hub の仮想ネットワーク ゲートウェイを作成するときは、使用するゲートウェイ SKU を指定します。 次の仮想ネットワーク ゲートウェイ SKU がサポートされています。
- Basic - 100 Mbps Tx/Rx
- Standard - 100 Mbps Tx/Rx
- ハイ パフォーマンス - 200 Mbps Tx/Rx
パブリック プレビューの新しい Virtual Network ゲートウェイ SKU
Azure Stack Hub 2209 リリースでは、新しい VPN ファースト パス機能のパブリック プレビューが発表されています。これにより、Azure Stack Hub スタンプの最大スループットの合計が 2 Gbps から 5 Gbps に増加し、3 つの新しい SKU も導入されます
- VpnGw1 - 650 Mbps Tx/Rx
- VpnGw2 - 1000 Mbps Tx/Rx
- VpnGw3 - 1250 Mbps Tx/Rx
Azure Stack Hub では、Express Route でのみ使用される Ultra Performance ゲートウェイ SKU はサポートされていません。
SKU を選択するときは、次の点を考慮してください。
- Azure Stack Hub では、ポリシー ベースのゲートウェイはサポートされていません。
- 基本 SKU では、Border Gateway Protocol (BGP) はサポートされていません。
- ExpressRoute-VPN ゲートウェイの共存構成は、Azure Stack Hub ではサポートされていません。
ゲートウェイの可用性
アクティブ/アクティブ/パッシブ構成の両方を通じて可用性を提供する Azure とは異なり、Azure Stack Hub ではアクティブ/パッシブ構成のみがサポートされます。