仮想ネットワーク ピアリングと VPN ゲートウェイの選択
この記事では、Azure で仮想ネットワークを接続する 2 つの方法 (仮想ネットワーク ピアリングと VPN ゲートウェイ) を比較します。
仮想ネットワークは、Azure パブリック ネットワークの仮想で分離された部分です。 既定では、2 つの仮想ネットワーク間でトラフィックをルーティングすることはできません。 ただし、1 つのリージョン内または 2 つのリージョン間で仮想ネットワークを接続して、それらの間でトラフィックをルーティングすることができます。
仮想ネットワーク接続の種類
仮想ネットワーク ピアリング。 仮想ネットワーク ピアリングは、2 つの Azure 仮想ネットワークを接続します。 ピアリングが行われると、仮想ネットワークは接続の観点から1つのネットワークとして扱われます。 ピアリングされた仮想ネットワーク内の仮想マシン間のトラフィックは、プライベート IP アドレスのみを介して、Microsoft バックボーン インフラストラクチャ経由でルーティングされます。 公衆インターネットは含まれていません。 また、Azure リージョン間で仮想ネットワークをピアリングすることもできます (グローバル ピアリング)。
VPN ゲートウェイ。 VPN ゲートウェイは、Azure 仮想ネットワークとオンプレミスの場所の間でパブリック インターネット経由でトラフィックを送信するために使用される特定の種類の仮想ネットワーク ゲートウェイです。 VPN ゲートウェイを使用して、Azure 仮想ネットワーク間でトラフィックを送信することもできます。 各仮想ネットワークには、最大で 1 つの VPN ゲートウェイを使用できます。 任意の境界仮想ネットワーク Azure DDOS Protection を有効にする必要があります。
仮想ネットワーク ピアリングは、低待機時間の高帯域幅接続を提供します。 パスにゲートウェイがないため、余分なホップがないため、待ち時間の短い接続が確保されます。 これは、リージョン間のデータ レプリケーションやデータベース フェールオーバーなどのシナリオで役立ちます。 トラフィックはプライベートであり、Microsoft バックボーン上に残るため、厳密なデータ ポリシーがあり、インターネット経由でトラフィックを送信しないようにする場合は、仮想ネットワーク ピアリングも検討してください。
VPN ゲートウェイは帯域幅の制限付き接続を提供し、暗号化が必要だが帯域幅の制限を許容できるシナリオで役立ちます。 これらのシナリオでは、お客様も待機時間の影響を受けません。
ゲートウェイトランジット
仮想ネットワーク ピアリングと VPN ゲートウェイは、ゲートウェイ転送を介して共存することもできます
ゲートウェイ転送を使用すると、接続用の新しいゲートウェイを作成する代わりに、ピアリングされた仮想ネットワークのゲートウェイを使用してオンプレミスに接続できます。 Azure でワークロードを増やすには、成長に対応するために、リージョンと仮想ネットワーク間でネットワークをスケーリングする必要があります。 ゲートウェイ転送を使用すると、すべてのピアリングされた仮想ネットワークと ExpressRoute または VPN ゲートウェイを共有し、接続を 1 か所で管理できます。 共有により、コスト削減と管理オーバーヘッドの削減が可能になります。
仮想ネットワーク ピアリングでゲートウェイ転送を有効にすると、VPN ゲートウェイ、ネットワーク仮想アプライアンス、およびその他の共有サービスを含むトランジット仮想ネットワークを作成できます。 組織が新しいアプリケーションやビジネス ユニットで成長し、新しい仮想ネットワークを起動するにつれて、ピアリングを使用してトランジット仮想ネットワークに接続できます。 これにより、ネットワークに複雑さが加わるのを防ぎ、複数のゲートウェイやその他のアプライアンスを管理する管理オーバーヘッドが軽減されます。
接続の構成
仮想ネットワーク ピアリングと VPN ゲートウェイの両方で、次の接続の種類がサポートされています。
- 異なるリージョンの仮想ネットワーク。
- 異なる Microsoft Entra テナント内の仮想ネットワーク。
- 異なる Azure サブスクリプション内の仮想ネットワーク。
- Azure デプロイ モデル (Resource Manager とクラシック) の組み合わせを使用する仮想ネットワーク。
詳細については、次の記事を参照してください。
- 仮想ネットワーク ピアリングの作成 - Resource Manager、さまざまなサブスクリプション
- 仮想ネットワーク ピアリングの作成 - 異なるデプロイメント モデル、同じサブスクリプション
- Azure portal を使用して VNet 間 VPN ゲートウェイ接続を構成する
- ポータルを使用してさまざまなデプロイ モデルの仮想ネットワークを接続する
- VPN Gateway に関する FAQ
仮想ネットワーク ピアリングと VPN ゲートウェイの比較
| アイテム | 仮想ネットワーク ピアリング | VPN Gateway |
|---|---|---|
| 制限 | 仮想ネットワークあたり最大 500 個の仮想ネットワーク ピアリング ( ネットワークの制限を参照)。 | 仮想ネットワークごとに 1 つの VPN ゲートウェイ。 ゲートウェイあたりのトンネルの最大数は、 ゲートウェイ SKU によって異なります。 |
| 価格モデル | イングレス/エグレス | 時間単位 + エグレス |
| 暗号化 | Azure Virtual Network Encryption を利用できます。 | カスタム IPsec/IKE ポリシーは、新規または既存の接続に適用できます。 暗号化要件と Azure VPN ゲートウェイについてを参照してください。 |
| 帯域幅の制限事項 | 帯域幅の制限はありません。 | SKU によって異なります。 トンネル、接続、スループット別のゲートウェイ SKU を参照してください。 |
| プライベート。 | はい。 Microsoft バックボーンとプライベート経由でルーティングされます。 パブリック インターネットは含まれていません。 | パブリック IP は関係しますが、Microsoft グローバル ネットワーク が有効になっている場合は Microsoft バックボーン経由でルーティングされます。 |
| 推移的な関係 | ピアリング接続は非推移的である。 推移的なネットワークは、ハブ仮想ネットワーク内の NVA またはゲートウェイを使用して実現できます。 例については 、ハブスポーク ネットワーク トポロジ を参照してください。 | 仮想ネットワークが VPN ゲートウェイ経由で接続されていて、仮想ネットワーク接続で BGP が有効になっている場合、推移性が機能します。 |
| 初期セットアップ時間 | 速い | 約30分 |
| 一般的なシナリオ | データ レプリケーション、データベース フェールオーバー、および大規模なデータの頻繁なバックアップが必要なその他のシナリオ。 | 待機時間の影響を受けず、全体にわたって高い値を必要としない、暗号化固有のシナリオ。 |
貢献者
この記事は Microsoft によって管理されています。 当初の寄稿者は以下のとおりです。
主要な著者
- アナヴィ・ナハル |プリンシパル PDM マネージャー