ExpressRoute の仮想ネットワーク ゲートウェイについて
お使いの Azure 仮想ネットワークとオンプレミス ネットワークを ExpressRoute を使用して接続するには、最初に仮想ネットワーク ゲートウェイを作成する必要があります。 仮想ネットワーク ゲートウェイには 2 つの目的があります。1 つはネットワーク間で IP ルートを交換すること、もう 1 つはネットワーク トラフィックをルーティングすることです。 この記事では、さまざまなゲートウェイの種類、ゲートウェイ SKU、および SKU ごとの予測パフォーマンスについて説明します。 また、パフォーマンスを向上させるために、お使いのオンプレミス ネットワークからのネットワーク トラフィックが仮想ネットワーク ゲートウェイをバイパスできるようにする機能、ExpressRoute FastPath についても説明します。
ゲートウェイの種類
仮想ネットワーク ゲートウェイを作成する場合、設定をいくつか指定する必要があります。 必須の設定の 1 つである -GatewayType は、ゲートウェイを ExpressRoute と VPN トラフィックのどちらに使用するかを指定します。 ゲートウェイには、次の 2 種類があります。
Vpn - パブリック インターネットでトラフィックを暗号化して送信するには、ゲートウェイの種類 "Vpn" を使用します。 このようなゲートウェイは VPN ゲートウェイとも呼ばれます。 サイト間接続、ポイント対サイト接続、VNet 間接続のすべてで、VPN ゲートウェイが使用されます。
ExpressRoute - プライベート接続でネットワーク トラフィックを送信するには、ゲートウェイの種類 'ExpressRoute' を使用します。 このようなゲートウェイは ExpressRoute ゲートウェイとも呼ばれ、ExpressRoute の構成時に使用されます。
各仮想ネットワークに配置できる仮想ネットワーク ゲートウェイは、ゲートウェイの種類ごとに 1 つに限られています。 たとえば、-GatewayType Vpn を使用する仮想ネットワーク ゲートウェイと -GatewayType ExpressRoute を使用する仮想ネットワーク ゲートウェイをそれぞれ 1 つ配置できます。
Gateway の SKU
仮想ネットワーク ゲートウェイを作成する場合、使用するゲートウェイの SKU を指定する必要があります。 選択するゲートウェイ SKU が上位になるほど、ゲートウェイに割り当てられる CPU やネットワーク帯域幅が増えます。その結果、ゲートウェイで仮想ネットワークに対してより高いネットワーク スループットをサポートできます。
ExpressRoute の仮想ネットワーク ゲートウェイでは、次の SKU を使用できます。
- ERGwScale (プレビュー)
- Standard
- HighPerformance
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
ゲートウェイをより大容量のゲートウェイ SKU にアップグレードする場合は、Resize-AzVirtualNetworkGateway PowerShell コマンドレットを使用するか、Azure portal の ExpressRoute 仮想ネットワーク ゲートウェイ構成ページで直接アップグレードを実行できます。 次のアップグレードがサポートされています。
- Standard から High Performance
- Standard から Ultra Performance
- High Performance から Ultra Performance
- ErGw1Az から ErGw2Az
- ErGw1Az から ErGw3Az
- ErGw2Az から ErGw3Az
- 既定値から Standard
さらに、仮想ネットワーク ゲートウェイ SKU をダウングレードできます。 次のダウングレードがサポートされています。
- High Performance から Standard
- ErGw2Az から ErGw1Az
その他のすべてのダウングレード シナリオでは、ゲートウェイを削除して再作成する必要があります。 ゲートウェイの再作成によりダウンタイムが発生します。
仮想ネットワーク ゲートウェイの制限事項とパフォーマンス
ゲートウェイ SKU による機能のサポート
次の表は、各ゲートウェイの種類でサポートされている機能と、各ゲートウェイ SKU でサポートされている ExpressRoute 回線の最大接続数を示しています。
| ゲートウェイ SKU | VPN Gateway と ExpressRoute の共存 | FastPath | 回線接続の最大数 |
|---|---|---|---|
| Standard SKU/ERGw1Az | はい | いいえ | 4 |
| High Perf SKU/ERGw2Az | はい | いいえ | 8 |
| Ultra Performance SKU/ErGw3Az | はい | はい | 16 |
| ErGwScale (プレビュー) | はい | はい - 最小スケール ユニットは 10 です | 4 - 最小スケール ユニットは 1 です 8 - 最小スケール ユニットは 2 です 16 - 最小スケール ユニットは 10 です |
Note
同じ仮想ネットワークに接続できる同じピアリングの場所からの ExpressRoute 回線の最大数は、すべてのゲートウェイに対して 4 です。
ゲートウェイ SKU の推定パフォーマンス
次の表に、さまざまな種類のゲートウェイ、それらに個別の制限事項、および想定されるパフォーマンス メトリックの概要を示します。 これらの数値は、以下のテスト条件から得られたもので、サポートの上限を表しています。 実際のパフォーマンスは、トラフィックによってテスト条件がどれだけ厳密に再現されるかによって異なる場合があります。
テスト条件
| ゲートウェイ SKU | オンプレミスから送信されるトラフィック | ゲートウェイによってアドバタイズされるルートの数 | ゲートウェイによって学習されるルートの数 |
|---|---|---|---|
| Standard/ERGw1Az | 1 Gbps | 500 | 4000 |
| High Performance/ERGw2Az | 2 Gbps | 500 | 9,500 |
| Ultra Performance/ErGw3Az | 10 Gbps | 500 | 9,500 |
| ErGwScale (スケール ユニットごと) | 1 Gbps | 500 | 4,000 |
Note
ExpressRoute は、仮想ネットワーク アドレス空間、オンプレミス ネットワーク、および関連するすべての仮想ネットワーク ピアリング接続にまたがる、最大 11,000 件のルーティングを支援します。 ExpressRoute 接続の安定性を確保するには、11,000 件を超えるルーティングを ExpressRoute にアドバタイズしないようにします。
パフォーマンスの結果
この表は、Azure Resource Manager とクラシック デプロイ モデルの両方に適用されます。
| ゲートウェイ SKU | 1 秒あたりの接続数 | 1 秒あたりのメガビット数 | 1 秒あたりのパケット数 | Virtual Network 1 でサポートされている VM の数 | フロー数の上限 |
|---|---|---|---|---|---|
| Standard/ERGw1Az | 7,000 | 1,000 | 100,000 | 2,000 | 100,000 |
| High Performance/ERGw2Az | 14,000 | 2,000 | 200,000 | 4,500 | 200,000 |
| Ultra Performance/ErGw3Az | 16,000 | 10,000 | 1,000,000 | 11,000 | 1,000,000 |
| ErGwScale (スケール ユニットごと) | 該当なし | 1,000 | 100,000 | 2,000 | スケール ユニットあたり 100,000 |
1 表の値は推定値であり、ゲートウェイでの CPU 使用率によって異なります。 CPU の使用率が高く、VM の数がサポート範囲を超えると、ゲートウェイはパケットのドロップを開始します。
重要
- アプリケーションのパフォーマンスは複数の要因によって異なります。これらの要因には、エンド ツー エンドの待機時間、アプリケーションが起動するトラフィック フローの数などがあります。 テーブルの数値は、アプリケーションが理想的な環境で理論上達成できる上限を表しています。 さらに、Microsoft はサービスの信頼性を維持するために、ExpressRoute 仮想ネットワーク ゲートウェイで定期的なホストと OS メンテナンスを実行します。 メンテナンス期間中は、ゲートウェイのコントロール プレーンとデータ パスの容量が減ります。
- メンテナンス期間中は、プライベート エンドポイント リソースへの断続的な接続の問題が発生する可能性があります。
- ExpressRoute は、1400 バイトの最大 TCP および UDP パケット サイズをサポートしています。 1400 バイトを超えるパケット サイズはフラグメント化されます。
- Azure Route Server では、最大 4,000 VM をサポートできます。 この制限には、ピアリングされた仮想ネットワーク内の VM が含まれます。 詳細については、Azure Route Server の制限に関するページを参照してください。
ゲートウェイ サブネット
ExpressRoute ゲートウェイを作成する前に、ゲートウェイ サブネットを作成する必要があります。 ゲートウェイ サブネットには、仮想ネットワーク ゲートウェイの VM とサービスが使用する IP アドレスが含まれます。 仮想ネットワーク ゲートウェイを作成すると、ゲートウェイ VM はゲートウェイ サブネットにデプロイされ、必要な ExpressRoute ゲートウェイ設定で構成されます。 ゲートウェイ サブネットには、他には何もデプロイしないでください。 ゲートウェイ サブネットを正常に動作させるには、"GatewaySubnet" という名前を付ける必要があります。 ゲートウェイ サブネットに "GatewaySubnet" という名前を付けることで、仮想ネットワーク ゲートウェイの VM とサービスをこのサブネットにデプロイすることを Azure が認識できます。
Note
0.0.0.0/0 が宛先のユーザー定義のルートと GatewaySubnet の NSG はサポートされていません。 この構成のゲートウェイの作成はブロックされます。 ゲートウェイが正常に機能するためには、管理コントローラーへのアクセスが必要です。 ゲートウェイの可用性を確保するために、GatewaySubnet で [BGP ルート伝達] を [有効] に設定する必要があります。 BGP ルート伝達が無効に設定されていると、ゲートウェイは機能しません。
診断、データ パス、および制御パスは、ユーザー定義ルートがゲートウェイ サブネット範囲またはゲートウェイ パブリック IP 範囲と重複している場合に影響を受ける可能性があります。
- ExpressRoute 仮想ネットワーク ゲートウェイがある仮想ネットワークに Azure DNS Private Resolver をデプロイし、すべての名前解決を特定の DNS サーバーに転送するようにワイルドカード規則を設定することはお勧めしません。 このような構成にすると、管理接続の問題が発生する可能性があります。
ゲートウェイ サブネットを作成するときに、サブネットに含まれる IP アドレスの数を指定します。 ゲートウェイ サブネット内の IP アドレスは、ゲートウェイ VM とゲートウェイ サービスに割り当てられます。 一部の構成では、他の構成よりも多くの IP アドレスを割り当てる必要があります。
ゲートウェイ サブネットのサイズを計画する際は、作成する構成に関するドキュメントを参照してください。 たとえば、ExpressRoute/VPN Gateway が共存する構成には、他のほとんどの構成より大規模なゲートウェイ サブネットが必要です。 さらに、ゲートウェイ サブネットには、考えられる将来の構成に対応できる十分な数の IP アドレスが含まれるようにしてください。 /29 のような小さいゲートウェイ サブネットを作成できますが、/27 以上 (/27、/26 など) のゲートウェイ サブネットを作成することをお勧めします。 ゲートウェイに 16 本の ExpressRoute 回線を接続するつもりであれば、/26 以上のゲートウェイ サブネットを作成する必要があります。 デュアル スタックのゲートウェイ サブネットを作成する場合は、/64 以上の IPv6 範囲も使用することをお勧めします。 この設定は、ほとんどの構成に対応します。
次の Resource Manager PowerShell の例では、GatewaySubnet という名前のゲートウェイ サブネットを示しています。 CIDR 表記で /27 を指定しています。これで既存のほとんどの構成で IP アドレスに十分対応できます。
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
重要
ゲートウェイ サブネットを使う場合は、ゲートウェイ サブネットにネットワーク セキュリティ グループ (NSG) を関連付けないようにしてください。 ネットワーク セキュリティ グループをこのサブネットに関連付けると、仮想ネットワーク ゲートウェイ (VPN と ExpressRoute ゲートウェイ) が想定どおりに機能しなくなる可能性があります。 ネットワーク セキュリティ グループの詳細については、ネットワーク セキュリティ グループの概要に関するページを参照してください。
ゾーン冗長ゲートウェイ SKU
Azure Availability Zones に、ExpressRoute ゲートウェイをデプロイすることもできます。 この構成により、ゲートウェイは異なる Availability Zones に物理的かつ論理的に分離され、オンプレミス ネットワークの Azure への接続がゾーン レベルの障害から保護されます。
ゾーン冗長ゲートウェイでは、ExpressRoute ゲートウェイに特定の新しいゲートウェイ SKU が使用されます。
- ErGw1AZ
- ErGw2AZ
- ErGw3AZ
新しいゲートウェイ SKU では、ニーズに最も適したその他のデプロイ オプションもサポートされます。 新しいゲートウェイ SKU を使用して仮想ネットワーク ゲートウェイを作成する場合、特定のゾーン内にゲートウェイをデプロイできます。 このようなゲートウェイはゾーン ゲートウェイと呼ばれます。 ゾーン ゲートウェイをデプロイすると、すべてのゲートウェイ インスタンスが同じ可用性ゾーンにデプロイされます。
VNet から VNet、VNet から Virtual WAN への接続
既定では、すべてのゲートウェイ SKU の ExpressRoute 回線を介した VNet から VNet と VNet から Virtual WAN への接続は無効になっています。 この接続を有効にするには、このトラフィックを許可するように ExpressRoute 仮想ネットワーク ゲートウェイを構成する必要があります。 詳細については、ExpressRoute 経由の仮想ネットワーク接続に関するガイダンスを参照してください。 このトラフィックを有効にするには、「ExpressRoute を介した VNet から VNet または VNet から Virtual WAN への接続を有効にする」を参照してください。
FastPath
ExpressRoute 仮想ネットワーク ゲートウェイの目的は、ネットワーク ルートを交換し、ネットワーク トラフィックをルーティングすることです。 FastPath の目的は、お使いのオンプレミス ネットワークと仮想ネットワークの間のデータ パスのパフォーマンスを向上させることです。 FastPath が有効になっていると、ゲートウェイはバイパスされ、ネットワーク トラフィックが仮想ネットワーク内の仮想マシンに直接送信されます。
制限や要件を含む FastPath の詳細については、FastPath の概要に関するページを参照してください。
プライベート エンドポイントへの接続
ExpressRoute 仮想ネットワーク ゲートウェイは、仮想ネットワーク ゲートウェイと同じ仮想ネットワークに、また仮想ネットワークのピアを横断してデプロイされたプライベート エンドポイントへの接続を容易にします。
重要
- 非プライベート エンドポイント リソースへの接続と比較して、スループットとコントロール プレーン容量が半分になる場合があります。
- メンテナンス期間中は、プライベート エンドポイント リソースへの断続的な接続の問題が発生する可能性があります。
プライベート エンドポイント接続と計画済みメンテナンス イベント
プライベート エンドポイント接続はステートフルです。 ExpressRoute プライベート ピアリング経由でプライベート エンドポイントへの接続が確立されると、ゲートウェイ インフラストラクチャのいずれかのバックエンド インスタンスを通じて受信接続と送信接続がルーティングされます。 メンテナンス イベント中に、仮想ネットワーク ゲートウェイ インフラストラクチャのバックエンド インスタンスが一度に 1 つずつ再起動されるため、断続的な接続の問題が発生する可能性があります。
メンテナンス アクティビティ中にプライベート エンドポイントとの接続に関する問題を回避するか、最小限に抑えるには、オンプレミス アプリケーションの TCP タイムアウト値を 15 秒から 30 秒の間に設定することをお勧めします。 アプリケーションの要件に基づいて、最適な値をテストして構成します。
ルート サーバー
仮想ネットワーク ゲートウェイ (ExpressRoute または VPN) がある仮想ネットワークから Azure Route Server を作成または削除すると、操作が完了するまでダウンタイムが発生する可能性があります。
REST API および PowerShell コマンドレット
仮想ネットワーク ゲートウェイの構成に対して REST API および PowerShell コマンドレットを使用する場合のテクニカル リソースおよび特定構文の要件については、次のページを参照してください。
| クラシック | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
VNet 間接続
既定では、複数の仮想ネットワークを同じ ExpressRoute 回線にリンクすると、仮想ネットワーク間の接続が有効になります。 Microsoft では、仮想ネットワーク間の通信に ExpressRoute 回線を使用しないことをお勧めします。 代わりに、仮想ネットワーク ピアリングを使うことをお勧めします。 ExpressRoute 経由での VNet 間接続が推奨されない理由の詳細については、「ExpressRoute 経由の仮想ネットワーク間の接続」を参照してください。
仮想ネットワーク ピアリング
ExpressRoute ゲートウェイのある仮想ネットワークは、最大 500 の他の仮想ネットワークと仮想ネットワーク ピアリングを確立できます。 ExpressRoute ゲートウェイのない仮想ネットワーク ピアリングでは、これよりもピアリングの制限が高くなる可能性があります。
ExpressRoute スケーラブル ゲートウェイ (プレビュー)
ErGwScale 仮想ネットワーク ゲートウェイ SKU を使用すると、仮想ネットワーク内の VM とプライベート エンドポイントへの 40 Gbps の接続を実現できます。 この SKU を使用すると、アクティブな帯域幅またはフロー数に基づいて自動スケールする仮想ネットワーク ゲートウェイ インフラストラクチャの最小スケール ユニットと最大スケール ユニットを設定できます。 固定のスケール ユニットを設定して、必要な帯域幅の値で一定の接続を維持することもできます。
可用性ゾーンのデプロイとリージョンの可用性
ErGwScale は、Azure 可用性ゾーンでゾーン デプロイとゾーン冗長デプロイの両方をサポートしています。 これらの概念の詳細については、ゾーンとゾーン冗長サービスのドキュメント参照してください。
ErGwScale は、プレビューで次のリージョンで使用できます。
- オーストラリア東部
- カナダ中部
- 米国東部
- 東アジア
- フランス中部
- ドイツ中西部
- インド中部
- イタリア北部
- 北ヨーロッパ
- ノルウェー東部
- スウェーデン中部
- アラブ首長国連邦北部
- 英国南部
- 米国西部 3
自動スケールと固定スケール ユニット
仮想ネットワーク ゲートウェイ インフラストラクチャは、ユーザーが構成した最小と最大のスケール ユニットの間で、帯域幅またはフロー数の使用率に基づいて自動でスケーリングします。 スケール操作は、完了するまでに最大 30 分かかることがあります。 特定の帯域幅値で固定接続を実現する場合は、最小と最大のスケール ユニットを同じ値に設定することで、固定スケール ユニットを構成できます。
制限事項
- Basic IP: ErGwScale は、Basic IP SKU をサポートしていません。 ErGwScale を構成する場合は、Standard IP SKU を使用する必要があります。
- 最大および最小のスケール ユニット: ErGwScale のスケール ユニットは、1-40 の間で構成できます。 最小スケール ユニットは 1 より小さくできません。また、最大スケール ユニットは 40 より大きくできません。
- 移行シナリオ: パブリック プレビューでは、Standard/ErGw1Az、HighPerf/ErGw2Az/UltraPerf/ErGw3Az から ErGwScale への移行はできません。
価格
パブリック プレビュー期間中、ErGwScale は無料です。 ExpressRoute の価格の詳細については、「Azure ExpressRoute の価格」を参照してください。
スケール ユニットあたりの推定パフォーマンス
スケール ユニットあたりのサポートされるパフォーマンス
| スケール ユニット | 帯域幅 (Gbps) | 1 秒あたりのパケット数 | 1 秒あたりの接続数 | 最大 VM 接続数 1 | フローの最大数 |
|---|---|---|---|---|---|
| 1 ~ 10 | 1 | 100,000 | 7,000 | 2,000 | 100,000 |
| 11-40 | 1 | 100,000 | 7,000 | 1,000 | 100,000 |
スケール ユニットによるサンプル パフォーマンス
| スケール ユニット | 帯域幅 (Gbps) | 1 秒あたりのパケット数 | 1 秒あたりの接続数 | 最大 VM 接続数 1 | フローの最大数 |
|---|---|---|---|---|---|
| 10 | 10 | 1,000,000 | 70,000 | 20,000 | 1,000,000 |
| 20 | 20 | 2,000,000 | 140,000 | 30,000 | 2,000,000 |
| 40 | 40 | 4,000,000 | 280,000 | 50,000 | 4,000,000 |
1 最大 VM 接続数については、10 スケール ユニットを超えたところでスケールの方法が変わります。 最初の 10 スケール ユニットでは、スケール ユニットあたり 2,000 VM の容量が提供されます。 スケール ユニット 11 以上では、スケール ユニットあたり 1,000 の追加 VM 容量が提供されます。
次のステップ
使用可能な接続構成の詳細については、「ExpressRoute の概要」を参照してください。
ExpressRoute ゲートウェイの作成の詳細については、ExpressRoute 用の仮想ネットワーク ゲートウェイの作成に関するページを参照してください。
ErGwScale をデプロイする方法の詳細については、「Azure portal を使用して ExpressRoute の仮想ネットワーク ゲートウェイを構成する」を参照してください。
ゾーン冗長ゲートウェイの構成の詳細については、ゾーン冗長仮想ネットワーク ゲートウェイの作成に関するページを参照してください。
FastPath の詳細については、FastPath の概要に関するページを参照してください。