ExpressRoute の仮想ネットワーク ゲートウェイについて
お使いの Azure 仮想ネットワークとオンプレミス ネットワークを ExpressRoute を使用して接続するには、最初に仮想ネットワーク ゲートウェイを作成する必要があります。 仮想ネットワーク ゲートウェイには 2 つの目的があります。1 つはネットワーク間で IP ルートを交換すること、もう 1 つはネットワーク トラフィックをルーティングすることです。 この記事では、さまざまなゲートウェイの種類、ゲートウェイ SKU、および SKU ごとの予測パフォーマンスについて説明します。 また、パフォーマンスを向上させるために、お使いのオンプレミス ネットワークからのネットワーク トラフィックが仮想ネットワーク ゲートウェイをバイパスできるようにする機能、ExpressRoute FastPath についても説明します。
ゲートウェイの種類
仮想ネットワーク ゲートウェイを作成する場合、設定をいくつか指定する必要があります。 必須の設定の 1 つである -GatewayType は、ゲートウェイを ExpressRoute と VPN トラフィックのどちらに使用するかを指定します。 ゲートウェイには、次の 2 種類があります。
Vpn - パブリック インターネットでトラフィックを暗号化して送信するには、ゲートウェイの種類 "Vpn" を使用します。 このようなゲートウェイは VPN ゲートウェイとも呼ばれます。 サイト間接続、ポイント対サイト接続、VNet 間接続のすべてで、VPN ゲートウェイが使用されます。
ExpressRoute - プライベート接続でネットワーク トラフィックを送信するには、ゲートウェイの種類 'ExpressRoute' を使用します。 このようなゲートウェイは ExpressRoute ゲートウェイとも呼ばれ、ExpressRoute の構成時に使用されます。
各仮想ネットワークに配置できる仮想ネットワーク ゲートウェイは、ゲートウェイの種類ごとに 1 つに限られています。 たとえば、-GatewayType Vpn を使用する仮想ネットワーク ゲートウェイと -GatewayType ExpressRoute を使用する仮想ネットワーク ゲートウェイをそれぞれ 1 つ配置できます。
Gateway の SKU
仮想ネットワーク ゲートウェイを作成する場合、使用するゲートウェイの SKU を指定する必要があります。 選択するゲートウェイ SKU が上位になるほど、ゲートウェイに割り当てられる CPU やネットワーク帯域幅が増えます。その結果、ゲートウェイで仮想ネットワークに対してより高いネットワーク スループットをサポートできます。
ExpressRoute の仮想ネットワーク ゲートウェイでは、次の SKU を使用できます。
- Standard
- HighPerformance
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
ゲートウェイをより大容量のゲートウェイ SKU にアップグレードする場合は、Resize-AzVirtualNetworkGateway PowerShell コマンドレットを使用するか、Azure portal の ExpressRoute 仮想ネットワーク ゲートウェイ構成ページで直接アップグレードを実行できます。 次のアップグレードがサポートされています。
- Standard から High Performance
- Standard から Ultra Performance
- High Performance から Ultra Performance
- ErGw1Az から ErGw2Az
- ErGw1Az から ErGw3Az
- ErGw2Az から ErGw3Az
- 既定値から Standard
さらに、仮想ネットワーク ゲートウェイ SKU をダウングレードできます。 次のダウングレードがサポートされています。
- High Performance から Standard
- ErGw2Az から ErGw1Az
その他のすべてのダウングレード シナリオでは、ゲートウェイを削除して再作成する必要があります。 ゲートウェイの再作成によりダウンタイムが発生します。
ゲートウェイ SKU による機能のサポート
次の表では、各ゲートウェイの種類でサポートされる機能を示しています。
| ゲートウェイ SKU | VPN Gateway と ExpressRoute の共存 | FastPath | 回線接続の最大数 |
|---|---|---|---|
| Standard SKU/ERGw1Az | はい | いいえ | 4 |
| High Perf SKU/ERGw2Az | はい | いいえ | 8 |
| Ultra Performance SKU/ErGw3Az | はい | はい | 16 |
注意
同じ仮想ネットワークに接続できる同じピアリングの場所からの ExpressRoute 回線の最大数は、すべてのゲートウェイに対して 4 です。
ゲートウェイ SKU の推定パフォーマンス
次の表は、ゲートウェイの種類と、予測されるパフォーマンスとスケールの数値を示したものです。 これらの数値は、以下のテスト条件から得られたもので、サポートの上限を表しています。 実際のパフォーマンスは、トラフィックによってテスト条件がどれだけ厳密に再現されるかによって異なる場合があります。
テスト条件
| ゲートウェイ SKU | オンプレミスから送信されるトラフィック | ゲートウェイによってアドバタイズされるルートの数 | ゲートウェイによって学習されるルートの数 |
|---|---|---|---|
| Standard/ERGw1Az | 1 Gbps | 500 | 4000 |
| High Performance/ERGw2Az | 2 Gbps | 500 | 9,500 |
| Ultra Performance/ErGw3Az | 10 Gbps | 500 | 9,500 |
パフォーマンスの結果
この表は、リソース マネージャーとクラシック デプロイ モデルの両方に適用されます。
| ゲートウェイ SKU | 1 秒あたりの接続数 | 1 秒あたりのメガビット数 | パケット数/秒 | Virtual Network でサポートされている VM の数 |
|---|---|---|---|---|
| Standard/ERGw1Az | 7,000 | 1,000 | 100,000 | 2,000 |
| High Performance/ERGw2Az | 14,000 | 2,000 | 250,000 | 4,500 |
| Ultra Performance/ErGw3Az | 16,000 | 10,000 | 1,000,000 | 11,000 |
重要
- アプリケーションのパフォーマンスは複数の要因によって異なります。これらの要因には、エンド ツー エンドの待機時間、アプリケーションが起動するトラフィック フローの数などがあります。 テーブルの数値は、アプリケーションが理想的な環境で理論上達成できる上限を表しています。 さらに、Microsoft はサービスの信頼性を維持するために、ExpressRoute 仮想ネットワーク ゲートウェイで定期的なホストと OS メンテナンスを実行します。 メンテナンス期間中は、ゲートウェイのコントロール プレーンとデータ パスの容量が減ります。
- メンテナンス期間中は、プライベート エンドポイント リソースへの断続的な接続の問題が発生する可能性があります。
ゲートウェイ サブネット
ExpressRoute ゲートウェイを作成する前に、ゲートウェイ サブネットを作成する必要があります。 ゲートウェイ サブネットには、仮想ネットワーク ゲートウェイの VM とサービスが使用する IP アドレスが含まれます。 仮想ネットワーク ゲートウェイを作成すると、ゲートウェイ VM はゲートウェイ サブネットにデプロイされ、必要な ExpressRoute ゲートウェイ設定で構成されます。 ゲートウェイ サブネットには、他には何もデプロイしないでください。 ゲートウェイ サブネットを正常に動作させるには、"GatewaySubnet" という名前を付ける必要があります。 ゲートウェイ サブネットに "GatewaySubnet" という名前を付けることで、仮想ネットワーク ゲートウェイの VM とサービスをこのサブネットにデプロイすることを Azure が認識できます。
Note
0.0.0.0/0 が宛先のユーザー定義のルートと GatewaySubnet の NSG はサポートされていません。 この構成のゲートウェイの作成はブロックされます。 ゲートウェイが正常に機能するためには、管理コントローラーへのアクセスが必要です。 ゲートウェイの可用性を確保するために、GatewaySubnet で [BGP ルート伝達] を [有効] に設定する必要があります。 BGP ルート伝達が無効に設定されていると、ゲートウェイは機能しません。
ゲートウェイ サブネットを作成するときに、サブネットに含まれる IP アドレスの数を指定します。 ゲートウェイ サブネット内の IP アドレスは、ゲートウェイ VM とゲートウェイ サービスに割り当てられます。 一部の構成では、他の構成よりも多くの IP アドレスを割り当てる必要があります。
ゲートウェイ サブネットのサイズを計画する際は、作成する構成に関するドキュメントを参照してください。 たとえば、ExpressRoute/VPN Gateway が共存する構成には、他のほとんどの構成より大規模なゲートウェイ サブネットが必要です。 さらに、ゲートウェイ サブネットには、可能性がある将来の構成に対応できる十分な数の IP アドレスが含まれるようにしてください。 /29 のような小さいゲートウェイ サブネットを作成できますが、/27 以上 (/27、/26 など) のゲートウェイ サブネットを作成することをお勧めします。 ゲートウェイに 16 本の ExpressRoute 回線を接続するつもりであれば、/26 以上のゲートウェイ サブネットを作成する必要があります。 デュアル スタックのゲートウェイ サブネットを作成する場合は、/64 以上の IPv6 範囲も使用することをお勧めします。 このセットアップは、ほとんどの構成に対応します。
次の Resource Manager PowerShell の例では、GatewaySubnet という名前のゲートウェイ サブネットを示しています。 CIDR 表記で /27 を指定しています。これで既存のほとんどの構成で IP アドレスに十分対応できます。
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
重要
ゲートウェイ サブネットを使用する場合は、ゲートウェイ サブネットにネットワーク セキュリティ グループ (NSG) を関連付けないようにしてください。 このサブネットにネットワーク セキュリティ グループを関連付けると、仮想ネットワーク ゲートウェイ (VPN と Express Route ゲートウェイ) が正常に動作しなくなることがあります。 ネットワーク セキュリティ グループの詳細については、ネットワーク セキュリティ グループの概要に関するページを参照してください。
ゾーン冗長ゲートウェイ SKU
Azure Availability Zones に、ExpressRoute ゲートウェイをデプロイすることもできます。 この構成により、ゲートウェイは異なる Availability Zones に物理的かつ論理的に分離され、オンプレミス ネットワークの Azure への接続がゾーン レベルの障害から保護されます。
ゾーン冗長ゲートウェイでは、ExpressRoute ゲートウェイに特定の新しいゲートウェイ SKU が使用されます。
- ErGw1AZ
- ErGw2AZ
- ErGw3AZ
新しいゲートウェイ SKU では、ニーズに最も適したその他のデプロイ オプションもサポートされます。 新しいゲートウェイ SKU を使用して仮想ネットワーク ゲートウェイを作成する場合、特定のゾーン内にゲートウェイをデプロイできます。 このようなゲートウェイはゾーン ゲートウェイと呼ばれます。 ゾーン ゲートウェイをデプロイすると、すべてのゲートウェイ インスタンスが同じ可用性ゾーンにデプロイされます。
FastPath
ExpressRoute 仮想ネットワーク ゲートウェイの目的は、ネットワーク ルートを交換し、ネットワーク トラフィックをルーティングすることです。 FastPath の目的は、お使いのオンプレミス ネットワークと仮想ネットワークの間のデータ パスのパフォーマンスを向上させることです。 FastPath が有効になっていると、ゲートウェイはバイパスされ、ネットワーク トラフィックが仮想ネットワーク内の仮想マシンに直接送信されます。
制限や要件を含む FastPath の詳細については、FastPath の概要に関するページを参照してください。
プライベート エンドポイントへの接続
ExpressRoute 仮想ネットワーク ゲートウェイは、仮想ネットワーク ゲートウェイと同じ仮想ネットワークに、また仮想ネットワークのピアを横断してデプロイされたプライベート エンドポイントへの接続を容易にします。
重要
- 非プライベート エンドポイント リソースへの接続と比較して、スループットとコントロール プレーン容量が半分になる場合があります。
- メンテナンス期間中は、プライベート エンドポイント リソースへの断続的な接続の問題が発生する可能性があります。
ルート サーバー
Virtual Network ゲートウェイ (ExpressRoute または VPN) を含む仮想ネットワークから Azure Route Server を作成または削除する場合、操作が完了するまでダウンタイムが予想されます。
REST API および PowerShell コマンドレット
仮想ネットワーク ゲートウェイの構成に対して REST API および PowerShell コマンドレットを使用する場合のテクニカル リソースおよび特定構文の要件については、次のページを参照してください。
| クラシック | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
VNet 間接続
既定では、複数の仮想ネットワークを同じ ExpressRoute 回線にリンクすると、仮想ネットワーク間の接続が有効になります。 ただし、仮想ネットワーク間の通信には ExpressRoute 回線を使用せず、代わりに VNet ピアリングを使用することをお勧めします。 ExpressRoute 経由での VNet 間接続が推奨されない理由の詳細については、「ExpressRoute 経由の仮想ネットワーク間の接続」を参照してください。
仮想ネットワーク ピアリング
ExpressRoute ゲートウェイのある仮想ネットワークは、最大 500 の他の仮想ネットワークと仮想ネットワーク ピアリングを確立できます。 ExpressRoute ゲートウェイのない仮想ネットワーク ピアリングでは、ピアリングの制限がこれよりも高くなる可能性があります。
次のステップ
使用可能な接続構成の詳細については、「ExpressRoute の概要」を参照してください。
ExpressRoute ゲートウェイの作成の詳細については、ExpressRoute 用の仮想ネットワーク ゲートウェイの作成に関するページを参照してください。
ゾーン冗長ゲートウェイの構成の詳細については、ゾーン冗長仮想ネットワーク ゲートウェイの作成に関するページを参照してください。
FastPath の詳細については、FastPath の概要に関するページを参照してください。