VPN Gateway の構成設定について
VPN Gateway は、仮想ネットワークとオンプレミスの場所の間でパブリック接続を使って暗号化されたトラフィックを送信する仮想ネットワーク ゲートウェイの一種です。 VPN Gateway を使用して、Azure バックボーン経由で仮想ネットワーク間にトラフィックを送信できます。
VPN Gateway の接続は複数のリソースの構成に依存し、それぞれに構成可能な設定が含まれます。 この記事の各セクションでは、Resource Manager デプロイ モデルで作成された仮想ネットワークの VPN Gateway に関連するリソースと設定について説明します。 各接続ソリューションの説明とトポロジ ダイアグラムについては、「VPN Gateway について」をご覧ください。
この記事の値は、VPN Gateway (-GatewayType Vpn を使用する仮想ネットワーク ゲートウェイ) に適用されます。 この記事では、すべてのゲートウェイの種類またはゾーン冗長ゲートウェイについては説明されていません。
-GatewayType 'ExpressRoute' に適用される値については、「ExpressRoute 用の仮想ネットワーク ゲートウェイについて」をご覧ください。
ゾーン冗長ゲートウェイについては、ゾーン冗長ゲートウェイについての記事をご覧ください。
アクティブ/アクティブ ゲートウェイについては、高可用性接続に関するページを参照してください。
Virtual WAN については、「Virtual WAN について」をご覧ください。
ゲートウェイの種類
各仮想ネットワークに配置できる各種類の仮想ネットワーク ゲートウェイは 1 つに限られています。 仮想ネットワーク ゲートウェイを作成するときは、ゲートウェイの種類が構成に対して適切であることを確認する必要があります。
-GatewayType に使用できる値は次のとおりです。
- Vpn
- ExpressRoute
VPN Gateway では、 -GatewayTypeVpnにする必要があります。
例:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
Gateway の SKU
仮想ネットワーク ゲートウェイを作成する場合、使用するゲートウェイの SKU を指定する必要があります。 ワークロード、スループット、機能、および SLA の種類に基づいて、要件を満たす SKU を選択します。 Azure Availability Zones における仮想ネットワーク ゲートウェイの SKU については、Azure Availability Zones でのゲートウェイの SKU に関するページを参照してください。
各ゲートウェイ SKU のトンネル数、接続数、およびスループット
| VPN Gateway 世代 |
SKU | S2S/VNet-to-VNet トンネル |
P2S SSTP 接続 |
P2S IKEv2/OpenVPN 接続 |
Aggregate スループット ベンチマーク |
BGP | ゾーン冗長 |
|---|---|---|---|---|---|---|---|
| Generation1 | Basic | 最大 10 | 最大 128 | サポートされていません | 100 Mbps | サポートされていません | いいえ |
| Generation1 | VpnGw1 | 最大 30 | 最大 128 | 最大 250 | 650 Mbps | サポートされています | いいえ |
| Generation1 | VpnGw2 | 最大 30 | 最大 128 | 最大 500 | 1 Gbps | サポートされています | いいえ |
| Generation1 | VpnGw3 | 最大 30 | 最大 128 | 最大 1000 | 1.25 Gbps | サポートされています | いいえ |
| Generation1 | VpnGw1AZ | 最大 30 | 最大 128 | 最大 250 | 650 Mbps | サポートされています | はい |
| Generation1 | VpnGw2AZ | 最大 30 | 最大 128 | 最大 500 | 1 Gbps | サポートされています | はい |
| Generation1 | VpnGw3AZ | 最大 30 | 最大 128 | 最大 1000 | 1.25 Gbps | サポートされています | はい |
| Generation2 | VpnGw2 | 最大 30 | 最大 128 | 最大 500 | 1.25 Gbps | サポートされています | いいえ |
| Generation2 | VpnGw3 | 最大 30 | 最大 128 | 最大 1000 | 2.5 Gbps | サポートされています | いいえ |
| Generation2 | VpnGw4 | 最大 100* | 最大 128 | 最大 5000 | 5 Gbps | サポートされています | いいえ |
| Generation2 | VpnGw5 | 最大 100* | 最大 128 | 最大 10000 | 10 Gbps | サポートされています | いいえ |
| Generation2 | VpnGw2AZ | 最大 30 | 最大 128 | 最大 500 | 1.25 Gbps | サポートされています | はい |
| Generation2 | VpnGw3AZ | 最大 30 | 最大 128 | 最大 1000 | 2.5 Gbps | サポートされています | はい |
| Generation2 | VpnGw4AZ | 最大 100* | 最大 128 | 最大 5000 | 5 Gbps | サポートされています | はい |
| Generation2 | VpnGw5AZ | 最大 100* | 最大 128 | 最大 10000 | 10 Gbps | サポートされています | はい |
(*) 100 個を超える S2S VPN トンネルが必要な場合は、Virtual WAN を使用してください。
VpnGw SKU のサイズ変更は、Basic SKU のサイズ変更を除き、同じ世代内で許可されます。 Basic SKU はレガシ SKU であり、機能に制限があります。 Basic から別の SKU に移行するには、Basic SKU VPN Gateway を削除し、必要な世代と SKU サイズの組み合わせを使用して新しいゲートウェイを作成する必要があります (レガシ SKU の操作に関する記事を参照してください)。
これらの接続の制限は別々になっています。 たとえば、VpnGw1 SKU では 128 の SSTP 接続が利用できると共に 250 の IKEv2 接続を利用できます。
料金情報については、価格に関するページをご覧ください。
SLA (サービス レベル アグリーメント) 情報は SLA のページで確認できます。
P2S 接続数が多い場合、サイト間接続に悪影響を与える可能性があります。 合計スループット ベンチマークは、サイト間接続とポイント対サイト接続の組み合わせを最大化した状態でテストしました。 1 つのポイント対サイト接続またはサイト間接続の場合、スループットが大幅に低下する場合があります。
インターネット トラフィックの状態とアプリケーションの動作に左右されるので、すべてのベンチマークが保証されるわけではないことに注意してください。
お客様が異なるアルゴリズムを使用して SKU の相対的なパフォーマンスを容易に把握できるように、サイト間接続には一般公開されている iPerf ツールと CTSTraffic ツールを使用してパフォーマンスを測定しました。 以下の表は、VpnGw SKU のパフォーマンス テストの結果を示しています。 ご覧のとおり、IPsec 暗号化と整合性の両方に GCMAES256 アルゴリズムを使用した場合に、最高のパフォーマンスが得られました。 IPsec 暗号化に AES256 を使用し、整合性に SHA256 を使用した場合は、平均的なパフォーマンスが得られました。 IPsec 暗号化に DES3 を使用し、整合性に SHA256 を使用した場合は、パフォーマンスが最も低くなりました。
VPN トンネルは VPN Gateway インスタンスに接続します。 各インスタンスのスループットは上記のスループット テーブルに記載され、そのインスタンスに接続しているすべてのトンネルで集計して使用できます。
以下の表は、異なるゲートウェイ SKU のトンネルごとに観察された帯域幅と、1 秒あたりのパケット数のスループットを示しています。 すべてのテストは、Azure 内のさまざまなリージョンにわたるゲートウェイ (エンドポイント) 間で、接続数は 100、標準の負荷条件下で実行されました。
| 世代 | SKU | Algorithms used |
観察されたトンネルごとの スループット |
観察されたトンネルごとの 1 秒あたりのパケット数 |
|---|---|---|---|---|
| Generation1 | VpnGw1 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mbps 500 Mbps 130 Mbps |
62,000 47,000 12,000 |
| Generation1 | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.2 Gbps 650 Mbps 140 Mbps |
100,000 61,000 13,000 |
| Generation1 | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.25 Gbps 700 Mbps 140 Mbps |
120,000 66,000 13,000 |
| Generation1 | VpnGw1AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mbps 500 Mbps 130 Mbps |
62,000 47,000 12,000 |
| Generation1 | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.2 Gbps 650 Mbps 140 Mbps |
110,000 61,000 13,000 |
| Generation1 | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.25 Gbps 700 Mbps 140 Mbps |
120,000 66,000 13,000 |
| Generation2 | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.25 Gbps 550 Mbps 130 Mbps |
120,000 52,000 12,000 |
| Generation2 | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.5 Gbps 700 Mbps 140 Mbps |
140,000 66,000 13,000 |
| Generation2 | VpnGw4 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
| Generation2 | VpnGw5 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
| Generation2 | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.25 Gbps 550 Mbps 130 Mbps |
120,000 52,000 12,000 |
| Generation2 | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.5 Gbps 700 Mbps 140 Mbps |
140,000 66,000 13,000 |
| Generation2 | VpnGw4AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
| Generation2 | VpnGw5AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
Note
VpnGw SKU (VpnGw1、VpnGw1AZ、VpnGw2、VpnGw2AZ、VpnGw3、VpnGw3AZ、VpnGw4、VpnGw4AZ、VpnGw5、および VpnGw5AZ) は、Resource Manager デプロイ モデルでのみサポートされています。 クラシック仮想ネットワークには、引き続き以前の (従来の) SKU をご利用ください。
- 従来のゲートウェイ SKU (Basic、Standard、HighPerformance) の使用については、「仮想ネットワーク ゲートウェイ SKU (従来の SKU) の使用」を参照してください。
- ExpressRoute ゲートウェイ SKU については、「ExpressRoute 用の仮想ネットワーク ゲートウェイについて」を参照してください。
各ゲートウェイ SKU の機能セット
新しい VPN Gateway SKU では、ゲートウェイで提供される機能セットが効率化されています。
| SKU | 機能 |
|---|---|
| Basic (\*\*) | ルート ベースの VPN: S2S/接続用に 10 個のトンネル。RADIUS 認証なし (P2S)、IKEv2 なし (P2S) ポリシー ベースの VPN: (IKEv1): 1 S2S/接続トンネル、P2S なし |
| Basic を除くすべての Generation1 および Generation2 SKU | ルートベース VPN: 最大 100 トンネル (*)、P2S、BGP、アクティブ/アクティブ、カスタム IPsec/IKE ポリシー、ExpressRoute/VPN 共存 |
( * ) "PolicyBasedTrafficSelectors" を構成することによって、ルートベースの VPN Gateway を、オンプレミスにある複数のポリシーベース ファイアウォール デバイスに接続することができます。 詳細については、PowerShell を使って複数のオンプレミス ポリシーベース VPN デバイスに VPN Gateway を接続する方法に関するページを参照してください。
(\*\*) Basic SKU はレガシ SKU と見なされています。 Basic SKU には一定の機能制限があります。 Basic SKU を使用するゲートウェイを別の SKU にサイズ変更することはできません。その代わり、新しい SKU に変更する必要があります。これには、VPN Gateway の削除と再作成が伴います。 IPv6 アドレス空間を使用する VNet に Basic SKU をデプロイすることはできません。
ゲートウェイの SKU - 運用環境と開発テスト環境のワークロード
SLA と機能セットに違いがあるため、運用環境と開発テスト環境には以下の SKU をお勧めします。
| [ワークロード] | SKU |
|---|---|
| 運用環境での重要なワークロード | Basic を除くすべての Generation1 および Generation2 SKU |
| 開発テストまたは概念実証 | Basic (\*\*) |
(\*\*) Basic SKU はレガシ SKU と見なされていて、機能制限があります。 Basic SKU を使用する前に、必要としている機能がサポートされていることを確認してください。
古い SKU (レガシ) を使用している場合、運用環境で推奨される SKU は、Standard SKU と HighPerformance SKU です。 古い SKU の情報や指示事項については、ゲートウェイ SKU (レガシ) に関するページを参照してください。
ゲートウェイの SKU を構成する
Azure Portal
Azure Portal を使用して Resource Manager の仮想ネットワーク ゲートウェイを作成する場合、ドロップダウンを使用してワーク ゲートウェイ SKU を選択できます。 表示されるオプションは、選択したゲートウェイの種類と VPN の種類に対応します。
PowerShell
次の PowerShell の例では、-GatewaySku が VpnGw1 として指定されています。 PowerShell を使用してゲートウェイを作成する場合は、まず、IP 構成を作成してから、変数を使用して参照する必要があります。 この例では、構成変数は $gwipconfig となります。
New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location 'US East' -IpConfigurations $gwipconfig -GatewaySku VpnGw1 `
-GatewayType Vpn -VpnType RouteBased
Azure CLI
az network vnet-gateway create --name VNet1GW --public-ip-address VNet1GWPIP --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw1 --no-wait
SKU のサイズ変更または変更
VPN Gateway があり、別のゲートウェイ SKU を使用する場合、使用可能なオプションは、ゲートウェイ SKU のサイズを変更するか、別の SKU に変更することです。 別のゲートウェイ SKU に変更する場合、既存のゲートウェイを完全に削除して、新しいゲートウェイを作成します。 選択したゲートウェイ SKU によっては、ゲートウェイの作成に 45 分以上かかる場合も少なくありません。 これと比較して、ゲートウェイ SKU のサイズを変更する場合は、ゲートウェイを削除して再構築する必要がないため、ダウンタイムはあまりありません。 ゲートウェイ SKU を変更する代わりにサイズを変更するオプションが利用できる場合は、そのオプションを利用するようにしてください。 ただし、サイズ変更に関する以下の規則があります。
- Basic SKU を除き、同じ世代 (Generation1 または Generation2) 内で VPN Gateway SKU を別の VPN Gateway SKU にサイズ変更することができます。 たとえば、Generation1 の VpnGw1 は Generation1 の VpnGw2 にサイズ変更できますが、Generation2 の VpnGw2 にはサイズ変更できません。
- 古いゲートウェイ SKU の操作時、Standard と HighPerformance の SKU 間でサイズ変更できます。
- Basic/Standard/HighPerformance SKU から VpnGw SKU にサイズ変更することはできません。 代わりに新しい SKU に変更する必要があります。
ゲートウェイのサイズを変更する
Azure Portal
仮想ネットワーク ゲートウェイの [構成] ページに移動します。
ページの右側にあるドロップダウン矢印をクリックして、使用可能なゲートウェイ SKU を表示します。
ドロップダウン リストから SKU を選択します。
PowerShell
Resize-AzVirtualNetworkGateway PowerShell コマンドレットを使用して、Generation1 または Generation2 SKU をアップグレードまたはダウングレードできます (Basic SKU を除くすべての VpnGw SKU のサイズを変更できます)。 Basic ゲートウェイ SKU を使用している場合は、代わりに以下の手順を使用して、ゲートウェイのサイズを変更します。
次の PowerShell サンプルでは、ゲートウェイ SKU のサイズを VpnGw2 に変更しています。
$gw = Get-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg
Resize-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -GatewaySku VpnGw2
古い (レガシ) SKU から新しい SKU に変更する
Resource Manager デプロイ モデルを使用している場合は、新しいゲートウェイ SKU に変更することができます。 従来のゲートウェイ SKU から新しい SKU に変更するときに、既存の VPN Gateway を削除し、新しい VPN Gateway を作成します。
ワークフロー:
- 仮想ネットワーク ゲートウェイに対する接続を削除します。
- 古い VPN Gateway を削除します。
- 新しい VPN Gateway を作成します。
- (サイト間接続の) 新しい VPN Gateway の IP アドレスでオンプレミス VPN デバイスを更新します。
- このゲートウェイに接続する VNet 間ローカル ネットワーク ゲートウェイのゲートウェイ IP アドレスの値を更新します。
- この VPN Gateway を介して仮想ネットワークに接続している P2S クライアント用に新しいクライアント VPN 構成パッケージをダウンロードします。
- 仮想ネットワーク ゲートウェイとの接続を作成し直します。
考慮事項:
- 新しい SKU に移行するには、ご使用の VPN Gateway が Resource Manager デプロイ モデルでなければなりません。
- クラシック VPN Gateway を使用している場合は、引き続きそのゲートウェイ用の古いレガシ SKU を使用する必要がありますが、レガシ SKU の間でサイズ変更することはできます。 新しい SKU に変更することはできません。
- レガシ SKU から新しい SKU に変更した場合は、接続のダウンタイムが発生します。
- 新しいゲートウェイ SKU に変更すると、使用している VPN Gateway のパブリック IP アドレスが変わります。 これは、以前に使用したのと同じパブリック IP アドレス オブジェクトを指定した場合でも発生します。
接続の種類
Resource Manager デプロイ モデルの各構成では、仮想ネットワーク ゲートウェイの接続の種類を指定する必要があります。 -ConnectionType に使用できる Resource Manager PowerShell 値は次のとおりです。
- IPsec
- Vnet2Vnet
- ExpressRoute
- VPNClient
次の PowerShell の例では、接続の種類 IPsecを必要とする S2S 接続を作成しています。
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -SharedKey 'abc123'
VPN の種類
VPN Gateway 構成に対して仮想ネットワーク ゲートウェイを作成する場合は、VPN の種類を指定する必要があります。 選択する VPN の種類は、作成する接続トポロジによって異なります。 たとえば、P2S 接続の場合、VPN の種類は RouteBased である必要があります。 VPN の種類は、使用しているハードウェアによっても異なる場合があります。 S2S 構成では、VPN デバイスが必要です。 一部の VPN デバイスでは、特定の VPN の種類のみがサポートされます。
選択した VPN の種類は、作成するソリューションのすべての接続要件を満たす必要があります。 たとえば、同じ仮想ネットワークに対して、S2S VPN Gateway 接続と P2S VPN Gateway 接続を作成する必要がある場合は、VPN の種類として RouteBased を使用します。P2S では、VPN の種類が RouteBased である必要があるためです。 VPN デバイスで RouteBased VPN 接続がサポートされていることも、確認する必要があります。
一度作成された仮想ネットワーク ゲートウェイの VPN の種類を変更することはできません。 仮想ネットワーク ゲートウェイを削除し、新しいものを作成する必要があります。 次の 2 つの種類の VPN があります。
PolicyBased: PolicyBased VPN は、以前は (クラシック デプロイ モデルでは) 静的ルーティング ゲートウェイと呼ばれていました。 PolicyBased VPN では、パケットを暗号化し、オンプレミス ネットワークと Azure VNet の間でアドレスのプレフィックスの組み合わせで構成された IPsec ポリシーに基づいて、IPsec トンネル経由でそのパケットを送信します。 ポリシー (またはトラフィック セレクター) は、通常、VPN デバイスの構成でアクセス リストとして定義されます。 PolicyBased VPN の種類の値は PolicyBasedです。 PolicyBased VPN を使用する場合は、次の制限事項に留意してください。
- PolicyBased VPN は、Basic ゲートウェイ SKU でのみ 使用できます。 この種類の VPN には、その他のゲートウェイの SKU との互換性はありません。
- PolicyBased VPN を使用する場合、設定できるトンネルは 1 つ だけです。
- PolicyBased VPN は S2S 接続でのみ使用でき、また使用できる構成も特定のものに限られています。 ほとんどの VPN Gateway 構成では、RouteBased VPN が必要です。
RouteBased: RouteBased VPN は、以前は (クラシック デプロイ モデルでは) 動的ルーティング ゲートウェイと呼ばれていました。 RouteBased VPN は、IP 転送やルーティング テーブルの "ルート" を使用して、対応するトンネル インターフェイスにパケットを直接送信します。 その後、トンネル インターフェイスではトンネルの内部または外部でパケットを暗号化または復号します。 RouteBased VPN のポリシーまたはトラフィック セレクターは、任意の環境間 (またはワイルドカード) として構成できます。 RouteBased VPN の種類の値は RouteBased です。
次の PowerShell の例では、 -VpnType を RouteBasedに指定しています。 ゲートウェイを作成するときは、-VpnType が構成に対して適切であることを確認する必要があります。
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased
ゲートウェイ サブネット
VPN Gateway を作成する前に、ゲートウェイ サブネットを作成する必要があります。 ゲートウェイ サブネットには、仮想ネットワーク ゲートウェイの VM とサービスが使用する IP アドレスが含まれます。 仮想ネットワーク ゲートウェイを作成すると、ゲートウェイ VM はゲートウェイ サブネットにデプロイされ、必要な VPN Gateway 設定で構成されます。 ゲートウェイ サブネットには、追加の VM などをデプロイしないでください。 ゲートウェイ サブネットを正常に動作させるには、"GatewaySubnet" という名前を付ける必要があります。 ゲートウェイ サブネットに "GatewaySubnet" という名前を付けることで、これが仮想ネットワーク ゲートウェイの VM とサービスをデプロイするサブネットであることを Azure が認識できます。
Note
0\.0.0.0/0 が宛先のユーザー定義のルートと GatewaySubnet の NSG はサポートされていません。 この構成で作成されたゲートウェイの作成はブロックされます。 ゲートウェイが正常に機能するためには、管理コントローラーへのアクセスが必要です。 ゲートウェイの可用性を確保するために、GatewaySubnet で [BGP ルート伝達] を [有効] に設定する必要があります。 これが無効に設定されていると、ゲートウェイは機能しません。
ゲートウェイ サブネットを作成するときに、サブネットに含まれる IP アドレスの数を指定します。 ゲートウェイ サブネット内の IP アドレスは、ゲートウェイ VM とゲートウェイ サービスに割り当てられます。 一部の構成では、他の構成よりも多くの IP アドレスを割り当てる必要があります。
ゲートウェイ サブネットのサイズを計画する際は、作成する構成に関するドキュメントを参照してください。 たとえば、ExpressRoute/VPN Gateway が共存する構成には、他のほとんどの構成より大規模なゲートウェイ サブネットが必要です。 また、ゲートウェイ サブネットには、将来の構成の追加に対応できる十分な数の IP アドレスが含まれるようにしてください。 /29 (Basic SKU のみに適用可能) のような小さいゲートウェイ サブネットを作成できますが、/27 以上 (/27、/26 など) のゲートウェイ サブネットを作成することをお勧めします。 このゲートウェイ サブネットは、ほとんどの構成に対応します。
次の Resource Manager PowerShell の例では、GatewaySubnet という名前のゲートウェイ サブネットを示しています。 CIDR 表記で /27 を指定しています。これで既存のほとんどの構成で IP アドレスに十分対応できます。
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
重要
ゲートウェイ サブネットを使用する場合は、ゲートウェイ サブネットにネットワーク セキュリティ グループ (NSG) を関連付けないようにしてください。 このサブネットにネットワーク セキュリティ グループを関連付けると、仮想ネットワーク ゲートウェイ (VPN と Express Route ゲートウェイ) が正常に動作しなくなることがあります。 ネットワーク セキュリティ グループの詳細については、ネットワーク セキュリティ グループの概要に関するページを参照してください。
ローカル ネットワーク ゲートウェイ
ローカル ネットワーク ゲートウェイは、仮想ネットワーク ゲートウェイとは異なります。 VPN Gateway の構成を作成する場合、通常、ローカル ネットワーク ゲートウェイはオンプレミス ネットワークとそれに対応する VPN デバイスを表します。 クラシック デプロイ モデルでは、ローカル ネットワーク ゲートウェイはローカル サイトとして参照されます。
ローカル ネットワーク ゲートウェイに名前とオンプレミス VPN デバイスのパブリック IP アドレスまたは完全修飾ドメイン名 (FQDN) を指定し、オンプレミスの場所に存在するアドレスのプレフィックスを指定します。 Azure によって、ネットワーク トラフィックの宛先アドレスのプレフィックスが参照され、ローカル ネットワーク ゲートウェイに指定した構成が確認されて、それに応じてパケットがルーティングされます。 VPN デバイスで Border Gateway Protocol (BGP) を使用する場合、VPN デバイスの BGP ピア IP アドレスとオンプレミス ネットワークの自律システム番号 (ASN) を指定します。 また、VPN Gateway 接続を使用している VNet 間の構成に対して、ローカル ネットワーク ゲートウェイを指定します。
次の PowerShell の例では、新しいローカル ネットワーク ゲートウェイを作成します。
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
場合によっては、ローカル ネットワーク ゲートウェイ設定を変更する必要があります。 たとえば、アドレス範囲を追加または変更する場合や、VPN デバイスの IP アドレスが変更された場合などです。 「PowerShell を使用したローカル ネットワーク ゲートウェイの設定の変更」を参照してください。
REST API、PowerShell コマンドレット、および CLI
VPN Gateway 構成に対して REST API、PowerShell コマンドレット、または Azure CLI を使用する場合のテクニカル リソースおよび具体的な構文の要件については、次のページを参照してください。
| クラシック | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
| サポートされていません | Azure CLI |
次のステップ
使用可能な接続構成の詳細については、「VPN Gateway について」を参照してください。