Azure VPN Gateway とは

Azure VPN Gateway は、特定の種類の仮想ネットワーク ゲートウェイを使用するサービスであり、パブリック インターネット経由で Azure 仮想ネットワークとオンプレミスの場所の間で暗号化されたトラフィックを送信します。 VPN Gateway を使用すると、Microsoft ネットワークを経由して Azure 仮想ネットワーク間で暗号化されたトラフィックを送信することもできます。 同じ VPN ゲートウェイに対して複数の接続を作成できます。 複数の接続を作成すると、利用できるゲートウェイ帯域幅がすべての VPN トンネルによって共有されます。

VPN ゲートウェイについて

VPN ゲートウェイは仮想ネットワーク ゲートウェイの一種です。 仮想ネットワーク ゲートウェイは、自動的に構成され、作成した特定のサブネット ("ゲートウェイ サブネット" と呼ばれます) にデプロイされる 2 つ以上の Azure マネージド VM で構成されます。 ゲートウェイ VM には、ルーティング テーブルが含まれ、特定のゲートウェイ サービスが実行されます。

仮想ネットワーク ゲートウェイの作成時に指定する設定の 1 つは、"ゲートウェイの種類" です。 ゲートウェイの種類により、仮想ネットワーク ゲートウェイの使用方法と、ゲートウェイによって実行されるアクションが決まります。 仮想ネットワークには、VPN ゲートウェイと ExpressRoute ゲートウェイの 2 つの仮想ネットワーク ゲートウェイを含めることができます。 ゲートウェイの種類 "Vpn" は、作成される仮想ネットワーク ゲートウェイの種類が VPN ゲートウェイであることを示します。 これにより、異なるゲートウェイの種類を使用する ExpressRoute ゲートウェイと区別されます。 詳細については、「ゲートウェイの種類」を参照してください。

VPN ゲートウェイを作成すると、ゲートウェイ VM はゲートウェイ サブネットにデプロイされ、指定された設定で構成されます。 選択するゲートウェイ SKU によっては、このプロセスが完了するまでに 45 分以上かかる場合があります。 VPN ゲートウェイを作成したら、接続を構成できます。 たとえば、その VPN ゲートウェイと別の VPN ゲートウェイ間 (VNet 間) の IPsec/IKE VPN トンネル接続の作成や、VPN ゲートウェイとオンプレミスの VPN デバイス間 (サイト間) のクロスプレミス IPsec/IKE VPN トンネル接続の作成を行うことができます。 また、ポイント対サイト VPN 接続 (OpenVPN、IKEv2、または SSTP 経由の VPN) を作成することもできます。これにより、会議や自宅などの遠隔地から仮想ネットワークに接続できます。

VPN ゲートウェイの構成

VPN ゲートウェイ接続は、特定の設定で構成された複数のリソースに依存します。 ほとんどのリソースは個別に構成できますが、一部のリソースは特定の順序で構成する必要があります。

接続

VPN Gateway を使用して複数の接続構成を作成できるためで、どの構成がニーズに最適であるかを判断する必要があります。 ポイント対サイト、サイト間、および共存する ExpressRoute/サイト間接続のすべてに、異なる指示と構成要件があります。 接続図と構成手順への対応するリンクについては、「VPN Gateway の設計」を参照してください。

計画表

次の表は、ソリューションに最適な接続オプションを決定するのに役立ちます。 ExpressRoute は VPN Gateway の一部ではありませんが、この表に含まれていることに注意してください。

ポイント対サイト サイト間 ExpressRoute
Azure でサポートされるサービス Cloud Services および Virtual Machines Cloud Services および Virtual Machines サービス一覧
一般的な帯域幅 ゲートウェイの SKU に基づく 一般的には 10 Gbps 未満のアグリゲート 50 Mbps、100 Mbps、200 Mbps、500 Mbps、1 Gbps、2 Gbps、5 Gbps、10 Gbps、100 Gbps
サポート対象プロトコル Secure Sockets Tunneling Protocol (SSTP)、OpenVPN、IPsec IPsec VLAN、NSP の VPN テクノロジー (MPLS、VPLS など) 経由の直接接続
ルーティング RouteBased (動的) ポリシー ベース (静的ルーティング) およびルート ベース (動的ルーティング VPN) がサポートされます。 BGP
接続の弾力性 アクティブ/パッシブ アクティブ/パッシブまたはアクティブ/アクティブ アクティブ/アクティブ
一般的な使用例 リモート ユーザーのための Azure 仮想ネットワークへの安全なアクセス クラウド サービスおよび仮想マシンの開発、テスト、ラボ シナリオおよび小規模から中規模の実稼動ワークロード すべての Azure サービス (検証済み一覧)、エンタープライズクラスおよびミッション クリティカルなワークロード、バックアップ、ビッグ データ、DR サイトとしての Azure へのアクセス
SLA SLA SLA SLA
料金 料金 料金 料金
テクニカル ドキュメント VPN Gateway VPN Gateway ExpressRoute
FAQ VPN Gateway に関する FAQ VPN Gateway に関する FAQ ExpressRoute の FAQ

設定

リソースごとに選択した設定は、適切な接続を作成するうえで非常に重要です。 VPN Gateway の個々のリソースと設定については、VPN Gateway の設定についてに関するページおよび「ゲートウェイ SKU について」を参照してください。 これらの記事には、ゲートウェイの種類、ゲートウェイの SKU、VPN の種類、接続の種類、ゲートウェイ サブネット、ローカル ネットワーク ゲートウェイ、検討が必要なその他のさまざまなリソース設定を把握するのに役立つ情報が記載されています。

デプロイ ツール

Azure Portal などの構成ツールをどれか 1 つ使用して、リソースの作成と構成を開始できます。 その後、追加のリソースを構成したり、適用できる場合に既存のリソースを変更したりするために、PowerShell などの別のツールに切り替えることができます。 現時点では、すべてのリソースとリソースの設定を Azure Portal で構成することはできません。 各接続トポロジの記事の手順では、特定の構成ツールが必要な場合が指定されています。

Gateway の SKU

仮想ネットワーク ゲートウェイを作成するときには、使用するゲートウェイの SKU を指定します。 ワークロード、スループット、機能、および SLA の種類に基づいて、要件を満たす SKU を選択します。 サポートされている機能、パフォーマンス表、構成手順、運用環境と開発テスト環境のワークロードなど、ゲートウェイ SKU の詳細については、「ゲートウェイ SKU について」を参照してください。

VPN
Gateway
世代
SKU S2S/VNet-to-VNet
トンネル
P2S
SSTP 接続
P2S
IKEv2/OpenVPN 接続
Aggregate
スループット ベンチマーク
BGP ゾーン冗長 Virtual Network でサポートされている VM の数
Generation1 Basic 最大 10 最大 128 サポートされていません 100 Mbps サポートされていません いいえ 200
Generation1 VpnGw1 最大 30 最大 128 最大 250 650 Mbps サポートされています いいえ 450
Generation1 VpnGw2 最大 30 最大 128 最大 500 1 Gbps サポートされています いいえ 1300
Generation1 VpnGw3 最大 30 最大 128 最大 1000 1.25 Gbps サポートされています いいえ 4000
Generation1 VpnGw1AZ 最大 30 最大 128 最大 250 650 Mbps サポートされています はい 1000
Generation1 VpnGw2AZ 最大 30 最大 128 最大 500 1 Gbps サポートされています はい 2,000
Generation1 VpnGw3AZ 最大 30 最大 128 最大 1000 1.25 Gbps サポートされています はい 5000
Generation2 VpnGw2 最大 30 最大 128 最大 500 1.25 Gbps サポートされています いいえ 685
Generation2 VpnGw3 最大 30 最大 128 最大 1000 2.5 Gbps サポートされています いいえ 2240
Generation2 VpnGw4 最大 100* 最大 128 最大 5000 5 Gbps サポートされています いいえ 5300
Generation2 VpnGw5 最大 100* 最大 128 最大 10000 10 Gbps サポートされています いいえ 6700
Generation2 VpnGw2AZ 最大 30 最大 128 最大 500 1.25 Gbps サポートされています はい 2,000
Generation2 VpnGw3AZ 最大 30 最大 128 最大 1000 2.5 Gbps サポートされています はい 3300
Generation2 VpnGw4AZ 最大 100* 最大 128 最大 5000 5 Gbps サポートされています はい 4400
Generation2 VpnGw5AZ 最大 100* 最大 128 最大 10000 10 Gbps サポートされています はい 9000

(*)100 を超える S2S VPN トンネルが必要な場合は、VPN Gateway ではなく Virtual WAN を使用します。

可用性ゾーン

VPN ゲートウェイを Azure Availability Zones にデプロイすることができます。 これにより、仮想ネットワーク ゲートウェイに回復性、スケーラビリティ、高可用性が提供されます。 Azure Availability Zones にゲートウェイをデプロイすると、オンプレミス ネットワークの Azure への接続をゾーン レベルの障害から保護しながら、ゲートウェイを 1 つのリージョン内に物理的かつ論理的に分離できます。 「Azure Availability Zones でのゾーン冗長仮想ネットワーク ゲートウェイについて」を参照してください。

価格

料金は 2 つの要素に対して課金されます。1 つは仮想ネットワーク ゲートウェイに対する時間単位のコンピューティング コスト、もう 1 つは仮想ネットワーク ゲートウェイからのエグレス (送信) データ転送のコストです。 料金情報については、価格に関するページをご覧ください。 レガシ ゲートウェイ SKU の価格については、ExpressRoute の価格に関するページを参照し、「Virtual Network ゲートウェイ」のセクションまでスクロールしてください。

仮想ネットワーク ゲートウェイのコンピューティング コスト
仮想ネットワーク ゲートウェイごとに時間単位のコンピューティング コストが課金されます。 料金は、仮想ネットワーク ゲートウェイを作成する際に指定するゲートウェイ SKU に基づいて決定されます。 コストは、ゲートウェイ自体にかかる料金と、ゲートウェイを通過するデータ転送にかかる料金を足した額になります。 アクティブ/アクティブ セットアップのコストは、アクティブ/パッシブの場合と同じです。

データ転送コスト
データ転送のコストは、ソース仮想ネットワーク ゲートウェイからのエグレス トラフィックに基づいて計算されます。

  • オンプレミスの VPN デバイスにトラフィックを送信する場合は、インターネット エグレス データ転送率を使用して課金されます。
  • 異なるリージョンに属する仮想ネットワーク間でトラフィックを送信する場合は、リージョンごとの価格に基づいて課金されます。
  • 同じリージョンに属する仮想ネットワーク間でトラフィックを送信する場合は、データ コストはかかりません。 同じリージョン内にある VNet 間のトラフィックは無料です。

VPN ゲートウェイの SKU の詳細については、「ゲートウェイの SKU」を参照してください。

よく寄せられる質問

VPN Gateway に関してよく寄せられる質問については、「VPN Gateway に関する FAQ」を参照してください。

新機能

RSS フィードを購読し、Azure 更新情報ページで、最新の VPN Gateway 機能の更新を確認します。

次のステップ