Azure VPN Gateway とは
Azure VPN Gateway は、特定の種類の仮想ネットワーク ゲートウェイを使用するサービスであり、パブリック インターネット経由で Azure 仮想ネットワークとオンプレミスの場所の間で暗号化されたトラフィックを送信します。 VPN Gateway を使用すると、Microsoft ネットワークを経由して Azure 仮想ネットワーク間で暗号化されたトラフィックを送信することもできます。 同じ VPN ゲートウェイに対して複数の接続を作成できます。 複数の接続を作成すると、利用できるゲートウェイ帯域幅がすべての VPN トンネルによって共有されます。
VPN ゲートウェイについて
VPN ゲートウェイは仮想ネットワーク ゲートウェイの一種です。 仮想ネットワーク ゲートウェイは、自動的に構成され、作成した特定のサブネット ("ゲートウェイ サブネット" と呼ばれます) にデプロイされる 2 つ以上の Azure マネージド VM で構成されます。 ゲートウェイ VM には、ルーティング テーブルが含まれ、特定のゲートウェイ サービスが実行されます。
仮想ネットワーク ゲートウェイの作成時に指定する設定の 1 つは、"ゲートウェイの種類" です。 ゲートウェイの種類により、仮想ネットワーク ゲートウェイの使用方法と、ゲートウェイによって実行されるアクションが決まります。 仮想ネットワークには、VPN ゲートウェイと ExpressRoute ゲートウェイの 2 つの仮想ネットワーク ゲートウェイを含めることができます。 ゲートウェイの種類 "Vpn" は、作成される仮想ネットワーク ゲートウェイの種類が VPN ゲートウェイであることを示します。 これにより、異なるゲートウェイの種類を使用する ExpressRoute ゲートウェイと区別されます。 詳細については、「ゲートウェイの種類」を参照してください。
VPN ゲートウェイを作成すると、ゲートウェイ VM はゲートウェイ サブネットにデプロイされ、指定された設定で構成されます。 選択するゲートウェイ SKU によっては、このプロセスが完了するまでに 45 分以上かかる場合があります。 VPN ゲートウェイを作成したら、接続を構成できます。 たとえば、その VPN ゲートウェイと別の VPN ゲートウェイ間 (VNet 間) の IPsec/IKE VPN トンネル接続の作成や、VPN ゲートウェイとオンプレミスの VPN デバイス間 (サイト間) のクロスプレミス IPsec/IKE VPN トンネル接続の作成を行うことができます。 また、ポイント対サイト VPN 接続 (OpenVPN、IKEv2、または SSTP 経由の VPN) を作成することもできます。これにより、会議や自宅などの遠隔地から仮想ネットワークに接続できます。
VPN ゲートウェイの構成
VPN ゲートウェイ接続は、特定の設定で構成された複数のリソースに依存します。 ほとんどのリソースは個別に構成できますが、一部のリソースは特定の順序で構成する必要があります。
接続
VPN Gateway を使用して複数の接続構成を作成できるためで、どの構成がニーズに最適であるかを判断する必要があります。 ポイント対サイト、サイト間、および共存する ExpressRoute/サイト間接続のすべてに、異なる指示と構成要件があります。 接続図と構成手順への対応するリンクについては、「VPN Gateway の設計」を参照してください。
計画表
次の表は、ソリューションに最適な接続オプションを決定するのに役立ちます。 ExpressRoute は VPN Gateway の一部ではありませんが、この表に含まれていることに注意してください。
| ポイント対サイト | サイト間 | ExpressRoute | |
|---|---|---|---|
| Azure でサポートされるサービス | Cloud Services および Virtual Machines | Cloud Services および Virtual Machines | サービス一覧 |
| 一般的な帯域幅 | ゲートウェイの SKU に基づく | 一般的には 10 Gbps 未満のアグリゲート | 50 Mbps、100 Mbps、200 Mbps、500 Mbps、1 Gbps、2 Gbps、5 Gbps、10 Gbps、100 Gbps |
| サポート対象プロトコル | Secure Sockets Tunneling Protocol (SSTP)、OpenVPN、IPsec | IPsec | VLAN、NSP の VPN テクノロジー (MPLS、VPLS など) 経由の直接接続 |
| ルーティング | RouteBased (動的) | ポリシー ベース (静的ルーティング) およびルート ベース (動的ルーティング VPN) がサポートされます。 | BGP |
| 接続の弾力性 | アクティブ/パッシブ | アクティブ/パッシブまたはアクティブ/アクティブ | アクティブ/アクティブ |
| 一般的な使用例 | リモート ユーザーのための Azure 仮想ネットワークへの安全なアクセス | クラウド サービスおよび仮想マシンの開発、テスト、ラボ シナリオおよび小規模から中規模の実稼動ワークロード | すべての Azure サービス (検証済み一覧)、エンタープライズクラスおよびミッション クリティカルなワークロード、バックアップ、ビッグ データ、DR サイトとしての Azure へのアクセス |
| SLA | SLA | SLA | SLA |
| 料金 | 料金 | 料金 | 料金 |
| テクニカル ドキュメント | VPN Gateway | VPN Gateway | ExpressRoute |
| FAQ | VPN Gateway に関する FAQ | VPN Gateway に関する FAQ | ExpressRoute の FAQ |
設定
リソースごとに選択した設定は、適切な接続を作成するうえで非常に重要です。 VPNゲートウエイ の個々のリソースと設定については、「 VPN ゲートウエイ の設定について」を参照してください。 この記事には、ゲートウェイの種類、ゲートウェイの SKU、VPN の種類、接続の種類、ゲートウェイ サブネット、ローカル ネットワーク ゲートウェイ、検討が必要なその他のさまざまなリソース設定を把握するのに役立つ情報が記載されています。
デプロイ ツール
Azure Portal などの構成ツールをどれか 1 つ使用して、リソースの作成と構成を開始できます。 その後、追加のリソースを構成したり、適用できる場合に既存のリソースを変更したりするために、PowerShell などの別のツールに切り替えることができます。 現時点では、すべてのリソースとリソースの設定を Azure Portal で構成することはできません。 各接続トポロジの記事の手順では、特定の構成ツールが必要な場合が指定されています。
Gateway の SKU
仮想ネットワーク ゲートウェイを作成するときには、使用するゲートウェイの SKU を指定します。 ワークロード、スループット、機能、および SLA の種類に基づいて、要件を満たす SKU を選択します。 サポートされている機能、パフォーマンス、運用と開発テスト、構成手順など、ゲートウェイ SKU の詳細については、 VPN Gateway の設定 記事を参照してください。
次の表に、トンネル、接続、スループット別のゲートウェイ SKU を示します。 このテーブルに関するその他のテーブルと詳細については、VPN Gateway の設定に関する記事のゲートウェイ SKU セクションを参照してください。
| VPN Gateway 世代 |
SKU | S2S/VNet-to-VNet トンネル |
P2S SSTP 接続 |
P2S IKEv2/OpenVPN 接続 |
Aggregate スループット ベンチマーク |
BGP | ゾーン冗長 | Virtual Network でサポートされている VM の数 |
|---|---|---|---|---|---|---|---|---|
| Generation1 | Basic | 最大 10 | 最大 128 | サポートされていません | 100 Mbps | サポートされていません | いいえ | 200 |
| Generation1 | VpnGw1 | 最大 30 | 最大 128 | 最大 250 | 650 Mbps | サポートされています | いいえ | 450 |
| Generation1 | VpnGw2 | 最大 30 | 最大 128 | 最大 500 | 1 Gbps | サポートされています | いいえ | 1300 |
| Generation1 | VpnGw3 | 最大 30 | 最大 128 | 最大 1000 | 1.25 Gbps | サポートされています | いいえ | 4000 |
| Generation1 | VpnGw1AZ | 最大 30 | 最大 128 | 最大 250 | 650 Mbps | サポートされています | はい | 1000 |
| Generation1 | VpnGw2AZ | 最大 30 | 最大 128 | 最大 500 | 1 Gbps | サポートされています | はい | 2,000 |
| Generation1 | VpnGw3AZ | 最大 30 | 最大 128 | 最大 1000 | 1.25 Gbps | サポートされています | はい | 5000 |
| Generation2 | VpnGw2 | 最大 30 | 最大 128 | 最大 500 | 1.25 Gbps | サポートされています | いいえ | 685 |
| Generation2 | VpnGw3 | 最大 30 | 最大 128 | 最大 1000 | 2.5 Gbps | サポートされています | いいえ | 2240 |
| Generation2 | VpnGw4 | 最大 100* | 最大 128 | 最大 5000 | 5 Gbps | サポートされています | いいえ | 5300 |
| Generation2 | VpnGw5 | 最大 100* | 最大 128 | 最大 10000 | 10 Gbps | サポートされています | いいえ | 6700 |
| Generation2 | VpnGw2AZ | 最大 30 | 最大 128 | 最大 500 | 1.25 Gbps | サポートされています | はい | 2,000 |
| Generation2 | VpnGw3AZ | 最大 30 | 最大 128 | 最大 1000 | 2.5 Gbps | サポートされています | はい | 3300 |
| Generation2 | VpnGw4AZ | 最大 100* | 最大 128 | 最大 5000 | 5 Gbps | サポートされています | はい | 4400 |
| Generation2 | VpnGw5AZ | 最大 100* | 最大 128 | 最大 10000 | 10 Gbps | サポートされています | はい | 9000 |
(*)100 を超える S2S VPN トンネルが必要な場合は、VPN Gateway ではなく Virtual WAN を使用します。
可用性ゾーン
VPN ゲートウェイを Azure Availability Zones にデプロイすることができます。 これにより、仮想ネットワーク ゲートウェイに回復性、スケーラビリティ、高可用性が提供されます。 Azure Availability Zones にゲートウェイをデプロイすると、オンプレミス ネットワークの Azure への接続をゾーン レベルの障害から保護しながら、ゲートウェイを 1 つのリージョン内に物理的かつ論理的に分離できます。 「Azure Availability Zones でのゾーン冗長仮想ネットワーク ゲートウェイについて」を参照してください。
価格
料金は 2 つの要素に対して課金されます。1 つは仮想ネットワーク ゲートウェイに対する時間単位のコンピューティング コスト、もう 1 つは仮想ネットワーク ゲートウェイからのエグレス (送信) データ転送のコストです。 料金情報については、価格に関するページをご覧ください。 レガシ ゲートウェイ SKU の価格については、ExpressRoute の価格に関するページを参照し、「Virtual Network ゲートウェイ」のセクションまでスクロールしてください。
仮想ネットワーク ゲートウェイのコンピューティング コスト
仮想ネットワーク ゲートウェイごとに時間単位のコンピューティング コストが課金されます。 料金は、仮想ネットワーク ゲートウェイを作成する際に指定するゲートウェイ SKU に基づいて決定されます。 コストは、ゲートウェイ自体にかかる料金と、ゲートウェイを通過するデータ転送にかかる料金を足した額になります。 アクティブ/アクティブ セットアップのコストは、アクティブ/パッシブの場合と同じです。
データ転送コスト
データ転送のコストは、ソース仮想ネットワーク ゲートウェイからのエグレス トラフィックに基づいて計算されます。
- オンプレミスの VPN デバイスにトラフィックを送信する場合は、インターネット エグレス データ転送率を使用して課金されます。
- 異なるリージョンに属する仮想ネットワーク間でトラフィックを送信する場合は、リージョンごとの価格に基づいて課金されます。
- 同じリージョンに属する仮想ネットワーク間でトラフィックを送信する場合は、データ コストはかかりません。 同じリージョン内にある VNet 間のトラフィックは無料です。
VPN ゲートウェイの SKU の詳細については、「ゲートウェイの SKU」を参照してください。
よく寄せられる質問
VPN Gateway に関してよく寄せられる質問については、「VPN Gateway に関する FAQ」を参照してください。
新機能
RSS フィードを購読し、Azure 更新情報ページで、最新の VPN Gateway 機能の更新を確認します。