Windows Server ゲートウェイ

 

適用対象: Windows Server 2012 R2

このトピックでは、情報テクノロジ (IT) のプロフェッショナルを対象として、Windows Server ゲートウェイの機能と特長など、Windows Server ゲートウェイについての概要を示します。

注意

このトピックに加え、Windows Server ゲートウェイ関連のドキュメントも参照してください。

• Windows Server ゲートウェイのハードウェア要件と構成要件

• Windows Server ゲートウェイの転送機能の有効化: 使用事例

• テスト ラボ ガイド:System Center 2012 R2 VMM での Windows Server 2012 R2 Hyper-V 仮想化

• VMM を使って Windows Server 2012 R2 を実行しているサーバーをゲートウェイとして使用する方法に関するページ

• VMM での VM ネットワークとゲートウェイの構成に関するページ

Windows Server ゲートウェイの対象ユーザー

Windows Server ゲートウェイは、次のいずれかまたは複数の状況に該当するシステム管理者、ネットワーク アーキテクト、またはその他の IT プロフェッショナルに有用です。

• System Center 2012 R2 を使用しているか、使用を計画している場合。Windows Server ゲートウェイを展開するときに必要になります。

• 仮想ネットワーク上で仮想マシン (VM) を展開するために Hyper-V を使用しているか、使用を計画している組織の IT インフラストラクチャを設計またはサポートする場合。

• クラウド テクノロジを展開しているか、展開を計画している組織の IT インフラストラクチャを設計またはサポートする場合。

• 物理ネットワークと仮想ネットワークの間に完全なネットワーク接続を提供する場合。

• 組織のユーザーにインターネット経由で仮想ネットワークへのアクセスを提供する場合。

このトピックは次のセクションで構成されます。

• Windows Server 2012 R2 でのルーターのバージョン

• Windows Server ゲートウェイとは

• Windows Server ゲートウェイと Hyper-V ネットワーク仮想化の統合

• 高可用性のための Windows Server ゲートウェイのクラスタリング

• プライベート クラウド環境の転送ゲートウェイとしての Windows Server ゲートウェイ

• ハイブリッド クラウド環境のサイト間 VPN ゲートウェイとしての Windows Server ゲートウェイ

• VM のインターネット アクセス用のマルチテナント ネットワーク アドレス変換 (NAT)

• マルチテナント リモート アクセス VPN 接続

Windows Server 2012 R2 でのルーターのバージョン

Windows Server 2012 R2 では、RRAS マルチテナント ゲートウェイと Windows Server ゲートウェイの 2 つの異なるバージョンのゲートウェイ ルーターを利用できます。 2 つのルーターの機能は同じですが、System Center 2012 R2 を使用しているかどうかに応じて、異なる方法で各ルーターを管理できます。

RRAS マルチテナント ゲートウェイ。 RRAS マルチテナント ゲートウェイ ルーターは、マルチテナントまたは非マルチテナント展開に使用できる、すべての機能を備えた BGP ルーターです。 RRAS マルチテナント ゲートウェイ ルーターを展開するには、Windows PowerShell コマンドを使う必要があります。 詳細については、「Windows PowerShell のリモート アクセス コマンドレットに関するページ」および「Windows Server 2012 R2 RRAS マルチ テナント ゲートウェイ展開ガイド」を参照してください。

Windows Server ゲートウェイ。 Windows Server ゲートウェイを展開するには、System Center 2012 R2 と Virtual Machine Manager (VMM) を使う必要があります。 Windows Server ゲートウェイ ルーターはマルチテナント展開で使用するために設計されています。System Center 2012 R2 VMM の Windows Server ゲートウェイ ルーターでは、境界ゲートウェイ プロトコル (BGP) の構成オプションのごく一部のみを VMM ソフトウェア インターフェイスで利用できます。たとえば、ローカル BGP IP アドレスと自律システム番号 (ASN)、BGP ピア IP アドレスのリスト、および ASN 値です。 ただし、リモート アクセスの Windows PowerShell BGP コマンドを使用して、Windows Server ゲートウェイのその他の機能をすべて構成できます。 詳細については、「Windows Server Gateway」および「Virtual Machine Manager」を参照してください。

Windows Server ゲートウェイとは

Windows Server ゲートウェイは、仮想マシン (VM) ベースのソフトウェア ルーターおよびゲートウェイであり、クラウド サービス プロバイダー (CSP) や企業では、この機能を使用して、インターネットを含め仮想ネットワークと物理ネットワークとの間で、データ センターとクラウド ネットワークのトラフィックをルーティングできます。

注意

Windows Server ゲートウェイでは、IPv4 と IPv6 のフォワーディングを含め、IPv4 および IPv6 がサポートされています。 ネットワーク アドレス変換 (NAT) を使って Windows Server ゲートウェイを構成する場合、NAT44 のみがサポートされています。

仮想ネットワークは、Windows Server® 2012 で導入されたテクノロジである Hyper-V ネットワーク仮想化を使用して作成されます。

Hyper-V ネットワーク仮想化は、基盤の物理ネットワークから独立した仮想マシン (VM) ネットワークの概念を提供します。 1 つ以上の仮想サブネットで構成されるこの VM ネットワークの概念では、IP サブネットの正確な物理的場所は仮想ネットワーク トポロジから切り離されます。 その結果、組織はクラウド内の既存の IP アドレスとトポロジを維持しながらサブネットをクラウドに簡単に移動できます。 このようにインフラストラクチャを維持できるため、既存のサービスはサブネットの物理的な場所に関係なく動作を続けることができます。 つまり、Hyper-V ネットワーク仮想化はシームレスなハイブリッド クラウドを可能にします。

ただし、Windows Server 2012 を使用するプライベートおよびハイブリッドのいずれのクラウド環境でも、仮想ネットワーク上の VM と、ローカルおよびリモートの物理ネットワーク上のリソースとの接続を提供することは困難であり、仮想サブネットがネットワークの他の部分から切り離されたアイランドとなる状況が発生していました。

Windows Server 2012 R2 では、Windows Server ゲートウェイによって、物理ネットワーク リソースと VM ネットワーク リソースとの間で、それらのリソースがある場所にかかわらず、ネットワーク トラフィックがルーティングされます。 Windows Server ゲートウェイを使用すると、物理ネットワークと仮想ネットワークが物理的に同じ場所にある場合でも、複数の異なる場所にある場合でも、それらのネットワークの間でネットワーク トラフィックをルーティングできます。 たとえば、同じ物理的な場所に物理ネットワークと仮想ネットワークの両方がある場合は、転送ゲートウェイとして機能し、仮想ネットワークと物理ネットワークとの間でトラフィックをルーティングする Windows Server ゲートウェイ VM が構成された、Hyper-V を実行しているコンピューターを展開できます。 別の例として、仮想ネットワークがクラウド内に存在している場合、CSP が Windows Server ゲートウェイを展開することによって、ユーザーは自分の VPN サーバーと CSP の Windows Server ゲートウェイとの間に、仮想プライベート ネットワーク (VPN) のサイト間接続を作成できます。このリンクが確立されると、VPN 接続経由でクラウド内の仮想リソースに接続できます。

Windows Server ゲートウェイと Hyper-V ネットワーク仮想化の統合

Windows Server ゲートウェイは Hyper-V ネットワーク仮想化に統合されており、同じデータ センター内で複数の異なる顧客 (テナント) が分離された仮想ネットワークを持つ状況で、ネットワーク トラフィックを効果的にルーティングすることができます。

マルチテナントはクラウド インフラストラクチャの機能で、複数のテナントの仮想マシン ワークロードをサポートします。これらのワークロードは互いに分離されますが、すべてのワークロードが同じインフラストラクチャで実行されます。 個別のテナントの複数のワークロードは相互接続でき、リモートで管理できますが、これらのシステムが他のテナントのワークロードと相互接続したり、他のテナントがこれらをリモートで管理したりすることはできません。

たとえば、企業で複数の仮想サブネットを使用し、それぞれの仮想サブネットで、研究開発や経理など特定の部門向けに専用のサービスを提供できます。 別の例として、CSP では、物理的に同じデータ センターで、分離された仮想サブネットを使って複数のテナントを設定できます。 どちらの場合も、Windows Server ゲートウェイは、各テナントの意図的な分離を維持しながら、各テナントの間で送受信されるトラフィックをルーティングすることもできます。 この機能により、Windows Server ゲートウェイはマルチテナント対応になりました。

Hyper-V ネットワーク仮想化は、NVGRE (Network Virtualization Generic Routing Encapsulation ) を使用するネットワーク オーバーレイ テクノロジです。これにより、テナントでは独自のアドレス空間を利用でき、CSP では分離のために VLAN を使用する場合に比べて優れたスケーラビリティを実現できます。

注意

Windows Server 2012 の Hyper-V ネットワーク仮想化と Hyper-V 仮想スイッチの詳細については、Windows Server 2012テクニカル ライブラリの「Hyper-V ネットワーク仮想化の概要」と「Hyper-V 仮想スイッチの概要」を参照してください。

高可用性のための Windows Server ゲートウェイのクラスタリング

Windows Server ゲートウェイは、Hyper-V を実行しており、1 つの VM を使用して構成された専用のコンピューターに展開されます。 この VM が Windows Server ゲートウェイとして構成されます。

ネットワーク リソースの高可用性を実現するために、Hyper-V を実行している 2 台の物理ホスト サーバーを使用し、各サーバーでゲートウェイとして構成された仮想マシン (VM) を実行することによって、フェールオーバー機能を持つ Windows Server ゲートウェイを展開できます。 これらのゲートウェイ VM はクラスターとして構成され、ネットワークの停止やハードウェアの障害に対してフェールオーバーによる保護を提供します。

Windows Server ゲートウェイを展開する場合、Hyper-V およびゲートウェイとして構成する VM を実行するホスト サーバーは、Windows Server 2012 R2 を実行している必要があります。

特に記載されていない限り、以下のセクションに示す図で、次のアイコンは Windows Server ゲートウェイとして構成された VM を実行している 2 台の Hyper-V ホストを表します。 また、各サーバーで Hyper-V と VM を実行しているサーバーはいずれも Windows Server 2012 R2 を実行し、ゲートウェイ VM はクラスター化されている必要があります。

 

プライベート クラウド環境の転送ゲートウェイとしての Windows Server ゲートウェイ

プライベート クラウドは、組織専用のインフラストラクチャを使用するコンピューティング モデルです。 プライベート クラウドは、標準化された方法で提供されるリソース プーリング、セルフサービス、弾力性、従量制課金サービスなど、パブリック クラウド コンピューティングの多くの特性を共有することに加え、専用リソースによって制御とカスタマイズが向上します。

プライベート クラウドとパブリック クラウド間の基本的な違いは、プライベート クラウドは 1 つの組織のリソースをホストするのに対して、パブリック クラウドは複数の組織にクラウド リソースを提供することです。 ただし、単一の組織に複数の事業単位や部門がある場合は、本来、マルチテナントが適している可能性があります。 このような場合、プライベート クラウドはパブリック クラウドのセキュリティと分離の要件の多くを共有します。

社内設置のプライベート クラウドを展開する企業の場合、Windows Server ゲートウェイは、転送ゲートウェイとして機能し、仮想ネットワークと物理ネットワークとの間でトラフィックをルーティングします。 たとえば、研究開発や経理など、1 つ以上の部門向けに仮想ネットワークを作成したが、主要なリソース (Active Directory ドメイン サービス、SharePoint、DNS など) の多くが物理ネットワーク上にある場合、Windows Server ゲートウェイによって仮想ネットワークと物理ネットワークの間でトラフィックをルーティングし、仮想ネットワーク上で作業する従業員に、必要なすべてのサービスを提供できます。

次の図では、物理ネットワークと仮想ネットワークが同じ物理的な場所にあります。 Windows Server ゲートウェイは、物理ネットワークと仮想ネットワークの間でトラフィックをルーティングするために使用されます。

ハイブリッド クラウド環境のサイト間 VPN ゲートウェイとしての Windows Server ゲートウェイ

データセンターで複数のテナントをホストする CSP の場合、Windows Server ゲートウェイはマルチテナント ゲートウェイ ソリューションを提供します。これにより、テナントはリモート サイトからサイト間 VPN 接続経由でリソースにアクセスして管理でき、データセンター内の仮想リソースとテナントの物理ネットワークの間でネットワーク トラフィック フローが実現します。

次の図で、CSP は、複数のテナントにデータセンターのネットワークへのアクセスを提供しています。一部のテナントではインターネット上に複数のサイトがあります。 この例では、テナントは社内のサイトではサードパーティの VPN サーバーを使用し、CSP はサイト間 VPN 接続用に Windows Server ゲートウェイを使用しています。

VM のインターネット アクセス用のマルチテナント ネットワーク アドレス変換 (NAT)

次の図では、コンピューターで Web ブラウザーを実行しているホーム ユーザーが、Contoso の仮想ネットワーク上の VM である Contoso Web サーバーから、インターネットで買い物をします。 購入プロセスの中で、Web アプリはインターネット上で金融サービス企業に接続することで、ホーム ユーザーが提供するクレジット カード情報を確認します。 仮想ネットワークからインターネット リソースに接続するこの機能は、CSP の Windows Server ゲートウェイで NAT が有効になっている場合に提供されます。

マルチテナント リモート アクセス VPN 接続

次の図では、管理者は VPN ダイヤルイン接続を使用して、社内の仮想ネットワーク上の VM を管理します。 Contoso の管理者は、インターネットに接続するブランチ オフィスから VPN 接続を開始し、CSP の Windows Server ゲートウェイ経由で Contoso の仮想ネットワークに接続します。

同様に、Northwind Traders の管理者は、自宅のオフィスから VPN 接続を確立して Northwind Traders の仮想ネットワーク上の VM を管理します。

参照

境界ゲートウェイ プロトコル (BGP) の概要