Azure VPN Gateway を設計して実装する
- 12 分
Azure VPN Gateway は、パブリック インターネット経由で Azure 仮想ネットワークとオンプレミスの場所の間で暗号化されたトラフィックを送信するために使用できるサービスです。 VPN Gateway を使用すると、Microsoft ネットワークを経由して Azure 仮想ネットワーク間で暗号化されたトラフィックを送信することもできます。 VPN Gateway では、VPN ゲートウェイと呼ばれる Azure 仮想ネットワーク ゲートウェイの特定の種類を使用します。 同じ VPN ゲートウェイに対して複数の接続を作成できます。 複数の接続を作成すると、利用できるゲートウェイ帯域幅がすべての VPN トンネルによって共有されます。
注
仮想ネットワーク ゲートウェイは、ゲートウェイ サブネットと呼ばれる特定のサブネットにデプロイされる 2 つ以上の特別な仮想マシンで構成されます。 仮想マシンは Azure によって管理されるため、管理上の注意は必要ありません。
VPN ゲートウェイの計画
仮想ネットワーク ゲートウェイの作成は完了までに時間がかかる場合があるため、適切な計画を立てることが不可欠です。 計画プロセス中に考慮する必要がある要素は次のとおりです。
- スループット - Mbps または Gbps
- バックボーン - インターネットかプライベートか
- パブリック (静的) IP アドレスの可用性
- VPN デバイスの互換性
- 複数のクライアント接続か、またはサイト間のリンクか
- VPN ゲートウェイの種類
- VPN Gateway の SKU
VPN Gateway SKU
VPN ゲートウェイを作成するときは、 ゲートウェイ SKU を選択する必要があります。 ワークロード、スループット、機能、SLA に基づいて要件を満たす SKU を選択できます。
ヒント
Basic SKU には機能とパフォーマンスの制限があり、運用環境では使用しないでください。
VPN Gateway の種類
仮想ネットワーク ゲートウェイを作成するときは、VPN の種類を指定する必要があります。 VPN ゲートウェイには、ポリシーベースとルートベースの 2 種類があります。 各 VPN の種類には、特定の接続要件があります。 仮想ネットワーク ゲートウェイを作成したら、VPN の種類を変更することはできません。
ポリシー ベースのゲートウェイ
ポリシー ベースの VPN は、以前は静的ルーティング ゲートウェイと呼ばれています。 ポリシー ベースの VPN では、IPsec ポリシーに基づいて IPsec トンネルを介してパケットを暗号化して直接送信します。 ポリシー (またはトラフィック セレクター) は、VPN デバイスの構成でアクセス リストとして定義されます。 ポリシー ベースの VPN を使用する場合は、次の制限事項に注意してください。
- IKEv1 プロトコルをサポートするポリシー ベースの VPN は、Basic Gateway SKU でのみ使用できます。
- ポリシー ベースの VPN を使用する場合は、トンネルを 1 つだけ使用できます。
- ポリシーベースの VPN は、サイト間接続にのみ使用できます。
ルート ベースのゲートウェイ
ルートベースの VPN は、以前は動的ルーティング ゲートウェイと呼ばれています。 ルートベースの VPN では、IP 転送またはルーティング テーブルの "ルート" を使用して、対応するトンネル インターフェイスにパケットを転送します。 その後、トンネル インターフェイスではトンネルの内部または外部でパケットを暗号化または復号します。 ほとんどの VPN ゲートウェイはルートベースです。
VPN 接続の高可用性オプション
VPN 接続の可用性を高めるために、次のいずれかのオプションを検討してください。
- VPN Gateway の冗長性 (アクティブ/スタンバイ)
- アクティブ/アクティブの Azure VPN Gateway
アクティブ スタンバイの Azure VPN ゲートウェイ
アクティブ/スタンバイ構成で Azure VPN ゲートウェイを作成できます。 アクティブ スタンバイが既定の構成です。 この構成には、アクティブとスタンバイの 2 つのインスタンスがあります。 アクティブな接続が中断されると、スタンバイ接続が引き継ぎます。 スタンバイ接続に切り替えると、サービスの中断が発生します。
- 計画メンテナンスの場合、接続は秒単位で復元されます。
- 計画外の中断の場合、接続は数分で復元されます。
- P2S クライアント接続の場合は、再接続する必要があります。
アクティブ/アクティブ Azure VPN ゲートウェイ
アクティブ/アクティブ構成で Azure VPN ゲートウェイを作成できます。 アクティブ/アクティブ構成では、ゲートウェイの両方のインスタンスがオンプレミス VPN デバイスへの VPN トンネルを確立します。 Azure 仮想ネットワークからオンプレミス ネットワークへのトラフィックは、両方のトンネルを介して同時にルーティングされます。 障害が発生した場合、Azure は自動的にもう一方のトンネルに切り替えます。
