RAS ゲートウェイ

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

クラウド サービス プロバイダー (CSP) や企業は、RAS ゲートウェイを使って、仮想と物理両方のネットワーク (インターネットを含む) の間で、データセンターとクラウド ネットワークのトラフィックをルーティングできます。

注意

RAS ゲートウェイでは、IPv4 と IPv6 のフォワーディングを含め、IPv4 および IPv6 がサポートされています。 ネットワーク アドレス変換 (NAT) を使って RAS ゲートウェイを構成する場合、NAT44 のみがサポートされています。

RAS ゲートウェイに興味を示すのはどんなユーザーですか。

次の 1 つ以上の状況に該当する場合、RAS ゲートウェイは、システム管理者、ネットワーク アーキテクト、または他の IT プロフェッショナルにとって有用な場合があります。

• 仮想ネットワーク上で仮想マシン (VM) を展開するために Hyper-V を使用しているか、使用を計画している組織の IT インフラストラクチャを設計またはサポートする場合。

• クラウド テクノロジを展開しているか、展開を計画している組織の IT インフラストラクチャを設計またはサポートする場合。

• 物理ネットワークと仮想ネットワークの間に完全なネットワーク接続を提供する場合。

• 組織のユーザーにインターネット経由で仮想ネットワークへのアクセスを提供する場合。

• オフィスをインターネット経由で物理的に異なる場所に接続する場合。

情報テクノロジ (IT) のプロフェッショナルを対象とするこのトピックでは、RAS ゲートウェイの展開モードや特徴など、RAS ゲートウェイについて説明します。

このトピックは、次のセクションで構成されています。

• RAS ゲートウェイの展開モード

• 高可用性を実現するための RAS ゲートウェイのクラスタリング

• RAS ゲートウェイの機能

• RAS ゲートウェイの展開シナリオ

• RAS ゲートウェイの管理ツール

RAS ゲートウェイの展開モード

RAS ゲートウェイには、次の展開モードがあります:

シングル テナント モード

シングル テナント モードでは RAS ゲートウェイを展開しないことをお勧めします。 シングル テナント モードのシナリオについては、シングル テナントに関する記事をご覧ください。

マルチテナント モード

組織が複数のテナントを持つ CSP またはエンタープライズである場合は、マルチテナント モードで RAS ゲートウェイを展開して、仮想ネットワークと物理ネットワークとの間でネットワーク トラフィックをルーティングすることができます。

マルチテナントはクラウド インフラストラクチャの機能で、複数のテナントの仮想マシン ワークロードをサポートします。これらのワークロードは互いに分離されますが、すべてのワークロードが同じインフラストラクチャで実行されます。 個別のテナントの複数のワークロードは相互接続でき、リモートで管理できますが、これらのシステムが他のテナントのワークロードと相互接続したり、他のテナントがこれらをリモートで管理したりすることはできません。

たとえば、企業で複数の仮想サブネットを使用し、それぞれの仮想サブネットで、研究開発や経理など特定の部門向けに専用のサービスを提供できます。 別の例として、CSP では、物理的に同じデータ センターで、分離された仮想サブネットを使って複数のテナントを設定できます。 どちらの場合も、RAS ゲートウェイは、各テナントの意図的な分離を維持しながら、各テナントの間で送受信されるトラフィックをルーティングすることもできます。 この機能により、RAS ゲートウェイはマルチテナント対応になりました。

仮想ネットワークは、Hyper-V ネットワーク仮想化を使用して作成されます。 RAS ゲートウェイは Hyper-V ネットワーク仮想化に統合されており、同じデータ センター内で複数の異なる顧客 (テナント) が分離された仮想ネットワークを持つ状況で、ネットワーク トラフィックを効果的にルーティングすることができます。

Hyper-V ネットワーク仮想化は、基盤の物理ネットワークから独立した仮想マシン (VM) ネットワークを展開できるようにｓます。 1 つ以上の仮想サブネットで構成される VM ネットワークでは、IP サブネットの正確な物理的場所は仮想ネットワーク トポロジから切り離されます。 その結果、組織はクラウド内の既存の IP アドレスとトポロジを維持しながらオンプレミスでサブネットをクラウドに簡単に移動できます。 このようにインフラストラクチャを維持できるため、既存のサービスはサブネットの物理的な場所に関係なく動作を続けることができます。 つまり、Hyper-V ネットワーク仮想化はシームレスなハイブリッド クラウドを可能にします。

注意

Hyper-V ネットワーク仮想化は、汎用ルーティング カプセル化 (NVGRE) を使用するネットワーク オーバーレイ テクノロジです。これにより、テナントでは独自のアドレス空間を利用でき、CSP ではテナント分離のために VLAN を使用する場合に比べて優れたスケーラビリティを実現できます。

Windows Server では、RAS ゲートウェイによって、物理ネットワーク リソースと VM ネットワーク リソースとの間で、それらのリソースがある場所にかかわらず、ネットワーク トラフィックがルーティングされます。 RAS ゲートウェイを使用すると、物理ネットワークと仮想ネットワークが物理的に同じ場所にある場合でも、複数の異なる場所にある場合でも、それらのネットワークの間でネットワーク トラフィックをルーティングできます。

たとえば、同じ物理的な場所に物理ネットワークと仮想ネットワークの両方がある場合は、転送ゲートウェイとして機能し、仮想ネットワークと物理ネットワークとの間でトラフィックをルーティングする RAS ゲートウェイ VM が構成された、Hyper-V を実行しているコンピューターを展開できます。

別の例として、仮想ネットワークがクラウド内に存在している場合、CSP が RAS ゲートウェイを展開することによって、ユーザーは自分の VPN サーバーと CSP の RAS ゲートウェイとの間に、仮想プライベート ネットワーク (VPN) のサイト間接続を作成できます。このリンクが確立されると、VPN 接続経由でクラウド内の仮想リソースに接続できます。

詳細については、「RAS ゲートウェイの高可用性」を参照してください。

高可用性を実現するための RAS ゲートウェイのクラスタリング

RAS ゲートウェイは、Hyper-V を実行しており、1 つの VM を使用して構成された専用のコンピューターに展開されます。 その後、VM が RAS ゲートウェイとして構成されます。

ネットワーク リソースの高可用性を実現するために、Hyper-V を実行している 2 台の物理ホスト サーバーを使用し、各サーバーでゲートウェイとして構成された仮想マシン (VM) を実行することによって、フェールオーバー機能を持つ RAS ゲートウェイを展開できます。 これらのゲートウェイ VM はクラスターとして構成され、ネットワークの停止やハードウェアの障害に対してフェールオーバーによる保護を提供します。

たとえば、組織がプライベート クラウド展開のエンタープライズである場合は、2 つの RAS ゲートウェイ VM のみが必要になることがあります。これらはそれぞれ、Hyper-V を実行する別のコンピューターにインストールされます。 このシナリオでは、高可用性を実現するために、RAS ゲートウェイ VM がクラスターに追加されます。

別の例として、組織がデータセンターに 200 のテナントを持つクラウド サービス プロバイダー (CSP) である場合、8 つの RAS ゲートウェイ VM を使用して、クラスター化された各 RAS ゲートウェイ VM ペアで 50 のテナントにルーティング サービスを提供できます。 このシナリオでは、Hyper-V を実行する 2 台のコンピューターに、RAS ゲートウェイとして構成されている4つの VM があります。 次に、4 つの RAS ゲートウェイ VM クラスターを構成します。各クラスターには、Hyper-V を実行する各コンピューターから 1 つの VM が含まれます。

RAS ゲートウェイを展開する場合、Hyper-V およびゲートウェイとして構成する VM を実行するホスト サーバーは、Windows Server を実行している必要があります。

RAS ゲートウェイの機能

RAS ゲートウェイには、次の機能があります:

• サイト対サイト VPN。 この RAS ゲートウェイ機能を使用すると、サイト間 VPN 接続を使用して、インターネット経由で異なる物理的な場所にある 2 つのネットワークを接続することができます。 メイン オフィスと複数のブランチ オフィスがある場合は、各場所にエッジ RAS ゲートウェイを展開し、サイト間接続を作成して、場所と場所の間にネットワーク トラフィック フローを提供できます。 データセンターで複数のテナントをホストする CSP の場合、RAS ゲートウェイはマルチテナント ゲートウェイ ソリューションを提供します。これにより、テナントはリモート サイトからサイト間 VPN 接続経由でリソースにアクセスして管理でき、データセンター内の仮想リソースとテナントの物理ネットワークの間でネットワーク トラフィック フローが実現します。

• ポイント対サイト VPN。 この RAS ゲートウェイ機能を使用すると、組織の従業員または管理者は、リモートの場所から組織のネットワークに接続できます。 RAS ゲートウェイのシングル テナント展開では、リモート従業員が VPN 接続を使用して組織のネットワークに接続できます。 この接続では、イントラネット Web サイトやファイル サーバーなどの内部ネットワーク リソースを使用できます。 マルチテナント展開の場合、テナント ネットワーク管理者は、ポイント対サイト VPN 接続を使用して、CSP データセンターの仮想ネットワーク リソースにアクセスできます。

• Border Gateway Protocol (BGP) を使用した動的ルーティング。 BGP を使用するとルーター上で手動でルートを構成する必要性が減ります。それは、BGP が動的ルーティング プロトコルであり、サイト間 VPN 接続を使用して接続されているサイト間のルートが自動的に学習されるためです。 RAS ゲートウェイなどの BGP 対応ルーターを使用して接続されている複数のサイトが組織にある場合、BGP では、ネットワークの中断や障害が発生した場合に、ルーターが有効なルートを自動的に計算して使用することができます。 詳細については、RFC 4271 を参照してください。

• ネットワーク アドレス変換 (NAT)。 ネットワーク アドレス変換 (NAT) を使用すると、単一のパブリック IP アドレスを持つ単一のインターフェイスを使用して、パブリック インターネットへの接続を共有できます。 プライベート ネットワーク上のコンピューターは、プライベートでルーティング不可能なアドレスを使用します。 NAT は、プライベート アドレスをパブリック アドレスにマップします。 この RAS ゲートウェイ機能を使用すると、シングル テナントが展開される組織の従業員は、ゲートウェイの裏側からインターネット リソースにアクセスできます。 CSP の場合、この機能により、テナント VM で実行されているアプリケーションでインターネットにアクセスできるようになります。 たとえば、Web サーバーとして構成されているテナント VM は、クレジットカード トランザクションを処理するために外部の財務リソースに接続できます。

RAS ゲートウェイの展開シナリオ

RAS ゲートウェイの推奨される展開シナリオを次に示します:

• エンタープライズ エッジ - シングル テナントの展開。 シングル テナント エンタープライズの展開では、サイト間 VPN 機能を使用して、インターネット経由で物理的に 1 つの場所に接続できます。また、Border Gateway Protocol (BGP) では動的ルーティングを使用できます。 また、リモートの従業員に対して、ポイント対サイト VPN 接続と DirectAccess 接続の両方を使用して、組織のネットワークへのアクセスを提供することもできます。 (DirectAccess 接続は常にオンであり、DirectAccess を使用して接続されているコンピューターを簡単に管理できる利点も提供します (オンのときは常に接続されており、インターネットに接続されているため))。イントラネット上のコンピューターがインターネットと簡単に通信できるように、NAT を使用してシングル テナントのエンタープライズ RAS ゲートウェイを構成することもできます。

• クラウド サービス プロバイダーのエッジマルチテナント展開。 CSP 用の RAS ゲートウェイ マルチテナント展開では、エンタープライズ エッジ シングル テナント展開で使用できるすべての機能をテナントに提供できます。 データセンター内のテナントの仮想ネットワークとインターネット上のテナントのネットワークの場所との間のサイト間 VPN 接続は、テナントが常にクラウド リソースにシームレスにアクセスできることを意味します。 テナントのポイント対サイト VPN アクセスは、テナント管理者が常にデータセンター内の仮想ネットワークに接続して、リソースを管理できることを意味します。 BGP は動的ルーティングを提供し、インターネットや他の場所でネットワークの問題が発生した場合でもテナントを資産に接続し続けます。 また、NAT を使用すると、テナント VM はクレジット カード処理リソースなど、インターネット上のリソースに接続できます。

RAS ゲートウェイの管理ツール

RAS ゲートウェイの管理ツールを次に示します:

• Windows Server 2016 で RAS ゲートウェイ ルーターを展開するには、Windows PowerShell コマンドを使う必要があります。 詳細については、「Windows Server および Windows 11 用のリモート アクセス コマンドレット」を参照してください。

• System Center Virtual Machine Manager (VMM) では、RAS ゲートウェイは、Windows Server ゲートウェイという名前です。 境界ゲートウェイ プロトコル (BGP) の構成オプションのごく一部のみを VMM ソフトウェア インターフェイスで利用できます。たとえば、ローカル BGP IP アドレスと自律システム番号 (ASN)、BGP ピア IP アドレスのリスト、および ASN 値です。 ただし、リモート アクセスの Windows PowerShell BGP コマンドを使用して、Windows Server ゲートウェイのその他の機能をすべて構成できます。 詳細については、「Windows Server および Windows クライアントの仮想マシン マネージャー (VMM) およびリモート アクセス コマンドレット」を参照してください。

関連トピック

• RAS ゲートウェイの高可用性
• Windows Server の GRE トンネリング
• RAS ゲートウェイ GRE トンネルのスループットとパフォーマンス