Azure VPN gatewayとは?利用できる接続構成やExpress Routeの併用について解説

Microsoft Azureなどのクラウドを活用した、テレワークや在宅勤務、リモートワークという勤務スタイルが増える中、意識しておきたいのが情報セキュリティです。自宅などの遠隔地から社内の重要データへインターネットを介してアクセスする場合には、パケットとして流れる情報がインターネット上で盗聴される恐れがあります。そこで活用したいのがVPN接続。Microsoftが提供するAzure VPN Gatewayは、クラウド(Microsoft Azure)上のAzure Virtual Network(以下、Azure上の仮想ネットワーク)と企業のオンプレミスネットワークなどの自社ネットワークとを安全につなぐためのサービスです。

今回は、Azure VPN Gatewayとは何なのか、その特徴や接続の種類、Express Routeを併用した利用方法について解説します。

Azure VPN Gatewayとは何か

Azure VPN Gatewayとは、Microsoftが提供するAzure上の仮想ネットワークとVPN接続をするためのゲートウェイ(接続ポイント)で、Azureサービスのひとつです。サブネットを設定・構築することで、VPNで安全に結ぶための仮想ネットワークゲートウェイとして動作します。

インターネット回線を介したVPN接続はIPsecやIKEでの通信により保護(サイト間接続)され、オンプレミスやクライアントデバイスでセキュアな通信を実現しますので、遠隔地からAzure上の仮想ネットワークへの安全なアクセスが可能になります。

Azure VPN Gatewayで何ができる?

Azure VPN Gatewayを利用することで、Azure上の仮想ネットワークを利用した安全なVPN接続を実現できます。

Azure VPN GatewayとLANなどのオンプレミスネットワークを接続すれば、自社のITインフラがAzure上の仮想ネットワーク内(サブネット)に参加することができます。この接続を可能にするのがサイト間接続(S2S)という構成です。
また、テレワークのためのVPN接続環境としても利用できます。テレワークでは従業員の自宅やカフェなどから社内ネットワークへのアクセスを許可しなければならない場面もあるでしょう。このような時には、ポイント対サイト接続(P2S)が便利です。
BCP(事業継続計画)を意識したデータセンター同士のVPN接続を構築するならば、VNet間接続(VNet対VNet)を利用することで実現できます。

このように、Azure VPN Gatewayは目的に応じた使い方ができるのです。

Azure VPN Gatewayを用いた接続トポロジと特徴

Azure VPN gatewayを用いた接続トポロジ(構成)は、主に3つあります。いずれもAzure上の仮想ネットワークへのVPN接続を実現するためのものですが、状況によって構成を使い分けましょう。

サイト間接続(S2S)

サイト間接続(S2S)は、Azure上の仮想ネットワークとオンプレミス間をVPN接続する構成です。IPsec/IKE(IKEv1またはIKEv2)VPNトンネルで接続しますので、自社で持つITインフラ(データセンターを含む)を同じサブネット上で安全に利用できます。
サイト間接続(S2S)でVPN利用するためには、オンプレミス側で以下の用意が必須です。

  • 固定IPアドレス
  • VPNデバイス

VPNデバイスにはAzureから構成スクリプトを直接ダウンロードできる機種もありますので、導入するVPNデバイスの選定には、以下Microsoft Azureの公式サイトを確認しましょう。

サイト間VPNゲートウェイ接続用のVPNデバイスとIPsec/IKEパラメーターについて別ウィンドウで開きます(公式サイト)

また、サイト間接続(S2S)ではローカルネットワークゲートウェイを手動で更新します。自動更新が良いという場合には、後述のVNet間接続(VNet対VNet)を利用するのもひとつの選択肢です。

マルチサイト接続

マルチサイト接続は、Azure上の仮想ネットワークに2つ以上のオンプレミスを接続する場合に利用します。この構成は、上述のサイト間接続(S2S)に分類されるものです。
マルチサイト接続では、例えば本社と支社、あるいは遠隔地にある複数のデータセンターとの接続が可能になります。

ただし、Azure上の仮想ネットワークひとつに対してAzure VPN gatewayはひとつしか構築できないため、VPN通信は帯域幅を共有します。また、マルチサイト接続を実現するためには、動的ゲートウェイの「Route Based」が必要です。

ポイント対サイト接続(P2S)

ポイント対サイト接続(P2S)は、クライアントコンピュータからVPNでAzure上の仮想ネットワークへ接続できる構成です。
Azure VPN Gatewayへ接続する側に固定IPアドレスは必要なく、VPNデバイス(ルータ等)も使用しません。ただし、接続するクライアント側は以下を準備する必要があります。

  • Azure VPN Gatewayのルート証明書
  • クライアント証明書

これらの情報を元にクライアントコンピュータがVPN接続を要求することで、ネットワークが確立されますのでどこからでもAzure上の仮想ネットワークへ接続できます。Azure上の仮想ネットワークへ接続するクライアントが複数ある場合や、テレワークを導入する時にも適した構成だと言えるでしょう。

VNet間接続(VNet対VNet)

VNet間接続(VNet対VNet)は、Azure上の仮想ネットワーク同士をVPN接続するための構成です。サイト間接続(S2S)では接続する一方がオンプレミスでしたが、VNet間接続(VNet対VNet)では接続する双方がAzure上の仮想ネットワークとイメージすれば分かりやすいでしょう。
VNet間接続(VNet対VNet)はインターネット回線を介したVPN接続ですが、IPsec/IKEで確立したトンネルを利用しますので、情報セキュリティ面も安全な通信が確保できます。

設定については、サイト間接続(S2S)のように双方すべてのローカルネットワークゲートウェイのサブネットを手動で更新する必要がありません。VNet間接続(VNet対VNet)では一方のローカルネットワークゲートウェイのアドレスを決めれば、もう一方のルーティングは自動的に決定・更新されます。

Azure VPN GatewayとExpress Routeの併用

より高度な情報セキュリティでVPN接続を実現したい、あるいはMicrosoftのPaaSやSaaSなども利用したい場合には、Azure VPN GatewayとAzure Express Routeを併用するという方法があります。
Azure Express Routeは、プロバイダが提供するプライベート接続を利用したネットワークで、Azureとダイレクト接続ができる、いわゆる専用線です。

Azure Express Routeではインターネットを経由しませんので、安全性はもちろん安定した通信品質が期待できます。例えば、遠隔地にあるデータセンター同士の同期をより安全に行えますし、テレワークで自社内の仮想デスクトップへ接続すれば、“いつもの仕事環境”を個人のPCからでも安全に利用できるのです。

また、通常のインターネット回線を介して接続するAzure VPN GatewayのS2SやP2Sでは、接続するためにVPNデバイスや証明書を必要としますが、Azure Express Routeは専用線ですので複雑な構成は必要ありません。さらに、Azure Express Routeを利用すればオンプレミスをMicrosoftクラウドに拡張可能ですので、office365に代表されるSaaSなども利用できます。

ただし、Azure VPN GatewayとAzure Express Routeを併用するには、同一のAzure上の仮想ネットワークに「VPN」と「Express Route」の2種類のゲートウェイが必要となることに注意が必要です。

Azure VPN gatewayの価格体系

Azure VPN gatewayの価格は、大きく2つのリソースに対して課金されます。

ひとつ目は、利用するAzure VPN gatewayごとの時間単位による課金です。料金は利用の際に選択するリソース要件に応じて異なります。
ふたつ目は、データ転送に対する従量課金です。例えばS2Sでは、オンプレミス間でのデータ転送率を元に課金されます。
ただし、Azure上の同じ仮想ネットワーク間のトラフィックに対しては課金されません。

詳細については、以下公式サイトを参考にしてください。
VPN Gateway の価格別ウィンドウで開きます(公式サイト)

まとめ

Azure VPN Gatewayは、Microsoftが提供するVPNゲートウェイです。接続構成は大きく3パターン用意されており、利用目的によって柔軟に選択できます。テレワークの導入などで、遠隔地から重要データへアクセスしなければならないシーンが増える中、高い情報セキュリティを意識した通信手段は必須のITインフラだと言えるでしょう。

移行準備段階で知っておくべきMicrosoft Azureの
サービスを学び、具体的にクラウド検討を考える!

Amazon Web Services(AWS)、Microsoft Azureの
導入支援サービスのご相談、お問い合わせをお待ちしております。

ページ上部へ戻る