Microsoft Azureとの接続に必要なネットワーク、その種類や注意点とは

Microsoft Azure(以下Azure)を企業システムの一部として利用する多くの場合、Azure内に仮想ネットワークを作成し、また、その仮想ネットワークにオフィスなどの拠点から接続するための物理的な接続回線(以下、接続回線といいます。インターネットを含みます。)が必要となります。具体的には、Azure内に作成した自社用の仮想ネットワーク上に仮想サーバー(VM、Virtual Machine)と必要なサーバーアプリケーションをデプロイ(利用可能な状態にすること。)し、オフィスから回線経由でそのサーバーアプリケーションを利用します。また、ネットワークに関わる必要な追加設定を行うことにより、社内のオンプレミスサーバーやほかの仮想マシンなどと接続・連携することも可能となります。

今回はAzureの仮想ネットワークおよびAzureへ接続する回線の概要や主な種類について解説します。また、構築方法や注意点などについても触れておりますが、実際に設計・構築する際の企業要件はそれぞれ異なりますので、詳細な設計方法に際しては、各サービスの詳細をご確認いただくとともにパートナー会社などにご相談ください。

比べて納得!クラウドへの接続方法 e-Bookをダウンロードして理解を深めましょう!

Microsoft Azureへの自社オフィスなどからの接続回線

Microsoft Azure上に構築するシステムに自社オフィスなどから接続するためには、接続する回線を決定し、準備する必要があります。
まず、インターネット経由とするのか、非インターネット経由とするのかが大きな判断ポイントになります。企業データの保護など、セキュリティの観点からクローズドな環境での接続が必要な場合や安定した通信品質が重要な場合には、非インターネット経由での接続が優位です。逆にコスト面だけをみるのであればインターネット経由での接続が優位となります。
具体的には、インターネット経由の場合ではインターネット接続とインターネットVPN接続、非インターネット経由の場合では閉域ネットワーク接続と専用線接続の、4つが挙げられます。
また、企業のオンプレミスネットワークからインターネットVPNで接続する場合にはMicrosoft のVPN Gateway サービスを受け口として、閉域ネットワーク接続か専用線接続を行う場合にはMicrosoft のExpressRouteサービスを受け口として利用する必要があります。

VPN Gateway

VPN GatewayはAzure上の仮想ネットワークと他のネットワークを、インターネット経由で安全に接続するためのMicrosoft Azureのサービスの一つです。VPN Gatewayを経由してAzure内のリソースにアクセスします。
接続方法は以下の3種類があります。

S2S(サイト対サイト)

インターネットVPNでの接続を選択した場合で、企業の社内オンプレミスネットワークをAzure上の仮想ネットワークに接続することができます。また、自社のオンプレミスネットワーク上にあるオンプレミスサーバーから接続することも可能です。
S2S接続は、パブリックIPを設定されたオンプレミスネットワークとAzureのVPN Gatewayを接続する、ネットワークサイト間の接続を行う接続方法です。

P2S(ポイント対サイト)

従業員の自宅など、オフィスのオンプレミスネットワークに接続されていない遠隔地からAzure上の仮想ネットワークに接続する時などに利用されます。また、Azure上の仮想ネットワークに接続する、オフィス内のクライアントPCの数が少ない時にも取りうる選択肢です。
P2S接続は、個々のクライアント端末(PCなど)とAzure VPN Gatewayを、直接接続する方法です。

V2V(VNet間)

Microsoft Azureは、世界中の複数のリージョン(地域)それぞれに、複数配置されたデータセンターで運用されています。他のクラウドサービスも同様ですが、IaaSのサービスを利用して、Azure内の複数のデータセンターに複製を持たせるなど、自社固有Vnetのクラウド内でのgeo冗長性※を持たせたい場合には、マルチリージョンサービスなどを選択する必要があります。(なお、自社オンプレミス環境とクラウド環境で冗長性を保つ方法も選択肢としてはあります。)
Azure内の別々のリージョンに設置した、複数の自社のAzure上の仮想ネットワーク間を接続する際などに、V2V接続は使われます。
※地理的に離れた場所(データセンター)に同じデータを複製・格納し、大規模な災害や障害に対するシステムの可用性をさらに担保すること

VPN Gatewayの料金は、帯域幅や最大接続数が異なるVPN Gatewayの種類(SKU)毎に異なる、時間当たりの単価と利用時間に応じて決まります。詳細ついては、Microsoft Azureの公式サイトをご覧ください。
https://azure.microsoft.com/ja-jp/pricing/details/vpn-gateway/別ウィンドウで開きます

VNetとインターネットの接続

Azure上の仮想ネットワーク内のAzureリソースは、設定を行うことによりインターネットに接続できます。インターネットと接続する場合には、内向きトラフィック(inbound traffic)と外向きトラフィック(outbound traffic)の両方向の通信セキュリティを考慮した設計を行いましょう。

VNetとインターネットの接続

ExpressRouteは自社オンプレミス環境とMicrosoftクラウド(Azure、Office 365、Dynamics 365)との専用接続を実現する、Microsoftが提供するサービスです。ExpressRouteと通信事業者の閉域ネットワークを利用すると、利用者のコアデータがパブリックなインターネットを経由しないため、より高いセキュリティと通信品質の確保が可能となります。Express Routeは、閉域ネットワークや専用線などの回線事業者のサービスでつなげて利用します。安全性と通信品質に優れたサービスなので、特にセキュリティを気にすべき企業システムの一部として、また、定期的なデータ移行、バックアップ、回復などにも最適なサービスです。
ExpressRouteの料金プランには、従量課金プランと無制限データプランがあり、それぞれ選択した接続される回線帯域に応じた料金が設定されています。実際の使用量が少ない場合には従量課金プランを、使用量が多い場合には無制限プランを選択すると良いでしょう。また、それぞれのデータプランにはStandardとPremiumの2種類が設けられており、Premiumでは全世界のAzureのデータセンターにアクセスできるなど、Standardとの違いがあります。

詳細と具体的な料金については、Microsoft Azureの公式サイトをご覧ください。
https://azure.microsoft.com/ja-jp/pricing/details/expressroute/別ウィンドウで開きます

Microsoft Azureにおける仮想ネットワークとは

次に、Azure上の自社用仮想ネットワークである、Azure Virtual Networkの概要について解説します。

Azure Virtual Network (VNet)とは

Azure Virtual Network(以下、VNetといいます。)は、Azure内に自社のプライベートなネットワークを構築できるサービスです。作成したVNet上にVMやサーバーアプリケーションをデプロイすることにより、Azure上のシステム構築や運用を行います。複数のシステムをAzure上で運用する場合には、運用フェーズにおいてシステムごとの調整が必要となることが多いため、VNetを複数準備することをお勧めいたします。

VNet内のサブネットへの分割

VNetの中には少なくとも1つのサブネットを指定します。また、オンプレミス環境でのネットワーク設計と同様に、アドレス空間を複数のサブネットに分割することも可能です。各サブネットへはIPアドレス毎回指定してアクセスする方法もありますが、ドメイン名を設定しDNSサービスで名前解決させてアクセスさせるほうが、サブネット管理の面で良いと思います。Azureに標準で搭載されているDNSサービスを利用して名前を設定・解決することができます。(独自のDNSサーバーを使用する場合には、Azureで提供されるDNSサーバーにクエリを転送する必要があります。)

VNet内にVM(Virtual Machine、仮想マシン)を立てる

VMとは、「仮想マシン」という日本語に訳されることが多く、仮想化技術によって物理的なコンピュータを論理的に分割し、それぞれ互いに独立した、多くの場合にはサーバーOSを、インストールして動作させる論理的なコンピュータのことをいいます。この仮想化技術自体は現在のオンプレミスの物理サーバーでも活用されているものです。(VMwareのvSphere、Microsoft の Windows Server の機能として実装されているHyper-Vなど多くのソリューションがあります。)
Azure 上にVNetを作成したら、次にVNet内にVMをデプロイします。一つのVNetの中には複数のVMをデプロイすることができます。
また、Azureでサポートされている入れ子型VM(Nested Virtualization、VMの中に、Hypervisorを実行可能にすることにより、さらに新たなVMを立てる(設定する)機能)を使用すれば、余剰が発生しがちなリソースを分割して入れ子として立てたVMに割り当てることができ、リソースを最大限に活用することが可能です。開発、テスト、トレーニング、デモなど、一時的な各環境が必要な時の柔軟なリソース活用が期待できます。

比べて納得!クラウドへの接続方法 e-Bookをダウンロードして理解を深めましょう!

Azure内の他リソースとの接続

Azureに作成したVNetと、他のMicrosoft Azureサービスを接続する方法としては大きく3つの方法があります。接続先サービスの接続方法の対応可否、同一テナント(Microsoft Active Directoryで管理されたユーザーやリソース)内か、同一サブスクリプション(Azure内のリソースや請求の境界や範囲)内か、同一リージョン内かなど、Azure内の接続したい先によって、接続方法を1つもしくは複数選択して設計する必要があります。

VNet経由での接続(仮想ネットワークサービスの統合)

VNet内にAzureの一部のサービスをデプロイすることにより、他のサービスとの接続を行う方法です。先述したVNet内にVMをデプロイするというのもこの接続方法で接続する一つの例です。VMの他、Application Gateway(WAF)、Azure Active Directory Domain ServicesなどのAzureサービスとの接続ができます。

仮想ネットワーク サービス エンドポイント経由での接続

VNetからAzureの他のサービスに、それぞれのサービスで準備されているエンドポイントを使用して、直接接続する方法です。VNetから、Azure StorageやAzure SQL DatabaseなどのPaaSのサービスとの接続ができます。これにより、VNet内のVMとPaaSのAzureサービスを連携させたシステムを作ることができます。

VNetピアリング

VNetピアリングとは、VPN Gatewayを使用せずにAzure内の任意のVNet同士を接続する方法です。VNetピアリングで接続したVNet同士は、Azureのデータセンター間を結んでいるMicrosoftのバックボーンを通じて、ひとつのネットワークのように機能させることができます。
インターネット通信や暗号化が不要であること、異なるリージョン間でも高速通信ができること、ピアリングの作成時や作成後にいずれのVNetにもダウンタイムが発生しないことなどの利点があります。
なお、VNetピアリングにはさらに、グローバルVNetピアリングという接続方法もあります。異なるリージョン間のVNet同士を接続するサービスです。

それぞれの料金につきましては、Microsoft Azureの公式サイトをご覧ください。
https://azure.microsoft.com/ja-jp/pricing/details/virtual-network/別ウィンドウで開きます

Azureにおけるネットワーク構築の注意点

Azureにおける仮想ネットワーク構築の注意点について解説します。

VNet内のネットワーク数の制限

VNetのデプロイには2つのデプロイモデル(※)があります。片方のデプロイモデルしかなかった2014年以前に作成したAzure上のVNetを使っている場合や、現在でも両方のデプロイモデルが選択可能なので分業体制で構築・運用を行っている場合には特に注意しましょう。
VNetには使用するデプロイモデルによって、仮想ネットワークや仮想ネットワークあたりのサブネット数に対して既定と上限の制限数が設けられています。デフォルトの状態では既定数まで、Microsoftのサポートに依頼をした場合には上限数までしかネットワークを接続できません。つまり、何台でも自由にサブネットやIPアドレスを増やすことができるわけではないということです。
例えば、クラシックデプロイモデルの仮想ネットワーク数の規定の制限数は50で、マイクロソフト社に依頼すれば100まではネットワークの設定が可能です。リソース マネージャー デプロイ モデルでは、仮想ネットワークが既定数・上限数ともに1,000です。
これらの他にも、ローカルネットワークやサブネットの数などの既定・上限の制限がMicrosoft側で規定されています。
※デプロイモデルとはクラウド基盤のことで、Azure仮想マシンにはクラシックデプロイモデル(Azure仮想マシンV1)と、Azure Resource Manager(Azure仮想マシンV2)があります。

2つのデプロイモデルにおけるIPアドレス指定機能の違い

VNetのIPアドレスには、パブリックIPアドレス(Azure の公開されたサービスを含め、インターネットとの通信に使用)とプライベートIPアドレス(VPN ゲートウェイまたは ExpressRoute 回線を使用してネットワークを Azure に拡張するときに、Azure 仮想ネットワーク (VNet)、およびオンプレミスのネットワーク内での通信に使用)の2種類のIPアドレスを設定します。接続先のサービスなどによっても設計上の制限はありますが、クラシックデプロイモデルとAzure Resource Managerによるデプロイの2つのデプロイモデルによっても、VMなどへのIPアドレスの割り当て方など、違いがありますので注意しましょう。

基本的にVNetは複数のリージョンにまたがって使用できない

クラウド利用の魅力の一つは、複数のデータセンターが準備されており、システム構成の冗長化などでシステムの可用性を高められることです。しかしながら、IaaSを利用する場合には、SaaSやPaaSと異なり、Azure上の仮想ネットワーク設計は自身で行う必要があります。
VNetを複数のリージョンにまたがって使用することはできません。もちろん、グローバルVNetピアリングなどの機能を活用することで、VNet間を連携させることはできます。同一リージョン内で可用性を高めるのか、異なるリージョン間で可用性を高めるのかなど、設計ポリシーをあらかじめ明確にしておく必要があります。

おわりに

AzureはVNetを構築することでオンプレミスやインターネットと接続することができます。Azureを活用するためには、目的を持って最適なネットワークを構築する必要があります。今回の記事を参考に、最適なAzureのネットワーク環境を構築しましょう。

比べて納得!クラウドへの接続方法 e-Bookをダウンロードして理解を深めましょう!

Amazon Web Services(AWS)、Microsoft Azureの
導入支援サービスのご相談、お問い合わせをお待ちしております。

ページ上部へ戻る