Azure VPN Gateway とは

Azure VPN Gateway は、暗号化されたトラフィックをパブリック インターネット経由で Azure 仮想ネットワークとオンプレミスの場所の間で送信するために使用できるサービスです。 VPN Gateway を使用すると、Microsoft ネットワークを経由して Azure 仮想ネットワーク間で暗号化されたトラフィックを送信することもできます。 VPN Gateway では、VPN ゲートウェイと呼ばれる Azure 仮想ネットワーク ゲートウェイの特定の種類を使用します。 同じ VPN ゲートウェイに対して複数の接続を作成できます。 複数の接続を作成すると、利用できるゲートウェイ帯域幅がすべての VPN トンネルによって共有されます。

VPN Gateway を使用する理由

VPN Gateway の主なシナリオを次に示します。

  • 暗号化されたトラフィックをパブリック インターネット経由で Azure 仮想ネットワークとオンプレミスの場所の間で送信します。 これは、次の接続方法で行うことができます。

    • サイト間接続: VPN ゲートウェイとオンプレミス VPN デバイス間のクロスプレミス IPsec/IKE VPN トンネル接続。

    • ポイント対サイト接続: OpenVPN、IKEv2、または SSTP 経由の VPN。 この種類の接続を使用すると、会議からや自宅からなど、リモートの場所から仮想ネットワークに接続できます。

  • 暗号化されたトラフィックを仮想ネットワーク間で送信します。 これは、次の接続方法で行うことができます。

    • VNet 間: "VNet 間" 接続の種類が使用されている VPN ゲートウェイと別の Azure VPN ゲートウェイの間の IPsec/IKE VPN トンネル接続。 この接続の種類は、VNet 間接続専用に設計されています。

    • サイト間接続: VPN ゲートウェイと別の Azure VPN ゲートウェイの間の IPsec/IKE VPN トンネル接続。 この種類の接続では、VNet 間アーキテクチャで使用される場合は、サイト間 (IPsec) 接続の種類を使用します。これにより、VPN ゲートウェイ間の接続に加えて、ゲートウェイへのクロスプレミス接続が可能になります。

  • サイト間 VPN を、ExpressRoute のセキュリティで保護されたフェールオーバー パスとして構成します。 これを行うには、次を使用します。

    • ExpressRoute + VPN Gateway: ExpressRoute 接続と VPN Gateway 接続の組み合わせ (共存接続)。
  • サイト間 VPN を使用して、ExpressRoute 経由で接続されていないサイトに接続します。 次を使用すると、これを行うことができます。

    • ExpressRoute + VPN Gateway: ExpressRoute 接続と VPN Gateway 接続の組み合わせ (共存接続)。

計画と設計

VPN Gateway を使用して複数の接続構成を作成できるためで、どの構成がニーズに最適であるかを判断する必要があります。 ポイント対サイト、サイト間、および共存する ExpressRoute/サイト間接続にはすべて、異なる指示とリソース構成要件があります。

設計トポロジと構成手順へのリンクについては、「VPN Gateway トポロジと設計」の記事を参照してください。 この記事の次のセクションでは、最もよく使用される設計トポロジの一部について説明します。

計画表

次の表は、ソリューションに最適な接続オプションを決定するのに役立ちます。

ポイント対サイト サイト間
Azure でサポートされるサービス Cloud Services および Virtual Machines Cloud Services および Virtual Machines
一般的な帯域幅 ゲートウェイの SKU に基づく 一般的には 10 Gbps 未満のアグリゲート
サポート対象プロトコル Secure Sockets Tunneling Protocol (SSTP)、OpenVPN、IPsec IPsec
ルーティング RouteBased (動的) ポリシー ベース (静的ルーティング) およびルート ベース (動的ルーティング VPN) がサポートされます。
接続の弾力性 アクティブ/パッシブ アクティブ/パッシブまたはアクティブ/アクティブ
一般的な使用例 リモート ユーザーのための Azure 仮想ネットワークへの安全なアクセス クラウド サービスと仮想マシンの開発、テスト、ラボ シナリオおよび小規模から中規模の運用ワークロード
SLA SLA SLA
料金 料金 料金
テクニカル ドキュメント VPN Gateway VPN Gateway
FAQ VPN Gateway に関する FAQ VPN Gateway に関する FAQ

可用性ゾーン

VPN ゲートウェイを Azure Availability Zones にデプロイすることができます。 これにより、仮想ネットワーク ゲートウェイに回復性、スケーラビリティ、高可用性が提供されます。 Azure Availability Zones にゲートウェイをデプロイすると、オンプレミス ネットワークの Azure への接続をゾーン レベルの障害から保護しながら、ゲートウェイを 1 つのリージョン内に物理的かつ論理的に分離できます。 「Azure Availability Zones でのゾーン冗長仮想ネットワーク ゲートウェイについて」を参照してください。

VPN ゲートウェイの構成

VPN ゲートウェイ接続は、特定の設定で構成された複数のリソースに依存します。 場合によっては、リソースを特定の順序で構成する必要があります。 リソースごとに選択した設定は、適切な接続を作成するうえで非常に重要です。

VPN Gateway の個々のリソースと設定については、VPN Gateway の設定についてに関するページおよび「ゲートウェイ SKU について」を参照してください。 これらの記事には、ゲートウェイの種類、ゲートウェイの SKU、VPN の種類、接続の種類、ゲートウェイ サブネット、ローカル ネットワーク ゲートウェイ、検討が必要なその他のさまざまなリソース設定を把握するのに役立つ情報が記載されています。

設計図と構成記事へのリンクについては、「VPN Gateway トポロジと設計」の記事を参照してください。

Gateway の SKU

仮想ネットワーク ゲートウェイを作成するときには、使用するゲートウェイの SKU を指定します。 ワークロード、スループット、機能、および SLA の種類に基づいて、要件を満たす SKU を選択します。 サポートされている機能、パフォーマンス表、構成手順、運用環境と開発テスト環境のワークロードなど、ゲートウェイ SKU の詳細については、「ゲートウェイ SKU について」を参照してください。

VPN
Gateway
世代
SKU S2S/VNet-to-VNet
トンネル
P2S
SSTP 接続
P2S
IKEv2/OpenVPN 接続
Aggregate
スループット ベンチマーク
BGP ゾーン冗長 Virtual Network でサポートされている VM の数
Generation1 Basic 最大 10 最大 128 サポートされていません 100 Mbps サポートされていません いいえ 200
Generation1 VpnGw1 最大 30 最大 128 最大 250 650 Mbps サポートされています いいえ 450
Generation1 VpnGw2 最大 30 最大 128 最大 500 1 Gbps サポートされています いいえ 1300
Generation1 VpnGw3 最大 30 最大 128 最大 1000 1.25 Gbps サポートされています いいえ 4000
Generation1 VpnGw1AZ 最大 30 最大 128 最大 250 650 Mbps サポートされています はい 1000
Generation1 VpnGw2AZ 最大 30 最大 128 最大 500 1 Gbps サポートされています はい 2,000
Generation1 VpnGw3AZ 最大 30 最大 128 最大 1000 1.25 Gbps サポートされています はい 5000
Generation2 VpnGw2 最大 30 最大 128 最大 500 1.25 Gbps サポートされています いいえ 685
Generation2 VpnGw3 最大 30 最大 128 最大 1000 2.5 Gbps サポートされています いいえ 2240
Generation2 VpnGw4 最大 100* 最大 128 最大 5000 5 Gbps サポートされています いいえ 5300
Generation2 VpnGw5 最大 100* 最大 128 最大 10000 10 Gbps サポートされています いいえ 6700
Generation2 VpnGw2AZ 最大 30 最大 128 最大 500 1.25 Gbps サポートされています はい 2,000
Generation2 VpnGw3AZ 最大 30 最大 128 最大 1000 2.5 Gbps サポートされています はい 3300
Generation2 VpnGw4AZ 最大 100* 最大 128 最大 5000 5 Gbps サポートされています はい 4400
Generation2 VpnGw5AZ 最大 100* 最大 128 最大 10000 10 Gbps サポートされています はい 9000

(*)100 を超える S2S VPN トンネルが必要な場合は、VPN Gateway ではなく Virtual WAN を使用します。

価格

料金は 2 つの要素に対して課金されます。1 つは仮想ネットワーク ゲートウェイに対する時間単位のコンピューティング コスト、もう 1 つは仮想ネットワーク ゲートウェイからのエグレス (送信) データ転送のコストです。 料金情報については、価格に関するページをご覧ください。 レガシ ゲートウェイ SKU の価格については、ExpressRoute の価格に関するページを参照し、「Virtual Network ゲートウェイ」のセクションまでスクロールしてください。

仮想ネットワーク ゲートウェイのコンピューティング コスト
仮想ネットワーク ゲートウェイごとに時間単位のコンピューティング コストが課金されます。 料金は、仮想ネットワーク ゲートウェイを作成する際に指定するゲートウェイ SKU に基づいて決定されます。 コストは、ゲートウェイ自体にかかる料金と、ゲートウェイを通過するデータ転送にかかる料金を足した額になります。 アクティブ/アクティブ セットアップのコストは、アクティブ/パッシブの場合と同じです。 VPN ゲートウェイの SKU の詳細については、「ゲートウェイの SKU」を参照してください。

データ転送コスト
データ転送のコストは、ソース仮想ネットワーク ゲートウェイからのエグレス トラフィックに基づいて計算されます。

  • オンプレミスの VPN デバイスにトラフィックを送信する場合は、インターネット エグレス データ転送率を使用して課金されます。
  • 異なるリージョンに属する仮想ネットワーク間でトラフィックを送信する場合は、リージョンごとの価格に基づいて課金されます。
  • 同じリージョンに属する仮想ネットワーク間でトラフィックを送信する場合は、データ コストはかかりません。 同じリージョン内にある VNet 間のトラフィックは無料です。

新機能

Azure VPN Gateway は定期的に更新されます。 最新のお知らせで最新情報を入手するには、新機能に関する記事を参照してください。 この記事では、次の点に注目しています。

  • 最新のリリース
  • 既知の制限事項がある進行中のプレビュー (該当する場合)
  • 既知の問題
  • 非推奨の機能 (該当する場合)

また、RSS フィードをサブスクライブして、Azure 更新プログラムのページで VPN Gateway の最新の機能更新プログラムを確認することもできます。

よく寄せられる質問

VPN Gateway に関してよく寄せられる質問については、「VPN Gateway に関する FAQ」を参照してください。

次のステップ