VPN ゲートウェイを使用して Azure に接続されたオンプレミス ネットワークOn-premises network connected to Azure using a VPN gateway

このリファレンス アーキテクチャでは、サイト間仮想プライベート ネットワーク (VPN) を使用して、オンプレミスまたは Azure Stack のネットワークを Azure 仮想ネットワークに拡張する方法を示します。This reference architecture shows how to extend a network from on premises or from Azure Stack into an Azure virtual network, using a site-to-site virtual private network (VPN). オンプレミス ネットワークと Azure 間のトラフィックは、IPSec VPN トンネルまたは Azure Stack マルチテナント VPN ゲートウェイを介して行き来します。Traffic flows between the on-premises network and Azure through an IPSec VPN tunnel or through the Azure Stack multitenant VPN gateway. このソリューションをデプロイしますDeploy this solution.

Hybrid network spanning on-premises and Azure infrastructures

VPN ゲートウェイ アーキテクチャの図。A diagram of the VPN gateway architecture. オンプレミス ネットワークは VPN ゲートウェイを介して仮想ネットワークに接続します。An on-premises network connects to an Azure virtual network through a VPN gateway. Azure Stack の仮想ネットワークも、パブリック VIP を介して VPN ゲートウェイに接続します。A virtual network in Azure Stack also connects to the VPN gateway through public VIPs.

このアーキテクチャの Visio ファイルをダウンロードします。Download a Visio file of this architecture.

ArchitectureArchitecture

アーキテクチャは、次のコンポーネントで構成されます。The architecture consists of the following components.

  • オンプレミス ネットワークOn-premises network. 組織内で運用されているプライベートのローカル エリア ネットワーク。A private local-area network running within an organization.

  • Azure StackAzure Stack. Azure Stack テナント サブスクリプション上のネットワーク環境。組織内で実行されています。A network environment on an Azure Stack tenant subscription, running within an organization. Azure Stack VPN ゲートウェイによって、暗号化されたトラフィックがパブリック接続を介して仮想 IP (VIP) アドレスに送信されます。このゲートウェイには次のコンポーネントが含まれます。The Azure Stack VPN gateway sends encrypted traffic across a public connection to virtual IP (VIP) addresses and includes the following components:

    • ゲートウェイ サブネット。Gateway subnet. Azure Stack への VPN Gateway のデプロイに必要な特別なサブネット。A special subnet required to deploy the VPN Gateway on Azure Stack.
    • ローカル ネットワーク ゲートウェイ。Local network gateway. Azure の VPN ゲートウェイのターゲット IP と、Azure 仮想ネットワークのアドレス空間を示します。Indicates the target IP of the VPN gateway in Azure, as well as the address space of the Azure virtual network.
    • サイト間 VPN トンネル。Site-to-site VPN tunnel. トラフィックを暗号化するために Azure VPN Gateway と共有される接続の種類 (IPSec) とキー。The connection type (IPSec) and the key shared with the Azure VPN Gateway to encrypt traffic.
  • VPN アプライアンスVPN appliance. オンプレミス ネットワークへの外部接続を提供するデバイスまたはサービス。A device or service that provides external connectivity to the on-premises network. VPN アプライアンスは、ハードウェア デバイスである場合や、ソフトウェア ソリューション (Windows Server 2012 のルーティングとリモート アクセス サービス (RRAS) など) である場合があります。The VPN appliance may be a hardware device, or it can be a software solution such as the Routing and Remote Access Service (RRAS) in Windows Server 2012. サポートされている VPN アプライアンスの一覧と、Azure VPN ゲートウェイに接続するためのその構成については、サイト間 VPN Gateway 接続用の VPN デバイスに関するページをご覧ください。For a list of supported VPN appliances and information on configuring them to connect to an Azure VPN gateway, see the instructions for the selected device in the article About VPN devices for Site-to-Site VPN Gateway connections.

  • Virtual networkVirtual network. Azure VPN ゲートウェイのクラウド アプリケーションとコンポーネントは同じ仮想ネットワークに存在します。The cloud application and the components for the Azure VPN gateway reside in the same virtual network.

  • Azure VPN ゲートウェイAzure VPN gateway. VPN ゲートウェイ サービスを使用すると、仮想ネットワークを、VPN アプライアンスを介してオンプレミス ネットワークに接続するか、サイト間 VPN トンネルを介して Azure Stack に接続できます。The VPN gateway service enables you to connect the virtual network to the on-premises network through a VPN appliance or to connect to Azure Stack through a site-to-site VPN tunnel. 詳細については、「オンプレミス ネットワークを Microsoft Azure 仮想ネットワークに接続する」を参照してください。For more information, see Connect an on-premises network to a Microsoft Azure virtual network. VPN ゲートウェイには、次の要素が含まれています。The VPN gateway includes the following elements:

    • 仮想ネットワーク ゲートウェイVirtual network gateway. 仮想ネットワークの仮想 VPN アプライアンスを提供するリソース。A resource that provides a virtual VPN appliance for the virtual network. オンプレミス ネットワークから仮想ネットワークへのトラフィックをルーティングする役割を担います。It is responsible for routing traffic from the on-premises network to the virtual network.
    • ローカル ネットワーク ゲートウェイLocal network gateway. オンプレミス VPN アプライアンスの抽象化。An abstraction of the on-premises VPN appliance. クラウド アプリケーションからオンプレミス ネットワークへのネットワーク トラフィックは、このゲートウェイを介してルーティングされます。Network traffic from the cloud application to the on-premises network is routed through this gateway.
    • 接続Connection. この接続には、接続の種類 (IPSec) を指定するプロパティと、オンプレミス VPN アプライアンスとの共有キー (トラフィックの暗号化用) を指定するプロパティがあります。The connection has properties that specify the connection type (IPSec) and the key shared with the on-premises VPN appliance to encrypt traffic.
    • ゲートウェイ サブネットGateway subnet. 仮想ネットワーク ゲートウェイは独自のサブネットで保持され、以下の推奨事項セクションで説明されているさまざまな要件の対象となります。The virtual network gateway is held in its own subnet, which is subject to various requirements, described in the Recommendations section below.
  • クラウド アプリケーションCloud application. Azure でホストされるアプリケーション。The application hosted in Azure. Azure ロード バランサーを介して接続された複数のサブネットを持つ、複数の層が含まれる場合があります。It might include multiple tiers, with multiple subnets connected through Azure load balancers. アプリケーション インフラストラクチャの詳細については、「Windows VM ワークロードの実行」と「Linux VM ワークロードの実行を参照してください。For more information about the application infrastructure, see Running Windows VM workloads and Running Linux VM workloads.

  • 内部ロード バランサー:Internal load balancer. VPN ゲートウェイからのネットワーク トラフィックは、内部ロード バランサーを介してクラウド アプリケーションにルーティングされます。Network traffic from the VPN gateway is routed to the cloud application through an internal load balancer. ロード バランサーは、アプリケーションのフロントエンドのサブネットに配置されます。The load balancer is located in the front-end subnet of the application.

  • BastionBastion. Azure Bastion を使用すると、VM を直接インターネットに公開せずに、SSH またはリモート デスクトップ プロトコル (RDP) を介して仮想ネットワーク内の VM にログインできます。Azure Bastion allows you to log into VMs in the virtual network through SSH or remote desktop protocol (RDP) without exposing the VMs directly to the internet. VPN 経由の接続が失われた場合でも、Bastion を使用して仮想ネットワーク内の VM を管理できます。If you lose connectivity through the VPN, you can still use Bastion to manage the VMs in the virtual network.

RecommendationsRecommendations

ほとんどのシナリオには、次の推奨事項が適用されます。The following recommendations apply for most scenarios. これらの推奨事項には、オーバーライドする特定の要件がない限り、従ってください。Follow these recommendations unless you have a specific requirement that overrides them.

仮想ネットワークとゲートウェイ サブネットVirtual network and gateway subnet

必要なすべてのリソースに十分に対応できるサイズのアドレス空間を持つ Azure 仮想ネットワークを作成します。Create an Azure virtual network with an address space large enough for all of your required resources. 将来、追加の VM が必要になる可能性がある場合は、拡大に対応できるだけの領域を仮想ネットワーク アドレス空間に確保します。Ensure that the virtual network address space has sufficient room for growth if additional VMs are likely to be needed in the future. 仮想ネットワークのアドレス空間は、オンプレミス ネットワークと重複しないようにする必要があります。The address space of the virtual network must not overlap with the on-premises network. たとえば、上記の図では、仮想ネットワークにアドレス空間 10.20.0.0/16 を使用しています。For example, the diagram above uses the address space 10.20.0.0/16 for the virtual network.

GatewaySubnet という名前のサブネットを作成します。アドレス範囲は /27 です。Create a subnet named GatewaySubnet, with an address range of /27. このサブネットは、仮想ネットワーク ゲートウェイで必要です。This subnet is required by the virtual network gateway. このサブネットに 32 個のアドレスを割り当てると、将来的にゲートウェイ サイズの制限に達するのを回避できます。Allocating 32 addresses to this subnet will help to prevent reaching gateway size limitations in the future. また、このサブネットは、アドレス空間の途中には配置しないでください。Also, avoid placing this subnet in the middle of the address space. ゲートウェイ サブネットのアドレス空間は、仮想ネットワーク アドレス空間の上端に設定することをお勧めします。A good practice is to set the address space for the gateway subnet at the upper end of the virtual network address space. 図の例では 10.20.255.224/27 を使用しています。The example shown in the diagram uses 10.20.255.224/27. CIDR の簡単な計算手順を次に示します。Here is a quick procedure to calculate the CIDR:

  1. 仮想ネットワークのアドレス空間の可変ビットを、ゲートウェイ サブネットで使用されているビットまで 1 に設定し、残りのビットを 0 に設定します。Set the variable bits in the address space of the virtual network to 1, up to the bits being used by the gateway subnet, then set the remaining bits to 0.
  2. 結果のビットを 10 進数に変換し、プレフィックス長をゲートウェイ サブネットのサイズに設定して、その 10 進数をアドレス空間として表現します。Convert the resulting bits to decimal and express it as an address space with the prefix length set to the size of the gateway subnet.

たとえば、IP アドレス範囲が 10.20.0.0/16 の仮想ネットワークの場合、上記の手順 1. を適用すると、10.20.0b11111111.0b11100000 になります。For example, for a virtual network with an IP address range of 10.20.0.0/16, applying step #1 above becomes 10.20.0b11111111.0b11100000. これを 10 進数に変換し、アドレス空間として表現すると、10.20.255.224/27 が生成されます。Converting that to decimal and expressing it as an address space yields 10.20.255.224/27.

警告

VM をゲートウェイ サブネットにデプロイしないでください。Do not deploy any VMs to the gateway subnet. また、NSG をこのサブネットに割り当てないでください。割り当てると、ゲートウェイが機能しなくなります。Also, do not assign an NSG to this subnet, as it will cause the gateway to stop functioning.

仮想ネットワーク ゲートウェイVirtual network gateway

仮想ネットワーク ゲートウェイにパブリック IP アドレスを割り当てます。Allocate a public IP address for the virtual network gateway.

ゲートウェイ サブネットで仮想ネットワーク ゲートウェイを作成し、新しく割り当てられたパブリック IP アドレスを割り当てます。Create the virtual network gateway in the gateway subnet and assign it the newly allocated public IP address. 要件に最も合致し、VPN アプライアンスによって有効になっているゲートウェイの種類を使用します。Use the gateway type that most closely matches your requirements and that is enabled by your VPN appliance:

  • アドレス プレフィックスなどのポリシー基準に基づいて、要求がどのようにルーティングされるかを厳密に制御する必要がある場合、ポリシー ベースのゲートウェイを作成します。Create a policy-based gateway if you need to closely control how requests are routed based on policy criteria such as address prefixes. ポリシー ベースのゲートウェイは、静的ルーティングを使用し、サイト間接続でのみ機能します。Policy-based gateways use static routing, and only work with site-to-site connections.

  • ルートベースのゲートウェイを作成します。Create a route-based gateway

    • RRAS を使用してオンプレミス ネットワークに接続する場合。You connect to the on-premises network using RRAS,
    • マルチサイト接続またはリージョン間接続をサポートする場合。または、You support multi-site or cross-region connections, or
    • 複数の仮想ネットワークを横断するルートを含む、仮想ネットワーク間の接続がある場合。You have connections between virtual networks, including routes that traverse multiple virtual networks.

    ルート ベースのゲートウェイは、ネットワーク間でトラフィックを転送する動的ルーティングを使用します。Route-based gateways use dynamic routing to direct traffic between networks. これは代替ルートを試すことができるため、静的ルートよりもネットワーク パスの障害に耐性があります。They can tolerate failures in the network path better than static routes because they can try alternative routes. また、ルート ベースのゲートウェイでは、ネットワーク アドレスが変わったときに、ルートを手動で更新する必要がない可能性があるため、管理オーバーヘッドを削減できます。Route-based gateways can also reduce the management overhead because routes might not need to be updated manually when network addresses change.

サポートされている VPN アプライアンスの一覧については、サイト間 VPN Gateway 接続の VPN デバイスに関するページをご覧ください。For a list of supported VPN appliances, see About VPN devices for Site-to-Site VPN Gateway connections.

注意

ゲートウェイを作成したら、ゲートウェイを削除して再作成しない限り、ゲートウェイの種類を変更することはできません。After the gateway has been created, you cannot change between gateway types without deleting and re-creating the gateway.

ご自分のスループット要件に最も合致する Azure VPN ゲートウェイ SKU を選択します。Select the Azure VPN gateway SKU that most closely matches your throughput requirements. 詳細については、「ゲートウェイの SKU」を参照してください。For more information, see Gateway SKUs

注意

Basic SKU は、Azure ExpressRoute と互換性がありません。The Basic SKU is not compatible with Azure ExpressRoute. ゲートウェイの作成後、SKU を変更できます。You can change the SKU after the gateway has been created.

要求がアプリケーション VM に直接渡されるようにするのではなく、アプリケーションの受信トラフィックをゲートウェイから内部ロード バランサーに転送する、ゲートウェイ サブネットのルーティング ルールを作成します。Create routing rules for the gateway subnet that direct incoming application traffic from the gateway to the internal load balancer, rather than allowing requests to pass directly to the application VMs.

オンプレミス ネットワーク接続On-premises network connection

ローカル ネットワーク ゲートウェイを作成します。Create a local network gateway. オンプレミスの VPN アプライアンスのパブリック IP アドレスと、オンプレミス ネットワークのアドレス空間を指定します。Specify the public IP address of the on-premises VPN appliance, and the address space of the on-premises network. オンプレミス VPN アプライアンスには、Azure VPN Gateway のローカル ネットワーク ゲートウェイがアクセスできるパブリック IP アドレスが必要であることに注意してください。Note that the on-premises VPN appliance must have a public IP address that can be accessed by the local network gateway in Azure VPN Gateway. VPN デバイスはネットワーク アドレス変換 (NAT) デバイスの背後には配置できません。The VPN device cannot be located behind a network address translation (NAT) device.

仮想ネットワーク ゲートウェイおよびローカル ネットワーク ゲートウェイのサイト間接続を作成します。Create a site-to-site connection for the virtual network gateway and the local network gateway. サイト間 (IPSec) 接続の種類を選択し、共有キーを指定します。Select the site-to-site (IPSec) connection type, and specify the shared key. Azure VPN ゲートウェイによるサイト間の暗号化は IPSec プロトコルに基づいており、認証に事前共有キーを使用します。Site-to-site encryption with the Azure VPN gateway is based on the IPSec protocol, using preshared keys for authentication. Azure VPN ゲートウェイを作成するときにキーを指定します。You specify the key when you create the Azure VPN gateway. 同じキーを使用して、オンプレミスで実行する VPN アプライアンスを構成する必要があります。You must configure the VPN appliance running on-premises with the same key. 他の認証メカニズムは現在サポートされていません。Other authentication mechanisms are not currently supported.

Azure 仮想ネットワーク内のアドレスを対象とする要求が VPN デバイスに転送されるように、オンプレミス ルーティング インフラストラクチャが構成されていることを確認します。Ensure that the on-premises routing infrastructure is configured to forward requests intended for addresses in the Azure virtual network to the VPN device.

オンプレミス ネットワークのクラウド アプリケーションに必要なポートを開きます。Open any ports required by the cloud application in the on-premises network.

接続をテストして、次の点を確認してください。Test the connection to verify that:

  • トラフィックが Azure VPN ゲートウェイを介してクラウド アプリケーションに到達するように、オンプレミス VPN アプライアンスによって正しくルーティングしている。The on-premises VPN appliance correctly routes traffic to the cloud application through the Azure VPN gateway.
  • トラフィックがオンプレミス ネットワークに戻るように、仮想ネットワークによって正しくルーティングされている。The virtual network correctly routes traffic back to the on-premises network.
  • 両方向の禁止されたトラフィックが、正しくブロックされている。Prohibited traffic in both directions is blocked correctly.

Azure Stack のネットワーク接続Azure Stack network connection

この参照アーキテクチャは、Azure Stack デプロイの仮想ネットワークを、Azure Stack マルチテナント VPN ゲートウェイを介して、Azure の仮想ネットワークに接続する方法を示しています。This reference architecture shows how to connect a virtual network in your Azure Stack deployment to a virtual network in Azure through the Azure Stack multitenant VPN gateway. 一般的なシナリオでは、Azure Stack のクリティカルな操作と機密データを分離し、パブリック トランザクションと、重要ではない一時的な操作に対して Azure を使用します。A common scenario is to isolate critical operations and sensitive data in Azure Stack and take advantage of Azure for public transaction and transitory, non-sensitive operations.

このアーキテクチャでは、ネットワーク トラフィックは、Azure Stack のマルチテナント ゲートウェイを使って VPN トンネルを経由します。In this architecture, network traffic flows through a VPN tunnel using the multitenant gateway on Azure Stack. また、Azure Stack と Azure の間では、テナント VIP、Azure ExpressRoute、または VPN エンドポイントとして機能するネットワーク仮想アプライアンスを介して、トラフィックがインターネット上を流れる場合もあります。Alternatively, traffic can flow over the Internet between Azure Stack and Azure through tenant VIPs, Azure ExpressRoute, or a network virtual appliance that acts as the VPN endpoint.

Azure Stack 仮想ネットワーク ゲートウェイの容量Azure Stack virtual network gateway capacity

Azure VPN Gateway と Azure Stack VPN ゲートウェイの両方で、Azure と Azure Stack の間でルーティング情報を交換するための Border Gateway Protocol (BGP) がサポートされています。Both the Azure VPN Gateway and the Azure Stack VPN gateway support Border Gateway Protocol (BGP) for exchanging routing information between Azure and Azure Stack. マルチテナント ゲートウェイの静的ルーティングについては、Azure Stack ではサポートされていません。Azure Stack does not support static routing for the multitenant gateway.

必要なすべてのリソースに十分に対応できるサイズの IP アドレス空間を割り当てた Azure Stack 仮想ネットワークを作成します。Create an Azure Stack virtual network with an assigned IP address space large enough for all your required resources. 仮想ネットワークのアドレス空間は、この仮想ネットワークに接続される他のネットワークと重複しないようにする必要があります。The address space of the virtual network must not overlap with any other network that is going to be connected to this virtual network.

Azure Stack のデプロイ中に、パブリック IP アドレスがマルチテナント ゲートウェイに割り当てられます。A public IP address is assigned to the multitenant gateway during the deployment of Azure Stack. これはパブリック VIP プールから取得されます。It is taken from the public VIP pool. Azure Stack 演算子では、どの IP アドレスが使用されるかは制御されませんが、その割り当ては決定できます。The Azure Stack operator has no control over what IP address is used but can determine its assignment.

注意事項

ワークロード VM を Azure Stack ゲートウェイ サブネットにデプロイすることはできません。Workload VMs cannot be deployed on the Azure Stack gateway subnet. また、NSG をこのサブネットに割り当てないでください。割り当てると、ゲートウェイが機能しなくなります。Also, do not assign an NSG to this subnet, as it will cause the gateway to stop functioning.

スケーラビリティに関する考慮事項Scalability considerations

垂直スケーラビリティを制限するには、Basic または Standard の VPN Gateway SKU から High Performance VPN SKU に移行します。You can achieve limited vertical scalability by moving from the Basic or Standard VPN Gateway SKUs to the High Performance VPN SKU.

大量の VPN トラフィックが想定される仮想ネットワークについては、さまざまなワークロードを個別の小さな仮想ネットワークに分散し、それぞれに対して VPN ゲートウェイを構成することを検討してください。For virtual networks that expect a large volume of VPN traffic, consider distributing the different workloads into separate smaller virtual networks and configuring a VPN gateway for each of them.

仮想ネットワークは、水平方向または垂直方向にパーティション分割できます。You can partition the virtual network either horizontally or vertically. 水平方向にパーティション分割するには、各階層の一部の VM インスタンスを、新しい仮想ネットワークのサブネットに移動します。To partition horizontally, move some VM instances from each tier into subnets of the new virtual network. これにより、各仮想ネットワークの構造と機能が同じになります。The result is that each virtual network has the same structure and functionality. 垂直方向にパーティション分割する場合は、機能がさまざまな論理領域 (注文処理、請求、顧客アカウントの管理など) に分割されるように各階層を再設計します。To partition vertically, redesign each tier to divide the functionality into different logical areas (such as handling orders, invoicing, customer account management, and so on). その後、各機能領域を独自の仮想ネットワークに配置できます。Each functional area can then be placed in its own virtual network.

仮想ネットワークでオンプレミスの Active Directory ドメイン コントローラーをレプリケートし、仮想ネットワークに DNS を実装すると、オンプレミスからクラウドに流れるセキュリティ関連および管理トラフィックを削減できます。Replicating an on-premises Active Directory domain controller in the virtual network, and implementing DNS in the virtual network, can help to reduce some of the security-related and administrative traffic flowing from on-premises to the cloud. 詳細については、Azure への Active Directory Domain Services (AD DS) の拡張に関するページをご覧ください。For more information, see Extending Active Directory Domain Services (AD DS) to Azure.

可用性に関する考慮事項Availability considerations

オンプレミス ネットワークを、Azure VPN ゲートウェイで引き続き使用できるようにする必要がある場合は、オンプレミス VPN ゲートウェイのフェールオーバー クラスターを実装します。If you need to ensure that the on-premises network remains available to the Azure VPN gateway, implement a failover cluster for the on-premises VPN gateway.

組織に複数のオンプレミス サイトがある場合は、1 つ以上の Azure 仮想ネットワークへのマルチサイト接続を作成します。If your organization has multiple on-premises sites, create multi-site connections to one or more Azure virtual networks. このアプローチには、動的 (ルート ベース) のルーティングが必要です。したがって、オンプレミス VPN ゲートウェイがこの機能をサポートしていることを確認してください。This approach requires dynamic (route-based) routing, so make sure that the on-premises VPN gateway supports this feature.

サービス レベル アグリーメントの詳細については、「VPN Gateway の SLA」を参照してください。For details about service level agreements, see SLA for VPN Gateway.

Azure Stack では、VPN ゲートウェイを展開して、複数の Azure Stack スタンプおよび Azure デプロイへのインターフェイスを含めることができます。On Azure Stack, you can expand VPN gateways to include interfaces to multiple Azure Stack stamps and Azure deployments.

管理容易性に関する考慮事項Manageability considerations

オンプレミスの VPN アプライアンスからの診断情報を監視します。Monitor diagnostic information from on-premises VPN appliances. このプロセスは、VPN アプライアンスが提供する機能によって異なります。This process depends on the features provided by the VPN appliance. たとえば、Windows Server 2012 でルーティングとリモート アクセス サービスを使用している場合は、RRAS ログ記録です。For example, if you are using the Routing and Remote Access Service on Windows Server 2012, RRAS logging.

Azure VPN ゲートウェイ診断を使用して、接続の問題に関する情報を取得します。Use Azure VPN gateway diagnostics to capture information about connectivity issues. こうしたログを使用すると、接続要求の要求元と要求先、使用されたプロトコル、接続の確立方法 (または、試行が失敗した理由) などの情報を追跡できます。These logs can be used to track information such as the source and destinations of connection requests, which protocol was used, and how the connection was established (or why the attempt failed).

Azure Portal で使用できる監査ログを使用して、Azure VPN ゲートウェイの操作ログを監視します。Monitor the operational logs of the Azure VPN gateway using the audit logs available in the Azure portal. ローカル ネットワーク ゲートウェイ、Azure ネットワーク ゲートウェイ、および接続に対して個別のログを使用できます。Separate logs are available for the local network gateway, the Azure network gateway, and the connection. この情報は、ゲートウェイに対する変更の追跡に使用でき、前に機能していたゲートウェイの動作が何らかの理由で停止した場合に役立ちます。This information can be used to track any changes made to the gateway, and can be useful if a previously functioning gateway stops working for some reason.

Audit logs in the Azure portal

日付でフィルター処理された監査ログ イベントを示す Azure portal のスクリーンショット。A screenshot of the Azure portal, showing audit log events filtered by date.

接続を監視し、接続エラー イベントを追跡します。Monitor connectivity, and track connectivity failure events. この情報は、Nagios などの監視パッケージを使用して取得し、レポートすることができます。You can use a monitoring package such as Nagios to capture and report this information.

接続のトラブルシューティングについては、ハイブリッド VPN 接続のトラブルシューティングに関するページをご覧ください。To troubleshoot the connection, see Troubleshoot a hybrid VPN connection.

オンプレミス ネットワークから Azure へのゲートウェイ接続が停止している場合でも、Azure Bastion を使用して Azure 仮想ネットワーク内の VM に接続できます。If gateway connectivity from your on-premises network to Azure is down, you can still reach the VMs in the Azure virtual network through Azure Bastion.

セキュリティに関する考慮事項Security considerations

VPN ゲートウェイごとに別の共有キーを生成します。Generate a different shared key for each VPN gateway. 強力な共有キーを使用すると、ブルート フォース攻撃に対抗するうえで役立ちます。Use a strong shared key to help resist brute-force attacks.

Azure Stack 接続については、VPN トンネルごとに別の共有キーを生成します。For Azure Stack connections, generate a different shared key for each VPN tunnel. 強力な共有キーを使用すると、ブルート フォース攻撃に対抗するうえで役立ちます。Use a strong shared key to help resist brute-force attacks.

注意

現在、Azure VPN ゲートウェイのキーを事前共有するために、Azure Key Vault を使用することはできません。Currently, you cannot use Azure Key Vault to preshare keys for the Azure VPN gateway.

オンプレミスの VPN アプライアンスで、確実にAzure VPN ゲートウェイと互換性のある暗号化方式を使用します。Ensure that the on-premises VPN appliance uses an encryption method that is compatible with the Azure VPN gateway. ポリシー ベースのルーティングでは、Azure VPN ゲートウェイは、AES256、AES128、および 3DES 暗号化アルゴリズムをサポートしています。For policy-based routing, the Azure VPN gateway supports the AES256, AES128, and 3DES encryption algorithms. ルート ベースのゲートウェイは、AES256 および 3DES をサポートしています。Route-based gateways support AES256 and 3DES.

オンプレミス VPN アプライアンスが境界ネットワーク (DMZ) にあり、その境界ネットワークとインターネットの間にファイアウォールが存在する場合は、サイト間 VPN 接続を許可するために、追加のファイアウォール規則を構成しなければならない可能性があります。If your on-premises VPN appliance is on a perimeter network (DMZ) that has a firewall between the perimeter network and the Internet, you might have to configure additional firewall rules to allow the site-to-site VPN connection.

仮想ネットワーク内のアプリケーションからインターネットにデータを送信する場合は、インターネットへのすべてのトラフィックをオンプレミス ネットワークを介してルーティングする強制トンネリングを実装することを検討してください。If the application in the virtual network sends data to the Internet, consider implementing forced tunneling to route all Internet-bound traffic through the on-premises network. このアプローチを使用すると、アプリケーションによって行われた送信要求をオンプレミス インフラストラクチャから監査できます。This approach enables you to audit outgoing requests made by the application from the on-premises infrastructure.

注意

強制トンネリングは、Azure サービス (Storage サービスなど) と Windows ライセンス マネージャーへの接続に影響を与える場合があります。Forced tunneling can impact connectivity to Azure services (the Storage Service, for example) and the Windows license manager.

コストに関する考慮事項Cost considerations

コストを見積もるには、料金計算ツールを使用します。Use the Pricing calculator to estimate costs. 一般的な考慮事項については、「Azure Architecture Framework」の「コスト」セクションをご覧ください。For general considerations, see the Cost section in Azure Architecture Framework.

このアーキテクチャで使用されるサービスは、次のように課金されます。The services used in this architecture are charged as follows:

Azure VPN GatewayAzure VPN Gateway

このアーキテクチャの主要コンポーネントは、VPN ゲートウェイ サービスです。The main component of this architecture is the VPN gateway service. 料金は、ゲートウェイがプロビジョニングされ、利用可能になっている時間に基づいて発生します。You are charged based on the amount of time that the gateway is provisioned and available.

受信トラフィックはすべて無料です。送信トラフィックはすべて課金されます。All inbound traffic is free, all outbound traffic is charged. インターネット帯域幅のコストは、VPN の送信トラフィックに適用されます。Internet bandwidth costs are applied to VPN outbound traffic.

詳細については、「VPN Gateway の価格」を参照してください。For more information, see VPN Gateway Pricing.

Azure Virtual NetworkAzure Virtual Network

Azure Virtual Network は無料です。Azure Virtual Network is free. すべてのサブスクリプションで、すべてのリージョンで最大 50 の仮想ネットワークを作成できます。Every subscription is allowed to create up to 50 virtual networks across all regions.

仮想ネットワークの境界内で発信されたトラフィックはすべて無料です。All traffic that occurs within the boundaries of a virtual network is free. そのため、同じ仮想ネットワーク内の 2 台の仮想マシン間の通信は無料です。So, communication between two virtual machines in the same virtual network is free.

Azure BastionAzure Bastion

Azure Bastion は、仮想マシンでパブリック IP を構成せずに、RDP および SSH を介して仮想ネットワーク内の仮想マシンに安全に接続できます。Azure Bastion securely connects to your virtual machine in the virtual network over RDP and SSH without having the need to configure a public IP on the virtual machine. 接続先の仮想マシンが含まれるすべての仮想ネットワークに、Bastion が必要になります。You will need Bastion in every virtual network that contains virtual machines that you want to connect to. このソリューションは、ジャンプボックスを使用するよりも経済的で、しかも安全です。This solution is more economical and secure than using jumpboxes.

例については、「Azure Bastion の価格」を参照してください。For examples, see Azure Bastion Pricing.

仮想マシンと内部ロード バランサーVirtual machine and internal load balancers

このアーキテクチャでは、仮想ネットワーク内でトラフィックを負荷分散させるために内部ロード バランサーが使用されます。In this architecture, internal load balancers are used to load balance traffic inside a virtual network. 同じ仮想ネットワーク内の仮想マシン間の基本的な負荷分散は無料です。Basic load balancing between virtual machines that reside in the same virtual network is free.

仮想マシン スケール セットは、Linux および Windows VM のすべてのサイズで使用できます。Virtual machine scale sets are available on all Linux and windows VM sizes. デプロイする Azure VM や、消費した基になるインフラストラクチャ リソース (ストレージやネットワークなど) に対してのみ課金されます。You are only charged for the Azure VMs you deploy and underlying infrastructure resources consumed such as storage and networking. 仮想マシン スケール セット サービスに対する増分料金は発生しません。There are no incremental charges for the virtual machine scale sets service.

詳細については、Azure VM の価格に関するページをご覧ください。For more information, see Azure VM pricing.

ソリューションのデプロイ方法Deploy the solution

この参照アーキテクチャをデプロイするには、GitHub の Readme を参照してください。To deploy this reference architecture, see the GitHub readme.

次のステップNext steps

VPN を使用して Azure 内の仮想ネットワークを接続できますが、必ずしも最良の選択であるとは限りません。Although VPNs can be used to connect virtual networks within Azure, it's not always the best choice. 詳細については、「Azure で仮想ネットワーク ピアリングと VPN ゲートウェイのいずれかを選択」をご覧ください。For more information, see Choose between virtual network peering and VPN gateways in Azure.