Azure ネットワーク サービスを使用してリモートで作業ができるようにする

  • [アーティクル]

この記事では、組織がユーザーのリモート アクセスを確立するために使用できるさまざまなオプションについて説明します。 また、ピーク使用率の期間中に既存のソリューションを追加容量で補完する方法についても説明します。

ネットワーク アーキテクトは、次のような課題に直面しています。

  • ネットワーク使用率の増加に対処する。

  • 企業や顧客のより多くの従業員に信頼性の高い安全な接続を提供する。

  • 世界中の離れた場所への接続を提供する。

すべてのネットワーク (たとえば、プライベート WAN や企業のコア ネットワークなど) で、リモート ワーカーによるピーク時の負荷による輻輳が発生するわけではありません。 ボトルネックは、一般に、ホーム ブロードバンド ネットワークと、企業のオンプレミス ネットワークの VPN ゲートウェイでのみ報告されています。

ネットワーク プランナーは、トラフィックの種類ごとに異なるネットワーク処理の優先順位が必要であることを念頭に置き、ボトルネックの緩和とネットワーク輻輳の軽減を支援することができます。 一部のトラフィックには、負荷のスマートなリダイレクトまたは分散が求められます。

たとえば、医師と患者がやり取りするリアルタイム遠隔医療トラフィックは重要度が高く、遅延やジッターに敏感です。 ストレージ ソリューション間のトラフィックのレプリケーションは、遅延の影響をあまり受けません。 遠隔医療トラフィックは、サービスの質が高い最適なネットワーク パスを介してルーティングする必要があります。一方、ストレージ ソリューション間のトラフィックには最適でないルートを使用することが許容されます。

Microsoft ネットワークの弾力性と高可用性

Azure は、リソース使用率の急激な変化に耐え、ピーク使用時にシステムを実行し続けるように設計されています。

Microsoft では、世界最大規模のネットワークの 1 つを管理し、運用しています。 Microsoft のネットワークは、1 つのネットワーク要素の障害からリージョン全体の障害まで、さまざまな種類の障害に耐えられる高可用性を実現するように設計されています。

また、Microsoft ネットワークは、さまざまな種類のネットワーク トラフィックを処理するように設計されています。 このトラフィックには、遅延に敏感な Skype や Teams のマルチメディア トラフィック、コンテンツ配信ネットワーク、リアルタイム ビッグ データ分析、Azure Storage、Bing、Xbox が含まれる場合があります。 最適なパフォーマンスを実現するために、Microsoft のネットワークは、リソースを対象としたトラフィック、またはそれらを通過するトラフィックを、トラフィックの発信元にできるだけ近い場所でルーティングするように指示します。

注意

この記事で説明する Azure ネットワーク機能を使用すると、Microsoft グローバル ネットワークのトラフィック引力動作を利用して、お客様により優れたネットワーク エクスペリエンスを提供できます。 Microsoft ネットワークのトラフィック引力動作は、ピーク使用時の輻輳が発生する可能性のあるファースト マイルおよびラスト マイル ネットワークからできるだけ早くトラフィックのオフロードを行うのに役立ちます。

従業員がリモートで作業できるようにする

Azure VPN Gateway では、ポイント対サイト (P2S) とサイト間 (S2S) の両方の VPN 接続がサポートされています。 Azure VPN Gateway を使用することで、Azure にデプロイされたリソースとオンプレミスのリソースの両方に安全にアクセスできるように従業員の接続を拡張できます。 詳細については、「Azure VPN Gateway ポイント対サイトを使用したリモート作業」を参照してください。

Secure Socket Tunneling Protocol (SSTP) を使用している場合、コンカレント接続の数は 128 に制限されます。 より多くの接続を得るには、OpenVPN または IKEv2 に移行することを推奨します。 詳細については、「SSTP から OpenVPN プロトコルまたは IKEv2 に移行する」を参照してください。

Azure にデプロイされたリソースにアクセスするために、リモート開発者は VPN 接続の代わりに Azure Bastion を使用できます。 このソリューションを使用すると、アクセス先の VM でパブリック IP アドレスを必要とせずに、セキュリティで保護されたシェル アクセス (RDP または SSH) を提供できます。 詳細については、「Azure Bastion を使用したリモート作業」を参照してください。

次のことを行うために Azure Virtual WAN を使用できます。

  • 大規模な VPN 接続を集約する。

  • さまざまなリージョン ハブとスポークの仮想ネットワーク内で、さまざまなオンプレミスのグローバルな場所にあるリソース間の Any-to-Any 接続をサポートする。

  • 複数のホーム ブロードバンド ネットワークの使用率を最適化する。

詳細については、「Azure Virtual WAN とリモート作業のサポート」を参照してください。

リモート ワーカーをサポートするもう 1 つの方法は、Azure 仮想ネットワークにホストされている仮想デスクトップ インフラストラクチャ (VDI) をデプロイして、Azure Firewall で保護することです。 たとえば、Azure Virtual Desktop は、Azure で実行されるデスクトップとアプリの仮想化サービスです。 Virtual Desktop を使用すると、追加のゲートウェイ サーバーを実行する必要なく、Azure サブスクリプションでスケーラブルかつ柔軟な環境を設定できます。 ユーザーは、仮想ネットワーク内の Virtual Desktop 仮想マシンに対してのみ責任を負います。 詳細については、「Azure Firewall のリモート作業のサポート」を参照してください。

Azure には、豊富なエコ システム パートナーもあります。 その Azure 上のネットワーク仮想アプライアンス (NVA) は、VPN 接続の拡張にも役立ちます。 詳細については、リモート作業での NVA に関する考慮事項を参照してください。

グローバルに分散したリソースにアクセスできるように従業員の接続を拡張する

次の Azure のソリューションは、従業員がグローバルに分散したリソースにアクセスできるようにするために役立ちます。 リソースは、Azure リージョン、オンプレミスのネットワーク、または他のパブリックまたはプライベート クラウドのいずれかに存在する可能性があります。

  • Azure 仮想ネットワーク ピアリング: 仮想ネットワーク ピアリングを使用して、仮想ネットワーク同士を接続できます。 仮想ネットワーク ピアリングは、リソースが複数の Azure リージョンにある場合、またはリモート ワーカーをサポートするために複数の仮想ネットワークを接続する必要がある場合に便利です。 詳細については、「[仮想ネットワーク ピアリング](../virtual-network/virtual-network-peering-overview.md)」をご覧ください。

  • Azure VPN ベースのソリューション: Azure に接続されているリモート従業員のために、S2S VPN 接続を確立することで、オンプレミス ネットワークへのアクセスを提供できます。 この接続は、オンプレミスのネットワークと Azure VPN Gateway の間です。 詳細については、サイト間接続の作成に関する記事を参照してください。

  • Azure ExpressRoute: ExpressRoute プライベート ピアリングを使用すると、Azure デプロイとオンプレミスのインフラストラクチャまたはコロケーション施設内のインフラストラクチャとの間でプライベート接続を有効にすることができます。 Microsoft ピアリングを介した ExpressRoute では、オンプレミス ネットワークから Microsoft のパブリック エンドポイントへのアクセスも許可されます。

    ExpressRoute 接続はパブリックなインターネットを経由しません。 セキュリティで保護された接続、信頼性、高いスループット、インターネット経由の一般的な接続よりも短くより安定した待機時間を提供します。 詳細については、「ExpressRoute の概要」を参照してください。

    既に ExpressRoute パートナー エコシステムの一部である既存のネットワーク プロバイダーを使用して、Microsoft への大規模な帯域幅の接続を実現するための時間を短縮することができます。 ExpressRoute Direct を使用することで、オンプレミスのネットワークを Microsoft のバックボーンに直接接続できます。 ExpressRoute Direct には、デュアル 10 Gbps または 100 Gbps の 2 つの回線レート オプションが用意されています。

  • Azure Virtual WAN:Azure Virtual WAN を使用すると、VPN 接続と ExpressRoute 回線の間でシームレスな相互運用性を実現できます。 既に説明したように、Azure Virtual WAN では、さまざまなリージョン ハブとスポークの仮想ネットワーク内で、さまざまなオンプレミスのグローバルな場所にあるリソース間の Any-to-Any 接続もサポートしています。

顧客の接続をフロントエンド リソースへ拡大する

多くのユーザーがオンラインになっている間、企業の Web サイトの多くで顧客のトラフィックが増加しています。 Azure Application Gateway は、この増加したフロントエンド ワークロードを管理するのに役立ちます。 詳細については、「Application Gateway の高トラフィックのサポート」を参照してください。

Microsoft によるマルチクラウド トラフィックのサポート

他のパブリック クラウドへのデプロイでは、Microsoft はグローバル接続を提供できます。 Azure Virtual WAN、VPN Gateway、または ExpressRoute がこの点で役立ちます。 Azure から他のクラウドへ接続を拡張するために、2 つのクラウド間に S2S VPN を構成できます。 ExpressRoute を使用することで、Azure から他のパブリック クラウドへの接続を確立することもできます。

Oracle クラウドは、ExpressRoute パートナー エコシステムの一部です。 Azure と Oracle Cloud Infrastructure 間の直接相互接続をセットアップすることができます。

ExpressRoute パートナー エコシステムの一部であるほとんどのサービス プロバイダーは、他のパブリック クラウドへのプライベート接続も提供します。 これらのサービス プロバイダーを使用することで、Azure と他のクラウド内のデプロイの間に ExpressRoute を介したプライベート接続を確立できます。

次のステップ

次の記事では、Azure ネットワーク機能を使用して、リモートで作業するユーザーの規模を拡大する方法について説明します。

記事 説明
Azure VPN Gateway ポイント対サイトを使用したリモート作業 ユーザーのリモート アクセスを設定するため、または組織の追加容量により既存のソリューションを補完するために使用できるオプションを確認します。
Azure Virtual WAN とリモート作業のサポート Azure Virtual WAN を使用して、組織のリモート接続のニーズに対処します。
Application Gateway の高トラフィックのサポート Azure Application Gateway と Web アプリケーション ファイアウォール (WAF) を使用して、Web アプリケーションへのトラフィックをスケーラブルかつ安全な方法で管理できます。
リモートでの作業: リモート作業での NVA に関する考慮事項 Azure で NVA を使用してリモート アクセス ソリューションを提供するためのガイダンスを確認します。
SSTP から OpenVPN プロトコルまたは IKEv2 に移行する OpenVPN プロトコルまたは IKEv2 に移行して、SSTP のコンカレント接続の上限 (128) を取り払います。
Azure Bastion を使用したリモート作業 パブリック IP アドレスを使用することなく、Azure portal で直接、Azure 仮想ネットワーク内の仮想マシンに対する RDP/SSH 接続を提供します。
リモート ユーザーをサポートするためのハイブリッド接続を Azure ExpressRoute を使用して作成する ハイブリッド接続に ExpressRoute を使用して、組織内のユーザーがリモートで作業できるようにします。
Azure Firewall のリモート作業のサポート Azure Firewall を使用して、Azure 仮想ネットワーク リソースを保護します。