VPN Gateway のトポロジと設計
VPN Gateway 接続では、さまざまな構成オプションを利用できます。 以降のセクションの図と説明は、要件を満たす接続トポロジを選択するために役立ちます。 図は主要なベースライン トポロジを示していますが、図をガイドラインとして使用して、より複雑な構成を構築することもできます。
サイト間 VPN
"サイト間" (S2S) VPN ゲートウェイ接続とは、IPsec/IKE (IKEv1 または IKEv2) VPN トンネルを介した接続です。 サイト間接続は、クロスプレミスおよびハイブリッド構成に使用できます。 サイト間接続には、パブリック IP アドレスを割り当てたオンプレミスの VPN デバイスが必要です。 VPN デバイスの選択に関する詳細については、VPN ゲートウエイ に関する FAQ の VPN デバイスに関する項目を参照してください。
VPN ゲートウエイ は、1 つのパブリック IP を使用してアクティブ/スタンバイ モードで構成することも、2 つのパブリック IP を使用してアクティブ/アクティブ モードで構成することもできます。 アクティブ/スタンバイ モードでは、一方の IPsec トンネルがアクティブになり、もう一方のトンネルがスタンバイ状態になります。 このセットアップでは、トラフィックはアクティブ トンネルを通過します。このトンネルで何らかの問題が発生した場合、トラフィックはスタンバイ トンネルに切り替わります。 両方の IPsec トンネルが同時にアクティブになり、両方のトンネルを同時に通過するデータ フローがある場合は、アクティブ/アクティブ モードで VPN Gateway を設定することを "お勧め" します。 アクティブ/アクティブ モードのもう 1 つの利点は、顧客がより高いスループットを体験できることです。
仮想ネットワーク ゲートウェイから複数の VPN 接続を作成し、通常は複数のオンプレミスのサイトに接続します。 複数の接続を使用する場合は、(クラシック VNet を使用する際に動的ゲートウェイと呼ばれる) RouteBased という VPN の種類を使用する必要があります。 各仮想ネットワークに配置できる VPN ゲートウェイは 1 つのみであるため、ゲートウェイを経由するすべての接続は、使用可能な帯域幅を共有します。 この種類の構成は、"マルチサイト" 接続と呼ばれることがあります。
S2S で使用できるデプロイメント モデルとデプロイ方法
| デプロイメント モデル/方法 | Azure Portal | PowerShell | Azure CLI |
|---|---|---|---|
| リソース マネージャー | チュートリアル | チュートリアル | チュートリアル |
| クラシック (従来のデプロイ モデル) | チュートリアル** | チュートリアル | サポートされていません |
"**" は、PowerShell を必要とする手順を含む方法を示します。
ポイント対サイト VPN
ポイント対サイト (P2S) VPN ゲートウェイ接続を利用すると、個々のクライアント コンピューターから仮想ネットワークに対してセキュリティで保護された接続を確立できるようになります。 ポイント対サイト接続は、クライアント コンピューターから接続を開始することによって確立されます。 このソリューションは、在宅勤務者が自宅や会議室などのリモートの場所から Azure Virtual Networks に接続する場合に便利です。 ポイント対サイト VPN は、仮想ネットワークへの接続が必要なクライアントがごく少ない場合に、サイト対サイト VPN の代わりに使用するソリューションとしても便利です。
サイト間接続とは異なり、ポイント対サイト接続には、オンプレミスの公開 IP アドレスまたは VPN デバイスは必要ありません。 ポイント対サイト接続とサイト間接続は、両者の構成要件がすべて両立する場合に、同じ VPN ゲートウェイを使って併用することができます。 ポイント対サイト接続について詳しくは、「ポイント対サイト VPN について」をご覧ください。
P2S で使用できるデプロイメント モデルとデプロイ方法
| Azure ネイティブ証明書認証 | デプロイメント モデル/方法 | Azure Portal | PowerShell |
|---|---|---|---|
| リソース マネージャー | チュートリアル | チュートリアル | |
| クラシック (従来のデプロイ モデル) | チュートリアル | サポートされています |
| Microsoft Entra 認証 | デプロイメント モデル/方法 | 記事 |
|---|---|---|
| リソース マネージャー | テナントの作成 | |
| リソース マネージャー | アクセスの構成 - ユーザーとグループ |
| RADIUS 認証 | デプロイメント モデル/方法 | Azure Portal | PowerShell |
|---|---|---|---|
| リソース マネージャー | サポート | チュートリアル | |
| クラシック (従来のデプロイ モデル) | サポートされていません | サポートされていません |
P2S VPN クライアント構成
| 認証 | トンネルの種類 | 構成ファイルを生成する | VPN クライアントを構成する |
|---|---|---|---|
| Azure 証明書 | IKEv2、SSTP | Windows | ネイティブ VPN クライアント |
| Azure 証明書 | OpenVPN | Windows | - OpenVPN クライアント - Azure VPN クライアント |
| Azure 証明書 | IKEv2、OpenVPN | macOS-iOS | macOS-iOS |
| Azure 証明書 | IKEv2、OpenVPN | Linux | Linux |
| Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
| Microsoft Entra ID | OpenVPN (SSL) | macOS | macOS |
| RADIUS - 証明書 | - | 記事 | 記事 |
| RADIUS - パスワード | - | 記事 | 記事 |
| RADIUS - その他の方法 | - | 記事 | 記事 |
VNet 間接続 (IPsec/IKE VPN トンネル)
仮想ネットワーク間 (VNet 間) の接続は、仮想ネットワークをオンプレミスのサイトの場所に接続することと似ています。 どちらの接続タイプでも、VPN ゲートウェイを使用して、IPsec/IKE を使った安全なトンネルが確保されます。 マルチサイト接続構成と VNet 間通信を組み合わせることもできます。 そのため、クロスプレミス接続と仮想ネットワーク間接続とを組み合わせたネットワーク トポロジを確立することができます。
接続できる仮想ネットワークは、次のとおりです。
- 同じリージョンまたは異なるリージョンにある
- 同じサブスクリプションまたは異なるサブスクリプションにある
- 同じデプロイメント モデルまたは異なるデプロイメント モデルである
VNet 間接続で使用できるデプロイメント モデルとデプロイ方法
| デプロイメント モデル/方法 | Azure Portal | PowerShell | Azure CLI |
|---|---|---|---|
| リソース マネージャー | チュートリアル+ | チュートリアル | チュートリアル |
| クラシック (従来のデプロイ モデル) | チュートリアル* | サポートされています | サポートされていません |
| Resource Manager デプロイ モデルとクラシック (レガシ) デプロイ モデルの間の接続 | チュートリアル* | チュートリアル | サポートされていません |
"+" は、このデプロイ方法が同じサブスクリプションの VNet でのみ利用できることを示します。
" * " は、PowerShell が必要なデプロイ方法を示します。
場合によっては、VNet 間の仮想ネットワーク接続の代わりに、仮想ネットワーク ピアリングを使用できます。 仮想ネットワーク ピアリングは、仮想ネットワーク ゲートウェイを使用しません。 詳細については、「
サイト間と ExpressRoute の共存接続
ExpressRoute は、(パブリック インターネット経由ではなく) WAN から (Azure を含む) Microsoft サービスへの直接的なプライベート接続です。 サイト間 VPN トラフィックは、暗号化が施されたうえでパブリック インターネット経由で送受信されます。 同じ仮想ネットワークに対してサイト間 VPN と ExpressRoute 接続が構成可能な場合、いくつかの利点があります。
ExpressRoute 用にセキュリティで保護されたフェールオーバー パスとしてサイト間 VPN を構成したり、サイト間 VPN を使用して、ネットワークの一部ではないものの、ExpressRoute 経由で接続されているサイトに接続したりすることができます。 この構成では、同一の仮想ネットワークに 2 つの仮想ネットワーク ゲートウェイが必要なことに注意してください (1 つのゲートウェイの種類は Vpn、もう 1 つのゲートウェイの種類は ExpressRoute)。
S2S と ExpressRoute の共存で使用できるデプロイ モデルとデプロイ方法
| デプロイメント モデル/方法 | Azure Portal | PowerShell |
|---|---|---|
| リソース マネージャー | サポートされています | チュートリアル |
| クラシック (従来のデプロイ モデル) | サポートされていません | チュートリアル |
高可用性接続
高可用性接続の計画と設計については、高可用性接続に関するページをご覧ください。
次のステップ
詳細については、「VPN Gateway に関する FAQ」を参照してください。
VPN Gateway の構成設定について学習します。
VPN Gateway BGP の考慮事項については、BGP の概要に関するページをご覧ください。
サブスクリプションとサービスの制限に関するページを参照してください。
Azure のその他の重要なネットワーク機能について参照してください。