VPN ゲートウェイとは

VPN ゲートウェイは、特定の種類の仮想ネットワーク ゲートウェイで、パブリック インターネットを介して Azure 仮想ネットワークとオンプレミスの場所の間で暗号化されたトラフィックを送信するために使用されます。 VPN ゲートウェイを使用すると、Microsoft ネットワークを経由して Azure 仮想ネットワーク間で暗号化されたトラフィックを送信することもできます。 各仮想ネットワークには VPN ゲートウェイを 1 つだけ作成できます。 ただし、同一の VPN ゲートウェイに対して複数の接続を作成することができます。 同一の VPN ゲートウェイへの複数の接続を作成する場合、利用できるゲートウェイ帯域幅はすべての VPN トンネルによって共有されます。

仮想ネットワーク ゲートウェイとは

仮想ネットワーク ゲートウェイは、"ゲートウェイ サブネット" と呼ばれる、作成する特定のサブネットにデプロイされる 2 台以上の VM で構成されます。 仮想ネットワーク ゲートウェイ VM には、ルーティング テーブルが含まれ、特定のゲートウェイ サービスが実行されます。 これらの VM は、仮想ネットワーク ゲートウェイを作成するときに作成されます。 仮想ネットワーク ゲートウェイの一部である VM を直接構成することはできません。

仮想ネットワーク ゲートウェイを構成するときに、ゲートウェイの種類を指定する設定を構成します。 ゲートウェイの種類により、仮想ネットワーク ゲートウェイの使用方法と、ゲートウェイによって実行されるアクションが決まります。 ゲートウェイの種類 "Vpn" は、作成される仮想ネットワーク ゲートウェイの種類が "VPN ゲートウェイ" であることを示します。 これにより、異なるゲートウェイの種類を使用する ExpressRoute ゲートウェイと区別されます。 仮想ネットワークには、VPN ゲートウェイと ExpressRoute ゲートウェイの 2 つの仮想ネットワーク ゲートウェイを含めることができます。 詳細については、「ゲートウェイの種類」を参照してください。

仮想ネットワーク ゲートウェイの作成は、完了するまでに最大で 45 分かかる場合があります。 仮想ネットワーク ゲートウェイを作成すると、ゲートウェイ VM はゲートウェイ サブネットにデプロイされ、指定した設定で構成されます。 VPN ゲートウェイを作成した後、その VPN ゲートウェイと別の VPN ゲートウェイ間に IPsec/IKE VPN トンネル接続を作成するか (VNet 間)、VPN ゲートウェイとオンプレミスの VPN デバイス間にクロスプレミス IPsec/IKE VPN トンネル接続を作成できます (サイト間)。 また、ポイント対サイト VPN 接続 (OpenVPN、IKEv2、または SSTP 経由の VPN) を作成することもできます。これにより、会議や自宅などの遠隔地から仮想ネットワークに接続できます。

VPN ゲートウェイの構成

VPN ゲートウェイ接続は、特定の設定で構成された複数のリソースに依存します。 ほとんどのリソースは個別に構成できますが、一部のリソースは特定の順序で構成する必要があります。

デザイン

VPN ゲートウェイ接続ではさまざまな構成が利用できることを理解しておくことが重要です。 また、どの構成が自分のニーズに最適かを判断する必要があります。 たとえば、ポイント対サイト、サイト間、および共存する ExpressRoute/サイト間接続にはすべて、それぞれ異なる指示と構成要件があります。 設計および接続トポロジ ダイアグラムの詳細については、設計に関するページを参照してください。

計画表

次の表は、ソリューションに最適な接続オプションを決定するのに役立ちます。

ポイント対サイト サイト間 ExpressRoute
Azure でサポートされるサービス Cloud Services および Virtual Machines Cloud Services および Virtual Machines サービス一覧
一般的な帯域幅 ゲートウェイの SKU に基づく 一般的には 1 Gbps 未満のアグリゲート 50 Mbps、100 Mbps、200 Mbps、500 Mbps、1 Gbps、2 Gbps、5 Gbps、10 Gbps
サポート対象プロトコル Secure Sockets Tunneling Protocol (SSTP)、OpenVPN、IPsec IPsec VLAN、NSP の VPN テクノロジー (MPLS、VPLS など) 経由の直接接続
ルーティング RouteBased (動的) ポリシー ベース (静的ルーティング) およびルート ベース (動的ルーティング VPN) がサポートされます。 BGP
接続の弾力性 アクティブ/パッシブ アクティブ/パッシブまたはアクティブ/アクティブ アクティブ/アクティブ
一般的な使用例 リモート ユーザーのための Azure 仮想ネットワークへの安全なアクセス クラウド サービスおよび仮想マシンの開発、テスト、ラボ シナリオおよび小規模から中規模の実稼動ワークロード すべての Azure サービス (検証済み一覧)、エンタープライズクラスおよびミッション クリティカルなワークロード、バックアップ、ビッグ データ、DR サイトとしての Azure へのアクセス
SLA SLA SLA SLA
料金 料金 料金 料金
テクニカル ドキュメント VPN Gateway のドキュメント VPN Gateway のドキュメント ExpressRoute のドキュメント
FAQ VPN Gateway に関する FAQ VPN Gateway に関する FAQ ExpressRoute の FAQ

設定

リソースごとに選択した設定は、適切な接続を作成するうえで非常に重要です。 VPN Gateway の個々のリソースと設定については、「 VPN Gateway の設定について」を参照してください。 この記事には、ゲートウェイの種類、ゲートウェイの SKU、VPN の種類、接続の種類、ゲートウェイ サブネット、ローカル ネットワーク ゲートウェイ、検討が必要なその他のさまざまなリソース設定を把握するのに役立つ情報が記載されています。

デプロイ ツール

Azure Portal などの構成ツールをどれか 1 つ使用して、リソースの作成と構成を開始できます。 その後、追加のリソースを構成したり、適用できる場合に既存のリソースを変更したりするために、PowerShell などの別のツールに切り替えることができます。 現時点では、すべてのリソースとリソースの設定を Azure Portal で構成することはできません。 各接続トポロジの記事の手順では、特定の構成ツールが必要な場合が指定されています。

ゲートウェイの SKU

仮想ネットワーク ゲートウェイを作成するときには、使用するゲートウェイの SKU を指定します。 ワークロード、スループット、機能、および SLA の種類に基づいて、要件を満たす SKU を選択します。

各ゲートウェイ SKU のトンネル数、接続数、およびスループット

VPN
ゲートウェイ
世代
SKU S2S/VNet 間
トンネル
P2S
SSTP 接続
P2S
IKEv2/OpenVPN 接続
合計
スループット ベンチマーク
BGP ゾーン冗長
Generation1 Basic 最大 10 最大 128 サポートされていません 100 Mbps サポートされていません いいえ
Generation1 VpnGw1 最大 30* 最大 128 最大 250 650 Mbps サポートされています いいえ
Generation1 VpnGw2 最大 30* 最大 128 最大 500 1 Gbps サポートされています いいえ
Generation1 VpnGw3 最大 30* 最大 128 最大 1000 1.25 Gbps サポートされています いいえ
Generation1 VpnGw1AZ 最大 30* 最大 128 最大 250 650 Mbps サポートされています はい
Generation1 VpnGw2AZ 最大 30* 最大 128 最大 500 1 Gbps サポートされています はい
Generation1 VpnGw3AZ 最大 30* 最大 128 最大 1000 1.25 Gbps サポートされています はい
Generation2 VpnGw2 最大 30* 最大 128 最大 500 1.25 Gbps サポートされています いいえ
Generation2 VpnGw3 最大 30* 最大 128 最大 1000 2.5 Gbps サポート いいえ
Generation2 VpnGw4 最大 30* 最大 128 最大 5000 5 Gbps サポート いいえ
Generation2 VpnGw5 最大 30* 最大 128 最大 10000 10 Gbps サポート いいえ
Generation2 VpnGw2AZ 最大 30* 最大 128 最大 500 1.25 Gbps サポートされています はい
Generation2 VpnGw3AZ 最大 30* 最大 128 最大 1000 2.5 Gbps サポートされています はい
Generation2 VpnGw4AZ 最大 30* 最大 128 最大 5000 5 Gbps サポートされています はい
Generation2 VpnGw5AZ 最大 30* 最大 128 最大 10000 10 Gbps サポートされています はい

(*) 30 個を超える S2S VPN トンネルが必要な場合は、Virtual WAN を使用してください。

  • VpnGw SKU のサイズ変更は、Basic SKU のサイズ変更を除き、同じ世代内で許可されます。 Basic SKU はレガシ SKU であり、機能に制限があります。 Basic から別の VpnGw SKU に移行するには、Basic SKU VPN ゲートウェイを削除し、必要な世代と SKU サイズの組み合わせを使用して新しいゲートウェイを作成する必要があります。

  • これらの接続の制限は別々になっています。 たとえば、VpnGw1 SKU では 128 の SSTP 接続が利用できると共に 250 の IKEv2 接続を利用できます。

  • 料金情報については、価格に関するページをご覧ください。

  • SLA (サービス レベル アグリーメント) 情報は SLA のページで確認できます。

  • 1 つのトンネルで最大 1 Gbps のスループットを実現できます。 上の表に示した合計スループット ベンチマークは、1 つのゲートウェイから集計された複数のトンネルの測定値に基づいています。 VPN ゲートウェイの合計スループット ベンチマークは、S2S と P2S を組み合わせたものです。 多数のポイント対サイト接続がある場合、スループットの制限が原因でサイト間接続に悪影響が及ぶ可能性があります。 合計スループット ベンチマークは、インターネット トラフィックの状況とアプリケーションの動作に依存するため、保証されたスループットではありません。

お客様が異なるアルゴリズムを使用して SKU の相対的なパフォーマンスを容易に把握できるように、一般公開されている iPerf ツールと CTSTraffic ツールを使用してパフォーマンスを測定しました。 次の表は、第 1 世代、VpnGw SKU のパフォーマンステストの結果を示しています。 ご覧のとおり、IPsec 暗号化と整合性の両方に GCMAES256 アルゴリズムを使用した場合に、最高のパフォーマンスが得られました。 IPsec 暗号化に AES256 を使用し、整合性に SHA256 を使用した場合は、平均的なパフォーマンスが得られました。 IPsec 暗号化に DES3 を使用し、整合性に SHA256 を使用した場合は、パフォーマンスが最も低くなりました。

世代 SKU 使用した
アルゴリズム
測定された
スループット
測定された
1 秒あたりのパケット数
Generation1 VpnGw1 GCMAES256
AES256 と SHA256
DES3 と SHA256
650 Mbps
500 Mbps
120 Mbps
58,000
50,000
50,000
Generation1 VpnGw2 GCMAES256
AES256 と SHA256
DES3 と SHA256
1 Gbps
500 Mbps
120 Mbps
90,000
80,000
55,000
Generation1 VpnGw3 GCMAES256
AES256 と SHA256
DES3 と SHA256
1.25 Gbps
550 Mbps
120 Mbps
105,000
90,000
60,000
Generation1 VpnGw1AZ GCMAES256
AES256 と SHA256
DES3 と SHA256
650 Mbps
500 Mbps
120 Mbps
58,000
50,000
50,000
Generation1 VpnGw2AZ GCMAES256
AES256 と SHA256
DES3 と SHA256
1 Gbps
500 Mbps
120 Mbps
90,000
80,000
55,000
Generation1 VpnGw3AZ GCMAES256
AES256 と SHA256
DES3 と SHA256
1.25 Gbps
550 Mbps
120 Mbps
105,000
90,000
60,000

可用性ゾーン

VPN ゲートウェイを Azure Availability Zones にデプロイすることができます。 これにより、仮想ネットワーク ゲートウェイに回復性、スケーラビリティ、高可用性が提供されます。 Azure Availability Zones にゲートウェイをデプロイすると、オンプレミス ネットワークの Azure への接続をゾーン レベルの障害から保護しながら、ゲートウェイを 1 つのリージョン内に物理的かつ論理的に分離できます。 「Azure Availability Zones でのゾーン冗長仮想ネットワーク ゲートウェイについて」を参照してください。

価格

料金は 2 つの要素に対して課金されます。1 つは仮想ネットワーク ゲートウェイに対する時間単位のコンピューティング コスト、もう 1 つは仮想ネットワーク ゲートウェイからのエグレス (送信) データ転送のコストです。 料金情報については、価格に関するページをご覧ください。 レガシ ゲートウェイ SKU の価格については、ExpressRoute の価格に関するページを参照し、「Virtual Network ゲートウェイ」のセクションまでスクロールしてください。

仮想ネットワーク ゲートウェイのコンピューティング コスト
仮想ネットワーク ゲートウェイごとに時間単位のコンピューティング コストが課金されます。 料金は、仮想ネットワーク ゲートウェイを作成する際に指定するゲートウェイ SKU に基づいて決定されます。 コストは、ゲートウェイ自体にかかる料金と、ゲートウェイを通過するデータ転送にかかる料金を足した額になります。 アクティブ/アクティブ セットアップのコストは、アクティブ/パッシブの場合と同じです。

データ転送コスト
データ転送のコストは、ソース仮想ネットワーク ゲートウェイからのエグレス トラフィックに基づいて計算されます。

  • オンプレミスの VPN デバイスにトラフィックを送信する場合は、インターネット エグレス データ転送率を使用して課金されます。
  • 異なるリージョンに属する仮想ネットワーク間でトラフィックを送信する場合は、リージョンごとの価格に基づいて課金されます。
  • 同じリージョンに属する仮想ネットワーク間でトラフィックを送信する場合は、データ コストはかかりません。 同じリージョン内にある VNet 間のトラフィックは無料です。

VPN ゲートウェイの SKU の詳細については、「ゲートウェイの SKU」を参照してください。

FAQ

VPN Gateway に関してよく寄せられる質問については、「VPN Gateway に関する FAQ」を参照してください。

新機能

RSS フィードを購読し、Azure 更新情報ページで、最新の VPN Gateway 機能の更新を確認します。

次のステップ