VPN ゲートウェイとは

VPN Gateway は、Azure 仮想ネットワークとオンプレミスの場所の間で、パブリック インターネットを介して暗号化されたトラフィックを送信します。 VPN Gateway を使用すると、Microsoft ネットワークを経由して Azure 仮想ネットワーク間で暗号化されたトラフィックを送信することもできます。 VPN ゲートウェイは仮想ネットワーク ゲートウェイの特定の種類です。 各仮想ネットワークには VPN ゲートウェイを 1 つだけ作成できます。 ただし、同一の VPN ゲートウェイに対して複数の接続を作成することができます。 同一の VPN ゲートウェイへの複数の接続を作成する場合、利用できるゲートウェイ帯域幅はすべての VPN トンネルによって共有されます。

仮想ネットワーク ゲートウェイとは

仮想ネットワーク ゲートウェイは、自動的に構成され、作成した特定のサブネット ("ゲートウェイ サブネット" と呼ばれます) にデプロイされる 2 つ以上の VM で構成されます。 ゲートウェイ VM には、ルーティング テーブルが含まれ、特定のゲートウェイ サービスが実行されます。 仮想ネットワーク ゲートウェイの一部である VM を直接構成することはできませんが、ゲートウェイを構成するときに選んだ設定は、作成されるゲートウェイ VM に影響します。

VPN ゲートウェイとは

仮想ネットワーク ゲートウェイを構成するときに、ゲートウェイの種類を指定する設定を構成します。 ゲートウェイの種類により、仮想ネットワーク ゲートウェイの使用方法と、ゲートウェイによって実行されるアクションが決まります。 ゲートウェイの種類 "Vpn" は、作成される仮想ネットワーク ゲートウェイの種類が "VPN ゲートウェイ" であることを示します。 これにより、異なるゲートウェイの種類を使用する ExpressRoute ゲートウェイと区別されます。 仮想ネットワークには、VPN ゲートウェイと ExpressRoute ゲートウェイの 2 つの仮想ネットワーク ゲートウェイを含めることができます。 詳細については、「ゲートウェイの種類」を参照してください。

VPN ゲートウェイを作成すると、ゲートウェイ VM はゲートウェイ サブネットにデプロイされ、指定された設定で構成されます。 選択するゲートウェイ SKU によっては、このプロセスが完了するまでに 45 分以上かかる場合があります。 VPN ゲートウェイを作成した後、その VPN ゲートウェイと別の VPN ゲートウェイ間に IPsec/IKE VPN トンネル接続を作成するか (VNet 間)、VPN ゲートウェイとオンプレミスの VPN デバイス間にクロスプレミス IPsec/IKE VPN トンネル接続を作成できます (サイト間)。 また、ポイント対サイト VPN 接続 (OpenVPN、IKEv2、または SSTP 経由の VPN) を作成することもできます。これにより、会議や自宅などの遠隔地から仮想ネットワークに接続できます。

VPN ゲートウェイの構成

VPN ゲートウェイ接続は、特定の設定で構成された複数のリソースに依存します。 ほとんどのリソースは個別に構成できますが、一部のリソースは特定の順序で構成する必要があります。

接続

VPN Gateway を使用して複数の接続構成を作成できるためで、どの構成がニーズに最適であるかを判断する必要があります。 ポイント対サイト、サイト間、および共存する ExpressRoute/サイト間接続のすべてに、異なる指示と構成要件があります。 接続図と構成手順への対応するリンクについては、「VPN Gateway の設計」を参照してください。

計画表

次の表は、ソリューションに最適な接続オプションを決定するのに役立ちます。 ExpressRoute は VPN Gateway の一部ではありませんが、この表に含まれていることに注意してください。

ポイント対サイト サイト間 ExpressRoute
Azure でサポートされるサービス Cloud Services および Virtual Machines Cloud Services および Virtual Machines サービス一覧
一般的な帯域幅 ゲートウェイの SKU に基づく 一般的には 10 Gbps 未満のアグリゲート 50 Mbps、100 Mbps、200 Mbps、500 Mbps、1 Gbps、2 Gbps、5 Gbps、10 Gbps、100 Gbps
サポート対象プロトコル Secure Sockets Tunneling Protocol (SSTP)、OpenVPN、IPsec IPsec VLAN、NSP の VPN テクノロジー (MPLS、VPLS など) 経由の直接接続
ルーティング RouteBased (動的) ポリシー ベース (静的ルーティング) およびルート ベース (動的ルーティング VPN) がサポートされます。 BGP
接続の弾力性 アクティブ/パッシブ アクティブ/パッシブまたはアクティブ/アクティブ アクティブ/アクティブ
一般的な使用例 リモート ユーザーのための Azure 仮想ネットワークへの安全なアクセス クラウド サービスおよび仮想マシンの開発、テスト、ラボ シナリオおよび小規模から中規模の実稼動ワークロード すべての Azure サービス (検証済み一覧)、エンタープライズクラスおよびミッション クリティカルなワークロード、バックアップ、ビッグ データ、DR サイトとしての Azure へのアクセス
SLA SLA SLA SLA
料金 料金 料金 料金
テクニカル ドキュメント VPN Gateway VPN Gateway ExpressRoute
FAQ VPN Gateway に関する FAQ VPN Gateway に関する FAQ ExpressRoute の FAQ

設定

リソースごとに選択した設定は、適切な接続を作成するうえで非常に重要です。 VPNゲートウエイ の個々のリソースと設定については、「 VPN ゲートウエイ の設定について」を参照してください。 この記事には、ゲートウェイの種類、ゲートウェイの SKU、VPN の種類、接続の種類、ゲートウェイ サブネット、ローカル ネットワーク ゲートウェイ、検討が必要なその他のさまざまなリソース設定を把握するのに役立つ情報が記載されています。

デプロイ ツール

Azure Portal などの構成ツールをどれか 1 つ使用して、リソースの作成と構成を開始できます。 その後、追加のリソースを構成したり、適用できる場合に既存のリソースを変更したりするために、PowerShell などの別のツールに切り替えることができます。 現時点では、すべてのリソースとリソースの設定を Azure Portal で構成することはできません。 各接続トポロジの記事の手順では、特定の構成ツールが必要な場合が指定されています。

Gateway の SKU

仮想ネットワーク ゲートウェイを作成するときには、使用するゲートウェイの SKU を指定します。 ワークロード、スループット、機能、および SLA の種類に基づいて、要件を満たす SKU を選択します。

各ゲートウェイ SKU のトンネル数、接続数、およびスループット

VPN
Gateway
世代
SKU S2S/VNet-to-VNet
トンネル
P2S
SSTP 接続
P2S
IKEv2/OpenVPN 接続
Aggregate
スループット ベンチマーク
BGP ゾーン冗長
Generation1 Basic 最大 10 最大 128 サポートされていません 100 Mbps サポートされていません いいえ
Generation1 VpnGw1 最大 30 最大 128 最大 250 650 Mbps サポートされています いいえ
Generation1 VpnGw2 最大 30 最大 128 最大 500 1 Gbps サポートされています いいえ
Generation1 VpnGw3 最大 30 最大 128 最大 1000 1.25 Gbps サポートされています いいえ
Generation1 VpnGw1AZ 最大 30 最大 128 最大 250 650 Mbps サポートされています はい
Generation1 VpnGw2AZ 最大 30 最大 128 最大 500 1 Gbps サポートされています はい
Generation1 VpnGw3AZ 最大 30 最大 128 最大 1000 1.25 Gbps サポートされています はい
Generation2 VpnGw2 最大 30 最大 128 最大 500 1.25 Gbps サポートされています いいえ
Generation2 VpnGw3 最大 30 最大 128 最大 1000 2.5 Gbps サポートされています いいえ
Generation2 VpnGw4 最大 100* 最大 128 最大 5000 5 Gbps サポートされています いいえ
Generation2 VpnGw5 最大 100* 最大 128 最大 10000 10 Gbps サポートされています いいえ
Generation2 VpnGw2AZ 最大 30 最大 128 最大 500 1.25 Gbps サポートされています はい
Generation2 VpnGw3AZ 最大 30 最大 128 最大 1000 2.5 Gbps サポートされています はい
Generation2 VpnGw4AZ 最大 100* 最大 128 最大 5000 5 Gbps サポートされています はい
Generation2 VpnGw5AZ 最大 100* 最大 128 最大 10000 10 Gbps サポートされています はい

(*) 100 個を超える S2S VPN トンネルが必要な場合は、Virtual WAN を使用してください。

  • VpnGw SKU のサイズ変更は、Basic SKU のサイズ変更を除き、同じ世代内で許可されます。 Basic SKU はレガシ SKU であり、機能に制限があります。 Basic から別の SKU に移行するには、Basic SKU VPN ゲートウェイを削除し、必要な世代と SKU サイズの組み合わせを使用して新しいゲートウェイを作成する必要があります (レガシ SKU の操作に関する記事を参照してください)。

  • これらの接続の制限は別々になっています。 たとえば、VpnGw1 SKU では 128 の SSTP 接続が利用できると共に 250 の IKEv2 接続を利用できます。

  • 料金情報については、価格に関するページをご覧ください。

  • SLA (サービス レベル アグリーメント) 情報は SLA のページで確認できます。

  • ポイント対サイト接続数が多い場合、サイト間接続に悪影響を与える可能性があります。 合計スループット ベンチマークは、サイト間接続とポイント対サイト接続の組み合わせを最大化した状態でテストしました。 1 つのポイント対サイト接続またはサイト間接続の場合、スループットが大幅に低下する場合があります。

  • インターネット トラフィックの状態とアプリケーションの動作に左右されるので、すべてのベンチマークが保証されるわけではないことに注意してください。

お客様が異なるアルゴリズムを使用して SKU の相対的なパフォーマンスを容易に把握できるように、サイト間接続には一般公開されている iPerf ツールと CTSTraffic ツールを使用してパフォーマンスを測定しました。 以下の表は、VpnGw SKU のパフォーマンス テストの結果を示しています。 ご覧のとおり、IPsec 暗号化と整合性の両方に GCMAES256 アルゴリズムを使用した場合に、最高のパフォーマンスが得られました。 IPsec 暗号化に AES256 を使用し、整合性に SHA256 を使用した場合は、平均的なパフォーマンスが得られました。 IPsec 暗号化に DES3 を使用し、整合性に SHA256 を使用した場合は、パフォーマンスが最も低くなりました。

VPN トンネルは VPN ゲートウェイ インスタンスに接続します。 各インスタンスのスループットは上記のスループット テーブルに記載され、そのインスタンスに接続しているすべてのトンネルで集計して使用できます。

以下の表は、異なるゲートウェイ SKU のトンネルごとに観察された帯域幅と、1 秒あたりのパケット数のスループットを示しています。 すべてのテストは、Azure 内のさまざまなリージョンにわたるゲートウェイ (エンドポイント) 間で、接続数は 100、標準の負荷条件下で実行されました。

世代 SKU 使用されたアルゴリズム
使用される
スループット
観察されたトンネルごとの 1 秒あたりのパケット数
Generation1 VpnGw1 GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbps
500 Mbps
130 Mbps
62,000
47,000
12,000
Generation1 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1.2 Gbps
650 Mbps
140 Mbps
100,000
61,000
13,000
Generation1 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1.25 Gbps
700 Mbps
140 Mbps
120,000
66,000
13,000
Generation1 VpnGw1AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbps
500 Mbps
130 Mbps
62,000
47,000
12,000
Generation1 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1.2 Gbps
650 Mbps
140 Mbps
110,000
61,000
13,000
Generation1 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1.25 Gbps
700 Mbps
140 Mbps
120,000
66,000
13,000
Generation2 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1.25 Gbps
550 Mbps
130 Mbps
120,000
52,000
12,000
Generation2 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1.5 Gbps
700 Mbps
140 Mbps
140,000
66,000
13,000
Generation2 VpnGw4 GCMAES256
AES256 & SHA256
DES3 & SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
Generation2 VpnGw5 GCMAES256
AES256 & SHA256
DES3 & SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
Generation2 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1.25 Gbps
550 Mbps
130 Mbps
120,000
52,000
12,000
Generation2 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1.5 Gbps
700 Mbps
140 Mbps
140,000
66,000
13,000
Generation2 VpnGw4AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
Generation2 VpnGw5AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000

可用性ゾーン

VPN ゲートウェイを Azure Availability Zones にデプロイすることができます。 これにより、仮想ネットワーク ゲートウェイに回復性、スケーラビリティ、高可用性が提供されます。 Azure Availability Zones にゲートウェイをデプロイすると、オンプレミス ネットワークの Azure への接続をゾーン レベルの障害から保護しながら、ゲートウェイを 1 つのリージョン内に物理的かつ論理的に分離できます。 「Azure Availability Zones でのゾーン冗長仮想ネットワーク ゲートウェイについて」を参照してください。

価格

料金は 2 つの要素に対して課金されます。1 つは仮想ネットワーク ゲートウェイに対する時間単位のコンピューティング コスト、もう 1 つは仮想ネットワーク ゲートウェイからのエグレス (送信) データ転送のコストです。 料金情報については、価格に関するページをご覧ください。 レガシ ゲートウェイ SKU の価格については、ExpressRoute の価格に関するページを参照し、「Virtual Network ゲートウェイ」のセクションまでスクロールしてください。

仮想ネットワーク ゲートウェイのコンピューティング コスト
仮想ネットワーク ゲートウェイごとに時間単位のコンピューティング コストが課金されます。 料金は、仮想ネットワーク ゲートウェイを作成する際に指定するゲートウェイ SKU に基づいて決定されます。 コストは、ゲートウェイ自体にかかる料金と、ゲートウェイを通過するデータ転送にかかる料金を足した額になります。 アクティブ/アクティブ セットアップのコストは、アクティブ/パッシブの場合と同じです。

データ転送コスト
データ転送のコストは、ソース仮想ネットワーク ゲートウェイからのエグレス トラフィックに基づいて計算されます。

  • オンプレミスの VPN デバイスにトラフィックを送信する場合は、インターネット エグレス データ転送率を使用して課金されます。
  • 異なるリージョンに属する仮想ネットワーク間でトラフィックを送信する場合は、リージョンごとの価格に基づいて課金されます。
  • 同じリージョンに属する仮想ネットワーク間でトラフィックを送信する場合は、データ コストはかかりません。 同じリージョン内にある VNet 間のトラフィックは無料です。

VPN ゲートウェイの SKU の詳細については、「ゲートウェイの SKU」を参照してください。

よく寄せられる質問

VPN Gateway に関してよく寄せられる質問については、「VPN Gateway に関する FAQ」を参照してください。

新機能

RSS フィードを購読し、Azure 更新情報ページで、最新の VPN Gateway 機能の更新を確認します。

次のステップ