.net column

.NET開発者のためのブログメディア

Azure VPN Gatewayとは?接続トポロジや料金計算方法も解説

 
Azure VPN Gatewayとは?接続トポロジや料金計算方法も解説
基本情報技術者試験の試験対策はこちら>>
SE
Azure VPN Gatewayとは、どんなサービスなのですか?
PL
Azure上のネットワークと社内ネットワークを安全に接続するためのサービスですね。概要や接続構成は、これから解説していきますね。

Azure VPN Gatewayとは?


Azure VPN Gatewayとは、Azure上のネットワークである「Azure Virtual Network」と、社内ネットワーク(主にオンプレミス)を安全に接続するためのサービスです。

VPN Gatewayを利用することで、Azure仮想ネットワークとオンプレミスの間のトラフィックを暗号化することができます。

仮想ネットワークゲートウェイは、「ゲートウェイサブネット」と呼ばれ、特定のサブネットにデプロイされる2台以上のVMで構成されます。

仮想ネットワークゲートウェイVMにはルーティングテーブルが含まれており、これらのVMは仮想ネットワークゲートウェイを作成すると同時に作成されます。

Azure VPN Gatewayが必要とされる背景


Microsoftのクラウドサービス「Microsoft Azure」はクラウドサービスの1つです。このサービスは、インターネットを利用するために、通信回線上のセキュリティが十分確保されていることが必要です。

この解決策として、Microsoft AzureのクラウドサービスにVPNを活用して接続し、インターネット経由で安全に、なおかつ、初期投資や維持管理費用を削減して使用する方法を解説します。また、料金の具体的例も解説しています。

Azure VPN Gateway活用の具体例3つ


Azure VPN Gatewayの活用例として、3つの具体例を解説します。オンプレミスネット環境との接続、テレワークの外部コンピュータからAzure VNetにVPN接続、VNet間のVPN接続、の各事例について解説します。

1:オンプレミスネットワークの接続

オンプレミスネットワークとAzure VNetとの接続とVnet間の接続の事例を説明します。

オンプレミスネットワークとVNetを接続することで、オンプレミスネットワークのコンピュータが、Azure の仮想マシンとアクセスができるようになります。この接続を確保するためには、オンプレミス側でグローバルIPアドレスとVPNデバイス、共有キーが必要です。

一度サイト間でVPN接続を確立すれば、その都度VPN接続の必要はありません。

2:テレワークでのVPN接続環境

テレワークが進んでいますが、方法としては、会社所有のパソコンをリモートデスクトップ方式で遠隔制御する方式や、VPNを使った社給パソコンをテレワーク端末として自宅に持ち帰り利用する方式などがあります。

会社のVPNを使ったパソコンであれば、高速インターネット回線が不要で、自宅から使用するのはインターネットVPNが主流です。そのため利用者が増えるほど速度は遅くなってしまいます。

また、社内でVPNシステムを準備すると、導入・運用やコストの面で負担が多大になるため、クラウド型のVPNサービスを導入する場合が多いです。

3:データセンター同士のVPN接続

Azure上の仮想ネットワーク同士をVPN接続する構成は、VNet間接続(VNet:VNet)ともいいます。接続する双方がAzure上の仮想ネットワークという内容と考えて下さい。

VNet間接続(VNet:VNet)は、インターネット回線を介して、IPsec/IKEのトンネルの利用となりますので、通信の情報セキュリティも十分確保できます。

Azure VPN Gatewayの接続トポロジ


Azure VPN Gatewayには、下記3つの接続構成があります。

S2S(サイト間接続)
社内ネットワークからAzure仮想ネットワークに接続する構成。社内ネットワーク側に固定IPアドレスとVPNデバイスが必要です。そして、VPNデバイスは「IPsec」対応でなければなりません。

P2S(ポイント:サイト接続)
クライアントのデバイスからAzure仮想ネットワークに接続する構成。接続する側のクライアントは、VPN Gatewayのルート証明書とクライアント証明書が必要となります。2つの証明書があれば、どこからでもAzure仮想ネットワークに接続することが可能です。

Vnet:Vnet(Vnet間接続)
Azure仮想ネットワーク同士を接続する構成。Azure仮想ネットワーク同士に限らず、AWSなど他の仮想ネットワークと接続することもできます。

Azure VPN Gateway接続トポロジの構築方法3種


Azure VPN Gateway接続での3つのトポロジの構築方法を解説します。

・S2S(サイト間接続)
・P2S(ポイント:サイト接続)
・Vnet:Vnet(Vnet間接続)

どの構成が担当するニーズに最適かを判断しておくことは必要です。

1:S2S(サイト間接続)接続トポロジの構築方法

S2S(サイト間接続)は、IPsec/IKE VPNトンネルの接続です。クロスプレミス接続の構成とハイブリッド構成に使用できます。オンプレミスのパブリックIP アドレスを割り当てられているVPN デバイスが必要です。

また、条件としては、そのデバイスはNAT (Network Address Translation)の内側に配置されていないことです。

マルチサイト間接続は、複数のIPsec/IKE VPNトンネルを介して、複数のオンプレミスのサイトに接続する方法です。条件としては、ルートベースのVPNを使用します。それぞれの仮想ネットワークに配置できるAzure VPN Gatewayは1つだけに限られます。

2:P2S(ポイント:サイト接続)接続トポロジの構築方法

テレワークのニーズに効果的です。仮想ネットワークを介して、自宅のパソコンからAzureやオンプレミスネットワークにセキュリティが確保された接続が可能です。

ポイント:サイト接続では、オンプレミスネットワークの公開IP アドレス、VPNデバイスは、必要ではありません。 また、各種ネットワークの構成要件が満足する場合、S2S(サイト間接続)とPS2(ポイント:サイト接続)が併用可能です。

3:Vnet:Vnet(Vnet間接続)接続トポロジの構築方法

VNet間接続(VNet:VNet)はインターネット回線を介したVPN接続の場合、IPsec/IKEで確立したトンネルを利用した情報セキュリティが確保できます。

設定は、ローカルネットワークゲートウェイのサブネットを手動で更新するようなことはありません。VNet:VNet(VNet間接続)は、一方のローカルネットワークゲートウェイのアドレスを決めてしまえば、もう一方のアドレスは自動的に決定や更新が出来ます。

ExpressRoute経由での接続の特徴


ExpressRouteの使用は、WANやMicrosoft提供サービスに接続可能とするプライベート接続です。これによって、Microsoft Azure、Office 365、CRM OnlineのようなMicrosoftのクラウドサービスとの接続が容易にできることがメリットです。

ExpressRoute接続では、パブリックインターネットは使用できないため、一般的なインターネット経由の接続と比較すると、高度な安心と信頼性、待ち時間の短縮、100Gbpsの帯域幅をサポートで高速化されています。

また、サイト間接続とExpressRoute接続を併用できた場合は、片方に障害があった場合の相互補完が可能となり、併用するメリットがあります。

Azure VPN GatewayとExpressRouteを併用する際の注意点

Azure VPN GatewayとAzure Express Routeを併用するための注意点は、同一のAzure上の仮想ネットワークに「VPN」と「Express Route」の2種類のゲートウェイを確保する必要があることです。

また、Azure VPN GatewayのS2SやP2Sでは、インターネット回線を介して接続する接続するために、VPNデバイスや証明書を必要とします。Azure Express Routeは専用線のために、複雑な構成は不要です。

Azure VPN Gatewayを冗長化する必要性とその方法


一般的にVPNは冗長性を持たせ、アクティブとスタンバイの2つのインスタンスを持った構成にします。オンプレミス側に複数のVPNを準備するか、複数のAzure VPN Gatewayを使って冗長性をもたせる方法として、以下の3つがあります。

・オンプレミス側の2つのVPNデバイスにして、ひとつのAzure VPN Gatewayに接続する方法
・オンプレミス側のVPNデバイスに、Azure VPN Gatewayをアクティブ+アクティブ構成にして接続する方法
・オンプレミス側のVPNとAzure VPN Gatewayの両方をアクティブ+アクティブとして、デュアルの冗長化にする方法

Azure VPN Gatewayの料金体系


Azure VPN Gatewayの利用には、事前コストは発生しません。利用した分だけ料金が発生する従量課金制となっています。
また、課金されるのは下記3種類のリソースです。

1.VPN Gatewayの利用時間単位による課金
料金は選択仕様によって異なります。
2.送信仮想ネットワーク間データ転送
2つの仮想ネットワーク間にあるAzureデータセンターから出ていくデータが対象です。
3.送信P2S VPNデータ転送
P2S VPNを経由してAzure Virtual Networkから転送されるデータに対して課金されます。料金はStandardのデータ転送料金となります。

Azure VPN Gatewayの料金計算方法


「Azure VPN Gateway」の料金計算例を紹介します。料金計算例として、企業の社内ネットワークからAzure仮想ネットワークへサイト間VPNで接続した場合を想定します。

AzureはVPN Gateway「Basic」プランを利用した場合、30日間使用可能な状態にしたとします。また、Azureデータセンターからの送信データ量の合計は500GBとします。この場合の料金は以下の計算となります。

(1)VPN Gateway使用料
4.04(円)×24(時間)×30(日)=2,909(円)

(2)送信仮想ネットワーク間データ転送の料金
500(GB)×10.08(円/GB)=5,040(円)

合計金額は以下となります。
(1)+(2)=7,949(円)

SE
Azure VPN Gatewayは、Azureを利用しているユーザーにとって、今後欠かせないサービスになりそうですね。
PL
リモートワークや在宅勤務といった働き方の多様化で、社外から重要なデータにアクセスする機会も増えました。それはつまり、情報が漏れてしまう危険性が生まれてしまうことにもつながります。VPNの利用は必須となるでしょう。

Azure VPN Gatewayで安心安全な通信を実現しよう


Azure VPN Gatewayは、Azure上のネットワークと安全に通信する上では、必須のサービスです。今後ますます、新しい働き方が普及する上で、情報セキュリティの向上は欠かせません。重要なデータを守るためにも、VPNの利用は視野に入れておきましょう。


.NET分野でのキャリアアップをお考えの方は、現在募集中の求人情報をご覧ください。

また、直接のエントリーも受け付けております。

エントリー(応募フォーム)

Search

Popular

reccomended

Categories

Tags