Azureとオンプレミスの接続方法
Azureクラウドとオンプレミスの安全な通信を確立する手法として次の3つの接続方式がMicrosoftから提供されている。
- P2S(Point-to-Site)VPN
- S2S(Site-to-Site)VPN
- ExpressRoute(閉域網)
Azureとオンプレミスの3つの接続方法
1.P2S(Point-to-Site) VPN
P2S VPNはエンドユーザーのクライアント端末とクラウドをVPNで接続する方式である。この方式では、Azure上のVPN Gatewayが持つ自己署名ルート証明書と、クライアント端末にインストールするためのクライアント証明書を用意する必要がある。
P2S VPNを利用すると、拠点以外の場所からでもインターネットを介してVPN接続を確立し、セキュアな通信を行える。P2S VPNではSSTPまたはIKEv2プロトコルを使用した通信が可能です。ただし、VPN Gatewayあたり同時接続数は128台までとなる。P2S VPNでサポートされるOSは以下の通り。
- Windows 7 (32 ビットと 64 ビット)
- Windows Server 2008 R2 (64 ビットのみ)
- Windows 8.1 (32 ビットと 64 ビット)
- Windows Server 2012 (64 ビットのみ)
- Windows Server 2012 R2 (64 ビットのみ)
- Windows Server 2016 (64 ビットのみ)
- Windows 10
- Mac OS X バージョン 10.11 (El Capitan)
- Mac OS X バージョン 10.12 (Sierra)
- Linux (StrongSwan)
- iOS
2.S2S(Site-to-Site) VPN
S2S VPNはオンプレミス拠点とAzure上の仮想ネットワーク(VNet)間、もしくはAzure上でVNet同士を接続する方式である。
オンプレミス拠点とVNetの接続
S2S VPNの接続のためにはオンプレミス拠点側にVPNデバイスを用意する必要がある。Microsoftによって動作が確認されているVPNデバイスと一部のVPNデバイスの設定方法については、サイト間 VPN ゲートウェイ接続用の VPN デバイスと IPsec/IKE パラメーターについてから確認できる。
S2S VPNはIPsec/IKE VPNトンネルを介した接続を実現します。
S2S VPNを構成するにはP2S VPNと同様にVPN Gatewayを構築する必要があります。
また、そのほかにローカルゲートウェイというオンプレミス拠点の情報を設定するリソースをデプロイする必要があります。
ローカルゲートウェイに設定する情報は、パブリックIPアドレス、オンプレミスのアドレス空間、※AS番号、etc…です。(※BGP利用時のみ)
ローカルゲートウェイを構築する理由は、さらに別の「接続」というリソースを作成する必要があるためです。
「接続」はAzure上で2つのゲートウェイを指定して、VPNコネクションを確立するための機能を提供します。
この「接続」はSource/Destinationが決まっており、片方向だけ設定しても通信が行えません。
よって、オンプレミス拠点とAzureをVPN接続するには、VPN Gatewayとローカルゲートウェイを双方向で「接続」する必要があります。
こうして、オンプレミスネットワークをIaaS環境へ拡張することが可能となります。
Azure上でVNet同士を接続
準備中
3.ExpressRoute
ExpressRouteもオンプレミス拠点とAzureをつなぐサービスです。
ExpressRouteは接続プロバイダーを経由して構築する必要があります。
回線事業者が提供する専用線を使用した通信であるため、事業者からセキュリティと通信品質が保証されています。
また、ExpressRouteではIaaSのほかにPaaSとSaaSにも接続が可能です。
S2S VPNではPaaSを利用できないため、安全な通信でPaaSを利用したい場合にはExpressRouteは必須の要素です。
さらに、ExpressRouteは通信速度のプランを選択できるため、利用用途に応じて必要なだけ帯域速度を確保できます。
通信品質は回線事業者によって保証されるため、クリティカルなシステムとの通信を行う場合にも向いています。
ExpressRouteを介してAzureのサービスを利用するためには、サービスに応じたピアリングを構成する必要があります。
ピアリングにはMicrosoftピアリングとプライベートピアリングの2種類があります。
MicrosoftピアリングはPaaSとSaaSを利用するために必要となります。
利用したいサービスのエンドポイントの情報がBGPで広報されるよう設定します。
ただし、Microsoftピアリングを利用してMicrosoft 365に接続するためには、後述のPremium Add-Onの有効化と、Microsoftへの利用申請が必要となります。
プライベートピアリングはIaaSを利用するために必要となります。
オンプレミスのルータは、BGPで接続した仮想ネットワークの経路情報を取得することができます。
ExpressRouteには、より優れたサービスを受けるためのPremium Add-Onが用意されています。
Premium Add-Onでは以下の機能を利用することができます。
プライベートピアリングのルート上限が4,000から10,000へ増加
ExpressRoute回線に接続できる仮想ネットワークの数が増加(既定は10、接続可能数は回線速度による)
Microsoft 365やDynamics 365への接続
地理的に別リージョンにあるExpressRoute回線と仮想ネットワーク同士を接続可能
特に地理的に離れた場所を接続する場合には、Premium Add-Onは必須の機能となります。国内の拠点から東日本・西日本リージョンに接続する場合は問題ありませんが、海外のAzureデータセンターとは既定の状態では接続できません。PaaSやMicrosoft 365など、国内のデータセンターのみで通信が完結しない場合に必要となります。
ExpressRouteを利用する際の注意点
注意しなければいけないこととして、ExpressRouteを利用するためにはAzureのライセンス費用(ExpressRoute Gateway、ExpressRoute回線)のほかに、
回線事業者が提供する接続サービスの費用も負担しなければいけません。
こちらは回線事業者や接続プロバイダーによって値段が異なるので個別に確認をする必要があります。
さらに、Microsoftが定義するExpressRouteのSLAはAzureのサービス内(具体的にはMSEE:Microsoft Enterprise Edgeまで)の範囲となります。
ExpressRouteを使えばAzureを完全に閉じた環境として利用できると考える人がいるかもしれません。間違った考えではありませんが、ExpressRouteだけでは実現できません。基本的にAzureの環境はパブリックなものになっており、例えば仮想マシンへは外部から22ポートや3389ポートなどに向けてアクセスが可能です。もちろんこれらのアクセスを制限することは可能ですが、インターネットから完全に隔離した環境を実現しようとすると、利用できないサービスや機能制限が生じてしまうので注意しなければいけません。
また、Premium Add-OnでMicrosoft 365への接続を利用する場合も、Microsoft 365テナントを閉域にできるわけではなく、あくまでもExpressRouteを経由しての接続を実現するのみです。サービスとしては通常通り複数のテナントが入っている状態で変わりありませんし、インターネットからのアクセスを制限するようになるわけでもありません。
さいごに
P2S VPNやS2S VPNでもセキュリティを確保した通信は可能ですが、インターネット回線を利用したベストエフォート通信であるためどうしても通信影響を受ける可能性があります。
ExpressRouteならば閉域網によるセキュリティの確保と、安定した通信帯域での接続を実現できます。
また、IaaSだけでなく多くのPaaSもExpressRoute経由で接続できるため、Azureのサービスをフル活用するためには必須の機能であると考えます!
| P2S | S2S | ExpressRoute | |
|---|---|---|---|
| 接続 | 端末 | 端末間・VNet間 | 拠点間 |
| 安全性 | SSTP/IKEv2 | IPsecVPN | 閉域網 |
| 速度 | ベストエフォート・低速 | ベストエフォート・低速 | 安定・高速 |
| ルーティング | 性的 | ポリシーベース・ルートベース(BGP) | BGP |
| サービス | IaaSのみ | IaaSのみ | IaaS・PaaS |
今回はAzureクラウドとオンプレミス拠点を接続するための方法について紹介しました。VPNや閉域網を利用した安全な通信の確保と、利用形態についてご理解いただけましたか。
以下に3つの接続方法の比較をまとめます。