Cloud Service
Azure ExpressRoute
オンプレと Azure を専用線で結ぶプライベート接続。インターネットを経由せず広帯域・低遅延で安定した通信を実現する。
中級信頼性セキュリティパフォーマンス効率
最終更新: 2026-06-14公式ドキュメント ↗
TL;DR要点だけ先に
- 1.オンプレと Azure を専用線でつなぐプライベート接続サービス。
- 2.インターネットを経由せず低遅延・高帯域で SLA も明確。
- 3.AWS の Direct Connect に相当する位置づけ。
解決する課題
インターネット経由の VPN では帯域や遅延が安定せず、トラフィックも公衆網を通ります。ExpressRoute は接続プロバイダーの専用回線を介して Azure とオンプレを結び、これらの弱点を解消します。
- 公衆インターネットを経由しないプライベートな専用接続で、機密性と経路の安定性を確保
- VPN より広帯域・低遅延・高信頼で、可用性 SLA も提供
- 基幹システムやハイブリッド構成で求められる予測可能な通信品質を実現
主要概念と用語
- ExpressRoute Circuit(回線): ExpressRoute 接続の論理単位。プロバイダー・場所・帯域・課金モデルで定義する。物理的には冗長な 2 本のリンクで構成される
- ピアリング: 回線上の論理的な接続経路。Azure のプライベートリソース向けのプライベートピアリングと、パブリック PaaS 向けのMicrosoft ピアリングがある
- Peering Location(ピアリングロケーション): 物理的に相互接続する拠点。Azure リージョンとは別概念で、地理的に近いロケーションを選ぶ
- 接続モデル: 主に「クラウドエクスチェンジでの併設接続」「ポイントツーポイントのイーサネット接続」「Any-to-Any(IPVPN)」がある
- ExpressRoute Gateway: VNet 側で回線を終端する仮想ネットワークゲートウェイ。種別により帯域上限が異なる
- ExpressRoute Direct: プロバイダーを介さず Microsoft のグローバルネットワークに直接接続する大容量向けの形態
- ExpressRoute Global Reach: 別々のオンプレ拠点同士を、ExpressRoute 回線経由で相互接続する機能
- FastPath: ゲートウェイをバイパスしてデータ経路を最適化し、遅延を下げる機能
仕様・制限・クォータ
- 回線は冗長なペアリンクで提供され、片方の障害でも通信を維持できる設計が前提
- 帯域はメニュー化された複数の選択肢から選ぶ。ExpressRoute Direct はより大きなポート容量に対応
- 1 つの VNet に接続できる回線数や、1 回線に接続できる VNet 数には上限がある(多くはサブスクリプション単位の引き上げ申請が可能)
- ゲートウェイ SKU によりスループット上限が段階的に決まる。要求帯域に対して SKU を選定する
- Peering Location と Azure リージョンの組み合わせには制約があり、設計時に到達可能性を確認する
内部の仕組み
ExpressRoute は OSI の**レイヤ 3(BGP ルーティング)**で Microsoft のエッジと相互接続します。回線を有効化すると、オンプレのエッジルーターと Microsoft Enterprise Edge(MSEE)ルーターの間で BGP セッションが張られ、経路情報を交換します。
- プライベートピアリングは VNet 内のリソース(VM など)へプライベート IP で到達する経路を広告する
- Microsoft ピアリングは Microsoft 365 や Azure PaaS のパブリックエンドポイントへ、専用線経由でアクセスする経路に使う
- データ経路は通常ゲートウェイを通るが、FastPath を使うとゲートウェイをバイパスしてデータプレーンを直接 VNet へ流し、遅延とホップを削減できる
- 物理層はActive/Active の二重化が基本で、両リンクで BGP を確立して可用性を高める
ExpressRoute は暗号化を自動では行わない
ExpressRoute はプライベート経路ですが、回線自体が通信を暗号化するわけではありません。エンドツーエンドの暗号化が要件なら、ExpressRoute 上に IPsec を重ねる、または MACsec(ExpressRoute Direct)を併用するなど、別途対策が必要です。
設計パターン / ベストプラクティス
- 冗長化の徹底: 単一の Peering Location 依存を避け、可能なら複数ロケーション・複数回線で地理冗長を確保する
- ExpressRoute + VPN のフェイルオーバー: ExpressRoute を主経路、Site-to-Site VPN をバックアップ経路にして可用性を底上げする
- ハブ&スポーク連携: ハブ VNet に ExpressRoute Gateway を集約し、スポーク VNet はピアリングで共有する。大規模なら Virtual WAN を検討
- FastPath の活用: 低遅延が重要なワークロードではゲートウェイ経由のボトルネックを避ける
- ルート広告の制御: 広告する経路を必要最小限に絞り、意図しない経路の流入・流出を防ぐ
運用・監視
- ExpressRoute Gateway の指標(ビット/秒、パケット数、CPU 等)と回線の入出力トラフィックを継続監視する
- Connection Monitor / Network Watcher でオンプレと Azure 間の到達性・遅延・パケットロスを計測する
- BGP セッションの状態や広告経路の数を確認し、経路フラップや経路数上限超過を早期に検知する
- 計画メンテナンス時は冗長リンクのうち片方ずつ作業される前提で、両リンクが BGP 確立済みかを平時から確認しておく
コスト
| 要素 | 課金 | ポイント |
|---|---|---|
| 回線(課金モデル) | 従量課金 または 定額 | 送信量が多いなら定額が有利になりやすい |
| 回線の帯域 | 選択した帯域で月額が変わる | 上位帯域ほど高くなる |
| 送信データ | 従量モデルでは送信量に課金 | 受信は基本的に無料の扱い |
| ExpressRoute Gateway | ゲートウェイの稼働時間 | SKU により単価が異なり常時課金 |
| プロバイダー料金 | Azure 課金とは別建て | 接続プロバイダーへの回線費用が別途必要 |
課金モデルの選び方
送信トラフィックが少量で予測しづらいなら従量課金、恒常的に大量なら定額(無制限)モデルが総コストで有利になりやすいです。Azure 側の費用に加えて、接続プロバイダーへの回線料金が別途かかる点を見積もりに必ず含めましょう。
セキュリティ
- 通信はインターネットを経由しないため経路上の露出が小さいが、前述のとおり回線自体は暗号化されない
- 機密データにはIPsec や MACsec を重ねることで、専用線上でも暗号化を担保する
- Microsoft ピアリングで広告する経路は最小化し、不要な PaaS エンドポイントへの到達を避ける
- ルートフィルターや NSG・Azure Firewall を併用し、専用線越しの横展開(ラテラルムーブメント)を制限する
アンチパターン
ExpressRoute を引いたから安全、と考えて暗号化やセグメンテーションを省略するのは危険です。専用線は到達経路を絞るだけで、内部の権限や通信制御は別途必要です。最小権限とネットワーク分離を併せて設計しましょう。
Well-Architected の観点
- 信頼性: 冗長ペアリンク・複数ロケーション・VPN フェイルオーバーで単一障害点を排除する
- セキュリティ: プライベート経路に加えて暗号化と経路広告の最小化を組み合わせる
- パフォーマンス効率: 帯域とゲートウェイ SKU を要求に合わせ、必要なら FastPath で遅延を抑える
- コスト最適化: 送信量の傾向に応じて従量・定額を選び、ゲートウェイの常時課金を踏まえて構成する
試験で問われるポイント
頻出
- オンプレと Azure を専用線でプライベートに接続したい要件は ExpressRoute が定番。インターネット経由の Site-to-Site VPN との使い分けを押さえる
- 低遅延・広帯域・SLA が要件なら VPN ではなく ExpressRoute、という選択が問われる
- プライベートピアリングは VNet 内リソース向け、Microsoft ピアリングは Microsoft 365 や Azure PaaS のパブリックエンドポイント向けという役割分担を区別する
- ExpressRoute 自体は暗号化しない。暗号化が要件なら IPsec や MACsec を重ねる、という出題に注意
- オンプレ拠点同士の相互接続は Global Reach、ゲートウェイバイパスによる低遅延化は FastPath
- AWS の相当サービスは Direct Connect。対応関係を問う設問で迷わないこと
関連サービス・比較
| 観点 | Azure ExpressRoute | AWS Direct Connect |
|---|---|---|
| 位置づけ | オンプレと Azure の専用線接続 | オンプレと AWS の専用線接続 |
| 経路 | 公衆インターネットを経由しない | 公衆インターネットを経由しない |
| 接続単位 | ExpressRoute 回線(Circuit) | Direct Connect 接続 |
| 論理経路 | プライベート/Microsoft ピアリング | プライベート/パブリック/トランジット VIF |
| 拠点間相互接続 | Global Reach | Direct Connect ゲートウェイ等 |
| 回線の暗号化 | 既定では非暗号化(別途付与) | 既定では非暗号化(別途付与) |
| VPN との関係 | VPN をバックアップに併用可能 | VPN をバックアップに併用可能 |
ハンズオン / CLI例
# リソースグループを作成
az group create --name demo-rg --location japaneast
# ExpressRoute 回線を作成(プロバイダー・ロケーション・帯域・課金モデルを指定)
az network express-route create \
--resource-group demo-rg \
--name demo-circuit \
--location japaneast \
--provider "Equinix" \
--peering-location "Tokyo" \
--bandwidth 200 \
--sku-family MeteredData \
--sku-tier Standard
# サービスキーと回線の状態を確認(プロバイダーへの開通依頼に使う)
az network express-route show \
--resource-group demo-rg \
--name demo-circuit \
--query "{serviceKey: serviceKey, provisioningState: provisioningState, circuitState: circuits.circuitProvisioningState}"
# プライベートピアリングを構成(VNet 内リソースへの経路)
az network express-route peering create \
--resource-group demo-rg \
--circuit-name demo-circuit \
--peering-type AzurePrivatePeering \
--peer-asn 65001 \
--primary-peer-subnet 10.0.0.0/30 \
--secondary-peer-subnet 10.0.0.4/30 \
--vlan-id 100
Azure Service
Azure ExpressRouteを実務で読む
TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。
解決すること
ネットワーキング
比較で見る軸
クラウド: Azure / カテゴリ: ネットワーキング / 難易度: intermediate
導入後に効く点
インターネットを経由せず低遅延・高帯域で SLA も明確。
先に潰すリスク
サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。
数字・仕様の読み方
- クラウド
- Azure
- カテゴリ
- ネットワーキング
- 難易度
- intermediate
- 関連資格
- —
- 設計柱
- reliability / security / performance
判断チェックリスト
- 自社の用途が「ネットワーキング / reliability」に近いか確認する。
- 強みである「オンプレと Azure を専用線でつなぐプライベート接続サービス。」が本当に評価軸になるか確認する。
- 注意点の「サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。」を運用で吸収できるか確認する。
- 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
- 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
- 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。