Cloud Service
Azure Virtual WAN
拠点・リモートユーザー・VNet をマネージドハブに集約し、ハブアンドスポーク接続を一元管理する Azure の広域ネットワークサービス。AWS の Transit Gateway に近い。
中級信頼性運用上の優秀性
最終更新: 2026-06-14公式ドキュメント ↗
TL;DR要点だけ先に
- 1.拠点・VPN・ExpressRoute・VNet をハブへ集約する交通整理役。
- 2.ハブは Microsoft が運用し、スポーク間の推移的ルーティングを実現。
- 3.拠点数や VNet が増えるほど効果的。AWS Transit Gateway 相当。
解決する課題
拠点や VNet が増えるたびに VPN ゲートウェイや VNet ピアリングを個別に張り、ルーティングを手作業で維持する運用は、組み合わせ爆発を起こして破綻します。Virtual WAN は接続のハブを Microsoft 側で運用し、放射状(ハブアンドスポーク)のトポロジを一元管理できるようにします。
- 多数の拠点と VNet をメッシュ状に手配線する手間と設定ミスをなくしたい
- スポーク同士を推移的に(経由して)通信させたい(VNet ピアリングは既定で非推移的)
- VPN・ExpressRoute・リモートユーザー接続を1つのハブに集約して管理したい
- 世界中の拠点をMicrosoft のバックボーン経由で低遅延に結びたい
- ハブのスケールや冗長をマネージドに任せ、自前のルーター運用から解放されたい
主要概念と用語
- Virtual WAN(仮想 WAN): 全体を束ねる最上位リソース。1つ以上のハブを内包する論理的なコンテナ
- 仮想ハブ(Virtual Hub): リージョンごとに配置するマネージドなネットワークの中核。ルーターと各種ゲートウェイを内包し、Microsoft が運用・スケールする
- ハブ間接続: 同一 Virtual WAN 内の複数ハブは自動的に相互接続され、リージョンをまたいだフルメッシュを Microsoft バックボーンで形成する
- 接続(コネクション): ハブにぶら下げる各種の接続。VNet 接続、サイト間 VPN(拠点)、ポイント対サイト VPN(リモートユーザー)、ExpressRoute 接続の4種類
- ハブルートテーブル: ハブ内のルーティングを制御するテーブル。既定の Default ルートテーブルに加え、カスタムルートテーブルで経路を分離できる
- ルーティングインテント / ルーティングポリシー: ハブを通る通信を、セキュリティアプライアンス(ファイアウォール)へまとめて誘導するための宣言的な設定
- セキュアハブ(Secured Virtual Hub): Azure Firewall または対応するサードパーティ NVA を組み込み、ハブ自体を検査ポイントにした構成。Azure Firewall Manager で管理する
- 標準(Standard)と基本(Basic): Virtual WAN の種別。Basic はサイト間 VPN のみと機能が限られ、ハブ間接続や ExpressRoute、セキュアハブなどのフル機能は Standard が前提
仕様・制限・クォータ
- ハブはリージョン単位で作成し、1つの Virtual WAN に複数リージョンのハブを持てる。ハブ間は自動でフルメッシュ接続される
- VNet ピアリングの非推移性を超える: 通常のピアリングではスポーク同士は直接通信できないが、Virtual WAN のハブを経由すると推移的なルーティングが成立する
- ゲートウェイは用途別に分かれる: 同一ハブ内に VPN ゲートウェイ、ExpressRoute ゲートウェイ、ポイント対サイト VPN ゲートウェイをそれぞれ配置できる
- スループットはスケールユニットで表現され、ユニットを増やすほど帯域が上がるマネージドなスケールモデルを採る。具体的な上限値はリージョンや構成で変わるため、最新の公式ドキュメントで確認する
- ハブ内のアドレス空間は他の VNet や拠点と重複しない専用レンジを割り当てる必要がある
- 1つの Virtual WAN あたりのハブ数、ハブあたりの VNet 接続数、VPN サイト数などに上限があり、必要に応じて引き上げを申請できる。数値は変動するため定性的に捉える
内部の仕組み
仮想ハブの中核は、Microsoft が運用するマネージドなルーターです。このルーターがハブに接続された VNet・拠点・リモートユーザー間の経路を学習・広告し、推移的な転送を担います。ユーザーはルーターの実体を管理せず、ルートテーブルと接続を宣言するだけで、スケールや冗長は Microsoft 側で吸収されます。
- 経路の自動伝播: 各接続から学習した経路はハブルートテーブルに集約され、他の接続へ広告される。これにより VNet 同士・拠点同士・拠点と VNet が相互に到達可能になる
- 複数ハブのフルメッシュ: 同一 Virtual WAN 内のハブはバックボーンで自動接続され、リージョンをまたいだ通信もハブ経由で成立する。拠点はもっとも近いハブに接続するだけでよい
- ルーティングインテント: ハブを通る東西(VNet 間)・南北(インターネット向け)の通信を、セキュアハブに組み込んだファイアウォールへまとめて引き込み、検査を強制できる
- ExpressRoute と VPN の同居: 同一ハブで ExpressRoute とサイト間 VPN を併設し、片方を冗長経路として使う設計が取りやすい
ハブアンドスポークとの違い
自前で VNet ピアリングを使ってハブアンドスポークを組むと、ハブ VNet 内のルーター(NVA)やルートテーブルを自分で運用する必要があります。Virtual WAN はそのハブ部分そのものをマネージドサービスとして提供し、ルーティングとスケールの面倒を肩代わりするのが本質です。
設計パターン / ベストプラクティス
- 大規模なグローバル WANで採用価値が高い。拠点数・VNet 数・リージョン数が多いほど、個別配線に対する管理上の優位が効く
- リージョンごとに1ハブを基本とし、各リージョンのスポーク VNet と拠点をそのハブへ接続する。リージョン間はハブ間の自動メッシュに任せる
- 検査を強制したいならセキュアハブを採り、ルーティングインテントで東西・南北の通信を Azure Firewall に集約する
- カスタムルートテーブルで分離: 共有サービス用 VNet と業務 VNet で到達範囲を分け、最小到達原則を実装する
- ExpressRoute + VPN のハイブリッド冗長: 主系を ExpressRoute、副系をサイト間 VPN にしてハブ内で束ねる
- 小規模なら過剰: 数個程度の VNet なら、通常の VNet ピアリングや単一の VPN ゲートウェイの方が安価で十分なことが多い
運用・監視
- Azure Monitor / Network Insights でハブ、ゲートウェイ、各接続のメトリクスとヘルスを監視する。トポロジの可視化機能でハブとスポークの状態を俯瞰できる
- エフェクティブルート(有効ルート) を確認し、期待どおりに経路が伝播・広告されているかを検証する。到達不能時はまずここを見る
- VPN / ExpressRoute の接続状態とトンネルのメトリクス(帯域、パケット、再ネゴシエーション)を監視し、拠点側の障害を切り分ける
- 診断ログを Log Analytics へ集約し、ゲートウェイのログやファイアウォール(セキュアハブ)のログを横断的に分析する
- 構成は IaC(Bicep / Terraform) で宣言的に管理し、ハブやルートテーブルの差分をレビュー可能にする
コスト
Virtual WAN のコストは、おもにハブの稼働、各種ゲートウェイのスケールユニット、そしてハブを通過するデータ量で構成されます。要素ごとに課金が積み上がる点を理解しておくと見積もりがぶれません。
| コスト要素 | 課金の考え方 | メモ |
|---|---|---|
| 仮想ハブ | 稼働に応じた時間課金とデータ処理 | ハブを置くだけで基礎コストが発生 |
| VPN ゲートウェイ | スケールユニット単位の時間課金 | 拠点接続の帯域に応じて増減 |
| ExpressRoute ゲートウェイ | スケールユニット単位の時間課金 | ExpressRoute 回線費は別途 |
| ポイント対サイト VPN | ゲートウェイ + 接続ユーザー量 | リモートアクセスの規模に依存 |
| ハブ間 / データ転送 | 処理データ量とリージョン間転送 | 通過トラフィックが多いほど増加 |
規模が小さいと割高
ハブやゲートウェイは利用がなくても基礎課金が発生します。VNet が数個・拠点も少数なら、Virtual WAN のマネージドハブより、素の VNet ピアリングと単一 VPN ゲートウェイの方が安くつくことが多い。拠点・VNet・リージョンが増える見込みがあって初めて投資が報われます。
セキュリティ
- セキュアハブで検査を集約: Azure Firewall をハブに組み込み、ルーティングインテントで東西・南北の通信を強制的に検査ポイントへ通す
- ルートテーブルで到達範囲を最小化: スポーク同士を無条件にフルメッシュ通信させず、業務要件に応じて経路を分離する
- 拠点接続の暗号化: サイト間 VPN は IPsec で暗号化、ExpressRoute は専用回線で公衆網を経由しない。要件に応じて使い分ける
- DDoS と境界防御: インターネット向けの入り口には Azure DDoS Protection やファイアウォールを併用し、境界を固める
- 最小権限の管理: ハブやルート設定の変更権限を RBAC で絞り、構成変更を監査ログで追跡する
アンチパターン
セキュアハブにファイアウォールを置いただけで安心し、ルーティングインテントやルートテーブルで通信を実際にファイアウォール経由へ誘導していないと、スポーク間トラフィックが検査されずに素通りします。アプライアンスの配置と経路設定はセットで考える必要があります。
Well-Architected の観点
- 信頼性(Reliability): ハブとゲートウェイは Microsoft がマネージドにスケール・冗長化する。複数ハブのフルメッシュと、ExpressRoute と VPN の併設による経路冗長で、リージョン障害や回線障害に備えられる
- オペレーショナルエクセレンス(Operational Excellence): 多数の接続を1か所で宣言的に管理でき、トポロジの可視化と診断ログで運用が単純化する。IaC との相性もよく、構成のレビューと再現が容易
- セキュリティ(Security): セキュアハブとルーティングインテントで検査を中央集約でき、境界防御をハブに一元化できる
- コスト最適化(Cost Optimization): 規模が伴わないと基礎課金が重荷になる。拠点・VNet 数が成長してから採用すると投資対効果が出やすい
- パフォーマンス効率(Performance Efficiency): Microsoft バックボーン経由でリージョン間を結び、スケールユニットで帯域を調整できる
試験で問われるポイント
頻出
- 「多数の拠点と VNet を集約し、スポーク間を推移的に通信させたい」→ Virtual WAN(マネージドハブ)
- 「VNet ピアリングだけではスポーク同士が直接通信できない(非推移)」→ ハブ経由の推移ルーティングが必要なら Virtual WAN
- 「ハブを通る通信をファイアウォールでまとめて検査したい」→ セキュアハブ + ルーティングインテント
- 「VPN・ExpressRoute・リモートユーザー接続を1つのハブに束ねたい」→ Virtual WAN の各ゲートウェイを同一ハブに併設
- 「AWS の Transit Gateway に相当する Azure サービスは」→ Virtual WAN(仮想ハブ)
- 「小規模で VNet が数個だけ」→ Virtual WAN は過剰で、通常の VNet ピアリングや単一 VPN ゲートウェイが妥当
関連サービス・比較
Virtual WAN は AWS の Transit Gateway に概念が近く、拠点と仮想ネットワークを集約して推移的に接続するマネージドハブという点で対応します。一方、自前で組むハブアンドスポークやグローバル分散サービスとは役割が異なります。下表で立ち位置を整理します。
| 観点 | Azure Virtual WAN | AWS Transit Gateway(ほか) |
|---|---|---|
| 役割 | 拠点・VNet を集約するマネージドハブ | VPC・拠点を集約するマネージドハブ |
| 推移的ルーティング | ハブ経由で成立 | アタッチメント間で成立 |
| 拠点 VPN 接続 | サイト間 VPN をハブに統合 | AWS Site-to-Site VPN を統合 |
| 専用線接続 | ExpressRoute をハブに統合 | Direct Connect を Transit Gateway へ |
| リモートユーザー | ポイント対サイト VPN を統合 | Client VPN は別構成が一般的 |
| 中央集約の検査 | セキュアハブ + Azure Firewall | Inspection VPC + ネットワークファイアウォール |
| 広域分散の別解 | ハブ間メッシュ + バックボーン | Transit Gateway 間ピアリング / Cloud WAN |
使い分けの軸
推移的に多拠点・多 VNet を束ねたいなら Virtual WAN、ユーザーをアプリへグローバル配信したいなら Front Door、単純な2拠点間接続なら素の VPN ゲートウェイ、という具合に「何を集約したいか」で選ぶと迷いにくくなります。
ハンズオン / CLI例
# リソースグループを作成
az group create --name vwan-rg --location japaneast
# Virtual WAN 本体(Standard)を作成
az network vwan create \
--resource-group vwan-rg \
--name demo-vwan \
--type Standard \
--location japaneast
# リージョンに仮想ハブを作成(ハブ専用のアドレス空間を割り当て)
az network vhub create \
--resource-group vwan-rg \
--name demo-hub-japaneast \
--vwan demo-vwan \
--address-prefix 10.0.0.0/24 \
--location japaneast
# スポークとなる既存 VNet をハブへ接続
az network vhub connection create \
--resource-group vwan-rg \
--vhub-name demo-hub-japaneast \
--name spoke1-conn \
--remote-vnet spoke1-vnet
# 拠点接続用に VPN ゲートウェイをハブへ追加(スケールユニットを指定)
az network vpn-gateway create \
--resource-group vwan-rg \
--name demo-vpngw \
--vhub demo-hub-japaneast \
--location japaneast \
--vpn-gateway-scale-unit 1
Azure Service
Azure Virtual WANを実務で読む
TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。
解決すること
ネットワーキング
比較で見る軸
クラウド: Azure / カテゴリ: ネットワーキング / 難易度: intermediate
導入後に効く点
ハブは Microsoft が運用し、スポーク間の推移的ルーティングを実現。
先に潰すリスク
サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。
数字・仕様の読み方
- クラウド
- Azure
- カテゴリ
- ネットワーキング
- 難易度
- intermediate
- 関連資格
- —
- 設計柱
- reliability / operational
判断チェックリスト
- 自社の用途が「ネットワーキング / reliability」に近いか確認する。
- 強みである「拠点・VPN・ExpressRoute・VNet をハブへ集約する交通整理役。」が本当に評価軸になるか確認する。
- 注意点の「サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。」を運用で吸収できるか確認する。
- 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
- 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
- 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。