Azure VPN Gateway

解決する課題

専用線を引かずに、インターネット越しの暗号化トンネルでオンプレミスや個々の端末を Azure 仮想ネットワーク (VNet) に安全につなげます。

• オンプレミスのデータセンターと Azure を拠点間で常時接続したい
• 在宅勤務者や開発者の個々の端末から VNet 内のリソースへ安全に接続したい
• 専用線 (ExpressRoute) ほどのコストや手間をかけず、手早く暗号化接続を確立したい
• 接続を冗長化して単一トンネル障害でも通信を維持したい

主要概念と用語

• VPN Gateway: VNet 内の専用サブネット (GatewaySubnet) に配置される、IPsec/IKE トンネルを終端する仮想ネットワークゲートウェイ。種類は「VPN」と「ExpressRoute」があり、本サービスは前者
• サイト間 (Site-to-Site, S2S): オンプレミスの VPN デバイスと Azure の間に IPsec/IKE (IKEv1/IKEv2) トンネルを張る拠点間接続。AWS の Site-to-Site VPN に相当
• ポイント対サイト (Point-to-Site, P2S): 個々のクライアント端末から VNet へ接続する方式。OpenVPN、IKEv2、SSTP のプロトコルに対応し、証明書認証や Microsoft Entra ID 認証が使える。AWS の Client VPN に相当
• VNet 間 (VNet-to-VNet): 異なる VNet 同士を VPN ゲートウェイ経由で接続する方式
• ローカルネットワークゲートウェイ: オンプレミス側の VPN デバイスのパブリック IP とアドレス空間を表す Azure 側のオブジェクト
• 接続 (Connection): ゲートウェイとローカルネットワークゲートウェイを結びつけ、共有キー (PSK) などを設定する論理エンティティ
• ゲートウェイ SKU: 帯域・トンネル数・対応機能で分かれる性能区分。世代として AZ 対応 SKU があり、可用性ゾーンに配置できる
• ルートベース / ポリシーベース: トラフィックの振り分け方式。ルートベースは IKEv2 ベースで柔軟、ポリシーベースは IKEv1 で対象が限られる。新規は基本ルートベースを選ぶ
• アクティブ／アクティブ構成: ゲートウェイ側に 2 つのインスタンスとパブリック IP を持たせ、トンネルを冗長化する高可用性構成
• BGP: 動的ルーティング。経路を自動学習し、冗長経路の切り替えやトランジット接続に役立つ

仕様・制限・クォータ

• GatewaySubnet という名前の専用サブネットが必須。ここに他のリソースは配置しない。十分なアドレス空間 (推奨は余裕を持った範囲) を確保する
• 接続方式は S2S / P2S / VNet 間の 3 系統。S2S と VNet 間は IPsec/IKE、P2S は OpenVPN・IKEv2・SSTP に対応
• ルートベース VPN が推奨。ポリシーベースは IKEv1 ベースで単一接続・機能制限があり、レガシー機器向けの互換用途に限られる
• 同時 S2S トンネル数・P2S 接続クライアント数・集約スループットは SKU により上限が異なる。要件に合わせて SKU を選定し、不足時はより上位の SKU へ変更する
• アクティブ／アクティブやゾーン冗長 SKU で可用性を向上できる
• ゲートウェイのプロビジョニングには時間がかかる (数十分規模)。作成・SKU 変更時はメンテナンス時間を見込む
• IPsec/IKE の暗号パラメータ (暗号化アルゴリズム・PFS・SA ライフタイムなど) はカスタムポリシーで調整可能だが、オンプレ機器側と一致させる必要がある

内部の仕組み

VPN Gateway は、VNet の GatewaySubnet 上に冗長化された複数の仮想マシンインスタンスとしてマネージドに展開されます。利用者はこれらのインスタンスを直接操作せず、Azure がパッチ適用や障害時の入れ替えを担います。各インスタンスはパブリック IP を持ち、その上で IPsec/IKE トンネルを終端します。

• S2S では、オンプレミスの VPN デバイスとゲートウェイインスタンスの間で IKE のフェーズ 1・フェーズ 2 をネゴシエートし、確立した IPsec SA 上を暗号化トラフィックが流れる
• ルートベースではトンネルを仮想的なネットワークインターフェイスとして扱い、ルートテーブルや BGP に基づいてどのトラフィックをトンネルへ流すかを決める。これにより複数接続やトランジットが柔軟になる
• アクティブ／アクティブ構成では 2 インスタンスがそれぞれトンネルを張り、片側のメンテナンスや障害時ももう一方が通信を継続する
• P2S では、クライアントが VPN プロファイルを使ってゲートウェイへトンネルを張り、証明書または Entra ID で認証されたうえで割り当てアドレスプールから IP を受け取る

設計パターン / ベストプラクティス

• 冗長化を前提に設計する: アクティブ／アクティブ構成と、オンプレ側も 2 台の VPN デバイスを用意して複数トンネルを張る。BGP で経路を自動切り替えする
• ルートベース VPN を既定で選ぶ: 将来の拡張 (複数接続・P2S 併用・BGP) に強い。ポリシーベースは機器互換のためだけに使う
• ハブ＆スポーク: ハブ VNet にゲートウェイを集約し、スポークは VNet ピアリングで接続。ゲートウェイトランジットでスポークからオンプレへ到達させる
• 要件に応じて ExpressRoute と併用: 通常は ExpressRoute、障害時のフェイルオーバーに VPN Gateway をバックアップ経路として用意する設計が有効
• BGP を活用: 静的ルートの手運用を避け、冗長経路の自動収束やオンプレ複数拠点の経路集約を任せる

運用・監視

• Azure Monitor でトンネル帯域・接続状態・パケット数などのメトリクスを監視し、しきい値超過でアラートを設定する
• トンネルの接続状態を継続監視し、片側ダウン時に通知が飛ぶようにする。BGP のピア状態も確認対象
• 診断ログを Log Analytics や Storage へ送り、IKE のネゴシエーション失敗やトンネル切断の原因を解析する
• VPN トラブルシュート (Network Watcher の機能) で接続障害を診断できる。位相不一致 (暗号化パラメータの不整合) が代表的な原因
• SKU 変更やメンテナンスはダウンタイムを伴うため、アクティブ／アクティブと冗長トンネルで影響を最小化したうえで計画する

コスト

VPN Gateway はゲートウェイの稼働時間 (SKU 単位の時間課金) と送信データ転送量が主なコスト要素です。アイドルでも稼働している限り時間課金が発生します。

• ゲートウェイ時間課金: 選んだ SKU に応じて時間単位で課金。上位 SKU ほど高帯域・多トンネルだが単価も上がる
• 送信データ転送: Azure から外向きに出るトラフィックに対するデータ転送料金
• P2S の接続課金: P2S では接続クライアント数に応じた課金が加わる場合がある

セキュリティ

• 転送は IPsec で暗号化される。暗号化アルゴリズムや PFS などはカスタム IPsec/IKE ポリシーで強度を引き上げられる
• 共有キー (PSK) は十分に長く複雑なものを使い、定期的にローテーションする。可能なら BGP と証明書ベースの構成を検討する
• P2S の認証は証明書認証に加え、Microsoft Entra ID 認証を使うと条件付きアクセスや多要素認証と統合でき、端末・ユーザー単位の制御が強化される
• 最小権限のルーティング: トンネルへ流すアドレス範囲を必要最小限に絞り、不要な経路の到達性を作らない
• ゲートウェイのパブリック IP は攻撃対象になり得るため、ログ監視と異常検知を有効にする

Well-Architected の観点

• 信頼性 (Reliability): アクティブ／アクティブ構成、オンプレ側の冗長 VPN デバイス、複数トンネル、BGP による自動経路収束、ゾーン冗長 SKU で単一障害点をなくす。ExpressRoute のバックアップ経路としての VPN も信頼性向上策
• セキュリティ (Security): IPsec による暗号化、カスタム暗号ポリシーでの強度確保、P2S での Entra ID 認証と多要素認証、PSK のローテーション、最小経路の徹底
• コスト最適化: 要件に合った SKU 選定、検証ゲートウェイの停止・削除、常時高帯域なら ExpressRoute との比較検討
• オペレーショナルエクセレンス: Infrastructure as Code でゲートウェイと接続を再現可能にし、メトリクス・ログ・アラートで状態を可視化する
• パフォーマンス効率: スループット要件に応じた SKU 選定。インターネット経由ゆえ遅延・帯域が変動する点を踏まえ、安定が必要なら ExpressRoute を選ぶ

試験で問われるポイント

関連サービス・比較

VNet とオンプレを結ぶ手段は VPN Gateway だけではありません。専用線の ExpressRoute や、AWS の対応サービスとの違いを押さえると選定が速くなります。

ハンズオン / CLI例

# リソースグループを作成
az group create --name vpn-demo-rg --location japaneast

# VNet と GatewaySubnet を作成 (専用サブネット名は GatewaySubnet 固定)
az network vnet create \
  --resource-group vpn-demo-rg \
  --name demo-vnet \
  --address-prefix 10.0.0.0/16 \
  --subnet-name GatewaySubnet \
  --subnet-prefix 10.0.255.0/27

# ゲートウェイ用のパブリック IP を作成
az network public-ip create \
  --resource-group vpn-demo-rg \
  --name vpngw-pip \
  --sku Standard \
  --allocation-method Static

# ルートベースの VPN ゲートウェイを作成 (作成には時間がかかる)
az network vnet-gateway create \
  --resource-group vpn-demo-rg \
  --name demo-vpngw \
  --vnet demo-vnet \
  --public-ip-address vpngw-pip \
  --gateway-type Vpn \
  --vpn-type RouteBased \
  --sku VpnGw1 \
  --no-wait

# オンプレミス側を表すローカルネットワークゲートウェイを作成
az network local-gateway create \
  --resource-group vpn-demo-rg \
  --name onprem-lng \
  --gateway-ip-address 203.0.113.10 \
  --local-address-prefixes 192.168.0.0/16

# サイト間 (S2S) 接続を作成 (共有キーはオンプレ機器と一致させる)
az network vpn-connection create \
  --resource-group vpn-demo-rg \
  --name s2s-connection \
  --vnet-gateway1 demo-vpngw \
  --local-gateway2 onprem-lng \
  --shared-key "REPLACE_WITH_STRONG_PRESHARED_KEY"