昨今のクラウド活用の需要が高まり、パブリッククラウドの利用を検討し始める企業が増えているかと思います。
クラウド利用において懸念される事項として、クラウドとの接続方法があげられます。
クラウドを安全に利用するための方法にはどんなものがあるのか、今回は拠点とクラウド間を繋ぐネットワーク構成について紹介したいと思います。
本記事ではAzureクラウド利用時に安全な通信を実現する手法の紹介と、より多くの恩恵を受けられるExpressRouteについて機能を綴っていきます。

 



ExpressRoute概要

ExpressRoute(エクスプレスルート)は、Azureが提供する閉域網を利用した拠点間接続サービスです。
ExpressRouteを利用して、オンプレミスネットワークをクラウド上のネットワークへ拡張することが可能です。
この接続方式では公共のインターネットを介さない通信のため、高い安全性と信頼性、および安定した帯域速度を享受できます。

ExpressRouteの概要は資料でもご確認できるのので、合わせてご参考にしてみてください。

Azureとオンプレミスの接続方法

Azureクラウドとオンプレミスの安全な通信を確立する手法として次の3つの接続方式がMicrosoftから提供されています。

P2S(Point-to-Site) VPN

P2S VPNはエンドユーザーのクライアント端末とクラウドをVPNで接続する方式です。
この方式では、Azure上のVPN Gatewayが持つ自己署名ルート証明書と、クライアント端末にインストールするためのクライアント証明書を用意する必要があります。

P2S VPNを利用すると、拠点以外の場所からでもインターネットを介してVPN接続を確立し、セキュアな通信を行えます。
「拠点外からAzure上のサーバにアクセスしたいけれど、グローバルIPからのアクセスを許可しておく設定は不安」というシーンならば、NSGを利用せずとも簡単に安全性を確立できる最適な手法になるのではないでしょうか。
P2S VPNではSSTPまたはIKEv2プロトコルを使用した通信が可能です。ただし、VPN Gatewayあたり同時接続数は128台までとなります。

P2S VPNでサポートされるOSは以下の通りです。

  • Windows 7 (32 ビットと 64 ビット)
  • Windows Server 2008 R2 (64 ビットのみ)
  • Windows 8.1 (32 ビットと 64 ビット)
  • Windows Server 2012 (64 ビットのみ)
  • Windows Server 2012 R2 (64 ビットのみ)
  • Windows Server 2016 (64 ビットのみ)
  • Windows 10
  • Mac OS X バージョン 10.11 (El Capitan)
  • Mac OS X バージョン 10.12 (Sierra)
  • Linux (StrongSwan)
  • iOS

S2S(Site-to-Site) VPN

S2S VPNはオンプレミス拠点とAzure上の仮想ネットワーク(VNet)間、もしくはAzure上でVNet同士を接続する方式です。
今回はオンプレミス拠点とVNetの接続について触れます。
S2S VPNの接続のためにはオンプレミス拠点側にVPNデバイスを用意する必要があります。
Microsoftによって動作が確認されているVPNデバイスと一部のVPNデバイスの設定方法については以下リンクから確認できます。

サイト間 VPN ゲートウェイ接続用の VPN デバイスと IPsec/IKE パラメーターについて

S2S VPNはIPsec/IKE VPNトンネルを介した接続を実現します。
S2S VPNを構成するにはP2S VPNと同様にVPN Gatewayを構築する必要があります。
また、そのほかにローカルゲートウェイというオンプレミス拠点の情報を設定するリソースをデプロイする必要があります。
ローカルゲートウェイに設定する情報は、パブリックIPアドレス、オンプレミスのアドレス空間、※AS番号、etc…です。(※BGP利用時のみ)

ローカルゲートウェイを構築する理由は、さらに別の「接続」というリソースを作成する必要があるためです。
「接続」はAzure上で2つのゲートウェイを指定して、VPNコネクションを確立するための機能を提供します。
この「接続」はSource/Destinationが決まっており、片方向だけ設定しても通信が行えません。
よって、オンプレミス拠点とAzureをVPN接続するには、VPN Gatewayとローカルゲートウェイを双方向で「接続」する必要があります。
こうして、オンプレミスネットワークをIaaS環境へ拡張することが可能となります。

ExpressRoute

ExpressRouteもオンプレミス拠点とAzureをつなぐサービスです。
ExpressRouteは接続プロバイダーを経由して構築する必要があります。
回線事業者が提供する専用線を使用した通信であるため、事業者からセキュリティと通信品質が保証されています。
また、ExpressRouteではIaaSのほかにPaaSとSaaSにも接続が可能です。
S2S VPNではPaaSを利用できないため、安全な通信でPaaSを利用したい場合にはExpressRouteは必須の要素です。
さらに、ExpressRouteは通信速度のプランを選択できるため、利用用途に応じて必要なだけ帯域速度を確保できます。
通信品質は回線事業者によって保証されるため、クリティカルなシステムとの通信を行う場合にも向いています。

ExpressRouteを介してAzureのサービスを利用するためには、サービスに応じたピアリングを構成する必要があります。
ピアリングにはMicrosoftピアリングとプライベートピアリングの2種類があります。
MicrosoftピアリングはPaaSとSaaSを利用するために必要となります。
利用したいサービスのエンドポイントの情報がBGPで広報されるよう設定します。
ただし、Microsoftピアリングを利用してOffice 365に接続するためには、後述のPremium Add-Onの有効化と、Microsoftへの利用申請が必要となります。
プライベートピアリングはIaaSを利用するために必要となります。
オンプレミスのルータは、BGPで接続した仮想ネットワークの経路情報を取得することができます。

ExpressRouteには、より優れたサービスを受けるためのPremium Add-Onが用意されています。
Premium Add-Onでは以下の機能を利用することができます。

  • プライベートピアリングのルート上限が4,000から10,000へ増加
  • ExpressRoute回線に接続できる仮想ネットワークの数が増加(既定は10、接続可能数は回線速度による)
  • Office 365やDynamics 365への接続
  • 地理的に別リージョンにあるExpressRoute回線と仮想ネットワーク同士を接続可能

特に地理的に離れた場所を接続する場合には、Premium Add-Onは必須の機能となります。国内の拠点から東日本・西日本リージョンに接続する場合は問題ありませんが、海外のAzureデータセンターとは既定の状態では接続できません。PaaSやOffice 365など、国内のデータセンターのみで通信が完結しない場合に必要となります。

注意しなければいけないこととして、ExpressRouteを利用するためにはAzureのライセンス費用(ExpressRoute Gateway、ExpressRoute回線)のほかに、
回線事業者が提供する接続サービスの費用も負担しなければいけません。
こちらは回線事業者や接続プロバイダーによって値段が異なるので個別に確認をする必要があります。
さらに、Microsoftが定義するExpressRouteのSLAはAzureのサービス内(具体的にはMSEE:Microsoft Enterprise Edgeまで)の範囲となります。

ExpressRouteを使えばAzureを完全に閉じた環境として利用できると考える人がいるかもしれません。間違った考えではありませんが、ExpressRouteだけでは実現できません。基本的にAzureの環境はパブリックなものになっており、例えば仮想マシンへは外部から22ポートや3389ポートなどに向けてアクセスが可能です。もちろんこれらのアクセスを制限することは可能ですが、インターネットから完全に隔離した環境を実現しようとすると、利用できないサービスや機能制限が生じてしまうので注意しなければいけません。
また、Premium Add-OnでOffice 365への接続を利用する場合も、Office 365テナントを閉域にできるわけではなく、あくまでもExpressRouteを経由しての接続を実現するのみです。サービスとしては通常通り複数のテナントが入っている状態で変わりありませんし、インターネットからのアクセスを制限するようになるわけでもありません。

さいごに

今回はAzureクラウドとオンプレミス拠点を接続するための方法について紹介しました。VPNや閉域網を利用した安全な通信の確保と、利用形態についてご理解いただけましたか。
以下に3つの接続方法の比較をまとめます。

P2S VPNやS2S VPNでもセキュリティを確保した通信は可能ですが、インターネット回線を利用したベストエフォート通信であるためどうしても通信影響を受ける可能性があります。
ExpressRouteならば閉域網によるセキュリティの確保と、安定した通信帯域での接続を実現できます。
また、IaaSだけでなく多くのPaaSもExpressRoute経由で接続できるため、Azureのサービスをフル活用するためには必須の機能であると考えます!


この記事を読んだ方へのオススメコンテンツはこちら


この記事を書いた人

曽根悠斗
曽根悠斗
Azureエンジニア2年目です。
IaaSだけでなくAzureの各種サービスを幅広く扱えるように修行中。。
好きなAzureのサービスはAzure ADとNetwork Watcher。