Azureとオンプレミス拠点の接続方法解説!
帯域保証型のネットワークサービス「ExpressRoute」の紹介

クラウド利用において懸念される事項として、クラウドとの接続方法があげられます。
クラウドを安全に利用するための方法にはどんなものがあるのか、今回は拠点とクラウド間を繋ぐネットワーク構成について紹介したいと思います。
ここではAzureクラウド利用時に安全な通信を実現する手法の紹介と、より多くの恩恵を受けられるExpressRouteについて機能を綴っていきます。

Microsoft が提供するExpressRouteとは

オンプレとAzureの接続方式をご説明する前に、Microsoft用語の「ExpressRoute」について先に概要をご説明します。

ExpressRoute(エクスプレスルート)とは、ネットワークのサービスプロバイダーが提供する専用回線やWAN回線からMicrosoft Azureへ直接接続する帯域保証型のネットワークサービスです。既存のWAN回線、もしくは新規回線とMicrosoft Azureが直接接続されるため、お客様のデータセンターからプライベートなネットワークでMicrosoft Azureへ通信が行えます。公共のインターネットを介さない通信のため、高い安全性と信頼性、および安定した帯域速度を享受できるようになります。クラウドを利用しつつもセキュリティを担保したいお客様が選択されるケースが多いです。費用は、通信量(Microsoft Azureからオンプレミス・データセンターに向けた通信)に対して課金される従量課金型、もしくは通信量に依存しない月額固定型からご選択頂けます。オプションを追加すれば、世界中のMicrosoft Azure拠点(リージョン)と接続が可能です。

ExpressRouteの特長はこちら >

Azureとオンプレミスの3つの接続方法

Azureクラウドとオンプレミスの安全な通信を確立する手法として次の3つの接続方式がMicrosoftから提供されています。

  1. P2S(Point-to-Site)VPN
  2. S2S(Site-to-Site)VPN
  3. ExpressRoute(閉域網)

それでは、1から順番に解説していきます。

1.P2S(Point-to-Site) VPN

P2S VPNはエンドユーザーのクライアント端末とクラウドをVPNで接続する方式です。
この方式では、Azure上のVPN Gatewayが持つ自己署名ルート証明書と、クライアント端末にインストールするためのクライアント証明書を用意する必要があります

P2S(Point-to-Site) VPNの説明

P2S VPNを利用すると、拠点以外の場所からでもインターネットを介してVPN接続を確立し、セキュアな通信を行えます。
「拠点外からAzure上のサーバにアクセスしたいけれど、グローバルIPからのアクセスを許可しておく設定は不安」というシーンならば、NSGを利用せずとも簡単に安全性を確立できる最適な手法になるのではないでしょうか。
P2S VPNではSSTPまたはIKEv2プロトコルを使用した通信が可能です。ただし、VPN Gatewayあたり同時接続数は128台までとなります。

P2S VPNでサポートされるOSは以下の通りです。

  • Windows 7 (32 ビットと 64 ビット)
  • Windows Server 2008 R2 (64 ビットのみ)
  • Windows 8.1 (32 ビットと 64 ビット)
  • Windows Server 2012 (64 ビットのみ)
  • Windows Server 2012 R2 (64 ビットのみ)
  • Windows Server 2016 (64 ビットのみ)
  • Windows 10
  • Mac OS X バージョン 10.11 (El Capitan)
  • Mac OS X バージョン 10.12 (Sierra)
  • Linux (StrongSwan)
  • iOS

2.S2S(Site-to-Site) VPN

S2S VPNはオンプレミス拠点とAzure上の仮想ネットワーク(VNet)間、もしくはAzure上でVNet同士を接続する方式です。
今回はオンプレミス拠点とVNetの接続について触れます。
S2S VPNの接続のためにはオンプレミス拠点側にVPNデバイスを用意する必要があります。
Microsoftによって動作が確認されているVPNデバイスと一部のVPNデバイスの設定方法については以下リンクから確認できます。

サイト間 VPN ゲートウェイ接続用の VPN デバイスと IPsec/IKE パラメーターについて

S2S VPNはIPsec/IKE VPNトンネルを介した接続を実現します。
S2S VPNを構成するにはP2S VPNと同様にVPN Gatewayを構築する必要があります。
また、そのほかにローカルゲートウェイというオンプレミス拠点の情報を設定するリソースをデプロイする必要があります。
ローカルゲートウェイに設定する情報は、パブリックIPアドレス、オンプレミスのアドレス空間、※AS番号、etc…です。(※BGP利用時のみ)

S2S(Site-to-Site) VPNの説明

ローカルゲートウェイを構築する理由は、さらに別の「接続」というリソースを作成する必要があるためです。
「接続」はAzure上で2つのゲートウェイを指定して、VPNコネクションを確立するための機能を提供します。
この「接続」はSource/Destinationが決まっており、片方向だけ設定しても通信が行えません。
よって、オンプレミス拠点とAzureをVPN接続するには、VPN Gatewayとローカルゲートウェイを双方向で「接続」する必要があります。
こうして、オンプレミスネットワークをIaaS環境へ拡張することが可能となります。

3.ExpressRoute

ExpressRouteもオンプレミス拠点とAzureをつなぐサービスです。
ExpressRouteは接続プロバイダーを経由して構築する必要があります。
回線事業者が提供する専用線を使用した通信であるため、事業者からセキュリティと通信品質が保証されています。
また、ExpressRouteではIaaSのほかにPaaSとSaaSにも接続が可能です。
S2S VPNではPaaSを利用できないため、安全な通信でPaaSを利用したい場合にはExpressRouteは必須の要素です。
さらに、ExpressRouteは通信速度のプランを選択できるため、利用用途に応じて必要なだけ帯域速度を確保できます。
通信品質は回線事業者によって保証されるため、クリティカルなシステムとの通信を行う場合にも向いています。

ExpressRouteの説明

ExpressRouteを介してAzureのサービスを利用するためには、サービスに応じたピアリングを構成する必要があります。
ピアリングにはMicrosoftピアリングとプライベートピアリングの2種類があります。
MicrosoftピアリングはPaaSとSaaSを利用するために必要となります。
利用したいサービスのエンドポイントの情報がBGPで広報されるよう設定します。
ただし、Microsoftピアリングを利用してMicrosoft 365に接続するためには、後述のPremium Add-Onの有効化と、Microsoftへの利用申請が必要となります。
プライベートピアリングはIaaSを利用するために必要となります。
オンプレミスのルータは、BGPで接続した仮想ネットワークの経路情報を取得することができます。

ExpressRouteには、より優れたサービスを受けるためのPremium Add-Onが用意されています。
Premium Add-Onでは以下の機能を利用することができます。

  • プライベートピアリングのルート上限が4,000から10,000へ増加
  • ExpressRoute回線に接続できる仮想ネットワークの数が増加(既定は10、接続可能数は回線速度による)
  • Microsoft 365やDynamics 365への接続
  • 地理的に別リージョンにあるExpressRoute回線と仮想ネットワーク同士を接続可能

特に地理的に離れた場所を接続する場合には、Premium Add-Onは必須の機能となります。国内の拠点から東日本・西日本リージョンに接続する場合は問題ありませんが、海外のAzureデータセンターとは既定の状態では接続できません。PaaSやMicrosoft 365など、国内のデータセンターのみで通信が完結しない場合に必要となります。

ExpressRouteを利用する際の注意点

注意しなければいけないこととして、ExpressRouteを利用するためにはAzureのライセンス費用(ExpressRoute Gateway、ExpressRoute回線)のほかに、
回線事業者が提供する接続サービスの費用も負担しなければいけません。
こちらは回線事業者や接続プロバイダーによって値段が異なるので個別に確認をする必要があります。
さらに、Microsoftが定義するExpressRouteのSLAはAzureのサービス内(具体的にはMSEE:Microsoft Enterprise Edgeまで)の範囲となります。

ExpressRouteを利用する際の注意点

ExpressRouteを使えばAzureを完全に閉じた環境として利用できると考える人がいるかもしれません。間違った考えではありませんが、ExpressRouteだけでは実現できません。基本的にAzureの環境はパブリックなものになっており、例えば仮想マシンへは外部から22ポートや3389ポートなどに向けてアクセスが可能です。もちろんこれらのアクセスを制限することは可能ですが、インターネットから完全に隔離した環境を実現しようとすると、利用できないサービスや機能制限が生じてしまうので注意しなければいけません。
また、Premium Add-OnでMicrosoft 365への接続を利用する場合も、Microsoft 365テナントを閉域にできるわけではなく、あくまでもExpressRouteを経由しての接続を実現するのみです。サービスとしては通常通り複数のテナントが入っている状態で変わりありませんし、インターネットからのアクセスを制限するようになるわけでもありません。

さいごに

P2S VPNやS2S VPNでもセキュリティを確保した通信は可能ですが、インターネット回線を利用したベストエフォート通信であるためどうしても通信影響を受ける可能性があります。
ExpressRouteならば閉域網によるセキュリティの確保と、安定した通信帯域での接続を実現できます。
また、IaaSだけでなく多くのPaaSもExpressRoute経由で接続できるため、Azureのサービスをフル活用するためには必須の機能であると考えます!

P2S_S2S_ExpressRoute比較表

今回はAzureクラウドとオンプレミス拠点を接続するための方法について紹介しました。VPNや閉域網を利用した安全な通信の確保と、利用形態についてご理解いただけましたか。
以下に3つの接続方法の比較をまとめます。

さらに詳しく

ExpressRoute概要資料

事業拠点とAzureの環境を専用線で安全に接続する、ExpressRouteの概要資料です。詳細は資料をご覧ください。

Express Route
ダウンロードする

VPN/閉域接続 概算見積はこちら

必要な帯域を選択するだけで、Web上で簡単に参考費用を取得できます。

試してみる