皆さまこんにちは、SB C&Sの八釼です。
オンプレミス環境とパブリッククラウド環境を組み合わせたハイブリッドクラウド利用を行う際、オンプレミス側のネットワークとパブリッククラウド側の抽象化されたプライベートネットワークを接続させてそれぞれに所属するコンピューター同士をプライベートIPアドレスで通信させたい場合が多々あると思います。
そこで今回は、Azureの仮想ネットワーク(VNet)とオンプレミスネットワークを接続させてこれらのネットワークをまるで一つであるかのように運用する方法についてご紹介します。
2種類の接続方法
VNetとオンプレミスネットワーク、つまり拠点間を接続するにはインターネットを介したVPN接続か閉域網(専用回線)で接続する方法があります。
いずれの場合でも必要になることは、対象となるVNetの出入り口として、ゲートウェイ専用のサブネット(ゲートウェイサブネット)を作成して、そこに所属しパブリックIPアドレスを持つ「VNetゲートウェイ」というリソース(2つ以上のVMで構成される)を作成することです。
なお、ゲートウェイサブネットには必ず "GatewaySubnet" という名前を付けなければなりません。
また、VNetゲートウェイには種類によってそれぞれ異なる複数のSKUが用意されており、指定するSKUによってスループットやサポートされる機能などが異なります。もちろん料金も異なります。
VPN接続
オンプレミスネットワークとVNet間をインターネットVPN ( IPsec ) で接続が可能で、S2S(サイト対サイト)接続と呼ばれます。この場合VNetゲートウェイは、「VPNゲートウェイ」として作成します。これがソフトウェアベースのVPNデバイスというわけです。
もちろん、オンプレミスネットワーク側にもVPNデバイスを用意します。検証済みのVPN デバイスとそれに対する構成ガイドも公開されていますので、こういった情報を元にサポートされる機器を選定してください。さらにこれを抽象的に扱うために「ローカルネットワークゲートウェイ」というリソースを作成し、オンプレミスネットワークのアドレス空間やオンプレミスVPNデバイスのエンドポイントの関連付けを行います。これによりローカル(オンプレミス)ネットワーク設定の構成情報を保持した抽象的なVPNデバイスが出来上がるというわけです。
そしてこれらのゲートウェイ(VPN/ローカルネットワーク)同士を接続させると、サイト間接続の出来上がりです。
なお、オプションとしてP2S(ポイント対サイト)接続も可能です。いくつかのVPNプロトコルがサポートされており単体のクライアント端末 ( Windows PCやスマートフォンなど ) からVNetに接続できるのです。ただしIPsecのルーティング方法としてはポリシーベースまたはルートベースのどちらかを選択しなければならないのですが、P2S接続の実現のためにはルートベースである必要があります。ちなみにこの選択はVPNゲートウェイ作成時にのみ可能なため、ポリシーベースで作成したものを途中でルートベースに変更できません。この場合には、ポリシーベースで作成した既存のものを削除して、ルートベースのVPNゲートウェイを新規に作成する必要があるのでご注意ください。
また、VNet同士のVPNによるS2S接続を行うこともできます。それぞれのVPNゲートウェイ同士を簡単に接続させることができるのです。
しかしVNet同士をシームレスに接続したい場合、「VNetピアリング」という方法を使用する方が簡単なのでおすすめです。対象になるVNetに対して少々の値を設定するだけでピアリング接続を機能させることができ、VNetゲートウェイを使わずしかしインターネットも経由しない(Azureのバックボーンネットワークを使用する)プライベート接続を実現できます。
Microsoft Azureは、世界中のリージョン(地域)に配置されたデータセンターで運用されています。海外など地理的に離れた場所のAzureと接続する場合でも、グローバルVNetピアリングという接続方法を用いれば、異なるリージョン間のVNet同士を接続できます。
専用線接続
VPNのように仮想的な状態ではなく、オンプレミスネットワークとMicrosoftクラウドを閉域網(専用回線)で接続するためにExpress Routeというサービスがあります。この場合のVNetゲートウェイは、Express Routeゲートウェイ(ERゲートウェイ)として作成します。
VPNによるS2S接続に比べ、後述するサービスプロバイダーに関する料金も考慮する必要があるため基本的には総合的な費用が高くなると考えていただいて差し支えありませんが、帯域幅が保証され通信品質が安定しやすいです。パブリックなインターネットを経由せず、回線事業者が提供する専用線を経由するため、セキュリティと通信品質が高い接続方法です。特に、機密情報を取り扱うシステムや定期的なバックアップが必要となる、企業にとってクリティカルなシステムに適した接続方法といえるでしょう。
Premiumアドオンを用いれば、別リージョンにわたる Microsoft サービスへのグローバル接続が可能になります。国内から、国内の別リージョンに接続する場合は問題ありませんが、海外の別リージョンと接続する場合は、Premiumアドオンを使用しましょう。
【関連記事】Azure Bastionとネイティブクライアント接続機能を使ってAzure VMを
セキュアに管理
日本の場合、Equinixや@Tokyoのデータセンター内に専用回線の入口(物理ルーター)があるので、そことMicrosoft社のバックボーンネットワークを通じてプライベートピアリング構成にてERゲートウェイにつなげる(論理接続する)ことでこのサービスの回線(以後ER回線)になります。ちなみに、このルーターはMicrosoft Enterprise Edge Router (MSEE)と呼ばれており、既定でMicrosoft社側に2系統存在しており冗長化されています。
なお、ER回線を用いて通信を行う場合には「プライベートピアリング」もしくは「Microsoft ピアリング」のどちらかのピアリングを構成する必要がありますが、今回の記事のようにVNet(にデプロイされたリソース=プライベート IP 帯)であれば前者を構成します。後者は、Microsoft 365などのマイクロソフトクラウドサービスやAzure PaaSサービス(=パブリック IP 帯)の場合に構成します。
ソフトバンクの回線を経由してAzure ( VNet ) に接続可能
ER回線によりMSEEまではつながりましたが、まだAzure(VNet)へのアクセスポイントを整備したという状態です。ここからオンプレミスネットワークまでをつなげないと意味がありません。つなげるためには、接続(回線)サービスプロバイダーを利用する/しないという選択肢がありますが、利用しない場合にはかなり導入のコストやハードルが高くなるので特別な要件がある場合を除きおすすめできません。そのためサービスプロバイダー経由で配線するのが一般的と考えていただいて差し支えありません。
ぜひソフトバンクにお任せください!
- ソフトバンクの閉域網サービス SmartVPNと、Microsoft の提供するクラウドサービス Microsoft Azure™ の専用線接続サービス ExpressRoute® の接続をご提供するサービスです。
- OnePort ダイレクトアクセス for Microsoft Azure
Azure VMware Solution ( AVS ) の場合
以前に掲載したこちらの記事でもVMの移行の際に閉域網での接続が必要になることについて少しだけ触れました。当然ここにもER回線が絡んでいます。ただし少しだけ応用の形です。
まずAVSの場合にはそれぞれのプライベートクラウドにDedicated Microsoft Enterprise Edge (D-MSEE)という専用のエッジルーターがデプロイ時に割り当てられます。プライベートクラウドをデプロイした直後のD-MSEEは外部ネットワークとの接続は未構成の状態ですので、本記事のようにオンプレミスのネットワークと繋ぎたい場合にはこことピアリングを行う工程が必要です。
そこで登場するのがGlobal Reachという機能であり、オンプレミスネットワークとつながっているMSEEと割り当てられたD-MSEEを接続できます。この機能を使った結果、デプロイ時にバックエンドでプロビジョニングされるプライベートクラウド用のER回線とERゲートウェイとMSEEをつなげているER回線とをリンクさせることができ、オンプレミス環境とAVS環境が接続された状態になるというわけです。
VPN接続と専用線接続の併用
前述したとおりER回線(=経路)は冗長化されていますが、アクセスポイントの災害/障害対策(冗長化)は別途必要になります。これを実現するためにもう1本ER回線を用意する選択肢がありますが、コスト負担が増大するので費用的に見合わない場合にはこの判断は下せません。
そこでVPNを併用することでコスト負担を軽減しアクセスポイントの冗長化を図る選択肢があります。ER回線が正常な時はこちらですべての通信に優先的に使用し、障害が発生した際にはS2SのVPN接続に切り替えるのです。
なお、このような使い方をする場合、P2Sの場合と同様にルートベースのVPNゲートウェイである必要があり、SKUについても「Basic以外」を選択しなければなりません。
最後に
こういったネットワーク(拠点)間接続も踏まえてハイブリッドクラウド運用をご検討されたい場合に、特にExpress Routeを使用する専用線接続は少し複雑かもしれません。ご不明な点がございましたら、まずは法人でのAzure導入前の相談窓口であるAzure相談センターまでぜひお気軽にお問い合わせください。Azure に精通したスタッフが丁寧にご回答いたします。
- 【 著者紹介 】
八釼 友輔 - Azure エヴァンジェリスト
SB C&S株式会社 ICT事業本部 クラウド・ソフトウェア推進本部 クラウドプラットフォーム推進統括部 マーケティング部 販売推進課
Azureの導入や運用に関するお悩みは SoftBankグループのSB C&Sにご相談ください
SoftBankグループのSB C&Sは、さまざまな分野のエキスパート企業との協力なパートナーシップによって、多岐にわたるAzure関連ソリューションをご提供しています。
「Azureのサービスを提供している企業が多すぎて、どの企業が自社にベストか分からない」
「Azure導入のメリット・デメリットを知りたい」
「Azureがどういう課題を解決してくれるのか知りたい」
など、Azureに関するお悩みならお気軽にお問い合わせください。
中立的な立場で、貴社に最適なソリューションをご提案いたします。
クラウドサーバーご検討中の方必見
お役立ち資料一覧
- クラウドサーバーの導入を検討しているがオンプレミスとどう違うのか
- AWSとAzureの違いについて知りたい
- そもそもAzureについて基礎から知りたい
- 今、話題の「WVD」って何?
そのようなお悩みはありませんか?
Azure相談センターでは、上記のようなお悩みを解決する
ダウンロード資料を豊富にご用意しています。
是非、ご覧ください。
Azureの導入・運用に役立つ資料を
無料でダウンロードしていただけますDOWNLOAD
オンプレミスからクラウドへの移行を検討している方のために、安心・スムーズな移行を実現する方法を解説し、
運用コストの削減に有効な「リザーブドインスタンス」もご紹介するホワイトペーパーです。
- Azure 伝道師 五味ちゃんが徹底解説!Microsoft Azure
- Microsoft Azure vs Amazon Web Services 徹底比較!
- Azure OpenAI Serviceの概要と活用例
- Azure OpenAI Serviceの概要と活用例
- Azure伝道師 五味ちゃんが徹底解説! AI革命編~AI活用ガイド~
- Azure伝道師 五味ちゃんが徹底解説! Azure移行編
- 中小企業がデジタルトランスフォーメーションを取り入れるには
- パブリッククラウド導入活用に関する調査結果 ~2022年版~
- プライベートクラウドを Azureで実現!「Azure VMware Solution」とは?
- Azure へのスムーズな移行で社員の生産性を上げる、経営者の選択とは
- 簡単にクラウドセキュリティを実現する 「Azure Security Center」の機能をわかりやすく解説!
- トータルサポートでAzure移行・活用を促進 -基幹システム・SAPクラウド化の課題と解決事例
- ゼロトラストとは?概要から、Azureでできる解決策まで資料で解説
- Azure 導入事例集
- Azure 伝道師 五味ちゃんが徹底解説!AVD(旧:WVD)編
- Azureによるリモートワークの実現 -DaaSならではの柔軟なVDIの構築事例
- Microsoft Azure活用事例 - 株式会社クレオ様
- Azureだからこそ可能になる、快適で安全な仮想デスクトップ環境
- Azure 伝道師 五味ちゃんが徹底解説!Microsoft Azure
- 数あるクラウドから Azureを選択するキーポイントとは
- 「働き方改革」、 Azure VDI + Microsoft 365で実現
- オンプレミスからクラウドへのスムーズな移行とコストダウンを実現する方法
- オンプレミスのIT基盤を Azure IaaSでクラウド化する、 そのメリットとポイント
- 吉田パクえ氏が説く !失敗しないクラウドの使い方!
- クラウド vs オンプレミス 徹底比較!
- Microsoft Azure vs Amazon Web Services 徹底比較!
- Microsoft Azure製品紹介資料
- ダイレクトアクセス for Microsoft Azure ご紹介資料
- DevOpsにはAzure!その理由を徹底解説
Azureのことなら、
SB C&Sにご相談を!
導入から活用まで専門スタッフが回答いたします。
お気軽にお問い合わせください。