Azure Managed Service Column <Azure運用コラム>

オンプレミスとAzureを安全に接続する3つの方法

Category: 入門編

2021.03.17

はじめに

「データセンターにあるオンプレ環境やユーザーのクライアント端末とAzureを安全に接続したいけれども、セキュリティやコスト面含めて、どの回線サービスが良いかわからない」という方は、多いのではないでしょうか。

そこで今回は、オンプレミスのシステムおよびクライアント端末をAzureを安全に接続する3つの方法を解説します。
事前に安全な接続方法を知っておくことで、スムーズなシステム構築ができるでしょう。

Azureと接続する3つの方法

オンプレミスのシステムやクライアント端末をAzureと接続する方法には、大きく分けて以下の3つがあります。

P2S(Point-to-Site)VPN の接続方式

P2S(Point-to-Site)VPN の接続方式
P2S(Point-to-Site)VPN の接続方式

P2SVPNは、ポイント対サイト接続とも呼ばれる、エンドユーザーのクライアント端末とクラウドをVPNにより接続する方式です。

P2SVPNによる接続には、固定IPアドレスもルーターなどのVPNデバイスも必要ありません。ただし、クライアント端末にインストールするためのクライアント証明書と、Azure上のVPN Gatewayが持つ自己署名ルート証明書は、クライアントコンピューターがVPN接続を要求する際に使われるため必須となります。また、VPN接続を行うための仮想ネットワークゲートウェイである、VPN Gatewayの構築も必要です。

P2SVPNによりVPN接続を確立した場合、どこからでもAzure上の仮想ネットワークへ接続できるという特徴があります。そのため、テレワークの導入や、複数のクライアントからネットワークに接続する場合などに適した構成といえるでしょう。

ただし、1つのVPN Gatewayに対して、同時に接続できる数は128台までとなるため、その点には注意が必要です。

S2S(Site-to-Site)VPN の接続方式

S2S(Site-to-Site)VPN の接続方式
S2S(Site-to-Site)VPN の接続方式

S2SVPNはサイト間接続とも呼ばれ、オンプレミスとAzure上の仮想ネットワーク間をVPN接続する構成、もしくはAzure上の VNet間を接続する構成を指します。

S2SVPNによる接続を行うためには、オンプレミス側で固定IPアドレスとVPNデバイスを用意する必要があります。また、P2SVPNと同様に、VPN Gatewayの構築も必須です。

さらに、S2SVPNでは、ローカルネットワークゲートウェイを手動でデプロイすることも必要です。ローカルネットワークゲートウェイとは、オンプレミス拠点の情報を設定するリソースのことであり、具体的にはパブリックIPアドレス、オンプレミスのアドレス空間などの情報を設定することになります。

ローカルネットワークゲートウェイを構築し、 VPNコネクションを確立するための“接続”というリソースを作成します。VPN Gatewayとローカルネットワークゲートウェイを双方向で接続することで、オンプレミス拠点とAzureのVPN接続ができるようになります。もちろん、オンプレミス側でのVPNデバイスの設定も必要です。

その他、S2SVPNの特徴としては、接続にIPsec/IKEVPNトンネルを使用することで、安全性を確保できる点などが挙げられます。

マルチサイト接続について

S2SVPNの一種に、マルチサイト接続があります。これは、2つ以上のオンプレミスをAzure上の仮想ネットワークへと接続する場合に使う方法です。

マルチサイト接続
マルチサイト接続

マルチサイト接続では、複数のオンプレミス環境とAzure上の仮想ネットワークを接続することができますが、Azure上の仮想ネットワーク1つあたり、構築できるAzure VPN gatewayの数は1つのみです。そのため、VPN通信の帯域幅はすべて共通となります。

ExpressRoute(閉域網) の接続方式

ExpressRouteは、回線事業者が提供する専用線を使用して、オンプレミス拠点とAzureを接続する方法です。他の2つの方法と比較した場合、接続プロパイダーを経由する必要がある点が異なります。

ExpressRoute(閉域網) の接続方式
ExpressRoute(閉域網) の接続方式

また、S2SVPNでは利用できないPaaSが利用できるという点も、重要なポイントです(※ただし、S2S VPN と Private Link を併用すれば、オンプレミス環境からでも PaaS を利用できます)。PaaSを安全な通信で利用したい場合には、ExpressRouteによる接続は1つの有効な選択肢でしょう。

その他、ExpressRouteの特徴としては、プランにより通信速度を選択できる点が挙げられます。用途に応じて必要な帯域速度を確保可能です。

また、回線事業者を経由していることから、ExpressRouteは事業者にセキュリティと通信品質が保証されている接続方法でもあります。クリティカルなシステムに向いている接続方法といえるでしょう。

ただし、Azureの費用に加えて、回線事業者との契約コストも別途かかります。

ピアリング

ExpressRouteを介し、Azureのサービスを利用する場合には、サービスに応じたピアリングの構成が必要です。ピアリングには、Microsoftピアリング、プライベートピアリングの2種類があり、以下のような違いがあります。

  • Microsoftピアリング:PaaSとSaaSを利用するために必要
  • プライベートピアリング:IaaSを利用するために必要
Azure ピアリング
Azure ピアリング

(出典:https://docs.microsoft.com/ja-jp/azure/expressroute/expressroute-circuit-peerings)

※Microsoft 365に接続する際には、Microsoftピアリングの構築に加えてMicrosoftへの利用申請とPremium Add-Onの有効化も必要となります。

注意点

ExpressRouteによる接続を行う際には、インターネットから完全に隔離された環境としてAzureを利用できるわけではないことを覚えておきましょう。

ExpressRouteによる接続は、専用線を利用してはいるものの、Azure自体の環境が外部とつながっています。そのため、外部から仮想マシンの22ポート(SSH用ポート)や3389ポート(RDP用ポート)などに向けたアクセスは可能ですので、要件に合わせて適切な制限をするよう、十分ご注意ください。

3つの接続方法の比較

ここまで、3つの接続方法についてそれぞれ見てきましたが、違いがわかりにくいと思われた方もいるかもしれません。3つの接続方法を項目ごとに比較すると、以下のようになります。

P2S VPN S2S VPN ExpressRoute
どことAzureを接続するか 端末 拠点間、Vnet間 拠点間
安全性 SSTP/IKEv2 IPsec VPN 閉域網
ルーティング 静的 ポリシーベース
ルートベース
ポリシーベース
ルートベース
接続できるサービス IaaS IaaS IaaS、PaaS
料金体系 時間単位課金+従量課金 時間単位課金+従量課金 従量課金型、月額固定型のどちらかを選択可

おわりに

ご紹介したように、オンプレミスとAzureを接続するための方法には、P2SVPN、S2SVPN、ExpressRouteの3つがあります。

それぞれの方法で、必要な準備や接続できるサービス、向いているシステム環境などが異なります。利用する環境や用途に合わせて適切な接続方法を選ぶとよいでしょう。

Azureの設計・構築を任せたい

Azure構築サービス

Azure構築サービス

Microsoft Azureを利用したシステム構築を代行します。オンプレミスとAzureの接続もお任せください。

Free

資料ダウンロード

課題解決に役立つ詳しいサービス資料はこちら

資料ダウンロード
  • Azure導入支援・構築・運用サービス総合カタログ

    サービスの詳細をご覧いただけます。

Azure導入個別相談会(無料)

Tag: Azure VNet ExpressRoute P2S VPN S2S VPN セキュリティ

Contactお問い合わせ

お見積もり・ご相談など、お気軽にお問い合わせください。

single.php