Azure Managed Service Column <Azure運用コラム>

オンプレミスとAzureを安全に接続する3つの方法

Category: 入門編

2021.03.17

はじめに

「データセンターにあるオンプレ環境やユーザーのクライアント端末と Azure を安全に接続したいけれども、セキュリティやコスト面含めて、どの回線サービスが良いかわからない」という方は、多いのではないでしょうか。

そこで今回は、オンプレミスのシステムおよびクライアント端末を Azure を安全に接続する 3 つの方法を解説します。
事前に安全な接続方法を知っておくことで、スムーズなシステム構築ができるでしょう。

Azure と接続する 3 つの方法

オンプレミスのシステムやクライアント端末を Azure と接続する方法には、大きく分けて以下の 3 つがあります。

P2S(Point-to-Site)VPN の接続方式

P2S(Point-to-Site)VPN の接続方式
P2S(Point-to-Site)VPN の接続方式

P2S VPN は、ポイント対サイト接続とも呼ばれる、エンドユーザーのクライアント端末とクラウドを VPN により接続する方式です。

P2S VPN による接続には、固定 IP アドレスもルーターなどの VPN デバイスも必要ありません。ただし、クライアント端末にインストールするためのクライアント証明書と、Azure 上の VPN Gateway が持つ自己署名ルート証明書は、クライアントコンピューターが VPN 接続を要求する際に使われるため必須となります。また、VPN 接続を行うための仮想ネットワークゲートウェイである、VPN Gateway の構築も必要です。

P2S VPN により VPN 接続を確立した場合、どこからでも Azure 上の仮想ネットワークへ接続できるという特徴があります。そのため、テレワークの導入や、複数のクライアントからネットワークに接続する場合などに適した構成といえるでしょう。

ただし、1 つの VPN Gateway に対して、同時に接続できる数は 128 台までとなるため、その点には注意が必要です。

S2S(Site-to-Site)VPN の接続方式

S2S(Site-to-Site)VPN の接続方式
S2S(Site-to-Site)VPN の接続方式

S2S VPN はサイト間接続とも呼ばれ、オンプレミスと Azure 上の仮想ネットワーク間を VPN 接続する構成、もしくは Azure 上の VNet 間を接続する構成を指します。

S2S VPN による接続を行うためには、オンプレミス側で固定 IP アドレスと VPN デバイスを用意する必要があります。また、P2S VPN と同様に、VPN Gateway の構築も必須です。

さらに、S2S VPN では、ローカルネットワークゲートウェイを手動でデプロイすることも必要です。ローカルネットワークゲートウェイとは、オンプレミス拠点の情報を設定するリソースのことであり、具体的にはパブリック IP アドレス、オンプレミスのアドレス空間などの情報を設定することになります。

ローカルネットワークゲートウェイを構築し、 VPN コネクションを確立するための“接続”というリソースを作成します。VPN Gateway とローカルネットワークゲートウェイを双方向で接続することで、オンプレミス拠点と Azure の VPN 接続ができるようになります。もちろん、オンプレミス側での VPN デバイスの設定も必要です。

その他、S2S VPN の特徴としては、接続に IPsec/IKEVPN トンネルを使用することで、安全性を確保できる点などが挙げられます。

マルチサイト接続について

S2S VPN の一種に、マルチサイト接続があります。これは、2 つ以上のオンプレミスを Azure 上の仮想ネットワークへと接続する場合に使う方法です。

マルチサイト接続
マルチサイト接続

マルチサイト接続では、複数のオンプレミス環境と Azure 上の仮想ネットワークを接続することができますが、Azure 上の仮想ネットワーク 1 つあたり、構築できる Azure VPN gateway の数は 1 つのみです。そのため、VPN通信の帯域幅はすべて共通となります。

ExpressRoute(閉域網)の接続方式

ExpressRoute は、回線事業者が提供する専用線を使用して、オンプレミス拠点と Azure を接続する方法です。他の 2 つの方法と比較した場合、接続プロパイダーを経由する必要がある点が異なります。

ExpressRoute(閉域網) の接続方式
ExpressRoute(閉域網) の接続方式

また、S2S VPN では利用できない PaaS が利用できるという点も、重要なポイントです(※ただし、S2S VPN と Private Link を併用すれば、オンプレミス環境からでも PaaS を利用できます)。PaaS を安全な通信で利用したい場合には、ExpressRoute による接続は1つの有効な選択肢でしょう。

その他、ExpressRoute の特徴としては、プランにより通信速度を選択できる点が挙げられます。用途に応じて必要な帯域速度を確保可能です。

また、回線事業者を経由していることから、ExpressRoute は事業者にセキュリティと通信品質が保証されている接続方法でもあります。クリティカルなシステムに向いている接続方法といえるでしょう。

ただし、Azure の費用に加えて、回線事業者との契約コストも別途かかります。

ピアリング

ExpressRoute を介し、Azure のサービスを利用する場合には、サービスに応じたピアリングの構成が必要です。ピアリングには、Microsoft ピアリング、プライベートピアリングの 2 種類があり、以下のような違いがあります。

  • Microsoftピアリング:PaaS と SaaS を利用するために必要
  • プライベートピアリング:IaaS を利用するために必要
Azure ピアリング
Azure ピアリング

(出典:https://docs.microsoft.com/ja-jp/azure/expressroute/expressroute-circuit-peerings)

※Microsoft 365に接続する際には、Microsoftピアリングの構築に加えてMicrosoftへの利用申請と Premium Add-On の有効化も必要となります。

注意点

ExpressRoute による接続を行う際には、インターネットから完全に隔離された環境として Azure を利用できるわけではないことを覚えておきましょう。

ExpressRoute による接続は、専用線を利用してはいるものの、Azure 自体の環境が外部とつながっています。そのため、外部から仮想マシンの 22 ポート( SSH 用ポート)や 3389 ポート( RDP 用ポート)などに向けたアクセスは可能ですので、要件に合わせて適切な制限をするよう、十分ご注意ください。

3 つの接続方法の比較

ここまで、3 つの接続方法についてそれぞれ見てきましたが、違いがわかりにくいと思われた方もいるかもしれません。3 つの接続方法を項目ごとに比較すると、以下のようになります。

P2S VPN S2S VPN ExpressRoute
どこと Azure を接続するか 端末 拠点間、Vnet間 拠点間
安全性 SSTP/IKEv2 IPsec VPN 閉域網
ルーティング 静的 ポリシーベース
ルートベース
ポリシーベース
ルートベース
接続できるサービス IaaS IaaS IaaS、PaaS
料金体系 時間単位課金+従量課金 時間単位課金+従量課金 従量課金型、月額固定型のどちらかを選択可

おわりに

ご紹介したように、オンプレミスと Azure を接続するための方法には、P2SVPN、S2SVPN、ExpressRoute の3つがあります。

それぞれの方法で、必要な準備や接続できるサービス、向いているシステム環境などが異なります。利用する環境や用途に合わせて適切な接続方法を選ぶとよいでしょう。

Azure の設計・構築を相談する

Azure構築サービス

Azure 構築サービス

Microsoft Azure を利用したシステム構築を代行します。オンプレミスと Azure の接続もお任せください。

Free

資料ダウンロード

課題解決に役立つ詳しいサービス資料はこちら

資料ダウンロード
  • Azure導入支援・構築・運用サービス総合カタログ

    Microsoft Azure サービスの導入検討・PoC、設計、構築、運用までを一貫してご支援いたします。
    Azure導入・運用時のよくあるお悩み、お悩みを解決するためのアールワークスのご支援内容・方法、ご支援例などをご確認いただけます。

Azure導入個別相談会(無料)

Tag: Azure VNet Azureネットワーク ExpressRoute P2S VPN S2S VPN ハイブリッドクラウド

Contactお問い合わせ

お見積もり・ご相談など、お気軽にお問い合わせください。

single.php