ExpressRoute の仮想ネットワーク ゲートウェイについて

お使いの Azure 仮想ネットワークとオンプレミス ネットワークを ExpressRoute を使用して接続するには、最初に仮想ネットワーク ゲートウェイを作成する必要があります。 仮想ネットワーク ゲートウェイには 2 つの目的があります。1 つはネットワーク間で IP ルートを交換すること、もう 1 つはネットワーク トラフィックをルーティングすることです。 この記事では、さまざまなゲートウェイの種類、ゲートウェイ SKU、および SKU ごとの予測パフォーマンスについて説明します。 また、パフォーマンスを向上させるために、お使いのオンプレミス ネットワークからのネットワーク トラフィックが仮想ネットワーク ゲートウェイをバイパスできるようにする機能、ExpressRoute FastPath についても説明します。

ゲートウェイの種類

仮想ネットワーク ゲートウェイを作成する場合、設定をいくつか指定する必要があります。 必須の設定の 1 つである -GatewayType は、ゲートウェイを ExpressRoute と VPN トラフィックのどちらに使用するかを指定します。 ゲートウェイには、次の 2 種類があります。

  • Vpn - パブリック インターネットでトラフィックを暗号化して送信するには、ゲートウェイの種類 "Vpn" を使用します。 このようなゲートウェイは VPN ゲートウェイとも呼ばれます。 サイト間接続、ポイント対サイト接続、VNet 間接続のすべてで、VPN ゲートウェイが使用されます。

  • ExpressRoute - プライベート接続でネットワーク トラフィックを送信するには、ゲートウェイの種類 'ExpressRoute' を使用します。 このようなゲートウェイは ExpressRoute ゲートウェイとも呼ばれ、ExpressRoute の構成時に使用されます。

各仮想ネットワークに配置できる仮想ネットワーク ゲートウェイは、ゲートウェイの種類ごとに 1 つに限られています。 たとえば、-GatewayType Vpn を使用する仮想ネットワーク ゲートウェイと -GatewayType ExpressRoute を使用する仮想ネットワーク ゲートウェイをそれぞれ 1 つ配置できます。

Gateway の SKU

仮想ネットワーク ゲートウェイを作成する場合、使用するゲートウェイの SKU を指定する必要があります。 選択するゲートウェイ SKU が上位になるほど、ゲートウェイに割り当てられる CPU やネットワーク帯域幅が増えます。その結果、ゲートウェイで仮想ネットワークに対してより高いネットワーク スループットをサポートできます。

ExpressRoute の仮想ネットワーク ゲートウェイでは、次の SKU を使用できます。

  • ERGwScale (プレビュー)
  • Standard
  • HighPerformance
  • UltraPerformance
  • ErGw1Az
  • ErGw2Az
  • ErGw3Az

ゲートウェイをより大容量のゲートウェイ SKU にアップグレードする場合は、Azure portal または PowerShell でシームレス ゲートウェイ移行ツールを使用できます。 次のアップグレードがサポートされています。

  • Basic IP の Az 非対応 SKU から Standard IP の Az 非対応 SKU。
  • Basic IP の Az 非対応 SKU から Standard IP の Az 対応 SKU。
  • Standard IP の Az 非対応 SKU から Standard IP の Az 対応 SKU。

詳しくは、可用性ゾーン対応ゲートウェイへの移行に関する記事をご覧ください。

その他のすべてのダウングレード シナリオでは、ゲートウェイを削除して再作成する必要があります。 ゲートウェイの再作成によりダウンタイムが発生します。

ゲートウェイ サブネット

ExpressRoute ゲートウェイを作成する前に、ゲートウェイ サブネットを作成する必要があります。 ゲートウェイ サブネットには、仮想ネットワーク ゲートウェイの VM とサービスが使用する IP アドレスが含まれます。 仮想ネットワーク ゲートウェイを作成すると、ゲートウェイ VM はゲートウェイ サブネットにデプロイされ、必要な ExpressRoute ゲートウェイ設定で構成されます。 ゲートウェイ サブネットには、他には何もデプロイしないでください。 ゲートウェイ サブネットを正常に動作させるには、"GatewaySubnet" という名前を付ける必要があります。 ゲートウェイ サブネットに "GatewaySubnet" という名前を付けることで、仮想ネットワーク ゲートウェイの VM とサービスをこのサブネットにデプロイすることを Azure が認識できます。

Note

  • 0.0.0.0/0 が宛先のユーザー定義のルートと GatewaySubnet の NSG はサポートされていません。 この構成のゲートウェイの作成はブロックされます。 ゲートウェイが正常に機能するためには、管理コントローラーへのアクセスが必要です。 ゲートウェイの可用性を確保するために、GatewaySubnet で [BGP ルート伝達] を [有効] に設定する必要があります。 BGP ルート伝達が無効に設定されていると、ゲートウェイは機能しません。

  • 診断、データ パス、および制御パスは、ユーザー定義ルートがゲートウェイ サブネット範囲またはゲートウェイ パブリック IP 範囲と重複している場合に影響を受ける可能性があります。

  • ExpressRoute 仮想ネットワーク ゲートウェイがある仮想ネットワークに Azure DNS Private Resolver をデプロイし、すべての名前解決を特定の DNS サーバーに転送するようにワイルドカード規則を設定することはお勧めしません。 このような構成にすると、管理接続の問題が発生する可能性があります。

ゲートウェイ サブネットを作成するときに、サブネットに含まれる IP アドレスの数を指定します。 ゲートウェイ サブネット内の IP アドレスは、ゲートウェイ VM とゲートウェイ サービスに割り当てられます。 一部の構成では、他の構成よりも多くの IP アドレスを割り当てる必要があります。

ゲートウェイ サブネットのサイズを計画する際は、作成する構成に関するドキュメントを参照してください。 たとえば、ExpressRoute/VPN Gateway が共存する構成には、他のほとんどの構成より大規模なゲートウェイ サブネットが必要です。 さらに、ゲートウェイ サブネットには、考えられる将来の構成に対応できる十分な数の IP アドレスが含まれるようにしてください。 /27 以上 (/27 や /26 など) のゲートウェイ サブネットを作成することをお勧めします。 ゲートウェイに 16 本の ExpressRoute 回線を接続するつもりであれば、/26 以上のゲートウェイ サブネットを作成する必要があります。 デュアル スタックのゲートウェイ サブネットを作成する場合は、/64 以上の IPv6 範囲も使用することをお勧めします。 この設定は、ほとんどの構成に対応します。

次の Resource Manager PowerShell の例では、GatewaySubnet という名前のゲートウェイ サブネットを示しています。 CIDR 表記で /27 を指定しています。これで既存のほとんどの構成で IP アドレスに十分対応できます。

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

重要

ゲートウェイ サブネット上のネットワーク セキュリティ グループ (NSG) はサポートされていません。 ネットワーク セキュリティ グループをこのサブネットに関連付けると、仮想ネットワーク ゲートウェイ (VPN と ExpressRoute ゲートウェイ) が想定どおりに機能しなくなる可能性があります。 ネットワーク セキュリティ グループの詳細については、「ネットワーク セキュリティ グループ (NSG) について」を参照してください。

仮想ネットワーク ゲートウェイの制限事項とパフォーマンス

ゲートウェイ SKU による機能のサポート

次の表は、各ゲートウェイの種類でサポートされている機能と、各ゲートウェイ SKU でサポートされている ExpressRoute 回線の最大接続数を示しています。

ゲートウェイ SKU VPN Gateway と ExpressRoute の共存 FastPath 回線接続の最大数
Standard SKU/ERGw1Az はい いいえ 4
High Perf SKU/ERGw2Az はい いいえ 8
Ultra Performance SKU/ErGw3Az はい はい 16
ErGwScale (プレビュー) はい はい - 最小スケール ユニットは 10 です 4 - 最小スケール ユニットは 1 です
8 - 最小スケール ユニットは 2 です
16 - 最小スケール ユニットは 10 です

Note

同じ仮想ネットワークに接続できる同じピアリングの場所からの ExpressRoute 回線の最大数は、すべてのゲートウェイに対して 4 です。

ゲートウェイ SKU の推定パフォーマンス

次の表に、さまざまな種類のゲートウェイ、それらに個別の制限事項、想定されるパフォーマンス メトリックの概要を示します。 これらの数値は、以下のテスト条件から得られたもので、サポートの上限を表しています。 実際のパフォーマンスは、トラフィックによってテスト条件がどれだけ厳密に再現されるかによって異なる場合があります。

テスト条件

ゲートウェイ SKU オンプレミスから送信されるトラフィック ゲートウェイによってアドバタイズされるルートの数 ゲートウェイによって学習されるルートの数
Standard/ERGw1Az 1 Gbps 500 4000
High Performance/ERGw2Az 2 Gbps 500 9,500
Ultra Performance/ErGw3Az 10 Gbps 500 9,500
ErGwScale (スケール ユニットごと) 1 Gbps 500 4,000

Note

ExpressRoute は、仮想ネットワーク アドレス空間、オンプレミス ネットワーク、および関連するすべての仮想ネットワーク ピアリング接続にまたがる、最大 11,000 件のルーティングを支援します。 ExpressRoute 接続の安定性を確保するには、11,000 件を超えるルーティングを ExpressRoute にアドバタイズしないようにします。

パフォーマンスの結果

この表は、Azure Resource Manager とクラシック デプロイ モデルの両方に適用されます。

ゲートウェイ SKU 1 秒あたりのメガビット数 1 秒あたりのパケット数 Virtual Network 1 でサポートされている VM の数 フロー数の上限
Standard/ERGw1Az 1,000 100,000 2,000 200,000
High Performance/ERGw2Az 2,000 200,000 4,500 400,000
Ultra Performance/ErGw3Az 10,000 1,000,000 11,000 1,000,000
ErGwScale (スケール ユニットごと) 1,000 100,000 2,000 スケール ユニットあたり 100,000

1 表の値は推定値であり、ゲートウェイでの CPU 使用率によって異なります。 CPU の使用率が高く、VM の数がサポート範囲を超えると、ゲートウェイはパケットのドロップを開始します。

重要

  • アプリケーションのパフォーマンスは複数の要因によって異なります。これらの要因には、エンド ツー エンドの待機時間、アプリケーションが起動するトラフィック フローの数などがあります。 テーブルの数値は、アプリケーションが理想的な環境で理論上達成できる上限を表しています。 さらに、Microsoft はサービスの信頼性を維持するために、ExpressRoute 仮想ネットワーク ゲートウェイで定期的なホストと OS メンテナンスを実行します。 メンテナンス期間中は、ゲートウェイのコントロール プレーンとデータ パスの容量が減ります。
  • メンテナンス期間中は、プライベート エンドポイント リソースへの断続的な接続の問題が発生する可能性があります。
  • ExpressRoute は、1400 バイトの最大 TCP および UDP パケット サイズをサポートしています。 1400 バイトを超えるパケット サイズはフラグメント化されます。
  • Azure Route Server では、最大 4,000 VM をサポートできます。 この制限には、ピアリングされた仮想ネットワーク内の VM が含まれます。 詳細については、Azure Route Server の制限に関するページを参照してください。

ゾーン冗長ゲートウェイ SKU

Azure Availability Zones に、ExpressRoute ゲートウェイをデプロイすることもできます。 この構成により、ゲートウェイは異なる Availability Zones に物理的かつ論理的に分離され、オンプレミス ネットワークの Azure への接続がゾーン レベルの障害から保護されます。

ゾーン冗長 ExpressRoute ゲートウェイ

ゾーン冗長ゲートウェイでは、ExpressRoute ゲートウェイに特定の新しいゲートウェイ SKU が使用されます。

  • ErGw1AZ
  • ErGw2AZ
  • ErGw3AZ
  • ErGwScale (プレビュー)

新しいゲートウェイ SKU では、ニーズに最も適したその他のデプロイ オプションもサポートされます。 新しいゲートウェイ SKU を使用して仮想ネットワーク ゲートウェイを作成する場合、特定のゾーン内にゲートウェイをデプロイできます。 このようなゲートウェイはゾーン ゲートウェイと呼ばれます。 ゾーン ゲートウェイをデプロイすると、すべてのゲートウェイ インスタンスが同じ可用性ゾーンにデプロイされます。

ExpressRoute ゲートウェイの移行について詳しく確認するには、「ゲートウェイの移行」を参照してください。

ExpressRoute スケーラブル ゲートウェイ (プレビュー)

ErGwScale 仮想ネットワーク ゲートウェイ SKU を使用すると、仮想ネットワーク内の VM とプライベート エンドポイントへの 40 Gbps の接続を実現できます。 この SKU を使用すると、アクティブな帯域幅またはフロー数に基づいて自動スケールする仮想ネットワーク ゲートウェイ インフラストラクチャの最小スケール ユニットと最大スケール ユニットを設定できます。 固定のスケール ユニットを設定して、必要な帯域幅の値で一定の接続を維持することもできます。

可用性ゾーンのデプロイとリージョンの可用性

ErGwScale は、Azure 可用性ゾーンでゾーン デプロイとゾーン冗長デプロイの両方をサポートしています。 これらの概念の詳細については、ゾーンとゾーン冗長サービスのドキュメント参照してください。

ErGwScale は、プレビューで次のリージョンで使用できます。

  • オーストラリア東部
  • ブラジル南部
  • カナダ中部
  • 米国東部
  • 東アジア
  • フランス中部
  • ドイツ中西部
  • インド中部
  • イタリア北部
  • 北ヨーロッパ
  • ノルウェー東部
  • スウェーデン中部
  • アラブ首長国連邦北部
  • 英国南部
  • 米国西部 2
  • 米国西部 3

自動スケールと固定スケール ユニット

仮想ネットワーク ゲートウェイ インフラストラクチャは、ユーザーが構成した最小と最大のスケール ユニットの間で、帯域幅またはフロー数の使用率に基づいて自動でスケーリングします。 スケール操作は、完了するまでに最大 30 分かかることがあります。 特定の帯域幅値で固定接続を実現する場合は、最小と最大のスケール ユニットを同じ値に設定することで、固定スケール ユニットを構成できます。

制限事項

  • Basic IP: ErGwScale は、Basic IP SKU をサポートしていません。 ErGwScale を構成する場合は、Standard IP SKU を使用する必要があります。
  • 最大および最小のスケール ユニット: ErGwScale のスケール ユニットは、1-40 の間で構成できます。 最小スケール ユニット1 より小さくできません。また、最大スケール ユニット40 より大きくできません。
  • 移行シナリオ: パブリック プレビューでは、Standard/ErGw1AzHighPerf/ErGw2Az/UltraPerf/ErGw3Az から ErGwScale への移行はできません。

価格

パブリック プレビュー期間中、ErGwScale は無料です。 ExpressRoute の価格の詳細については、「Azure ExpressRoute の価格」を参照してください。

スケール ユニットあたりの推定パフォーマンス

スケール ユニットあたりのサポートされるパフォーマンス

スケール ユニット 帯域幅 (Gbps) 1 秒あたりのパケット数 1 秒あたりの接続数 最大 VM 接続数 1 フローの最大数
1 ~ 10 1 100,000 7,000 2,000 100,000
11-40 1 100,000 7,000 1,000 100,000

スケール ユニットによるサンプル パフォーマンス

スケール ユニット 帯域幅 (Gbps) 1 秒あたりのパケット数 1 秒あたりの接続数 最大 VM 接続数 1 フローの最大数
10 10 1,000,000 70,000 20,000 1,000,000
20 20 2,000,000 140,000 30,000 2,000,000
40 40 4,000,000 280,000 50,000 4,000,000

1 最大 VM 接続数は、10 スケール ユニットを超えるとスケーリングが異なります。 最初の 10 スケール ユニットでは、スケール ユニットあたり 2,000 VM に対する容量が提供されます。 スケール ユニットが 11 以上の場合は、スケール ユニットごとにさらに 1,000 VM 分の容量が提供されます。

VNet から VNet、VNet から Virtual WAN への接続

既定では、すべてのゲートウェイ SKU の ExpressRoute 回線を介した VNet から VNet と VNet から Virtual WAN への接続は無効になっています。 この接続を有効にするには、このトラフィックを許可するように ExpressRoute 仮想ネットワーク ゲートウェイを構成する必要があります。 詳細については、ExpressRoute 経由の仮想ネットワーク接続に関するガイダンスを参照してください。 このトラフィックを有効にする方法については、ExpressRoute を介した VNet から VNet または VNet から Virtual WAN への接続の有効化に関する記事をご覧ください。

FastPath

ExpressRoute 仮想ネットワーク ゲートウェイの目的は、ネットワーク ルートを交換し、ネットワーク トラフィックをルーティングすることです。 FastPath の目的は、お使いのオンプレミス ネットワークと仮想ネットワークの間のデータ パスのパフォーマンスを向上させることです。 FastPath が有効になっていると、ゲートウェイはバイパスされ、ネットワーク トラフィックが仮想ネットワーク内の仮想マシンに直接送信されます。

FastPath の制限や要件などについて詳しくは、FastPath の概要に関する記事をご覧ください。

プライベート エンドポイントへの接続

ExpressRoute 仮想ネットワーク ゲートウェイは、仮想ネットワーク ゲートウェイと同じ仮想ネットワークに、また仮想ネットワークのピアを横断してデプロイされたプライベート エンドポイントへの接続を容易にします。

重要

  • プライベート エンドポイント リソースへの接続のスループットとコントロール プレーンの容量は、非プライベート エンドポイント リソースへの接続と比べて、半分に減る可能性があります。
  • メンテナンス期間中は、プライベート エンドポイント リソースへの断続的な接続の問題が発生する可能性があります。
  • ユーザーは、メンテナンス イベントがない限り、IP 5 タプルの転送のパケットが単一のネクスト ホップ (Microsoft Enterprise Edge ルーター - MSEE) を使うように、オンプレミスの構成 (ルーターやファイアウォールの設定など) が正しく構成されていることを確認する必要があります。 ユーザーのオンプレミスのファイアウォールまたはルーターの構成のために、同じ IP 5 タプルでネクスト ホップが頻繁に切り替えられる場合、接続の問題が発生します。

プライベート エンドポイント接続と計画済みメンテナンス イベント

プライベート エンドポイント接続はステートフルです。 ExpressRoute プライベート ピアリング経由でプライベート エンドポイントへの接続が確立されると、受信と送信の接続は、ゲートウェイ インフラストラクチャのバックエンド インスタンスの 1 つを通してルーティングされます。 メンテナンス イベント中に、仮想ネットワーク ゲートウェイ インフラストラクチャのバックエンド インスタンスが一度に 1 つずつ再起動されるため、断続的な接続の問題が発生する可能性があります。

メンテナンス アクティビティ中にプライベート エンドポイントとの接続に関する問題を回避するか、最小限に抑えるには、オンプレミス アプリケーションの TCP タイムアウト値を 15 秒から 30 秒の間に設定することをお勧めします。 アプリケーションの要件に基づいて、最適な値をテストして構成します。

REST API および PowerShell コマンドレット

仮想ネットワーク ゲートウェイの構成に対して REST API および PowerShell コマンドレットを使用する場合のテクニカル リソースおよび特定構文の要件については、次のページを参照してください。

クラシック Resource Manager
PowerShell PowerShell
REST API REST API

VNet 間接続

既定では、複数の仮想ネットワークを同じ ExpressRoute 回線にリンクすると、仮想ネットワーク間の接続が有効になります。 Microsoft では、仮想ネットワーク間の通信に ExpressRoute 回線を使用しないことをお勧めします。 代わりに、仮想ネットワーク ピアリングを使うことをお勧めします。 ExpressRoute 経由での VNet 間接続が推奨されない理由の詳細については、「ExpressRoute 経由の仮想ネットワーク間の接続」を参照してください。

仮想ネットワーク ピアリング

ExpressRoute ゲートウェイのある仮想ネットワークは、最大 500 の他の仮想ネットワークと仮想ネットワーク ピアリングを確立できます。 ExpressRoute ゲートウェイのない仮想ネットワーク ピアリングでは、これよりもピアリングの制限が高くなる可能性があります。

次のステップ