Azure Stack Hub の VPN ゲートウェイの作成
仮想ネットワーク ゲートウェイは、Azure Stack Hub 仮想ネットワーク用のソフトウェア VPN デバイス (VPN ゲートウェイ) です。 これを接続または接続と共に使用して、Azure Stack Hub 仮想ネットワークとローカル ネットワーク間のサイト間またはサイト間 VPN 接続、または異なる Azure Stack Hub スタンプ上に作成された 2 つの仮想ネットワーク間の VNet 間 VPN 接続を設定します。
仮想ネットワーク ゲートウェイを作成する場合、作成するゲートウェイの種類を指定する必要があります。 Azure Stack Hub では 、Vpn の種類のみがサポートされます。
各仮想ネットワークには、1 つの仮想ネットワーク ゲートウェイのみを配置できます。 選択した設定に応じて、1 つの仮想ネットワーク ゲートウェイに複数の接続を作成できます。 この種類のセットアップの例として、サイト間トポロジ構成があります。
Azure Stack Hub 用の仮想ネットワーク ゲートウェイ リソースを作成して構成する前に、 Azure Stack Hub ネットワークに関する考慮事項 を確認して、Azure Stack Hub の構成と Azure の違いを確認してください。
注意
Azure では、選択した仮想ネットワーク ゲートウェイ SKU の帯域幅スループットを、ゲートウェイに接続されているすべての接続に分割する必要があります。 ただし、Azure Stack Hub では、仮想ネットワーク ゲートウェイ SKU の帯域幅の値が、ゲートウェイに接続されている各接続リソースに適用されます。
次に例を示します。
- Azure では、基本的な仮想ネットワーク ゲートウェイ SKU は、約 100 Mbps の合計スループットに対応できます。 その仮想ネットワーク ゲートウェイへの 2 つの接続を作成し、1 つの接続で 50 Mbps の帯域幅を使用している場合は、もう一方の接続で 50 Mbps を使用できます。
- Azure Stack Hub では、基本的な仮想ネットワーク ゲートウェイ SKU への各接続に 100 Mbps のスループットが割り当てられます。
VPN ゲートウェイの構成
VPN ゲートウェイは、特定の設定で構成された複数のリソースに依存しています。 ほとんどのリソースは個別に構成できますが、一定の順序で構成する必要がある場合があります。
設定
リソースごとに選択する設定は、適切な接続を作成するうえで非常に重要です。
VPN Gateway の個々のリソースと設定については、Azure Stack Hub の VPN ゲートウェイの設定に関する記事を参照してください。
デプロイ ツール
Azure Stack Hub ポータルなどの 1 つの構成ツールを使用して、リソースを作成および構成できます。 後で、追加のリソースを構成したり、該当する場合に既存のリソースを変更したりするために、PowerShell などの別のツールに切り替えることができます。
現時点では、Azure Stack Hub ポータルですべてのリソースとリソースの設定を構成することはできません。 各接続トポロジの記事の手順では、特定の構成ツールが必要な場合が指定されています。
接続トポロジの図
VPN ゲートウェイにはさまざまな構成があります。 どの構成が自分のニーズに最適かを判断します。 次のセクションでは、次の VPN ゲートウェイ シナリオに関する情報とトポロジ図を表示できます。
- サイト間接続
- サイト間接続
- Azure Stack Hub スタンプ間のサイト間接続またはサイト間接続
以降のセクションの図と説明は、要件を満たす接続トポロジを選択するために役立ちます。 図は主要なベースライン トポロジを示していますが、図をガイドとして使用して、より複雑な構成を構築することもできます。
サイト間接続
"サイト間" (S2S) VPN ゲートウェイ接続とは、IPsec/IKE (IKEv2) VPN トンネルを介した接続です。 この種類の接続では、オンプレミスに配置され、パブリック IP アドレスが割り当てられている、VPN デバイスが必要です。 S2S 接続は、クロスプレミスおよびハイブリッド構成に使用できます。
サイト間接続
サイト間トポロジは、サイト間トポロジの一種です。 仮想ネットワーク ゲートウェイから複数の VPN 接続を作成し、通常は複数のオンプレミス サイトに接続します。
Azure Stack Hub スタンプ間のサイト間接続またはサイト間接続
2 つの Azure Stack Hub デプロイ間で作成できるサイト間 VPN 接続は 1 つだけです。 これは、同じ IP アドレスに対して許容される VPN 接続が 1 つだけであるというプラットフォームの制限によるものです。 Azure Stack Hub では、Azure Stack Hub システム内のすべての VPN Gateway に対して単一のパブリック IP を使用するマルチテナント ゲートウェイが活用されているため、2 つの Azure Stack Hub システム間に存在できる VPN 接続は 1 つだけです。 この制限は、単一の IP アドレスを使用する VPN ゲートウェイに複数のサイト間 VPN 接続を接続する場合にも当てはまります。 Azure Stack Hub では、同じ IP アドレスを使用して複数のローカル ネットワーク ゲートウェイ リソースを作成することはできません。
次の図は、スタンプ間にメッシュ トポロジを作成する必要がある場合に、複数の Azure Stack Hub スタンプを相互に接続する方法を示しています。
このシナリオでは、3 つの Azure Stack Hub スタンプがあり、それぞれに 1 つの仮想ネットワーク ゲートウェイがあり、2 つの接続と 2 つのローカル ネットワーク ゲートウェイがあります。 新しい SKU を使用すると、ユーザーは、最大 1250 Mbps Tx/Rx の VPN 接続スループットを持つスタンプ間でネットワークとワークロードを接続でき、各スタンプのゲートウェイ プール容量の 50% を割り当てます。 各スタンプの残りの容量は、他のユース ケースに必要な追加の VPN 接続に使用できます。
ゲートウェイの SKU
Azure Stack Hub の仮想ネットワーク ゲートウェイを作成する場合、使用するゲートウェイ SKU を指定する必要があります。 次のVirtual Network ゲートウェイ SKU がサポートされています。
- Basic - 100 Mbps Tx/Rx
- Standard - 100 Mbps Tx/Rx
- ハイ パフォーマンス - 200 Mbps Tx/Rx
パブリック プレビューの新しいVirtual Network ゲートウェイ SKU
Azure Stack Hub 2209 リリースでは、新しい VPN 高速パス機能のパブリック プレビューが発表されています。これにより、Azure Stack Hub スタンプの合計スループットが 2 Gbps から 5 Gbps に増加し、3 つの新しい SKU も導入されます
- VpnGw1 - 650 Mbps Tx/Rx
- VpnGw2 - 1000 Mbps Tx/Rx
- VpnGw3 - 1250 Mbps Tx/Rx
Azure Stack Hub では、Express Route 専用の Ultra Performance ゲートウェイ SKU はサポートされていません。
SKU を選択する場合、次を考慮してください。
- Azure Stack Hub では、ポリシー ベースのゲートウェイはサポートされていません。
- Basic SKU では、ボーダー ゲートウェイ プロトコル (BGP) はサポートされていません。
- ExpressRoute と VPN ゲートウェイが共存する構成は、Azure Stack Hub ではサポートされていません。
ゲートウェイの可用性
アクティブ/アクティブ構成とアクティブ/パッシブ構成の両方で可用性を提供する Azure とは異なり、Azure Stack Hub では、アクティブ/パッシブ構成のみがサポートされています。