この記事では、Azure 内で仮想ネットワークを接続するための 2 つの方法 (仮想ネットワーク ピアリングと VPN ゲートウェイ) を比較します。
仮想ネットワークは、仮想的で分離された、Azure のパブリック ネットワークの一部です。 既定では、2 つの仮想ネットワーク間でトラフィックをルーティングすることはできません。 ただし、1 つのリージョン内または 2 つのリージョン間で仮想ネットワークを接続して、それらの間でトラフィックをルーティングできます。
仮想ネットワークの接続の種類
仮想ネットワーク ピアリング。 仮想ネットワーク ピアリングを使用すると、2 つの Azure 仮想ネットワークを接続できます。 ピアリングされた仮想ネットワークは、接続において、見かけ上 1 つのネットワークとして機能します。 ピアリングされた仮想ネットワーク内の仮想マシン間のトラフィックは、プライベート IP アドレスのみを使って、Microsoft のバックボーン インフラストラクチャを通じてルーティングされます。 パブリック インターネットは関与しません。 また、Azure リージョン間で仮想ネットワークをピアリングすることもできます (グローバル ピアリング)。
VPN ゲートウェイ。 VPN ゲートウェイは、特定の種類の仮想ネットワーク ゲートウェイで、パブリック インターネットを介して Azure 仮想ネットワークとオンプレミスの場所の間でトラフィックを送信するために使用されます。 Azure 仮想ネットワーク間のトラフィックの送信に VPN ゲートウェイを使うこともできます。 各仮想ネットワークには最大 1 つの VPN ゲートウェイを含めることができます。 すべての境界仮想ネットワークで Azure DDOS Protection を有効にする必要があります。
仮想ネットワーク ピアリングは、低待機時間、高帯域幅の接続を実現します。 パスにゲートウェイが存在しないため、余分なホップがなく、低遅延の接続が保証されます。 これは、リージョン間のデータ レプリケーションやデータベース フェールオーバーなどのシナリオで役立ちます。 トラフィックはプライベートであり、Microsoft のバックボーンに残っているため、厳格なデータ ポリシーがあり、インターネット経由でトラフィックが送信されないようにする必要がある場合は、仮想ネットワーク ピアリングについても検討してください。
VPN ゲートウェイでは帯域幅接続が制限されます。またこれは、暗号化が必要だが帯域幅の制限を許容できるシナリオで役立ちます。 また、このようなシナリオでは、顧客は待機時間にそれほど依存しません。
ゲートウェイ転送
仮想ネットワーク ピアリングと VPN ゲートウェイは、ゲートウェイ転送を介して共存させることもできます。
ゲートウェイ転送を使用すると、接続用に新しいゲートウェイを作成する代わりに、オンプレミスへの接続用にピアリングされた仮想ネットワークのゲートウェイを使用できます。 Azure のワークロードの増加に伴い、リージョンおよび仮想ネットワーク全体でネットワークをスケーリングし、その増加に対応する必要があります。 ゲートウェイ転送を使用すると、ExpressRoute または VPN ゲートウェイをすべてのピアリングされた仮想ネットワークと共有でき、接続を 1 か所で管理できます。 共有によってコストと管理オーバーヘッドを削減できます。
仮想ネットワーク ピアリング上でゲートウェイ転送を有効にすると、VPN ゲートウェイ、ネットワーク仮想アプライアンス、その他の共有サービスを含む転送仮想ネットワークを作成できます。 組織が新しいアプリケーションまたはビジネス ユニットによって成長するにつれ、新しい仮想ネットワークを追加するにつれ、ピアリングを使用して転送仮想ネットワークに接続できます。 これにより、ネットワークの複雑さを増すことなく、複数のゲートウェイや他のアプライアンスを管理する際の管理オーバーヘッドを軽減できます。
接続の構成
仮想ネットワーク ピアリングと VPN ゲートウェイの両方で、次の接続の種類がサポートされています。
- リージョンが異なる複数の仮想ネットワークを使用。
- 異なる Microsoft Entra テナント内の仮想ネットワーク。
- Azure サブスクリプションが異なる複数の仮想ネットワークを使用。
- Azure デプロイ モデルを組み合わせて使う (Resource Manager とクラシック) 複数の仮想ネットワークを使用。
詳細については、次の記事を参照してください。
- 仮想ネットワーク ピアリングを作成する - Resource Manager、異なるサブスクリプション
- 仮想ネットワーク ピアリングの作成 - 異なるデプロイメント モデル、同じサブスクリプション
- Azure portal を使用して VNet 間 VPN ゲートウェイ接続を構成する
- ポータルを使って異なるデプロイ モデルの仮想ネットワークを接続する
- VPN Gateway に関する FAQ
仮想ネットワーク ピアリングと VPN Gateway の比較
| Item | 仮想ネットワーク ピアリング | VPN Gateway |
|---|---|---|
| 制限 | 仮想ネットワークあたり最大 500 の仮想ネットワーク ピアリング (「ネットワークの制限」を参照) | 仮想ネットワークあたり 1 つの VPN ゲートウェイ。 ゲートウェイあたりのトンネルの最大数は、ゲートウェイ SKU によって異なります。 |
| 価格モデル | イングレス/エグレス | 毎時 + エグレス |
| 暗号化 | Azure Virtual Network Encryption を利用できます。 | カスタム IPsec/IKE ポリシーは、新規または既存の接続に適用できます。 「暗号化要件と Azure VPN ゲートウェイについて」をご覧ください。 |
| 帯域幅の制限 | 帯域幅の制限はありません。 | SKU によって異なります。 「各ゲートウェイ SKU のトンネル数、接続数、およびスループット」をご覧ください。 |
| プライベートかどうか | はい。 Microsoft のバックボーンとプライベートを通じてルーティングされます。 パブリック インターネットは関与しません。 | パブリック IP が関係しますが、Microsoft グローバル ネットワークが有効になっている場合は Microsoft バックボーン経由でルーティングされます。 |
| 推移的な関係 | ピアリング接続は非推移的です。 推移的なネットワークは、ハブ仮想ネットワーク内の NVA またはゲートウェイを使用して実現できます。 例については、ハブスポーク ネットワーク トポロジに関する記事を参照してください。 | 仮想ネットワークが VPN ゲートウェイ経由で接続され、BGP が仮想ネットワーク接続で有効になっている場合は、推移性が機能します。 |
| 初期セットアップ時間 | 速い | ~30 分 |
| 一般的なシナリオ | データ レプリケーション、データベース フェールオーバー、および大規模なデータを頻繁にバックアップする必要があるシナリオ。 | 待機時間の影響をあまり受けない、高スループットを必要としない暗号化固有のシナリオ。 |
共同作成者
この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。
プリンシパル作成者:
- Anavi Nahar | プリンシパル PDM マネージャー