アクティブ/アクティブ モード VPN ゲートウェイについて

  • [アーティクル]

Azure VPN ゲートウェイは、アクティブ/スタンバイまたはアクティブ/アクティブとして構成できます。 この記事では、アクティブ/アクティブ モードのゲートウェイの構成について説明し、アクティブ/アクティブ モードを使用する利点を強調します。

アクティブ/アクティブ ゲートウェイを作成する理由

VPN ゲートウェイでは、アクティブ/アクティブ モードを指定しない限り、アクティブ/スタンバイ構成の 2 つのインスタンスで構成されます。 アクティブ/スタンバイ モードでは、アクティブなインスタンスに影響を与える計画メンテナンスまたは計画外の中断の間に、次の動作が発生します。

  • S2S と VNet 間: スタンバイ インスタンスは自動的に引き継ぎ (フェールオーバー)、サイト間 (S2S) VPN または VNet 間接続を再開します。 この切り替えでは、短い中断が発生します。 計画メンテナンスの場合、接続はすぐに復元されます。 計画外の問題の場合、接続の復旧時間は長くなります。
  • P2S: ゲートウェイへのポイント対サイト (P2S) VPN クライアント接続の場合、P2S 接続は切断されます。 ユーザーはクライアント コンピューターから再接続する必要があります。

中断を回避するには、アクティブ/アクティブ モードでゲートウェイを作成するか、アクティブ/スタンバイ ゲートウェイをアクティブ/アクティブに切り替えます。

アクティブ/アクティブ設計

次の図で示すように、サイト間接続用のアクティブ/アクティブ構成では、ゲートウェイ VM の両方のインスタンスが、オンプレミスの VPN デバイスに対してサイト間 VPN トンネルを確立します。

図は、プライベート IP サブネットを持つオンプレミス サイトと、2 つの VPN ゲートウェイ インスタンスに接続されたオンプレミス ゲートウェイを示しています。

この構成では、各 Azure ゲートウェイ インスタンスが一意のパブリック IP アドレスを持ち、オンプレミスの VPN デバイスへの IPsec/IKE サイト間 VPN トンネルを確立します。 両方のトンネルが同じ接続の一部です。 ゲートウェイ インスタンスごとに 1 つずつ、2 つのサイト間 VPN トンネルを受け入れるように、オンプレミスの VPN デバイスを構成します。 アクティブ/アクティブ モードでのゲートウェイへのポイント対サイト接続では、追加の構成は必要ありません。

アクティブ/アクティブ構成の Azure は、オンプレミスの VPN デバイスで一方のトンネルが優先されている場合でも、仮想ネットワークからオンプレミス ネットワークへのトラフィックを、両方のトンネルに同時にルーティングします。 1 つの TCP フローまたは UDP フローの場合、Azure は同じトンネルを使用して、オンプレミス ネットワークにパケットを送信しようとします。 ただし、オンプレミスのネットワークでは、別のトンネルを使って Azure にパケットを返送する場合があります。

1 つのゲートウェイ インスタンスに対して計画的なメンテナンスまたは計画外のイベントが発生すると、そのインスタンスからオンプレミスの VPN デバイスへの IPsec トンネルが切断されます。 VPN デバイスの対応するルートは自動的に削除または無効にされ、トラフィックはもう一方のアクティブな IPsec トンネルに切り替えられます。 Azure 側では、影響を受けるインスタンスから他のアクティブ インスタンスに自動的に切り替わります。

Note

アクティブ/アクティブ モードの VPN ゲートウェイとのサイト間接続の場合は、各ゲートウェイ VM インスタンスにトンネルが確立されていることを確認してください。 1 つのゲートウェイ VM インスタンスのみにトンネルを確立すると、メンテナンス中に接続がダウンします。 VPN デバイスがこの設定に対応していない場合は、代わりにアクティブ/スタンバイ モード用にゲートウェイを構成してください。

デュアル冗長性のアクティブ/アクティブ設計

最も信頼性の高い設計オプションは、次の図に示すように、ネットワークと Azure の両方でアクティブ/アクティブ ゲートウェイを組み合わせることです。

図はデュアル冗長性シナリオを示しています。

この構成では、アクティブ/アクティブ モードで Azure VPN ゲートウェイを作成して設定します。 2 台のオンプレミス VPN デバイスに対して、2 つのローカル ネットワーク ゲートウェイと 2 つの接続を作成します。 その結果、Azure Virtual Network とオンプレミス ネットワークの間に 4 つの IPsec トンネルが存在するフル メッシュ接続になります。

すべてのゲートウェイとトンネルは、Azure 側からはアクティブです。そのため、トラフィックは 4 つすべてのトンネルで同時に分散されます。ただし、この場合も、各 TCP または UDP フローは Azure 側からは同じトンネルまたはパスを経由します。 トラフィックを分散させることで IPsec トンネルよりもわずかにスループットが向上する場合がありますが、この構成の主な目的は高可用性を実現することです。 分散の統計的性質により、さまざまなアプリケーションのトラフィック状況による全体のスループットへの影響を測定することが困難になります。

このトポロジでは、オンプレミス VPN デバイスのペアをサポートするために、2 つのローカル ネットワーク ゲートウェイと 2 つの接続が必要です。 詳細については、高可用性接続に関するページを参照してください。

アクティブ/アクティブ ゲートウェイを構成する

Azure portal、PowerShell、または CLI を使用してアクティブ/アクティブ ゲートウェイを構成できます。 アクティブ/スタンバイのゲートウェイをアクティブ/アクティブ モードに変更することもできます。 手順については、ゲートウェイをアクティブ/アクティブに変更する方法を扱うページを参照してください。

アクティブ/アクティブ ゲートウェイの構成要件は、アクティブ/スタンバイ ゲートウェイとは少し異なります。

  • Basic ゲートウェイ SKU を使用してアクティブ/アクティブのゲートウェイを構成することはできません。
  • VPN はルート ベースである必要があります。 ポリシー ベースにすることはできません。
  • 2 つのパブリック IP アドレスが必要です。 両方とも静的として割り当てられた Standard SKU パブリック IP アドレスである必要があります。
  • アクティブ/アクティブ ゲートウェイ構成のコストは、アクティブ/スタンバイ構成と同じです。 ただし、アクティブ/アクティブ構成では、1 つではなく 2 つのパブリック IP アドレスが必要です。 「IP アドレスの価格」を参照してください。

アクティブ/アクティブ ゲートウェイをリセットする

アクティブ/アクティブ ゲートウェイをリセットする必要がある場合は、ポータルを使用して両方のインスタンスをリセットできます。 また、PowerShell または CLI を使い、インスタンスの VIP を使って各ゲートウェイ インスタンスを個別にリセットすることもできます。 「接続またはゲートウェイをリセットする」を参照してください。

次のステップ