VPN Gateway の構成設定について

VPN Gateway の接続アーキテクチャは、複数のリソースの構成によって異なり、それぞれに構成可能な設定が含まれます。 この記事のセクションでは、仮想ネットワークの VPN ゲートウェイに関連するリソースと設定について説明します。 各接続ソリューションの説明とトポロジ図については、VPN ゲートウェイのトポロジと設計に関する記事を参照してください。

この記事の値は、特に VPN ゲートウェイ (-GatewayType Vpn を使う仮想ネットワーク ゲートウェイ) に適用されます。 次の種類のゲートウェイに関する情報をお探しの場合は、次の記事を参照してください。

ゲートウェイとゲートウェイの種類

仮想ネットワーク ゲートウェイは、自動的に構成され、作成した特定のサブネット ("ゲートウェイ サブネット" と呼ばれます) にデプロイされる 2 つ以上の Azure マネージド VM で構成されます。 ゲートウェイ VM には、ルーティング テーブルが含まれ、特定のゲートウェイ サービスが実行されます。 仮想ネットワーク ゲートウェイを作成すると、ゲートウェイ VM はゲートウェイ サブネット (常に GatwaySubnet という名前) に自動的にデプロイされ、指定した設定で構成されます。 選択するゲートウェイ SKU によっては、プロセスが完了するまでに 45 分以上かかる場合があります。

仮想ネットワーク ゲートウェイの作成時に指定する設定の 1 つは、ゲートウェイの種類です。 ゲートウェイの種類により、仮想ネットワーク ゲートウェイの使用方法と、ゲートウェイによって実行されるアクションが決まります。 仮想ネットワークには、VPN ゲートウェイと ExpressRoute ゲートウェイの 2 つの仮想ネットワーク ゲートウェイを含めることができます。 -GatewayType "Vpn" は、作成される仮想ネットワーク ゲートウェイの種類が VPN ゲートウェイ であることを示します。 これにより、ExpressRoute ゲートウェイと区別されます。

ゲートウェイ SKU とパフォーマンス

ゲートウェイ SKU、パフォーマンス、サポートされている機能に関する最新情報については、「ゲートウェイ SKU について」を参照してください。

VPN の種類

Azure は、VPN ゲートウェイに対してポリシーベースルートベースの 2 種類の VPN をサポートしています。 ルートベースの VPN ゲートウェイは、ポリシーベースの VPN ゲートウェイとは異なるプラットフォーム上に構築されています。 そのため、ゲートウェイの仕様が異なります。 次のテーブルは、各 VPN の種類をサポートするゲートウェイ SKU と、関連するサポートされている IKE バージョンを示しています。

ゲートウェイ VPN の種類 ゲートウェイ SKU サポートされている IKE バージョン
ポリシー ベースのゲートウェイ 基本 IKEv1
ルート ベースのゲートウェイ 基本 IKEv2
ルート ベースのゲートウェイ VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 IKEv1 および IKEv2
ルート ベースのゲートウェイ VpnGw1AZ、VpnGw2AZ、VpnGw3AZ、VpnGw4AZ、VpnGw5AZ IKEv1 および IKEv2

ほとんどの場合、ルートベースの VPN ゲートウェイを作成します。 以前は、以前のゲートウェイ SKU では、ルート ベースのゲートウェイの IKEv1 はサポートされていませんでした。 現在、現在のゲートウェイ SKU のほとんどは、IKEv1 と IKEv2 の両方をサポートしています。

  • 2023 年 10 月 1 日の時点で、ポリシー ベースのゲートウェイは PowerShell または CLI を使用してのみ構成でき、Azure portal では使用できません。 ポリシー ベースのゲートウェイを作成するには、「PowerShell を使用して Basic SKU VPN ゲートウェイを作成する」を参照してください。

  • ポリシー ベースのゲートウェイが既にある場合、ポイント対サイトなどのルート ベースのゲートウェイを必要とする構成を使用する場合を除き、ゲートウェイをルート ベースに変更するように求められることはありません。

  • ポリシー ベースのゲートウェイをルート ベースに変換することはできません。 既存のゲートウェイを削除し、ルート ベースとして新しいゲートウェイを作成する必要があります。

アクティブ/アクティブ モード ゲートウェイ

Azure VPN ゲートウェイは、アクティブ/スタンバイまたはアクティブ/アクティブとして構成できます。 アクティブ/アクティブ構成では、ゲートウェイ VM の両方のインスタンスによって、オンプレミスの VPN デバイスへのサイト間 VPN トンネルを確立されます。 アクティブ/アクティブ モード ゲートウェイは、高可用性ゲートウェイ接続設計の重要な部分です。 詳細については、次の記事をご覧ください。

ゲートウェイ プライベート IP

この設定は、特定の ExpressRoute プライベート ピアリング構成に使われます。 詳細については、「ExpressRoute プライベート ピアリング経由のサイト間 VPN 接続を構成する」を参照してください。

接続の種類

各接続には、特定の仮想ネットワーク ゲートウェイ接続の種類が必要です。 New-AzVirtualNetworkGatewayConnection -Connection Type で使用できる PowerShell 値は: IPsec、Vnet2Vnet、ExpressRoute、VPNClient です。

接続モード

Connection Mode プロパティは、IKEv2 接続を使用するルートベースの VPN ゲートウェイにのみ適用されます。 接続モードは、接続開始方向を定義し、初期 IKE 接続確立にのみ適用されます。 どのパーティでも、キーの更新とそれ以降のメッセージを開始できます。 InitiatorOnly は、Azure によって接続を開始する必要がある場合を意味します。 ResponderOnly は、オンプレミス デバイスによって接続を開始する必要がある場合を意味します。 既定の動作では、最初に接続した方を受け入れてダイヤルします。

ゲートウェイ サブネット

VPN Gateway を作成する前に、ゲートウェイ サブネットを作成する必要があります。 ゲートウェイ サブネットには、仮想ネットワーク ゲートウェイの VM とサービスが使用する IP アドレスが含まれます。 仮想ネットワーク ゲートウェイを作成すると、ゲートウェイ VM はゲートウェイ サブネットにデプロイされ、必要な VPN Gateway 設定で構成されます。 ゲートウェイ サブネットには、他のもの (たとえば、追加の VM) をデプロイしないでください。 ゲートウェイ サブネットを正常に動作させるには、"GatewaySubnet" という名前を付ける必要があります。 ゲートウェイ サブネットに "GatewaySubnet" という名前を付けることにより、これが仮想ネットワーク ゲートウェイの VM とサービスをデプロイする必要のあるサブネットであることを Azure が認識できます。

ゲートウェイ サブネットを作成するときに、サブネットに含まれる IP アドレスの数を指定します。 ゲートウェイ サブネット内の IP アドレスは、ゲートウェイ VM とゲートウェイ サービスに割り当てられます。 一部の構成では、他の構成よりも多くの IP アドレスを割り当てる必要があります。

ゲートウェイ サブネットのサイズを計画する際は、作成する構成に関するドキュメントを参照してください。 たとえば、ExpressRoute/VPN Gateway が共存する構成には、他のほとんどの構成より大規模なゲートウェイ サブネットが必要です。 /29 (Basic SKU にのみ適用) の小さいゲートウェイ サブネットを作成することもできますが、他のすべての SKU には、サイズ /27 以上 (/27、/26、/25 など) のゲートウェイ サブネットが必要です。 /27 より大きいゲートウェイ サブネットを作成して、将来の構成に対応できる十分な IP アドレスをサブネットに確保することもできます。

次の PowerShell の例は、GatewaySubnet という名前のゲートウェイ サブネットを示しています。 CIDR 表記で /27 を指定しています。これで既存のほとんどの構成で IP アドレスに十分対応できます。

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

考慮事項:

  • 0.0.0.0/0 が宛先のユーザー定義のルートと GatewaySubnet の NSG はサポートされていません。 この構成のゲートウェイの作成はブロックされます。 ゲートウェイが正常に機能するためには、管理コントローラーへのアクセスが必要です。 ゲートウェイの可用性を確保するために、GatewaySubnet で [BGP ルート伝達] を [有効] に設定する必要があります。 BGP ルート伝達が無効に設定されていると、ゲートウェイは機能しません。

  • 診断、データ パス、および制御パスは、ユーザー定義ルートがゲートウェイ サブネット範囲またはゲートウェイ パブリック IP 範囲と重複している場合に影響を受ける可能性があります。

ローカル ネットワーク ゲートウェイ

ローカル ネットワーク ゲートウェイは、仮想ネットワーク ゲートウェイとは異なります。 VPN ゲートウェイのサイト間アーキテクチャを使っている場合、通常、ローカル ネットワーク ゲートウェイは、オンプレミス ネットワークと、それに対応する VPN デバイスを表します。

ローカル ネットワーク ゲートウェイを構成するときは、名前、オンプレミス VPN デバイスのパブリック IP アドレスまたは完全修飾ドメイン名 (FQDN)、オンプレミスの場所に存在するアドレス プレフィックスを指定します。 Azure によって、ネットワーク トラフィックの宛先アドレスのプレフィックスが参照され、ローカル ネットワーク ゲートウェイに指定した構成が確認されて、それに応じてパケットがルーティングされます。 VPN デバイスで Border Gateway Protocol (BGP) を使用する場合、VPN デバイスの BGP ピア IP アドレスとオンプレミス ネットワークの自律システム番号 (ASN) を指定します。 また、VPN Gateway 接続を使用している VNet 間の構成に対して、ローカル ネットワーク ゲートウェイを指定します。

次の PowerShell の例では、新しいローカル ネットワーク ゲートウェイを作成します。

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

場合によっては、ローカル ネットワーク ゲートウェイ設定を変更する必要があります。 たとえば、アドレス範囲を追加または変更する場合や、VPN デバイスの IP アドレスが変更された場合などです。 詳細については、ローカル ネットワーク ゲートウェイの設定の変更に関するページを参照してください。

REST API、PowerShell コマンドレット、および CLI

VPN Gateway 構成に対して REST API、PowerShell コマンドレット、または Azure CLI を使う場合のテクニカル リソースと具体的な構文の要件については、以下のページを参照してください。

次のステップ

使用可能な接続構成の詳細については、「VPN Gateway について」を参照してください。