仮想ネットワーク ピアリングまたはゲートウェイを計画して実装する
仮想ネットワークは、仮想的で分離された、Azure のパブリック ネットワークの一部です。 既定では、2 つの仮想ネットワーク間でトラフィックをルーティングすることはできません。 ただし、1 つのリージョン内または 2 つのリージョン間で仮想ネットワークを接続して、それらの間でトラフィックをルーティングできます。
仮想ネットワークの接続の種類
仮想ネットワーク ピアリング。 仮想ネットワーク ピアリングを使用すると、2 つの Azure 仮想ネットワークを接続できます。 ピアリングされた仮想ネットワークは、接続において、見かけ上 1 つのネットワークとして機能します。 ピアリングされた仮想ネットワーク内の仮想マシン間のトラフィックは、プライベート IP アドレスのみを使って、Microsoft のバックボーン インフラストラクチャを通じてルーティングされます。 パブリック インターネットは関与しません。 また、Azure リージョン間で仮想ネットワークをピアリングすることもできます (グローバル ピアリング)。
VPN ゲートウェイ。 VPN ゲートウェイは、特定の種類の仮想ネットワーク ゲートウェイで、パブリック インターネットを介して Azure 仮想ネットワークとオンプレミスの場所の間でトラフィックを送信するために使用されます。 Azure 仮想ネットワーク間のトラフィックの送信に VPN ゲートウェイを使うこともできます。 各仮想ネットワークには最大 1 つの VPN ゲートウェイを含めることができます。 いずれの境界仮想ネットワークでも、Azure DDoS (分散型サービス拒否) Protection Standard を有効にする必要があります。
仮想ネットワーク ピアリングは、低待機時間、高帯域幅の接続を実現します。 パスにゲートウェイが存在しないため、余分なホップがなく、低遅延の接続が保証されます。 これは、リージョン間のデータ レプリケーションやデータベース フェールオーバーなどのシナリオで役立ちます。 トラフィックはプライベートであり、Microsoft のバックボーンに残っているため、厳格なデータ ポリシーがあり、インターネット経由でトラフィックが送信されないようにする必要がある場合は、仮想ネットワーク ピアリングについても検討してください。
VPN ゲートウェイでは帯域幅接続が制限されます。またこれは、暗号化が必要だが帯域幅の制限を許容できるシナリオで役立ちます。 また、このようなシナリオでは、顧客は待機時間にそれほど依存しません。
ゲートウェイ転送
仮想ネットワーク ピアリングと VPN Gateway は、ゲートウェイ転送を通して共存することもできます。
ゲートウェイ転送を使用すると、接続用に新しいゲートウェイを作成する代わりに、オンプレミスへの接続用にピアリングされた仮想ネットワークのゲートウェイを使用できます。 Azure のワークロードの増加に伴い、リージョンおよび仮想ネットワーク全体でネットワークをスケーリングし、その増加に対応する必要があります。 ゲートウェイ転送を使用すると、ExpressRoute または VPN ゲートウェイをすべてのピアリングされた仮想ネットワークと共有でき、接続を 1 か所で管理できます。 共有によってコストと管理オーバーヘッドを削減できます。
仮想ネットワーク ピアリング上でゲートウェイ転送を有効にすると、VPN ゲートウェイ、ネットワーク仮想アプライアンス、その他の共有サービスを含む転送仮想ネットワークを作成できます。 組織が新しいアプリケーションまたはビジネス ユニットによって成長するにつれ、新しい仮想ネットワークを追加するにつれ、ピアリングを使用して転送仮想ネットワークに接続できます。 これにより、ネットワークの複雑さを増すことなく、複数のゲートウェイや他のアプライアンスを管理する際の管理オーバーヘッドを軽減できます。
接続の構成
仮想ネットワーク ピアリングと VPN ゲートウェイの両方で、次の接続の種類がサポートされています。
- リージョンが異なる複数の仮想ネットワークを使用。
- 異なる Microsoft Entra テナント内の仮想ネットワーク。
- Azure サブスクリプションが異なる複数の仮想ネットワークを使用。
- Azure デプロイ モデルを組み合わせて使う (Resource Manager とクラシック) 複数の仮想ネットワークを使用。
仮想ネットワーク ピアリングと VPN Gateway の比較
| 品目 | 仮想ネットワーク ピアリング | VPN Gateway |
|---|---|---|
| 制限 | 仮想ネットワークあたり最大 500 個の仮想ネットワーク ピアリング | 仮想ネットワークあたり 1 つの VPN ゲートウェイ。 ゲートウェイあたりのトンネルの最大数は、ゲートウェイ SKU によって異なります。 |
| 価格モデル | イングレス/エグレス | 毎時 + エグレス |
| 暗号化 | ソフトウェアレベルの暗号化が推奨されます。 | カスタム IPsec/IKE ポリシーは、新規または既存の接続に適用できます。 |
| 帯域幅の制限 | 帯域幅の制限はありません。 | SKU によって異なります。 |
| プライベートかどうか | はい。 Microsoft のバックボーンとプライベートを通じてルーティングされます。 パブリック インターネットは関与しません。 | パブリック IP が関係しますが、Microsoft グローバル ネットワークが有効になっている場合は Microsoft バックボーン経由でルーティングされます。 |
| 推移的な関係 | ピアリング接続は非推移的です。 推移的なネットワークは、ハブ仮想ネットワーク内の NVA またはゲートウェイを使用して実現できます。 | 仮想ネットワークが VPN ゲートウェイ経由で接続され、BGP が仮想ネットワーク接続で有効になっている場合は、推移性が機能します。 |
| 初期セットアップ時間 | 速い | ~30 分 |
| 一般的なシナリオ | データ レプリケーション、データベース フェールオーバー、および大規模なデータを頻繁にバックアップする必要があるシナリオ。 | 待機時間の影響をあまり受けない、高スループットを必要としない暗号化固有のシナリオ。 |