できる営業マンの一般的なスタイルは、訪問先の会議室でノートPCやタブレットを開いてプレゼンテーションし、足りない資料は会社のストレージからダウンロード、商談中もしくは商談後に喫茶店や電車の中で議事録を書いて、社内の情報共有システムにアップロードする、そんなイメージではないでしょうか。
開発者が営業に同行したときには、Azure上で開発中のデモを見せたり、外出先からデプロイを管理したり、そんな機会があるはずです。言葉や図解で説明するよりも、システムそのもののインターフェースや機能を見せたほうが、お客様に説得力があります。自宅で開発を行うテレワークを採用する企業も増えました。
遠隔地における業務効率化とコミュニケーションのために、セキュアな仮想ネットワークを使ってオンプレミスやクラウドと接続する技術が「Azure VPN Gateway」です。
ここでは、Azure VPN Gatewayの概要と接続方法、冗長化などVPNの基本を確認します。
Azure VPN Gatewayとは
Azure VPN Gatewayは、既に構築して利用している社内のオンプレミスのサーバーによるネットワークとAzureを仮想化されたネットワークで接続するサービスです。
いくつか接続方法がありますが、ポイント対サイト接続では、Azure Virtual Networkを介して外出先からデプロイを管理したり、お客様にシステムのデモンストレーションを見せたりできるようになります。業界標準のインターネットプロトコルセキュリティ(IPsec) ならびにInternet Key Exchange (IKE) によって保護されたネットワークのため、セキュリティの不安はありません。
Azure VPN Gatewayを使うと、パブリックインターネットを介してAzureの仮想化されたネットワークとオンプレミスの間、Microsoft ネットワークを経由してAzure 仮想ネットワークの間で暗号化されたトラフィックを実現します。
それぞれの仮想ネットワークに作成できるAzure VPN Gatewayは基本的には1つです。同一のAzure VPN Gatewayに複数の接続をすることも可能ですが、このときゲートウェイ帯域幅はすべてのVPNトンネルで共有されます。
Azure VPN Gatewayの接続形態
Azure VPN Gatewayでは、主として以下の5つの接続形態があります。
- サイト間接続
- マルチサイト間接続
- ポイント対サイト接続
- VNet間接続
- ExpressRoute接続
このうちマルチサイト間接続はサイト間接続に含まれると考えられます。いずれにしても接続を決めるためには接続の構成を知り、「どのような目的とニーズがあるか」を考慮するとともに、そのことを前提として「どの構成が最適か」を見極めることが重要です。
たとえば、セキュリティの問題を考慮するならば、VPN 経由のパブリックインターネットで通信するかプライベートな接続で通信するか、という観点が必要になります。また、ハードウェアとしても、接続するPCの数、サイトと永続的に接続する必要性、VPN デバイスを使用する場合の互換性などがチェックポイントになります。
以下にAzure VPN Gatewayの接続形態の例を挙げます。
サイト間接続(S2S)
IPsec/IKE (IKEv1もしくはv2) VPN トンネルによる接続です。クロスプレミス接続の構成とハイブリッド構成に使用できます。サイト間接続ではオンプレミスのパブリックIP アドレスを割り当てられているVPN デバイスが必要です。また、そのデバイスはNAT (Network Address Translation)の内側に配置されていないことが条件です。
マルチサイト間接続
サイト間接続の一種で、複数のIPsec/IKE (IKEv1もしくはv2) VPN トンネルを介して、複数のオンプレミスのサイトに接続します。ルートベースのVPNを使用する必要があり、それぞれの仮想ネットワークに配置できるAzure VPN Gatewayは1つだけに限られます。したがって、ゲートウェイを経由する接続は使用可能な帯域幅を共有します。
ポイント対サイト接続(P2S)
テレワークで働く社員が情報を共有したり、遠隔地の会議室とつないで打ち合わせをしたり、距離の離れた場所のネットワークを構築するニーズに効果的です。仮想ネットワークを介して、個々のクライアントPCからAzureやオンプレミスにセキュリティで保護された接続ができます。
仮想ネットワークに接続するクライアントが複数の場合には、サイト間接続の代替ソリューションとして便利です。
ポイント対サイト接続では、オンプレミスの公開IP アドレスやVPNデバイスを必要としません。 また、あらゆるネットワークの構成要件が両立する場合には、サイト間接続とポイント対サイト接続を併用できます。
VNet間接続
仮想ネットワークから、他の仮想ネットワークへの「VNet対VNet」の接続です。IPsec/IKE で安全性を確保します。
マルチサイト接続とVNet間接続は、組み合わせて活用することもできます。したがって、クロスプレミス接続と仮想ネットワーク間接続によるネットワーク接続で、同一または異なるリージョン、同一または異なるサブスクリプション、同一または異なるデプロイメントモデルの接続が可能です。
ExpressRoute接続
AzureのExpressRouteを利用した、WANやMicrosoftが提供するサービスにダイレクトに接続するプライベート接続です。プロバイダーが提供するプライベート接続を介することにより、オンプレミスで構築されたネットワークをMicrosoftクラウドに拡張できます。したがって、Microsoft Azure、Office 365、CRM OnlineなどMicrosoftのクラウドサービスと接続を確立できることがメリットです。
ExpressRoute接続では、パブリックインターネットを利用できません。しかし、だからこそ一般的なインターネット経由の接続に対して、高度な安全性と信頼性、待ち時間の短縮化、最大100Gbpsの帯域幅をサポートすることで高速化されています。
サイト間接続とExpressRoute接続を併用できる場合、同一の仮想ネットワークに2つのAzure VPN Gatewayが必要ですが、併用することによるメリットがあります。たとえばExpressRoute接続に障害があった場合の代替ネットワーク(フェイルオーバー)としてサイト間接続を利用したり、サイト間接続では接続できないものにExpressRoutで接続したり、相互補完的な利用が可能です。
Azure VPN Gatewayの冗長性
VPNは持続的に利用できることが重要です。そこで、すべてのAzure VPN Gatewayは、アクティブとスタンバイの2つのインスタンスから構成されます。
アクティブなインスタンスで、定期的なメンテナンスまたは計画外の中断が発生すると、スタンバイのインスタンスが自動的に引き継ぎ、サイト間接続またはVNet間接続が再開されます。インスタンスが切り替わるとき、わずかですが中断が発生します。定期的なメンテナンスでは10~15秒以内に接続が復元され、予期しない問題の場合は約1分~1分30秒かかります。 ゲートウェイへのポイント対サイト接続の場合、切断によってユーザーがクライアントPCから再接続しなければなりません。
冗長性をもたせるためには、以下の3つの方法があります。
オンプレミスで複数のVPNデバイスで冗長化する
複数のVPNデバイスを使用したオンプレミスのネットワークで、Azure VPN Gateway に接続します。Azure VPN Gatewayはアクティブとスタンバイモードのため、フェイルオーバーと短い中断が発生します。とはいえ、オンプレミスのネットワークとVPNデバイスの障害や中断からは保護されます。
Azure VPN Gatewayをアクティブ+アクティブのモードで冗長化する
仮想マシンの2つのインスタンスを両方ともアクティブにして、オンプレミスのVPNデバイスでサイト間接続を確立します。1つのインスタンスで定期的なメンテナンスや計画外の中断が発生すると、そのインスタンスとオンプレミスのVPNデバイス間のIPsecトンネルを切断します。切断したルートは自動的に削除もしくは無効にされ、トラフィックはもう一方のアクティブなIPsecトンネルに切り替わります。Azure側では、問題のないアクティブなインスタンスに自動的に切り替わります。
Azureとオンプレミスの両方をアクティブ+アクティブでデュアル冗長化する
オンプレミスとAzureの両方でアクティブ+アクティブのゲートウェイを組み合わせると、最も信頼性が高くなります。アクティブ+アクティブ構成のAzure VPN Gatewayと、オンプレミスの2つのVPN デバイスで2つのローカルネットワークゲートウェイを作成します。Azure Virtual Networkとオンプレミスネットワークで、4つのIPsecトンネルがあるフルメッシュの接続です。
この接続の目的は高可用性の実現ですが、全体のスループットに対する多様なアプリケーションのトラフィックの影響の測定は困難になります。
ちなみに、3つ目のアクティブ+アクティブな構成によるデュアル冗長性は、AzureどうしのVNet 間接続にも有効です。さらに、Azure Availability ZonesにVPNとExpressRouteのゲートウェイをデプロイすることによる冗長仮想ネットワークも構築できます。
Microsoft Azureとは何か?入門から応用まで徹底解説
まとめ
クラウドの活用拡大と仮想化技術の進展により、オンプレミスとAzureの関係は複雑になりつつあります。DaaSとしてのAzure Virtual Desktop(旧Windows Virtual Desktop)やAzure Stackなどの新製品も登場しました。VPNというテクノロジー自体も変わらなければならない時代かもしれません。といっても、コスト面にしてもビジネスの結果においても、最適なテクノロジーを選択することが重要ではないでしょうか。
