目次
VPN Gateway
VPN Gateway は、
オンプレミス環境と Azure Virtual Network(VNet)を安全に接続するための VPN サービス です。
インターネットを経由しながらも、
IPsec(暗号化トンネル) を使ってセキュアに通信できます。
企業ネットワークと Azure をつなぐ「ハイブリッド構成」の中心的役割を持つサービスです。
VPN Gateway の利用シナリオ
● 1. オンプレミスと Azure をつなぐ(Site-to-Site VPN)
企業の拠点ネットワーク(ルーター)と Azure を接続。
用途:
- 社内システムから Azure VM へアクセス
- Azure を自社ネットワークの延長として利用
● 2. 社員のパソコンから Azure に接続(Point-to-Site VPN)
リモートワーカーや個人PCが Azure につなげる接続方式。
用途:
- リモートで Azure VM に直接アクセス
- 開発者・運用者の管理作業用
● 3. Azure VNet 同士を VPN でつなぐ(VNet-to-VNet)
複数の VNet が異なるリージョンにある場合でも
VPN Gateway を経由して安全に通信できます。
VPN Gateway の特徴
● 暗号化された安全な通信(IPsec / IKE)
インターネット経由でも情報漏えいを防ぐ
強力な暗号化技術を採用しています。
● VNet 内に「GatewaySubnet」を作成して配置
VPN Gateway を作るときは、
必ず特別なサブネット名「GatewaySubnet」 を作成します。
例:
10.0.255.0/27 などの専用サブネット
● 冗長化されたゲートウェイ
VPN Gateway は Azure の管理下で冗長構成となっており、
障害発生時も自動的に復旧されます。
● ExpressRoute と併用可能
高信頼の専用線(ExpressRoute)と
VPN を組み合わせてバックアップ構成も作れます。
VPN Gateway の種類
● Route-based(推奨)
- 現代的なルーティング方式
- Site-to-Site / VNet-to-VNet / P2S すべてに対応
- 柔軟なルーティング設定が可能
AZ-900 の正解は基本的に「Route-based」です。
● Policy-based(非推奨)
- 固定的なポリシーに基づく(旧式)
- 機能が制限される
→ 現在は特殊ケース以外ほとんど使わない
VPN Gateway の性能と SKU
VPN Gateway は SKU により性能が異なります。
- Basic
- VpnGw1 / VpnGw2 / VpnGw3 / VpnGw4 / VpnGw5
- VpnGw1AZ~(ゾーン冗長)
違い:
- 最大スループット
- 同時接続数
- 強度の高い暗号方式への対応
一般企業では VpnGw1~2 がよく使われます。
VPN Gateway と ExpressRoute の違い(AZ-900で必出)
| 項目 | VPN Gateway | ExpressRoute |
|---|---|---|
| 接続方式 | インターネット経由(IPsec) | 専用線 |
| セキュリティ | 暗号化で安全 | 物理的に安全 |
| 性能 | 中程度 | 非常に高い |
| 遅延 | 変動する | 低遅延・安定 |
| コスト | 安い | 高い |
| 利用シーン | 中小企業、検証、本番環境 | 大企業の基幹システム |
AZ-900では、
「VPN=安い・柔軟」「ExpressRoute=高性能・企業向け」
と理解していれば十分です。
VPN Gateway が必要な場合の代表例
- オンプレと Azure のハイブリッド構成
- 社内ネットワークから Azure VM へアクセスしたい
- リモートワーク社員を Azure に接続したい
- セキュアな閉域網を Azure と共有したい
AZ-900で理解すべきポイント
- VPN Gateway は 暗号化された VPN トンネル を提供する
- 主な用途は サイト間接続(Site-to-Site)
- GatewaySubnet に配置する必要がある
- IPsec / IKE を使用して安全に通信
- ExpressRoute との比較がよく出題される