Azure ExpressRoute を使用して Azure 仮想ネットワーク (仮想ネットワーク) とオンプレミス ネットワークを接続するには、まず仮想ネットワーク ゲートウェイを作成する必要があります。 仮想ネットワーク ゲートウェイには 2 つの目的があります。1 つはネットワーク間で IP ルートを交換すること、もう 1 つはネットワーク トラフィックをルーティングすることです。
この記事では、さまざまなゲートウェイの種類、ゲートウェイ SKU、および SKU ごとの予測パフォーマンスについて説明します。 また、パフォーマンスを向上させるために、お使いのオンプレミス ネットワークからのネットワーク トラフィックが仮想ネットワーク ゲートウェイをバイパスできるようにする機能、ExpressRoute FastPath についても説明します。
Gateway の SKU
仮想ネットワーク ゲートウェイを作成する場合、使用するゲートウェイの SKU を指定する必要があります。 選択するゲートウェイ SKU を高くするほど、ゲートウェイに割り当てられる CPU とネットワーク帯域幅が増えます。 その結果、ゲートウェイは、仮想ネットワークに対してより高いネットワーク スループットをサポートできます。
ExpressRoute の仮想ネットワーク ゲートウェイでは、次の SKU を使用できます。
- ErGwScale (プレビュー): 詳細については、「ExpressRoute スケーラブル ゲートウェイ」を参照してください
- Standard
- HighPerformance
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
Az 非対応または Az 対応ゲートウェイと同じ SKU ファミリ内の容量の高い SKU にゲートウェイをアップグレードできます。
たとえば、次をアップグレードできます。
- Az 対応以外の SKU から別の Az 対応以外の SKU へ
- ある Az 対応 SKU から別の Az 対応 SKU へ
他のすべてのダウングレード シナリオでは、ゲートウェイをいったん削除して作成し直す必要があり、ダウンタイムが発生します。
ゲートウェイ サブネットの作成
ExpressRoute ゲートウェイを作成する前に、ゲートウェイ サブネットを作成する必要があります。 仮想ネットワーク ゲートウェイの仮想マシン (VM) とサービスは、ゲートウェイ サブネットに含まれる IP アドレスを使います。
仮想ネットワーク ゲートウェイを作成すると、ゲートウェイ VM はゲートウェイ サブネットにデプロイされ、必要な ExpressRoute ゲートウェイ設定で構成されます。 ゲートウェイ サブネットには、他には何もデプロイしないでください。 ゲートウェイ サブネットが正常に動作するには、その名前を "GatewaySubnet" にする必要があります。そうすると、Azure は仮想ネットワーク ゲートウェイの VM とサービスをこのサブネットにデプロイすることがわかります。
Note
0.0.0.0/0 が宛先のユーザー定義のルートと、ゲートウェイ サブネット上のネットワーク セキュリティ グループ (NSG) は、"サポートされていません"。 この構成のゲートウェイの作成はブロックされます。 ゲートウェイが正常に機能するためには、管理コントローラーへのアクセスが必要です。 可用性の高いゲートウェイにするため、ゲートウェイ サブネットで Border Gateway Protocol (BGP) のルート伝達を有効にする必要があります。 BGP のルート伝達が無効になっていると、ゲートウェイは機能しません。
診断、データ パス、および制御パスは、ユーザー定義ルートがゲートウェイ サブネット範囲またはゲートウェイ パブリック IP 範囲と重複している場合に影響を受ける可能性があります。
- ExpressRoute 仮想ネットワーク ゲートウェイがある仮想ネットワークに Azure DNS Private Resolver をデプロイし、すべての名前解決を特定の DNS サーバーに転送するようにワイルドカード規則を設定することはお勧めしません。 そのような構成では、管理接続の問題が発生する可能性があります。
ゲートウェイ サブネットを作成するときに、サブネットに含まれる IP アドレスの数を指定します。 ゲートウェイ サブネット内の IP アドレスは、ゲートウェイ VM とゲートウェイ サービスに割り当てられます。 一部の構成では、他の構成よりも多くの IP アドレスを割り当てる必要があります。
ゲートウェイ サブネットのサイズを計画する際は、作成する構成に関するドキュメントを参照してください。 たとえば、ExpressRoute と VPN Gateway が共存する構成では、他のほとんどの構成より大きなゲートウェイ サブネットが必要です。 さらに、ゲートウェイ サブネットには、将来的に可能性のある構成に対応できる十分な数の IP アドレスが含まれるようにすることをお勧めします。
/27 以上のゲートウェイ サブネットを作成することをお勧めします。 ゲートウェイに 16 本の ExpressRoute 回線を接続する予定の場合は、/26 以上のゲートウェイ サブネットを作成する "必要があります"。 デュアル スタックのゲートウェイ サブネットを作成する場合は、/64 以上の IPv6 範囲も使用することをお勧めします。 この設定は、ほとんどの構成に対応します。
次の Azure Resource Manager PowerShell の例では、GatewaySubnet という名前のゲートウェイ サブネットが示されています。 クラスレス ドメイン間ルーティング (CIDR) 表記で /27 が指定されていることがわかります。このようにすると、現在存在するほとんどの構成に十分な IP アドレスが確保されます。
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Important
ゲートウェイ サブネット上の NSG はサポートされていません。 ネットワーク セキュリティ グループをこのサブネットに関連付けると、仮想ネットワーク ゲートウェイ (VPN と ExpressRoute ゲートウェイ) が想定どおりに機能しなくなる可能性があります。 ネットワーク セキュリティ グループの詳細については、ネットワーク セキュリティ グループの概要に関するページを参照してください。
仮想ネットワーク ゲートウェイの制限事項とパフォーマンス
ゲートウェイ SKU による機能のサポート
次に示すのは、各ゲートウェイの種類でサポートされている機能と、各ゲートウェイ SKU でサポートされている ExpressRoute 回線の最大接続数の表です。
| ゲートウェイ SKU | VPN Gateway と ExpressRoute の共存 | FastPath | 回線接続の最大数 |
|---|---|---|---|
| Standard SKU/ERGw1Az | Yes | No | 4 |
| High Perf SKU/ERGw2Az | Yes | No | 8 |
| Ultra Performance SKU/ErGw3Az | Yes | Yes | 16 |
| ErGwScale (プレビュー) | Yes | はい - 最小スケール ユニットは 10 です | 4 - 最小スケール ユニットは 1 です 8 - 最小スケール ユニットは 2 です 16 - 最小スケール ユニットは 10 です |
Note
同じ仮想ネットワークに接続できる同じピアリングの場所からの ExpressRoute 回線の最大数は、すべてのゲートウェイに対して 4 です。
ゲートウェイ SKU の推定パフォーマンス
次の表に、さまざまな種類のゲートウェイ、それらの個別の制限事項、想定されるパフォーマンス メトリックの概要を示します。
サポートされる上限
この表は、Azure Resource Manager とクラシック デプロイ モデルの両方に適用されます。
| ゲートウェイ SKU | 1 秒あたりのメガビット数 | 1 秒あたりのパケット数 | Virtual Network 1 でサポートされている VM の数 | フロー数の制限 | ゲートウェイによって学習されるルートの数 |
|---|---|---|---|---|---|
| Standard/ERGw1Az | 1,000 | 100,000 | 2,000 | 200,000 | 4,000 |
| ハイパフォーマンス/ERGw2Az | 2,000 | 200,000 | 4,500 | 400,000 | 9,500 |
| Ultra Performance/ErGw3Az | 10,000 | 1,000,000 | 11,000 | 1,000,000 | 9,500 |
| ErGwScale (スケール ユニット 1 から 10 ごと) | スケール ユニットあたり 1,000 | スケール ユニットあたり 100,000 | スケール ユニットあたり 2,000 | スケール ユニットあたり 100,000 | ゲートウェイあたり合計 9,500 |
| ErGwScale (スケール ユニット 11 から 40 ごと) | スケール ユニットあたり 1,000 | スケール ユニットあたり 200,000 | スケール ユニットあたり 1,000 | スケール ユニットあたり 100,000 | ゲートウェイあたり合計 9,500 |
1 表の値は推定値であり、ゲートウェイでの CPU 使用率によって異なります。 CPU の使用率が高く、VM の数がサポート範囲を超えると、ゲートウェイはパケットのドロップを開始します。
Note
ExpressRoute は、仮想ネットワーク アドレス空間、オンプレミス ネットワーク、関連するすべての仮想ネットワーク ピアリング接続にまたがる、最大 11,000 件のルーティングを支援します。 ExpressRoute 接続の安定性を確保するには、11,000 件を超えるルーティングを ExpressRoute にアドバタイズしないようにします。 ゲートウェイによってアドバタイズされるルートの最大数は 1,000 ルートです。
Important
- アプリケーションのパフォーマンスは、エンド ツー エンドの待ち時間や、アプリケーションが開くトラフィック フローの数など、複数の要因によって異なります。 テーブルの数値は、アプリケーションが理想的な環境で理論上達成できる上限を表しています。 さらに、サービスの信頼性を維持するため、ExpressRoute 仮想ネットワーク ゲートウェイではホストと OS のメンテナンスが定期的に行われます。 メンテナンス期間中は、ゲートウェイのコントロール プレーンとデータ パスの容量が減ります。
- メンテナンス期間中は、プライベート エンドポイント リソースへの接続の問題が断続的に発生する可能性があります。
- ExpressRoute でサポートされている TCP と UDP の最大パケット サイズは 1,400 バイトです。 フラグメント化されたパケットは、ExpressRoute ゲートウェイではサポートされていません。 IP の断片化を防ぐために、アプリケーションを調整してください。 IP 断片化のサポートが必要な場合は、 ExpressRoute FastPath 機能を有効にして ExpressRoute ゲートウェイをバイパスします。
- Azure Route Server では、最大 4,000 の VM をサポートできます。 この制限には、ピアリングされた仮想ネットワーク内の VM が含まれます。 詳細については、Azure Route Server の制限に関する記事を参照してください。
- 上の表の値は、各ゲートウェイ SKU での制限を表しています。
自動的に割り当てられるパブリック IP
自動割り当てパブリック IP 機能を使用すると、Microsoft が必要なパブリック IP アドレスをユーザーに代わって管理できるようにすることで、ExpressRoute ゲートウェイのデプロイが簡素化されます。 PowerShell/CLI では、ゲートウェイ用に別のパブリック IP リソースを作成または管理する必要がなくなりました。
自動割り当てパブリック IP が有効になっていると、ExpressRoute ゲートウェイの [概要] ページにパブリック IP アドレス フィールドが表示されなくなります。これは、ゲートウェイのパブリック IP が Microsoft によって自動的にプロビジョニングおよび管理されていることを意味します。
主な利点:
- セキュリティの強化: パブリック IP は Microsoft によって内部的に管理され、公開されないため、開いている管理ポートに関連するリスクが軽減されます。
- 複雑さの軽減: パブリック IP リソースをプロビジョニングまたは管理する必要はありません。
- 合理化されたデプロイ: Azure PowerShell と CLI は、ゲートウェイの作成時にパブリック IP の入力を求めなくなりました。
しくみ:
ExpressRoute ゲートウェイを作成すると、Microsoft はセキュリティで保護されたバックエンド サブスクリプション内のパブリック IP アドレスを自動的にプロビジョニングおよび管理します。 この IP はゲートウェイ リソース内にカプセル化されているため、Microsoft はデータ レート制限などのポリシーを適用し、監査可能性を高めることができます。
Availability:
自動割り当てパブリック IP は、Virtual WAN (vWAN) または拡張ゾーンのデプロイでは使用できません。
VNet から VNet および VNet から Virtual WAN への接続
既定では、すべてのゲートウェイ SKU で ExpressRoute 回線を介した VNet から VNet と VNet から Virtual WAN への接続は無効になっています。 この接続を有効にするには、このトラフィックを許可するように ExpressRoute 仮想ネットワーク ゲートウェイを構成する必要があります。 詳細については、ExpressRoute 経由の仮想ネットワーク接続に関するガイダンスを参照してください。 このトラフィックを有効にする方法については、ExpressRoute 経由での VNet から VNet または VNet から Virtual WAN への接続の有効化に関する記事をご覧ください。
FastPath
ExpressRoute 仮想ネットワーク ゲートウェイは、ネットワーク ルートを交換し、ネットワーク トラフィックをルーティングするように設計されています。 FastPath の目的は、お使いのオンプレミス ネットワークと仮想ネットワークの間のデータ パスのパフォーマンスを向上させることです。 FastPath が有効になっていると、ネットワーク トラフィックは仮想ネットワーク内の仮想マシンに直接送信され、ゲートウェイはバイパスされます。
制限や要件を含む FastPath の詳細については、FastPath の概要に関するページを参照してください。
プライベート エンドポイントへの接続
ExpressRoute 仮想ネットワーク ゲートウェイは、仮想ネットワーク ゲートウェイと同じ仮想ネットワークに、また仮想ネットワークのピアを横断してデプロイされたプライベート エンドポイントへの接続を容易にします。
Important
- プライベート エンドポイント リソースへの接続のスループットとコントロール プレーン容量は、プライベート エンドポイント以外のリソースへの接続と比べて、半分に減る可能性があります。
- メンテナンス期間中は、プライベート エンドポイント リソースへの接続の問題が断続的に発生する可能性があります。
- ユーザーは、メンテナンス イベントがない限り、IP 5 タプルの転送のパケットが単一のネクスト ホップ (Microsoft Enterprise Edge ルーター) を使うように、オンプレミスの構成 (ルーターやファイアウォールの設定など) が正しく構成する必要があります。 オンプレミスのファイアウォールまたはルーターの構成のために、同じ IP 5 タプルがネクスト ホップを頻繁に切り替える場合、接続の問題が発生します。
- プライベート エンドポイントがデプロイされているサブネットに対して、ネットワーク ポリシー (少なくとも UDR のサポートに関して) が有効になっていることを確認してください
プライベート エンドポイント接続と計画済みメンテナンス イベント
プライベート エンドポイント接続はステートフルです。 ExpressRoute プライベート ピアリング経由でプライベート エンドポイントへの接続が確立されると、インバウンドとアウトバウンドの接続は、ゲートウェイ インフラストラクチャのバックエンド インスタンスの 1 つを通してルーティングされます。 メンテナンス イベント中に、仮想ネットワーク ゲートウェイ インフラストラクチャのバックエンド インスタンスが一度に 1 つずつ再起動されるため、接続の問題が断続的に発生する可能性があります。
メンテナンス アクティビティ中にプライベート エンドポイントとの接続の問題を回避するか、最小限に抑えるため、オンプレミス アプリケーションで TCP タイムアウトの値を 15 秒から 30 秒の間に設定することをお勧めします。 アプリケーションの要件に基づいて、最適な値をテストして構成します。
REST API および PowerShell コマンドレット
仮想ネットワーク ゲートウェイの構成に REST API と PowerShell コマンドレットを使っている場合、他のテクニカル リソースや特定の構文の要件については、次のページをご覧ください。
| Classic | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
VNet 間接続
既定では、複数の仮想ネットワークを同じ ExpressRoute 回線にリンクすると、仮想ネットワーク間の接続が有効になります。 仮想ネットワーク間の通信には ExpressRoute 回線を使わないことをお勧めします。 代わりに、仮想ネットワーク ピアリングを使うことをお勧めします。 VNet 間接続に ExpressRoute が推奨されない理由について詳しくは、「ExpressRoute 経由の仮想ネットワーク間の接続」をご覧ください。
仮想ネットワーク ピアリング
ExpressRoute ゲートウェイのある仮想ネットワークは、最大 500 の他の仮想ネットワークと仮想ネットワーク ピアリングを確立できます。 ExpressRoute ゲートウェイのない仮想ネットワーク ピアリングでは、これよりもピアリングの制限が高くなる可能性があります。
関連コンテンツ
使用可能な接続構成の詳細については、「ExpressRoute の概要」を参照してください。
ExpressRoute ゲートウェイの作成の詳細については、ExpressRoute 用の仮想ネットワーク ゲートウェイの作成に関するページを参照してください。
ErGwScale のデプロイ方法について詳しくは、「Azure portal を使用して ExpressRoute の仮想ネットワーク ゲートウェイを構成する」をご覧ください。
ゾーン冗長ゲートウェイの構成の詳細については、ゾーン冗長仮想ネットワーク ゲートウェイの作成に関するページを参照してください。
FastPath の詳細については、FastPath の概要に関するページを参照してください。