クラウド活用が一般化し、オンプレミス環境と Azure などのクラウド環境を安全に接続するために、 「クラウドVPN(Site-to-Site VPN / Point-to-Site VPN)」は欠かせない存在となりました。
特に Azure では「Azure VPN Gateway」を利用することで、オンプレネットワークとクラウドを簡潔かつ安全に接続できます。
本記事では、クラウドVPNの仕組み、Azure VPN Gateway の役割、オンプレとの接続方式、注意点まで実務目線で解説します。 構成例も含めて、Azure 導入時の設計に役立つ内容となっています。
1. クラウドVPNとは
クラウドVPNとは、クラウド環境とオンプレミス環境をインターネット経由の暗号化通信でつなぐ仕組みです。 VPN(Virtual Private Network)を利用することで、オンプレとクラウドをあたかも同一ネットワークであるかのように扱うことができます。
● クラウドVPNの主な特徴
- インターネット経由でも暗号化されて安全
- 専用線より安価で導入が容易
- 拠点追加に柔軟に対応できる
- 負荷分散・冗長化にも対応可能
Azure では「Azure VPN Gateway」を利用することで、これらの機能をクラウド側でまかなうことができます。
2. Azure VPN Gateway の役割
Azure VPN Gateway は、Azure 仮想ネットワーク(VNet)とオンプレミスネットワークを接続する「VPN 終端装置」の役割を持つマネージドサービスです。
● Azure VPN Gateway が提供する主な機能
- Site-to-Site VPN(拠点間VPN)
- Point-to-Site VPN(リモートVPN)
- VNet 間接続(VNet-to-VNet)
- BGPによる動的ルーティング
- 冗長化構成(Active-Active構成)
特にオンプレとの接続においては Site-to-Site VPN(S2S VPN) が最も一般的です。
3. クラウドVPNの構成パターン(Azure)
● (1) Site-to-Site VPN(拠点間VPN)
オンプレ側のVPN装置(Cisco / Fortinet / YAMAHA / SonicWall など)と Azure VPN Gateway を相互接続する方式です。
メリット
- 常時接続のため、クラウドを社内LANの一部として利用できる
- サーバ間通信・アプリケーション間通信に向いている
- 冗長構成に対応しやすい
デメリット
- オンプレ側に VPN 装置が必要
- 帯域は Azure VPN Gateway SKU に依存
● (2) Point-to-Site VPN(リモートVPN)
PC やリモート端末が直接 Azure VPN Gateway に接続する方式です。
- モバイルワーク・一時的な管理用途に最適
- クライアント証明書・Azure AD 認証に対応
本記事では S2S VPN にフォーカスします。
4. Azure VPN Gateway とオンプレ接続の基本仕組み
● VPNトンネルの確立プロセス
- Azure VPN Gateway とオンプレ VPN 装置の設定が一致する(事前共有キー / IKE方式)
- IKE ネゴシエーションが確立される
- IPsec トンネルが形成される
- オンプレ ⇔ Azure 間のルーティングが機能する
● 使用プロトコル
- IKEv2(推奨)
- IPsec ESP
Azure は IKEv1 もサポートするものの、IKEv2 が標準です。
5. 実務で使われる構成例(Azure × オンプレ)
▼ 構成イメージ
・オンプレ:Cisco / FortiGate / YAMAHA などの VPN ルータ
・Azure:Azure VPN Gateway(Gateway Subnet に配置)
[オンプレLAN] -- [VPN装置] ==IPsec VPN== [Azure VPN Gateway] -- [VNet]▼ 実際の構成ステップ
(1) Azure 側の準備
- VNet を作成(例:10.10.0.0/16)
- Gateway Subnet を作成(例:10.10.255.0/27)
- Public IP を作成
- Azure VPN Gateway を作成(SKU:VpnGw1など)
(2) オンプレ側の設定
- Azure VPN Gateway の Public IP を設定
- 事前共有キー(PSK)を設定
- トンネルの暗号方式(IKE / IPsec)を Azure に合わせる
- Azure VNet 宛の静的ルート or BGP を設定
(3) Azure Local Network Gateway の設定
オンプレ側のネットワーク情報(VPN装置の Public IP やルート情報)を Azure に登録します。
(4) 接続作成(Connection)
Azure VPN Gateway と Local Network Gateway を紐づけることで、VPN トンネルが確立されます。
6. Azure × オンプレVPNのルーティング設計(静的ルート / BGP)
● 静的ルート(一般的)
オンプレから Azure VNet へ静的ルートを設定します。
オンプレ → Azure:
- 10.10.0.0/16 → VPN トンネルへ
Azure → オンプレ:
- オンプレセグメント(例:192.168.0.0/24)を Local Network Gateway に定義
小規模環境では静的ルートが最もシンプルで安定しています。
● BGP(動的ルーティング)
BGP を使用することで、以下の利点があります。
- 経路追加が自動化される
- 複数トンネルでの冗長化が容易
- Active-Active 構成で本領発揮
Azure VPN Gateway には ASN(自律システム番号)を設定でき、オンプレ側 VPN 装置と動的に経路交換できます。
7. 代表的な構成:Active-Active VPN(冗長構成)
Azure VPN Gateway を Active-Active にすると、2つの Public IP が付与されます。
メリット:
- オンプレ側で2台の VPN 装置を使って冗長化
- Azure 側のゲートウェイ障害時にも継続利用可能
- BGP 併用で高速フェイルオーバー
8. 実務でよくあるトラブルと対処法
● (1) IKE / IPsec が確立しない
→ 暗号設定の不一致が99%の原因です。
- IkeV2 の設定値 mismatch(暗号・ハッシュ・DHグループ)
- PSK の不一致
- オンプレ側 NAT が干渉している
● (2) 片方向通信になる
→ 多くはルーティング設定の不足が原因。
- Azure → オンプレの経路設定漏れ
- オンプレ → Azure の静的ルート漏れ
● (3) Azure 側でサブネットが重複している
Azure は同一 VNet 内でのアドレス重複を許さないため、オンプレとアドレス設計が重複していると VPN が利用できません。
9. まとめ:Azure VPN Gateway は最も手軽にクラウド接続を実現できる手段
Azure VPN Gateway を使ったオンプレ接続は、クラウド導入時の標準的な構成となっています。
- 安価で導入しやすい
- 既存の VPN 装置と接続可能
- 静的ルートで簡易接続、BGP で大規模運用にも対応
- Active-Active で冗長化もできる
構成がシンプルである一方、特に「暗号設定の一致」や「ルーティング設計」は重要なポイントです。 本記事で紹介した構成の流れと注意点を押さえることで、安定したクラウド VPN を構築できるようになります。
