Azure仮想ネットワークゲートウェイ（VPN Gateway）の接続構成や価格を徹底解説

マイクロソフト社のトータルクラウドコンピューティングサービス「Azure（Microsoft Azure）」では、実に200種以上もの様々なサービスが提供されていますが、その中には仮想ネットワーク間やオンプレミスを安全に接続するための「Azure仮想ネットワークゲートウェイ」もあります。昨今の働き方改革推進、リモートワークといったニーズに伴って、仮想ネットワークゲートウェイの構築を検討されている方も多いのではないでしょうか。

本記事では導入検討されている方へ向けて、Azure仮想ネットワークゲートウェイの複数の接続構成パターンや導入メリット、料金体系などについて詳しく解説します。

Azure仮想ネットワークゲートウェイは、2023年9月現在「Azure VPN Gateway」という名称でマイクロソフト社から提供されています。
本記事では、サービス名の意味合いをわかりやすくするために、「Azure仮想ネットワークゲートウェイ」と称して以降もご紹介します。
当サービスの概要を把握するために、そもそもゲートウェイとは何か、そしてAzure仮想ネットワークゲートウェイとはどのようなサービスか、Azure全体では他にどのようなサービスがあるか、という内容で順に解説します。

gatewayという英単語は“玄関口”“入り口”といった意味を持つ言葉ですが、IT業界において「ゲートウェイ」というと、以下のような役割を持つ機器、あるいはプログラムを指します。

• ネットワークとネットワークの間の中継地点として動作する
• 異なるプロトコルで動作している2つ（以上）のネットワークを橋渡しする
• 中継する際に、プロトコルを中継先のプロトコルへ変換する

なお「プロトコル」とは、コンピューター機器の間でデータをやりとりするために定められている規格です。

プロトコルには通信目的に応じて様々な種類があり、例に挙げるとTCP/IP、HTTP、POP、SMTPなどがあります。それぞれのプロトコルにおいて、通信する際の送受信の手順・流れや、信号の電気的な規則などが決められています。例えば2つのコンピューター（サーバーとPCなど）が「メール」のやりとりをする際には、メール送受信のためにあらかじめ定められているPOPやSMTPというプロトコルに沿って両者がやりとりを行うため、行き違いや手順間違いなどなしに、きちんとメールのやりとりが完結できるというわけです。

ゲートウェイはネットワークとネットワークの間に位置して双方からの通信を中継する際に、中継元のネットワークのプロトコルを、中継先のネットワークのプロトコルへ変換してくれます。

以上が「ゲートウェイ」の基本的な概念となります。インターネットを取り巻く環境や、使用される機器、通信用途などが多様化している現代では、同じ「ゲートウェイ」と呼ばれる機器（あるいはプログラム）の中でも様々な役割を持っているものが存在します。

以下はその一例です。

• 光回線で流れている光信号と、家庭内や企業内で使用するデジタル信号とを相互変換するホームゲートウェイ
• IP電話利用時に、電話回線の音声信号とインターネット上のデジタル信号とを相互変換するVoIPゲートウェイ
• 社内LANとインターネットを中継する際にプライベートIPアドレスからグローバルIPアドレスへの変換を行い、かつフィルタリングや暗号化などのセキュリティ機能も備えて、企業が安全にインターネットを使える環境を実現するインターネットゲートウェイ

なお、ゲートウェイとよく定義を混同されがちな言葉に「ルーター」がありますが、ルーターは基本的にネットワーク間のIPアドレス変換、および橋渡し、ルーティングの道筋の決定などを行う機器を指す言葉です。

様々な種類がある「ゲートウェイ」の一種として「ルーター」がある、と覚えておきましょう。

Azure仮想ネットワークゲートウェイでは、クラウドサービスとして仮想ネットワークゲートウェイが提供されています。

企業がAzureの各サービス（つまりクラウド上の各サービス）を安全に活用できるように、パブリックネットワーク経由で仮想ネットワーク間や仮想ネットワークとオンプレミスの間の通信を暗号化してくれる仕組みです。

また、同一のAzure仮想ネットワークゲートウェイのなかで、さらに複数の接続を仮想的に実現可能です。この場合には、Azure仮想ネットワークゲートウェイ内のそれぞれの接続もまた、安全な通信環境となります。

そもそもマイクロソフト社のAzureは、200を超える製品やサービスをクラウド上で使えるようにしたクラウドプラットフォームです。そのひとつのサービスとして、仮想ネットワークゲートウェイが提供される仕組みになります。

ちなみにAzureで利用できるその他のサービスには、 コンピューティング、AI（人工知能）、IoT（モノのインターネット）、インフラ、セキュリティ、アプリ作成など多様なジャンルがあります。

Azureの導入で実現できることについては、こちらの記事もぜひ、あわせてご覧ください。
▼Azureとはどのようなサービス？ 初心者でもわかる基本から運用のメリットまで徹底解説

Azure仮想ネットワークゲートウェイを利用すると、以下に挙げるような接続構成を構築可能です。
それぞれの接続構成の特徴を正しく理解した上で、自社の目的に応じて適切なものを選択することが重要です。順に解説します。

おもに、オンプレミス環境とVNetとの接続の際に使われる構成です。

「VNet（Azure Virtual Network）」とは、Azureでネットワークを相互接続する際の、基盤となる部分の名称です。例えばAzure上で作成した仮想マシン、仮想サーバーなども、このVNetを介して他の仮想マシンや、外部のオンプレミス環境へと接続されます。

「サイト間VPN（S2S）」という接続構成では、IPsec/IKE（IKEv1またはIKEv2）という暗号化プロトコルが用いられ、VPNトンネルを経由した上で安全な接続が実現します。
この接続構成では、オンプレミスとクラウドのハイブリッド運用、いわゆるクロスプレミスに対応できるため、双方の環境下のデータ状況などを一括管理することも容易です。

なお、サイト間VPN（S2S）での接続構成では、用途や目的に応じてさらに「マルチサイト接続」「ExpressRouteとの共存接続」という2つの異なった方法で接続することも可能です。

これらについては、ここでは簡単にご紹介しておきます。

• マルチサイト接続
  Azure上の仮想ネットワークに、複数のオンプレミスサイトを接続します。
  例えば、社外の複数のデータセンターと接続する場合や、本社と支社間で安全なネットワーク環境を共有する場合などに利用できます。
• ExpressRouteとの共存接続
  さらに高度なセキュリティでサイト間VPNを構築したい場合には、サイト間VPN（S2S）とExpressRouteとの共存接続を行うことによって、パブリックインターネットを介さずにWANからAzureへ、直接接続（プライベート接続）できます。

Azure上の仮想ネットワークを、同じAzure上の別の仮想ネットワークと相互接続する際に利用される構成です。
また、それぞれの利用者のコンピューター（クライアントコンピューター）からセキュリティが確保された状態での接続がAzureへ行われるため、例えばリモートワークなどで社外から社内ネットワークへ安全にアクセスしたい場合にも用いられます。

異なるVNet（Azure上のネットワーク基盤）の間で相互接続をする際に使われる構成です。

IPsec/IKEを用いた、高度な安全性でのネットワークを確保できます。

こちらも前述の「IPsec/IKE VPNトンネル」と同様にVNet間の接続に用いられる構成です。
ローカルネットワークゲートウェイが自動的に作成されることが特長です。

仮想ネットワークを構築する上では、ゲートウェイの冗長性の確保、トラブルやメンテナンスに備えた二重化も重要な要素となります。

Azure仮想ネットワークゲートウェイは「アクティブ」「スタンバイ」構成の2種のインスタンスから構成されています。例えばアクティブとなっているインスタンスにおいてメンテナンスや、想定外のトラブルによる中断などが発生した場合には、スタンバイのインスタンスへ自動的に内容が引き継がれ、VPN接続が再開される仕組みとなっています。

この際、計画的なメンテナンスであった場合は10～15秒ほどですぐに接続が復元されますが、想定外の突発的な中断が発生した場合には、接続復旧までに時間を要する場合があります。

想定外のトラブル時にもなるべく接続を即時復旧させたいという場合には、以下のような対策をとる必要があります。

1. オンプレ環境にVPNデバイスを複数用意しておく
2. 仮想ネットワークゲートウェイを「アクティブ/アクティブ構成」にする
3. 上記1と2を接続する

Azure仮想ネットワークゲートウェイでは、万が一の障害発生、災害発生などに備えて「可用性ゾーン（Availability Zones）」という仕組みが導入されています。

Azureサービスにおいては、「リージョン（データセンターが設置されている物理的な場所）」がひとつのサービスにつき複数提供されています。それぞれのリージョンにおいてネットワーク、電源や冷却手段などが独立しているため、障害や不測の災害などが発生した場合にも、稼働しているアプリケーションやデータを保護可能です。

Azure仮想ネットワークゲートウェイには、以下に紹介する6つの料金プラン、およびデータ転送量に対する追加課金があります。
それぞれを簡単にご紹介します。
※以下でご紹介する金額はすべて、2023年9月1日時点でのアメリカドル/日本円換算を基にした参考金額です。詳細はMicrosoft公式サイトでご確認ください。

帯域幅100Mbps、S2Sトンネルの最大数が10、P2Sトンネルの最大数が128となるプランです。
利用時間をベースとした従量課金となり、料金目安は1時間あたり「5.27円」です。

帯域幅650Mbps、S2Sトンネルの最大数が30、P2Sトンネルの最大数が250となるプランです。
利用時間をベースとした従量課金となり、料金目安は1時間あたり「27.81円」です。

帯域幅1Gbps、S2Sトンネルの最大数が30、P2Sトンネルの最大数が500となるプランです。
利用時間をベースとした従量課金となり、料金目安は1時間あたり「71.70円」です。

帯域幅1.25Gbps、S2Sトンネルの最大数が30、P2Sトンネルの最大数が1,000となるプランです。
利用時間をベースとした従量課金となり、料金目安は1時間あたり「182.90円」です。

帯域幅5Gbps、S2Sトンネルの最大数が30、P2Sトンネルの最大数が5,000となるプランです。
利用時間をベースとした従量課金となり、料金目安は1時間あたり「307.28円」です。

帯域幅10Gbps、S2Sトンネルの最大数が30、P2Sトンネルの最大数が10,000となるプランです。
利用時間をベースとした従量課金となり、料金目安は1時間あたり「534.07円」です。

前述までの時間単位の仮想ネットワークゲートウェイ利用料とは別に、データ転送量に応じた課金があります。

受信（仮想ネットワーク間に入ってくるデータ）については課金対象となりませんが、送信（仮想ネットワーク間から出ていくデータ）については3種の「ゾーン（地域区別）」で設定されている金額で課金されます。ゾーンごとの金額目安としては下記となります。

• ゾーン1（1GBあたり5.12円）
  米国西部、米国東部、米国中北部、米国中南部、西ヨーロッパ、北ヨーロッパ、フランス中部、フランス南部
• ゾーン2（1GBあたり13.17円）
  アジア太平洋東部、アジア太平洋南東部、東日本、西日本、インド南部、インド西部、インド中部
• ゾーン3（1GBあたり23.41円）
  ブラジル南部

Microsoft Azure全般の見積もりについては、こちらの記事もぜひあわせてご参考にしてください。
▼Microsoft Azureの利用料金を事前に見積もりする方法は？

仮想ネットワークゲートウェイをはじめとした、Azureの各サービスを導入する際にはプランや機能の選定に一定以上の知識・スキルが必要となります。
また運用時にも、現在の運用方法が果たして自社に最適な運用となっているのか、無駄なコストがかかってしまっていないかなどご不安な場合もあるでしょう。

テクバンでは、Azureの導入支援ソリューションを提供しております。
長年にわたる様々なお客様への導入支援実績に基づき、状況やニーズにあわせた最適なご提案、伴走支援を行っておりますので、Azure導入に課題を感じられた場合や、詳しい情報を知りたいという場合にはぜひお気軽にご相談ください。

また、Azureとよく比較検討されるクラウドコンピューティング「AWS（Amazon Web Services）」「OCI（Oracle Cloud Infrastructure）」も含めた詳しい解説についてはこちらの参考資料もぜひご覧ください。
失敗しないパブリッククラウドの選び方。AWS/Azure/OCIの3つを徹底比較

マイクロソフト社のクラウドコンピューティングサービス「Azure」において、仮想ネットワーク間や、オンプレミスと仮想ネットワークを安全に接続するための「Azure仮想ネットワークゲートウェイ」について概要や接続構成、料金体系などを解説しました。
本記事の内容を参考に、ぜひ自社のニーズに合った導入を実現してください。
導入の効果を最大限に得るためには、事前の慎重な仕様検討・プラン選びなどが重要です。
お困りのことがありましたら、お気軽にテクバンまでご相談ください。