Microsoft Azure への接続方法を比較する

人気のクラウド サービス プロバイダーへ接続するには複数の方法がありますが、貴社にはどれが適しているでしょうか。

Microsoft Azure とその最適な接続方法を知りたいとお考えですか。Azure は、カスタマイズされた拡張性の高いクラウドベースのパッケージを提供するハイブリッド型のクラウド サービス プロバイダー (CSP) です。これらのパッケージには、サブスクリプションベースのソフトウェア ライセンスと配信に基づく Software as a Service (SaaS)、企業がアプリケーションを開発、構築、管理、更新できる Platform as a Service (PaaS)、ハイレベルなアプリケーション プログラミング インターフェイス (API) を提供する Infrastructure as a Service (IaaS) が含まれます。

多国籍企業でも小規模な新規事業でも、ニーズに合う Azure のサービス プランを選択することができます。企業では、このようなサービスを、人工知能 (AI) を活用した数値計算や分析、仮想デスクトップ ネットワーク、モノのインターネット (IoT) との統合、ストレージ/検索などに利用しています。

Microsoft Azure で到達できるサービスはたくさんありますが、クラウド外からこのようなサービスと通信するにはどうすればよいでしょうか。

Azure 接続の概要

ExpressRoute と ExpressRoute Direct は、パブリック インターネットを迂回するため、金融機関や政府機関にとって魅力的な選択肢となっています。VPN 接続は、パブリック インターネット上での暗号化されたトラフィックを促進することで、Microsoft Cloud へ接続する方法としても人気があります。

Azure Virtual WAN (ワイド エリア ネットワーク) は、ハブ アンド スポーク アーキテクチャを使用して Microsoft のグローバル ネットワークに接続し、ブランチ接続を自動化し、広大なスケールでルーティングを最適化します。

複数の方式を併用する接続のシナリオは多数あり、Azure Virtual WAN に到達するための 2 つの選択肢として、ExpressRoute と VPN Gateway があることは注目に値します。

次のステップを踏み出し、Microsoft Azure ExpressRoute と AWS Direct Connect を接続しましょう。

Microsoft ExpressRoute とは

ExpressRoute は、企業と Microsoft のデータ センターを、次のようなプライベート接続でつなぎます。

(a) クラウド エクスチェンジ コロケーション 
(b) Any-to-Any IP VPN (通常は MPLS)、または 
(c) ポイントツーポイント イーサネット ネットワーク。

接続の安全性は、サードパーティ接続プロバイダーの仮想クロスコネクト ソフトウェアを使って、オンプレミスのネットワークまたはコロケーション施設で確保されます。

同じ ExpressRoute を使用して、プライベート ピアリングで仮想ネットワークにデータをプライベートで渡したり、Microsoft Peering で Microsoft のパブリック サービスにアクセスすることができます。すべての ExpressRoute にはプライマリ接続とセカンダリ接続が付属しますが、両方を使用するかどうかはユーザーの判断に委ねられます。ExpressRoute でプロビジョニングされたデータ速度により、プライマリおよびセカンダリ インターフェイスの両方で完全なデータ速度機能を実現します。Microsoft ExpressRoute SLA を受信するには、両方を有効にしておく必要があります。

当社のブログで、Microsoft Azure ExpressRoute の価格設定に関する詳細をご覧ください。

ExpressRout のメリットとは

パブリック インターネットを迂回する専用データは、より高い帯域幅と信頼性、そしてより低く安定したレイテンシで移動します。ExpressRoute はプライベート接続で、データがインターネットに触れることがないため、セキュリティは大幅に強化されます。また、一部の企業は、インターネットと比較して、エグレス データ コストが大幅に低いため、コスト削減が可能であると報告しています。

Microsoft の説明にあるように、ExpressRoute は、特に以下のような機能を提供します。

• 接続プロバイダーを介したオンプレミスと Microsoft クラウド間のレイヤー 3 接続
• 地政学的領域内の全リージョン、または ExpressRoute プレミアム アドオンにより全世界のリージョンにまたがる Microsoft クラウド サービスへの接続。
• BGP を介した企業ネットワークと Microsoft 間の動的ルーティング
• すべてのピアリング ロケーションで ExpressRoute の冗長性を構築し、高い信頼性を実現
• ExpressRoute 接続のアップタイム SLA
• 50 Mbps から 10 Gbps まで拡張可能なデータ速度。

ExpressRoute を使ったオンボーディング

企業は、ExpressRoute 通信事業者パートナーを通じて、Microsoft とピアリングします。ExpressRoute 回線を注文すると、接続プロバイダーが利用者のネットワークを ExpressRoute ロケーションまたはピアリング ロケーションに拡張します。ExpressRoute ロケーションは、Microsoft Enterprise Edge のデバイスをホストするコロケーション施設です。

プライベートな ExpressRoute 上でデータを暗号化するオプションもあります。暗号化された ExpressRoute プライベート接続を使用することで、利用者のデータは Azure VNets に、(Microsoft が述べているように) 「機密性、アンチリプレイ、信頼性、整合性」を備えたアクセスができます。データは、利用者のネットワークから Azure VNets まで、サイト間 IPsec/IKE VPN トンネルで転送され、Microsoft ネットワークに相互接続されます。プロトコルは、仮想ローカル エリアネット ワーク (VLAN) または MPLS 上で直接行われます。

ExpressRoute パートナーを利用したくない企業は、地域の通信事業者を選択し、物理的なイーサネット接続を介して接続することができます。データは、サポートされている Exchange プロバイダーを経由して、ExpressRoute Direct で Microsoft とピアリングします。

Microsoft ExpressRoute Direct とは

ExpressRoute Direct を利用することで、Microsoft Cloud の利用者は世界中に分散するグローバル ピアリング ロケーションで接続し、Microsoft のグローバル ネットワークに直接アクセスすることができます。接続インターフェイスは 10Gbps または 100Gbps で、インターフェイスのデータ速度までであれば、さまざまな回線 SKU オプションが利用可能です。これは通常、利用者のラックから直接 Microsoft の ExpressRoute Direct インターフェイスに接続する 2 つのクロスコネクトを注文することを意味します。詳細については、Microsoft ExpressRoute Direct をご覧ください。

画像提供: Microsoft出典: https://docs.microsoft.com/en-us/azure/expressroute/expressroute-connectivity-models>

ExpressRoute Direct のメリットとは

Azure ExpressRoute と同様に、ExpressRoute Direct は、遅延の低減、帯域幅の増加、低レイテンシを実現し、クライアントに 100 Gbps または 10 Gbps のデュアル接続をもたらします。さらに、企業の IT チームはアクティブ/アクティブ モードの接続を大規模に利用できるため、必要に応じてピアリング トラフィックを管理することができます。

銀行、政府機関、小売業などの規制の厳しい業界では、専用の分離された接続が必要な場合があります。ExpressRoute Direct (および Azure ExpressRoute 全般) では、必要とされる物理的な分離を提供しています。大規模小売店、政府機関、グローバル メーカーなど、膨大な量のデータを生成するクライアントは、ExpressRoute Direct を利用して、膨大なデータベースとストレージのニーズを管理しています。

ExpressRoute Direct は高額になる可能性があるため、利用する前にコストについて確認することをお勧めします。現在、100 Gbps の ER Direct ポート 1 対のコストは月額 5 万ドル以上となっています。

ExpressRoute のピアリング ロケーションと Azure リージョン

ExpressRoute を構築する際、ExpressRoute のピアリング ロケーションとホーム リージョンを選択する必要があります。ピアリング ロケーションは、Microsoft との パートナー NNI の実際のオンランプ ロケーションになります。ほとんどの場合、リージョンをピアリング ロケーションと同じにする必要はありません。

また、SKU のタイプを Local、Standard、Premium から選択する必要があります。ExpressRoute の Local 回線 SKU では、ピアリング サイトと同じ大都市圏にある Azure リージョンのリソースに接続することができます。Standard SKU では、ExpressRoute の地政学的領域内のすべての Azure リージョンに接続することが可能です。ExpressRoute の地政学的領域外のリージョンと接続する必要がある場合は、ExpressRoute Premium SKU 回線を構成する必要があります。Premium SKU を使用すると、すべての Azure リージョンでグローバルにリソースにアクセスできるようになります (Microsoft のよくある質問の以下の図を参照)。

ExpressRoute の Standard 回線では最大 10、Premium 回線では最大 100 の仮想ネットワークを接続することができます。

画像提供: Microsoft出典: https://medium.com/awesome-azure/azure-difference-between-azure-expressroute-and-azure-vpn-gateway-comparison-azure-hybrid-connectivity-5f7ce02044f3>

VPN ゲートウェイとは

ExpressRoute または ExpressRoute Direct を使用しない場合は、Azure VPN ゲートウェイを選択することができます。これは、オンプレミス デバイスの暗号化データをパブリック インターネット経由で Azure の仮想ネットワークに送信する Virtual Network ゲートウェイの一種です。データは、図の下段に示すように、プライベート トンネルで暗号化されています。Azure VPN ゲートウェイでは、ExpressRoute で提供される暗号化オプションと同様に、IT スタッフがデータやその他の資産にアクセスできるユーザーを制御することができます。

Azure VPN のメリットとは

VPN ゲートウェイは、通常、サイト間またはポイント対サイトの 2 種類の VPN のいずれかを使って Azure に接続するために使用されます。各タイプは、スループット、ルーティング、耐障害性、ユース ケース、価格設定の特徴が異なるため、それらを考慮してニーズに合ったものを選択する必要があります。

VPN ゲートウェイは、構築の速さ、場所を問わないシームレスなアクセシビリティ、暗号化されたトラフィック、そして使いやすさから非常に人気があります。

その他の機能には、次のようなものがあります。

• ユーザーは、ノートパソコン、タブレット、携帯電話、IoT などのデバイスを使い、サイト間またはポイント対サイトで VPN ゲートウェイにリモート アクセスできる
• 支払いは VPN ゲートウェイのサイズとエグレス データの送信量に基づく
• 帯域幅は最大 10 Gpbs
• ゲートウェイは簡単に設定できる
• スケーラビリティと耐障害性

Azure のレイテンシに問題がありますか。当社のアドバイスを参考に、問題を減らしましょう。

Azure Virtual WAN とは

Azure は Azure Virtual WAN を通じて単一のインターフェイスを提供しており、ネットワーク、セキュリティ、ルーティングはハブ アンド スポーク アーキテクチャを介して行われます。セットアップや構成も自動化され、バックグラウンドで更新されます。ExpressRoute と VPN 接続の 2 つの方法を Virtual WAN と組み合わせることで、Microsoft Azure 外からアクセスできるようになります。

画像提供: Microsoft出典: https://docs.microsoft.com/en-us/azure/virtual-wan/virtual-wan-about

Azure Virtual WAN のメリットとは

Virtual WAN のハブ アンド スポーク アーキテクチャにより、クラウドの宛先やサービスへの接続方法を多様化することができます。Microsoft は、以下のようなメリットを挙げています。

• ブランチ接続 (SD-WAN や VPN CPE など、Virtual WAN パートナー デバイスからの接続自動化経由)
• サイト間 VPN 接続
• リモートユーザーVPN 接続 (ポイント対サイト)
• プライベート接続 (ExpressRoute)
• イントラクラウド接続 (仮想ネットワークへの推移的な接続)
• VPN ExpressRoute 相互接続
• ルーティング、Azure Firewall、暗号化により、プライベートな接続を実現。

どの Azure 接続オプションが最適か

ヘルスケア業界、金融サービス、政府機関、小売企業、製造業などは、それぞれのニーズに応じて Azure のサービスを利用しています。Azure は、ハイブリッド クラウド、AI、IoT、複合現実を提供し、迅速な拡張、セキュリティの向上、ソフトウェアの即時アップデートをもたらします。政府機関では、Azure を利用して、コンプライアンス基準の遵守や高速接続によるコスト削減を実現しています。グローバルに事業を展開する業界では、労働力を結集して膨大なデータの分析が可能になります。

Azure クラウドサービスとの通信は、プライベート接続とパブリック接続の間で微調整できます。ユーザーは Microsoft の接続パートナーを介してオンプレミスの機器をプライベート接続したり、VPN を介してインターネットに接続したりすることができます。セキュリティのニーズやデータの流れ、産業部門か公的機関かによって、最適な接続は変わってきます。

ExpressRoute と ExpressRoute Direct のどちらを選択するか

ExpressRoute は 10 Gbps までのデータを管理しますが、Direct があれば 10 倍の 100 Gps まで増やすことができます。高速、低レイテンシ、高信頼性を必要とする政府機関や企業にとっては、両方の ExpressRoute プロダクトを検討する必要があります。ExpressRoute と ExpressRoute Direct は、すべての Azure サービスにアクセスでき、プライベートの高速ルートにアクセスするため、VPN よりも高額になる傾向があります。データ速度の高いユーザーの場合は、低額のエグレス料金により ExpressRoute で元を取れるようなユース ケースもあります。

VPN ゲートウェイを選択する

IT 管理者は、オンプレミスのハードウェアとクラウド間のトラフィックが少ない可能性が高いハイブリッド アプリケーション向けに VPN ゲートウェイを検討すべきです。ただし、大量のデータ転送には推奨できません。レイテンシが若干高まる代償として、企業は Azure の柔軟性を享受し、Azure のすべてのサービスを利用することができます。また、コンプライアンスやインターネット上でのデータの受け渡しに制約がある組織には向いていません。特に試作や製品開発を行う小規模な組織は、VPN を高く評価しています。

Azure Virtual WAN を選択する

より高度なオプションを必要とし、グローバルに展開するクライアントには、Virtual WAN が適している場合があります。多国籍企業の支店、IoT デバイス (POS など)、仮想デスクトップなどを連携できるからです。パートナー、OpenVPN クライアント、ExpressRoute インターフェイスを通じて、データ接続の拡張、縮小、迂回をシームレスに行うことができます。

Azure で前進する

どのプランを選んでも、Azure には適応性があります。選択肢の多さに圧倒されるかもしれません。しかし、データ保護、速度、信頼性の重要なレベルを予算と照らし合わせて選別すれば、あるソリューションから始めて、後から変更することも可能です。

Megaport の Network as a Service (NaaS) ソリューションは、Azure やその他の大手クラウド プロバイダー、データ センター事業者、システム インテグレーター、マネージド サービス プロバイダーとの高速で柔軟かつ安全な接続を可能にします。

当社の Software Defined Network (SDN) は、使いやすいポータルやオープン API を介して、企業が迅速かつ安全に自社のネットワークをサービスに接続できるよう支援し、従来のネットワーキング ソリューションと比較して運用コストを削減し、市場投入までの時間を短縮します。詳細については、当社のソリューション アーキテクトにご相談ください。