マルチクラウドでの運用に便利なAzure ExpressRouteとは？その全貌を紹介

はじめに

2020年代に入ってからの日本国内のクラウドサービスのシェア率はAWS(Amazon Web Services)、Microsoft Azure、GCP(Google Cloud Platform、現在はGoogle Cloudという名称に統合)が3強となっています。範囲を世界に広げてもここにAlibabaが加わってきますが、1位、2位がAWS、Microsoft Azureとなっている状況は変わりません。

それらクラウドサービスの中の一つであるMicrosoft Azureは、ご存知の通りWindowsも提供しているMicrosoftのクラウドサービスですが、同じMicrosoftの提供するWindowsOSは世界的に見てもOSのシェア率が依然として高い状況です。また、クラウドサービスはクラウド内で完結するシステム以外にも「マルチクラウド」としてクラウドとオンプレミスの両方が混在した状態でシステム運用を継続する場合もあります。クラウドへの移行の過程で一時的にマルチクラウド運用をしている場合もあるでしょう。

いずれにしてもそのような状況下では、オンプレミス環境との相性が良いサービスをクラウドサービスを選択することが重要となってきます。この記事では、世界的にもシェア率の高いOSのWindowsと相性の良いMicrosoft Azureにおける専用回線サービス「ExpressRoute」について紹介します。

マルチクラウド運用をするに当たってMicrosoft Azureとその他サービスを比較検討しているという方、すでにMicrosoft Azureを利用しているもののExpressRouteについて詳しく知りたいという方、専用回線での接続が必要なものの本当にExpressRouteが適しているのか不安という方はぜひご覧ください。

MicrosoftのクラウドサービスMicrosoft Azureについて

Microsoft Azureは主にIaaS、PaaSのといった形態のサービスを提供しているMicrosoftのクラウドサービス群で、2023年時点で250以上のサービスが利用できるようになっています。Microsoft AzureではMicrosoftの強力なバックボーンネットワークを利用できる他、オンプレミス環境とのマルチクラウド運用が可能、強固なセキュリティ対策がされた中でのシステム運用が可能というメリットをフル活用することができます。またもちろんクラウドサービスに共通する柔軟な拡張性や、機器類の購入や環境構築にかかる工数が不要となること、従量課金制であることによるコスト削減も実現可能です。

Microsoft Azureを利用する際は初めに無料アカウントを作成する必要がありますが、アカウントを作成することでAI、IoT、分析、コンピューティング、コンテナー、データベース、開発者ツール、マルチクラウド、ネットワーク、セキュリティといった分野の40種類以上のサービスを無料で利用できるようになります。また、Azureの「Azure Virtual Machines」「Azure SQL Database」「Azure App Service」といった人気のサービスも12カ月間無料で利用できる他、30日間USD200のクレジットが利用可能となります。

ここでMicrosoft Azureの主なサービスを3つに絞って紹介します。一つ目はIaaSの「Azure Virtual Machines」です。名称の通り仮想マシンサービスとなっており、WindowsやLinuxOSを利用してWebやデータベース等の様々なサーバーが構築できます。AWSでいう「Amazon EC2」、GCPでいう「Compute Engine」と似た機能を備えています。アプリケーション・ミドルウェアの実行環境、バックアップ環境、開発環境、テスト環境という利用方法も可能です。

二つ目はPaaSの「Azure App Service」です。Web・モバイルのアプリケーション開発環境として適しており、デプロイ、スケールが可能となっています。. NET、. NET Core、Java、Ruby、Node.js、PHP、Pythonと対応している言語が多く、OSもWindows、Linuxの両方に対応しています。環境構築にかかる工数を削減して開発に専念したい場合に適したサービスと言えます。

三つ目はサーバレスでコード(関数)の実行が可能な「Azure Functions」です。複数の並列処理が可能であり、拡張機能の「Durable Functions」を利用することでセッション情報を保持できるアプリケーションの構築も可能となります。初期状態でC#、Java、JavaScript、PowerShell、Pythonといった開発に使われることの多い言語の利用が可能なうえ、カスタムハンドラーを利用すればその他の言語にも対応できるという点も大きな特徴です。

今回は三つに絞りましたが、他にもリレーショナルデータベースの「Azure SQL Database」、マルチモデルデータベースの「Azure Cosmos DB」、ID管理サービスの「Azure Active Directory」、機械学習や深層学習が可能な「Azure Machine Learning」等のサービスが有名です。今回紹介する「ExpressRoute」は単体で利用することはなく、これらのAzureサービスと組み合わせて利用することとなります。

なお、Microsoft Azureでは「Azure Portal」という統合管理画面(コンソール)で様々な操作を行う方法が一般的となります。「Azure Portal」ではサービス管理、デプロイ管理、インシデント管理、分析管理、監視、診断管理等ができます。AWSのマネジメントコンソールや、GCPのGoogle Cloud コンソールと同様と思ってもらえれば間違いありません。しかし、どうしてもコマンドラインでの操作を行いたい場合は「Azure CLI」や「PowerShell」等で操作することもできます。

Azure ExpressRouteとは？

Azure ExpressRouteは、専用回線やWAN回線を利用して安全にMicrosoft Azureへ接続できる(閉域接続)サービスです。AWSの類似サービスとしては「AWS Direct Connect」が該当し、GCPでは「Google Cloud Interconnect」が該当するので、すでにそれらを利用したことがある方はイメージしやすいことでしょう。

誰もが利用できるパブリックなインターネット回線を介さずに接続できるため、オンプレミス環境、Microsoft Azure間の接続や、テレワーク環境の構築に適している他、災害等の緊急時に事業の継続、あるいは早急な回復ができるようにあらかじめ策定しておくBCP対策(事業継続計画)の一つとして活用することも可能です。

またExpressRouteには帯域が保証されていて通信遅延が発生しづらく高速通信が可能、ルーター間で冗長化がされているため障害発生時も通信が滞ることがない、複数の契約をしてそれぞれ異なったリージョンへ接続するようにすることでサービス停止のリスクを防ぐことができる、その他ネットワークサービスと併用可能といったメリットがあります。

Microsoft Azure自体は基本的にパブリックなサービスであるため、ExpressRouteで接続の安全性を増すことはできるものの、その他にセキュリティ対策やアクセス制限、ポートの設定等を適切に行わないと強固なセキュリティ性を保てる状態とはならないことに注意しておきましょう。

ExpressRouteの接続方法は、ExpressRouteロケーションでの直接接続、またはExpressRouteに接続サービスを提供しているプロバイダーの回線を利用した接続の2通りがあります。基本的に前者を「ExpressRoute」と呼び、後者は「ExpressRoute Direct」と呼ばれています。

前述した「ExpressRouteロケーション」とは、Microsoft Azureに接続するためのルーター等の機器が設置されているセンターのことを表しています。ExpressRouteは50Mbps、100Mbps、200Mbps、500Mbps、1Gbps、2Gbps、5Gbps、10Gbpsの帯域の中から適したものを選択して利用することができますが、それ以上の帯域が必要となるシステムを運用する場合は、10Gbpsまたは100Gbpsでの利用が可能なExpressRoute Directを選択するという使い分けが考えられます。

対応しているプロバイダーについては、ExpressRouteの製品ページ内「ExpressRoute 接続パートナー」に一覧で表示されているので気になる方は一度チェックしてみてください。

プロバイダー回線を利用した方法には3パターンが存在します。一つはクラウド環境へ接続可能なデータセンター内で接続する方法で、この場合はデータセンターのネットワーク機器から専用回線を経由してMicrosoft Azureに接続します。もう一つは2つの地点をP-P接続(ポイントツーポイント)で1対1に接続する方法で、この場合はサーバーが設置されている場所とMicrosoft Azureを通信業者の提供する専用回線で接続しますが、採用される頻度は少ないパターンとなります。最後の一つは通信事業者の閉域ネットワークを用いたIP－VPNでの接続で、この場合はサーバーの設置場所のWANとMicrosoft Azure間を通信事業者の提供するIP－VPNを使って接続することとなります。ExpressRoute Directのパターンは1つのみで、ExpressRouteがピアリングできる場所に限り光ファイバーケーブルでの接続が可能となります。

ExpressRouteには「Standard」と「Premium」という2つのSKU(プランのようなもの)があります。Standardは、例えばピアリングの場所が東京である場合に、同じ日本国内の東日本リージョン、西日本リージョンにアクセス可能です。それに対してPremiumはExpressRouteが利用できる世界中のリージョンにアクセス可能なため、リージョンを跨いだアクセスが必要なシステムには適したSKUと言えます。その他にもプライベートピアリング用のルート上限がStandardが4,000であるのに対しPremiumでは10,000となる、Microsoft 365へ接続になる、Microsoftのコアネットワークを経由したグローバル接続が可能になるという機能が追加されます。そのためStandardより料金は割高となり、50MbpsのStandardが月額$300に対し、Premiumの場合は$375となっています。番外とはなりますが、公式サイトには「Local」というSKUも存在します。こちらは同じ都市圏内やその付近の1、2つのAzureリージョンへのアクセスのみ可能とするもので、StandardやPremiumと異なりデータ転送料金がすでに含まれた状態で提供されます。そのため大量なデータ転送が発生するシステムにおいては利用するメリットがあると言えるでしょう。

クラウドサービスは一般的に従量課金のものが多いですが、ExpressRouteの場合は従量課金プラン以外に月額固定料金プランを選択することもできます。従量課金プランでは送信データ転送量が課金の対象となりますが、月額固定料金の場合は送信データ転送量が無制限となります。いずれのプランの場合も選択できる帯域幅は同様となります。

またMicrosoftのサービスにはほとんどの場合SLA(Service Level Agreement)が定められていますが、ExpressRouteの場合は専用回線の99.95%以上の可用性が保証されています。Microsoft Azureからエンドユーザーの間で冗長構成の接続が行われていることを前提として、このレベルが達成できなかった場合は「月間稼働率99.95%の場合で10%」「月間稼働率99%の場合で25%」のサービスクレジットが付与されることを覚えておきましょう。

クラウドのサービス形態とピアリングの使い分け

ExpressRouteは基本的にIaaS形態のクラウドサービスで利用しますが、PaaS・SaaSにおいても利用が可能となります。ただしPaaS・SaaSで利用するためには「Microsoft ピアリング」を選択する必要があります。このようにExpressRouteではピアリングの選択が欠かせません。

そもそもピアリングとは、ネットワーク同士が相互に経路情報やトラフィックを公開して通信が行える状態にすることを意味します。ExpressRouteにはこのピアリング方法が2種類用意されており、「Azureプライベートピアリング」と「Microsoft ピアリング」に分かれます。

Azureプライベートピアリングでは、オンプレミス環境・データセンターからAzure Virtual Network(VNet)間において双方向接続が可能です。オンプレミス環境で割り振りされているプライベートIPアドレスのままVNet内の仮想マシンと接続できるという点は大きなメリットとなりますが、これはAzure側のIPセグメントをオンプレミス側のルータへ伝える仕組みがあるためです。全てのAzureサービスや仮想マシンで汎用的に利用できるピアリング方法です。プライベートピアリングで仮想ネットワークに接続するためにはゲートウェイの契約も必須となり、こちらは別途時間単位での料金が発生することを覚えておきましょう。

Microsoft ピアリングではMicrosoftのピアリングルーティングドメインを介してオンプレミス環境・データセンターとMicrosoftクラウドサービス間で双方向接続を行うこととなります。Azureプライベートピアリングと異なってパブリックIPアドレスでの接続のみ可能な仕様となります。そのため利用するためには、あらかじめプライベートIPアドレスをパブリックIPアドレスへ変換する仕組み(NAT等)が必要となります。

Office365やAzureのPaaSサービスに接続するためにはこのMicrosoft ピアリングを利用しますが、Office365へ接続するためにはさらにPremium Add－Onの有効化とMicrosoftへの利用申請・商人が必要となることにご注意ください。他にもPower BI、Azure Active Directory、Azure DevOpsといったサービスでの利用も可能です。

なお、一つの回線契約に対してAzureプライベートピアリング、Microsoft ピアリングはそれぞれ1つずつ含めることが可能ですが、どちらか一方のみでも特に問題ありません。また、かつてはもう一つPaaSに特化したピアリング方法として「パブリックピアリング」が存在しており、古い情報を参照するとこちらの記載もあるかもしれませんが、2023年時点では提供が終了しています。

ここまでのピアリングの説明においてIaaS・Paas・SaaSという言葉が出てきましたが、現在までにクラウドサービスに関わったことが無い場合は詳しい意味がわからない方もいることでしょう。そのため簡単に説明しておきますが、IaaS(Infrastructure as a Service)はクラウド内においてインフラ環境の部分からユーザーのカスタマイズにて構築可能な自由度の高いサービス形態のことを表しています。

Paas(Platform as a Service)は様々なアプリケーションの実行・開発環境となるプラットフォームをユーザーでカスタマイズして構築できるサービスです。SaaS(Software as a Service)は既に製品として完成しているソフトウェアやアプリケーションをそのまま利用するサービスとなります。これらはクラウドサービスのサービス形態のカテゴライズとして利用される言葉で、細かく分けると他にもたくさんありますが、今回はこの代表的な3つだけを抑えておけば問題ありません。

MAPS(Microsoft Azure Peering Service)について

Microsoft 365への接続方法としてExpressRouteのMicrosoft ピアリングを紹介しましたが、他にも回線の品質を確保するために「MAPS」というサービスを利用する方法もあります。こちらではパブリックなインターネットを利用してアクセスをするものの、オンプレミスのネットワークからMicrosoftのネットワーク間で最適なルーティングを行うことで信頼性の高い接続が可能となります。また待ち時間の少ない接続環境を実現することも可能となります。MAPSの利用に当たっては特にMicrosoftへの登録は必須とせず、Peering Serviceパートナーに連絡するだけで利用が可能となります。Microsoftが提携しているPeering Serviceパートナーについては、Azureの公式ドキュメント内「Peering Service パートナー」に一覧で紹介されています。

Azure ExpressRoute以外にオンプレミスと接続する方法

今回はExpressRouteをメインとした内容ですが、今後Microsoft Azureをより総合的に理解して利用できるようになるため、その他の接続方法についても簡単に紹介します。少しでも頭に入れておくことでシステムや予算によって使い分けることができるようになるでしょう。

P2S(Point-to-Site) VPN

ユーザー側のクライアント端末と仮想ネットワークをVPNで接続する方法で、クライアント側から接続のリクエストを出すことで確立できます。利用するにはVPN Gatewayの自己署名ルート証明書と、それをインストールするためにクライアント側のクライアント証明書を準備しておく必要があります。P2Sで利用可能なプロトコルはOpenVPNプロトコル、Secure Socketトンネリング プロトコル(SSTP)、IKEv2 VPNの3種類です。なお、VPN Gateway当たり可能な同時接続数は128となるため、端末数が小規模な環境での利用に適しています。

S2S(Site-to-Site) VPN

IPsec/IKE VPNトンネルを介した接続によってオンプレミス環境と仮想ネットワーク間や、Azure上のVNet間での接続を可能とする方法で「サイト間接続」とも呼ばれます。S2Sを利用するためには、オンプレミス環境で固定IPアドレスとVPNデバイスの用意が必要な他、P2S同様VPN Gatewayの構築も必要となります。

P2S・S2Sでもセキュリティを維持した接続ができるもののインターネット回線を利用する方法となるため、回線の通信状況によって遅延が発生する可能性が高いです。それに対してExpressRouteは閉域接続となるため、セキュリティにプラスして安定した高速な接続環境が確保できるといったメリットがあります。

まとめ

ExpressRouteは閉域接続が可能なサービスであり、主にStandard・Premiumと2種類のSKU、用途によってMicrosoftピアリング・プライベートピアリングを使い分け、料金体系は従量課金プラン、月額固定料金プランの2通りがあることがわかっていただけたと思います。

ぜひ今回の記事をきっかけにExpressRouteの仕様を覚え、Microsoft Azureでのマルチクラウド運用に精通したクラウドエンジニアを目指してみてはいかがでしょうか。また、たとえAWSやGCPといった別のサービスを利用することになったとしても今回得た知識を応用することができる可能性が高いので、クラウドにおける専用回線サービスの一つとしてExpressRouteの知識をしっかり頭に入れておくことをおすすめします。