はじめに
クラウドの利用が当たり前になった今、社内ネットワークとAzureをどのように安全かつ安定して結ぶかは、多くの企業にとって重要なテーマです。そこで注目されるのがAzure ExpressRouteです。
本記事では、ExpressRouteの基本から設計の勘所、料金や導入の流れ、よくある誤解まで、実務で役立つ視点で丁寧に解説します。なお、製品名の正式表記は「ExpressRoute」ですが、「Azure Express Route」という表現を併用します。
Azure ExpressRouteとは
ExpressRouteは、インターネットを経由しない専用接続で、企業ネットワークとMicrosoftのエッジ(Microsoft Enterprise Edge)を直接結ぶサービスです。これにより、一般的なインターネットVPNよりも低遅延で高スループット、かつ可用性の高い接続を実現します。セキュリティの観点でも、トラフィックがパブリックインターネットを通らないため、リスクの低減と通信品質の予測可能性が向上します。
何が「専用」なのか
専用とはいえ、データセンターからAzureまでを完全な物理専用線で引き通すわけではありません。実態としては、接続事業者の閉域網やキャリアイーサネット、コロケーションでのクロスコネクトを用い、Microsoft側の専用ポートと対向させることで、インターネットをバイパスした閉域経路を構成します。
この閉域経路の論理的な単位を「ExpressRoute回線(サーキット)」と呼び、BGPを使って経路交換を行います。
ExpressRouteでできること
- Azure仮想ネットワーク(VNet)へのプライベート接続
- Microsoft 365 や一部のPaaS(ストレージ、SQLなど)への最適化された経路(Microsoft Peering)
- リージョンをまたいだネットワーク収容や拠点間の閉域相互接続を支えるオプション機能
- 大容量データ移行、低遅延が求められる業務、コアシステムのクラウド接続など
【VNetとは?】
Azureの仮想ネットワークサービスのこと。AWSのVPCに当たる。VNet はリソース間の信頼された接続を作る基盤であり、サブネット分割、NSG での通信制御、ピアリングで他の VNet との通信などを行う。
一方、VPC の場合は、VPC 内を同様にネットワークを分割し、セキュリティグループや ACL で制御する。
アーキテクチャの基礎
ピアリングの種類
- Private Peering
VNet上のプライベートIP宛の通信に用います。社内ネットワークからAzureのIaaS/PaaS(VNet内)へ、IPレイヤで直接到達できるのが特徴です。 - Microsoft Peering
Microsoft 365や一部PaaSのパブリックエンドポイントに最適化された経路を提供します。どのサービスの経路を受け入れるかはルートフィルターで制御します。
かつて存在したPublic Peeringは、現在はMicrosoft Peeringへ集約されています。
主要コンポーネント
- ExpressRouteサーキット
帯域(例 1Gbps、10Gbps など)やSKUを選択して作成します。プロビジョニング時に発行されるService Key(S-キー)を接続事業者へ提示し、相互の作業で開通します。 - BGPセッション
Primary/Secondaryの二系統を張り、経路学習と障害時のフェイルオーバーを行います。オンプレ側のAS番号、アドレス設計、経路集約が要点です。 - ルートフィルター(Microsoft Peering)
受け入れるサービスのBGPコミュニティを指定して、想定外の経路流入を抑制します。
ExpressRoute gatewayとは何か
ExpressRouteをVNetに接続する際は、Azure側に「Virtual Network Gateway(種類: ExpressRoute)」を配置します。一般にこれを「ExpressRoute gateway」と呼びます。gatewayは以下の役割を担います。
- VNetとExpressRouteサーキットの論理的な終端
- BGPで学習した経路のVNet内への配布
- 接続の冗長化、帯域制御、そして一部機能(後述するFastPathの可否)に関わる性能要件の満たし
gatewayのSKUとFastPath
ExpressRoute gatewayには複数のSKUがあり、スループットや接続上限、可用性特性が異なります。高スループットや低遅延が要求される場合は、FastPath対応SKUを選ぶと、データプレーンがgatewayをバイパスしてER入口からVMへ最短経路で流れ、遅延とジッタを抑えられます。制御プレーンは引き続きgatewayが担う点は押さえておきましょう。
接続モデルのバリエーション
コロケーション型
お客さまの機器が入るキャリアホテルやクラウドエクスチェンジにAzureのポートが近接している場合、クロスコネクトで短経路に接続できます。低遅延で拡張もしやすく、回線障害時の切り替えも明快です。
キャリア閉域網型(IPVPN/広域イーサネット)
既存の拠点間ネットワークにAzureを一拠点として参加させる方式です。運用窓口が一本化でき、支店も含めた全社規模のトラフィック設計がしやすくなります。
ExpressRoute Direct
Microsoftのエッジへお客さまが直接ポートを持つ形態です。大容量帯域や厳格な制御が必要なユースケースで採用されます。物理冗長やMACsecなど、より深いレイヤでの設計判断が可能です。
オプション機能とSKUの考え方
- Premiumアドオン
複数リージョンや広範なVNet接続、経路数上限の拡張などが必要な場合に選択します。グローバル分散アーキテクチャではほぼ必須です。 - Local/Standard
通信範囲や料金の最適化に関わります。トラフィックの流れと利用地域を見極めて選びます。 - Global Reach
別拠点のExpressRoute回線同士をMicrosoftのバックボーン経由で相互接続し、拠点間閉域網を拡張する機能です。海外拠点間の一時的バックホールにも有効です。
ExpressRouteとサイト間VPNの違い
性能と安定性
ExpressRouteは、帯域保証や低遅延、ジッタの小ささを狙う用途に向きます。大量データのレプリケーション、DWHのハイブリッド接続、コア業務のクラウド接続などが典型です。VPNは手軽でコストも抑えやすい一方、インターネット品質に影響されます。
併用設計
多くの企業はERを主経路、VPNをバックアップとする「二段構え」を採用します。BGPのローカルプリファレンスやMEDで経路優先度を制御し、障害時は自動で切り替わるようにします。ゼロトラストの観点では、セグメントごとにER経由とVPN経由を使い分ける設計も有効です。
設計の勘所
可用性
- 二つの物理経路でPrimary/Secondaryを確保
- 拠点側ルータも電源や筐体を二重化
- zone冗長対応のExpressRoute gatewayを選定し、計画メンテナンス時の影響を最小化
経路設計
- 経路集約で経路表の肥大化を抑制
- 受け入れ経路にフィルターを設け、不必要な広報を防止
- Microsoft Peeringはルートフィルターで対象サービスを限定
セキュリティ
- トラフィックは閉域ですが、暗号化が必須要件ならMACsecやアプリレイヤのTLS、あるいはオーバーレイIPsecを検討
- M365をMicrosoft Peeringで流す場合は、最寄りのエッジでブレイクアウトしつつ、DLPやCASBなどの統制を両立
運用監視
- BGPセッションのアップダウン、受信経路数、フラップを継続監視
- Azure側メトリックとオンプレ機器のログを相関させ、SLO視点で可視化
- 帯域使用率のトレンドから、早めのスケール計画を立案
料金の考え方
料金は概ね、ポート帯域の基本料、データ転送料(従量または定額)、オプション(Premium、Global Reach など)で構成されます。加えて、接続事業者側の回線費やコロケーション費、クロスコネクト費用が別立てになる点に注意が必要です。
コスト見積もりでは、ピークトラフィックだけでなく、昼夜・月次のパターン、バッチ処理やバックアップの窓、DR訓練の頻度まで含めて検討すると精度が高まります。
導入ステップ
- 要件整理
どのリージョンのどのVNetと、どの拠点を、どの帯域で結びたいかを明確化します。M365やPaaSをMicrosoft Peeringで流すかも合わせて決めます。 - 回線方式の選定
コロケーション、キャリア閉域網、ExpressRoute Directのいずれかを比較し、冗長方針とともに決定します。 - アドレスと経路設計
ルーティングポリシー、経路集約、コミュニティ、フィルター方針を文書化します。 - サーキット作成と事業者手配
Azureでサーキットを作成し、S-キーを事業者へ提示。物理/論理の開通工程を同期します。 - ExpressRoute gatewayの展開
VNetにgatewayを作成し、SKUや可用性ゾーン、FastPath要件を満たすように構成します。 - BGP設定とピアリング確立
冗長構成でPrimary/Secondaryを張り、経路数や属性を確認します。 - 検証
フェイルオーバー試験、経路リークの有無、MTUやスループットの測定を実施します。 - 運用移行
監視項目と手順、キャパシティ計画、変更管理のルールを運用設計書に落とし込みます。
トラブルシューティングのヒント
- BGPが上がらない
ASNの不一致、MD5設定の差異、ACLやNATの影響を確認します。Primary/Secondary両方で疎通試験を行い、どちらで問題が起きているか切り分けます。 - 経路が多すぎる
経路集約の不足や、不要なリークがないかを点検します。Microsoft Peeringではルートフィルターを必ず適用します。 - スループットが出ない
gatewayのSKU不足、FastPath未対応、MTUミスマッチ、フローベース機器のセッション制限などを確認します。計測は単一TCPではなく複数フローで行い、ボトルネックを特定します。 - 片方向にのみ遅延が大きい
非対称ルーティングや拠点側のキューイング、シャーピング設定を見直します。
よくある質問
VPNがあるのに、なぜExpressRouteが必要ですか
業務要件によってはVPNで十分です。しかし、常時大容量のデータ転送や、遅延・ジッタが厳しい処理、厳格な可用性が求められる基幹系ではExpressRouteの安定性と予測可能性が効果を発揮します。両者の併用で、コストと信頼性の最適点を探るのが現実的です。
Microsoft 365は必ずExpressRoute経由にすべきですか
現在の推奨は原則としてローカルブレイクアウトです。ただし、ネットワーク統制や回線設計の都合でMicrosoft Peeringを選ぶケースもあります。ユーザー体感、セキュリティ統制、運用の複雑性を総合評価して判断するのが良いでしょう。
【ローカルブレイクアウトとは?】
M365などの特定の通信をデータセンターを経由せず、直接インターネットを通じてアクセスすること。
gatewayは常に必要ですか
VNetへPrivate Peeringで接続する場合は、ExpressRoute gatewayが必要です。Microsoft Peeringのみでパブリックエンドポイントを最適化する用途では、VNetに触れない限りgatewayは関与しません。FastPathを使いたい場合は、対象SKUのgatewayが前提となります。
失敗しないためのチェックリスト
- 要件定義で「対象リージョン」「必要帯域」「冗長要件」「対象サービス(IaaS/PaaS/M365)」を明確化
- 経路集約とフィルター方針を設計書に明記
- gatewayのSKUは将来の拡張とFastPath要件を見据えて選定
- 監視はBGP・帯域・遅延・ジッタ・パケットロスを継続的に可視化
- キャパシティ計画は月次レビューで見直し
まとめ
Azure ExpressRouteは、クラウド接続を「業務ネットワークの一部」にまで高めるための基盤です。閉域による予測可能な品質、BGPによる柔軟な経路制御、オプション機能によるグローバル展開のしやすさなど、エンタープライズに必要な要件を満たします。
一方で、帯域・経路・冗長・監視といった設計の粒度を上げないと、期待した効果が出なかったり、費用対効果が悪化したりします。本記事のポイントを踏まえ、まずは小さく導入して実測データを取り、拠点やリージョンを段階的に広げるアプローチをおすすめします。
最後にもう一度要点です。ExpressRouteはインターネットを経由しない閉域接続であり、VNetに接続する際はExpressRoute gatewayが必要となります。ピアリングの役割分担を理解し、適切なSKUと冗長設計、運用監視を整えることで、クラウド活用の基盤は格段に強固になります。設計と運用の両輪で、貴社のビジネス要件に最適化されたAzureネットワークを築いていきましょう。
