Azure ExpressRouteの作成手順を徹底解説!サービスキー承認と連携の流れ
生徒
「会社のネットワークをAzure(アジュール)に直接つなぎたいのですが、インターネット経由だとセキュリティや速度が心配です。何か良い方法はありますか?」
先生
「それならAzure ExpressRoute(エクスプレスルート)が最適です。インターネットを通らない専用線接続なので、高品質で安全な通信が可能になりますよ。」
生徒
「専用線接続って設定が難しそうですね。何から始めればいいんでしょうか?」
先生
「まずはAzureポータルで『回路(サーキット)』を作成し、接続業者であるキャリアと連携するための『サービスキー』を発行することから始めます。手順を一つずつ見ていきましょう!」
1. Azure ExpressRouteとは何か
Azure ExpressRoute(アジュール・エクスプレスルート)とは、Microsoft(マイクロソフト)が提供するクラウドサービス「Azure」と、お客様のオンプレミス環境(自社で管理しているサーバーやネットワーク設備)を、公共のインターネットを通さずに専用の回線で直接つなぐ接続サービスのことです。
このサービスを利用する最大のメリットは、通信の安定性とセキュリティです。インターネットは不特定多数の人が利用するため、時間帯によって速度が遅くなったり、情報漏えいのリスクがゼロではありません。しかし、ExpressRouteは独立した経路を通るため、低遅延(ていちえん:データが届くまでの時間が短いこと)かつ高速な通信が保証されます。企業が基幹システムをクラウド化する際には欠かせない技術となっています。
ちなみに、この仕組みは「閉域網(へいきもう)」接続とも呼ばれます。まるで自宅と会社を専用のトンネルでつないで、他の誰も通れないようにするようなイメージですね。
2. ExpressRoute回路作成の事前準備
ExpressRouteを構築するためには、まず「回路(サーキット)」という論理的な接続設定をAzure上に作成する必要があります。しかし、作業を始める前に決めておくべき重要なポイントがいくつかあります。
- 接続プロバイダー(キャリア): 物理的な回線を提供してくれる通信事業者を選びます。日本ではNTTコミュニケーションズ、KDDI、ソフトバンクなどが有名です。
- ピアリングの場所: どこでAzureのネットワークに接続するかを指定します。東京や大阪などのリージョン(拠点)を選びます。
- 帯域幅(たいいきはば): 通信速度のことです。50Mbpsから100Gbpsまで、用途に合わせて選択します。
- SKU(エスキュー): 料金プランのようなものです。Standard(標準)やPremium(プレミアム)などがあります。
これらの情報は、後で修正が難しいものもあるため、事前に社内のインフラ担当者や契約するキャリアの担当者としっかり打ち合わせをしておきましょう。特に「どこの場所に、どれくらいの太さの土管を引くか」を決める作業だと考えると分かりやすいでしょう。
3. Azureポータルでの回路作成手順
それでは、実際にAzureポータルからExpressRoute回路を作成してみましょう。ここではGUI(画面操作)での基本手順を解説します。Azureのリソース作成画面から「ExpressRoute」を検索して作成ボタンを押します。
設定項目を入力する際は、正確さが求められます。特にリソースグループ名や回路の名前は、後から管理しやすいものを付けておきましょう。
# Azure CLIを使用して回路を作成する場合のコマンド例(参考)
az network express-route create \
--name MyExpressRoute \
--resource-group MyResourceGroup \
--bandwidth 200 \
--peering-location "Tokyo" \
--provider "NTT Communications" \
--sku-family MeteredData \
--sku-tier Standard
作成が完了すると、「サービスキー」と呼ばれる20桁前後の英数字が発行されます。これが、Azure側とキャリア側の設定を結びつける魔法の合言葉になります。このキーをメモしておくか、コピーして大切に保管してください。
4. サービスキーの役割と重要性
サービスキー(Service Key)は、ExpressRouteを利用する上で最も重要な情報の一つです。Azureポータルで回路を作成した時点では、まだ「Azure側の窓口」ができただけで、実際に物理的な線がつながっているわけではありません。
あなたが契約した通信事業者に「このサービスキーで接続をお願いします」と伝えることで、初めてキャリア側での回線引き込み作業が始まります。サービスキーには、あなたが指定した「速度」や「接続場所」の情報が紐付いています。そのため、このキーを教えるだけで、キャリア側はどのような設定を行えばよいか判断できる仕組みになっています。
注意点として、サービスキーを第三者に知られてしまうと、勝手に回線を紐付けられてしまうリスクがあるため、セキュリティ管理には十分に気をつけましょう。必ず信頼できる通信事業者の担当者にのみ共有するようにしてください。
5. キャリア連携とプロビジョニングの状態
キャリアにサービスキーを渡すと、彼らは自分たちのネットワーク網とAzureを物理的に接続する作業を開始します。このプロセスを「プロビジョニング」と呼びます。プロビジョニングの進捗状況は、Azureポータルの「プロバイダーの状態」という項目で確認できます。
回路の状態には大きく分けて以下の種類があります。
ステータス名 | 意味
------------------+--------------------------------------------
Not Provisioned | まだキャリア側の作業が始まっていない状態
Provisioning | キャリア側で接続作業を行っている最中の状態
Provisioned | キャリア側の作業が完了し、通信可能な状態
最初は「Not Provisioned(プロビジョニングされていない)」になっていますが、キャリア側の作業が終わると「Provisioned(プロビジョニング済み)」に変わります。もし数日経ってもステータスが変わらない場合は、キャリア側に作業状況を問い合わせてみましょう。
6. サービスキー承認と接続の確立
「Provisioned」になっただけでは、まだ自分の仮想ネットワーク(VNet:ブイネット)と通信はできません。次に、Azure側でこの回路を「有効化」する作業が必要です。これを「承認(認証)」のプロセスと呼ぶことがあります。
具体的には、ExpressRouteゲートウェイという「関所」のようなリソースを作成し、そこにExpressRoute回路を接続(リンク)させます。このとき、回路の所有者が自分自身であればスムーズに進みますが、別のAzureアカウントにある回路を使う場合は「承認パスワード」を発行して連携させる手順が必要になります。
以下は、回路情報を管理するための簡単なデータ構造のイメージです。システム内部ではこのようにIDやステータスが管理されています。
CircuitID | ProviderName | Speed | Status | ServiceKey
----------+--------------+---------+---------------+---------------------
ER-001 | NTT Com | 200Mbps | Provisioned | a1b2c3d4-e5f6-g7h8...
ER-002 | KDDI | 1Gbps | NotProvisioned| x1y2z3a4-b5c6-d7e8...
ER-003 | SoftBank | 50Mbps | Provisioning | q1w2e3r4-t5y6-u7i8...
7. ピアリング設定による通信の有効化
回路が正常に作成され、キャリアとの連携が終わったら、最後に「ピアリング」の設定を行います。ピアリングとは、具体的にどのネットワーク同士を会話させるか決める設定です。ExpressRouteには主に2つのピアリングがあります。
- Azure Privateピアリング: Azure内の仮想マシン(VM)など、自分専用のプライベートなエリアと通信するための設定です。
- Microsoftピアリング: Microsoft 365(メールやTeamsなど)やAzureの公開サービスと通信するための設定です。
初心者の型が最初に設定するのは、多くの場合「Private(プライベート)ピアリング」です。これを行うことで、会社のパソコンからAzure上のサーバーに対して、まるで社内LANと同じような感覚でアクセスできるようになります。IPアドレス(インターネット上の住所のようなもの)の設計が非常に重要になるので、慎重に進めましょう。
8. 接続トラブルを防ぐための確認ポイント
万が一、設定がうまくいかない場合に確認すべき項目を整理しました。これらをチェックするだけで、多くのトラブルは解決できます。
- サービスキーの打ち間違い: キャリアに送ったキーが正しいか再確認してください。
- ARPテーブルの確認: ネットワークの接続情報が正しく交換されているか、Azureポータルの診断機能で確認できます。
- NSG(ネットワークセキュリティグループ)の設定: Azure側のファイアウォールで通信をブロックしていないか確認しましょう。
ネットワークの世界は目に見えないため、一つ一つの設定を確実に、焦らず進めることが成功の近道です。特にExpressRouteは、自分一人だけでなく通信キャリアという協力者が必要なプロジェクトです。密なコミュニケーションを心がけましょう!
まとめ
アジュール・エクスプレスルート(Azure ExpressRoute)の作成手順とサービスキーによる連携について、これまでの内容を詳しく振り返りましょう。クラウド活用の進展に伴い、企業の基幹システムを安全かつ高速に運用するためには、インターネットを経由しない閉域網接続が欠かせない要素となっています。エクスプレスルートは、まさにその「信頼の架け橋」となるネットワークサービスです。
エクスプレスルート構築の全体像と重要キーワード
エクスプレスルートの導入プロセスは、大きく分けて「Azure側の設定」「通信キャリアへの依頼」「ピアリングの有効化」の三つのステップで構成されます。ここで特に重要となるのが「サービスキー(Service Key)」です。サービスキーは、Azureポータルで回路を作成した際に発行される一意の識別子であり、これをお客様が契約した通信事業者(キャリア)に提示することで、クラウドと物理拠点の紐付けが行われます。
また、通信速度を決める「帯域幅(たいいきはば)」や、接続場所である「ピアリングの場所」の選定は、導入後のパフォーマンスに直結します。マイクロソフトのネットワークとキャリアのネットワークが重なる「ミートミー・ポイント」をどこに設定するかによって、ネットワークの遅延(レイテンシ)が変わってくるため、事前の設計が非常に重要です。
サービスキーとプロビジョニング状態の管理
設定を進める中で、管理者として常に意識すべきなのが「プロビジョニングの状態」です。サービスキーをキャリアに渡した後は、Azureポータル上のステータスが「Provisioned」に変わるのを待つことになります。この状態の変化は、物理的な回線工事や論理的な回線設定が完了したことを意味します。以下に、システム内部で管理される回路情報の構成例をデータベース形式で示します。
id | circuit_name | bandwidth | status | service_key
---+----------------+-----------+-----------------+-----------------------
1 | Office-Conn-01 | 200Mbps | Provisioned | e4d3c2b1-a5b6-c7d8...
2 | Backup-Line-02 | 1Gbps | Provisioning | f9e8d7c6-b4a3-z2y1...
3 | Tokyo-Direct | 50Mbps | NotProvisioned | g1h2i3j4-k5l6-m7n8...
4 | Osaka-Branch | 10Gbps | Provisioned | p0o9i8u7-y6t5-r4e3...
5 | Global-Net-05 | 100Gbps | Provisioned | q1w2e3r4-r5t6-y7u8...
6 | Test-Circuit | 50Mbps | NotProvisioned | z1x2c3v4-b5n6-m7k8...
上記の表のように、複数の拠点を接続する場合はそれぞれの回路ごとにサービスキーとステータスを管理する必要があります。ステータスが「Provisioned」になったことを確認してから、次のステップであるゲートウェイの接続やピアリングの設定へと進みます。
プログラムによる自動化と設定の確認
現代のインフラ構築では、手動操作だけでなく、プログラムやスクリプトを用いた「Infrastructure as Code(コードによるインフラ構成)」が一般的です。例えば、C#を使用して回路の情報を取得したり、特定の条件に基づいて設定をチェックしたりすることが可能です。
ここでは、特定のサービスキーを持つ回路が正常に開通(プロビジョニング済み)しているかを確認する簡単なロジックの例を紹介します。
using System;
class ExpressRouteChecker
{
static void Main()
{
string currentStatus = "Provisioned";
string serviceKey = "e4d3c2b1-a5b6-c7d8-9012";
Console.WriteLine("ExpressRouteの接続状態を確認します。");
if (currentStatus == "Provisioned")
{
Console.WriteLine("サービスキー: " + serviceKey);
Console.WriteLine("状態: 接続準備が完了しています。ピアリング設定へ進んでください。");
}
else
{
Console.WriteLine("状態: キャリア側の作業を待機中、または設定に問題があります。");
}
}
}
上記のプログラムを実行した際の出力結果は以下のようになります。
ExpressRouteの接続状態を確認します。
サービスキー: e4d3c2b1-a5b6-c7d8-9012
状態: 接続準備が完了しています。ピアリング設定へ進んでください。
セキュリティとネットワーク設計の勘所
エクスプレスルートを導入する際は、IPアドレスの重複(バッティング)に注意しなければなりません。オンプレミス環境で使用しているプライベートIPアドレスの範囲と、Azure上の仮想ネットワーク(VNet)で使用するアドレス範囲が重なってしまうと、ルーティングが正しく行われず通信障害の原因となります。
また、セキュリティ面では「ネットワークセキュリティグループ(NSG)」や「Azure Firewall」を適切に配置し、専用線を通ってきた通信であっても、必要なポートのみを許可する「最小権限の原則」を適用することが推奨されます。
最後に
Azure ExpressRouteは、初期設定こそ通信キャリアとの連携など手間がかかる部分はありますが、一度構築してしまえば、インターネットの混雑やセキュリティリスクに怯えることなく、快適なクラウド環境を享受できます。低遅延で安定した通信は、ユーザー体験を劇的に向上させ、ビジネスの成長を強力にバックアップしてくれるはずです。手順書を一つずつ確認しながら、安全な接続環境を構築していきましょう。
生徒
「先生、まとめを読んでエクスプレスルートの全体像がよりはっきり見えてきました!一番の鍵は、Azureとキャリアをつなぐ『サービスキー』という合言葉なんですね。」
先生
「その通りです!サービスキーを発行してキャリアに渡すことで、クラウドという形のない世界と、実際の電線や光ファイバーといった物理的な世界がガッチリと結びつくわけです。」
生徒
「キャリア側の作業が終わって『Provisioned』という状態になるまでは、私たちはお茶を飲んで待っていればいいんですか?」
先生
「ははは、半分正解です。でもその間に、Azureの中に『ExpressRouteゲートウェイ』という関所を作ったり、ネットワークの住所であるIPアドレスが社内のものと重ならないか最終確認をしたりと、やることはたくさんありますよ。」
生徒
「なるほど。準備が大切なんですね。ピアリング設定が終われば、いよいよ会社のパソコンからAzureのサーバーに直接アクセスできるようになると思うとワクワクします!」
先生
「そのワクワクは大切ですね。もし通信がうまくいかないときは、まずはサービスキーが正しいか、そしてステータスが『Provisioned』になっているかを落ち着いて確認してください。目に見えない電気の通り道を作る作業ですから、一歩ずつ丁寧に進めていきましょう!」
生徒
「はい!ありがとうございます。先生のおかげで、自分でもできそうな気がしてきました。まずは社内のインフラ担当の人に、どのキャリアを使うか相談してみます!」
先生
「いい心がけですね。ネットワーク構築はチームプレイです。頑張ってくださいね!」
