はじめに
こんにちは、Customer Reliability Engineer (CRE) の三國です。
Megaport 社 の提供するクラウド間ネットワーキングサービス MCR クラウド接続 を用いて Microsoft Azure (以後、Azure) とのプライベート接続を検証し、ドキュメント化しました。
SORACOM から Azure へのプライベート接続は、多くのお客様からご要望をいただいております。2020 年に インターネット VPN 接続の SORACOM Door と Azure VPN Gateway を用いて Azure と VPN 接続する方法をブログにしてから、専用線接続の SORACOM Direct を使う場合はどのような構成例があるのかと多くの問い合わせを頂いておりました。
構成
今回ドキュメント化した方法を用いることで、インターネットを経由することなく以下のような構成で Azure へプライベート接続できます。MCR クラウド接続 を利用することで、コンソール操作のみで手軽に実現できます。
SORACOM Direct と SORACOM Door との使い分け
SORACOM Direct は「専用線接続サービス」、SORACOM Door はインターネット Virtual Private Network (VPN) を使用する「仮想専用線接続サービス」です。「セキュリティと費用」「レイテンシ」「使用できるサービス」の観点で説明します。
セキュリティと費用
インターネット VPN と比較して、専用線はネットワークレベルでプライベート接続できます。そのため、SORACOM Direct は「インターネットを経由しない」というセキュリティ要件を満たせることが特徴です。
一方でインターネット VPN と比較して専用線の敷設は費用が高額となることが一般的です。SORACOM Direct と SORACOM Door の比較においても、SORACOM Direct の構成の方が MCR クラウド接続を利用する分、高額となりました。
レイテンシ
ネットワークのレイテンシについては以下 2 つの構成で PING を送信したところ、大きな差が見られませんでした。いずれも日本カバレッジの IoT SIM と東日本リージョンの Azure Virtual Machine で検証しました。
- SORACOM IoT SIM — VPG — SORACOM Door — Azure VPN Gateway — Azure Virtual Machine
- SORACOM IoT SIM — VPG — SORACOM Direct — MCR — Azure ExpressRoute — Azure Virtual Machine
使用できるサービス
プライベート接続して使用できる Azure サービスには、SORACOM Door / SORACOM Direct で違いがありません。いずれの利用においても Azure 上の Virtual Machine へプライベート IP アドレスで RDP, SSH するだけでなく、Private Link と組み合わせて Azure Storage や Azure IoT Hub へのプライベート接続も可能です。
プライベート接続と Private Link とを組み合わせて Azure Storage を使用する方法については以下のブログやスライドを参照してください。これらは接続に SORACOM Door を利用していますが、SORACOM Direct でも同じ Azure サービスを使用できます。
IoT デバイスから Microsoft Azure へのプライベート接続に SORACOM を使う 3 つの理由
IoT デバイスまで専用線の敷設が不要
通常オンプレミスネットワークから Azure へのプライベート接続を考える場合、以下のようなサービスを使用します。
- Express Route https://azure.microsoft.com/ja-jp/services/expressroute/
- VPN Gateway (Point to Site VPN, Site to Site VPN) https://azure.microsoft.com/ja-jp/services/vpn-gateway/
これらのサービスを用いるには専用線の敷設やデバイスへの VPN クライアントのインストールが必要です。そのため、特に屋外を移動するようなデバイスには難しい構成でした。SORACOM Direct や SORACOM Door を用いることで、専用線や VPN を SORACOM プラットフォームで終端できます。デバイスは SORACOM プラットフォームへつなぐだけです。さらに VPG には複数の SIM を所属できるため、特にデバイスの台数が多い際に集約のメリットもあります。
IoT デバイスから SORACOM プラットフォームまでのネットワークがセキュア
IoT SIM を挿したデバイスから SORACOM プラットフォームまでは携帯キャリアのネットワークによりセキュリティが担保されています。また最近では、SORACOM Arc を活用して Wi-Fi や有線 LAN 経由でも SORACOM プラットフォームへセキュアリンクを構成する方法があります。
SORACOM プラットフォームサービスを利用可能
SORACOM では IoT 開発者を支援する様々なプラットフォームサービスを提供しています。たとえば、SORACOM プラットフォーム上のパケットをキャプチャする SORACOM Peek や、デバイスへ PING を送信する機能によって運用フェーズの問題解決が簡単になります。さらに、たとえば SORACOM Funk から Azure Function を呼び出して Storage Account へアクセスするための SAS キーを発行する、といった組み合わせも可能です。
費用の目安
2021 年 8 月 にソラコムにて検証した限り、30 日当たりで以下のような費用がかかりました。冗長構成や回線帯域によっても異なりますので目安としてください。また、SORACOM IoT SIM や Azure リソース (Virtual Machine など) などの費用も別途発生します。
Megaport
- MCR (1Gbps): 約 66,000 円
- MCR クラウド接続 (MCR – Azure 間): 約 11,000 円
- MCR クラウド接続 (MCR – SORACOM 間): 約 11,500 円
Microsoft Azure
- ExpressRoute 回線 (50Mbps, Standard SKU): 約 $55
- ExpressRoute ゲートウェイ (VpnGw1): 約 $140
- Public IP address : 約 $3
SORACOM
- VPG (Type-F) セットアップ料金: 約 1,078 円
- VPG (Type-F) 利用料金: 約39,600 円
- VPG (type-F) 専用接続料金: 約 7,920 円
まとめ
ネットワークに求められるセキュリティ要件は様々にありますが、お客様のニーズに合わせて使い分けていただけるようソラコムではサービスを拡充しています。
接続先に高いセキュリティ要件が求められるような場合にも、ぜひ SORACOM をご検討ください。また、SORACOM のセキュリティ全般については Technology Camp 2020 における以下のスライドをご参照ください。