Azure Virtual WAN の P2S VPN には2つの接続方法がある

はじめに

Virtual WAN のドキュメントにユーザー VPN クライアント用にグローバルまたはハブベースのプロファイルをダウンロードするという記事を見つけました。このドキュメントによると Virtual WAN の P2S VPN には「すべての Hub に存在する P2S Gateway に接続できるプロファイル」と「特定の Hub に存在する P2S Gateway にのみ接続できるプロファイル」があるとのことです。「知らんかった・・・」ということで動作確認しました。

なお、今回の動作確認では Japan East の Hub と East US の Hub をもつ Virtual WAN を利用しました。

ハブベースプロファイル

特定の Hub に存在する P2S Gateway にのみ接続できるプロファイルをハブベースプロファイルと呼びます。ハブプロファイルは Virtual Wan > Connectivity > Hubs > 接続したい Hub > Connectivity > User VPN (Point to Site) からダウンロードできます。

今回ダウンロードしたプロファイルに記載されている接続先は次の通りです。

• Japan East: hub0.q6ldgvdd6hwhux2qizybdc6fc.vpn.azure.com
• East US: hub1.q6ldgvdd6hwhux2qizybdc6fc.vpn.azure.com

これら接続先を Global DNS Lookingglass で調べた結果が次の通りです。どこから接続しても必ず特定の Hub に存在する P2S Gateway に接続するわけですから、名前解決する場所に関係なく同じ IP アドレスが返ってきます。

グローバルプロファイル

すべての Hub に存在する P2S Gateway に接続できるプロファイルをグローバルプロファイルと呼びます。グローバルプロファイルは Virtual WAN > Connectivity > User VPN configuration からダウンロードできます。

ダウンロードしたプロファイルに記載されている接続先は wan.q6ldgvdd6hwhux2qizybdc6fc.vpn.azure.com です。これら接続先を Global DNS Lookingglass で調べた結果が次の通りです。

名前解決する場所によって返ってくる IP アドレスが違います。東日本に近い韓国やサウジアラビアからの名前解決には Japan East の Hub に存在する P2S Gateway の 20.46.187.24 が返ってきます。一方で、East US に近いドイツやフランス、オランダからの名前解決には East US の Hub に存在する P2S Gateway の 52.150.38.112 が返ってきます。グローバルプロファイルの接続先である wan.q6ldgvdd6hwhux2qizybdc6fc.vpn.azure.com は CNAME が Traffic Manager を向いているので、トTraffic Manager の地理的ルーティングを使ってユーザに最も近い Hub の P2S Gateway の IP アドレスを返していると推測できます。

;; QUESTION SECTION:
;hub0.q6ldgvdd6hwhux2qizybdc6fc.vpn.azure.com. IN A

;; ANSWER SECTION:
hub0.q6ldgvdd6hwhux2qizybdc6fc.vpn.azure.com. 900 IN CNAME hubtm-c622d2f2-0fb1-4b0f-8cb1-bfbe1b79960d.trafficmanager.net.
hubtm-c622d2f2-0fb1-4b0f-8cb1-bfbe1b79960d.trafficmanager.net. 60 IN A 20.46.187.24

Virtual WAN のグローバルプロファイルを利用すれば、地理的に分散されたリモートアクセス VPN を簡単に構築できます。CNAME に設定されている Traffic Manager が生きている P2S Gateway に振ってくれるので、クライアントに設定されている VPN プロファイルは常に1つです。特定のリージョンの P2S Gateway で障害が発生した際に ユーザが VPN の接続先を切り替える必要はありません。素敵！