<hr/> <p>style_prompt: senior_cloud_architect theme: Windows Server 2016 Migration to Azure (S2S VPN Hybrid) target_audience: IT Managers, Cloud Engineers expertise_level: Advanced keywords: Azure VPN Gateway, Site-to-Site VPN, Windows Server 2016 EOS, Azure Migrate, Hybrid Cloud, Bicep, Entra ID date_generated: 2024-06-03</p> <hr/> <p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">Windows Server 2016 EOS対応：Azure VPN Gatewayを用いた堅牢なハイブリッド移行戦略</h1> <p><strong>【導入】</strong> 延長サポート終了が迫るWindows Server 2016環境を、安定稼働を維持しながら段階的にAzureへ移行するためのセキュアなハイブリッド接続基盤を確立します。</p> <h2 class="wp-block-heading">【アーキテクチャ設計】</h2> <p>本移行戦略の核は、オンプレミスデータセンターとAzure Virtual Network (VNet) を透過的に接続するサイト間VPN (S2S VPN) の構築です。Azure側には、高可用性とスループットを確保するために<strong>Azure VPN Gateway (VpnGw2以上、可能であればZone-redundant)</strong> を導入します。このVPN Gatewayは、オンプレミス側のVPNデバイス（ファイアウォール/ルーター）のエンドポイント情報を定義した<strong>Local Network Gateway (LGW)</strong> とIPsec/IKEv2トンネルを形成します。</p> <p>この構成により、両環境は単一のネットワークセグメントのように動作するため、サーバー移行ツール（Azure Migrate）やデータ同期（DFS-Rなど）がシームレスに実行できます。移行中はAzure VNetが拡張データセンターとして機能し、リスクを抑えながらサービスを段階的にクラウドへシフトすることが可能です。</p> <h3 class="wp-block-heading">Mermaid図解</h3> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph LR subgraph On-Premises Data Center ONP_Router["On-Premises VPN Device / Firewall"] -- IPsec/IKE v2 --> LGW("Local Network Gateway Definition") ONP_Server["Windows Server 2016 / 2019"] --> ONP_Router end subgraph Azure Region("VNet: 10.0.0.0/16") direction TB GWY_Subnet[GatewaySubnet] VN_Server["Windows Server 2022 VM"] GWY_Subnet <--> VGW["Azure VPN Gateway(\"VpnGw2/3, Zonal\")"] VN_Server --> VN_Subnet("Workload Subnet: 10.0.1.0/24") end ONP_Router -.-|Internet / IPsec Tunnel| VGW VGW -- S2S Connection --> LGW VGW -- Transit Routing --> VN_Subnet </pre></div> <h2 class="wp-block-heading">【実装・デプロイ手順】</h2> <p>Azure CLIを用いて、S2S VPN接続に必要な主要コンポーネント（VNet、VPN Gateway、Local Network Gateway、Connection）を構築します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 1. 変数設定 RG_NAME="RG-Hybrid-Migration" LOC="japaneast" VNET_NAME="VNet-MigrationHub" VNET_PREFIX="10.0.0.0/16" GW_SUBNET="10.0.255.0/24" ONP_PUBLIC_IP="203.0.113.1" # オンプレミス側のグローバルIP ONP_PREFIX="192.168.1.0/24" # オンプレミス側のローカルアドレス空間 SHARED_KEY="MySecurePSK-ABC-123" # 共通鍵 (強固なものを設定) # 2. リソースグループとVNetの作成 az group create --name $RG_NAME --location $LOC az network vnet create --resource-group $RG_NAME --name $VNET_NAME \ --address-prefix $VNET_PREFIX --subnet-name default --subnet-prefix 10.0.1.0/24 # 3. GatewaySubnetの作成 (名称は必ず 'GatewaySubnet' とする) az network vnet subnet create --resource-group $RG_NAME --vnet-name $VNET_NAME \ --name GatewaySubnet --address-prefix $GW_SUBNET # 4. VPN Gatewayに必要なPublic IPアドレスの割り当て (Standard SKU, Static) az network public-ip create --resource-group $RG_NAME --name "PIP-VpnGw" \ --allocation-method Static --sku Standard --location $LOC # 5. Azure VPN Gatewayのデプロイ (デプロイに30～45分を要する) # SKU: VpnGw2 (最大1.25 Gbps、SLA対応) az network vnet-gateway create --resource-group $RG_NAME --name "VpnGw-Hub" \ --location $LOC --public-ip-address "PIP-VpnGw" \ --vnet $VNET_NAME --gateway-type Vpn --sku VpnGw2 \ --vpn-type RouteBased --as-number 65515 # ルートベースVPN推奨 # 6. Local Network Gateway (オンプレミス側の定義) の作成 az network local-gateway create --resource-group $RG_NAME --name "LGW-OnPrem" \ --gateway-ip-address $ONP_PUBLIC_IP --local-address-prefixes $ONP_PREFIX \ --location $LOC # 7. S2S接続の確立 az network vnet-gateway connection create --resource-group $RG_NAME --name "Conn-S2S" \ --location $LOC --vnet-gateway1 "VpnGw-Hub" --local-gateway2 "LGW-OnPrem" \ --connection-type IPsec --shared-key $SHARED_KEY </pre> </div> <p><em>注: 上記CLI実行後、オンプレミス側のVPNデバイスにて、Azure VPN GatewayのパブリックIPアドレス、LGWに設定した共通鍵を用いて、IPsecトンネル設定を完了させる必要があります。</em></p> <h2 class="wp-block-heading">【アイデンティティとセキュリティ】</h2> <p>ハイブリッド移行におけるセキュリティ設計は、Entra IDとAzureネイティブな防御サービスを組み合わせ、ゼロトラストの原則に基づいて実行します。</p> <ol class="wp-block-list"> <li><p><strong>ハイブリッドID管理 (Entra ID)</strong>:</p> <ul> <li><p><strong>Entra ID Connect</strong>を使用して、オンプレミスのActive DirectoryとEntra IDを同期します。これにより、移行後のWindows Server 2022 VMや、クラウド内の管理タスクに対する認証が一元化されます。</p></li> <li><p>管理者アクセスには、<strong>Entra ID PIM (Privileged Identity Management)</strong> を利用し、特権ロールを必要な期間だけ昇格させるJITアクセスを採用します。</p></li> </ul></li> <li><p><strong>ネットワークセキュリティ境界</strong>:</p> <ul> <li><p><strong>Azure Firewall</strong>: ハブVNetにAzure Firewallを配置し、オンプレミス・Azure間のトラフィックや、Azure VMからインターネットへのトラフィックを集中管理・検査します。</p></li> <li><p><strong>NSG (Network Security Group)</strong>: 各サブネットに適用し、最小限のポート（移行トラフィック、ADDSトラフィックなど）のみを許可するよう、ルールを厳密に定義します。</p></li> </ul></li> <li><p><strong>クラウドネイティブな脅威検出</strong>:</p> <ul> <li><strong>Microsoft Defender for Cloud (Server Plan 2)</strong>: 移行後のすべてのVMに必須で有効化します。これにより、OSレベルの脆弱性管理、マルウェア対策、ファイル整合性の監視、そしてS2Sトンネルを通過する不正な通信の検出が可能となります。</li> </ul></li> </ol> <h2 class="wp-block-heading">【運用・コスト最適化】</h2> <h3 class="wp-block-heading">運用：可観測性</h3> <p><strong>Azure MonitorとLog Analytics</strong>を主要な監視基盤とします。</p> <ol class="wp-block-list"> <li><p><strong>VPN Gatewayの監視</strong>: VPN Gatewayの診断設定を有効化し、<code>GatewayDiagnosticLog</code>と<code>TunnelDiagnosticLog</code>をLog Analytics Workspaceに転送します。これにより、トンネルの切断や接続エラー、スループット低下を即座に検知し、ハイブリッド接続の安定性を確保します。</p></li> <li><p><strong>Network Watcher</strong>: S2S接続の接続状態（Connection Monitor）や、パケットの到達性テストを定期的に実施し、ルーティングの問題が発生していないかを検証します。</p></li> </ol> <h3 class="wp-block-heading">コスト最適化</h3> <ol class="wp-block-list"> <li><p><strong>VPN Gateway SKUの最適化</strong>: 移行期間中はデータ転送量が多い高帯域のSKU（VpnGw2/3）を使用しますが、移行完了後は必要な恒常的なトラフィック量とSLAに基づき、より安価なSKU（例：VpnGw1）へのダウングレードを検討します。</p></li> <li><p><strong>Azure Hybrid Benefit (AHB)</strong>: オンプレミスでソフトウェアアシュアランス（SA）が付帯したWindows Serverライセンスを保有している場合、Azure VMに適用することで、OSライセンスコストを大幅に削減します。</p></li> <li><p><strong>予約インスタンス (RI)</strong>: 移行が完了し、VMの稼働期間が確定したら、すぐに1年または3年の予約インスタンスを購入します。これはAzure VMコストを最大72%削減する最も効果的な手段です。</p></li> </ol> <h2 class="wp-block-heading">【まとめ】</h2> <p>Windows Server 2016のAzure移行をS2S VPN接続で成功させるための重要事項は以下の3点です。</p> <ol class="wp-block-list"> <li><p><strong>安定した接続のためのSKU選定</strong>: 移行中のデータ転送量を許容できる高スループットなVPN Gateway SKU（VpnGw2以上）を初期段階で選択し、移行完了後にコスト最適化のためのダウングレードを計画的に実行します。</p></li> <li><p><strong>Entra IDによる一貫したID基盤</strong>: 移行初期にEntra ID Connectを実装し、オンプレミスとクラウドのIDを統合することで、移行後の管理負荷とセキュリティギャップを最小限に抑えます。</p></li> <li><p><strong>Defender for Cloudの強制適用</strong>: 移行後のWindows Server 2022 VMに対し、デプロイ時にMicrosoft Defender for Cloudを適用することを必須とし、OSとネットワーク境界の両方で脅威からの保護を徹底します。</p></li> </ol>

style_prompt: senior_cloud_architect theme: Windows Server 2016 Migration to Azure (S2S VPN Hybrid) target_audience: IT Managers, Cloud Engineers expertise_level: Advanced keywords: Azure VPN Gateway, Site-to-Site VPN, Windows Server 2016 EOS, Azure Migrate, Hybrid Cloud, Bicep, Entra ID date_generated: 2024-06-03

本記事はGeminiの出力をプロンプト工学で整理した業務ドラフト（未検証）です。

Windows Server 2016 EOS対応：Azure VPN Gatewayを用いた堅牢なハイブリッド移行戦略

【導入】 延長サポート終了が迫るWindows Server 2016環境を、安定稼働を維持しながら段階的にAzureへ移行するためのセキュアなハイブリッド接続基盤を確立します。

【アーキテクチャ設計】
1. Mermaid図解
【実装・デプロイ手順】
【アイデンティティとセキュリティ】
【運用・コスト最適化】
1. 運用：可観測性
2. コスト最適化
【まとめ】
1. 共有:
2. いいね:

【アーキテクチャ設計】

本移行戦略の核は、オンプレミスデータセンターとAzure Virtual Network (VNet) を透過的に接続するサイト間VPN (S2S VPN) の構築です。Azure側には、高可用性とスループットを確保するためにAzure VPN Gateway (VpnGw2以上、可能であればZone-redundant) を導入します。このVPN Gatewayは、オンプレミス側のVPNデバイス（ファイアウォール/ルーター）のエンドポイント情報を定義したLocal Network Gateway (LGW) とIPsec/IKEv2トンネルを形成します。

この構成により、両環境は単一のネットワークセグメントのように動作するため、サーバー移行ツール（Azure Migrate）やデータ同期（DFS-Rなど）がシームレスに実行できます。移行中はAzure VNetが拡張データセンターとして機能し、リスクを抑えながらサービスを段階的にクラウドへシフトすることが可能です。

Mermaid図解

graph LR
    subgraph On-Premises Data Center
        ONP_Router["On-Premises VPN Device / Firewall"] -- IPsec/IKE v2 --> LGW("Local Network Gateway Definition")
        ONP_Server["Windows Server 2016 / 2019"] --> ONP_Router
    end

    subgraph Azure Region("VNet: 10.0.0.0/16")
        direction TB
        GWY_Subnet[GatewaySubnet]
        VN_Server["Windows Server 2022 VM"]

        GWY_Subnet  VGW["Azure VPN Gateway(\"VpnGw2/3, Zonal\")"]
        VN_Server --> VN_Subnet("Workload Subnet: 10.0.1.0/24")
    end

    ONP_Router -.-|Internet / IPsec Tunnel| VGW
    VGW -- S2S Connection --> LGW

    VGW -- Transit Routing --> VN_Subnet

【実装・デプロイ手順】

Azure CLIを用いて、S2S VPN接続に必要な主要コンポーネント（VNet、VPN Gateway、Local Network Gateway、Connection）を構築します。

# 1. 変数設定

RG_NAME="RG-Hybrid-Migration"
LOC="japaneast"
VNET_NAME="VNet-MigrationHub"
VNET_PREFIX="10.0.0.0/16"
GW_SUBNET="10.0.255.0/24" 
ONP_PUBLIC_IP="203.0.113.1"      # オンプレミス側のグローバルIP
ONP_PREFIX="192.168.1.0/24"      # オンプレミス側のローカルアドレス空間
SHARED_KEY="MySecurePSK-ABC-123" # 共通鍵 (強固なものを設定)

# 2. リソースグループとVNetの作成

az group create --name $RG_NAME --location $LOC
az network vnet create --resource-group $RG_NAME --name $VNET_NAME \
    --address-prefix $VNET_PREFIX --subnet-name default --subnet-prefix 10.0.1.0/24

# 3. GatewaySubnetの作成 (名称は必ず 'GatewaySubnet' とする)

az network vnet subnet create --resource-group $RG_NAME --vnet-name $VNET_NAME \
    --name GatewaySubnet --address-prefix $GW_SUBNET

# 4. VPN Gatewayに必要なPublic IPアドレスの割り当て (Standard SKU, Static)

az network public-ip create --resource-group $RG_NAME --name "PIP-VpnGw" \
    --allocation-method Static --sku Standard --location $LOC

# 5. Azure VPN Gatewayのデプロイ (デプロイに30～45分を要する)


# SKU: VpnGw2 (最大1.25 Gbps、SLA対応)

az network vnet-gateway create --resource-group $RG_NAME --name "VpnGw-Hub" \
    --location $LOC --public-ip-address "PIP-VpnGw" \
    --vnet $VNET_NAME --gateway-type Vpn --sku VpnGw2 \
    --vpn-type RouteBased --as-number 65515 # ルートベースVPN推奨

# 6. Local Network Gateway (オンプレミス側の定義) の作成

az network local-gateway create --resource-group $RG_NAME --name "LGW-OnPrem" \
    --gateway-ip-address $ONP_PUBLIC_IP --local-address-prefixes $ONP_PREFIX \
    --location $LOC

# 7. S2S接続の確立

az network vnet-gateway connection create --resource-group $RG_NAME --name "Conn-S2S" \
    --location $LOC --vnet-gateway1 "VpnGw-Hub" --local-gateway2 "LGW-OnPrem" \
    --connection-type IPsec --shared-key $SHARED_KEY

注: 上記CLI実行後、オンプレミス側のVPNデバイスにて、Azure VPN GatewayのパブリックIPアドレス、LGWに設定した共通鍵を用いて、IPsecトンネル設定を完了させる必要があります。

【アイデンティティとセキュリティ】

ハイブリッド移行におけるセキュリティ設計は、Entra IDとAzureネイティブな防御サービスを組み合わせ、ゼロトラストの原則に基づいて実行します。

ハイブリッドID管理 (Entra ID):
- Entra ID Connectを使用して、オンプレミスのActive DirectoryとEntra IDを同期します。これにより、移行後のWindows Server 2022 VMや、クラウド内の管理タスクに対する認証が一元化されます。
- 管理者アクセスには、Entra ID PIM (Privileged Identity Management) を利用し、特権ロールを必要な期間だけ昇格させるJITアクセスを採用します。
ネットワークセキュリティ境界:
- Azure Firewall: ハブVNetにAzure Firewallを配置し、オンプレミス・Azure間のトラフィックや、Azure VMからインターネットへのトラフィックを集中管理・検査します。
- NSG (Network Security Group): 各サブネットに適用し、最小限のポート（移行トラフィック、ADDSトラフィックなど）のみを許可するよう、ルールを厳密に定義します。
クラウドネイティブな脅威検出:
- Microsoft Defender for Cloud (Server Plan 2): 移行後のすべてのVMに必須で有効化します。これにより、OSレベルの脆弱性管理、マルウェア対策、ファイル整合性の監視、そしてS2Sトンネルを通過する不正な通信の検出が可能となります。

【運用・コスト最適化】

運用：可観測性

Azure MonitorとLog Analyticsを主要な監視基盤とします。

VPN Gatewayの監視: VPN Gatewayの診断設定を有効化し、GatewayDiagnosticLogとTunnelDiagnosticLogをLog Analytics Workspaceに転送します。これにより、トンネルの切断や接続エラー、スループット低下を即座に検知し、ハイブリッド接続の安定性を確保します。
Network Watcher: S2S接続の接続状態（Connection Monitor）や、パケットの到達性テストを定期的に実施し、ルーティングの問題が発生していないかを検証します。

コスト最適化

VPN Gateway SKUの最適化: 移行期間中はデータ転送量が多い高帯域のSKU（VpnGw2/3）を使用しますが、移行完了後は必要な恒常的なトラフィック量とSLAに基づき、より安価なSKU（例：VpnGw1）へのダウングレードを検討します。
Azure Hybrid Benefit (AHB): オンプレミスでソフトウェアアシュアランス（SA）が付帯したWindows Serverライセンスを保有している場合、Azure VMに適用することで、OSライセンスコストを大幅に削減します。
予約インスタンス (RI): 移行が完了し、VMの稼働期間が確定したら、すぐに1年または3年の予約インスタンスを購入します。これはAzure VMコストを最大72%削減する最も効果的な手段です。

【まとめ】

Windows Server 2016のAzure移行をS2S VPN接続で成功させるための重要事項は以下の3点です。

安定した接続のためのSKU選定: 移行中のデータ転送量を許容できる高スループットなVPN Gateway SKU（VpnGw2以上）を初期段階で選択し、移行完了後にコスト最適化のためのダウングレードを計画的に実行します。
Entra IDによる一貫したID基盤: 移行初期にEntra ID Connectを実装し、オンプレミスとクラウドのIDを統合することで、移行後の管理負荷とセキュリティギャップを最小限に抑えます。
Defender for Cloudの強制適用: 移行後のWindows Server 2022 VMに対し、デプロイ時にMicrosoft Defender for Cloudを適用することを必須とし、OSとネットワーク境界の両方で脅威からの保護を徹底します。

ライセンス：本記事のテキスト/コードは特記なき限り CC BY 4.0 です。引用の際は出典URL（本ページ）を明記してください。
利用ポリシーもご参照ください。