クラウドへのVPN接続はIaaSのほかにも、Office 365に代表されるSaaSでも利用できる。ただし注意すべきポイントはIaaSの場合と大きく異なる。今回はOffice 365を例にとり、SaaS/PaaSでVPN接続を使う際のネットワーク設計を解説する。

IaaS接続には登場しないグローバルIPアドレス対応

 ネットワーク設計の観点からIaaSとSaaS/PaaSでの最大の違いは何だろうか。それは「グローバルIPアドレス」である。

 IaaSは一種の場所貸しだ。ユーザー企業は自社でIaaS上にサーバーを構築する。それらサーバー群には、ユーザーが管理しているプライベートIPアドレスを割り当てることになる。

 対してSaaS/PaaSは、クラウド事業者が様々な機能を用意し、サービスとしてインターネット経由で公開される。基本的には全ユーザーが同じサーバー群へアクセスする。サーバー群はインターネット上に公開される前提であり、当然グローバルIPアドレスで運用されている。

 具体的には2つのポイントがある。

(1)VPNを前提としたネットワーク構成において、「グローバルIPアドレス=インターネット上にあるサービス」と通信する際、インターネットの出口である「インターネットゲートウエイ(GW)」を経由して行われる。インターネットGWはVPN側にデフォルトルート(0.0.0.0/0)を広告するため、VPNの中にグローバルIPアドレスが流通することはない。しかし、Office 365とVPN接続するには、マイクロソフト側からOffice 365のサーバー群の経路情報を直接VPNに流通させるか、何らかの工夫が必要となる。

(2)さらに図1のように、VPN経由でマイクロソフト側にアクセスするには、NAPT/NATを使って、送信元IPアドレスをプライベートIPアドレスから、グローバルIPアドレスに変換する必要がある。どのユーザーも自由に利用できるプライベートIPアドレスだとユーザー間で重複するため、マイクロソフト側はどのアドレス宛てに通信を返せばよいか、判別できないからである。

図1●Office 365を使うためにNAPTが必要
図1●Office 365を使うためにNAPTが必要
[画像のクリックで拡大表示]

 グローバルIPアドレスに関連するこの2つのポイントがIaaSとの最も大きな差異であり、SaaS/PaaSのVPN接続を難しくしているポイントでもある。