Azure VPN Gateway を安全に移行するために：Basic SKU IP 廃止対応とゲートウェイサブネット拡張

はじめに
この記事で達成すること（ゴール）
全体フロー
事前チェック
（必要に応じて）仮想ネットワークのアドレス空間を追加
ゲートウェイサブネットを「複数プレフィックス化」する
変更後の確認
Azure VPN Gateway 移行ツールの実行に進む前の最終チェック
付録：よくあるハマりどころ
まとめ
構築・移行のご支援について

はじめに

Basic SKU のパブリック IP は廃止スケジュールにあり、Standard SKU への移行が求められています。

Microsoft は Azure VPN Gateway 向けに移行ツールを提供しており、移行後もゲートウェイのグローバル IP は変更されません。

ただし、ゲートウェイサブネットに十分なアドレスの余裕（/27 以上、かつ 3 IP 以上の空き）がない場合、移行ツールがエラーになる可能性があります。

Azure VPN Gateway で Basic SKU のパブリック IP を使っている
ゲートウェイサブネットが /28（またはそれ以下）

本記事では、上記の環境向けに既存の仮想ネットワーク / ゲートウェイサブネットを壊さずに、Azure PowerShell で複数プレフィックスを追加し、移行要件を満たすまでの実装を、現場でそのまま使えるコマンド中心で解説します。

複数プレフィックス機能の基本と制約は Microsoft Learn の公式ドキュメントに沿っています。

この記事で達成すること（ゴール）

既存のゲートウェイサブネットに追加の IPv4 プレフィックスを付与し /27以上を満たす。
既存の Azure VPN Gateway を消さずに（再作成せずに）移行要件を満たす。
Azure PowerShell　での手順および注意点を把握する。

全体フロー

事前チェック（仮想ネットワークのアドレス空間・ピアリング・重複確認・権限確認）
（必要に応じて）仮想ネットワークのアドレス空間を追加
ゲートウェイサブネットを「複数プレフィックス化」する
変更後の確認
Azure VPN Gateway 移行ツールの実行に進む前の最終チェック

事前チェック

現在のゲートウェイサブネットと仮想ネットワークの範囲を確認
仮想ネットワークアドレス空間に、追加予定のプレフィックスを内包できる必要があります。
重複の確認
同一仮想ネットワーク内の他サブネットや、ピアリングした仮想ネットワークとプレフィックスが重複しないこと。
権限の確認
対象リソースグループ / 仮想ネットワークのネットワークリソース変更権限（Network Contributor 以上）を持つアカウントで作業。

（必要に応じて）仮想ネットワークのアドレス空間を追加

仮想ネットワークアドレス空間に空きが無い場合は先に仮想ネットワークアドレス空間を追加します。

ピアリング済みの仮想ネットワークの場合、仮想ネットワークのアドレス空間を変更したらピアリングの「同期」が必要です。

ピアリングされた仮想ネットワークのアドレス空間を更新する – Azure portal | Microsoft Learn

ゲートウェイサブネットを「複数プレフィックス化」する

例：既存のゲートウェイサブネットが 10.10.0.0/28 しかなく /27 以上の要件を満たせない。

仮想ネットワークアドレス空間に余白がある前提で、10.10.1.0/28 を追加して、/27 相当の可用 IP を確保します（2 つの /28 を束ねるイメージ）。

※ 実際のレンジは各環境のアドレス設計に合わせて置き換えてください。

Azure PowerShell

前提：Azure Portalにログインしてコマンドを実行

Azure PowerShell の公式手順は以下ドキュメントを参照。

https://learn.microsoft.com/ja-jp/azure/virtual-network/how-to-multiple-prefixes-subnet?tabs=powershell#update-an-existing-subnet-with-multiple-prefixes

# 仮想ネットワーク構成を取得
$vnet = Get-AzVirtualNetwork -ResourceGroupName '&lt;RESOURCEGROUPNAME&gt;' -Name '&lt;VNETNAME&gt;'

# サブネット構成に 2 番目のアドレス プレフィックスを追加
Set-AzVirtualNetworkSubnetConfig -Name '&lt;SUBNETNAME&gt;' -VirtualNetwork $vnet -AddressPrefix '10.10.0.0/28 ', '10.10.1.0/28'

# 仮想ネットワーク構成を取得

$vnet = Get-AzVirtualNetwork -ResourceGroupName '<RESOURCEGROUPNAME>' -Name '<VNETNAME>'

# サブネット構成に 2 番目のアドレスプレフィックスを追加

Set-AzVirtualNetworkSubnetConfig -Name '<SUBNETNAME>' -VirtualNetwork $vnet -AddressPrefix '10.10.0.0/28 ', '10.10.1.0/28'

# 更新された仮想ネットワーク構成を適用
$vnet | Set-AzVirtualNetwork

# 更新された仮想ネットワーク構成を適用

$vnet | Set-AzVirtualNetwork

# 結果確認
Get-AzVirtualNetwork -ResourceGroupName '&lt;RESOURCEGROUPNAME&gt;' -Name '&lt;VNETNAME&gt;' |
  Get-AzVirtualNetworkSubnetConfig -Name '&lt;SUBNETNAME&gt;' |
  ConvertTo-Json

# 結果確認

Get-AzVirtualNetwork -ResourceGroupName '<RESOURCEGROUPNAME>' -Name '<VNETNAME>' |

Get-AzVirtualNetworkSubnetConfig -Name '<SUBNETNAME>' |

ConvertTo-Json

ポイント

サブネット更新は「上書き」です。既存のプレフィックスも含めて -AddressPrefix に全て渡します（新規だけ渡すと既存が消えます）。

変更後の確認

ゲートウェイサブネットのプレフィックス一覧が 2 個以上になっているか。
使用可能なIPが増加しているか（Azure Portal で合算表示されます）。

Azure VPN Gateway 移行ツールの実行に進む前の最終チェック

ゲートウェイサブネットが /27 以上であり、3 IP 以上の空きがあること。
移行ツールの概算所要時間は準備～コミットで最大 2 時間、実移行 5–10 分の通信断が想定されることを理解しておく。

付録：よくあるハマりどころ

仮想ネットワークのアドレス空間に含まれていないレンジを追加しようとして失敗 → 先に仮想ネットワーク側にアドレス空間を追加する。
既存レンジを含めずに更新してしまい、意図せず置換 → 更新は上書きされます。

まとめ

/28 以下のゲートウェイサブネットでも、複数プレフィックスを追加して /27 相当のアドレス容量を確保すれば、移行の事前要件を満たせる。
Azure PowerShell で安全に実装でき、Azure VPN Gateway を作り直す必要はない。

構築・移行のご支援について

本番環境での切り戻し設計（万一のロールバック）やピアリングが複雑な大規模仮想ネットワークでのアドレス空間再設計や Azure VPN Gateway の移行までの一連の作業などは環境固有の判断が肝になります。

双日テックイノベーションでは、Azure 環境の構築から運用設計まで幅広く支援できますので、安全第一で移行を完了したい場合は、ぜひお気軽にご相談ください。

この記事を書いた人

Azure支援デスク管理者: 双日テックイノベーション（旧：日商エレクトロニクス）特設サイト「Azure導入支援デスク」サイトマスターです。

この投稿者の最新の記事

この投稿者の記事一覧

Azure VPN Gateway を安全に移行するために：Basic SKU IP 廃止対応とゲートウェイ サブネット拡張