Virtual Private Gateway
専用ネットワークゲートウェイ
Virtual Private Gateway (以下、VPG) は SORACOM プラットフォーム上のお客様専用のネットワークゲートウェイ(インターネット側の出口)です。お客様専用ゲートウェイのため、許可しないアクセス先のフィルタリングやお客様ネットワークとのプライベート接続といったお客様のご要望に応じたカスタマイズをお客様自身で設定できます。
現在新たにご利用いただけるVPG には、以下の4つの種類があります
| Type-E | 共通オプション機能およびセキュアなデバイス間通信を安価に利用できます |
|---|---|
| Type-F | Type-Eで利用できるすべての機能に加えて、お客様ネットワークとのプライベート接続、SIMベースルーティングを利用できます |
| Type-G | Type-Fと同様の機能が使用でき、かつ 10 万回線以上の大規模 IoT システムに対応します |
| Type-F2 | Type-Eで利用できるすべての機能に加えて、お客様ネットワークとのプライベート接続、プライベート接続されたネットワーク内での常時双方向IP通信、高度なルーティング設定を特別な設計なく利用できます Type-F2は現在Public Betaとなっております。 |
VPG の種類とご利用いただける機能
| 機能 |  Type-E |
 Type-F |
 Type-G |
 Type-F2 |
|---|---|---|---|---|
| 最大収容可能回線数 | 1,000回線まで | 10万回線まで | 制限はありません | 10万回線まで |
| SORACOM Air for セルラー※1 | ○ | ○ | ○ | ○ |
| SORACOM Arc | ○ | ○ | ○ | ○ |
| 共通オプション機能 | ○ | ○ | ○ | ○ |
| インターネットゲートウェイの設定 | – | ○ | ○ | ○ |
| AWSとのプライベート接続(SORACOM Canal) | – | ○ | ○ | ○ |
| VPNによるプライベート接続(SORACOM Door) | – | ○ | ○ | ○ |
| 専用線によるプライベート接続(SORACOM Direct) | – | ○ | ○ | ○ |
| プライベート接続されたネットワーク内のIP通信 | – | ○※2 | ○※2 | ○※3 |
| VPGへの固定グローバルIPアドレス付与 | ○ | ○ | ○ | ○ |
| SIM ベースルーティング | – | ○ | ○ | – |
※1:SORACOM Air for Sigfox、SORACOM Air for LoRaWANには対応しておりません。
※2:お客様システムにVXLAN終端などの環境設定が必要となります。
※3:プライベート接続以外の特別な設定は不要です。
VPG の利用方法の詳細は、Usersドキュメント>Virtual Private Gateway (VPG)をご確認ください。
VPGのご利用料金
共通オプション機能
Type-E, Type-F, Type-G, Type-F2 共通で利用できる機能は以下のとおりです。
- デバイス間通信サービス (SORACOM Gate D2D)
- アウトバウンド ルーティングフィルター
- 固定グローバル IP アドレスオプション
- アプリケーション サービス等利用料割引
- パケットキャプチャサービス (SORACOM Peek for VPG)
デバイス間通信サービス (SORACOM Gate D2D)
デバイス間通信は、SORACOM Air で接続されたデバイス同士がインターネットを経由せずに SORACOM Virtual Private Gateway (VPG) 経由での閉域通信を実現します。同一のサブネットに含まれるため、NAT やファイアウォールによる制限を受けずに、プライベートアドレスを使いながらお互いにアクセスが可能となります。
例えば、「カメラなどからのストリームデータの受信のために中継点を通さずに、ピア・ツー・ピアで接続したい」といった用途に対して、デバイスにグローバル IP アドレスを割り振ることなく実現することができます。
アウトバウンドルーティングフィルター
VPG からインターネット、お客様ネットワークへのアクセスを IP アドレスレンジで許可/拒否できます。
例えば、お客様は想定しているサーバーのみにアクセスを許可し、意図していないサーバーへの通信を回避できます。
ご利用方法はアウトバウンドルーティングフィルターを設定するをご確認ください。
固定グローバルIPアドレスオプション
VPG のオプションとして、インターネット出口側の IP アドレス (ソース IP アドレス) を固定できます。
これによりお客様は、IoT バックエンドシステムへのアクセス制御を IP アドレスベースで容易に設定できます。VPG を適用した SIM グループに含まれる IoT SIM からのアクセスは、必ず 2 つの IP アドレスのうちいずれかをソース IP アドレスとした通信となります。IoT SIM の枚数が増えても同じグローバル IP アドレスからとなりますので、容易な運用でアクセス制御が可能となります。
また、SORACOM Beam (以下 Beam) をお使いの場合は、Beam 通信のアクセス元 IP アドレスもこの IP アドレスからとなります。よりセキュアに Beam をご利用いただけます。(Air for SigfoxおよびAir for LoRaWAN の Beam 送信元 IP アドレスには適用できません。)
なお SORACOM ではデバイスからの通信が外部へ送信される際に NAT されているため、固定したグローバル IP アドレスに対してインターネットからアクセスしてもデバイスへは到達できません。
- 当機能は、インターネット接続オプションありの VPG が対象です。
- 別途料金が発生します。料金はこちらからご確認ください。
アプリケーションサービス等利用料割引
VPG に所属した SIM は「CHAP 認証機能」「カスタム DNS 機能」を無料で利用できます。さらに VPG のタイプに応じて SORACOM Beam、SORACOM Funnel、SORACOM Funk の利用が割引されます。割引金額の詳細はVPG 料金ページからご確認ください。
パケットキャプチャサービス (SORACOM Peek for VPG)
VPG を通るパケットをオンデマンドにキャプチャするサービスです。詳しくは Peek for VPG をご覧ください。
インターネットゲートウェイの設定
VPG の作成時にインターネット通信の可否を指定できます。
例えば、お客様ネットワークとのプライベート接続のみを利用する場合に、インターネットゲートウェイを OFF にすると、VPG を利用するデバイスのインターネットアクセスが無効化されます。SORACOM Canal、SORACOM Door、SORACOM Direct を利用したプライベート接続を閉域にする際に利用できます。
なお VPG Type-E ではインターネットゲートウェイは常にオンとなり、お客様はオン/オフを設定できません。
お客様ネットワークとのプライベート接続
Type-F, Type-G, Type-F2を利用したお客様ネットワークとのプライベート接続には AWS との VPC ピアリング接続, Transit Gateway 接続, AWS VPC Attachment 接続, AWS Transit Gateway ピアリング接続(SORACOM Canal)、各種クラウド・オンプレミス環境との VPN 接続(SORACOM Door) 、及び専用線接続(SORACOM Direct) が利用できます。
さらにType-F2ではプライベート接続以外の特別な設定は不要で、プライベート接続されたネットワーク内のIP通信が可能です。
※Type-F, Type-G ではプライベート接続に加え、「クラウドからデバイスへの通信 (SORACOM Gate C2D)」「透過トラフィック処理サービス (SORACOM Junction)」を利用し、お客様の環境にGate Peer(VXLAN環境)を設定することでプライベート接続されたネットワーク内のIP通信が可能です。
概要、ご利用方法は、各サービスをご確認ください。
- Amazon VPC ピアリング (SORACOM Canal)
Amazon Web Services(AWS)上に構築したお客様の仮想プライベートクラウド環境(VPC)と SORACOM プラットフォームのVPCをピアリング接続するプライベート接続サービス - AWS Transit Gateway接続 (SORACOM Canal)
SORACOM プラットフォームのVPCからお客様のAmazon Web Services(AWS) Transit Gateway にAttachment接続、またはSORACOM プラットフォームのAmazon Web Services(AWS) Transit Gatewayからお客様のVPCにAttachment接続、またはSORACOM プラットフォームのAmazon Web Services(AWS) Transit Gatewayとお客様のAmazon Web Services(AWS) Transit Gatewayをピアリング接続するプライベート接続サービスです。 - VPN 接続 (SORACOM Door)
お客様のシステムを仮想専用線で接続するサービスです。 - 専用線接続 (SORACOM Direct)
ソラコムからお客様のシステムを専用線で接続する専用線接続サービスです。 - クラウドからデバイスへの通信 (SORACOM Gate C2D)
IoT デバイスとのデバイス LAN 接続サービスを提供するサービスです。 - SORACOM Junction
VPG を通るパケットのトラフィックのコピー、経路の変更、パケットの統計情報を提供するサービスです。
SIM ベースルーティング
「IoT SIM を利用するルーター」配下のネットワークに含まれるデバイスに、ルーターを越えてアクセスするには、ルーターにおいてデバイスごとにポート転送設定やトンネル接続設定を行う必要があり、ネットワーク設計が難しい、特定の通信プロトコルが利用できない、運用に手間がかかるなどの課題があります。
VPG の SIM ベースルーティングを利用すると、ポート転送設定やトンネル接続設定をすることなく、ルーターの LAN の IP アドレスレンジに対して、ルーターで使用する IoT SIM を紐づけるだけで、ルーターの先のデバイスにアクセスできます。
Type-F, Type-G でご利用いただけます。
利用方法はVirtual Private Gateway (VPG) の特徴 | SIM ベースルーティングをご確認ください。
ソラコムが管理する VPG
Private Garden
Private Garden は、アウトバウンドルーティングフィルターですべての宛先を拒否したソラコムの管理する VPG です。デバイスから直接インターネットへはアクセスできませんが、Beam, Funnel, Funk, Harvest, Napter は利用できます。SORACOM の提供するアプリケーションサービスのみを利用する場合に手軽な閉域環境として利用できます。
Private Garden はソラコムが用意したVPG のため、お客様が VPG をセットアップする必要はありません。利用方法については、Private Garden 機能を使用するをご確認ください。
なお、Private Garden はソラコムが用意するため VPG 作成料金や VPG 基本料金は発生しませんが、アプリケーションサービス等利用料割引やデバイス間通信サービス (SORACOM Gate D2D)、パケットキャプチャサービス (SORACOM Peek for VPG) は利用できません。
Public Gate
Public Gate は、デバイス間通信 (SORACOM Gate D2D) が有効となったソラコムの用意する VPG です。デバイス間通信を簡易的に試すことができます。他のお客様とも共有の VPG なためセキュリティ面での注意は必要ですが、検証作業などデバイス間通信を一時的に試したい時に利用できます。
Public Gate はソラコムが用意したVPG のため、お客様が VPG をセットアップする必要はありません。利用方法については、SORACOM Gate の Public Gate 機能でデバイス間通信を試すをご確認ください。
なお、Public Gate はソラコムが用意するため VPG 作成料金や VPG 基本料金は発生しませんが、アウトバウンドルーティングフィルターや固定グローバル IP アドレスオプション、アプリケーションサービス等利用料割引、パケットキャプチャサービス (SORACOM Peek for VPG) は利用できません。
