Basic SKUのVPNゲートウェイを作るかどうかを検討している際に、Basic SKUのパブリックIPアドレスが2025年9月30日で廃止されるという情報を見つけました。発表されたのが2022年10月7日。完全に見落としていました…。
影響度が高そうなので詳細を調べてみました。
影響があるサービス
- Basic SKUのパブリックIPアドレスを関連付けている仮想マシン
- Basic SKUのLoad Balancer
- VPN Gateway(Basic SKU、BasicパブリックIPを紐づけているVpnGw1-5)
- ExpressRouteゲートウェイ(Basic SKUのパブリックIPを紐づけているもの)
- Application Gateway v1
情報元:Basic パブリック IP アドレスの Standard SKU へのアップグレード - ガイダンス
考えられる影響度
- Basic SKUのパブリックIPアドレスからStandard SKUにアップグレードする必要があるため、アップグレードの作業を行う際には一定期間の通信断が発生
- サービスによってはアップグレードによる方法が取れないため、新規で作り直す必要がある。
- 作り直しパターンの場合はIPアドレスが変わってしまうため、IPアドレス単位で通信制御している場合は制御設定の修正も必要。
- アップグレードは一方向で切り戻しができないので、1回作業に着手すると完了するまで前進対応するしかない
- Basic SKUとStandard SKUでセキュリティの考え方が異なるため、NSGの設定によっては見直しが必要。Basicは既定で開いていて、Standardは明示的に許可しないとブロックされる。
どのパターンであっても通信断、サービス停止は発生してしまうため、本番稼働しているものであれば、計画的に進めないと障害につながります。
廃止案内によると2025年3月31日以降は新たにBasic SKUのパブリックIPアドレスが作成できなくなるようです。他にもサービスごとに古いSKUでのリソース作成ができなくなる時期が設定されているものがあるので、事前検証を行う場合はその期日も抑えておく必要があります。
例えば、Application Gateway v1は2024年8月28日以降、新規作成できないようです。
2026 年 4 月 28 日までに Application Gateway を V1 SKU から V2 SKU に移行する
Basic SKUのパブリックIPをアップグレードする場合、IPアドレスは変わりませんが、必ず「非ゾーン」になります。Standard SKUに切り替えるのを機にゾーン冗長へ変更したい場合は作り直す必要があります。作り直すとIPアドレスは変わります。
自分の環境で影響を受けるリソースの特定
Azure PortalでパブリックIPアドレスの管理画面を開きます。
「フィルタの追加」を選択し、フィルター:SKU、値:Basic と指定することでBasic SKUのパブリックIPアドレスのみを表示できます。表示されたIPアドレスと紐づいているリソースが影響を受けるものです。
サービス別移行方法
仮想マシン
Azure Portalから仮想マシンを作成するとデフォルトがBasic SKUのパブリックIPアドレスになっていたので、Basic SKUが紐づいている仮想マシンは意外と存在するのではないでしょうか。
仮想マシンの場合の移行手順は概ね以下のようになります。
- パブリックIPが「動的」になっている場合は「静的」に切り替える。
- 仮想マシンから割り当てを解除する
- パブリックIPをStandardにアップグレード
- 仮想マシンに再アタッチ
詳しく移行検証されている記事がこちらです。
台数が多い場合は公式のアップグレードスクリプトを使うのがよいかもしれません。
Load Balancer
詳しい移行手順はこちらの記事が参考になります。
IPアドレスは変更なく移行できます。
スクリプトを使うことでStandard SKUのLoad Balancer作成、設定移行、IPアドレスのアップグレード・再割り当ての一連の処理を自動的におこなうことができます。ただし、一部設定の再設定や古いBasic SKUのLoad Balancerの削除は手動で実施する必要があるようです。
VPN Gateway
2024/6/7追記
Basic SKUのVPN GatewayでもStandard SKUのパブリックIPアドレスが使えるように改修予定のようです。現時点では具体的な移行方法は提示されていませんが、引き続きBasic SKUのVPN Gatewayは使えると考えてよさそうです。
VPN Gateway Basic SKU も廃止されますか?
いいえ、VPN Gateway Basic SKU は廃止されません。 PowerShell または CLI 経由で、Basic ゲートウェイ SKU を使用して VPN ゲートウェイを作成できます。 現在、VPN Gateway Basic ゲートウェイ SKU では、Basic SKU パブリック IP アドレス リソースのみがサポートされています (廃止予定の)。 Microsoft は、Standard SKU パブリック IP アドレス リソースの VPN Gateway Basic ゲートウェイ SKU へのサポートの追加に取り組んでいます。
数台対象に簡易的にP2S VPNをするだけであればBasic SKUのVPN Gatewayで十分だったので、このSKUでつくっている環境は多いのではないでしょうか。26.3ドル/月ほどで済んでいましたが、Basic SKUが廃止されると最小のサイズがVpnGw1になるので、138.7ドル/月。実に5倍近く…。もう少し小規模向けのSKUが新設されるとありがたいところです。
移行方法は現時点では作り直ししかないようです。
GatewaySubnetに複数の仮想ネットワークゲートウェイは作成できないので、作り直すには一旦既存のVPNゲートウェイを削除してからになると考えられます。
以下のようなやり取りが見つかりましたが、作り直し以外の移行方法が提示されるかどうかは不透明です。
Azure 仮想ネットワークゲートウェイとパブリックIPアドレスのBasic SKUは2025年3月31日以降作成できなくりますか
Currently, recreating the VPN gateways with a Standard SKU IP is the only way but the Azure VPN Product Group team is looking into a better migration strategy for customers (no ETA to share as of yet).
ExpressRoute Gateway
こちらも移行方法は現時点では作り直ししかないようです。
ExpressRouteゲートウェイの作り直しは影響度が大きすぎるので、かなり計画的に進めないと危険だと思われます。気軽に検証できるようなものでもないので、情報も全然見つかりません。。サポートに問い合わせて確実に対応していく必要があると考えられます。
Application Gateway
以下の公式情報を参考に移行します。
新しいv2のApplicaiton Gatewayを立ててそこに設定を移行することをある程度スクリプトが処理してくれる、というもののようです。新しいサブネットを用意する必要があったり、IPアドレスが変わったりするようなので、実質的には作り直しと変わらないと思われます。また、v1とv2で仕様が結構違うため要注意です。
まとめ
影響を受けるサービスの移行手順の概要をざっくり確認しましたが、サービスによって難易度や影響度は大幅に変わってきそうです。仮想マシンはそこまで手順が複雑ではなく、影響度もまだ大きくなさそうですが、他のサービスは実質的に作り直し&設定移行となっているので、入念な準備・計画が必要だと感じました。移行方法をおさえておくことも大事ですが、サービスのSKUが変わることで仕様や料金が変わるので、その点もチェックしておかないと思わぬドツボにはまりそうです。