Basic SKUのパブリックIPアドレス廃止対応の一環でAzure VPN GatewayにアタッチされているパブリックIPアドレスをBasicからStandardへ移行する作業を実施しました。実際やってみるとドキュメントの記載と挙動が違うところがあったり、細かい部分で注意しないといけない点がありました。
Basic SKUのパブリックIPアドレス廃止とは
2025年9月30日でBasic SKUのパブリックIPアドレスが廃止されます。そのため、Basic SKUのパブリックIPアドレスを使っているAzureリソースではStandard SKUのパブリックIPアドレスへの移行対応が必要になります。
公式のお知らせ
影響のあるリソースをまとめた記事
元々はAzure VPN Gatewayも2025年9月末までに移行しないといけなかったのですが、ひっそりと2026年1月末まで期限が延長されました。予定は刻々と変更されているので、最新情報は以下をご確認ください。
※ 日本語ページは反映が遅れることがあるので、英語ページを確認ください。
おそらくですが、Basic SKUのパブリックIPアドレスしか対応していないBasic SKUのVPN Gatewayの改修が間に合わなかったのではないかと思われます。Basic SKUのVPN Gatewayは廃止ではなく、改修して今後も利用可能だと案内されていますが、全然対応される気配がなく、間に合うのかな?と思っていましたが、やはり期限が延長されました…。
移行対象
今回移行を試したのは以下の環境です。
- SKU:VpnGw1
- リージョン:西日本
- Active/Passive構成
- P2S VPNのみ利用
移行方法
Microsoft提供の移行ツールを利用します。ツールを使わず手動で行う場合は既存のVPN Gatewayを一度削除して作り直すしかないのですが、ツールを使うと停止期間が最大5分程度になり、設定も自動的に引き継いでくれます。基本的にはツール利用一択でしょう。
作業を実施したのは9月上旬でしたが、そのタイミングではまだ移行ツールはパブリックプレビュー版です。プレビュー版はActive/Passive構成でのみ利用可能です。
9月末までにはActive/Active構成向けでも利用可能なGA版がリリース予定になっています。(しかし「Tentative GA timeline」となっているので延期される可能性はありそうです)
元々9月末までに対応する予定で動いていたため、パブリックプレビュー版ではありますが移行することとなりました。
検証
移行ツールはVPN Gatewayの画面の[設定] > [構成] > [Migrate to Standard IP]タブから実行できます。この画面を開くと自動的に検証され、移行の前提条件を満たしているかチェックされます。もしエラーが出た場合はメッセージに従って対応して下さい。
準備
検証がOKでしたので、[Prepare]ボタンをクリックします。Standard IPが自動的にデプロイされます。40分くらいかかりました。
切替
切替準備が整ったら[Migrate]ボタンをクリックします。[Migrate]ボタンを押すと移行が始まって5分程度の通信断が発生するので実施しても問題ないタイミングで実行してください。なお、確認メッセージは出てこなかったので手が滑ってボタンを押してしまうと事故るのでお気を付けください。(ここはGAでは改善されてほしい…)
Migrateを開始するとなぜかVPN Gatewayの状態がFailedになります。移行処理中で異常扱いされているのだと思われますが、無視して大丈夫です。(ここもGAでは改善されてほしい…)
切替処理は12分程度かかりました。このタイミングでVPN Gatewayに関連付けられているパブリックIPのSKUを確認するとIPアドレスが変わらずにStandardへ切り替わっていることがわかります。
切替ができたので、VPN Gatewayを経由する通信が問題なくできるか通信確認を実施しましょう。
コミット
通信確認で問題ないことが確認できたらコミットします。コミットすると元の状態に戻せなくなります。問題があった場合はAbortで元の状態に戻しましょう。
[Commit]ボタンをクリックするとBasic SKUのIPリソースが削除されて移行完了となります。ここだけ確認メッセージが出てきます。
コミットするときもまたVPN GatewayはFailed状態になります。これも無視できます。
コミットには12分ほどかかりました。コミットが完了すると「移行は必要ありません」というメッセージに変わります。
その他気になった点
ExpressRoute Gatewayの移行では別名のGateway、別名の接続設定が生成されて、そちらへ切り替えるという仕様になっています。VPN Gatewayでも同様の動きになるかと事前に想定していたのですが、実際にやってみると以下の動きになりました。
- VPN Gatewayは移行後も同じ名前のままで元のリソースがそのまま使われているように見える
- パブリックIPアドレスのリソース名も元と同じままでIPアドレスが維持されてSKUだけがStandardになっている
- 移行処理中もリソース一覧に暫定的なリソースは見えてこない
- ExpressRoute Gateway移行ツールでは消失したGatewayの診断設定も残っている
どのような仕組みで実現しているのかわかりませんが、VPN Gatewayの移行ツールの場合はGatewayや関連リソースの名前が変わらず、パブリックIPアドレスのSKUだけ変更してくれるようです。
移行ツールでいい感じに移行できそうですが、念のため、移行前後で設定値を取得しておき、消失している設定がないか確認しておくのが良いでしょう。漏らさないように気を付けないといけないのはAzure Monitorのアラート設定等のVPN Gatewayの関連設定です。
VPN Gateway AZありへの移行
Basic SKU廃止の話とは別でVPN GatewayはAZありのSKUに集約される、というものがあります。2026年9月末でAZなしのSKUは廃止予定です。可用性ゾーン非対応のリージョン含め、全リージョンでAZありSKUができるようになるようです。この方針にあわせてAZありのSKUは2025年1月に大幅値下げされましたが、AZなしタイプと同額になってはいないため、AZありのSKUへ移行されると月額利用料が少し増えます。
この話がなぜ本記事の内容と関係するかというと、VPN GatewayのパブリックIP SKU移行ツールを利用するとセットでAZありのSKUへ変更されるとドキュメントに記載があります。
パブリック IP アドレスの Basic SKU を Standard SKU に移行すると、VPN Gateway SKU も移行されます。 AZ 以外の SKU は AZ SKU になります。
引用元:https://learn.microsoft.com/ja-jp/azure/vpn-gateway/basic-public-ip-migrate-howto?tabs=portal#migrate
しかし実際にツールでの移行をやってみた結果、AZありのSKUへ移行されませんでした。サポートへ確認したところ、東日本リージョンだとAZありに移行されるが、西日本リージョンは現状AZありに移行されない、と回答がありました。なんと…。このあたりは移行ツールがGAしたら挙動が変わるかもしれません。
なお、自発的にAZありのSKUへ移行しなくとも、Azure側で自動的にAZありのSKUへ移行するらしいので、放置していても問題ないと考えられます。自動移行時には通信断は発生しない仕様になっているようなので、本番影響も気にする必要がありません。