中国からAzure Virtual Desktop（AVD）に安定したアクセスを実現する

AVDユーザはインターネットからAVD環境にアクセスします。

ブラウザもしくはAVD専用アプリケーションから、HTTPSでアクセス可能です。

ユーザは大きく2種類の通信を行っており、1つはAzureADへのログイン認証、もう1つはコントロールプレーンへの仮想デスクトップ接続です。

具体的には以下の流れになります。

AVDを利用する際、はじめに Azure AD のログイン認証を行います。

Azure AD は Azure だけではなくMicrosoft 365などさまざまなMicrosoftサービスに利用されているパブリックな認証サービスなので皆さんもご存じだと思います。

認証後、利用可能なワークスペース（ホストプール）が選択画面に表示されます。

自分が利用したいワークスペース（ホストプール）を選択すると、ユーザは「コントロールプレーン」と呼ばれるAVDが提供するネットワーク機能を経由してAzure IaaS VMにアクセスします。

AVDのAzure IaaS VM は管理者が任意のリージョンに作成することが可能です。

例えば、先ほどの図(AVDの利用イメージ)は東日本リージョンのみでしたが、香港リージョンに作成することも出来ます。

そのためユーザに最も近いリージョンに作成しておいて、ユーザからAVD環境への遅延を少なくすることが望まれます。

一方で、コントロールプレーンはAVDが管理している機能になり、管理者はリージョンの指定は出来ません。

こちらはAzure Front Doorを使用して、送信元IPアドレスに基づいてユーザ接続から最も近いのリージョンに自動的にアクセスされる仕組みになっています。

中国からAVD利用はどのリージョンを選ぶべきか

それでは、中国からAVDを利用させる場合、どのリージョンにIaaS VMを構築すべきでしょうか。

おそらく候補になるのは東日本リージョン（東京）、西日本リージョン（大阪）、東アジアリージョン（香港）のいずれかでしょう。

この中からリージョンを選定する際には2つの側面から検討する必要があります。

１つは中国ユーザからAVDへのレイテンシ、もう１つはIaaS VMの通信コストです。

前者はシンプルで、中国ユーザから遅延が少なければ少ないほどよいです。

仮想デスクトップサービスはネットワークの遅延が少ない程安定した利用ができます。

AVDの場合にはレイテンシを計測するツールがありますので、実際に利用させたいユーザから計測してもらえます。

Azure Virtual Desktop Experience Estimator

上海と北京から計測してもらった結果だと、東アジアリージョン（香港）が最もよい結果となりました。

つまり、中国からAVDの仮想デスクトップ環境にアクセスするだけなら東アジアリージョン（香港）を選べば間違いないです。

ただし、多くのAVDユーザは仮想デスクトップ環境からさらに別のシステムにアクセスする利用ケースが多いかと思います。

例えば、仮想デスクトップからOffice 365などのSaaSへアクセスしたり、仮想デスクトップからオンプレミスの業務システムにアクセスするというケースです。

このようなケースでは、IaaS VMを東日本リージョン（東京）か西日本リージョン（大阪）にデプロイした方がアクセスを管理しやすくなったり、通信コストを削減できるかもしれません。

つまり、AVDの利用用途によっては中国から東日本リージョン（東京）か西日本リージョン（大阪）にアクセスさせたいというニーズがあるのです。

AVDは中国からアクセスできる？できない？

AVDのアクセス方法と、AVDのリージョン選択についてご紹介しましたが、実際の中国からのAVDへのアクセス状況が気になるかと思います。

今回この記事を書くために、実際に検証をしてみました。

• 上海と北京の異なるISPから1日3回（朝・昼・夜）にAVDに接続

• 検証期間は2021年11月/12月に合計5日

• AVDのIaaS VMは東アジアリージョン（香港）、東日本リージョン（東京）それぞれにホストプールを作成

結果は以下の通りです。

検証期間中に接続出来た確率は50％でした。

これはとても不安定だと言えるでしょう。

中国のインターネットにはGreatFirewallという外資ITサービスへの通信規制がありますが、50％だとどうやらGreatFirewallの影響で完全にブロックされているわけではないようです。

冒頭説明した通り、AVDユーザは大きく2種類の通信を行っており、1つはAzureADへのログイン認証、もう1つはコントロールプレーンへの仮想デスクトップ接続です。

パケットキャプチャツールを利用して見てみたところ、中国からアクセスが失敗するのはコントロールプレーンの方だと分かりました。

以下サイトからダウンロードできるjson ファイルに各リージョンに展開されているコントロールプレーンのパブリックIPアドレスが確認可能です。

Azure IP Ranges and Service Tags – Public Cloud

コントロールプレーンのパブリックIPアドレスで調べてみて、接続失敗した際の通信は、TCP443の接続→タイムアウト→別のIPに接続→タイムアウト…を繰り返して、5回目で接続を諦めるという挙動でした。

接続成功の際にはすんなりとコントロールプレーンにアクセスできました。

つまり、単純に中国と日本間のインターネット通信品質が良くないため、今回のような結果になっているのだと考えられます。

中国からAVDへの通信を安定させる方法

日中間のインターネット通信が不安定であり、中国からAVDコントロールプレーン（正確にはAzure Front Door）の品質が良くない点が課題として考えられるので、こちらを日中間VPNで解決します。

中国からVPN利用については別のブログ記事をご覧ください。

中国からVPNで海外のSaaSを利用する方法

今回の検証環境ではこのように改善することができました。

同じ条件でVPNを利用して日本のインターネットからAVDにアクセスすると、AVDに接続できる確率は100％になりました。

レイテンシについては、香港リージョンへの接続は通信が遠回りになってしまったため遅延が増えましたが、東京リージョンへの接続は期待通りに遅延が少なくなりました。

これは想定通りの結果と言えます。

実際に中国からVPNなし・ありでどのような挙動になるのか以下の動画を御覧ください。

中国からVPNなしでAVD香港リージョンにアクセス

中国からVPNありでAVD香港リージョンにアクセス

まとめ

いかがでしたでしょうか。中国からAVDを利用できることを確認できたと思います。「中国からAzure Virtual Desktopを快適に利用する方法」にまとめていますので、ぜひ参考にしてください。

ソフトバンクは日本初となるMicrosoft Azureのパートナー認定において「Azure Expert MSP」と「Azure Networking MSP」の二つの認定を取得するなど、AVDの導入から運用サポートまで幅広くご支援が可能です。

また、Alibaba Cloudエンジニアが多数在籍しており、中国向けのクラウドネットワークもご支援しています。

今回はAVDを中国から利用する際のご紹介でしたが、さまざまな課題を解決できるソリューションを揃えているため、お悩みがあればぜひともご相談ください。

関連サービス