Azure ネットワーク アダプターを使用したスタンドアロン サーバーの接続

この参照アーキテクチャでは、Windows Admin Center (WAC) を介してデプロイする Azure ネットワーク アダプターを使用して、オンプレミスのスタンドアロン サーバーを Microsoft Azure 仮想ネットワークに接続する方法について説明します。 Azure ネットワーク アダプターは、インターネット経由でセキュリティで保護された仮想接続を作成し、これはオンプレミスのネットワークを Azure に拡張します。

アーキテクチャ

"これらのアーキテクチャの Visio ファイルをダウンロードします。 "

ワークフロー

このアーキテクチャは、次のもので構成されています。

• オンプレミス ネットワーク。 このコンポーネントは、組織のプライベート ローカル エリア ネットワーク (LAN) です。
• ブランチ オフィス。 このコンポーネントは、企業のワイド エリア ネットワーク (WAN) を介して接続する、リモートのブランチ オフィスのプライベート LAN です。
• その他のクラウド プロバイダー。 このコンポーネントは、クラウド プロバイダーが提供するプライベート仮想ネットワークです。 これは、仮想プライベート ネットワーク (VPN) 経由で接続します。
• Windows Admin Center がインストールされている Windows Server。 Azure ネットワーク アダプターのデプロイに使用するサーバーです。
• Windows Server (スタンドアロン) 。 Azure ネットワーク アダプターがインストールされているサーバーです。 このサーバーは、ブランチ オフィス ネットワーク上や別のクラウド プロバイダーのネットワーク上にも配置できます。
• Azure 仮想ネットワーク (VNet) 。 Azure 内部の同じ仮想ネットワーク内にある Azure VPN Gateway の仮想サーバー、とその他のサービスおよびコンポーネントです。
• Azure VPN Gateway。 VPN アプライアンスまたは Azure ネットワーク アダプターを介して、仮想ネットワークをオンプレミス ネットワークまたはスタンドアロン サーバーに接続できるようにする VPN Gateway サービスです。 詳細については、「オンプレミス ネットワークを Microsoft Azure 仮想ネットワークに接続する」を参照してください。 VPN Gateway に使用できる価格レベル、つまり Stock Keeping Unit (SKU) がいくつかあります。 各 SKU では、ワークロード、スループット、機能、およびサービス レベル アグリーメント (SLA) の種類に基づいて、さまざまな要件がサポートされています。 VPN ゲートウェイには、次のコンポーネントが含まれています。
  • 仮想ネットワーク ゲートウェイ (アクティブ) 。 この Azure リソースは仮想ネットワークに仮想 VPN アプライアンスを提供し、オンプレミス ネットワークと仮想ネットワークの間でトラフィックをルーティングします。
  • 仮想ネットワーク ゲートウェイ (パッシブ) 。 この Azure リソースは仮想ネットワークに仮想 VPN アプライアンスを提供します。こちらはアクティブな Azure VPN ゲートウェイのスタンバイ インスタンスです。 詳細については、「Azure VPN Gateway の冗長性について」を参照してください。
  • ゲートウェイ サブネット: 仮想ネットワーク ゲートウェイは独自のサブネットで保持されます。サブネットは、次の推奨事項セクションで詳述されているさまざまな要件によって異なります。
  • 接続。 接続には、接続の種類を指定するプロパティがあります。 これらのプロパティには、インターネット プロトコル セキュリティ (IPsec) やオンプレミス VPN アプライアンスと共有するキー (トラフィックの暗号化用) などがあります。
• クラウド アプリケーション。 このコンポーネントは、Azure でホストされるアプリケーションです。 Azure ロード バランサーを介して接続する複数のサブネットを持つ多くの層を含められます。 アプリケーション インフラストラクチャの詳細については、「Windows VM ワークロードの実行」と「Linux VM ワークロードの実行を参照してください。
• 内部ロード バランサー: VPN ゲートウェイからのネットワーク トラフィックは、アプリケーションの運用サブネットである内部ロード バランサーを介してクラウド アプリケーションにルーティングされます。
• Azure Bastion。 Azure Bastion を使用すると、VM を直接インターネットに公開せずに、Azure の仮想ネットワーク内の VM にログインできます。 これは、Secure Shell (SSH) またはリモート デスクトップ プロトコル (RDP) を使用します。 VPN 接続が失われた場合でも、Azure Bastion を使用して Azure 仮想ネットワーク内の VM を管理できます。 ただし、Azure Bastion を使用したオンプレミス サーバーの管理はサポートされていません。

コンポーネント

• Virtual Network。 Azure Virtual Network (VNet) は、Azure 内のプライベート ネットワークの基本的な構成要素です。 VNet により、Azure Virtual Machines (VM) などのさまざまな種類の Azure リソースが、他の Azure リソース、インターネット、およびオンプレミスのネットワークと安全に通信することができます。

• Azure Bastion。 Azure Bastion は、パブリック IP アドレスを介して公開されることなく、仮想マシン (VM) へのより安全でシームレスなリモート デスクトップ プロトコル (RDP) および Secure Shell プロトコル (SSH) アクセスを提供するフル マネージド サービスです。

• VPN Gateway。 VPN Gateway は、Azure 仮想ネットワークとオンプレミスの場所の間で、パブリック インターネットを介して暗号化されたトラフィックを送信します。 VPN Gateway を使用すると、Microsoft ネットワークを経由して Azure 仮想ネットワーク間で暗号化されたトラフィックを送信することもできます。 VPN ゲートウェイは仮想ネットワーク ゲートウェイの特定の種類です。

• Windows Admin Center。 Windows Admin Center は、Windows サーバー、クラスター、ハイパーコンバージド インフラストラクチャ、Windows 10 PC を管理するための、ローカルに展開されるブラウザー ベースのアプリです。 これは無料の製品であり、運用で使用可能です。

Recommendations

ほとんどのシナリオには、次の推奨事項が適用されます。 これらの推奨事項には、オーバーライドする特定の要件がない限り、従ってください。

スタンドアロン サーバーを接続する

WAC を使用してスタンドアロン サーバーを接続するには、専用サーバーの WAC インストールのマネージド サーバー一覧にそのサーバーを追加する必要があります。 この一覧にサーバーを追加して、Azure ネットワーク アダプターをインストールするサーバーを選択したら、ツールから [ネットワーク] を選択し、 [ネットワーク] ペインの [+ Add Azure Network Adapter (Preview)](+ Azure ネットワーク アダプターの追加 (プレビュー)) を選択できます。

[+ Add Azure Network Adapter (Preview)](+ Azure ネットワーク アダプターの追加 (プレビュー)) を選択すると、ブラウザー ウィンドウに [Add Azure Network Adapter](Azure ネットワーク アダプターの追加) 構成ブレードが開きます。 このブレードでは、いくつかのオプションを構成できます。

必要な情報は以下のとおりです。

すべての必要なフィールドを完了すると [作成] ボタンがアクティブになります。選択したサーバーへの Azure ネットワーク アダプターのデプロイを開始するには、このボタンを選択する必要があります。

デプロイ プロセスは 2 つの主要な部分から成ります。1 つ目は、Azure VPN ゲートウェイのデプロイと選択です。 まず Azure VPN Gateway をデプロイする必要がある場合は、デプロイの完了には 25 から 45 分を見越してください。 これは、一部の構成でデプロイに時間がかかる場合があるためです。WAC は、デプロイの進行状況に関する情報を提供します。 2 つ目の部分は、Azure ネットワーク アダプターの実際のインストールです。これには 10 分かかることがあります。 この場合も、インストールの進行状況が WAC に表示されます。

デプロイが開始されたら、他のツールやサーバーを選択することで、WAC のフォーカスを変更できます。 デプロイ プロセスはバックグラウンドで続行されます。

[Auto-generated Self-signed root and client Certificate](自動生成された自己署名ルートとクライアント証明書) オプションを選択した場合、2 つの必要な証明書が自動的に作成され、選択したサーバーの証明書ストアに保存されます。 これらは、WAC の証明書ツールを使用して検索でき、ローカル コンピューター/Root コンテナーでルート証明書を見つけることができます。 証明書の名前は Windows Admin Center-Created-vpngw で始まり、P2SRoot という文字列が含まれます。 文字列の末尾には、証明書の作成日を使用してエンコードされたタイムスタンプが含まれます。 この証明書は、ローカル コンピューター/CA コンテナーにも格納されます。 2 つ目の証明書は、ローカル コンピューター/My コンテナーに格納されます。 この証明書の名前は Windows Admin Center-Created-vpngw で始まり、P2SClient という文字列が含まれます。 文字列の末尾には、証明書の作成日を使用してエンコードされたタイムスタンプが含まれます。

デプロイが完了すると、選択したサーバーの [ネットワーク] ツールが新しい Azure ネットワーク アダプターで更新されます。このアダプターは、デプロイの終了後に自動的に開始され、アクティブ状態になります。 アダプターを選択すると、 [詳細] ドロップダウン リストが表示されます。このドロップダウン リストを選択すると、アダプターを切断または削除できます。 実際のサーバーでは、Azure ネットワーク アダプターは VPN 接続としてインストールされます。 アダプターの名前は Windows Admin CenterVPN- で始まり、その後に 3 桁のランダムな数字が続きます。

Azure ネットワーク アダプターがインストールされ接続されると、この新しいネットワーク接続を使用して、Azure VNet とそのシステムに直接接続できるようになります。 通常、この種の接続は、VM のパブリック IP アドレスを使用するのではなく、Azure VM の内部 IP アドレスを介して、リモート デスクトップ セッションを確立するために使用されます。

専用の WAC サーバーの使用

集中管理を行うには、専用の Windows Admin Center サーバーのインストールを使用することをお勧めします。このインストールから他のサーバーを追加できます。 この方法は、追加のソフトウェアを必要とする管理サーバーがないことを意味します。 詳細については、「Windows Admin Center」を参照してください。

専用 VNet を準備する

Azure ネットワーク アダプターのインストール インターフェイスが、名前付け規則や価格レベルのニーズに合わないことがあります。 この不一致を回避するために、アダプターをデプロイする前に必要な Azure リソースを作成することができます。 デプロイ時は、インストール インターフェイスを使用してリソースを作成するのではなく、既存のリソースを選択します。

考慮事項

以降の考慮事項には、ワークロードの品質向上に使用できる一連の基本原則である Azure "Well-Architected Framework" の要素が組み込まれています。 詳細については、「Microsoft Azure Well-Architected Framework」を参照してください。

スケーラビリティ

• VPN Gateway SKU:
  • 選択している VPN Gateway の SKU によって、並列で実行できる接続の数と、それらのすべての接続で使用できる帯域幅が決まります。 P2S IKEv2/OpenVPN オプションを使用している場合、コンカレント接続の数は 250 から 1000 です。 IKE は "IPsec キー交換" のことです。 VpnGw1 から始め、さらに多くの接続が必要な場合に後でスケールアウトすることをお勧めします。 VPN ゲートウェイの世代を切り替える必要がある場合は、新しいゲートウェイをインストールし、これに接続するための新しい Azure ネットワーク アダプターをデプロイする必要があります。
• 複数のスタンドアロン サーバーに接続する:
  • WAC を使用すると、必要な数のサーバーに Azure ネットワーク アダプターをデプロイできます。 また、複数の Azure ネットワーク アダプターを 1 つのサーバーに追加して、さまざまな Azure VNet に接続することもできます。 VPN Gateway の初期デプロイが完了したら、インストール インターフェイスで既存のゲートウェイを選択することにより、同じゲートウェイを使用するようにその他のサーバーを構成できます。
  • スタンドアロン サーバーは、同じネットワーク上、ブランチ オフィスのネットワーク上、または別のクラウドベースのネットワーク上に配置できます。 これらの接続で必要なネットワーク ポートを使用できる場合は、会社の WAN や、別のクラウド プロバイダーへの専用 VPN など、確立済みのネットワーク接続を使用できます。 詳細については、この記事の「セキュリティに関する考慮事項」を参照してください。
• Azure サイト間接続:
  • Azure ネットワーク アダプターは 1 台のサーバー上の 1 つのインストールです。 複数のサーバーに接続する場合は、管理作業が大幅に増える可能性があります。 ただし、Azure サイト間接続 (S2S) 方式を使用してオンプレミス システムに接続することによって、この作業を回避することができます。この方式では、既存のオンプレミス ネットワークを Azure VNet やそのサブネットに接続します。 この接続の中核は Azure VPN ゲートウェイであり、これを使用することでローカルのオンプレミス VPN ゲートウェイをリモートの Azure VPN ゲートウェイと接続できます。 セキュリティで保護されたこの接続により、2 つのネットワーク セグメントが相互に透過的に通信できるようになります。

可用性

• Azure ネットワーク アダプターでは、Azure VPN ゲートウェイのアクティブ/パッシブ構成のみをサポートしています。 アダプターの構成中は、既存のアクティブ/アクティブ Azure VPN ゲートウェイを指定できます。 セットアップによって、ゲートウェイがアクティブ/パッシブ構成に再構成されます。 ゲートウェイをアクティブ/アクティブ状態に手動で再構成することは可能ですが、Azure ネットワーク アダプターからこのゲートウェイに接続することはできません。

  警告

  アクティブ/アクティブ構成の既存 Azure VPN ゲートウェイに対して Azure ネットワーク アダプターを構成すると、ゲートウェイがアクティブ/パッシブに再構成されます。 これにより、このゲートウェイへの既存のすべての VPN 接続が影響を受けることになります。 アクティブ/アクティブ構成からアクティブ/スタンバイ構成に変更すると、接続ごとに 2 つの IPsec VPN トンネルのいずれかが削除されます。 接続要件全体を評価したり、ネットワーク管理者と相談したりせずに "続行しないでください"。

管理の容易性

• 管理者アカウント:

  • WAC は、Azure ネットワーク アダプターをデプロイし、アカウント処理を構成するために使用する主要なツールです。 使用可能なオプションの詳細については、「Windows Admin Center でのユーザー アクセス オプション」を参照してください。 サーバー接続ごとに個別のアカウントを構成できます。

    Note

    サーバーごとに管理アカウントを構成するダイアログ ボックスで [続行] を選択すると、資格情報が検証されます。 WAC でダイアログ ボックスを開くには、該当するサーバー名の行を選択し、 [管理に使用する資格情報] を選択します。 即座にそのサーバーに接続されてしまうため、サーバーを表すハイパーリンクは選択 "しないでください"。

  • さらに、WAC で [設定] ダイアログ ボックスを開き、アカウント セクションを変更することによって、Azure 接続用のユーザー アカウントを構成する必要があります。 また、 [設定] ダイアログ ボックスでは、ユーザーを切り替えたり、ユーザーのセッションからログアウトしたりすることもできます。

• Azure Recovery Vault の統合:
  • Azure ネットワーク アダプターをスタンドアロン サーバーにインストールした場合、そのサーバーはビジネス継続性を実現するためのポートと見なすことができます。 WAC の [ツール] セクションで [Azure Backup] を選択することで構成する Azure Recovery Vault サービスを使用して、そのサーバーをバックアップとディザスター リカバリーの手順に統合することができます。 Azure Backup を使用してサーバーを直接 Microsoft Azure にバックアップすることによって、Windows サーバーを破損、攻撃、災害から保護できます。

セキュリティ

セキュリティは、重要なデータやシステムの意図的な攻撃や悪用に対する保証を提供します。 詳細については、「セキュリティの重要な要素の概要」を参照してください。

• 必要なネットワーク ポート:

  • WAC を使用して Azure ネットワーク アダプターをデプロイする場合は、PowerShell リモート処理用のネットワーク ポートを開いておく必要があります。

  • PowerShell リモート処理では、Windows リモート管理 (WinRM) を使用します。 詳細については、「PowerShell リモート処理のセキュリティに関する考慮事項」と「PowerShell リモート処理の既定の設定」を参照してください。

  • シナリオによっては、使用する必要がある認証方法が増えます。 WAC では、リモート サーバーへの接続に、PowerShell を Credential Security Support Provider プロトコル (CredSSP) と使用できます。 詳細については、PowerShell リモート処理と CredSSP に関するページと Windows Admin Center での CredSSP の使用に関するページを参照してください。

  • PowerShell リモート処理 (および WinRM) では、次のポートを使用します。

    Protocol	Port
    HTTP	5985
    HTTPS	5986

  • Windows Admin Center (WAC) がインストールされているサーバーに接続する方法は、WAC のインストールの種類によって異なります。 既定のポートはさまざまで、Windows 10 にインストールされている場合はポート 6516、Windows Server インストールされている場合はポート 443 を指定できます。 詳細については、「Windows Admin Center をインストールする」を参照してください。

• Microsoft Defender for Cloud の統合:
  • Azure ネットワーク アダプターがインストールされているサーバーを保護するために、WAC の [ツール] セクションで [Microsoft Defender for Cloud] を選択して、このサーバーを Microsoft Defender for Cloud に統合できます。 統合時に、既存の Azure Log Analytics ワークスペースを選択するか、新しいワークスペースを作成する必要があります。 Microsoft Defender for Cloud と統合するサーバーごとに個別に課金が行われます。 詳細については、Microsoft Defender for Cloud pricing を参照してください。

DevOps

• Azure Automation:
  • WAC を使用すると、Azure ネットワーク アダプターを作成する PowerShell コードにアクセスできます。このコードを確認するには、 [ネットワーク] ツールを選択し、[WAC] ページの上部にある [View PowerShell scripts](PowerShell スクリプトの表示) アイコンを選択します。 スクリプトの名前は Complete-P2SVPNConfiguration で、PowerShell 関数として実装されます。 コードはデジタル署名されており、再利用する準備ができています。 Azure portal 内でより多くのサービスを構成することによって、これを Azure Automation に統合できます。

コストの最適化

コストの最適化とは、不要な費用を削減し、運用効率を向上させる方法を検討することです。 詳しくは、コスト最適化の柱の概要に関する記事をご覧ください。

• Azure 料金計算ツール:
  • Azure ネットワーク アダプターはオンプレミス システムにデプロイするコンポーネントなので、使用しても実際のところコストはかかりません。 ソリューションの一部である Azure VPN Gateway には割増コストが発生します。Azure Recovery Vault や Microsoft Defender for Cloud などのその他のサービスを使用した場合も同様にコストが発生します。 実際のコストの詳細については、Azure の料金計算ツールに関するページをご覧ください。 実際のコストは、Azure リージョンおよび個々の契約によって異なることにご注意ください。 価格の詳細については、Microsoft の営業担当者にお問い合わせください。
• エグレス コスト:
  • VNet 間のアウトバウンド データ転送に関連する追加のコストが発生します。 これらのコストは、VPN Gateway の SKU や、使用している実際のデータ量によって異なります。 詳細については、Azure の料金計算ツールに関するページをご覧ください。 実際のコストは、Azure リージョンおよび個々の契約によって異なることにご注意ください。 価格の詳細については、Microsoft の営業担当者にお問い合わせください。

共同作成者

この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。

プリンシパル作成者:

• Frank Migacz | アプリ イノベーション スペシャリスト

パブリックでない LinkedIn プロファイルを表示するには、LinkedIn にサインインします。

次のステップ

コンポーネントのテクノロジの詳細については、次を参照してください。

• Windows Server 2019 の上位 10 のネットワーク機能: #3 Azure ネットワーク アダプター
• ポイント対サイト VPN
• Microsoft Evaluation Center で Windows Admin Center を試す
• Azure Virtual Network とは
• Azure Bastion とは
• VPN ゲートウェイとは
• Windows Admin Center の概要

関連リソース

次の関連するアーキテクチャを確認してください。

• Windows Admin Center を使用してハイブリッド Azure ワークロードを管理する
• Azure のハブスポーク ネットワーク トポロジ
• VPN を使用してオンプレミス ネットワークを拡張する
• Azure を使用してハイブリッド ドメイン ネーム システム ソリューションを設計する