ExpressRoute 接続とサイト間接続の共存の構成 (クラシック)Configure ExpressRoute and Site-to-Site coexisting connections (classic)

サイト間 VPN と ExpressRoute が構成可能な場合、いくつかの利点があります。Having the ability to configure Site-to-Site VPN and ExpressRoute has several advantages. ExpressRoute 用にセキュリティで保護されたフェールオーバー パスとしてサイト間 VPN を構成したり、サイト間 VPN を使用して、ExpressRoute 経由で接続されていないサイトに接続したりできます。You can configure Site-to-Site VPN as a secure failover path for ExpressRoute, or use Site-to-Site VPNs to connect to sites that are not connected through ExpressRoute. この記事では、両方のシナリオを構成する手順について説明します。We will cover the steps to configure both scenarios in this article. この記事は、クラシック デプロイ モデルに適用されます。This article applies to the classic deployment model. この構成は、ポータルで使用できません。This configuration is not available in the portal.

重要

2017 年 3 月 1 日の時点で、クラシック デプロイ モデルに新しい ExpressRoute 回線を作成することはできません。As of March 1, 2017, you can't create new ExpressRoute circuits in the classic deployment model.

  • 接続のダウン タイムを発生させずに、クラシック デプロイ モデルから Resource Manager デプロイ モデルに既存の ExpressRoute 回線を移動できます。You can move an existing ExpressRoute circuit from the classic deployment model to the Resource Manager deployment model without experiencing any connectivity down time. 詳しくは、既存の回線の移動に関する記事をご覧ください。For more information, see Move an existing circuit.
  • allowClassicOperations を TRUE に設定することで、クラシック デプロイ モデル内の仮想ネットワークを接続できます。You can connect to virtual networks in the classic deployment model by setting allowClassicOperations to TRUE.

Resource Manager デプロイ モデルで ExpressRoute 回線を作成して管理するには、次のリンクを使用します。Use the following links to create and manage ExpressRoute circuits in the Resource Manager deployment model:

Azure のデプロイ モデルについてAbout Azure deployment models

Azure は現在、2 つのデプロイメント モデル (Resource Manager とクラシック) で使用できます。Azure currently works with two deployment models: Resource Manager and classic. これらの 2 つのモデルには、完全に互換性があるわけではありません。The two models are not completely compatible with each other. 作業を開始する前に、使用するモデルを把握しておく必要があります。Before you begin, you need to know which model that you want to work in. デプロイメント モデルについては、デプロイメント モデルの概要に関するページを参照してください。For information about the deployment models, see Understanding deployment models. Azure に慣れていない場合には、Resource Manager デプロイ モデルの使用をお勧めします。If you are new to Azure, we recommend that you use the Resource Manager deployment model.

重要

ExpressRoute 回線を事前に構成してから、以下の手順に従ってください。 以下の手順に従う前に、必ず、ExpressRoute 回線の作成ルーティングの構成に関するガイドに従ってください。

制限と制限事項Limits and limitations

  • トランジット ルーティングはサポートされていません。Transit routing is not supported. サイト間 VPN 経由で接続されたローカル ネットワークと ExpressRoute 経由で接続されたローカル ネットワーク間で (Azure 経由で) ルーティングすることはできません。You cannot route (via Azure) between your local network connected via Site-to-Site VPN and your local network connected via ExpressRoute.
  • ポイント対サイトはサポートされていません。Point-to-site is not supported. ExpressRoute に接続されているのと同じ VNet に対しては、ポイント対サイト VPN 接続を有効にできません。You can't enable point-to-site VPN connections to the same VNet that is connected to ExpressRoute. ポイント対サイト VPN と ExpressRoute を同じ VNet に共存させることはできません。Point-to-site VPN and ExpressRoute cannot coexist for the same VNet.
  • サイト間 VPN ゲートウェイでは強制トンネリングを有効にできません。Forced tunneling cannot be enabled on the Site-to-Site VPN gateway. できることは、すべてのインターネットへのトラフィックを ExpressRoute 経由でオンプレミスのネットワークに "強制的に" 戻すことのみです。You can only "force" all Internet-bound traffic back to your on-premises network via ExpressRoute.
  • Basic SKU ゲートウェイはサポートされていません。Basic SKU gateway is not supported. ExpressRoute ゲートウェイVPN ゲートウェイのどちらについても、Basic SKU 以外のゲートウェイを使用する必要があります。You must use a non-Basic SKU gateway for both the ExpressRoute gateway and the VPN gateway.
  • サポートされているのはルート ベースの VPN ゲートウェイのみです。Only route-based VPN gateway is supported. ルート ベースの VPN ゲートウェイを使用する必要がありますYou must use a route-based VPN Gateway.
  • VPN ゲートウェイでは静的ルートを構成する必要があります。Static route should be configured for your VPN gateway. ローカル ネットワークが ExpressRoute とサイト間 VPN の両方に接続されている場合は、ローカル ネットワーク内で静的ルートを構成して、パブリック インターネットへのサイト間 VPN 接続をルーティングする必要があります。If your local network is connected to both ExpressRoute and a Site-to-Site VPN, you must have a static route configured in your local network to route the Site-to-Site VPN connection to the public Internet.
  • ExpressRoute ゲートウェイは先に構成する必要があります。ExpressRoute gateway must be configured first. サイト間 VPN ゲートウェイを追加する前に、まず ExpressRoute ゲートウェイを作成する必要があります。You must create the ExpressRoute gateway first before you add the Site-to-Site VPN gateway.

構成の設計Configuration designs

ExpressRoute のフェールオーバー パスとしてサイト間 VPN を構成するConfigure a Site-to-Site VPN as a failover path for ExpressRoute

ExpressRoute のバックアップとしてサイト間 VPN 接続を構成することができます。You can configure a Site-to-Site VPN connection as a backup for ExpressRoute. これは、Azure のプライベート ピアリング パスにリンクされている仮想ネットワークにのみ適用されます。This applies only to virtual networks linked to the Azure private peering path. Azure パブリックおよび Microsoft ピアリングを通じてアクセス可能なサービスの VPN ベースのフェールオーバー ソリューションはありません。There is no VPN-based failover solution for services accessible through Azure public and Microsoft peerings. ExpressRoute 回線は常にプライマリ リンクです。The ExpressRoute circuit is always the primary link. データは、ExpressRoute 回線で障害が発生した場合にのみ、サイト間 VPN パスを通過します。Data will flow through the Site-to-Site VPN path only if the ExpressRoute circuit fails.

注意

両方のルートが同じである場合は、ExpressRoute 回線がサイト間 VPN よりも優先されますが、Azure では最長プレフィックスの一致を使用してパケットの宛先へのルートを選択します。

共存

ExpressRoute 経由で接続されていないサイトに接続するようにサイト間 VPN を構成するConfigure a Site-to-Site VPN to connect to sites not connected through ExpressRoute

サイト間 VPN 経由で Azure に直接接続するサイトと、ExpressRoute 経由で接続するサイトがあるネットワークを構成することができます。You can configure your network where some sites connect directly to Azure over Site-to-Site VPN, and some sites connect through ExpressRoute.

共存

注意

トランジット ルーターとして仮想ネットワークを構成することはできません。

使用する手順の選択Selecting the steps to use

共存できる接続を構成するために、選択できる 2 とおりの手順があります。There are two different sets of procedures to choose from in order to configure connections that can coexist. 接続先にする既存の仮想ネットワークがある場合と、新しい仮想ネットワークを作成する場合とでは、選択できる構成手順が異なります。The configuration procedure that you select will depend on whether you have an existing virtual network that you want to connect to, or you want to create a new virtual network.

  • VNet がないので作成する必要がある。I don't have a VNet and need to create one.

    仮想ネットワークがまだない場合、この手順で、クラシック デプロイ モデルを使用して新しい仮想ネットワークを作成し、新しい ExpressRoute 接続とサイト間 VPN 接続を作成する方法を説明します。If you don’t already have a virtual network, this procedure will walk you through creating a new virtual network using the classic deployment model and creating new ExpressRoute and Site-to-Site VPN connections. 構成するには、この記事の「 新しい仮想ネットワークおよび共存する接続を作成するには」の手順に従います。To configure, follow the steps in the article section To create a new virtual network and coexisting connections.

  • クラシック デプロイ モデル VNet が既にある。I already have a classic deployment model VNet.

    既存のサイト間 VPN 接続または ExpressRoute 接続を使用して、仮想ネットワークを既に配置している場合があります。You may already have a virtual network in place with an existing Site-to-Site VPN connection or ExpressRoute connection. 記事のセクション「既存の VNet の共存する接続を構成するには」では、ゲートウェイを削除し、新しい ExpressRoute 接続とサイト間 VPN 接続を作成する手順について説明します。The article section To configure coexisting connections for an already existing VNet will walk you through deleting the gateway, and then creating new ExpressRoute and Site-to-Site VPN connections. 新しい接続を作成する場合は、非常に特殊な順序で完了する必要がありますので注意してください。Note that when creating the new connections, the steps must be completed in a very specific order. 他の記事の手順を使用してゲートウェイと接続を作成しないでください。Don't use the instructions in other articles to create your gateways and connections.

    この手順では、共存できる接続を作成するために、ゲートウェイを削除する必要があるので、新しいゲートウェイを構成します。In this procedure, creating connections that can coexist will require you to delete your gateway, and then configure new gateways. これは、ゲートウェイを削除して接続を再作成する間、クロスプレミス接続でダウンタイムが発生しますが、VM やサービスを新しい仮想ネットワークに移行する必要がないことを意味します。This means you will have downtime for your cross-premises connections while you delete and recreate your gateway and connections, but you will not need to migrate any of your VMs or services to a new virtual network. 移行するように構成されている場合でも、VM やサービスは、ゲートウェイの構成中にロード バランサーを経由して通信できます。Your VMs and services will still be able to communicate out through the load balancer while you configure your gateway if they are configured to do so.

新しい仮想ネットワークおよび共存する接続を作成するにはTo create a new virtual network and coexisting connections

この手順では、VNet を作成し、共存するサイト間接続と ExpressRoute 接続を作成します。This procedure will walk you through creating a VNet and create Site-to-Site and ExpressRoute connections that will coexist.

  1. Azure PowerShell コマンドレットの最新版をインストールする必要があります。You'll need to install the latest version of the Azure PowerShell cmdlets. PowerShell コマンドレットのインストールの詳細については、「 Azure PowerShell のインストールと構成の方法 」を参照してください。See How to install and configure Azure PowerShell for more information about installing the PowerShell cmdlets. この構成に使用するコマンドレットは、使い慣れたコマンドレットとは少し異なる場合があることにご注意ください。Note that the cmdlets that you'll use for this configuration may be slightly different than what you might be familiar with. 必ず、これらの手順で指定されているコマンドレットを使用してください。Be sure to use the cmdlets specified in these instructions.
  2. 仮想ネットワークのスキーマを作成します。Create a schema for your virtual network. 構成スキーマの詳細については、「 Azure Virtual Network の構成スキーマ」を参照してください。For more information about the configuration schema, see Azure Virtual Network configuration schema.

    スキーマを作成する場合は、次の値を使用していることを確認します。When you create your schema, make sure you use the following values:

    • 仮想ネットワークのゲートウェイ サブネットは /27 またはこれより短いプレフィックス (/26 や /25 など) にする必要があります。The gateway subnet for the virtual network must be /27 or a shorter prefix (such as /26 or /25).
    • ゲートウェイ接続の種類は "Dedicated" です。The gateway connection type is "Dedicated".

          <VirtualNetworkSite name="MyAzureVNET" Location="Central US">
            <AddressSpace>
              <AddressPrefix>10.17.159.192/26</AddressPrefix>
            </AddressSpace>
            <Subnets>
              <Subnet name="Subnet-1">
                <AddressPrefix>10.17.159.192/27</AddressPrefix>
              </Subnet>
              <Subnet name="GatewaySubnet">
                <AddressPrefix>10.17.159.224/27</AddressPrefix>
              </Subnet>
            </Subnets>
            <Gateway>
              <ConnectionsToLocalNetwork>
                <LocalNetworkSiteRef name="MyLocalNetwork">
                  <Connection type="Dedicated" />
                </LocalNetworkSiteRef>
              </ConnectionsToLocalNetwork>
            </Gateway>
          </VirtualNetworkSite>
      
  3. xml スキーマ ファイルを作成して構成したら、ファイルをアップロードします。After creating and configuring your xml schema file, upload the file. これにより、仮想ネットワークが作成されます。This will create your virtual network.

    次のコマンドレットを使用してファイルをアップロードし、値を自身の値に置き換えます。Use the following cmdlet to upload your file, replacing the value with your own.

     Set-AzureVNetConfig -ConfigurationPath 'C:\NetworkConfig.xml'
    
  4. ExpressRoute ゲートウェイを作成します。Create an ExpressRoute gateway. GatewaySKU を StandardHighPerformance、または UltraPerformance に指定し、GatewayType を DynamicRouting に指定します。Be sure to specify the GatewaySKU as Standard, HighPerformance, or UltraPerformance and the GatewayType as DynamicRouting.

    次のサンプルを使用して、自身の値に置き換えます。Use the following sample, substituting the values for your own.

     New-AzureVNetGateway -VNetName MyAzureVNET -GatewayType DynamicRouting -GatewaySKU HighPerformance
    
  5. ExpressRoute ゲートウェイを ExpressRoute 回線にリンクします。Link the ExpressRoute gateway to the ExpressRoute circuit. この手順が完了すると、オンプレミスのネットワークと Azure 間の接続が ExpressRoute 経由で確立されます。After this step has been completed, the connection between your on-premises network and Azure, through ExpressRoute, is established.

     New-AzureDedicatedCircuitLink -ServiceKey <service-key> -VNetName MyAzureVNET
    
  6. 次に、サイト間 VPN ゲートウェイを作成します。Next, create your Site-to-Site VPN gateway. GatewaySKU を StandardHighPerformance、または UltraPerformance にし、GatewayType を DynamicRouting にする必要があります。The GatewaySKU must be Standard, HighPerformance, or UltraPerformance and the GatewayType must be DynamicRouting.

     New-AzureVirtualNetworkGateway -VNetName MyAzureVNET -GatewayName S2SVPN -GatewayType DynamicRouting -GatewaySKU  HighPerformance
    

    ゲートウェイ ID とパブリック IP を含む仮想ネットワーク ゲートウェイ設定を取得するには、Get-AzureVirtualNetworkGateway コマンドレットを使用します。To retrieve the virtual network gateway settings, including the gateway ID and the public IP, use the Get-AzureVirtualNetworkGateway cmdlet.

     Get-AzureVirtualNetworkGateway
    
     GatewayId            : 348ae011-ffa9-4add-b530-7cb30010565e
     GatewayName          : S2SVPN
     LastEventData        :
     GatewayType          : DynamicRouting
     LastEventTimeStamp   : 5/29/2015 4:41:41 PM
     LastEventMessage     : Successfully created a gateway for the following virtual network: GNSDesMoines
     LastEventID          : 23002
     State                : Provisioned
     VIPAddress           : 104.43.x.y
     DefaultSite          :
     GatewaySKU           : HighPerformance
     Location             :
     VnetId               : 979aabcf-e47f-4136-ab9b-b4780c1e1bd5
     SubnetId             :
     EnableBgp            : False
     OperationDescription : Get-AzureVirtualNetworkGateway
     OperationId          : 42773656-85e1-a6b6-8705-35473f1e6f6a
     OperationStatus      : Succeeded
    
  7. ローカル サイト VPN ゲートウェイのエンティティを作成します。Create a local site VPN gateway entity. このコマンドは、オンプレミスの VPN ゲートウェイを構成しません。This command doesn’t configure your on-premises VPN gateway. 代わりに、パブリック IP やオンプレミスのアドレス空間などのローカル ゲートウェイ設定を指定できるため、Azure VPN ゲートウェイがこれに接続できます。Rather, it allows you to provide the local gateway settings, such as the public IP and the on-premises address space, so that the Azure VPN gateway can connect to it.

    重要

    サイト間 VPN のローカル サイトは、netcfg で定義されていません。 代わりに、このコマンドレットを使用してローカル サイトのパラメーターを指定する必要があります。 ポータルまたは netcfg ファイルを使用して、これを定義することはできません。

    次のサンプルを使用して、自身の値に置き換えます。Use the following sample, replacing the values with your own.

     New-AzureLocalNetworkGateway -GatewayName MyLocalNetwork -IpAddress <MyLocalGatewayIp> -AddressSpace <MyLocalNetworkAddress>
    

    注意

    ローカル ネットワークに複数のルートがある場合は、それらすべてを配列として渡すことができます。 $MyLocalNetworkAddress = @("10.1.2.0/24","10.1.3.0/24","10.2.1.0/24")

    ゲートウェイ ID とパブリック IP を含む仮想ネットワーク ゲートウェイ設定を取得するには、Get-AzureVirtualNetworkGateway コマンドレットを使用します。To retrieve the virtual network gateway settings, including the gateway ID and the public IP, use the Get-AzureVirtualNetworkGateway cmdlet. 次の例を参照してください。See the following example.

     Get-AzureLocalNetworkGateway
    
     GatewayId            : 532cb428-8c8c-4596-9a4f-7ae3a9fcd01b
     GatewayName          : MyLocalNetwork
     IpAddress            : 23.39.x.y
     AddressSpace         : {10.1.2.0/24}
     OperationDescription : Get-AzureLocalNetworkGateway
     OperationId          : ddc4bfae-502c-adc7-bd7d-1efbc00b3fe5
     OperationStatus      : Succeeded
    
  8. ローカルの VPN デバイスを構成して新しいゲートウェイに接続します。Configure your local VPN device to connect to the new gateway. VPN デバイスを構成するときに、手順 6 で取得した情報を使用します。Use the information that you retrieved in step 6 when configuring your VPN device. VPN デバイス構成の詳細については、「 VPN デバイスの構成」を参照してください。For more information about VPN device configuration, see VPN Device Configuration.

  9. Azure のサイト間 VPN ゲートウェイをローカル ゲートウェイにリンクします。Link the Site-to-Site VPN gateway on Azure to the local gateway.

    この例では、connectedEntityId がローカル ゲートウェイ ID です。これは、Get-AzureLocalNetworkGateway を実行すると見つけることができます。In this example, connectedEntityId is the local gateway ID, which you can find by running Get-AzureLocalNetworkGateway. Get-AzureVirtualNetworkGateway コマンドレットを使用すると、virtualNetworkGatewayId を見つけることができます。You can find virtualNetworkGatewayId by using the Get-AzureVirtualNetworkGateway cmdlet. この手順の後に、ローカル ネットワークと Azure 間の接続がサイト間 VPN 接続経由で確立されます。After this step, the connection between your local network and Azure via the Site-to-Site VPN connection is established.

     New-AzureVirtualNetworkGatewayConnection -connectedEntityId <local-network-gateway-id> -gatewayConnectionName Azure2Local -gatewayConnectionType IPsec -sharedKey abc123 -virtualNetworkGatewayId <azure-s2s-vpn-gateway-id>
    

既存の VNet で共存する接続を構成するにはTo configure coexisting connections for an already existing VNet

既存の仮想ネットワークがある場合は、ゲートウェイ サブネットのサイズを確認します。If you have an existing virtual network, check the gateway subnet size. ゲートウェイ サブネットが /28 または /29 の場合、まず仮想ネットワーク ゲートウェイを削除してから、ゲートウェイ サブネットのサイズを増やしてください。If the gateway subnet is /28 or /29, you must first delete the virtual network gateway and increase the gateway subnet size. このセクションの手順で、その方法を説明します。The steps in this section will show you how to do that.

ゲートウェイ サブネットが /27 以上で、仮想ネットワークが ExpressRoute 経由で接続されている場合、以降の手順をスキップして、前のセクションの 手順 6、サイト間 VPN ゲートウェイの作成手順 に進みます。If the gateway subnet is /27 or larger and the virtual network is connected via ExpressRoute, you can skip the steps below and proceed to "Step 6 - Create a Site-to-Site VPN gateway" in the previous section.

注意

この既存のゲートウェイを削除すると、この構成で作業している間、ローカル環境から仮想ネットワークに接続できなくなります。

  1. Azure リソース マネージャー PowerShell コマンドレットの最新版をインストールする必要があります。You'll need to install the latest version of the Azure Resource Manager PowerShell cmdlets. PowerShell コマンドレットのインストールの詳細については、「 Azure PowerShell のインストールと構成の方法 」を参照してください。See How to install and configure Azure PowerShell for more information about installing the PowerShell cmdlets. この構成に使用するコマンドレットは、使い慣れたコマンドレットとは少し異なる場合があることにご注意ください。Note that the cmdlets that you'll use for this configuration may be slightly different than what you might be familiar with. 必ず、これらの手順で指定されているコマンドレットを使用してください。Be sure to use the cmdlets specified in these instructions.
  2. 既存の ExpressRoute またはサイト間 VPN ゲートウェイを削除します。Delete the existing ExpressRoute or Site-to-Site VPN gateway. 次のコマンドレットを使用して、自身の値に置き換えます。Use the following cmdlet, replacing the values with your own.

     Remove-AzureVNetGateway –VnetName MyAzureVNET
    
  3. 仮想ネットワークのスキーマをエクスポートします。Export the virtual network schema. 次の PowerShell コマンドレットを使用して、自身の値に置き換えます。Use the following PowerShell cmdlet, replacing the values with your own.

     Get-AzureVNetConfig –ExportToFile “C:\NetworkConfig.xml”
    
  4. ゲートウェイ サブネットが /27 またはこれより短いプレフィックス (/26 や /25 など) になるように、ネットワーク構成ファイルのスキーマを編集します。Edit the network configuration file schema so that the gateway subnet is /27 or a shorter prefix (such as /26 or /25). 次の例を参照してください。See the following example.

    注意

    仮想ネットワーク内の IP アドレスが不足していてゲートウェイ サブネットのサイズを増やせない場合は、IP アドレス空間を追加する必要があります。 構成スキーマの詳細については、「 Azure Virtual Network の構成スキーマ」を参照してください。

       <Subnet name="GatewaySubnet">
         <AddressPrefix>10.17.159.224/27</AddressPrefix>
       </Subnet>
    
  5. 以前のゲートウェイがサイト間 VPN であった場合は、接続の種類を Dedicatedに変更する必要もあります。If your previous gateway was a Site-to-Site VPN, you must also change the connection type to Dedicated.

              <Gateway>
               <ConnectionsToLocalNetwork>
                 <LocalNetworkSiteRef name="MyLocalNetwork">
                   <Connection type="Dedicated" />
                 </LocalNetworkSiteRef>
               </ConnectionsToLocalNetwork>
             </Gateway>
    
  6. この時点では、VNet にゲートウェイがありません。At this point, you'll have a VNet with no gateways. 新しいゲートウェイを作成し、接続を完了するには、前述の 手順 4、ExpressRoute ゲートウェイの作成手順に進みます。To create new gateways and complete your connections, you can proceed with Step 4 - Create an ExpressRoute gateway, found in the preceding set of steps.

次の手順Next steps

ExpressRoute の詳細については、「 ExpressRoute の FAQFor more information about ExpressRoute, see the ExpressRoute FAQ