Virtual WAN パートナー向けの自動化のガイドライン

  • [アーティクル]

この記事では、Azure Virtual WAN のブランチ デバイス (お客様のオンプレミスの VPN デバイスまたは SDWAN CPE) を接続および構成する自動化環境を設定する方法を理解できます。 IPsec/IKEv2 または IPsec/IKEv1 経由で VPN 接続に対応できるブランチ デバイスを提供するプロバイダーの場合は、この記事が適しています。

ブランチ デバイス (お客様のオンプレミス VPN デバイスまたは SDWAN CPE) は通常、プロビジョニングするコントローラー/デバイス ダッシュボードを使用します。 多くの場合、SD-WAN ソリューションの管理者は、管理コンソールを使用して、ネットワークに接続する前にデバイスを事前プロビジョニングすることができます。 この VPN 対応デバイスは、コントローラーからコントロール プレーンのロジックを取得します。 VPN デバイスまたは SD-WAN コントローラーは、Azure API を使用して、Azure Virtual WAN への接続を自動化できます。 この種類の接続では、オンプレミスのデバイスに外部接続用パブリック IP アドレスを割り当てる必要があります。

自動化を始める前に

  • デバイスが IPsec IKEv1/IKEv2 をサポートしていることを確認します。 「IPsec 接続の既定のポリシー」をご覧ください。

  • Azure Virtual WAN への接続の自動化に使用する REST API を参照してください。

  • Azure Virtual WAN のポータル エクスペリエンスをテストします。

  • 次に、接続手順の自動化する部分を決定します。 少なくとも、次の部分を自動化することお勧めします。

    • アクセス制御
    • Azure Virtual WAN へのブランチ デバイス情報のアップロード
    • Azure の構成のダウンロードと、ブランチ デバイスから Azure Virtual WAN への接続の設定

追加情報

カスタマー エクスペリエンス

Azure Virtual WAN と共に予想される顧客エクスペリエンスを理解します。

  1. 通常、仮想 WAN のユーザーは Virtual WAN リソースを作成することによってプロセスを始めます。
  2. ユーザーは、Azure Virtual WAN にブランチの情報を書き込むため、オンプレミスのシステム (ブランチ コントローラーまたは VPN デバイスのプロビジョニング ソフトウェア) に対してサービス プリンシパル ベースのリソース グループのアクセスを設定します。
  3. ユーザーはこの時点で、UI にログインしてサービス プリンシパルの資格情報を設定する場合があります。 それが完了すると、コントローラーはお客様が提供する自動化を使用してブランチの情報をアップロードできるようになります。 Azure 側でこれを手作業で行う場合は、"サイトの作成" に相当します。
  4. サイト (デバイス ブランチ) の情報を Azure で使用できるようになった後、ユーザーはハブにサイトを接続します。 仮想ハブは、Microsoft のマネージド仮想ネットワークです。 ハブには、オンプレミス ネットワーク (vpnsite) からの接続を可能にするさまざまなサービス エンドポイントが含まれています。 ハブはリージョン内のネットワークのコアであり、このプロセス中にそのハブ内の VPN エンドポイント (vpngateway) が作成されます。 同じ Azure Virtual WAN に対して、同じリージョンで複数のハブを作成できます。 VPN ゲートウェイは、帯域幅や接続ニーズに基づいて適切なサイズに設定されるスケーラブルなゲートウェイです。 仮想ハブと vpngateway の作成を、ブランチ デバイス コントローラーのダッシュボードから自動化できます。
  5. 仮想ハブがサイトに関連付けられると、ユーザーが手動でダウンロードするための構成ファイルが生成されます。 この部分に自動化を使用して、ユーザー エクスペリエンスをシームレスにできます。 ユーザーが手動でダウンロードしてブランチ デバイスを構成する代わりに、自動化を設定して、UI で最小限のクリックスルー エクスペリエンスを提供することにより、共有キーの不一致、IPSec パラメーターの不一致、構成ファイルの読みやすさなどの一般的な接続の問題を軽減できます。
  6. ソリューションのこのステップの最後では、ブランチ デバイスと仮想ハブの間にシームレスなサイト対サイト接続が作成されます。 他のハブの間に追加の接続を設定することもできます。 各接続はアクティブ/アクティブ トンネルです。 ユーザーは、トンネルに対するリンクごとに異なる ISP を使用できます。
  7. CPE 管理インターフェイスで、トラブルシューティングと監視の機能を提供することを検討してください。 一般的なシナリオとしては、"CPE の問題が原因でお客様が Azure リソースにアクセスできない"、"CPE 側に IPsec パラメーターを表示する" などが挙げられます。

自動化の詳細

アクセス制御

お客様は、デバイスの UI で仮想 WAN の適切なアクセス制御を設定できる必要があります。 Azure サービス プリンシパルを使用することをお勧めします。 サービス プリンシパルに基づくアクセスは、ブランチ情報をアップロードするために適した認証をデバイス コント ローラーに提供します。 詳しくは、「サービス プリンシパルの作成」をご覧ください。 この機能は Azure Virtual WAN のオファリングには含まれませんが、Azure でアクセスを設定するときの一般的な手順を以下に示しておきます。この後、関連する詳細がデバイス管理ダッシュボードに入力されます

  • オンプレミスのデバイス コントローラー用に Microsoft Entra アプリケーションを作成します。
  • アプリケーション ID と認証キーを取得する
  • テナント ID を取得する
  • アプリケーションを "共同作成者" ロールに割り当てる

ブランチ デバイスの情報をアップロードする

ブランチ (オンプレミス サイト) の情報を Azure にアップロードするユーザー エクスペリエンスをデザインする必要があります。 VPNSite 用の REST API を使用して、Virtual WAN でサイト情報を作成できます。 すべてのブランチ SDWAN/VPN デバイスを提供したり、適切なデバイスのカスタマイズを選択したりすることができます。

デバイス構成のダウンロードと接続

このステップでは、Azure の構成をダウンロードし、ブランチ デバイスから Azure Virtual WAN への接続を設定します。 この手順で、プロバイダーを使用していないお客様が、手動で Azure の構成をダウンロードしてオンプレミス SDWAN/VPN デバイスに適用します。 プロバイダーは、この手順を自動化する必要があります。 詳細については、ダウンロード REST API を参照してください。 デバイス コントローラーでは、"GetVpnConfiguration" REST API を呼び出して、Azure の構成をダウンロードできます。

構成メモ

  • Azure Vnet が仮想ハブに接続されている場合は、ConnectedSubnets として表示されます。
  • VPN 接続では、ルートベースの構成が使用され、IKEv1 と IKEv2 の両方のプロトコルがサポートされます。

デバイス構成ファイル

デバイス構成ファイルには、オンプレミスの VPN デバイスを構成するときに使用する構成が含まれています。 このファイルを表示すると、次の情報を確認できます。

  • vpnSiteConfiguration - このセクションは、仮想 WAN に接続するサイトとして設定されたデバイスの詳細を示します。 ブランチ デバイスの名前とパブリック IP アドレスが含まれています。

  • vpnSiteConnections - このセクションには、次の情報が含まれています。

    • 仮想ハブ VNet のアドレス空間
      例:

      "AddressSpace":"10.1.0.0/24"

    • ハブに接続されている VNet のアドレス空間
      例:

      "ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]

    • 仮想ハブ vpngateway の IP アドレス。 vpngateway にはアクティブ/アクティブ構成の 2 つのトンネルで構成される接続があるため、このファイルには両方の IP アドレスが示されています。 この例では、サイトごとに "Instance0" と "Instance1" が表示されています。
      例:

      "Instance0":"104.45.18.186"
"Instance1":"104.45.13.195"

    • BGP、事前共有キーなどの、vpngateway 接続構成の詳細。PSK は、自動的に生成される事前共有キーです。 カスタム PSK の [概要] ページで、接続をいつでも編集できます。

デバイス構成ファイルの例

{ 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5"
    },
    "vpnSiteConfiguration":{ 
       "Name":"testsite1",
       "IPAddress":"73.239.3.208"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe",
             "ConnectedSubnets":[ 
                "10.2.0.0/16",
                "10.3.0.0/16"
             ]
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.186",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite2",
       "IPAddress":"66.193.205.122"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 },
 { 
    "configurationVersion":{ 
       "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z",
       "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7"
    },
    "vpnSiteConfiguration":{ 
       "Name":" testsite3",
       "IPAddress":"182.71.123.228"
    },
    "vpnSiteConnections":[ 
       { 
          "hubConfiguration":{ 
             "AddressSpace":"10.1.0.0/24",
             "Region":"West Europe"
          },
          "gatewayConfiguration":{ 
             "IpAddresses":{ 
                "Instance0":"104.45.18.187",
                "Instance1":"104.45.13.195"
             }
          },
          "connectionConfiguration":{ 
             "IsBgpEnabled":false,
             "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9",
             "IPsecParameters":{ 
                "SADataSizeInKilobytes":102400000,
                "SALifeTimeInSeconds":3600
             }
          }
       }
    ]
 }

接続に関する詳細

ご使用のオンプレミス SDWAN/VPN デバイスまたは SD-WAN 構成は、Azure IPsec/IKE ポリシーで指定した次のアルゴリズムおよびパラメーターと一致している (または含んでいる) 必要があります。

  • IKE 暗号化アルゴリズム
  • IKE 整合性アルゴリズム
  • DH グループ
  • IPsec 暗号化アルゴリズム
  • IPsec 整合性アルゴリズム
  • PFS グループ

IPsec 接続の既定のポリシー

Note

既定のポリシーを使用する場合、Azure は IPsec トンネルの設定中に、イニシエーターとレスポンダーの両方として動作できます。 VPN Virtual WAN では多くのアルゴリズムの組み合わせをサポートしていますが、最適なパフォーマンスを実現するために、IPSEC 暗号化と整合性の両方に関する GCMAES256 をお勧めしています。 AES256 と SHA256 はパフォーマンスが低いと見なされるため、同様のアルゴリズムの種類では、待ち時間やパケット ドロップなどのパフォーマンスの低下が予想されます。 Virtual WAN の詳細については、Azure Virtual WAN FAQ を参照してください。

Initiator

次のセクションでは、Azure がトンネルのイニシエーターになっているときに、サポートされているポリシーの組み合わせを一覧表示します。

フェーズ 1

  • AES_256、SHA1、DH_GROUP_2
  • AES_256、SHA_256、DH_GROUP_2
  • AES_128、SHA1、DH_GROUP_2
  • AES_128、SHA_256、DH_GROUP_2

フェーズ 2

  • GCM_AES_256、GCM_AES_256、PFS_NONE
  • AES_256、SHA_1、PFS_NONE
  • AES_256、SHA_256、PFS_NONE
  • AES_128、SHA_1、PFS_NONE

応答側

次のセクションでは、Azure がトンネルの応答側になっているときに、サポートされているポリシーの組み合わせを一覧表示します。

フェーズ 1

  • AES_256、SHA1、DH_GROUP_2
  • AES_256、SHA_256、DH_GROUP_2
  • AES_128、SHA1、DH_GROUP_2
  • AES_128、SHA_256、DH_GROUP_2

フェーズ 2

  • GCM_AES_256、GCM_AES_256、PFS_NONE
  • AES_256、SHA_1、PFS_NONE
  • AES_256、SHA_256、PFS_NONE
  • AES_128、SHA_1、PFS_NONE
  • AES_256、SHA_1、PFS_1
  • AES_256、SHA_1、PFS_2
  • AES_256、SHA_1、PFS_14
  • AES_128、SHA_1、PFS_1
  • AES_128、SHA_1、PFS_2
  • AES_128、SHA_1、PFS_14
  • AES_256、SHA_256、PFS_1
  • AES_256、SHA_256、PFS_2
  • AES_256、SHA_256、PFS_14
  • AES_256、SHA_1、PFS_24
  • AES_256、SHA_256、PFS_24
  • AES_128、SHA_256、PFS_NONE
  • AES_128、SHA_256、PFS_1
  • AES_128、SHA_256、PFS_2
  • AES_128、SHA_256、PFS_14

SA の有効期間の値

これらの有効期間の値は、イニシエーターとレスポンダーの両方に適用されます

  • SA の有効期間 (秒): 3600 秒
  • SA の有効期間 (バイト): 102,400,000 KB

IPsec 接続のカスタム ポリシー

カスタム IPsec ポリシーを操作する場合は、次の要件に注意してください。

  • IKE - IKE の場合、IKE 暗号化の任意のパラメーターと、IKE 整合性の任意のパラメーター、および DH グループの任意のパラメーターを選択できます。
  • IPsec - IPsec の場合、IPsec 暗号化の任意のパラメーター、IPsec 整合性の任意のパラメーター、および PFS を選択できます。 IPsec 暗号化または IPsec 整合性のパラメーターのいずれかが GCM の場合、両方の設定のパラメーターは GCM である必要があります。

既定のカスタム ポリシーには、下位互換性のために SHA1、DHGroup2、3DES が含まれています。 これらは、弱いアルゴリズムであり、カスタム ポリシーを作成するときにはサポートされません。 次のアルゴリズムのみを使用することをお勧めします。

使用可能な設定とパラメーター

設定 パラメーター
IKE 暗号化 GCMAES256、GCMAES128、AES256、AES128
IKE 整合性 SHA384、SHA256
DH グループ ECP384、ECP256、DHGroup24、DHGroup14
IPsec 暗号化 GCMAES256、GCMAES128、AES256、AES128、なし
IPsec 整合性 GCMAES256、GCMAES128、SHA256
PFS グループ ECP384、ECP256、PFS24、PFS14、なし
SA の有効期間 整数、最小値 300 秒/既定値 3600 秒

次のステップ

仮想 WAN の詳細については、「About Azure Virtual WAN」(Azure Virtual WAN について) および「Azure Virtual WAN FAQ」(Azure Virtual WAN のよくあるご質問) を参照してください。

その他の情報については、azurevirtualwan@microsoft.com までメールをお送りください。 件名の “[ ]” には、お客様の会社名を入力してください。