クラシック デプロイ モデルを使用した 強制トンネリングの構成Configure forced tunneling using the classic deployment model

強制トンネリングを使用すると、検査および監査のために、サイト間の VPN トンネルを介して、インターネットへのすべてのトラフィックをオンプレミスの場所に戻すようにリダイレクトする (つまり、"強制する") ことができます。Forced tunneling lets you redirect or "force" all Internet-bound traffic back to your on-premises location via a Site-to-Site VPN tunnel for inspection and auditing. これは、ほとんどの企業 IT ポリシーの重要なセキュリティ要件です。This is a critical security requirement for most enterprise IT policies. 強制トンネリングを使用しない場合、Azure の VM からインターネットへのトラフィックは、トラフィックを検査または監査できるオプションを使用せずに、常に Azure ネットワーク インフラストラクチャからインターネットへ直接トラバースします。Without forced tunneling, Internet-bound traffic from your VMs in Azure will always traverse from Azure network infrastructure directly out to the Internet, without the option to allow you to inspect or audit the traffic. 認証されていないインターネット アクセスは、情報の漏えいまたは他の種類のセキュリティ侵害を招く可能性があります。Unauthorized Internet access can potentially lead to information disclosure or other types of security breaches.

Azure は現在、2 つのデプロイメント モデル (Resource Manager とクラシック) で使用できます。Azure currently works with two deployment models: Resource Manager and classic. これらの 2 つのモデルには、完全に互換性があるわけではありません。The two models are not completely compatible with each other. 作業を開始する前に、使用するモデルを把握しておく必要があります。Before you begin, you need to know which model that you want to work in. デプロイメント モデルについては、デプロイメント モデルの概要に関するページを参照してください。For information about the deployment models, see Understanding deployment models. Azure に慣れていない場合には、Resource Manager デプロイ モデルの使用をお勧めします。If you are new to Azure, we recommend that you use the Resource Manager deployment model.

この記事では、クラシック デプロイ モデルを使用して作成された仮想ネットワークの強制トンネリングを構成する手順について説明します。This article walks you through configuring forced tunneling for virtual networks created using the classic deployment model. 強制トンネリングは、ポータルを経由せずに、PowerShell を使用して構成できます。Forced tunneling can be configured by using PowerShell, not through the portal. Resource Manager デプロイ モデル向けに強制トンネリングを構成する場合は、次のドロップダウン リストから Resource Manager の記事を選択します。If you want to configure forced tunneling for the Resource Manager deployment model, select Resource Manager article from the following dropdown list:

要件と考慮事項Requirements and considerations

Azure では、強制トンネリングは仮想ネットワークのユーザー定義ルート (UDR) を使用して構成されます。Forced tunneling in Azure is configured via virtual network user-defined routes (UDR). オンプレミス サイトへのトラフィックのリダイレクトは、Azure VPN Gateway への既定のルートとして表されます。Redirecting traffic to an on-premises site is expressed as a Default Route to the Azure VPN gateway. 以下のセクションでは、Azure Virtual Network のルーティング テーブルおよびルートの現在の制限を一覧表示します。The following section lists the current limitation of the routing table and routes for an Azure Virtual Network:

  • 各仮想ネットワーク サブネットには、システム ルーティング テーブルが組み込まれています。Each virtual network subnet has a built-in, system routing table. システム ルーティング テーブルには、次の 3 つのグループがあります。The system routing table has the following three groups of routes:

    • ローカル VNet ルーティング: 直接、同じ仮想ネットワーク内の宛先 VM へ。Local VNet routes: Directly to the destination VMs in the same virtual network.
    • オンプレミス ルート: Azure VPN ゲートウェイへ。On-premises routes: To the Azure VPN gateway.
    • 既定のルート: 直接、インターネットへ。Default route: Directly to the Internet. 前の 2 つのルートが網羅していないプライベート IP アドレスへ送信されるパケットは削除されます。Packets destined to the private IP addresses not covered by the previous two routes will be dropped.
  • ユーザー定義ルートをリリースすることにより、既定のルートを追加するルーティング テーブルを作成し、そのルーティング テーブルを VNet サブネットに関連付け、それらのサブネットでの強制トンネリングを有効にすることができます。With the release of user-defined routes, you can create a routing table to add a default route, and then associate the routing table to your VNet subnet(s) to enable forced tunneling on those subnets.

  • 仮想ネットワークに接続されたクロスプレミス ローカル サイト間で「既定のサイト」を設定する必要があります。You need to set a "default site" among the cross-premises local sites connected to the virtual network.

  • 強制トンネリングは、動的ルーティング VPN ゲートウェイ (静的ゲートウェイではない) を持つ VNet に関連付ける必要があります。Forced tunneling must be associated with a VNet that has a dynamic routing VPN gateway (not a static gateway).

  • ExpressRoute の強制トンネリングは、このメカニズムを使用して構成されていませんが、代わりに ExpressRoute BGP ピアリング セッションを介して既定のルートを通知することで有効化されます。ExpressRoute forced tunneling is not configured via this mechanism, but instead, is enabled by advertising a default route via the ExpressRoute BGP peering sessions. 詳細については、「ExpressRoute のドキュメント」を参照してください。See the ExpressRoute Documentation for more information.

構成の概要Configuration overview

次の例では、フロントエンドのサブネットは、トンネリングを強制されません。In the following example, the Frontend subnet is not forced tunneled. フロントエンドのサブネット内のワークロードは、直接、インターネットから顧客の要求を承認し応答し続けることができます。The workloads in the Frontend subnet can continue to accept and respond to customer requests from the Internet directly. Mid-tier および Backend のサブネットは、トンネリングを強制されます。The Mid-tier and Backend subnets are forced tunneled. これら 2 つのサブネットからのインターネットへのオウトバウンド接続は、S2S VPN トンネルの 1 つを介して、オンプレミス サイトに ”強制” リダイレクトされます。Any outbound connections from these two subnets to the Internet will be forced or redirected back to an on-premises site via one of the S2S VPN tunnels.

これにより、必要な多層サービス アーキテクチャが継続的に使用可能になっている間は、Azure 内の仮想マシンやクラウド サービスからのインターネット アクセスを制限および検査することができます。This allows you to restrict and inspect Internet access from your virtual machines or cloud services in Azure, while continuing to enable your multi-tier service architecture required. また、仮想ネットワーク内に、インターネットに接続されたワークロードがない場合、仮想ネットワーク全体に強制トンネリングを適用することもできます。You also can apply forced tunneling to the entire virtual networks if there are no Internet-facing workloads in your virtual networks.


開始する前にBefore you begin

構成を開始する前に、以下が揃っていることを確認します。Verify that you have the following items before beginning configuration:

  • Azure サブスクリプション。An Azure subscription. Azure サブスクリプションをまだお持ちでない場合は、MSDN サブスクライバーの特典を有効にするか、無料アカウントにサインアップしてください。If you don't already have an Azure subscription, you can activate your MSDN subscriber benefits or sign up for a free account.
  • 構成済みの仮想ネットワーク。A configured virtual network.
  • クラシック デプロイ モデルを使って作業している場合、Azure Cloud Shell は使用できません。When working with the classic deployment model, you can't use Azure Cloud Shell. 代わりに、Azure サービス管理 (SM) PowerShell コマンドレットの最新バージョンを、お使いのコンピューターにローカルにインストールする必要があります。Instead, you must install the latest version of the Azure Service Management (SM) PowerShell cmdlets locally on your computer. これらのコマンドレットは、AzureRM または Az のコマンドレットとは異なります。These cmdlets are different from the AzureRM or Az cmdlets. SM コマンドレットをインストールするには、サービス管理コマンドレットのインストールに関する記事を参照してください。To install the SM cmdlets, see Install Service Management cmdlets. Azure PowerShell 全般の詳細については、Azure PowerShell のドキュメントを参照してください。For more information about Azure PowerShell in general, see the Azure PowerShell documentation.

サインインするにはTo sign in

  1. 管理者特権で PowerShell コンソールを開きます。Open your PowerShell console with elevated rights. サービス管理に切り替えるには、このコマンドを使用します。To switch to service management, use this command:

    azure config mode asm
  2. アカウントに接続します。Connect to your account. 接続については、次の例を参考にしてください。Use the following example to help you connect:


強制トンネリングについてConfigure forced tunneling

次の手順は、仮想ネットワークで強制トンネリングを指定するのに役立ちます。The following procedure will help you specify forced tunneling for a virtual network. 構成手順は、VNet ネットワーク構成ファイルに対応します。The configuration steps correspond to the VNet network configuration file.

<VirtualNetworkSite name="MultiTier-VNet" Location="North Europe">
          <Subnet name="Frontend">
          <Subnet name="Midtier">
          <Subnet name="Backend">
          <Subnet name="GatewaySubnet">
            <LocalNetworkSiteRef name="DefaultSiteHQ">
              <Connection type="IPsec" />
            <LocalNetworkSiteRef name="Branch1">
              <Connection type="IPsec" />
            <LocalNetworkSiteRef name="Branch2">
              <Connection type="IPsec" />
            <LocalNetworkSiteRef name="Branch3">
              <Connection type="IPsec" />

この例では、仮想ネットワーク 'MultiTier-VNet' には 3 つのサブネット ('Frontend'、'Midtier'、'Backend' サブネット) があり、クロスプレミス接続は 4 つ ('DefaultSiteHQ' および 3 つの分岐) 用意されています。In this example, the virtual network 'MultiTier-VNet' has three subnets: 'Frontend', 'Midtier', and 'Backend' subnets, with four cross premises connections: 'DefaultSiteHQ', and three Branches.

以下の手順で "DefaultSiteHQ" を強制トンネリングの既定のサイト接続として設定し、強制トンネリングが使用されるように Midtier と Backend を構成します。The steps will set the 'DefaultSiteHQ' as the default site connection for forced tunneling, and configure the Midtier and Backend subnets to use forced tunneling.

  1. ルーティング テーブルを作成します。Create a routing table. ルート テーブルを作成するには、以下のコマンドレットを使用します。Use the following cmdlet to create your route table.

    New-AzureRouteTable –Name "MyRouteTable" –Label "Routing Table for Forced Tunneling" –Location "North Europe"
  2. 既定のルートをルーティング テーブルに追加します。Add a default route to the routing table.

    次の例は、手順 1. で作成したルーティング テーブルに既定のルートを追加します。The following example adds a default route to the routing table created in Step 1. サポートされている唯一のルートには、"VPNGateway" という次のホップへの宛先プレフィックスの「」が付いています。Note that the only route supported is the destination prefix of "" to the "VPNGateway" NextHop.

    Get-AzureRouteTable -Name "MyRouteTable" | Set-AzureRoute –RouteTable "MyRouteTable" –RouteName "DefaultRoute" –AddressPrefix "" –NextHopType VPNGateway
  3. サブネットには、ルーティング テーブルを関連付けます。Associate the routing table to the subnets.

    ルーティング テーブルを作成し、ルートを追加した後は、次の例を使用して、ルート テーブルを VNet サブネットに追加または関連付けます。After a routing table is created and a route added, use the following example to add or associate the route table to a VNet subnet. このサンプルでは、ルート テーブル "MyRouteTable" を VNet MultiTier-VNet の Midtier および Backend サブネットに追加します。The example adds the route table "MyRouteTable" to the Midtier and Backend subnets of VNet MultiTier-VNet.

    Set-AzureSubnetRouteTable -VirtualNetworkName "MultiTier-VNet" -SubnetName "Midtier" -RouteTableName "MyRouteTable"
    Set-AzureSubnetRouteTable -VirtualNetworkName "MultiTier-VNet" -SubnetName "Backend" -RouteTableName "MyRouteTable"
  4. 強制トンネリングに既定のサイトを割り当てます。Assign a default site for forced tunneling.

    前の手順で、サンプルのコマンドレット スクリプトが、ルーティング テーブルを作成して、ルート テーブルを 2 つの VNet のサブネットに関連付けました。In the preceding step, the sample cmdlet scripts created the routing table and associated the route table to two of the VNet subnets. 残りの手順は、仮想ネットワークの複数サイト間接続でローカルのサイトを規定のサイトまたはトンネルとして選択します。The remaining step is to select a local site among the multi-site connections of the virtual network as the default site or tunnel.

    $DefaultSite = @("DefaultSiteHQ")
    Set-AzureVNetGatewayDefaultSite –VNetName "MultiTier-VNet" –DefaultSite "DefaultSiteHQ"

その他の PowerShell コマンドレットAdditional PowerShell cmdlets

ルート テーブルを削除するにはTo delete a route table

Remove-AzureRouteTable -Name <routeTableName>

ルート テーブルを一覧表示するにはTo list a route table

Get-AzureRouteTable [-Name <routeTableName> [-DetailLevel <detailLevel>]]

ルート テーブルからルートを削除するにはTo delete a route from a route table

Remove-AzureRouteTable –Name <routeTableName>

サブネットからのルートを削除するにはTo remove a route from a subnet

Remove-AzureSubnetRouteTable –VirtualNetworkName <virtualNetworkName> -SubnetName <subnetName>

サブネットに関連付けられたルート テーブルの一覧表示するにはTo list the route table associated with a subnet

Get-AzureSubnetRouteTable -VirtualNetworkName <virtualNetworkName> -SubnetName <subnetName>

VNet VPN ゲートウェイから既定のサイトを削除するにはTo remove a default site from a VNet VPN gateway

Remove-AzureVnetGatewayDefaultSite -VNetName <virtualNetworkName>