Azure VPN ゲートウェイで、アクティブ/アクティブ S2S VPN 接続を構成するConfigure active-active S2S VPN connections with Azure VPN Gateways

この記事では、Resource Manager デプロイ モデルと PowerShell を使用して、アクティブ/アクティブのクロスプレミス接続と VNet 間接続を作成にする手順について説明します。This article walks you through the steps to create active-active cross-premises and VNet-to-VNet connections using the Resource Manager deployment model and PowerShell. Azure portal でアクティブ/アクティブ ゲートウェイを構成することもできます。You can also configure an active-active gateway in the Azure portal.

高可用性のクロスプレミス接続についてAbout highly available cross-premises connections

クロスプレミスと VNet 間接続で高可用性を実現するには、複数の VPN ゲートウェイをデプロイし、ネットワークと Azure 間に複数の並列接続を確立する必要があります。To achieve high availability for cross-premises and VNet-to-VNet connectivity, you should deploy multiple VPN gateways and establish multiple parallel connections between your networks and Azure. 接続オプションとトロポジの概要については、「高可用性のクロスプレミス接続および VNet 間接続」をご覧ください。See Highly Available Cross-Premises and VNet-to-VNet Connectivity for an overview of connectivity options and topology.

この記事では、アクティブ/アクティブの VPN 接続と、2 つの仮想ネットワーク間のアクティブ/アクティブ接続を設定する詳細な手順を説明します。This article provides the instructions to set up an active-active cross-premises VPN connection, and active-active connection between two virtual networks.

既に VPN Gateway がある場合は、次のことを実現できます。If you already have a VPN gateway, you can:

これらを組み合わせると、ニーズに合わせて、より複雑で可用性の高いネットワーク トポロジを構築できます。You can combine these together to build a more complex, highly available network topology that meets your needs.

重要

アクティブ/アクティブ モードは、Basic 以外のすべての SKU で使用できます。The active-active mode is available for all SKUs except Basic.

パート 1 - アクティブ/アクティブの VPN ゲートウェイを作成、構成するPart 1 - Create and configure active-active VPN gateways

次の手順では、Azure VPN ゲートウェイをアクティブ/アクティブ モードで構成します。The following steps will configure your Azure VPN gateway in active-active modes. アクティブ/アクティブ ゲートウェイとアクティブ/スタンバイ ゲートウェイの主な違い:The key differences between the active-active and active-standby gateways:

  • 2 つのパブリック IP アドレスを使用して 2 つのゲートウェイ IP 構成を作成する必要があるYou need to create two Gateway IP configurations with two public IP addresses
  • EnableActiveActiveFeature フラグを設定する必要があるYou need set the EnableActiveActiveFeature flag
  • ゲートウェイ SKU を VpnGw1、VpnGw2、VpnGw3、または HighPerformance に設定する必要があります (レガシ SKU)。The gateway SKU must be VpnGw1, VpnGw2, VpnGw3, or HighPerformance (legacy SKU).

その他のプロパティは、非アクティブ/アクティブのゲートウェイと同じです。The other properties are the same as the non-active-active gateways.

開始する前にBefore you begin

  • Azure サブスクリプションを持っていることを確認します。Verify that you have an Azure subscription. Azure サブスクリプションをまだお持ちでない場合は、MSDN サブスクライバーの特典を有効にするか、無料アカウントにサインアップしてください。If you don't already have an Azure subscription, you can activate your MSDN subscriber benefits or sign up for a free account.
  • ブラウザーで Cloud Shell を使用しない場合、Azure Resource Manager PowerShell コマンドレットをインストールする必要があります。You'll need to install the Azure Resource Manager PowerShell cmdlets if you don't want to use CloudShell in your browser. PowerShell コマンドレットのインストールの詳細については、「Azure PowerShell の概要」を参照してください。See Overview of Azure PowerShell for more information about installing the PowerShell cmdlets.

手順 1 - VNet1 を作成して構成するStep 1 - Create and configure VNet1

1.変数を宣言する1. Declare your variables

この練習では、最初に変数を宣言します。For this exercise, we'll start by declaring our variables. "使ってみる" Cloud Shell を使用する場合、アカウントに自動的に接続されます。If you use the "Try It" Cloud Shell, you will automatically connect to your account. PowerShell をローカルで使用する場合は、以下の例を使用して接続してください。If you use PowerShell locally, use the following example to help you connect:

Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1

次の例では、この演習の値を利用し、変数を宣言します。The example below declares the variables using the values for this exercise. 運用環境の場合、実際の値を使用します。Be sure to replace the values with your own when configuring for production. この手順を通して実行し、この種の構成になれたら、これらの変数を利用できます。You can use these variables if you are running through the steps to become familiar with this type of configuration. 変数を変更し、コピーし、PowerShell コンソールに貼り付けます。Modify the variables, and then copy and paste into your PowerShell console.

$Sub1 = "Ross"
$RG1 = "TestAARG1"
$Location1 = "West US"
$VNetName1 = "TestVNet1"
$FESubName1 = "FrontEnd"
$BESubName1 = "Backend"
$GWSubName1 = "GatewaySubnet"
$VNetPrefix11 = "10.11.0.0/16"
$VNetPrefix12 = "10.12.0.0/16"
$FESubPrefix1 = "10.11.0.0/24"
$BESubPrefix1 = "10.12.0.0/24"
$GWSubPrefix1 = "10.12.255.0/27"
$VNet1ASN = 65010
$DNS1 = "8.8.8.8"
$GWName1 = "VNet1GW"
$GW1IPName1 = "VNet1GWIP1"
$GW1IPName2 = "VNet1GWIP2"
$GW1IPconf1 = "gw1ipconf1"
$GW1IPconf2 = "gw1ipconf2"
$Connection12 = "VNet1toVNet2"
$Connection151 = "VNet1toSite5_1"
$Connection152 = "VNet1toSite5_2"

2.新しいリソース グループを作成する2. Create a new resource group

以下の例を使用して、新しいリソース グループを作成します。Use the example below to create a new resource group:

New-AzResourceGroup -Name $RG1 -Location $Location1

3.TestVNet1 を作成する3. Create TestVNet1

下の例では、TestVNet1 という名前の仮想ネットワークと 3 つのサブネットを作成します。サブネットの名前は GatewaySubnet、FrontEnd、Backend です。The sample below creates a virtual network named TestVNet1 and three subnets, one called GatewaySubnet, one called FrontEnd, and one called Backend. 値を代入するときは、ゲートウェイの名前を必ず GatewaySubnet にすることが重要です。When substituting values, it's important that you always name your gateway subnet specifically GatewaySubnet. 別の名前にすると、ゲートウェイの作成は失敗します。If you name it something else, your gateway creation fails.

$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

手順 2 - アクティブ/アクティブ モードで TestVNet1 に VPN ゲートウェイを作成するStep 2 - Create the VPN gateway for TestVNet1 with active-active mode

1.パブリック IP アドレスとゲートウェイの IP 構成を作成する1. Create the public IP addresses and gateway IP configurations

VNet 用に作成するゲートウェイに割り当てるパブリック IP アドレスを 2 つ要求します。Request two public IP addresses to be allocated to the gateway you will create for your VNet. 必要なサブネットと IP の構成も定義します。You'll also define the subnet and IP configurations required.

$gw1pip1 = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$gw1pip2 = New-AzPublicIpAddress -Name $GW1IPName2 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic

$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 -Subnet $subnet1 -PublicIpAddress $gw1pip1
$gw1ipconf2 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf2 -Subnet $subnet1 -PublicIpAddress $gw1pip2

2.アクティブ/アクティブ構成で VPN ゲートウェイを作成する2. Create the VPN gateway with active-active configuration

TestVNet1 用の仮想ネットワーク ゲートウェイを作成します。Create the virtual network gateway for TestVNet1. GatewayIpConfig エントリが 2 つあり、EnableActiveActiveFeature フラグが設定されている点にご注意ください。Note that there are two GatewayIpConfig entries, and the EnableActiveActiveFeature flag is set. ゲートウェイの作成には時間がかかります (完了まで 45 分以上)。Creating a gateway can take a while (45 minutes or more to complete).

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gw1ipconf1,$gw1ipconf2 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1 -Asn $VNet1ASN -EnableActiveActiveFeature -Debug

3.ゲートウェイのパブリック IP アドレスと BGP ピア IP アドレスを取得する3. Obtain the gateway public IP addresses and the BGP Peer IP address

ゲートウェイが作成されたら、Azure VPN ゲートウェイの BGP ピア IP アドレスを取得する必要があります。Once the gateway is created, you will need to obtain the BGP Peer IP address on the Azure VPN Gateway. オンプレミス VPN デバイスの BGP ピアとして Azure VPN ゲートウェイを構成するには、このアドレスが必要です。This address is needed to configure the Azure VPN Gateway as a BGP Peer for your on-premises VPN devices.

$gw1pip1 = Get-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1
$gw1pip2 = Get-AzPublicIpAddress -Name $GW1IPName2 -ResourceGroupName $RG1
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1

次のコマンドレットを使用し、VPN ゲートウェイに割り当てられる 2 つのパブリック IP アドレスを表示し、各ゲートウェイ インスタンスに対応する BGP ピア IP アドレスを表示します。Use the following cmdlets to show the two public IP addresses allocated for your VPN gateway, and their corresponding BGP Peer IP addresses for each gateway instance:

PS D:\> $gw1pip1.IpAddress
40.112.190.5

PS D:\> $gw1pip2.IpAddress
138.91.156.129

PS D:\> $vnet1gw.BgpSettingsText
{
  "Asn": 65010,
  "BgpPeeringAddress": "10.12.255.4,10.12.255.5",
  "PeerWeight": 0
}

ゲートウェイ インスタンスのパブリック IP アドレスの順序と、対応する BGP ピアリング アドレスの順序は同じです。The order of the public IP addresses for the gateway instances and the corresponding BGP Peering Addresses are the same. この例では、パブリック IP が 40.112.190.5 の VM はその BGP ピアリング アドレスに 10.12.255.4 を使用し、138.91.156.129 のゲートウェイは 10.12.255.5 を使用します。In this example, the gateway VM with public IP of 40.112.190.5 will use 10.12.255.4 as its BGP Peering Address, and the gateway with 138.91.156.129 will use 10.12.255.5. この情報は、アクティブ/アクティブ ゲートウェイに接続するオンプレミス VPN デバイスを設定する際に必要です。This information is needed when you set up your on premises VPN devices connecting to the active-active gateway. 下図のゲートウェイは、すべてのアドレスとともに表示されています。The gateway is shown in the diagram below with all addresses:

active-active gateway

ゲートウェイが作成されたら、このゲートウェイを使用して、アクティブ/アクティブのクロスプレミス接続または VNet 間接続を確立できます。Once the gateway is created, you can use this gateway to establish active-active cross-premises or VNet-to-VNet connection. 以降のセクションでは、手順を確認して演習を完了します。The following sections walk through the steps to complete the exercise.

パート 2 - アクティブ/アクティブのクロスプレミス接続を確立するPart 2 - Establish an active-active cross-premises connection

クロスプレミス接続を確立するには、オンプレミス VPN デバイスを表すローカル ネットワーク ゲートウェイと、Azure VPN ゲートウェイをローカル ネットワーク ゲートウェイにつなげる接続を作成する必要があります。To establish a cross-premises connection, you need to create a Local Network Gateway to represent your on-premises VPN device, and a Connection to connect the Azure VPN gateway with the local network gateway. この例では、Azure VPN ゲートウェイがアクティブ/アクティブ モードになっています。In this example, the Azure VPN gateway is in active-active mode. その結果、オンプレミス デバイスが 1 つだけで (ローカル ネットワーク ゲートウェイ)、接続リソースが 1 つの場合であっても、両方の Azure VPN ゲートウェイ インスタンスによって、オンプレミス デバイスで S2S VPN トンネルが構築されます。As a result, even though there is only one on-premises VPN device (local network gateway) and one connection resource, both Azure VPN gateway instances will establish S2S VPN tunnels with the on-premises device.

次に進む前に、この演習の パート 1 を完了していることを確認してください。Before proceeding, please make sure you have completed Part 1 of this exercise.

手順 1 - ローカル ネットワーク ゲートウェイを作成して構成するStep 1 - Create and configure the local network gateway

1.変数を宣言する1. Declare your variables

この演習では、引き続き、図に示されている構成を作成します。This exercise will continue to build the configuration shown in the diagram. 値は実際の構成で使用する値に置換します。Be sure to replace the values with the ones that you want to use for your configuration.

$RG5 = "TestAARG5"
$Location5 = "West US"
$LNGName51 = "Site5_1"
$LNGPrefix51 = "10.52.255.253/32"
$LNGIP51 = "131.107.72.22"
$LNGASN5 = 65050
$BGPPeerIP51 = "10.52.255.253"

ローカル ネットワーク ゲートウェイのパラメーターに関する注意点がいくつかあります。A couple of things to note regarding the local network gateway parameters:

  • ローカル ネットワーク ゲートウェイは、VPN ゲートウェイと同じ場所またはリソース グループに配置することも、別の場所またはリソース グループに配置することもできます。The local network gateway can be in the same or different location and resource group as the VPN gateway. この例では、同じ Azure の場所にある別のリソース グループに配置します。This example shows them in different resource groups but in the same Azure location.
  • 上述のようにオンプレミス VPN デバイスが 1 つのみの場合は、BGP プロトコルの有無に関係なく、アクティブ/アクティブ接続が機能します。If there is only one on-premises VPN device as shown above, the active-active connection can work with or without BGP protocol. この例では、クロスプレミス接続に BGP を使用します。This example uses BGP for the cross-premises connection.
  • BGP が有効な場合、ローカル ネットワーク ゲートウェイ用に宣言する必要があるプレフィックスは、VPN デバイスの BGP ピア IP アドレスのホスト アドレスです。If BGP is enabled, the prefix you need to declare for the local network gateway is the host address of your BGP Peer IP address on your VPN device. この場合は、"10.52.255.253/32" の /32 プレフィックスです。In this case, it's a /32 prefix of "10.52.255.253/32".
  • 既に説明したように、オンプレミス ネットワークと Azure VNet では、異なる BGP ASN を使用する必要があります。As a reminder, you must use different BGP ASNs between your on-premises networks and Azure VNet. これらが同じ場合、オンプレミス VPN デバイスが既に ASN を使用して他の BGP 近隣ノードとピアリングしているのであれば、VNet ASN を変更する必要があります。If they are the same, you need to change your VNet ASN if your on-premises VPN device already uses the ASN to peer with other BGP neighbors.

2.Site5 用のローカル ネットワーク ゲートウェイを作成する2. Create the local network gateway for Site5

続行する前に、サブスクリプションの 1 に接続されていることを確認してください。Before you continue, please make sure you are still connected to Subscription 1. まだ作成されていない場合は、リソース グループを作成します。Create the resource group if it is not yet created.

New-AzResourceGroup -Name $RG5 -Location $Location5
New-AzLocalNetworkGateway -Name $LNGName51 -ResourceGroupName $RG5 -Location $Location5 -GatewayIpAddress $LNGIP51 -AddressPrefix $LNGPrefix51 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP51

手順 2 - VNet ゲートウェイとローカル ネットワーク ゲートウェイを接続するStep 2 - Connect the VNet gateway and local network gateway

1.2 つのゲートウェイを取得する1. Get the two gateways

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng5gw1 = Get-AzLocalNetworkGateway  -Name $LNGName51 -ResourceGroupName $RG5

2.TestVNet1 から Site5 への接続を作成する2. Create the TestVNet1 to Site5 connection

この手順では、"EnableBGP" を $True に設定して TestVNet1 から Site5_1 への接続を作成します。In this step, you create the connection from TestVNet1 to Site5_1 with "EnableBGP" set to $True.

New-AzVirtualNetworkGatewayConnection -Name $Connection151 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw1 -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $True

3.オンプレミス VPN デバイスの VPN と BGP パラメーター3. VPN and BGP parameters for your on-premises VPN device

次の例では、この演習用のオンプレミス VPN デバイスの BGP 構成セクションに入力するパラメーターの一覧を表示します。The example below lists the parameters you will enter into the BGP configuration section on your on-premises VPN device for this exercise:

- Site5 ASN            : 65050
- Site5 BGP IP         : 10.52.255.253
- Prefixes to announce : (for example) 10.51.0.0/16 and 10.52.0.0/16
- Azure VNet ASN       : 65010
- Azure VNet BGP IP 1  : 10.12.255.4 for tunnel to 40.112.190.5
- Azure VNet BGP IP 2  : 10.12.255.5 for tunnel to 138.91.156.129
- Static routes        : Destination 10.12.255.4/32, nexthop the VPN tunnel interface to 40.112.190.5
                         Destination 10.12.255.5/32, nexthop the VPN tunnel interface to 138.91.156.129
- eBGP Multihop        : Ensure the "multihop" option for eBGP is enabled on your device if needed

接続は数分後に確立されます。IPsec 接続が確立されると、BGP ピアリング セッションが開始されます。The connection should be established after a few minutes, and the BGP peering session will start once the IPsec connection is established. この例では、以下の図のようにオンプレミス デバイスが 1 つだけ構成されています。This example so far has configured only one on-premises VPN device, resulting in the diagram shown below:

active-active-crossprem

手順 3 - アクティブ/アクティブの VPN ゲートウェイに 2 つのオンプレミス VPN デバイスを接続するStep 3 - Connect two on-premises VPN devices to the active-active VPN gateway

同じオンプレミス ネットワークに VPN デバイスが 2 つある場合は、Azure VPN ゲートウェイを 2 番目の VPN デバイスに接続することによって、デュアル冗長性を実現できます。If you have two VPN devices at the same on-premises network, you can achieve dual redundancy by connecting the Azure VPN gateway to the second VPN device.

1.Site5 用の 2 番目のローカル ネットワーク ゲートウェイを作成する1. Create the second local network gateway for Site5

2 番目のローカル ネットワーク ゲートウェイ用の、ゲートウェイ IP アドレス、アドレス プレフィックス、BGP ピアリング アドレスは、同じオンプレミス ネットワークの前のローカル ネットワーク ゲートウェイと重複させることができないことにご注意ください。The gateway IP address, address prefix, and BGP peering address for the second local network gateway must not overlap with the previous local network gateway for the same on-premises network.

$LNGName52 = "Site5_2"
$LNGPrefix52 = "10.52.255.254/32"
$LNGIP52 = "131.107.72.23"
$BGPPeerIP52 = "10.52.255.254"
New-AzLocalNetworkGateway -Name $LNGName52 -ResourceGroupName $RG5 -Location $Location5 -GatewayIpAddress $LNGIP52 -AddressPrefix $LNGPrefix52 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP52

2.VNet ゲートウェイと 2 番目のローカル ネットワーク ゲートウェイを接続する2. Connect the VNet gateway and the second local network gateway

"EnableBGP" を $True に設定し、TestVNet1 から Site5_2 への接続を作成します。Create the connection from TestVNet1 to Site5_2 with "EnableBGP" set to $True

$lng5gw2 = Get-AzLocalNetworkGateway -Name $LNGName52 -ResourceGroupName $RG5
New-AzVirtualNetworkGatewayConnection -Name $Connection152 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw2 -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $True

3.2 番目のオンプレミス VPN デバイスの VPN と BGP パラメーター3. VPN and BGP parameters for your second on-premises VPN device

同様に、一覧の下にあるのは、2 番目のデバイスに入力するパラメーターです。Similarly, below lists the parameters you will enter into the second VPN device:

- Site5 ASN            : 65050
- Site5 BGP IP         : 10.52.255.254
- Prefixes to announce : (for example) 10.51.0.0/16 and 10.52.0.0/16
- Azure VNet ASN       : 65010
- Azure VNet BGP IP 1  : 10.12.255.4 for tunnel to 40.112.190.5
- Azure VNet BGP IP 2  : 10.12.255.5 for tunnel to 138.91.156.129
- Static routes        : Destination 10.12.255.4/32, nexthop the VPN tunnel interface to 40.112.190.5
                         Destination 10.12.255.5/32, nexthop the VPN tunnel interface to 138.91.156.129
- eBGP Multihop        : Ensure the "multihop" option for eBGP is enabled on your device if needed

接続 (トンネル) が確立されると、デュアル冗長 VPN デバイスと、オンプレミス ネットワークと Azure を接続するトンネルが作成されます。Once the connection (tunnels) are established, you will have dual redundant VPN devices and tunnels connecting your on-premises network and Azure:

dual-redundancy-crossprem

パート 3 - アクティブ/アクティブの VNet 間接続を確立するPart 3 - Establish an active-active VNet-to-VNet connection

このセクションでは、BGP でアクティブ/アクティブの VNet 間接続を作成します。This section creates an active-active VNet-to-VNet connection with BGP.

以下の指示は、前の手順からの続きになります。The instructions below continue from the previous steps listed above. BGP で TestVNet1 と VPN ゲートウェイを作成して構成するには、 パート 1 を完了している必要があります。You must complete Part 1 to create and configure TestVNet1 and the VPN Gateway with BGP.

手順 1 - TestVNet2 と VPN ゲートウェイを作成するStep 1 - Create TestVNet2 and the VPN gateway

新しい仮想ネットワークである TestVNet2 の IP アドレス空間がどの VNet 範囲とも重ならないようにすることが重要です。It is important to make sure that the IP address space of the new virtual network, TestVNet2, does not overlap with any of your VNet ranges.

この例では、仮想ネットワークは同じサブスクリプションに属しています。In this example, the virtual networks belong to the same subscription. VNet 間接続は、異なるサブスクリプション間にセットアップできます。詳細については、VNet 間の接続の構成に関する記事をご覧ください。You can set up VNet-to-VNet connections between different subscriptions; please refer to Configure a VNet-to-VNet connection to learn more details. 接続の作成時に BGP を有効にするには、必ず "-EnableBgp $True" を追加してください。Make sure you add the "-EnableBgp $True" when creating the connections to enable BGP.

1.変数を宣言する1. Declare your variables

値は実際の構成で使用する値に置換します。Be sure to replace the values with the ones that you want to use for your configuration.

$RG2 = "TestAARG2"
$Location2 = "East US"
$VNetName2 = "TestVNet2"
$FESubName2 = "FrontEnd"
$BESubName2 = "Backend"
$GWSubName2 = "GatewaySubnet"
$VNetPrefix21 = "10.21.0.0/16"
$VNetPrefix22 = "10.22.0.0/16"
$FESubPrefix2 = "10.21.0.0/24"
$BESubPrefix2 = "10.22.0.0/24"
$GWSubPrefix2 = "10.22.255.0/27"
$VNet2ASN = 65020
$DNS2 = "8.8.8.8"
$GWName2 = "VNet2GW"
$GW2IPName1 = "VNet2GWIP1"
$GW2IPconf1 = "gw2ipconf1"
$GW2IPName2 = "VNet2GWIP2"
$GW2IPconf2 = "gw2ipconf2"
$Connection21 = "VNet2toVNet1"
$Connection12 = "VNet1toVNet2"

2.新しいリソース グループに TestVNet2 を作成する2. Create TestVNet2 in the new resource group

New-AzResourceGroup -Name $RG2 -Location $Location2

$fesub2 = New-AzVirtualNetworkSubnetConfig -Name $FESubName2 -AddressPrefix $FESubPrefix2
$besub2 = New-AzVirtualNetworkSubnetConfig -Name $BESubName2 -AddressPrefix $BESubPrefix2
$gwsub2 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName2 -AddressPrefix $GWSubPrefix2

New-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2 -Location $Location2 -AddressPrefix $VNetPrefix21,$VNetPrefix22 -Subnet $fesub2,$besub2,$gwsub2

3.TestVNet2 のアクティブ/アクティブの VPN ゲートウェイを作成する3. Create the active-active VPN gateway for TestVNet2

VNet 用に作成するゲートウェイに割り当てるパブリック IP アドレスを 2 つ要求します。Request two public IP addresses to be allocated to the gateway you will create for your VNet. 必要なサブネットと IP の構成も定義します。You'll also define the subnet and IP configurations required.

$gw2pip1 = New-AzPublicIpAddress -Name $GW2IPName1 -ResourceGroupName $RG2 -Location $Location2 -AllocationMethod Dynamic
$gw2pip2 = New-AzPublicIpAddress -Name $GW2IPName2 -ResourceGroupName $RG2 -Location $Location2 -AllocationMethod Dynamic

$vnet2 = Get-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2
$subnet2 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet2
$gw2ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW2IPconf1 -Subnet $subnet2 -PublicIpAddress $gw2pip1
$gw2ipconf2 = New-AzVirtualNetworkGatewayIpConfig -Name $GW2IPconf2 -Subnet $subnet2 -PublicIpAddress $gw2pip2

AS 番号と "EnableActiveActiveFeature" フラグを使用して、VPN ゲートウェイを作成します。Create the VPN gateway with the AS number and the "EnableActiveActiveFeature" flag. Azure VPN ゲートウェイでは既定の ASN をオーバーライドする必要があることに注意してください。Note that you must override the default ASN on your Azure VPN gateways. BGP とトランジット ルーティングを有効にするために、接続された VNet の ASN はそれぞれ異なっている必要があります。The ASNs for the connected VNets must be different to enable BGP and transit routing.

New-AzVirtualNetworkGateway -Name $GWName2 -ResourceGroupName $RG2 -Location $Location2 -IpConfigurations $gw2ipconf1,$gw2ipconf2 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1 -Asn $VNet2ASN -EnableActiveActiveFeature

手順 2 - TestVNet1 と TestVNet2 のゲートウェイを接続するStep 2 - Connect the TestVNet1 and TestVNet2 gateways

この例では、両方のゲートウェイが同じサブスクリプションにあります。In this example, both gateways are in the same subscription. この手順は、同じ PowerShell セッションで実行できます。You can complete this step in the same PowerShell session.

1.両方のゲートウェイを取得する1. Get both gateways

ログインし、サブスクリプション 1 に接続します。Make sure you log in and connect to Subscription 1.

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$vnet2gw = Get-AzVirtualNetworkGateway -Name $GWName2 -ResourceGroupName $RG2

2.両方の接続を作成する2. Create both connections

この手順では、TestVNet1 から TestVNet2 への接続と、TestVNet2 から TestVNet1 への接続を作成します。In this step, you will create the connection from TestVNet1 to TestVNet2, and the connection from TestVNet2 to TestVNet1.

New-AzVirtualNetworkGatewayConnection -Name $Connection12 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -VirtualNetworkGateway2 $vnet2gw -Location $Location1 -ConnectionType Vnet2Vnet -SharedKey 'AzureA1b2C3' -EnableBgp $True

New-AzVirtualNetworkGatewayConnection -Name $Connection21 -ResourceGroupName $RG2 -VirtualNetworkGateway1 $vnet2gw -VirtualNetworkGateway2 $vnet1gw -Location $Location2 -ConnectionType Vnet2Vnet -SharedKey 'AzureA1b2C3' -EnableBgp $True

重要

両方の接続で BGP を有効にしてください。Be sure to enable BGP for BOTH connections.

これらの手順を完了すると、数分で接続が確立されます。また、デュアル冗長性の VNet 間接続が完了すると、BGP ピアリング セッションが開始されます。After completing these steps, the connection will be establish in a few minutes, and the BGP peering session will be up once the VNet-to-VNet connection is completed with dual redundancy:

active-active-v2v

既存の VPN Gateway を更新するUpdate an existing VPN gateway

アクティブ/スタンバイ ゲートウェイをアクティブ/アクティブに変更するときは、新たにパブリック IP アドレスを作成して、第 2 のゲートウェイ IP 構成を追加します。When you change an active-standby gateway to active-active, you create another public IP address, then add a second Gateway IP configuration. このセクションでは、PowerShell を使用して、既存の Azure VPN Gateway をアクティブ/スタンバイ モードからアクティブ/アクティブ モード (またはその逆) に変更する方法を説明します。This section helps you change an existing Azure VPN gateway from active-standby to active-active mode, or vice versa using PowerShell. また、仮想ネットワーク ゲートウェイの [構成] ページで、Azure portal のゲートウェイを変更することもできます。You can also change a gateway in the Azure portal on the Configuration page for your virtual network gateway.

アクティブ/スタンバイ ゲートウェイをアクティブ/アクティブ ゲートウェイに変更するChange an active-standby gateway to an active-active gateway

次の例では、アクティブ/スタンバイ ゲートウェイをアクティブ/アクティブ ゲートウェイに変換します。The following example converts an active-standby gateway into an active-active gateway.

1.変数を宣言する1. Declare your variables

次の例に使用されているパラメーターは、実際の構成に必要な設定に置き換えたうえで、変数を宣言してください。Replace the following parameters used for the examples with the settings that you require for your own configuration, then declare these variables.

$GWName = "TestVNetAA1GW"
$VNetName = "TestVNetAA1"
$RG = "TestVPNActiveActive01"
$GWIPName2 = "gwpip2"
$GWIPconf2 = "gw1ipconf2"

必要な変数を宣言したら、次の例をコピーして PowerShell コンソールに貼り付けてください。After declaring the variables, you can copy and paste this example to your PowerShell console.

$vnet = Get-AzVirtualNetwork -Name $VNetName -ResourceGroupName $RG
$subnet = Get-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
$gw = Get-AzVirtualNetworkGateway -Name $GWName -ResourceGroupName $RG
$location = $gw.Location

2.パブリック IP アドレスを作成し、2 番目のゲートウェイ IP 構成を追加する2. Create the public IP address, then add the second gateway IP configuration

$gwpip2 = New-AzPublicIpAddress -Name $GWIPName2 -ResourceGroupName $RG -Location $location -AllocationMethod Dynamic
Add-AzVirtualNetworkGatewayIpConfig -VirtualNetworkGateway $gw -Name $GWIPconf2 -Subnet $subnet -PublicIpAddress $gwpip2

3.アクティブ/アクティブ モードを有効にし、ゲートウェイを更新する3. Enable active-active mode and update the gateway

この手順では、アクティブ/アクティブ モードを有効にし、ゲートウェイを更新します。In this step, you enable active-active mode and update the gateway. この例の VPN Gateway で現在使用しているのは従来の Standard SKU です。In the example, the VPN gateway is currently using a legacy Standard SKU. しかし、アクティブ/アクティブでは Standard SKU がサポートされません。However, active-active does not support the Standard SKU. 実際に使用するサポート対象のレガシ SKU を指定すれば、対応した SKU (このケースでは HighPerformance) にサイズ変更することができます。To resize the legacy SKU to one that is supported (in this case, HighPerformance), you simply specify the supported legacy SKU that you want to use.

  • この手順では、従来の SKU を新しい SKU に変更することはできません。You can't change a legacy SKU to one of the new SKUs using this step. サポートされている SKU へのサイズ変更は、従来の SKU の範囲内でのみ行うことができます。You can only resize a legacy SKU to another supported legacy SKU. たとえば VpnGw1 はアクティブ/アクティブに対応していますが、Standard から VpnGw1 に SKU を変更することはできません。Standard は従来の SKU で、VpnGw1 は最新の SKU であるためです。For example, you can't change the SKU from Standard to VpnGw1 (even though VpnGw1 is supported for active-active) because Standard is a legacy SKU and VpnGw1 is a current SKU. SKU のサイズ変更と移行の詳細については、「ゲートウェイの SKU」を参照してください。For more information about resizing and migrating SKUs, see Gateway SKUs.

  • 最新の SKU のサイズを変更する場合 (VpnGw1 から VpnGw3 に変更する場合など) は、どちらの SKU も同じ SKU ファミリーに属しているため、この手順で対処できます。If you want to resize a current SKU, for example VpnGw1 to VpnGw3, you can do so using this step because the SKUs are in the same SKU family. その場合は、-GatewaySku VpnGw3 という値を使用することになるでしょう。To do so, you would use the value: -GatewaySku VpnGw3

実際の環境で、ゲートウェイのサイズ変更が不要である場合、-GatewaySku を指定する必要はありません。When you are using this in your environment, if you don't need to resize the gateway, you won't need to specify the -GatewaySku. この手順で、実際に更新を開始するには、PowerShell でゲートウェイ オブジェクトを設定する必要があることに注意してください。Notice that in this step, you must set the gateway object in PowerShell to trigger the actual update. ゲートウェイのサイズ変更を行わない場合でも、この更新には 30 分から 45 分かかることがあります。This update can take 30 to 45 minutes, even if you are not resizing your gateway.

Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -EnableActiveActiveFeature -GatewaySku HighPerformance

アクティブ/アクティブ ゲートウェイをアクティブ/スタンバイ ゲートウェイに変更するChange an active-active gateway to an active-standby gateway

1.変数を宣言する1. Declare your variables

次の例に使用されているパラメーターは、実際の構成に必要な設定に置き換えたうえで、変数を宣言してください。Replace the following parameters used for the examples with the settings that you require for your own configuration, then declare these variables.

$GWName = "TestVNetAA1GW"
$RG = "TestVPNActiveActive01"

変数を宣言したら、削除する IP 構成の名前を取得します。After declaring the variables, get the name of the IP configuration you want to remove.

$gw = Get-AzVirtualNetworkGateway -Name $GWName -ResourceGroupName $RG
$ipconfname = $gw.IpConfigurations[1].Name

2.ゲートウェイの IP 構成を削除して、アクティブ/アクティブ モードを無効にします。2. Remove the gateway IP configuration and disable the active-active mode

この例では、ゲートウェイの IP 構成を削除して、アクティブ/アクティブ モードを無効にします。Use this example to remove the gateway IP configuration and disable active-active mode. 実際に更新を開始するには、PowerShell でゲートウェイ オブジェクトを設定する必要があることに注意してください。Notice that you must set the gateway object in PowerShell to trigger the actual update.

Remove-AzVirtualNetworkGatewayIpConfig -Name $ipconfname -VirtualNetworkGateway $gw
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -DisableActiveActiveFeature

更新には最大で 30 ~ 45 分かかります。This update can take up to 30 to 45 minutes.

次のステップNext steps

接続が完成したら、仮想ネットワークに仮想マシンを追加することができます。Once your connection is complete, you can add virtual machines to your virtual networks. 手順については、 仮想マシンの作成 に関するページを参照してください。See Create a Virtual Machine for steps.