Azure Portal でサイト間接続を作成する

この記事では、Azure Portal を使用して、オンプレミス ネットワークから VNet へのサイト間 VPN Gateway 接続を作成する方法について説明します。 この記事の手順は、Resource Manager デプロイメント モデルに適用されます。 また、この構成の作成には、次のリストから別のオプションを選択して、別のデプロイ ツールまたはデプロイ モデルを使用することもできます。

サイト間 VPN Gateway 接続は、IPsec/IKE (IKEv1 または IKEv2) VPN トンネルを介してオンプレミス ネットワークを Azure 仮想ネットワークに接続するために使用します。 この種類の接続では、外部接続用パブリック IP アドレスが割り当てられていてるオンプレミスの VPN デバイスが必要です。 VPN Gateway の詳細については、「VPN Gateway について」を参照してください。

クロスプレミスのサイト間 VPN Gateway 接続の図

開始する前に

構成を開始する前に、以下の条件を満たしていることを確認します。

  • 互換性のある VPN デバイスがあり、デバイスを構成できる人員がいることを確認します。 互換性のある VPN デバイスとデバイスの構成の詳細については、VPN デバイスの概要に関する記事を参照してください。
  • VPN デバイスの外部接続用パブリック IPv4 アドレスがあることを確認します。 この IP アドレスを NAT の内側に割り当てることはできません。
  • オンプレミス ネットワーク構成の IP アドレス範囲を把握していない場合は、詳細な情報を把握している担当者と協力して作業を行ってください。 この構成を作成する場合は、Azure がオンプレミスの場所にルーティングする IP アドレス範囲のプレフィックスを指定する必要があります。 オンプレミス ネットワークのサブネットと接続先の仮想ネットワーク サブネットが重複しないようにしなければなりません。

値の例

この記事の例では、次の値を使用します。 この値を使用して、テスト環境を作成できます。また、この値を参考にしながら、この記事の例を確認していくこともできます。

  • VNet の名前: TestVNet1
  • アドレス空間:
    • 10.11.0.0/16
    • 10.12.0.0/16 (この演習では省略可能)
  • サブネット:
    • FrontEnd: 10.11.0.0/24
    • BackEnd: 10.12.0.0/24 (この演習では省略可能)
  • GatewaySubnet: 10.11.255.0/27
  • リソース グループ: TestRG1
  • 場所: 米国東部
  • DNS サーバー: 省略可能。 DNS サーバーの IP アドレス。
  • 仮想ネットワーク ゲートウェイ名: VNet1GW
  • パブリック IP: VNet1GWIP
  • VPN の種類: ルート ベース
  • 接続の種類: サイト間 (IPsec)
  • ゲートウェイの種類: VPN
  • ローカル ネットワーク ゲートウェイ名: Site2
  • 接続名: VNet1toSite2

1.仮想ネットワークの作成

Azure Portal を使用して Resource Manager デプロイメント モデルで VNet を作成するには、次の手順に従います。 これらの手順をチュートリアルとして使用する場合は、例として示されている値を使用してください。 これらの手順をチュートリアルとして使用しない場合は、必ず独自の値に置き換えてください。 仮想ネットワークの操作の詳細については、「 仮想ネットワークの概要」を参照してください。

  1. ブラウザーから Azure ポータル に移動し、Azure アカウントでサインインします。
  2. [新規]をクリックします。 [Marketplace を検索] フィールドに「仮想ネットワーク」と入力します。 検索結果の一覧から [仮想ネットワーク] を探してクリックし、[仮想ネットワーク] ブレードを開きます。
  3. [仮想ネットワーク] ブレードの下の方にある [デプロイ モデルの選択] の一覧で、[リソース マネージャー] を選択し、[作成] をクリックします。 [仮想ネットワークの作成] ブレードが開きます。

    [仮想ネットワークの作成] ブレード

  4. [仮想ネットワークの作成] ブレードで、VNet の設定を構成します。 フィールドへの入力時、入力された文字が有効であれば、赤色の感嘆符が緑色のチェック マークに変わります。

    • [名前]: 仮想ネットワークの名前を入力します。 この例では、TestVNet1 を使用します。
    • [アドレス空間]: アドレス空間を入力します。 追加するアドレス空間が複数ある場合は、1 つ目のアドレス空間を追加してください。 その他のアドレス空間は後で、VNet を作成した後に追加できます。 指定したアドレス空間が、オンプレミスのアドレス空間と重複しないようにしてください。
    • [サブネット名]: 最初のサブネットの名前とアドレス範囲を追加します。 この VNet を作成した後、サブネットとゲートウェイ サブネットを追加できます。
    • [サブスクリプション]: 一覧表示されているサブスクリプションが正しいことを確認します。 ドロップダウンを使用して、サブスクリプションを変更できます。
    • [リソース グループ]: 既存のリソース グループを選択するか、新しいリソース グループの名前を入力して新しく作成します。 新しいグループを作成する場合は、計画した構成値に基づいて、リソース グループに名前を付けます。 リソース グループの詳細については、「 Azure リソース マネージャーの概要」を参照してください。
    • [場所]: VNet の場所を選択します。 この場所の設定によって、この VNet にデプロイしたリソースの配置先が決まります。
  5. ダッシュボードで VNet を簡単に検索できるようにするには、[ダッシュボードにピン留めする] を選択します。その後、[作成] をクリックします。 [作成] をクリックした後で、VNet の進捗状況を反映するタイルがダッシュボードに表示されます。 タイルは、VNet の作成が進むに従って変化します。

2.DNS サーバーの指定

サイト間接続の作成では DNS は不要です。 ただし仮想ネットワークにデプロイされたリソースで名前解決を使用する場合は、DNS サーバーを指定する必要があります。 この設定では、この仮想ネットワークの名前解決に使用する DNS サーバーを指定することができます。 この設定で、DNS サーバーは作成されません。 名前解決の詳細については、「VM とロール インスタンスの名前解決」を参照してください。

  1. 仮想ネットワークの [設定] ページで、[DNS サーバー] に移動し、クリックして [DNS サーバー] ブレードを開きます。

    DNS サーバーの追加

    • DNS サーバー: [カスタム] を選択します。
    • DNS サーバーの追加: 名前解決に利用する DNS サーバーの IP アドレスを入力します。
  2. DNS サーバーを追加し終わったら、ブレードの上部の [保存] をクリックします。

3.ゲートウェイ サブネットを作成する

仮想ネットワーク ゲートウェイは、"GatewaySubnet" と呼ばれる特定のサブネットを使用します。 ゲートウェイ サブネットには、VPN ゲートウェイ サービスが使用する IP アドレスが含まれます。 ゲートウェイ サブネットを作成する際は、名前を "GatewaySubnet " にする必要があります。 サブネットに "GatewaySubnet" という名前を付けると、Azure にゲートウェイ サービスの作成場所が通知されます。 サブネットをこれ以外の名前にすると、VPN ゲートウェイ構成は失敗します。

ゲートウェイ サブネット内の IP アドレスは、ゲートウェイ サービスに割り当てられます。 ゲートウェイ サブネットを作成するときに、サブネットに含まれる IP アドレスの数を指定します。 指定するゲートウェイ サブネットのサイズは、作成する VPN ゲートウェイ構成によって異なります。 /29 と同程度の小規模なゲートウェイ サブネットを作成することはできますが、/28 または /27 を選択してさらに多くのアドレスが含まれる大規模なサブネットを作成することをお勧めします。 大規模なゲートウェイ サブネットを使用すると、将来の構成に対応するのに十分な IP アドレスを確保できます。

  1. ポータルで、仮想ネットワーク ゲートウェイを作成する仮想ネットワークに移動します。
  2. VNet のページの [設定] セクションで、[サブネット] をクリックして [サブネット] ページを展開します。
  3. [サブネット] ページの上部にある [+ゲートウェイ サブネット] をクリックして、[サブネットの追加] ページを開きます。

    ゲートウェイ サブネットの追加

  4. サブネットの [名前] には、"GatewaySubnet" という値が自動的に入力されます。 この値 GatewaySubnet は、Azure がゲートウェイ サブネットとしてこのサブネットを認識するために必要になります。 自動入力される [アドレス範囲] の値は、実際の構成要件に合わせて調整してください。

    ゲートウェイ サブネットの追加

  5. サブネットを作成するには、ページ下部の [OK] をクリックします。

4.VPN ゲートウェイを作成する

  1. ポータル ページの左側の + をクリックし、検索ボックスに「Virtual Network ゲートウェイ」と入力します。 [結果] から [Virtual Network ゲートウェイ] を探してクリックします。
  2. [仮想ネットワーク ゲートウェイ] ブレードの下部にある [作成] をクリックします。 [仮想ネットワーク ゲートウェイの作成] ブレードが開きます。

    [仮想ネットワーク ゲートウェイの作成] ブレードのフィールド

  3. [仮想ネットワーク ゲートウェイの作成] ブレードで、仮想ネットワーク ゲートウェイの値を指定します。

    • [名前]: ゲートウェイに名前を付けます。 これは、ゲートウェイ サブネットの名前付けと同じではありません。 作成するゲートウェイ オブジェクトの名前です。
    • [ゲートウェイの種類]: [VPN] を選択します。 VPN Gateway では、仮想ネットワーク ゲートウェイの種類として VPN を使用します。
    • [VPN の種類]: 構成に指定されている VPN の種類を選択します。 ほとんどの構成で [VPN の種類] は [ルート ベース] にする必要があります。
    • [SKU]: ゲートウェイの SKU をドロップダウン リストから選択します。 ドロップダウン リストに表示される SKU は、選択した VPN の種類によって異なります。 ゲートウェイの SKU の詳細については、「ゲートウェイの SKU」を参照してください。
    • [場所]: [場所] が見えない場合はスクロールしてください。 仮想ネットワークの場所を指すように、 [場所] フィールドを調整します。 対象の仮想ネットワークが存在するリージョンをこの場所が指していない場合、次の手順で [仮想ネットワークの選択] ボックスの一覧に仮想ネットワークが表示されません。
    • [仮想ネットワーク]: このゲートウェイの追加先の仮想ネットワークを選択します。 [仮想ネットワーク] をクリックして [仮想ネットワークの選択] ブレードを開きます。 VNet を選択します。 VNet が表示されない場合は、実際の仮想ネットワークがあるリージョンが [場所] フィールドに指定されていることを確認してください。
    • [パブリック IP アドレス]: [パブリック IP アドレスの作成] ブレードで、パブリック IP アドレス オブジェクトを作成します。 パブリック IP アドレスは、VPN ゲートウェイの作成時に動的に割り当てられます。 VPN Gateway では現在、パブリック IP アドレスの "動的" 割り当てのみサポートしています。 もっとも、VPN ゲートウェイに割り当てられた IP アドレスが後から変わることは基本的にありません。 パブリック IP アドレスが変わるのは、ゲートウェイが削除され、再度作成されたときのみです。 VPN ゲートウェイのサイズ変更、リセット、その他の内部メンテナンス/アップグレードでは、IP アドレスは変わりません。

      • 最初に、[パブリック IP アドレス] をクリックして [パブリック IP アドレスの選択] ブレードを開き、次に、[+新規作成] をクリックして [パブリック IP アドレスの作成] ブレードを開きます。
      • 次に、パブリック IP アドレスの [名前] を入力し、ブレードの下部にある [OK] をクリックして変更を保存します。

        パブリック IP の作成

  4. 設定を確認します。 ゲートウェイをダッシュボードに表示する場合は、ブレードの下部にある [ダッシュボードにピン留めする] を選択します。

  5. [作成] をクリックして、VPN ゲートウェイの作成を開始します。 設定が検証され、ダッシュボードに [Deploying Virtual network gateway (仮想ネットワーク ゲートウェイのデプロイ)] タイルが表示されます。 ゲートウェイの作成には、最大で 45 分かかる場合があります。 完了状態を確認するために、ポータル ページの更新が必要な場合があります。

ゲートウェイの作成後、ポータルの仮想ネットワークを調べることで、ゲートウェイに割り当てられている IP アドレスを確認します。 ゲートウェイは、接続されたデバイスとして表示されます。 詳細を表示するには、接続したデバイス (仮想ネットワーク ゲートウェイ) をクリックします。

5.ローカル ネットワーク ゲートウェイを作成する

ローカル ネットワーク ゲートウェイは通常、オンプレミスの場所を指します。 サイトに Azure が参照できる名前を付け、接続を作成するオンプレミス VPN デバイスの IP アドレスを指定します。 また、VPN ゲートウェイを介して VPN デバイスにルーティングされる IP アドレスのプレフィックスも指定します。 指定するアドレスのプレフィックスは、オンプレミス ネットワークのプレフィックスです。 オンプレミスのネットワークが変更された場合、または VPN デバイスのパブリック IP アドレスを変更する必要がある場合、これらの値を後で簡単に更新できます。

  1. ポータルの [すべてのリソース] で、[+追加] をクリックします。
  2. [すべて] ブレードの検索ボックスに、「ローカル ネットワーク ゲートウェイ」と入力し、クリックして検索します。 これにより一覧が返されます。 [ローカル ネットワーク ゲートウェイ] をクリックしてブレードを開き、[作成] をクリックして [ローカル ネットワーク ゲートウェイの作成] ブレードを開きます。

    create local network gateway

  3. [ローカル ネットワーク ゲートウェイの作成] ブレードで、ローカル ネットワーク ゲートウェイの値を指定します。

    • [名前]:ローカル ネットワーク ゲートウェイ オブジェクトの名前を指定します。
    • [IP アドレス]: これは Azure が接続する VPN デバイスのパブリック IP アドレスです。 有効なパブリック IP アドレスを指定します。 IP アドレスは NAT の背後にすることができず、Azure から到達可能でなければなりません。 現時点で IP アドレスを持っていない場合は、スクリーンショットに示されている値を使用できますが、プレース ホルダーとして指定したこの IP アドレスを後で VPN デバイスのパブリック IP アドレスに置き換える必要があります。 そうしないと、Azure は接続を行うことができません。
    • [アドレス空間] は、このローカル ネットワークが表すネットワークのアドレス範囲を参照します。 複数のアドレス領域の範囲を追加することができます。 ここで指定した範囲が、接続先となる他のネットワークの範囲と重複しないようにしてください。 指定したアドレス範囲が、Azure によってオンプレミスの VPN デバイスの IP アドレスにルーティングされます。 "ここには、スクリーンショットに示されている値ではなく実際の値を使用してください"。
    • [サブスクリプション]: 正しいサブスクリプションが表示されていることを確認します。
    • [リソース グループ]: 使用するリソース グループを選択します。 新しいリソース グループを作成することも、作成済みのリソース グループを選択することもできます。
    • [場所]:このオブジェクトが作成される場所を選択します。 VNet が存在するのと同じ場所を選択することもできますが、必須ではありません。
  4. 値の指定が完了したら、ブレードの下部にある [作成] をクリックしてローカル ネットワーク ゲートウェイを作成します。

6.VPN デバイスの構成

オンプレミス ネットワークとのサイト間接続には VPN デバイスが必要です。 この手順では、VPN デバイスを構成します。 VPN デバイスを構成する際に、次の情報が必要になります。

  • 共有キー。 サイト間 VPN 接続を作成するときにも、これと同じ共有キーを指定します。 ここで紹介している例では、基本的な共有キーを使用しています。 実際には、もっと複雑なキーを生成して使用することをお勧めします。
  • 仮想ネットワーク ゲートウェイのパブリック IP アドレス。 パブリック IP アドレスは、Azure Portal、PowerShell、または CLI を使用して確認できます。 Azure Portal を使用して VPN ゲートウェイのパブリック IP アドレスを調べるには、[仮想ネットワーク ゲートウェイ] に移動し、該当するゲートウェイの名前をクリックします。

構成情報については、次のリンクを参照してください。

7.VPN 接続を作成する

仮想ネットワーク ゲートウェイとオンプレミス VPN デバイスとの間にサイト間 VPN 接続を作成します。

  1. 仮想ネットワーク ゲートウェイのブレードに移動してそれを開きます。 移動方法は複数あります。 この例では、[TestVNet1]、[概要]、[接続されているデバイス]、[VNet1GW] の順に選択することで、ゲートウェイ 'VNet1GW' に移動しています。
  2. VNet1GW 用のブレードで、[接続] をクリックします。 [接続] ブレードの上部にある [+追加] をクリックして [接続の追加] ブレードを開きます。

    Create Site-to-Site connection

  3. [接続の追加] ブレードで、接続を作成するための値を入力します。

    • [名前]: 接続に名前を付けます。 この例では、[VNet1toSite2] を使用しています。
    • [接続の種類]: [サイト間 (IPsec)] を選択します。
    • [仮想ネットワーク ゲートウェイ]: このゲートウェイから接続するため、この値は固定されています。
    • [ローカル ネットワーク ゲートウェイ]:[ローカル ネットワーク ゲートウェイの選択] をクリックし、使用するローカル ネットワーク ゲートウェイを選択します。 この例では、[Site2] を使用しています。
    • [共有キー]: この値は、ローカルのオンプレミス VPN デバイスで使用している値と一致させる必要があります。 この例では "abc123" を使いましたが、さらに複雑な値を使うこともできます (推奨)。 重要なのは、ここで指定する値は、VPN デバイスを構成する際に指定した値と同じにする必要があることです。
    • [サブスクリプション][リソース グループ][場所] の残りの値は固定されています。
  4. [OK] をクリックして、接続を作成します。 画面に "接続を作成しています" というメッセージが点滅表示されます。

  5. 仮想ネットワーク ゲートウェイの [接続] ブレードで接続を確認できます。 状態は、[不明] から [接続中] へ、その後 [成功] に変わります。

8.VPN 接続の確認

Azure Portal で目的の接続に移動することで、Resource Manager VPN ゲートウェイの接続の状態を確認できます。 以下に示した手順は、目的の接続に移動して接続を確認する方法の一例です。

  1. Azure Portal[すべてのリソース] をクリックし、仮想ネットワーク ゲートウェイに移動します。
  2. 仮想ネットワーク ゲートウェイのブレードで、[接続] をクリックします。 各接続の状態が確認できます。
  3. 確認する接続の名前をクリックすると、[要点] が開きます。 接続の詳しい情報は、そこで確認できます。 接続に成功していれば、[状態] が "成功" と "接続済み" になります。

    Azure Portal を使用した VPN Gateway 接続の確認

仮想マシンに接続するには

リモート デスクトップ接続を作成すると、VNet にデプロイされている VM に接続できます。 VM に接続できるかどうかを初めて確認する際に最も良い方法は、その VM のコンピューター名ではなく、プライベート IP アドレスを使って接続してみることです。 この方法であれば、名前の解決が適切に構成されているかではなく、VM に接続できるかどうかをテストすることができます。

  1. プライベート IP アドレスを特定します。 VM のプライベート IP アドレスは、複数の方法で見つけることができます。 次に、Azure ポータルと PowerShell での手順を示します。

    • Azure Portal を使用する場合: Azure Portal で仮想マシンを探します。 VM のプロパティを表示すると、 プライベート IP アドレスが表示されます。

    • PowerShell を使用する場合: 以下の例に示したコマンドを使用すると、リソース グループに含まれる VM とプライベート IP アドレスの一覧が表示されます。 このコマンドは、使用前に変更を加える必要はありません。

      $VMs = Get-AzureRmVM
      $Nics = Get-AzureRmNetworkInterface | Where VirtualMachine -ne $null
      
      foreach($Nic in $Nics)
      {
       $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
       $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
       $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
       Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. VPN 接続を使って VNet に接続していることを確認します。

  3. タスク バーの検索ボックスに「RDP」または「リモート デスクトップ接続」と入力してリモート デスクトップ接続を開き、リモート デスクトップ接続を選択します。 このほか、PowerShell で "mstsc" コマンドを使ってリモート デスクトップ接続を開くこともできます。
  4. リモート デスクトップ接続で、VM のプライベート IP アドレスを入力します。 必要に応じて [オプションの表示] をクリックして追加の設定を済ませたら、接続します。

VM に対する RDP 接続をトラブルシューティングするには

VPN 接続を使って仮想マシンに接続する際に問題が発生した場合には、次のことを確認してください。

  • VPN 接続が成功したことを確認します。
  • VM のプライベート IP アドレスに接続できていることを確認します。
  • プライベート IP アドレスを使って VM に接続できるものの、コンピューター名では接続できない場合には、DNS が正しく構成されているかどうかを確認します。 VM の名前解決の動作について詳しくは、VM の名前解決に関するページを参照してください。
  • 詳細については、VM に対するリモート デスクトップ接続のトラブルシューティングに関するページを参照してください。

VPN ゲートウェイをリセットする方法

1 つ以上のサイト間 VPN トンネルのクロスプレミス VPN 接続が失われた場合、Azure VPN Gateway をリセットすることによって解決できる場合があります。 この状況では、オンプレミスの VPN デバイスがすべて正しく機能していても、Azure VPN Gateway との間で IPsec トンネルを確立することができません。 手順については、「VPN Gateway のリセット」を参照してください。

ゲートウェイ SKU を変更する方法 (ゲートウェイのサイズ変更)

ゲートウェイ SKU を変更する手順については、「ゲートウェイの SKU」を参照してください。

次のステップ