Azure Portal を使用してサイト間接続を持つ VNet を作成する

この記事では、Azure Resource Manager デプロイメント モデルと Azure Portal を使用して、仮想ネットワークと、オンプレミス ネットワークに対するサイト間 VPN ゲートウェイ接続を作成する手順について説明します。 サイト間接続は、クロスプレミスおよびハイブリッド構成に使用できます。

クロスプレミスのサイト間 VPN Gateway 接続の図

サイト間接続のデプロイメント モデルとデプロイ方法

Azure は現在、2 つのデプロイメント モデル (Resource Manager およびクラシック) で使用できることを理解しておくことは重要です。 構成を開始する前に、作業するデプロイメント モデル用の手順を使用していることを確認します。 2 つのモデルは、相互に完全な互換性はありません。

たとえば、クラシック デプロイメント モデルを使用して作成された仮想ネットワークで作業していて、VNet に接続を追加したい場合は、Resource Manager モデルではなく、クラシック デプロイメント モデルに対応するデプロイ方法を使用します。 Resource Manager デプロイメント モデルを使用して作成された仮想ネットワークで作業している場合は、クラシック モデルではなく、Resource Manager モデルに対応するデプロイ方法を使用します。

デプロイ モデルについては、「 リソース マネージャー デプロイと従来のデプロイを理解する」を参照してください。

以下の表は、サイト間の構成に関して現在利用できるデプロイメント モデルとデプロイ方法を示しています。 構成手順を説明した記事が利用できるようになったら、表から直接リンクできるようにします。

デプロイメント モデル/方法 Azure ポータル クラシック ポータル PowerShell
リソース マネージャー 記事 サポートされていません 記事
クラシック サポートされています 記事* 記事+

"*" は、クラシック ポータルで&1; つの S2S VPN 接続の作成のみがサポートされることを示します。

"+" は、この記事がマルチサイト接続向けに書かれていることを示します。

追加の構成

VNet どうしは接続しても、オンプレミスへの接続は作成しない場合は、 VNet 間の接続の構成に関するページを参照してください。 既存の接続が存在する VNet にサイト間接続を追加する場合は、VPN Gateway 接続が既に存在する VNet へのサイト間接続の追加に関するページを参照してください。

開始する前に

構成を開始する前に、以下が揃っていることを確認します。

  • 互換性のある VPN デバイスおよびデバイスを構成できる人員。 「 VPN デバイスについて」を参照してください。 VPN デバイスの構成に詳しくない場合や、オンプレミス ネットワーク構成の IP アドレス範囲を把握していない場合は、詳細な情報を把握している担当者と協力して作業を行ってください。
  • VPN デバイスの外部接続用パブリック IP アドレス。 この IP アドレスを NAT の内側に割り当てることはできません。
  • Azure サブスクリプション。 Azure サブスクリプションをまだお持ちでない場合は、MSDN サブスクライバーの特典を有効にするか、無料アカウントにサインアップしてください。

この演習のサンプル構成値

以下の手順を練習として使用する場合は、次のサンプル構成値を使用してください。

  • VNet の名前: TestVNet1
  • アドレス空間: 10.11.0.0/16 と 10.12.0.0/16
  • サブネット:
    • FrontEnd: 10.11.0.0/24
    • BackEnd: 10.12.0.0/24
    • GatewaySubnet: 10.12.255.0/27
  • リソース グループ: TestRG1
  • 場所: 米国東部
  • DNS サーバー: 8.8.8.8
  • ゲートウェイ名: VNet1GW
  • パブリック IP: VNet1GWIP
  • VPN の種類: ルート ベース
  • 接続の種類: サイト間 (IPsec)
  • ゲートウェイの種類: VPN
  • ローカル ネットワーク ゲートウェイ名: Site2
  • 接続名: VNet1toSite2

1.仮想ネットワークの作成

既に VNet がある場合は、設定が VPN ゲートウェイの設計に適合していることを確認します。 特に、他のネットワークと重複している可能性のあるサブネットに注意してください。 サブネットの重複があると、接続が適切に動作しません。 VNet が正しい設定で構成されていたら、「 DNS サーバーの指定 」セクションの手順に進んでください。

仮想ネットワークを作成するには

Azure Portal を使用して Resource Manager デプロイメント モデルで VNet を作成するには、次の手順に従います。 スクリーンショットは例として示されています。 サンプルの値は必ず実際の値に変更してください。 仮想ネットワークの操作の詳細については、「 仮想ネットワークの概要」を参照してください。

  1. ブラウザーから Azure Portal に移動します。必要であれば Azure アカウントでサインインします。
  2. [新規]をクリックします。 [Marketplace を検索] フィールドに「仮想ネットワーク」と入力します。 検索結果の一覧から [仮想ネットワーク] を探してクリックし、[仮想ネットワーク] ブレードを開きます。

    Locate Virtual Network resource blade

  3. [仮想ネットワーク] ブレードの下の方にある [デプロイ モデルの選択] の一覧で、[リソース マネージャー] を選択し、[作成] をクリックします。

    Select Resource Manager

  4. [仮想ネットワークの作成] ブレードで、VNet の設定を構成します。 フィールドへの入力時、文字が有効であれば、赤色の感嘆符が緑色のチェック マークに変わります。

    Field validation

  5. [仮想ネットワークの作成] ブレードは、次のようになっています。 自動的に入力される値もあります。 そのような値については、実際の値に変更してください。

    仮想ネットワーク ブレードの作成

  6. [名前]: 仮想ネットワークの名前を入力します。
  7. [アドレス空間]: アドレス空間を入力します。 追加するアドレス空間が複数ある場合は、1 つ目のアドレス空間を追加してください。 その他のアドレス空間は後で、VNet を作成した後に追加できます。
  8. [サブネット名]: サブネットの名前とアドレス範囲を追加します。 その他のサブネットは後で、VNet を作成した後に追加できます。
  9. [サブスクリプション]: 一覧表示されているサブスクリプションが正しいことを確認します。 ドロップダウンを使用して、サブスクリプションを変更できます。
  10. [リソース グループ]: 既存のリソース グループを選択するか、新しいリソース グループの名前を入力して新しく作成します。 新しいグループを作成する場合は、計画した構成値に基づいて、リソース グループに名前を付けます。 リソース グループの詳細については、「 Azure リソース マネージャーの概要」を参照してください。
  11. [場所]: VNet の場所を選択します。 この場所の設定によって、この VNet にデプロイしたリソースの配置先が決まります。
  12. ダッシュボードで VNet を簡単に検索できるようにするには、[ダッシュボードにピン留めする] を選択します。その後、[作成] をクリックします。

    Pin to dashboard

  13. [作成] をクリックした後で、VNet の進捗状況を反映するタイルがダッシュボードに表示されます。 タイルは、VNet の作成が進むに従って変化します。

    仮想ネットワーク タイルの作成

2.アドレス空間とサブネットの追加

VNet が作成されたら、アドレス空間とサブネットをさらに追加できます。

アドレス空間を追加するには

  1. アドレス空間を追加するには、[仮想ネットワーク] ブレードの [設定] セクションで [アドレス空間] をクリックして、[アドレス空間] ブレードを開きます。
  2. アドレス空間を追加し、ブレードの上部にある [保存] をクリックします。

    Add address space

サブネットを作成するには

  1. サブネットを作成するには、[仮想ネットワーク] ブレードの [設定] セクションで [サブネット] をクリックして、[サブネット] ブレードを開きます。
  2. [サブネット] ブレードで [+サブネット] をクリックして、[サブネットの追加] ブレードを開きます。 新しいサブネットに名前を付け、アドレス範囲を指定します。

    サブネット設定

  3. ブレード下部の [OK] をクリックして、変更を保存します。

    サブネット設定

3.DNS サーバーの指定

DNS サーバーを指定するには

この設定では、この仮想ネットワークの名前解決に使用する DNS サーバーを指定することができます。 この設定で、DNS サーバーは作成されません。

  1. 仮想ネットワークの [設定] ページで、[DNS サーバー] に移動し、クリックして [DNS サーバー] ブレードを開きます。
  2. [DNS サーバー] ページの [DNS サーバー] で、[カスタム] を選択します。
  3. [DNS サーバー] フィールドの [DNS サーバーの追加] ボックスで、名前解決に使用する DNS サーバー名の IP アドレスを入力します。
  4. DNS サーバーを追加し終わったら、ブレードの上部の [保存] をクリックして構成内容を保存します。

    [カスタム DNS]

4.ゲートウェイ サブネットの作成

仮想ネットワークをゲートウェイに接続する前に、まず、接続先の仮想ネットワークのゲートウェイ サブネットを作成する必要があります。 将来的な構成要件も見越して十分な IP アドレスを確保するために、可能であれば、/28 または /27 の CIDR ブロックを使用してゲートウェイ サブネットを作成することをお勧めします。

練習としてこの構成を作成する場合は、ゲートウェイ サブネットの作成時に、上記の を参照してください。

ゲートウェイ サブネットを作成するには

  1. ポータルで、Virtual Network ゲートウェイを作成する Resource Manager 仮想ネットワークに移動します。
  2. VNet のブレードの [設定] セクションで、[サブネット] をクリックして [サブネット] ブレードを展開します。
  3. [サブネット] ブレードの上部にある [+ゲートウェイ サブネット] をクリックします。 [サブネットの追加] ブレードが開きます。

    ゲートウェイ サブネットの追加

  4. サブネットの [名前] は、"GatewaySubnet" という値が自動的に入力されます。 この値は、Azure がゲートウェイ サブネットとしてこのサブネットを認識するために必要になります。 自動入力される [アドレス範囲] の値は、実際の構成要件に合わせて調整してください。

    サブネットの追加

  5. ブレード下部の [OK] をクリックすると、サブネットが作成されます。

5.仮想ネットワーク ゲートウェイの作成

練習としてこの構成を作成する場合は、サンプル構成値を参照してください。

仮想ネットワーク ゲートウェイを作成するには

  1. ポータルで、左側の [+] をクリックし、検索ボックスに「Virtual Network ゲートウェイ」と入力します。 検索結果で "仮想ネットワーク ゲートウェイ" を探してその項目をクリックします。 [Virtual Network ゲートウェイ] ブレードで、下部にある [作成] をクリックします。 [仮想ネットワーク ゲートウェイの作成] ブレードが開きます。
  2. [Virtual Network ゲートウェイの作成] ブレードで、Virtual Network ゲートウェイの値を入力します。

    [Virtual Network ゲートウェイの作成] ブレードのフィールド

  3. [名前]: ゲートウェイに名前を付けます。 これは、ゲートウェイ サブネットの名前付けと同じではありません。 作成するゲートウェイ オブジェクトの名前です。
  4. [ゲートウェイの種類]: [VPN] を選択します。 VPN Gateway では、仮想ネットワーク ゲートウェイの種類として VPN を使用します。
  5. [VPN の種類]: 構成に指定されている VPN の種類を選択します。 ほとんどの構成で [VPN の種類] は [ルート ベース] にする必要があります。
  6. [SKU]: ゲートウェイの SKU をドロップダウン リストから選択します。 ドロップダウン リストに表示される SKU は、選択した VPN の種類によって異なります。
  7. [場所]: 仮想ネットワークの場所を指すように、[場所] フィールドを調整します。 対象の仮想ネットワークが存在するリージョンをこの場所が指していない場合、仮想ネットワークは [仮想ネットワークの選択] ボックスの一覧に表示されません。
  8. このゲートウェイの追加先の仮想ネットワークを選択します。 [仮想ネットワーク] をクリックして [仮想ネットワークの選択] ブレードを開きます。 VNet を選択します。 VNet が表示されない場合は、実際の仮想ネットワークがあるリージョンが [場所] フィールドに指定されていることを確認してください。
  9. パブリック IP アドレスを選択します。 [パブリック IP アドレス] をクリックして、[パブリック IP アドレスの選択] ブレードを開きます。 [+新規作成] をクリックして、[パブリック IP アドレスの作成] ブレードを開きます。 パブリック IP アドレスの名前を入力します。 このブレードで、パブリック IP アドレス オブジェクトが作成されます。このオブジェクトにパブリック IP アドレスが動的に割り当てられます。
    [OK] をクリックして、このブレードへの変更を保存します。
  10. [サブスクリプション]: 正しいサブスクリプションが選択されていることを確認します。
  11. [リソース グループ]: この設定は、選択した Virtual Network によって決定されます。
  12. 上記の設定を指定した後に [場所] を調整しないでください。
  13. 設定を確認します。 ゲートウェイをダッシュボードに表示する場合は、ブレードの下部にある [ダッシュボードにピン留めする] を選択します。
  14. [作成] をクリックして、ゲートウェイの作成を開始します。 設定が検証され、ダッシュボードに [Deploying Virtual network gateway (仮想ネットワーク ゲートウェイのデプロイ)] タイルが表示されます。 ゲートウェイの作成には、最大で 45 分かかる場合があります。 完了状態を確認するために、ポータル ページの更新が必要な場合があります。

    Virtual Network ゲートウェイのデプロイ

  15. ゲートウェイの作成後は、ポータルの仮想ネットワークを調べることで、ゲートウェイに割り当てられている IP アドレスを確認できます。 ゲートウェイは、接続されたデバイスとして表示されます。 詳細を表示するには、接続したデバイス (仮想ネットワーク ゲートウェイ) をクリックします。

6.ローカル ネットワーク ゲートウェイの作成

"ローカル ネットワーク ゲートウェイ" は、オンプレミスの場所を指します。 Azure から参照できるように、ローカル ネットワーク ゲートウェイに名前を付けます。

練習としてこの構成を作成する場合は、サンプル構成値を参照してください。

ローカル ネットワーク ゲートウェイを作成するには

  1. ポータルの [すべてのリソース] で、[+追加] をクリックします。 [すべて] ブレードの検索ボックスに、「ローカル ネットワーク ゲートウェイ」と入力し、クリックして検索します。 これにより一覧が返されます。 [ローカル ネットワーク ゲートウェイ] をクリックしてブレードを開き、[作成] をクリックして [ローカル ネットワーク ゲートウェイの作成] ブレードを開きます。

    create local network gateway

  2. [ローカル ネットワーク ゲートウェイの作成] ブレードで、ローカル ネットワーク ゲートウェイ オブジェクトの名前を指定します。

  3. 接続先となる VPN デバイスまたは仮想ネットワーク ゲートウェイの有効なパブリック IP アドレスを指定します。
    このローカル ネットワークがオンプレミスの場所を表している場合、これは接続先となる VPN デバイスのパブリック IP アドレスになります。 これは NAT の内側とすることができず、Azure から到達可能でなければなりません。
    このローカル ネットワークが別の VNet を表す場合は、その VNet の仮想ネットワーク ゲートウェイに割り当てられているパブリック IP アドレスを指定します。
  4. [アドレス空間] は、このローカル ネットワークが表すネットワークのアドレス範囲を参照します。 複数のアドレス領域の範囲を追加することができます。 ここで指定した範囲が、接続先となる他のネットワークの範囲と重複しないようにしてください。
  5. [サブスクリプション]では、正しいサブスクリプションが表示されていることを確認します。
  6. [リソース グループ]では、使用するリソース グループを選択します。 新しいリソース グループを作成することも、作成済みのリソース グループを選択することもできます。
  7. [場所]では、このオブジェクトが作成される場所を選択します。 VNet が存在するのと同じ場所を選択することもできますが、必須ではありません。
  8. [作成] をクリックして、ローカル ネットワーク ゲートウェイを作成します。

7.VPN デバイスの構成

VPN デバイスを構成するには、オンプレミス VPN デバイスを構成するための、仮想ネットワーク ゲートウェイのパブリック IP アドレスが必要です。 構成に関する具体的な情報についてはお使いのデバイスの製造元の情報を参照し、デバイスの構成を行ってください。 Azure で正しく動作する VPN デバイスの詳細については、「 VPN デバイス 」を参照してください。

PowerShell を使用して仮想ネットワーク ゲートウェイのパブリック IP アドレスを検索するには、次のサンプルを使用します。

Get-AzureRmPublicIpAddress -Name GW1PublicIP -ResourceGroupName TestRG

仮想ネットワーク ゲートウェイのパブリック IP アドレスは、Azure ポータルを使用して表示することもできます。 仮想ネットワーク ゲートウェイに移動し、ゲートウェイの名前をクリックします。

8.サイト間 VPN 接続の作成

仮想ネットワーク ゲートウェイと VPN デバイスの間にサイト間 VPN 接続を作成します。 サンプルの値は必ず実際の値に変更してください。 共有キーは、VPN デバイスの構成に使用したものと同じ値にする必要があります。

このセクションを開始する前に、仮想ネットワーク ゲートウェイとローカル ネットワーク ゲートウェイの作成が完了していることを確認してください。 練習としてこの構成を作成する場合は、接続の作成時に、上記の を参照してください。

VPN 接続を作成するには

  1. 仮想ネットワーク ゲートウェイを探し、[すべての設定] をクリックして、[設定] ブレードを開きます。
  2. [設定] ブレードで [接続] をクリックし、ブレードの上部にある [追加] をクリックして、[接続の追加] ブレードを開きます。

    Create Site-to-Site connection

  3. [接続の追加] ブレードで、接続に名前を付けます。
  4. [接続の種類] では、[サイト間 (IPSec)] を選択します。
  5. [仮想ネットワーク ゲートウェイ] の値は固定されています。このゲートウェイから接続しているためです。
  6. [ローカル ネットワーク ゲートウェイ] では、[ローカル ネットワーク ゲートウェイの選択] をクリックし、使用するローカル ネットワーク ゲートウェイを選択します。
  7. [共有キー]の値は、ローカル VPN デバイスに使用している値と一致する必要があります。 ローカル ネットワーク上の VPN デバイスで共有キーが指定されていない場合は、共有キーを作成し、それをここと、ローカル デバイスに対して入力します。 重要なことは、両者が一致することです。
  8. [サブスクリプション][リソース グループ][場所] の残りの値は固定されています。
  9. [OK] をクリックして、接続を作成します。 画面に "接続を作成しています" というメッセージが点滅表示されます。
  10. 接続が完了すると、接続がゲートウェイの [接続] ブレードに表示されます。

    Create Site-to-Site connection

9.VPN 接続の確認

VPN 接続の確認はポータルで行えるほか、PowerShell を使って確認することもできます。

PowerShell を使用して接続を確認するには

接続に成功したことを確認するには、Get-AzureRmVirtualNetworkGatewayConnection コマンドレットを使用します。-Debug は指定しても指定しなくてもかまいません。

  1. 次のコマンドレットを使用します。値は実際の値に置き換えてください。 プロンプトが表示されたら、"A" を選択して "すべて" (All) を実行します。 この例の -Name は、テストする作成済みの接続の名前を示します。

     Get-AzureRmVirtualNetworkGatewayConnection -Name MyGWConnection -ResourceGroupName MyRG
    
  2. コマンドレットの実行後、値を確認します。 以下の例では、接続状態は "Connected" と表示され、受信バイトと送信バイトを確認できます。

     Body:
     {
       "name": "MyGWConnection",
       "id":
     "/subscriptions/086cfaa0-0d1d-4b1c-94544-f8e3da2a0c7789/resourceGroups/MyRG/providers/Microsoft.Network/connections/MyGWConnection",
       "properties": {
         "provisioningState": "Succeeded",
         "resourceGuid": "1c484f82-23ec-47e2-8cd8-231107450446b",
         "virtualNetworkGateway1": {
           "id":
     "/subscriptions/086cfaa0-0d1d-4b1c-94544-f8e3da2a0c7789/resourceGroups/MyRG/providers/Microsoft.Network/virtualNetworkGa
     teways/vnetgw1"
         },
         "localNetworkGateway2": {
           "id":
     "/subscriptions/086cfaa0-0d1d-4b1c-94544-f8e3da2a0c7789/resourceGroups/MyRG/providers/Microsoft.Network/localNetworkGate
     ways/LocalSite"
         },
         "connectionType": "IPsec",
         "routingWeight": 10,
         "sharedKey": "abc123",
         "connectionStatus": "Connected",
         "ingressBytesTransferred": 33509044,
         "egressBytesTransferred": 4142431
       }
    

Azure ポータルを使用して接続を確認するには

接続の状態は、Azure ポータルで目的の接続に移動して確認できます。 これには複数の方法があります。 以下に示した手順は、目的の接続に移動して接続を確認する方法の一例です。

  1. Azure Portal[すべてのリソース] をクリックし、仮想ネットワーク ゲートウェイに移動します。
  2. 仮想ネットワーク ゲートウェイのブレードで、[接続] をクリックします。 各接続の状態が確認できます。
  3. 確認する接続の名前をクリックすると、[要点] が開きます。 接続の詳しい情報は、そこで確認できます。 接続に成功していれば、[状態] が "成功" と "接続済み" になります。

    Verify connection

次のステップ

  • 接続が完成したら、仮想ネットワークに仮想マシンを追加することができます。 詳細については、Virtual Machines に関するページを参照してください。
  • BGP の詳細については、BGP の概要に関する記事と BGP の構成方法に関する記事を参照してください。