Azure CLI を使用して VNet 間の VPN ゲートウェイ接続を構成するConfigure a VNet-to-VNet VPN gateway connection using Azure CLI

この記事は、VNet 間という接続の種類を使用して仮想ネットワークを接続する際に役立ちます。This article helps you connect virtual networks by using the VNet-to-VNet connection type. 仮想ネットワークが属しているリージョンやサブスクリプションは異なっていてもかまいません。The virtual networks can be in the same or different regions, and from the same or different subscriptions. 異なるサブスクリプションの VNet を接続する場合、サブスクリプションが同じ Active Directory テナントに関連付けられている必要はありません。When connecting VNets from different subscriptions, the subscriptions do not need to be associated with the same Active Directory tenant.

この記事の手順は、Resource Manager デプロイ モデルに適用されます。また、この手順では Azure CLI を使用します。The steps in this article apply to the Resource Manager deployment model and use Azure CLI. また、この構成の作成には、次のリストから別のオプションを選択して、別のデプロイ ツールまたはデプロイ モデルを使用することもできます。You can also create this configuration using a different deployment tool or deployment model by selecting a different option from the following list:

VNet の接続についてAbout connecting VNets

VNet の接続方法は複数あります。There are multiple ways to connect VNets. 以降のセクションでは、仮想ネットワークを接続するさまざまな方法について説明します。The sections below describe different ways to connect virtual networks.

VNet 間VNet-to-VNet

VNet 間接続の構成は、VNet を簡単に接続するための良い方法です。Configuring a VNet-to-VNet connection is a good way to easily connect VNets. VNet 間接続の種類を使用して仮想ネットワークどうしを接続することは、オンプレミスの場所へのサイト間 IPsec 接続を作成することに似ています。Connecting a virtual network to another virtual network using the VNet-to-VNet connection type is similar to creating a Site-to-Site IPsec connection to an on-premises location. どちらの接続の種類も、VPN ゲートウェイを使用して IPsec/IKE を使った安全なトンネルが確保され、通信時には同じように機能します。Both connectivity types use a VPN gateway to provide a secure tunnel using IPsec/IKE, and both function the same way when communicating. この接続の種類の違いは、ローカル ネットワーク ゲートウェイの構成方法にあります。The difference between the connection types is the way the local network gateway is configured. VNet 間接続を作成するときは、ローカル ネットワーク ゲートウェイのアドレス空間は見えません。When you create a VNet-to-VNet connection, you do not see the local network gateway address space. 自動的に作成されて値が設定されます。It is automatically created and populated. 一方の VNet のアドレス空間を更新した場合、もう一方の VNet が、更新されたアドレス空間へのルーティングを自動的に認識します。If you update the address space for one VNet, the other VNet automatically knows to route to the updated address space. VNet 間接続の作成は、通常、VNet どうしのサイト間接続を作成するよりも高速で簡単です。Creating a VNet-to-VNet connection is typically faster and easier than creating a Site-to-Site connection between VNets.

サイト間 (IPsec) の手順による VNet の接続Connecting VNets using Site-to-Site (IPsec) steps

複雑なネットワーク構成で作業している場合は、VNet 間の手順の代わりに、サイト間の手順を使用して VNet を接続する方がよい場合もあります。If you are working with a complicated network configuration, you may prefer to connect your VNets using the Site-to-Site steps, instead of the VNet-to-VNet steps. サイト間の手順を使用する場合は、ローカル ネットワーク ゲートウェイを手動で作成および構成します。When you use the Site-to-Site steps, you create and configure the local network gateways manually. 各 VNet のローカル ネットワーク ゲートウェイは、他方の VNet をローカル サイトとして扱います。The local network gateway for each VNet treats the other VNet as a local site. そうすることで、トラフィックをルーティングするための追加のアドレス空間をローカル ネットワーク ゲートウェイに指定することができます。This lets you specify additional address space for the local network gateway in order to route traffic. VNet のアドレス空間が変更されたら、変更を反映するように、対応するローカル ネットワーク ゲートウェイを手動で更新する必要があります。If the address space for a VNet changes, you need to manually update the corresponding local network gateway to reflect the change. 自動的には更新されません。It does not automatically update.

VNET ピアリングVNet peering

VNET ピアリングを使用して VNet を接続することを検討する場合もあります。You may want to consider connecting your VNets using VNet Peering. VNET ピアリングは VPN ゲートウェイを使用せず、さまざまな制約があります。VNet peering does not use a VPN gateway and has different constraints. さらに、VNET ピアリングの料金は、VNet 間 VPN Gateway の料金と計算方法が異なります。Additionally, VNet peering pricing is calculated differently than VNet-to-VNet VPN Gateway pricing. 詳細については、「 VNet ピアリング」を参照してください。For more information, see VNet peering.

VNet 間接続を作成する理由Why create a VNet-to-VNet connection?

VNet 間接続による仮想ネットワークの接続が望ましいのは、次のような場合です。You may want to connect virtual networks using a VNet-to-VNet connection for the following reasons:

  • リージョン間の geo 冗長性および geo プレゼンスCross region geo-redundancy and geo-presence

    • インターネット接続エンドポイントを介さず、安全な接続を使って独自の geo レプリケーションや geo 同期をセットアップすることができます。You can set up your own geo-replication or synchronization with secure connectivity without going over Internet-facing endpoints.
    • Azure Traffic Manager および Load Balancer を使用し、複数の Azure リージョンをまたぐ geo 冗長性を備えた、可用性に優れたワークロードをセットアップすることができます。With Azure Traffic Manager and Load Balancer, you can set up highly available workload with geo-redundancy across multiple Azure regions. たとえば、複数の Azure リージョンにまたがる SQL AlwaysOn 可用性グループをセットアップすることができます。One important example is to set up SQL Always On with Availability Groups spreading across multiple Azure regions.
  • 特定のリージョン内で分離または管理境界を備えた多層アプリケーションRegional multi-tier applications with isolation or administrative boundary

    • 同じリージョン内で、分離または管理要件に基づいて相互に接続された複数の仮想ネットワークを利用し、多層アプリケーションをセットアップすることができます。Within the same region, you can set up multi-tier applications with multiple virtual networks connected together due to isolation or administrative requirements.

マルチサイト構成と VNet 間通信を組み合わせることができます。VNet-to-VNet communication can be combined with multi-site configurations. そのため、クロスプレミス接続と仮想ネットワーク間接続とを組み合わせたネットワーク トポロジを確立することができます。This lets you establish network topologies that combine cross-premises connectivity with inter-virtual network connectivity.

どの VNet 間の手順を使用する必要がありますか。Which VNet-to-VNet steps should I use?

この記事では、VNet 間接続の 2 種類の手順について説明します。In this article, you see two different sets of VNet-to-VNet connection steps. 1 つは VNet が同じサブスクリプション内に存在する場合の手順で、もう 1 つは VNet が別のサブスクリプション内に存在する場合の手順です。One set of steps for VNets that reside in the same subscription and one for VNets that reside in different subscriptions.

この演習では、構成を組み合わせるか、希望する方のみを選んでもかまいません。For this exercise, you can combine configurations, or just choose the one that you want to work with. どの構成でも、接続の種類として VNet 間を使用します。All of the configurations use the VNet-to-VNet connection type. ネットワーク トラフィックは、互いに直接接続されている VNet 間を行き来します。Network traffic flows between the VNets that are directly connected to each other. この演習では、TestVNet4 からのトラフィックが TestVNet5 にルーティングされることはありません。In this exercise, traffic from TestVNet4 does not route to TestVNet5.

同じサブスクリプション内にある VNet の接続Connect VNets that are in the same subscription

開始する前にBefore you begin

開始する前に、最新バージョンの CLI コマンド (2.0 以降) をインストールします。Before beginning, install the latest version of the CLI commands (2.0 or later). CLI コマンドのインストール方法については、「Azure CLI 2.0 のインストール」をご覧ください。For information about installing the CLI commands, see Install the Azure CLI.

IP アドレス範囲の計画Plan your IP address ranges

以下の手順に従って、2 つの仮想ネットワークを、それぞれのゲートウェイ サブネットおよび構成と共に作成します。In the following steps, you create two virtual networks along with their respective gateway subnets and configurations. その後、2 つの VNet 間の VPN 接続を作成します。You then create a VPN connection between the two VNets. ネットワーク構成の IP アドレスの範囲を計画することが重要です。It’s important to plan the IP address ranges for your network configuration. VNet の範囲やローカル ネットワークの範囲が重複することは、どのような形であれ許容されないので注意してください。Keep in mind that you must make sure that none of your VNet ranges or local network ranges overlap in any way. 以下の例では、DNS サーバーは含まれていません。In these examples, we do not include a DNS server. 仮想ネットワークの名前解決が必要な場合は、名前解決に関する記事を参照してください。If you want name resolution for your virtual networks, see Name resolution.

例では、次の値を使用します。We use the following values in the examples:

TestVNet1 の値:Values for TestVNet1:

  • VNet 名: TestVNet1VNet Name: TestVNet1
  • リソース グループ:TestRG1Resource Group: TestRG1
  • 場所:米国東部Location: East US
  • TestVNet1: 10.11.0.0/16 と 10.12.0.0/16TestVNet1: 10.11.0.0/16 & 10.12.0.0/16
  • FrontEnd:10.11.0.0/24FrontEnd: 10.11.0.0/24
  • BackEnd: 10.12.0.0/24BackEnd: 10.12.0.0/24
  • GatewaySubnet: 10.12.255.0/27GatewaySubnet: 10.12.255.0/27
  • GatewayName: VNet1GWGatewayName: VNet1GW
  • パブリック IP: VNet1GWIPPublic IP: VNet1GWIP
  • VPNType: RouteBasedVPNType: RouteBased
  • 接続 (1 から 4): VNet1toVNet4Connection(1to4): VNet1toVNet4
  • 接続 (1 から 5): VNet1toVNet5 (VNet が異なるサブスクリプションに存在する場合)Connection(1to5): VNet1toVNet5 (For VNets in different subscriptions)

TestVNet4 の値:Values for TestVNet4:

  • VNet 名: TestVNet4VNet Name: TestVNet4
  • TestVNet2: 10.41.0.0/16 と 10.42.0.0/16TestVNet2: 10.41.0.0/16 & 10.42.0.0/16
  • FrontEnd:10.41.0.0/24FrontEnd: 10.41.0.0/24
  • BackEnd: 10.42.0.0/24BackEnd: 10.42.0.0/24
  • GatewaySubnet: 10.42.255.0/27GatewaySubnet: 10.42.255.0/27
  • リソース グループ:TestRG4Resource Group: TestRG4
  • 場所:米国西部Location: West US
  • GatewayName: VNet4GWGatewayName: VNet4GW
  • パブリック IP: VNet4GWIPPublic IP: VNet4GWIP
  • VPNType: RouteBasedVPNType: RouteBased
  • 接続:VNet4toVNet1Connection: VNet4toVNet1

手順 1 - サブスクリプションに接続するStep 1 - Connect to your subscription

  1. az login コマンドで Azure サブスクリプションにサインインし、画面上の指示に従います。Sign in to your Azure subscription with the az login command and follow the on-screen directions. サインインの詳細については、「Azure CLI を使ってみる」を参照してください。For more information about signing in, see Get Started with Azure CLI.

    az login
    
  2. 複数の Azure サブスクリプションを所有している場合は、アカウントのサブスクリプションが一覧表示されます。If you have more than one Azure subscription, list the subscriptions for the account.

    az account list --all
    
  3. 使用するサブスクリプションを指定します。Specify the subscription that you want to use.

    az account set --subscription <replace_with_your_subscription_id>
    

手順 2 - TestVNet1 を作成し、構成するStep 2 - Create and configure TestVNet1

  1. リソース グループを作成します。Create a resource group.

    az group create -n TestRG1  -l eastus
    
  2. TestVNet1 と TestVNet1 のサブネットを作成します。Create TestVNet1 and the subnets for TestVNet1. 次の例では、TestVNet1 という名前の仮想ネットワークと FrontEnd という名前のサブネットを作成します。This example creates a virtual network named TestVNet1 and a subnet named FrontEnd.

    az network vnet create -n TestVNet1 -g TestRG1 --address-prefix 10.11.0.0/16 -l eastus --subnet-name FrontEnd --subnet-prefix 10.11.0.0/24
    
  3. バックエンド サブネット用に追加のアドレス空間を作成します。Create an additional address space for the backend subnet. この手順では、先ほど作成したアドレス空間と追加するアドレス空間の両方を指定することに注意してください。Notice that in this step, we specify both the address space that we created earlier, and the additional address space that we want to add. これは、az network vnet update コマンドによって前の設定が上書きされるためです。This is because the az network vnet update command overwrites the previous settings. このコマンドを使用する際は、必ずすべてのアドレス プレフィックスを指定するようにしてください。Make sure to specify all of the address prefixes when using this command.

    az network vnet update -n TestVNet1 --address-prefixes 10.11.0.0/16 10.12.0.0/16 -g TestRG1
    
  4. バックエンド サブネットを作成します。Create the backend subnet.

    az network vnet subnet create --vnet-name TestVNet1 -n BackEnd -g TestRG1 --address-prefix 10.12.0.0/24 
    
  5. ゲートウェイ サブネットを作成します。Create the gateway subnet. ゲートウェイ サブネットの名前が "GatewaySubnet" であることに注意してください。Notice that the gateway subnet is named 'GatewaySubnet'. この名前は必須です。This name is required. この例では、ゲートウェイ サブネットに /27 が使用されています。In this example, the gateway subnet is using a /27. /29 と同程度の小規模なゲートウェイ サブネットを作成することはできますが、少なくとも /28 または /27 以上を選択してさらに多くのアドレスが含まれる大規模なサブネットを作成することをお勧めします。While it is possible to create a gateway subnet as small as /29, we recommend that you create a larger subnet that includes more addresses by selecting at least /28 or /27. これにより、十分な数のアドレスが、将来的に必要になる可能性のある追加の構成に対応できるようになります。This will allow for enough addresses to accommodate possible additional configurations that you may want in the future.

    az network vnet subnet create --vnet-name TestVNet1 -n GatewaySubnet -g TestRG1 --address-prefix 10.12.255.0/27
    
  6. VNet 用に作成するゲートウェイに割り当てるパブリック IP アドレスを要求します。Request a public IP address to be allocated to the gateway you will create for your VNet. AllocationMethod が Dynamic であることに注意してください。Notice that the AllocationMethod is Dynamic. 使用する IP アドレスを指定することはできません。You cannot specify the IP address that you want to use. IP アドレスはゲートウェイに動的に割り当てられます。It's dynamically allocated to your gateway.

    az network public-ip create -n VNet1GWIP -g TestRG1 --allocation-method Dynamic
    
  7. TestVNet1 用の仮想ネットワーク ゲートウェイを作成します。Create the virtual network gateway for TestVNet1. VNet 間構成では、RouteBased VpnType が必要です。VNet-to-VNet configurations require a RouteBased VpnType. このコマンドの実行時に "--no-wait" パラメーターを使用した場合には、フィードバックや出力が表示されなくなります。If you run this command using the '--no-wait' parameter, you don't see any feedback or output. "--no-wait" パラメーターを使用すると、ゲートウェイをバックグラウンドで作成できます。The '--no-wait' parameter allows the gateway to create in the background. これは、VPN ゲートウェイの作成がすぐに完了するという意味ではありません。It does not mean that the VPN gateway finishes creating immediately. 使用するゲートウェイ SKU によっては、ゲートウェイの作成に 45 分以上かかる場合も少なくありません。Creating a gateway can often take 45 minutes or more, depending on the gateway SKU that you use.

    az network vnet-gateway create -n VNet1GW -l eastus --public-ip-address VNet1GWIP -g TestRG1 --vnet TestVNet1 --gateway-type Vpn --sku VpnGw1 --vpn-type RouteBased --no-wait
    

手順 3 - TestVNet4 を作成し、構成するStep 3 - Create and configure TestVNet4

  1. リソース グループを作成します。Create a resource group.

    az group create -n TestRG4  -l westus
    
  2. TestVNet4 を作成します。Create TestVNet4.

    az network vnet create -n TestVNet4 -g TestRG4 --address-prefix 10.41.0.0/16 -l westus --subnet-name FrontEnd --subnet-prefix 10.41.0.0/24
    
  3. TestVNet4 用に追加のサブネットを作成します。Create additional subnets for TestVNet4.

    az network vnet update -n TestVNet4 --address-prefixes 10.41.0.0/16 10.42.0.0/16 -g TestRG4 
    az network vnet subnet create --vnet-name TestVNet4 -n BackEnd -g TestRG4 --address-prefix 10.42.0.0/24 
    
  4. ゲートウェイ サブネットを作成します。Create the gateway subnet.

    az network vnet subnet create --vnet-name TestVNet4 -n GatewaySubnet -g TestRG4 --address-prefix 10.42.255.0/27
    
  5. パブリック IP アドレスを要求します。Request a Public IP address.

    az network public-ip create -n VNet4GWIP -g TestRG4 --allocation-method Dynamic
    
  6. TestVNet4 の仮想ネットワーク ゲートウェイを作成します。Create the TestVNet4 virtual network gateway.

    az network vnet-gateway create -n VNet4GW -l westus --public-ip-address VNet4GWIP -g TestRG4 --vnet TestVNet4 --gateway-type Vpn --sku VpnGw1 --vpn-type RouteBased --no-wait
    

手順 4 - 接続を作成するStep 4 - Create the connections

ここまでで、VPN ゲートウェイを備えた VNet を 2つ用意できました。You now have two VNets with VPN gateways. 次の手順では、仮想ネットワーク ゲートウェイの間に VPN ゲートウェイ接続を作成します。The next step is to create VPN gateway connections between the virtual network gateways. 上記の例を使用した場合、VNet ゲートウェイは異なるリソース グループに存在します。If you used the examples above, your VNet gateways are in different resource groups. ゲートウェイが異なるリソース グループにある場合は、接続時に各ゲートウェイのリソース ID を特定して指定する必要があります。When gateways are in different resource groups, you need to identify and specify the resource IDs for each gateway when making a connection. VNet が同じリソース グループにある場合は、リソース ID を指定する必要がないため、2 番目の手順を使用できます。If your VNets are in the same resource group, you can use the second set of instructions because you don't need to specify the resource IDs.

異なるリソース グループにある VNet を接続するにはTo connect VNets that reside in different resource groups

  1. 次のコマンドの出力から、VNet1GW のリソース ID を取得します。Get the Resource ID of VNet1GW from the output of the following command:

    az network vnet-gateway show -n VNet1GW -g TestRG1
    

    出力結果から "id:" 行を探し出します。In the output, find the "id:" line. 次のセクションで接続を作成する際に引用符で囲まれた値が必要になります。The values within the quotes are needed to create the connection in the next section. これらの値は、メモ帳などのテキスト エディターにコピーしてください。そうすることで、接続の作成時に簡単に貼り付けることができます。Copy these values to a text editor, such as Notepad, so that you can easily paste them when creating your connection.

    出力例:Example output:

    "activeActive": false, 
    "bgpSettings": { 
     "asn": 65515, 
     "bgpPeeringAddress": "10.12.255.30", 
     "peerWeight": 0 
    }, 
    "enableBgp": false, 
    "etag": "W/\"ecb42bc5-c176-44e1-802f-b0ce2962ac04\"", 
    "gatewayDefaultSite": null, 
    "gatewayType": "Vpn", 
    "id": "/subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW", 
    "ipConfigurations":
    

    "id": の後にある引用符で囲まれた値をコピーします。Copy the values after "id": within the quotes.

    "id": "/subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW"
    
  2. VNet4GW のリソース ID を取得し、その値をテキスト エディターにコピーします。Get the Resource ID of VNet4GW and copy the values to a text editor.

    az network vnet-gateway show -n VNet4GW -g TestRG4
    
  3. TestVNet1 から TestVNet4 への接続を作成します。Create the TestVNet1 to TestVNet4 connection. この手順では、TestVNet1 から TestVNet4 への接続を作成します。In this step, you create the connection from TestVNet1 to TestVNet4. この例では、参照される共有キーがあります。There is a shared key referenced in the examples. 共有キーには独自の値を使用することができます。You can use your own values for the shared key. 両方の接続の共有キーが一致することが重要です。The important thing is that the shared key must match for both connections. 接続の作成が完了するまでしばらくかかります。Creating a connection takes a short while to complete.

    az network vpn-connection create -n VNet1ToVNet4 -g TestRG1 --vnet-gateway1 /subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW -l eastus --shared-key "aabbcc" --vnet-gateway2 /subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG4/providers/Microsoft.Network/virtualNetworkGateways/VNet4GW 
    
  4. TestVNet4 から TestVNet1 への接続を作成します。Create the TestVNet4 to TestVNet1 connection. この手順は上記の手順と同じですが、TestVNet4 から TestVNet1 への接続になります。This step is similar to the one above, except you are creating the connection from TestVNet4 to TestVNet1. 共有キーが一致することを確認してください。Make sure the shared keys match. 接続が確立されるまで数分かかります。It takes a few minutes to establish the connection.

    az network vpn-connection create -n VNet4ToVNet1 -g TestRG4 --vnet-gateway1 /subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG4/providers/Microsoft.Network/virtualNetworkGateways/VNet4GW -l westus --shared-key "aabbcc" --vnet-gateway2 /subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1G
    
  5. 接続を確認します。Verify your connections. 接続の確認に関するセクションを参照してください。See Verify your connection.

同じリソース グループにある VNet を接続するにはTo connect VNets that reside in the same resource group

  1. TestVNet1 から TestVNet4 への接続を作成します。Create the TestVNet1 to TestVNet4 connection. この手順では、TestVNet1 から TestVNet4 への接続を作成します。In this step, you create the connection from TestVNet1 to TestVNet4. この例ではリソース グループが同じであることに注意してください。Notice the resource groups are the same in the examples. ここでも参照される共有キーが表示されます。You also see a shared key referenced in the examples. 共有キーには独自の値を使用することができますが、両方の接続の共有キーが一致する必要があります。You can use your own values for the shared key, however, the shared key must match for both connections. 接続の作成が完了するまでしばらくかかります。Creating a connection takes a short while to complete.

    az network vpn-connection create -n VNet1ToVNet4 -g TestRG1 --vnet-gateway1 VNet1GW -l eastus --shared-key "eeffgg" --vnet-gateway2 VNet4GW
    
  2. TestVNet4 から TestVNet1 への接続を作成します。Create the TestVNet4 to TestVNet1 connection. この手順は上記の手順と同じですが、TestVNet4 から TestVNet1 への接続になります。This step is similar to the one above, except you are creating the connection from TestVNet4 to TestVNet1. 共有キーが一致することを確認してください。Make sure the shared keys match. 接続が確立されるまで数分かかります。It takes a few minutes to establish the connection.

    az network vpn-connection create -n VNet4ToVNet1 -g TestRG1 --vnet-gateway1 VNet4GW -l eastus --shared-key "eeffgg" --vnet-gateway2 VNet1GW
    
  3. 接続を確認します。Verify your connections. 接続の確認に関するセクションを参照してください。See Verify your connection.

異なるサブスクリプション内にある VNet の接続Connect VNets that are in different subscriptions

このシナリオでは、TestVNet1 と TestVNet5 を接続します。In this scenario, you connect TestVNet1 and TestVNet5. VNet は異なるサブスクリプション内に存在します。The VNets reside different subscriptions. サブスクリプションが同じ Active Directory テナントに関連付けられている必要はありません。The subscriptions do not need to be associated with the same Active Directory tenant. この構成の手順では、TestVNet1 を TestVNet5 に接続するために VNet 間接続を追加します。The steps for this configuration add an additional VNet-to-VNet connection in order to connect TestVNet1 to TestVNet5.

手順 5 - TestVNet1 を作成し、構成するStep 5 - Create and configure TestVNet1

以下の手順は、前のセクションで説明した手順の続きです。These instructions continue from the steps in the preceding sections. TestVNet1 と TestVNet1 の VPN ゲートウェイを作成して構成するには、手順 1.手順 2. を完了する必要があります。You must complete Step 1 and Step 2 to create and configure TestVNet1 and the VPN Gateway for TestVNet1. この構成では、前のセクションの TestVNet4 を作成する必要はありません。ただし、TestVNet4 を作成しても以下の手順に影響はありません。For this configuration, you are not required to create TestVNet4 from the previous section, although if you do create it, it will not conflict with these steps. 手順 1. と手順 2. が完了したら、(次の) 手順 6. に進んでください。Once you complete Step 1 and Step 2, continue with Step 6 (below).

手順 6 - IP アドレス範囲を確認するStep 6 - Verify the IP address ranges

追加の接続を作成する場合、重要なのは、新しい仮想ネットワークの IP アドレス空間が、他の VNet 範囲またはローカル ネットワーク ゲートウェイ範囲のどれとも重複していないことを確認することです。When creating additional connections, it's important to verify that the IP address space of the new virtual network does not overlap with any of your other VNet ranges or local network gateway ranges. この演習では、TestVNet5 に次の値を使用します。For this exercise, you can use the following values for the TestVNet5:

TestVNet5 の値:Values for TestVNet5:

  • VNet 名: TestVNet5VNet Name: TestVNet5
  • リソース グループ:TestRG5Resource Group: TestRG5
  • 場所:東日本Location: Japan East
  • TestVNet5: 10.51.0.0/16 と 10.52.0.0/16TestVNet5: 10.51.0.0/16 & 10.52.0.0/16
  • FrontEnd:10.51.0.0/24FrontEnd: 10.51.0.0/24
  • BackEnd: 10.52.0.0/24BackEnd: 10.52.0.0/24
  • GatewaySubnet: 10.52.255.0.0/27GatewaySubnet: 10.52.255.0.0/27
  • GatewayName: VNet5GWGatewayName: VNet5GW
  • パブリック IP: VNet5GWIPPublic IP: VNet5GWIP
  • VPNType: RouteBasedVPNType: RouteBased
  • 接続:VNet5toVNet1Connection: VNet5toVNet1
  • ConnectionType: VNet2VNetConnectionType: VNet2VNet

手順 7 - TestVNet5 を作成し、構成するStep 7 - Create and configure TestVNet5

この手順は、新しいサブスクリプション (サブスクリプション 5) との関連で実行する必要があります。This step must be done in the context of the new subscription, Subscription 5. この部分は、サブスクリプションを所有する別の組織の管理者が実行することがあります。This part may be performed by the administrator in a different organization that owns the subscription. サブスクリプションを切り替えるには、az account list --all を使用して、ご自分のアカウントで使用できるサブスクリプションを一覧表示します。次に、az account set --subscription <subscriptionID> を実行して、使用するサブスクリプションに切り替えます。To switch between subscriptions use az account list --all to list the subscriptions available to your account, then use az account set --subscription <subscriptionID> to switch to the subscription that you want to use.

  1. サブスクリプション 5 に接続していることを確認し、リソース グループを作成します。Make sure you are connected to Subscription 5, then create a resource group.

    az group create -n TestRG5  -l japaneast
    
  2. TestVNet5 を作成します。Create TestVNet5.

    az network vnet create -n TestVNet5 -g TestRG5 --address-prefix 10.51.0.0/16 -l japaneast --subnet-name FrontEnd --subnet-prefix 10.51.0.0/24
    
  3. サブネットを追加します。Add subnets.

    az network vnet update -n TestVNet5 --address-prefixes 10.51.0.0/16 10.52.0.0/16 -g TestRG5
    az network vnet subnet create --vnet-name TestVNet5 -n BackEnd -g TestRG5 --address-prefix 10.52.0.0/24
    
  4. ゲートウェイ サブネットを追加します。Add the gateway subnet.

    az network vnet subnet create --vnet-name TestVNet5 -n GatewaySubnet -g TestRG5 --address-prefix 10.52.255.0/27
    
  5. パブリック IP アドレスを要求します。Request a public IP address.

    az network public-ip create -n VNet5GWIP -g TestRG5 --allocation-method Dynamic
    
  6. TestVNet5 ゲートウェイを作成するCreate the TestVNet5 gateway

    az network vnet-gateway create -n VNet5GW -l japaneast --public-ip-address VNet5GWIP -g TestRG5 --vnet TestVNet5 --gateway-type Vpn --sku VpnGw1 --vpn-type RouteBased --no-wait
    

手順 8 - 接続を作成するStep 8 - Create the connections

ゲートウェイが異なるサブスクリプションにあるため、この手順は、 [サブスクリプション 1][サブスクリプション 5] というマークの付いた 2 つの CLI セッションに分かれています。This step is split into two CLI sessions marked as [Subscription 1], and [Subscription 5] because the gateways are in the different subscriptions. サブスクリプションを切り替えるには、az account list --all を使用して、ご自分のアカウントで使用できるサブスクリプションを一覧表示します。次に、az account set --subscription <subscriptionID> を実行して、使用するサブスクリプションに切り替えます。To switch between subscriptions use az account list --all to list the subscriptions available to your account, then use az account set --subscription <subscriptionID> to switch to the subscription that you want to use.

  1. [サブスクリプション 1] サブスクリプション 1 にログインして接続します。[Subscription 1] Log in and connect to Subscription 1. 次のコマンドを実行し、その出力からゲートウェイの名前と ID を取得します。Run the following command to get the name and ID of the Gateway from the output:

    az network vnet-gateway show -n VNet1GW -g TestRG1
    

    出力の "id:" をコピーします。Copy the output for "id:". メールやその他の方法で、VNet ゲートウェイ (VNet1GW) の ID と名前をサブスクリプション 5 の管理者に送信します。Send the ID and the name of the VNet gateway (VNet1GW) to the administrator of Subscription 5 via email or another method.

    出力例:Example output:

    "id": "/subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW"
    
  2. [サブスクリプション 5] サブスクリプション 5 にログインして接続します。[Subscription 5] Log in and connect to Subscription 5. 次のコマンドを実行し、その出力からゲートウェイの名前と ID を取得します。Run the following command to get the name and ID of the Gateway from the output:

    az network vnet-gateway show -n VNet5GW -g TestRG5
    

    出力の "id:" をコピーします。Copy the output for "id:". メールやその他の方法で、VNet ゲートウェイ (VNet5GW) の ID と名前をサブスクリプション 1 の管理者に送信します。Send the ID and the name of the VNet gateway (VNet5GW) to the administrator of Subscription 1 via email or another method.

  3. [サブスクリプション 1] この手順では、TestVNet1 から TestVNet5 への接続を作成します。[Subscription 1] In this step, you create the connection from TestVNet1 to TestVNet5. 共有キーには独自の値を使用することができますが、両方の接続の共有キーが一致する必要があります。You can use your own values for the shared key, however, the shared key must match for both connections. 接続の作成完了までしばらくかかります。Creating a connection can take a short while to complete. サブスクリプション 1 に接続します。 Make sure you connect to Subscription 1.

    az network vpn-connection create -n VNet1ToVNet5 -g TestRG1 --vnet-gateway1 /subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW -l eastus --shared-key "eeffgg" --vnet-gateway2 /subscriptions/e7e33b39-fe28-4822-b65c-a4db8bbff7cb/resourceGroups/TestRG5/providers/Microsoft.Network/virtualNetworkGateways/VNet5GW
    
  4. [サブスクリプション 5] この手順は上記の手順と同じですが、TestVNet5 から TestVNet1 への接続になります。[Subscription 5] This step is similar to the one above, except you are creating the connection from TestVNet5 to TestVNet1. 同じ共有キーを使用し、サブスクリプション 5 に接続してください。Make sure that the shared keys match and that you connect to Subscription 5.

    az network vpn-connection create -n VNet5ToVNet1 -g TestRG5 --vnet-gateway1 /subscriptions/e7e33b39-fe28-4822-b65c-a4db8bbff7cb/resourceGroups/TestRG5/providers/Microsoft.Network/virtualNetworkGateways/VNet5GW -l japaneast --shared-key "eeffgg" --vnet-gateway2 /subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW
    

接続の確認Verify the connections

重要

ゲートウェイ サブネットを使用する場合は、ゲートウェイ サブネットにネットワーク セキュリティ グループ (NSG) を関連付けないようにしてください。When working with gateway subnets, avoid associating a network security group (NSG) to the gateway subnet. このサブネットにネットワーク セキュリティ グループを関連付けると、VPN ゲートウェイが正常に動作しなくなることがあります。Associating a network security group to this subnet may cause your VPN gateway to stop functioning as expected. ネットワーク セキュリティ グループの詳細については、「ネットワーク セキュリティ グループ (NSG) について」を参照してください。For more information about network security groups, see What is a network security group?

接続に成功したことを確認するには、az network vpn-connection show コマンドを使用します。You can verify that your connection succeeded by using the az network vpn-connection show command. この例では、テストする接続の名前が "--name" で示されています。In the example, '--name' refers to the name of the connection that you want to test. 接続が確立中の場合は、接続状態は "Connecting" と表示されます。When the connection is in the process of being established, its connection status shows 'Connecting'. 接続が確立されると、状態は "Connected" に変更されます。Once the connection is established, the status changes to 'Connected'.

az network vpn-connection show --name VNet1toSite2 --resource-group TestRG1

VNet 間接続に関してよく寄せられる質問VNet-to-VNet FAQ

VNet 間接続の FAQ は VPN ゲートウェイ接続が対象となります。The VNet-to-VNet FAQ applies to VPN gateway connections. VNet ピアリングについては、「仮想ネットワーク ピアリング」を参照してください。For information about VNet peering, see Virtual network peering.

Azure では VNet 間のトラフィックに対して料金が発生しますか。Does Azure charge for traffic between VNets?

VPN ゲートウェイ接続を使用している場合は、同じリージョン内の VNet 間トラフィックは双方向で無料です。VNet-to-VNet traffic within the same region is free for both directions when you use a VPN gateway connection. リージョンを越えて送信される VNet 間エグレス トラフィックには、ソース リージョンに基づき、アウトバウンド VNet 内データ転送料金が課せられます。Cross-region VNet-to-VNet egress traffic is charged with the outbound inter-VNet data transfer rates based on the source regions. 詳細については、VPN Gateway の価格に関するページを参照してください。For more information, see VPN Gateway pricing page. VPN ゲートウェイではなく VNet ピアリングを使用して VNet を接続している場合は、Virtual Network の価格に関するページを参照してください。If you're connecting your VNets by using VNet peering instead of a VPN gateway, see Virtual network pricing.

VNet 間のトラフィックは、インターネット経由で送信されますか。Does VNet-to-VNet traffic travel across the internet?

いいえ。No. VNet 間のトラフィックは、インターネットではなく Microsoft Azure のバックボーンを経由して送信されます。VNet-to-VNet traffic travels across the Microsoft Azure backbone, not the internet.

Azure Active Directory (AAD) テナント間で VNet 間接続を確立できますか。Can I establish a VNet-to-VNet connection across Azure Active Directory (AAD) tenants?

はい、Azure VPN ゲートウェイを使用する VNet 間接続は、AAD テナント間で動作します。Yes, VNet-to-VNet connections that use Azure VPN gateways work across AAD tenants.

VNet 間のトラフィックはセキュリティで保護されていますか。Is VNet-to-VNet traffic secure?

はい、IPsec/IKE 暗号化で保護されます。Yes, it's protected by IPsec/IKE encryption.

VNet 同士を接続するには VPN デバイスが必要ですか。Do I need a VPN device to connect VNets together?

いいえ。No. 複数の Azure 仮想ネットワークを接続するときに、VPN デバイスは必要ありません (クロスプレミス接続が必要な場合を除く)。Connecting multiple Azure virtual networks together doesn't require a VPN device unless cross-premises connectivity is required.

VNet は同じリージョンに属している必要がありますか。Do my VNets need to be in the same region?

いいえ。No. 仮想ネットワークが属している Azure リージョン (場所) は異なっていてもかまいません。The virtual networks can be in the same or different Azure regions (locations).

VNet が同じサブスクリプションに存在しない場合、サブスクリプションが同じ Active Directory テナントに関連付けられている必要がありますか。If the VNets aren't in the same subscription, do the subscriptions need to be associated with the same Active Directory tenant?

いいえ。No.

別々の Azure インスタンスに存在する仮想ネットワークを VNet 間接続で接続することはできますか。Can I use VNet-to-VNet to connect virtual networks in separate Azure instances?

いいえ。No. VNet 間接続でサポートされるのは、同じ Azure インスタンス内の仮想ネットワークの接続だけです。VNet-to-VNet supports connecting virtual networks within the same Azure instance. たとえば、グローバル Azure と中国/ドイツ/米国政府の Azure インスタンスとの間で接続を作成することはできません。For example, you can’t create a connection between global Azure and Chinese/German/US government Azure instances. これらのシナリオについては、サイト間 VPN 接続の使用をご検討ください。Consider using a Site-to-Site VPN connection for these scenarios.

VNet 間接続はマルチサイト接続と併用できますか。Can I use VNet-to-VNet along with multi-site connections?

はい。Yes. 仮想ネットワーク接続は、マルチサイト VPN と同時に使用することができます。Virtual network connectivity can be used simultaneously with multi-site VPNs.

1 つの仮想ネットワークから接続できるオンプレミス サイトと仮想ネットワークの数を教えてください。How many on-premises sites and virtual networks can one virtual network connect to?

ゲートウェイの要件」の表を参照してください。See the Gateway requirements table.

VNet 間接続を使用して VNet の外部の VM やクラウド サービスを接続することはできますか。Can I use VNet-to-VNet to connect VMs or cloud services outside of a VNet?

いいえ。No. VNet 間接続によって仮想ネットワークを接続できます。VNet-to-VNet supports connecting virtual networks. 仮想ネットワーク内に存在しない仮想マシンやクラウド サービスを接続することはできません。It doesn't support connecting virtual machines or cloud services that aren't in a virtual network.

クラウド サービスや負荷分散エンドポイントは複数の VNet にまたがることができますか。Can a cloud service or a load-balancing endpoint span VNets?

いいえ。No. クラウド サービスや負荷分散エンドポイントは、仮にそれらが相互に接続されていたとしても、仮想ネットワークの境界を越えることはできません。A cloud service or a load-balancing endpoint can't span across virtual networks, even if they're connected together.

VNet 間接続やマルチサイト接続にポリシー ベースの VPN の種類を使用することはできますか。Can I use a PolicyBased VPN type for VNet-to-VNet or Multi-Site connections?

いいえ。No. VNet 間接続とマルチサイト接続には、VPN の種類がルート ベース (以前は "動的ルーティング" と呼ばれていました) である Azure VPN Gateway が必要です。VNet-to-VNet and Multi-Site connections require Azure VPN gateways with RouteBased (previously called dynamic routing) VPN types.

VPN の種類がルート ベースの VNet を VPN の種類がポリシー ベースの VNet に接続できますか。Can I connect a VNet with a RouteBased VPN Type to another VNet with a PolicyBased VPN type?

いいえ、両方の仮想ネットワークでルート ベース (以前は "動的ルーティング" と呼ばれていました) の VPN を使用している必要があります。No, both virtual networks MUST use route-based (previously called dynamic routing) VPNs.

VPN トンネルは帯域幅を共有しますか。Do VPN tunnels share bandwidth?

はい。Yes. 仮想ネットワークのすべての VPN トンネルは、Azure VPN ゲートウェイ上の使用可能な帯域幅を共有し、Azure 内の同じ VPN ゲートウェイ アップタイム SLA を共有します。All VPN tunnels of the virtual network share the available bandwidth on the Azure VPN gateway and the same VPN gateway uptime SLA in Azure.

冗長トンネルはサポートされますか。Are redundant tunnels supported?

1 つの仮想ネットワーク ゲートウェイがアクティブ/アクティブ構成になっている場合、仮想ネットワークのペア間の冗長トンネルがサポートされます。Redundant tunnels between a pair of virtual networks are supported when one virtual network gateway is configured as active-active.

VNet 間接続の構成で、重複するアドレス空間を使用できますか。Can I have overlapping address spaces for VNet-to-VNet configurations?

いいえ。No. 重複する IP アドレス範囲は使用できません。You can't have overlapping IP address ranges.

接続されている仮想ネットワークとオンプレミスのローカル サイトで、重複するアドレス空間を使用できますか。Can there be overlapping address spaces among connected virtual networks and on-premises local sites?

いいえ。No. 重複する IP アドレス範囲は使用できません。You can't have overlapping IP address ranges.

次の手順Next steps