既存の VPN ゲートウェイ接続を使用してサイト間接続を VNet に追加する (クラシック)Add a Site-to-Site connection to a VNet with an existing VPN gateway connection (classic)

注意

この記事は、クラシック デプロイメント モデルを想定しています。This article is written for the classic deployment model. Azure に慣れていない場合には、代わりに Resource Manager デプロイメント モデルを使用することをお勧めします。If you're new to Azure, we recommend that you use the Resource Manager deployment model instead. Resource Manager デプロイメント モデルは、最新のデプロイメント モデルであり、クラシック デプロイメント モデルよりも多くのオプションと機能の互換性を提供します。The Resource Manager deployment model is the most current deployment model and offers more options and feature compatibility than the classic deployment model. デプロイメント モデルについては、デプロイメント モデルの概要に関するページを参照してください。For more information about the deployment models, see Understanding deployment models.

この記事の Resource Manager 版は、下のドロップダウン リストから選択するか、または左側の目次から選択して表示できます。For the Resource Manager version of this article, select it from the drop-down list below, or from the table of contents on the left.

この記事では、PowerShell を使用して、既存の接続がある VPN ゲートウェイにサイト間 (S2S) 接続を追加する方法について説明します。This article walks you through using PowerShell to add Site-to-Site (S2S) connections to a VPN gateway that has an existing connection. この種類の構成は、一般に "マルチサイト" 構成と呼ばれます。This type of connection is often referred to as a "multi-site" configuration. この記事の手順は、クラシック デプロイ モデル (別名、サービス管理) を使用して作成された仮想ネットワークを対象としています。The steps in this article apply to virtual networks created using the classic deployment model (also known as Service Management). 次の手順は、ExpressRoute/サイト間の共存接続の構成には適用されません。These steps do not apply to ExpressRoute/Site-to-Site coexisting connection configurations.

デプロイメント モデルおよび方法Deployment models and methods

Azure は現在、2 つのデプロイメント モデル (Resource Manager とクラシック) で使用できます。Azure currently works with two deployment models: Resource Manager and classic. これらの 2 つのモデルには、完全に互換性があるわけではありません。The two models are not completely compatible with each other. 作業を開始する前に、使用するモデルを把握しておく必要があります。Before you begin, you need to know which model that you want to work in. デプロイメント モデルについては、デプロイメント モデルの概要に関するページを参照してください。For information about the deployment models, see Understanding deployment models. Azure に慣れていない場合には、Resource Manager デプロイ モデルの使用をお勧めします。If you are new to Azure, we recommend that you use the Resource Manager deployment model.

以下の表は、この構成について新しい記事、追加のツールが利用できるようになったら更新されるものです。We update this table as new articles and additional tools become available for this configuration. 記事が利用できるようになったら、表から直接リンクできるようにします。When an article is available, we link directly to it from this table.

デプロイメント モデル/方法Deployment Model/Method Azure PortalAzure Portal PowerShellPowerShell
リソース マネージャーResource Manager 記事Article サポートされていますSupported
クラシックClassic サポートされていませんNot Supported 記事Article

接続の概要About connecting

複数のオンプレミスのサイトを単一の仮想ネットワークに接続できます。You can connect multiple on-premises sites to a single virtual network. これは、ハイブリッドなクラウドのソリューションを構築する際は特に魅力的です。This is especially attractive for building hybrid cloud solutions. Azure 仮想ネットワーク ゲートウェイに複数の接続を行うことは、他のサイト間接続に似ています。Creating a multi-site connection to your Azure virtual network gateway is similar to creating other Site-to-Site connections. 実際、ゲートウェイが動的 (ルートベース) である限り、既存の Azure VPN ゲートウェイを使用できます。In fact, you can use an existing Azure VPN gateway, as long as the gateway is dynamic (route-based).

お使いの仮想ネットワークに既に静的ゲートウェイが接続されている場合は、複数のサイトを対応するために仮想ネットワークを構築することなく、ゲートウェイ タイプを動的に変更できます。If you already have a static gateway connected to your virtual network, you can change the gateway type to dynamic without needing to rebuild the virtual network in order to accommodate multi-site. ルーティング タイプを変更する前に、オンプレミスの VPN ゲートウェイがルートベースの VPN 構成をサポートしていることを確認します。Before changing the routing type, make sure that your on-premises VPN gateway supports route-based VPN configurations.

マルチサイトの図multi-site diagram

考慮すべき点Points to consider

ポータルを使用して、この仮想ネットワークに変更を加えることはできません。You won't be able to use the portal to make changes to this virtual network. ポータルを使用しないで、ネットワーク構成ファイルに変更を加える必要があります。You need to make changes to the network configuration file instead of using the portal. ポータルで変更を行っても、この仮想ネットワークのマルチサイトのリファレンス設定が上書きされます。If you make changes in the portal, they'll overwrite your multi-site reference settings for this virtual network.

マルチサイトの手順を終える頃には、ネットワーク構成ファイルを使用することにも慣れていることでしょう。You should feel comfortable using the network configuration file by the time you've completed the multi-site procedure. しかし、複数の人がネットワーク構成の作業を行う場合、必ず全員がこの制限事項について知っておく必要があります。However, if you have multiple people working on your network configuration, you'll need to make sure that everyone knows about this limitation. これはまったくポータルを使うことができないという意味ではありません。This doesn't mean that you can't use the portal at all. この特定の仮想ネットワークへの構成の変更を行うとき以外には使用できます。You can use it for everything else, except making configuration changes to this particular virtual network.

開始する前にBefore you begin

構成を開始する前に、次の前提があることを確認してください。Before you begin configuration, verify that you have the following:

  • 各オンプレミスのロケーションと互換性のある VPN ハードウェアCompatible VPN hardware for each on-premises location. Virtual Network に使用する VPN デバイスについて」を参照して、使用するデバイスが互換性のあるものであることを確認してください。Check About VPN Devices for Virtual Network Connectivity to verify if the device that you want to use is something that is known to be compatible.
  • 各 VPN デバイスの外部接続用パブリック IPv4 IP アドレス。An externally facing public IPv4 IP address for each VPN device. IP アドレスを NAT の内側に割り当てることはできません。The IP address cannot be located behind a NAT. これが要件です。This is requirement.
  • Azure PowerShell コマンドレットの最新版をインストールする必要があります。You'll need to install the latest version of the Azure PowerShell cmdlets. 必ずサービス管理 (SM) バージョンと Resource Manager バージョンをインストールしてください。Make sure you install the Service Management (SM) version in addition to the Resource Manager version. 詳細については、「 Azure PowerShell のインストールおよび構成方法 」ご覧ください。See How to install and configure Azure PowerShell for more information.
  • VPN ハードウェアの構成に詳しい作業者Someone who is proficient at configuring your VPN hardware. そのため、VPN デバイスの構成に精通している必要があり、そうでなければ精通している人と一緒に作業を行ってください。You'll have to have a strong understanding of how to configure your VPN device, or work with someone who does.
  • 仮想ネットワークに使用する予定の IP アドレス範囲 (まだ 1 つも作成していない場合)。The IP address ranges that you want to use for your virtual network (if you haven't already created one).
  • 接続する各ローカル ネットワークの IP アドレス範囲。The IP address ranges for each of the local network sites that you'll be connecting to. 接続しようとしている各ローカル ネットワーク サイトの IP アドレス範囲が重複しないように確認する必要があります。You'll need to make sure that the IP address ranges for each of the local network sites that you want to connect to do not overlap. そうしないと、構成をアップロードする際に、ポータルまたは REST API によって拒否されます。Otherwise, the portal or the REST API will reject the configuration being uploaded.
    例えば、2 つのローカル ネットワーク サイトの両方が IP アドレス範囲 10.2.3.0/24 を含んでおり、送信先アドレスが 10.2.3.3 のパッケージを持っている場合、アドレス範囲が重複しているため、Azure はパッケージを送ろうとしているのがどちらのサイトなのかわかりません。For example, if you have two local network sites that both contain the IP address range 10.2.3.0/24 and you have a package with a destination address 10.2.3.3, Azure wouldn't know which site you want to send the package to because the address ranges are overlapping. ルーティングの問題を避けるため、Azure は重複した範囲を持つ構成ファイルをアップロードすることを許可しません。To prevent routing issues, Azure doesn't allow you to upload a configuration file that has overlapping ranges.

1.サイト間 VPN を作成する1. Create a Site-to-Site VPN

動的ルーティング ゲートウェイを持つサイト間 VPN が既に存在する場合は、If you already have a Site-to-Site VPN with a dynamic routing gateway, great! 仮想ネットワーク構成設定のエクスポートに進んでください。You can proceed to Export the virtual network configuration settings. まだ作成していない場合は、以下の作業を行います。If not, do the following:

サイト間仮想ネットワークは既に存在するが、静的な (ポリシー ベースの) ルーティング ゲートウェイの場合:If you already have a Site-to-Site virtual network, but it has a static (policy-based) routing gateway:

  1. ゲートウェイ タイプを動的ルーティングに変更します。Change your gateway type to dynamic routing. マルチサイト VPN は動的 (ルート ベースとも呼ばれます) ルーティング ゲートウェイを必要とします。A multi-site VPN requires a dynamic (also known as route-based) routing gateway. ゲートウェイ タイプを変更するには、最初に既存のゲートウェイを削除し、新規で作成します。To change your gateway type, you'll need to first delete the existing gateway, then create a new one.
  2. 新しいゲートウェイを構成し、VPN トンネルを作成します。Configure your new gateway and create your VPN tunnel. 手順については、「SKU と VPN の種類の指定」を参照してください。For instructions, For instructions, see Specify the SKU and VPN type. ルーティングの種類として [動的] が指定されていることを確認してください。Make sure you specify the Routing Type as 'Dynamic'.

サイト間仮想ネットワークが存在しない場合:If you don't have a Site-to-Site virtual network:

  1. Azure クラシック ポータルでサイト間 VPN 接続を使用して Virtual Network を作成する」の手順に従って、サイト間仮想ネットワークを作成します。Create your Site-to-Site virtual network using these instructions: Create a Virtual Network with a Site-to-Site VPN Connection.
  2. 次の手順により動的ルーティング ゲートウェイを構成します。VPN ゲートウェイの構成Configure a dynamic routing gateway using these instructions: Configure a VPN Gateway. 必ずゲートウェイ タイプに動的ルーティングを選択してください。Be sure to select dynamic routing for your gateway type.

2.ネットワーク構成ファイルをエクスポートする2. Export the network configuration file

次のコマンドを実行して、Azure のネットワーク構成ファイルをエクスポートします。Export your Azure network configuration file by running the following command. 必要に応じて、ファイルの場所を変更して別の場所にエクスポートすることもできます。You can change the location of the file to export to a different location if necessary.

Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml

手順 3.ネットワーク構成ファイルを開く3. Open the network configuration file

前のステップでダウンロードしたネットワーク構成ファイルを開きます。Open the network configuration file that you downloaded in the last step. 任意の xml エディターを使用してください。Use any xml editor that you like. ファイルは次のようになります。The file should look similar to the following:

    <NetworkConfiguration xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.microsoft.com/ServiceHosting/2011/07/NetworkConfiguration">
      <VirtualNetworkConfiguration>
        <LocalNetworkSites>
          <LocalNetworkSite name="Site1">
            <AddressSpace>
              <AddressPrefix>10.0.0.0/16</AddressPrefix>
              <AddressPrefix>10.1.0.0/16</AddressPrefix>
            </AddressSpace>
            <VPNGatewayAddress>131.2.3.4</VPNGatewayAddress>
          </LocalNetworkSite>
          <LocalNetworkSite name="Site2">
            <AddressSpace>
              <AddressPrefix>10.2.0.0/16</AddressPrefix>
              <AddressPrefix>10.3.0.0/16</AddressPrefix>
            </AddressSpace>
            <VPNGatewayAddress>131.4.5.6</VPNGatewayAddress>
          </LocalNetworkSite>
        </LocalNetworkSites>
        <VirtualNetworkSites>
          <VirtualNetworkSite name="VNet1" AffinityGroup="USWest">
            <AddressSpace>
              <AddressPrefix>10.20.0.0/16</AddressPrefix>
              <AddressPrefix>10.21.0.0/16</AddressPrefix>
            </AddressSpace>
            <Subnets>
              <Subnet name="FE">
                <AddressPrefix>10.20.0.0/24</AddressPrefix>
              </Subnet>
              <Subnet name="BE">
                <AddressPrefix>10.20.1.0/24</AddressPrefix>
              </Subnet>
              <Subnet name="GatewaySubnet">
                <AddressPrefix>10.20.2.0/29</AddressPrefix>
              </Subnet>
            </Subnets>
            <Gateway>
              <ConnectionsToLocalNetwork>
                <LocalNetworkSiteRef name="Site1">
                  <Connection type="IPsec" />
                </LocalNetworkSiteRef>
              </ConnectionsToLocalNetwork>
            </Gateway>
          </VirtualNetworkSite>
        </VirtualNetworkSites>
      </VirtualNetworkConfiguration>
    </NetworkConfiguration>

4.複数のサイト リファレンスを追加する4. Add multiple site references

サイト リファレンスの情報を追加または削除する場合、ConnectionsToLocalNetwork/LocalNetworkSiteRef に対して構成の変更を行います。When you add or remove site reference information, you'll make configuration changes to the ConnectionsToLocalNetwork/LocalNetworkSiteRef. 新しいローカル サイトのリファレンスを追加することで、Azure が新しくトンネルを作成します。Adding a new local site reference triggers Azure to create a new tunnel. 下の例で、ネットワーク構成はシングル サイト接続のものです。In the example below, the network configuration is for a single-site connection. 変更が完了したら、ファイルを保存します。Save the file once you have finished making your changes.

  <Gateway>
    <ConnectionsToLocalNetwork>
      <LocalNetworkSiteRef name="Site1"><Connection type="IPsec" /></LocalNetworkSiteRef>
    </ConnectionsToLocalNetwork>
  </Gateway>

さらにサイト参照を追加するには (複数サイト構成を作成するには)、次の例に示すように "LocalNetworkSiteRef" 行を追加するだけです。To add additional site references (create a multi-site configuration), simply add additional "LocalNetworkSiteRef" lines, as shown in the example below:

  <Gateway>
    <ConnectionsToLocalNetwork>
      <LocalNetworkSiteRef name="Site1"><Connection type="IPsec" /></LocalNetworkSiteRef>
      <LocalNetworkSiteRef name="Site2"><Connection type="IPsec" /></LocalNetworkSiteRef>
    </ConnectionsToLocalNetwork>
  </Gateway>

5.ネットワーク構成ファイルをインポートする5. Import the network configuration file

ネットワーク構成ファイルをインポートします。Import the network configuration file. 変更をしてこのファイルをインポートすると、新しいトンネルが追加されます。When you import this file with the changes, the new tunnels will be added. トンネルは先ほど作成した動的ゲートウェイを使用します。The tunnels will use the dynamic gateway that you created earlier. PowerShell を使用して、ファイルをインポートできます。You can use PowerShell to import the file.

6.キーをダウンロードする6. Download keys

新しいトンネルが追加されたら、PowerShell コマンドレット 'Get-AzureVNetGatewayKey' を使用して、IPsec/IKE 事前共有キーを各トンネル用に取得します。Once your new tunnels have been added, use the PowerShell cmdlet 'Get-AzureVNetGatewayKey' to get the IPsec/IKE pre-shared keys for each tunnel.

例: For example:

Get-AzureVNetGatewayKey –VNetName "VNet1" –LocalNetworkSiteName "Site1"
Get-AzureVNetGatewayKey –VNetName "VNet1" –LocalNetworkSiteName "Site2"

必要に応じて、Get Virtual Network Gateway Shared Key という REST API を使用して事前共有キーを取得することもできます。If you prefer, you can also use the Get Virtual Network Gateway Shared Key REST API to get the pre-shared keys.

7.接続の確認7. Verify your connections

マルチサイトのトンネルの状態を確認します。Check the multi-site tunnel status. 各トンネルのキーをダウンロードしたら、接続を確認します。After downloading the keys for each tunnel, you'll want to verify connections. 'Get-AzureVnetConnection' を使用して、下の例で示すように仮想ネットワークのトンネルのリストを取得します。Use 'Get-AzureVnetConnection' to get a list of virtual network tunnels, as shown in the example below. VNet1 とは VNet の名前です。VNet1 is the name of the VNet.

Get-AzureVnetConnection -VNetName VNET1

戻り値の例:Example return:

    ConnectivityState         : Connected
    EgressBytesTransferred    : 661530
    IngressBytesTransferred   : 519207
    LastConnectionEstablished : 5/2/2014 2:51:40 PM
    LastEventID               : 23401
    LastEventMessage          : The connectivity state for the local network site 'Site1' changed from Not Connected to Connected.
    LastEventTimeStamp        : 5/2/2014 2:51:40 PM
    LocalNetworkSiteName      : Site1
    OperationDescription      : Get-AzureVNetConnection
    OperationId               : 7f68a8e6-51e9-9db4-88c2-16b8067fed7f
    OperationStatus           : Succeeded

    ConnectivityState         : Connected
    EgressBytesTransferred    : 789398
    IngressBytesTransferred   : 143908
    LastConnectionEstablished : 5/2/2014 3:20:40 PM
    LastEventID               : 23401
    LastEventMessage          : The connectivity state for the local network site 'Site2' changed from Not Connected to Connected.
    LastEventTimeStamp        : 5/2/2014 2:51:40 PM
    LocalNetworkSiteName      : Site2
    OperationDescription      : Get-AzureVNetConnection
    OperationId               : 7893b329-51e9-9db4-88c2-16b8067fed7f
    OperationStatus           : Succeeded

次の手順Next steps

VPN Gateway について詳しくは、「 VPN Gateway について」を参照してください。To learn more about VPN Gateways, see About VPN Gateways.