Azure と Azure Stack Hub を使用してハイブリッド クラウド接続を構成する

  • [アーティクル]

ハイブリッド接続パターンを使用して、グローバル Azure および Azure Stack Hub 内のリソースに安全な方法でアクセスできます。

このソリューションでは、以下を実現するためのサンプル環境を構築します。

  • プライバシーまたは規制要件を満たすためにデータをオンプレミスで保管する一方で、グローバル Azure のリソースへのアクセスを維持する。
  • グローバル Azure のクラウド スケールのアプリのデプロイとリソースを使用しながら、レガシー システムを維持する。

ヒント

ハイブリッドの柱の図 Microsoft Azure Stack Hub は Azure の拡張機能です。 Azure Stack Hub により、オンプレミス環境にクラウド コンピューティングの機敏性とイノベーションがもたらされ、ハイブリッド アプリをビルドし、どこにでもデプロイできる唯一のハイブリッド クラウドが可能になります。

ハイブリッド アプリの設計の考慮事項に関する記事では、ハイブリッド アプリを設計、デプロイ、および運用するためのソフトウェア品質の重要な要素 (配置、スケーラビリティ、可用性、回復性、管理容易性、およびセキュリティ) についてレビューしています。 これらの設計の考慮事項は、ハイブリッド アプリの設計を最適化したり、運用環境での課題を最小限に抑えたりするのに役立ちます。

前提条件

ハイブリッド接続のデプロイを構築するにはいくつかのコンポーネントが必要です。 これらのコンポーネントの一部は準備に時間がかかるため、適切に計画してください。

Azure

  • Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。
  • Azure で Web アプリを作成します。 このソリューションで必要になるため、Web アプリの URL を書き留めておきます。

Azure Stack Hub

運用 Azure Stack Hub は、Azure OEM/ハードウェア パートナーがデプロイできます。Azure Stack Development Kit (ASDK) は、すべてのユーザーがデプロイできます。

Azure Stack Hub のコンポーネント

Azure Stack Hub オペレーターが、App Service のデプロイ、プランとオファーの作成、テナント サブスクリプションの作成、Windows Server 2016 イメージの追加を行う必要があります。 これらのコンポーネントを既に持っている場合は、このソリューションを開始する前にそれらが要件を満たしていることをご確認ください。

このソリューションの例では、Azure と Azure Stack Hub について一定の基本的な知識があることを前提にしています。 ソリューションを開始する前に詳細を確認するには、次の記事をお読みください。

開始する前に

ハイブリッド クラウド接続の構成を開始する前に、次の条件を満たしていることを確認します。

  • VPN デバイスの外部接続用パブリック IPv4 アドレスが必要です。 この IP アドレスを NAT (ネットワーク アドレス変換) の内側に割り当てることはできません。
  • すべてのリソースが同じリージョン/場所にデプロイされていること。

ソリューションの例の値

このソリューションの例では、次の値を使用します。 これらの値を使用して、テスト環境を作成できます。また、この値を参考にすると、例をよく理解できます。 VPN ゲートウェイ設定の詳細については、「VPN ゲートウェイの構成設定について」を参照してください。

接続の仕様:

  • VPN の種類: ルートベース
  • 接続の種類: サイト対サイト (IPsec)
  • [ゲートウェイの種類] : VPN
  • Azure 接続名: Azure-Gateway-AzureStack-S2SGateway (この値はポータルによって自動入力されます)
  • Azure Stack Hub 接続名:AzureStack-Gateway-Azure-S2SGateway (この値はポータルによって自動入力されます)
  • 共有キー: VPN ハードウェアと互換性があり、接続の両側で値が一致していること
  • サブスクリプション: 任意のサブスクリプション
  • [リソース グループ] :Test-Infra

ネットワークとサブネットの IP アドレス:

Azure/Azure Stack Hub 接続 名前 Subnet IP アドレス
Azure vNet ApplicationvNet
10.100.102.9/23		 ApplicationSubnet
10.100.102.0/24
GatewaySubnet
10.100.103.0/24
Azure Stack Hub vNet ApplicationvNet
10.100.100.0/23		 ApplicationSubnet
10.100.100.0/24
GatewaySubnet
10.100101.0/24
Azure 仮想ネットワーク ゲートウェイ Azure-Gateway
Azure Stack Hub 仮想ネットワーク ゲートウェイ AzureStack-Gateway
Azure パブリック IP Azure-GatewayPublicIP 作成時に決定されます
Azure Stack Hub パブリック IP AzureStack-GatewayPublicIP 作成時に決定されます
Azure ローカル ネットワーク ゲートウェイ AzureStack-S2SGateway
10.100.100.0/23		 Azure Stack Hub パブリック IP 値
Azure Stack Hub ローカル ネットワーク ゲートウェイ Azure-S2SGateway
10.100.102.0/23		 Azure パブリック IP 値

グローバル Azure および Azure Stack Hub に仮想ネットワークを作成する

ポータルを使用して仮想ネットワークを作成するには、次の手順を使用します。 この記事をソリューションとしてのみ使用している場合は、これらの例の値を使用できます。 この記事を使用して運用環境を構成する場合は、例の設定値を独自の値に置き換えます。

重要

Azure または Azure Stack Hub の vNet アドレス空間に IP アドレスの重複がないことを確認する必要があります。

Azure で vNet を作成するには:

  1. ブラウザーを使用して Azure portal に接続し、Azure アカウントでサインインします。
  2. [リソースの作成] を選択します。 [Marketplace を検索] フィールドに「仮想ネットワーク」と入力します。 結果から [Virtual Network] を選択します。
  3. [デプロイ モデルの選択] の一覧から [リソース マネージャー] を選択し、 [作成] を選択します。
  4. [仮想ネットワークの作成] で、VNet の設定を構成します。 必須フィールドの名前の先頭には、赤いアスタリスクが付きます。 有効な値を入力すると、アスタリスクは緑のチェック マークに変わります。

Azure Stack Hub で vNet を作成するには:

  1. Azure Stack Hub テナント ポータルを使用して、上記の手順 (1 から 4) を繰り返します。

ゲートウェイ サブネットの追加

仮想ネットワークをゲートウェイに接続する前に、接続先の仮想ネットワークのゲートウェイ サブネットを作成する必要があります。 ゲートウェイ サービスでは、ゲートウェイ サブネット内に指定した IP アドレスが使用されます。

Azure portal で、仮想ネットワーク ゲートウェイを作成する Resource Manager 仮想ネットワークに移動します。

  1. vNet を選択して [仮想ネットワーク] ページを開きます。

  2. [設定] で、 [サブネット] を選択します。

  3. [サブネット] ページで [+ゲートウェイ サブネット] を選択して [サブネットの追加] ページを開きます。

    ゲートウェイ サブネットを追加する

  4. サブネットの [名前] には、"GatewaySubnet" という値が自動的に入力されます。 この値は、Azure がゲートウェイ サブネットとしてこのサブネットを認識するために必要になります。

  5. 提供されている [アドレス範囲] を構成要件に一致するように変更し、 [OK] を選択します。

Azure および Azure Stack に仮想ネットワーク ゲートウェイを作成する

Azure に仮想ネットワーク ゲートウェイを作成するには、次の手順を使用します。

  1. ポータル ページの左側にある [+] を選択し、検索フィールドに「仮想ネットワーク ゲートウェイ」と入力します。

  2. [結果][仮想ネットワーク ゲートウェイ] を選択します。

  3. [仮想ネットワーク ゲートウェイ] で、 [作成] を選択して [仮想ネットワーク ゲートウェイの作成] ページを開きます。

  4. [仮想ネットワーク ゲートウェイの作成] で、チュートリアルの例の値を使用してネットワーク ゲートウェイの値を指定します。 次の追加の値を含めます。

    • [SKU] : Basic
    • [仮想ネットワーク] : 前に作成した仮想ネットワークを選択します。 作成したゲートウェイ サブネットが自動的に選択されます。
    • [最初の IP 構成]: ゲートウェイのパブリック IP です。

      • [ゲートウェイ IP 構成の作成] を選択します。これにより、 [パブリック IP アドレスの選択] ページが開きます。

      • [+ 新規作成] を選択して [パブリック IP アドレスの作成] ページを開きます。

      • パブリック IP アドレスの名前を入力します。 SKU は [Basic] のままにし、 [OK] を選択して変更を保存します。

        注意

        現在、VPN Gateway ではパブリック IP アドレスの動的割り当てのみがサポートされます。 ただし、VPN ゲートウェイに割り当てられた IP アドレスが後から変わることは基本的にありません。 パブリック IP アドレスが変わるのは、ゲートウェイが削除され、再度作成されたときのみです。 VPN ゲートウェイのサイズ変更、リセット、その他の内部メンテナンス/アップグレードでは、IP アドレスは変わりません。

  5. ゲートウェイ設定を確認します。

  6. [作成] を選択して VPN ゲートウェイを作成します。 ゲートウェイ設定が検証され、ダッシュボードに [Deploying Virtual network gateway](仮想ネットワーク ゲートウェイのデプロイ) タイルが表示されます。

    注意

    ゲートウェイの作成には、最大で 45 分かかる場合があります。 完了状態を確認するために、ポータル ページの更新が必要な場合があります。

    ゲートウェイの作成後は、ポータルの仮想ネットワークを調べることで、ゲートウェイに割り当てられている IP アドレスを確認できます。 ゲートウェイは、接続されたデバイスとして表示されます。 ゲートウェイの詳細を表示するには、デバイスを選択します。

  7. Azure Stack Hub デプロイで前の手順 (1 から 5) を繰り返します。

Azure および Azure Stack Hub にローカル ネットワーク ゲートウェイを作成する

ローカル ネットワーク ゲートウェイは通常、オンプレミスの場所を指します。 サイトに Azure または Azure Stack Hub が参照できる名前を付け、以下を指定します。

  • 接続を作成しているオンプレミスの VPN デバイスの IP アドレス。

  • VPN ゲートウェイを介して VPN デバイスにルーティングされる IP アドレスのプレフィックス。 指定するアドレスのプレフィックスは、オンプレミス ネットワークのプレフィックスです。

    注意

    オンプレミスのネットワークが変更された場合、または VPN デバイスのパブリック IP アドレスを変更する必要がある場合、これらの値を後で更新できます。

  1. ポータルで、 [+リソースの作成] を選択します。

  2. 検索ボックスに「ローカル ネットワーク ゲートウェイ」と入力し、Enter キーを押して検索します。 結果の一覧が表示されます。

  3. [ローカル ネットワーク ゲートウェイ] を選択し、 [作成] を選択して [ローカル ネットワーク ゲートウェイの作成] ページを開きます。

  4. [ローカル ネットワーク ゲートウェイの作成] で、チュートリアルの例の値を使用してローカル ネットワーク ゲートウェイの値を指定します。 次の追加の値を含めます。

    • IP アドレス: Azure または Azure Stack Hub が接続する VPN デバイスのパブリック IP アドレスです。 NAT の内側にない有効なパブリック IP アドレスを指定するので、Azure はアドレスに到達することができます。 この時点で IP アドレスを持っていない場合は、例の値をプレースホルダーとして使用できます。 後で戻ってプレースホルダーを VPN デバイスのパブリック IP アドレスに置き換える必要があります。 Azure は、有効なアドレスを指定するまでデバイスに接続できません。
    • [アドレス空間] : このローカル ネットワークが表すネットワークのアドレス範囲です。 複数のアドレス領域の範囲を追加することができます。 指定した範囲が、接続先となる他のネットワークの範囲と重複しないようにしてください。 指定したアドレス範囲が、Azure によってオンプレミスの VPN デバイスの IP アドレスにルーティングされます。 オンプレミスのサイトに接続する場合は、例の値を使用せず、独自の値を使用してください。
    • [BGP 設定の構成] : BGP を構成する場合にのみ使用します。 それ以外の場合、このオプションを選択しないでください。
    • サブスクリプション:正しいサブスクリプションが表示されていることを確認します。
    • リソース グループ:使用するリソース グループを選択します。 新しいリソース グループを作成することも、作成済みのリソース グループを選択することもできます。
    • [場所] :このオブジェクトが作成される場所を選択します。 VNet が存在するのと同じ場所を選択することもできますが、必須ではありません。

  5. 必要な値の指定が終了したら、 [作成] を選択してローカル ネットワーク ゲートウェイを作成します。

  6. Azure Stack Hub デプロイでこれらの手順 (1 から 5) を繰り返します。

接続を構成する

オンプレミス ネットワークとのサイト間接続には VPN デバイスが必要です。 構成する VPN デバイスは接続と呼ばれます。 接続を構成するには、以下が必要です。

  • 共有キー。 このキーは、サイト間 VPN 接続を作成するときに指定するのと同じ共有キーです。 ここで紹介している例では、基本的な共有キーを使用しています。 実際には、もっと複雑なキーを生成して使用することをお勧めします。
  • 仮想ネットワーク ゲートウェイのパブリック IP アドレス。 パブリック IP アドレスは、Azure Portal、PowerShell、または CLI を使用して確認できます。 Azure portal を使用して VPN ゲートウェイのパブリック IP アドレスを調べるには、[仮想ネットワーク ゲートウェイ] に移動し、該当するゲートウェイの名前を選択します。

次の手順を使用して、仮想ネットワーク ゲートウェイとオンプレミス VPN デバイスとの間にサイト間 VPN 接続を作成します。

  1. Azure portal で、 [+リソースの作成] を選択します。

  2. 接続を検索します。

  3. [結果] で、 [接続] を選択します。

  4. [接続] で、 [作成] を選択します。

  5. [接続の作成] で、次の設定を構成します。

    • [接続の種類] : [サイト対サイト (IPSec)] を選択します。
    • リソース グループ:テスト用のリソース グループを選択します。
    • [仮想ネットワーク ゲートウェイ] : 作成した仮想ネットワーク ゲートウェイを選択します。
    • [ローカル ネットワーク ゲートウェイ] : 作成したローカル ネットワーク ゲートウェイを選択します。
    • [接続名] : この名前は、2 つのゲートウェイの値を使用して自動入力されます。
    • [共有キー] : この値は、ローカルのオンプレミス VPN デバイスで使用している値と一致させる必要があります。 このチュートリアルの例では "abc123" を使用していますが、より複雑な値を使用してください。 重要なのは、この値は、VPN デバイスを構成する際に指定する値と同じにする "必要がある" ことです。
    • [サブスクリプション][リソース グループ][場所] の値は固定されています。

  6. [OK] を選択して、接続を作成します。

仮想ネットワーク ゲートウェイの [接続] ページで接続を確認できます。 状態は、 [不明] から [接続中] に変わり、その後 [成功] に変わります。

次のステップ