Azure VPN Gateway について知る
オンプレミス環境を Azure と統合するには、暗号化された接続を作成できる必要があります。 インターネット経由で、または専用リンク経由で接続できます。 ここでは、オンプレミス環境からの受信接続に対するエンドポイントを提供する Azure VPN Gateway について説明します。
Azure 仮想ネットワークを設定し、Azure からサイトへのデータ転送と Azure 仮想ネットワーク間のデータ転送がすべて確実に暗号化されている必要があります。 また、リージョンとサブスクリプション間で仮想ネットワークを接続する方法を知っている必要があります。
VPN ゲートウェイとは
Azure 仮想ネットワーク ゲートウェイからは、オンプレミスの場所から Azure にインターネット経由で受信接続するためのエンドポイントが提供されます。 VPN ゲートウェイは、暗号化された接続のエンドポイントにすることができる特殊な仮想ネットワーク ゲートウェイです。 また、異なるリージョンの Azure データセンターをリンクしている Microsoft の専用ネットワークを経由して、Azure 仮想ネットワーク間で暗号化されたトラフィックを送信することもできます。 この構成を使用すると、異なるリージョンの仮想マシンとサービスを安全にリンクできます。
各仮想ネットワークには VPN ゲートウェイを 1 つだけ作成できます。 その VPN ゲートウェイへのすべての接続は、使用可能なネットワーク帯域幅を共有します。
各仮想ネットワーク ゲートウェイの内部には、2 つ以上の仮想マシン (VM) があります。 これらの VM は、自身で指定するゲートウェイ サブネットという特別なサブネットにデプロイされています。 これらには、特定のゲートウェイ サービスと共に、他のネットワークに接続するためのルーティング テーブルが含まれます。 これらの VM とゲートウェイ サブネットは、強化されたネットワーク デバイスに似ています。 これらの VM を直接構成する必要はありませんし、ゲートウェイ サブネットに追加リソースをデプロイする必要はありません。
仮想ネットワーク ゲートウェイの作成は完了までに時間がかかる場合があるため、適切な計画を立てることが不可欠です。 仮想ネットワーク ゲートウェイを作成するときは、プロビジョニング プロセスでゲートウェイの VM を生成し、それをゲートウェイ サブネットにデプロイします。 これらの VM では、ゲートウェイで構成した設定が使用されます。
キー設定は "ゲートウェイの種類" です。 ゲートウェイの種類によってゲートウェイの機能が決定されます。 VPN ゲートウェイの場合、ゲートウェイの種類は "vpn" です。 VPN ゲートウェイのオプションには以下が含まれます。
IPsec/IKE VPN トンネリング経由のネットワーク間接続。VPN ゲートウェイを他の VPN ゲートウェイとリンクします。
クロスプレミス IPsec/IKE VPN トンネリング。専用の VPN デバイスを通じてオンプレミス ネットワークを Azure と接続し、サイト間接続を作成します。
IKEv2 または SSTP 経由のポイント対サイト接続。クライアント コンピューターを Azure のリソースにリンクします。
ここで、VPN ゲートウェイを計画するために考慮する必要がある要素を見てみましょう。
VPN ゲートウェイの計画
VPN ゲートウェイを計画するときは、3 つのアーキテクチャを考慮する必要があります。
- インターネット経由でのポイント対サイト
- インターネット経由でのサイト間
- 専用ネットワーク経由でのサイト間 (Azure ExpressRoute など)
計画における要素
計画プロセスの間で検討する必要がある要素には、以下が含まれます。
- スループット - Mbps または Gbps
- バックボーン - インターネットかプライベートか
- パブリック (静的) IP アドレスの可用性
- VPN デバイスの互換性
- 複数のクライアント接続か、またはサイト間のリンクか
- VPN ゲートウェイの種類
- Azure VPN Gateway の SKU
計画に関するこれらの問題の一部をまとめたものを、次の表に示します。 残りの問題については後で説明します。
| ポイント対サイト | サイト間 | ExpressRoute | |
|---|---|---|---|
| Azure でサポートされるサービス | クラウド サービスと VM | クラウド サービスと VM | サポートされているすべてのサービス |
| 一般的な帯域幅 | VPN Gateway SKU に依存 | VPN Gateway SKU に依存 | 「ExpressRoute 帯域幅オプション」を参照してください |
| サポート対象プロトコル | SSTP および IPSec | IPsec | 直接接続、VLAN |
| ルーティング | RouteBased (動的) | PolicyBased (静的) および RouteBased | BGP |
| 接続の弾力性 | アクティブ/パッシブ | アクティブ/パッシブまたはアクティブ/アクティブ | アクティブ/アクティブ |
| ユース ケース | テストとプロトタイプ作成 | 開発、テスト、小規模の運用 | エンタープライズ/ミッション クリティカル |
Gateway の SKU
正しい SKU を選択することが重要です。 誤ったもので VPN ゲートウェイを設定した場合、ゲートウェイを停止させて再構築する必要が発生します。これには時間がかかる場合があります。 スループットなど、ゲートウェイ SKU に関する最新情報が必要な場合、「VPN Gateway とは」の「ゲートウェイの SKU」ページを参照してください。
ワークフロー
Azure での仮想プライベート ネットワークを使用するクラウド接続の計画を立てるときは、次のワークフローを適用する必要があります。
接続するすべてのネットワークのアドレス空間をリストする、接続トポロジを設計します。
Azure 仮想ネットワークを作成します。
仮想ネットワークの VPN ゲートウェイを作成します。
必要に応じて、オンプレミス ネットワークやその他の仮想ネットワークへの接続を作成および構成します。
必要に応じて、Azure VPN ゲートウェイのポイント対サイト接続を作成および構成します。
設計上の考慮事項
仮想ネットワークに接続する VPN ゲートウェイを設計するときは、次の要素を考慮する必要があります。
サブネットを重複させることはできません
1 つの場所にあるサブネットが、別の場所にあるものと同じアドレス空間を含まないことが不可欠です。
IP アドレスは一意である必要があります
異なる場所に同じ IP アドレスを持つホストを 2 つ持つことはできません。この 2 つのホスト間でトラフィックをルーティングすることができなくなり、ネットワーク間接続が失敗します。
VPN ゲートウェイには、GatewaySubnet という名前のゲートウェイ サブネットが必要です。
ゲートウェイが機能するためには必ずこの名前にする必要があり、その他のリソースを含めることはできません。
Azure の仮想ネットワークを作成する
VPN ゲートウェイを作成する前に、Azure ネットワークを作成する必要があります。
VPN ゲートウェイの作成
作成する VPN ゲートウェイの種類は、アーキテクチャによって異なります。 オプションは次のとおりです。
RouteBased
ルート ベース VPN デバイスは、Any 間 (ワイルドカード) のトラフィック セレクターを使用して、ルーティング/転送テーブルを異なる IPsec トンネルへのトラフィックに転送します。 ルート ベースの接続は、通常、それぞれの IPsec トンネルがネットワーク インターフェイスまたは仮想トンネル インターフェイス (VTI) としてモデル化されるルーターのプラットフォームに基づいて構築されます。
PolicyBased
ポリシー ベース VPN デバイスは、両方のネットワークからプレフィックスの組み合わせを使用して、トラフィックがどのように IPsec トンネルを介して暗号化/復号化されるかを定義します。 ポリシー ベースの接続は、通常、パケット フィルタリングを実行するファイアウォール デバイスに基づいて構築されます。 IPsec トンネルの暗号化と復号化は、パケット フィルタリングと処理エンジンに追加されます。
VPN ゲートウェイの設定
実行する必要がある手順は、インストールする VPN ゲートウェイの種類によって異なります。 たとえば、Azure portal を使用してポイント対サイト VPN ゲートウェイを作成するには、次の手順を実行します。
仮想ネットワークを作成します。
ゲートウェイ サブネットを追加します。
DNS サーバーを指定します (省略可能)。
仮想ネットワーク ゲートウェイを作成します。
証明書を生成します。
クライアント アドレス プールを追加します。
トンネルの種類を構成します。
認証の種類を構成します。
ルート証明書の公開証明書データをアップロードします。
エクスポートしたクライアント証明書をインストールします。
VPN クライアント構成パッケージの生成とインストールを行います。
Azure に接続します。
Azure VPN ゲートウェイを構成するためにはいくつかの方法があり、そのそれぞれが複数のオプションを含んでいるため、すべての設定をこのコースで網羅することはできません。 詳細については、その他のリソースに関するセクションをご覧ください。
ゲートウェイの構成
ゲートウェイが作成されたら、それを構成する必要があります。 いくつかの構成設定を指定する必要があります (名前、場所、DNS サーバーなど)。 これらの設定については、演習で詳しく説明します。
Azure VPN ゲートウェイとは、ポイント対サイト、サイト間、またはネットワーク間の接続を可能にする、Azure 仮想ネットワーク内のコンポーネントです。 Azure VPN ゲートウェイを使用すると、個々のクライアント コンピューターを Azure のリソースに接続したり、オンプレミスのネットワークを Azure に拡張したり、異なるリージョンやサブスクリプション内のネットワーク間での接続を容易にしたりすることができます。