今回はAzureのVPN接続についてです。
- ■はじめに
- ■Azure VPN Gateway
- ■VPNの接続形態について
- ■サイト間接続(AzureVnetとオンプレミス間接続)の流れ
- ■1.Azure仮想ネットワークの作成
- ■2.仮想ネットワークゲートウェイ(VPN)の作成
- ■3.ローカルネットワークゲートウェイの作成
■はじめに
AzureでVPNを調べる際、以下の用語が出てきます。
・Azure VPN Gateway
・仮想ネットワークゲートウェイ(VPN)
・VPNゲートウェイ
これらは同じことを意味しています。
■Azure VPN Gateway
AzureのVnet(仮想ネットワーク)とVPN接続するために利用するAzureの機能の一つです。
AzureのVnetとオンプレミスを接続することもできますし、
Vnet同士を接続することもできます。
VPNを利用するときには多くはインターネット回線を利用します。
ExpressRouteの場合には接続プロバイダを利用した専用線を利用します。
※ExpressRouteを利用してVPN接続を構築することもありますが、ここでは割愛。。。
■VPNの接続形態について
別記事で取り上げております。
P2S、S2Sが代表的な接続形態です。
簡単にですが両者の説明を下記いたします。
■Point-to-Site(P2S)
クライアント端末からVPN接続でAzureのVnetへ接続する形態です。
特徴は、
・仮想ネットワークゲートウェイ(VPN)へ接続するための固定IPは不要
・VPNルータ不要
・Azure VPN Gatewayのルート証明書が必要
・クライアント証明書をクライアント端末に導入必須
です。
P2S VPN と証明書認証を使用して VNet に接続する: ポータル - Azure VPN Gateway | Microsoft Docs
Azure ポイント対サイト VPN 接続について - Azure VPN Gateway | Microsoft Docs
■Site-to-Site(S2S)
S2Sも大別すると更に2つの形態に細分化されます。
① オンプレミス環境とAzureVnetをVPN接続する(サイト間をVPNトンネルでつなぐ)形態
② AzureVnet間でのVPN接続
特徴は、
・固定IPが必要
・VPNルータが必要 ※①のみ
・ローカルネットワークゲートウェイが必要 ※後述
です。
以降では、S2S(サイト間接続:オンプレ-Azure間接続)についてです。
P2SおよびVnet間接続については本記事では取り扱いません。
■サイト間接続(AzureVnetとオンプレミス間接続)の流れ
チュートリアル - オンプレミス ネットワークを仮想ネットワークに接続する: Azure portal - Azure VPN Gateway | Microsoft Docs
以下の流れでAzure側の設定を行います。
1.Azure仮想ネットワークの作成
2.仮想ネットワークゲートウェイ(VPN)の作成
3.ローカルネットワークゲートウェイの作成
Azure側の設定が完了次第、オンプレミス側のVPNデバイスの設定が必要になりますが、本記事では取り扱いません。。。
■1.Azure仮想ネットワークの作成
割愛します。。。
■2.仮想ネットワークゲートウェイ(VPN)の作成
別記事で取り上げている通り、仮想ネットワークゲートウェイ作成時にVPNを選択することで作成することができます。
■VPNの種類について
仮想ネットワークゲートウェイ(VPN)を作成する際の設定項目の一つです。
オンプレミスのポリシー ベースの複数の VPN デバイスに VPN ゲートウェイを接続する - Azure VPN Gateway | Microsoft Docs
■SKUと世代について
仮想ネットワークゲートウェイにてVPNを選択すると、SKUには以下の選択肢が設定可能です。
また、世代は以下の通りです。
SKUと世代の組み合わせにより、ワークロード、スループット、機能、SLAの種類、
暗号化アルゴリズムが異なります。
Azure VPN Gateway について | Microsoft Docs
■3.ローカルネットワークゲートウェイの作成
ローカルネットワークゲートウェイは、
「仮想ネットワークに接続するオンプレミスの場所(サイト)を表すもの」です。
もう少しかみ砕くと、オンプレミス側のVPN情報(IPアドレス等)を設定します
チュートリアル - オンプレミス ネットワークを仮想ネットワークに接続する: Azure portal - Azure VPN Gateway | Microsoft Docs
わかりにくいので、まずは設定画面を載せます。
■エンドポイント
オンプレミス側のVPNデバイスの種類を選択します。
IPアドレスかFQDNを選択することができます。
IPアドレスを選択する場合には、静的なグローバルIPアドレスが必要です。
そのため、オンプレミス側で事前にVPNデバイスに設定可能な静的IPアドレスが準備できていることが前提となります。
■IPアドレス or FQDN
エンドポイントでどちらを選択するかによって、設定項目が変わります。
エンドポイントにIPアドレスを指定した場合には、オンプレミス側の静的グローバルIPアドレスを指定します。
エンドポイントにFQDNを指定した場合には、オンプレミス側のVPNルータに紐づいているFQDNを入力します。
■アドレス空間
間違いやすいですが、ここで入力するアドレス空間は、
オンプレミス側のプライベートIPアドレスの空間です。
複数のプライベートIPアドレス空間(ネットワーク)がある場合は、複数指定することができます。
AzureVnetにて、ここで入力したIPアドレス空間の通信が発生した場合、
前述で指定したオンプレミス側のVPNデバイスを示すIPアドレスもしくはFQDNに対してパケットがルーティングされます。
■BGP設定の構成
デフォルトではオフになっています。
オンにすると、以下の設定項目が出現します。
ここまでAzure側の設定は完了です。
以上です。