Azure Portal を使用してサイト間接続を作成する (クラシック)
この記事では、Azure Portal を使用して、オンプレミス ネットワークから VNet へのサイト間 VPN Gateway 接続を作成する方法について説明します。 この記事の手順は、 クラシック (レガシ) デプロイ モデル に適用され、現在のデプロイ モデルである Resource Manager には適用されません。 代わりに、この記事の Resource Manager バージョンを参照してください。
重要
クラシック デプロイ モデル (サービス管理) の仮想ネットワークに対して、新しい仮想ネットワーク ゲートウェイを作成することはできなくなりました。 新しい仮想ネットワーク ゲートウェイは、Resource Manager 仮想ネットワークに対してのみ作成できます。
サイト間 VPN Gateway 接続は、IPsec/IKE (IKEv1 または IKEv2) VPN トンネルを介してオンプレミス ネットワークを Azure 仮想ネットワークに接続するために使用します。 この種類の接続では、外部接続用パブリック IP アドレスが割り当てられていてるオンプレミスの VPN デバイスが必要です。 VPN Gateway の詳細については、「VPN Gateway について」を参照してください。
Note
この記事は、クラシック (レガシ) デプロイ モデルのために書かれています。 代わりに、最新の Azure デプロイ モデルを使用することをお勧めします。 Resource Manager デプロイ モデルは、最新のデプロイ モデルであり、クラシック デプロイ モデルよりも多くのオプションと機能の互換性が提供されています。 これら 2 つのデプロイ モデルの違いについて理解するには、「デプロイ モデルとリソースの状態を理解する」を参照してください。
この記事の別のバージョンを使用したい場合は、左側のペインの目次を使用します。
開始する前に
構成を開始する前に、以下の条件を満たしていることを確認します。
- クラシック デプロイ モデルで作業することを確認します。 Resource Manager デプロイ モデルで作業する場合は、サイト間接続の作成 (Resource Manager) に関する記事を参照してください。 Resource Manager デプロイ モデルはレガシーであるため、このクラシック モデルを使用することをお勧めします。
- 互換性のある VPN デバイスがあり、デバイスを構成できる人員がいることを確認します。 互換性のある VPN デバイスとデバイスの構成の詳細については、VPN デバイスの概要に関する記事を参照してください。
- VPN デバイスの外部接続用パブリック IPv4 アドレスがあることを確認します。
- オンプレミス ネットワーク構成に含まれている IP アドレス範囲になじみがない場合は、それらの詳細を提供できる担当者と連携する必要があります。 この構成を作成する場合は、Azure がオンプレミスの場所にルーティングする IP アドレス範囲のプレフィックスを指定する必要があります。 オンプレミス ネットワークのサブネットと接続先の仮想ネットワーク サブネットが重複しないようにしなければなりません。
- 共有キーの指定と VPN ゲートウェイ接続の作成を行うには、PowerShell が必要です。 クラシック デプロイ モデルを使って作業している場合、Azure Cloud Shell は使用できません。 代わりに、Azure サービス管理 (SM) PowerShell コマンドレットの最新バージョンを、お使いのコンピューターにローカルにインストールする必要があります。 これらのコマンドレットは、AzureRM または Az のコマンドレットとは異なります。 SM コマンドレットをインストールするには、サービス管理コマンドレットのインストールに関する記事を参照してください。 Azure PowerShell 全般の詳細については、Azure PowerShell のドキュメントを参照してください。
この演習のサンプル構成値
この記事の例では、次の値を使用します。 この値を使用して、テスト環境を作成できます。また、この値を参考にしながら、この記事の例を確認していくこともできます。 通常、アドレス空間の IP アドレス値を操作する場合は、ルーティングに影響する可能性があるアドレス空間の重複を避けるためにネットワーク管理者と調整する必要があります。 この場合、動作する接続を作成したければ、IP アドレスの値を独自の値に置き換えてください。
- [リソース グループ]: TestRG1
- VNet 名: TestVNet1
- [アドレス空間]: 10.11.0.0/16
- サブネット名: FrontEnd
- サブネットのアドレス範囲: 10.11.0.0/24
- GatewaySubnet: 10.11.255.0/27
- [リージョン]: (米国) 米国東部
- ローカル サイト名: Site2
- [クライアント アドレス空間]: オンプレミスのサイトにあるアドレス空間。
仮想ネットワークの作成
サイト間接続に使用する仮想ネットワークを作成する際には、指定するアドレス空間が、接続先のローカル サイトのクライアント アドレス空間と重複しないようにする必要があります。 サブネットの重複があると、接続が適切に動作しません。
既に VNet がある場合は、設定が VPN ゲートウェイの設計に適合していることを確認します。 他のネットワークと重複する可能性のあるサブネットには特に注意してください。
まだ仮想ネットワークがない場合は作成します。 スクリーンショットは例として示されています。 サンプルの値は必ず実際の値に変更してください。
仮想ネットワークを作成するには
- ブラウザーから Azure Portal に移動します。必要であれば Azure アカウントでサインインします。
- [+リソースの作成] を選択します。 [Marketplace を検索] フィールドに「仮想ネットワーク」と入力します。 検索結果の一覧から [仮想ネットワーク] を探して選択し、 [仮想ネットワーク] ページを開きます。
- [Virtual Network] ページの [作成] ボタンの下にある [Deploy with Resource Manager (change to Classic)](Resource Manager によるデプロイ (クラシックに変更)) を確認します。 VNet を作成する場合の既定は、Resource Manager です。 Resource Manager VNet を作成したいとは考えていません。 [(change to Classic)](クラシックに変更) を選択して、クラシック VNet を作成します。 次に、 [概要] タブを選択し、 [作成] を選択します。
- [仮想ネットワーク (クラシック) の作成] ページの [基本] タブで、VNet 設定を例の値のに構成します。
- [確認および作成] を選択して VNet を検証します。
- 検証が実行されます。 VNet が検証されたら、 [作成] を選択します。
この構成では DNS 設定は必須ではありませんが、VM 間で名前解決を行う場合は DNS が必要です。 値を指定しても新しい DNS サーバーは作成されません。 指定する DNS サーバーの IP アドレスは、接続先のリソースの名前を解決できる DNS サーバーの IP アドレスである必要があります。
仮想ネットワークを作成した後は、名前解決を処理するために、DNS サーバーの IP アドレスを追加できます。 仮想ネットワークの設定を開き、DNS サーバーを選択し、名前解決に使用する DNS サーバーの IP アドレスを追加します。
- ポータルで仮想ネットワークを見つけます。
- 仮想ネットワークのページで、 [設定] セクションの [DNS サーバー] を選択します。
- DNS サーバーを追加します。
- 設定を保存するには、ページの上部にある [保存] をクリックします。
サイトとゲートウェイを構成する
サイトを構成するには
通常、ローカル サイトとはオンプレミスの場所を指します。 これには、接続の作成先となる VPN デバイスの IP アドレスのほか、VPN ゲートウェイ経由で VPN デバイスにルーティングされる IP アドレスの範囲が含まれます。
ご自分の VNet 用のページで、 [設定] の下の [サイト間接続] を選択します。
[サイト間接続] ページで、 [+ 追加] を選択します。
[VPN 接続とゲートウェイの構成] ページで、 [接続の種類] には [サイト間接続] が選択されたままにします。 この演習では、サンプル値と独自の値の組み合わせを使用する必要があります。
[VPN ゲートウェイの IP アドレス]: これは、オンプレミス ネットワークの VPN デバイスのパブリック IP アドレスです。 VPN デバイスには IPv4 パブリック IP アドレスが必要です。 接続先となる VPN デバイスに有効なパブリック IP アドレスを指定します。 これは Azure で到達可能である必要があります。 VPN デバイスの IP アドレスが不明な場合は、(有効なパブリック IP アドレスの形式で) プレースホルダーの値を入力しておき、後で変更することができます。
[クライアント アドレス空間]: このゲートウェイ経由でオンプレミスのローカル ネットワークにルーティングする IP アドレス範囲を一覧表示します。 複数のアドレス領域の範囲を追加することができます。 ここで指定する範囲が、仮想ネットワークの接続先となる他のネットワークの範囲、または仮想ネットワーク自体のアドレスの範囲と重複しないようにしてください。
ページの下部にある [確認と作成] を選択しないでください。 代わりに、[次へ: ゲートウェイ]> を選択します。
仮想ネットワーク ゲートウェイを構成するには
[ゲートウェイ] ページで、次の値を選択します。
Size: これは、仮想ネットワーク ゲートウェイの作成に使用するゲートウェイ SKU です。 クラシック VPN ゲートウェイでは、古い (レガシ) ゲートウェイ SKU が使用されます。 レガシ ゲートウェイ SKU の詳細については、仮想ネットワーク ゲートウェイ SKU (古い SKU) の利用に関するページを参照してください。 この演習では、 [Standard] を選択できます。
ゲートウェイ サブネット: 指定したゲートウェイ サブネットのサイズは、作成する VPN ゲートウェイの構成によって異なります。 /29 のような小さいゲートウェイ サブネットを作成できますが、/27 または /28 を使用することをお勧めします。 これにより、より多くのアドレスを含む大きなサブネットが作成されます。 大規模なゲートウェイ サブネットを使用すると、将来の構成に対応するのに十分な IP アドレスを確保できます。
ページの下部にある [確認と作成] を選択して、設定を検証します。 [作成] を選択してデプロイします。 選択した SKU によっては、仮想ネットワーク ゲートウェイを作成するまでに最大で 45 分かかる可能性があります。
VPN デバイスの構成
オンプレミス ネットワークとのサイト間接続には VPN デバイスが必要です。 この手順では、VPN デバイスを構成します。 VPN デバイスを構成する場合は、次の値が必要です。
- 共有キー。 サイト間 VPN 接続を作成するときにも、これと同じ共有キーを指定します。 ここで紹介している例では、基本的な共有キーを使用しています。 実際には、もっと複雑なキーを生成して使用することをお勧めします。
- 仮想ネットワーク ゲートウェイのパブリック IP アドレス。 パブリック IP アドレスは、Azure Portal、PowerShell、または CLI を使用して確認できます。
ご利用の VPN デバイスによっては、VPN デバイス構成スクリプトをダウンロードできる場合があります。 詳細については、VPN デバイス構成スクリプトのダウンロードに関するページを参照してください。
次のリンクには、構成の詳細についての情報が掲載されています。
適合する VPN デバイスについては、「VPN デバイスについて」を参照してください。
VPN デバイスを構成する前に、デバイスの互換性に関する既知の問題がないか確認します。
デバイスの構成設定へのリンクについては、検証済みの VPN デバイスに関するページを参照してください。 デバイス構成リンクはベストエフォート ベースで提供されていますが、最新の構成情報については常にデバイスの製造元に確認することをお勧めします。
この一覧には、テストしたバージョンが表示されます。 VPN デバイスの OS バージョンが一覧にない場合でも、互換性がある可能性があります。 デバイスの製造元に問い合わせてください。
VPN デバイス構成に関する基本情報については、「パートナー VPN デバイス構成の概要」を参照してください。
デバイス構成サンプルの編集については、サンプルの編集に関するセクションを参照してください。
暗号化の要件については、「About cryptographic requirements and Azure VPN gateways」(暗号化要件と Azure VPN ゲートウェイについて) を参照してください。
構成を完了するために必要なパラメーターについては、「既定の IPsec/IKE パラメーター」を参照してください。 この情報には、IKE バージョン、Diffie-Hellman (DH) グループ、認証方法、暗号化とハッシュ アルゴリズム、セキュリティ アソシエーション (SA) の有効期間、前方秘匿性 (PFS)、およびデッド ピア検出 (DPD) が含まれます。
IPsec/IKE ポリシーの構成手順については、サイト間 VPN と VNet 間のカスタム IPsec/IKE 接続ポリシーの構成に関するページを参照してください。
複数のポリシーベースの VPN デバイスを接続するには、「VPN ゲートウェイを複数のオンプレミスのポリシーベース VPN デバイスに接続する」を参照してください。
値を取得する
Azure Portal でクラシック VNets を作成するときに表示される名前は、PowerShell に使用する完全な名前ではありません。 たとえば、Azure Portal に TestVNet1 という名前で表示されている VNet は、ネットワーク構成ファイルではそれよりもかなり長い名前である可能性があります。 リソース グループ "ClassicRG" の VNet の場合、名前は次のようになります。Group ClassicRG TestVNet1。 接続を作成するときは、ネットワーク構成ファイルに示されている値を使用することが重要です。
次の手順では、Azure アカウントに接続し、ネットワーク構成ファイルをダウンロードして表示し、接続に必要な値を取得します。
Azure サービス管理 (SM) PowerShell コマンドレットの最新バージョンをダウンロードしてインストールします。 ほとんどの場合、ローカルに Resource Manager モジュールがインストールされていますが、サービス管理モジュールはありません。 サービス管理モジュールはレガシであるため、個別にインストールする必要があります。 詳細については、サービス管理用のコマンドレットをインストールすることに関するページを参照してください。
管理者特権で PowerShell コンソールを開き、アカウントに接続します。 接続するには、次の例を参照してください。 これらのコマンドは、PowerShell サービス管理モジュールを使用してローカルで実行する必要があります。 アカウントに接続します。 接続については、次の例を参考にしてください。
Add-AzureAccount
アカウントのサブスクリプションを確認します。
Get-AzureSubscription
複数のサブスクリプションがある場合は、使用するサブスクリプションを選択します。
Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"
コンピューター上にディレクトリを作成します。 たとえば、C:\AzureVNet などです
ネットワーク構成ファイルをそのディレクトリにエクスポートします。 この例では、ネットワーク構成ファイルは C:\AzureNet にエクスポートされます。
Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml
テキスト エディターでファイルを開き、VNet とサイトの名前を確認します。 これらの名前は、接続を作成する際に使用する名前となります。
VNet 名は VirtualNetworkSite name = で示されています
サイト名は LocalNetworkSiteRef name = で示されています
接続の作成
Note
クラシック デプロイ モデルの場合、この手順は Azure portal または Azure Cloud Shell では使用できません。 デスクトップから Azure PowerShell コマンドレットのサービス管理 (SM) バージョンをローカルで使用する必要があります。
この手順では、前の手順の値を使用して共有キーを設定し、接続を作成します。 設定するキーは、VPN デバイスの構成で使用したものと同じキーである必要があります。
共有キーを設定して接続を作成します。
- -VNetName 値と -LocalNetworkSiteName 値を変更します。 スペースを含む名前を指定するときは、単一引用符を使って値を囲みます。
- "-SharedKey" は、生成して指定する値です。 この例では "abc123" を使いましたが、さらに複雑な値を使うこともできます (推奨)。 重要なのは、ここで指定する値は、VPN デバイスを構成する際に指定した値と同じにする必要があることです。
Set-AzureVNetGatewayKey -VNetName 'Group TestRG1 TestVNet1' ` -LocalNetworkSiteName '6C74F6E6_Site2' -SharedKey abc123
接続が作成されたら、結果として Status: Successful を示している必要があります。
接続を確認する
Azure Portal で目的の接続に移動することで、クラシック VNet VPN ゲートウェイの接続の状態を確認できます。 以下に示した手順は、目的の接続に移動して接続を確認する方法の一例です。
- Azure portal でクラシック仮想ネットワーク (VNet) に移動します。
- [仮想ネットワーク] ページで、表示する接続の種類をクリックします。 たとえば [サイト間接続] です。
- [サイト間接続] ページで、 [名前] から、表示するサイト接続を選択します。
- [プロパティ] ページで、接続に関する情報を確認します。
接続に問題がある場合は、左ペインの目次の「トラブルシューティング」セクションを参照してください。
VPN ゲートウェイをリセットする方法
1 つ以上のサイト間 VPN トンネルのクロスプレミス VPN 接続が失われた場合、Azure VPN Gateway をリセットすることによって解決できる場合があります。 この状況では、オンプレミスの VPN デバイスがすべて正しく機能していますが、Azure VPN ゲートウェイとの IPsec トンネルを確立することができません。
クラシック ゲートウェイをリセットするためのコマンドレットは Reset-AzureVNetGateway です。 サービス管理のための Azure PowerShell コマンドレットは、デスクトップのローカルにインストールする必要があります。 Azure Cloud Shell は使用できません。 リセットを実行する前に Service Management (SM) PowerShell コマンドレット の最新版があることを確認します。
このコマンドを使用する場合は、必ず仮想ネットワークの完全名を使用してください。 ポータルを使用して作成されたクラシック VNet には、PowerShell に必要な長い名前が付いています。 Get-AzureVNetConfig -ExportToFile C:\Myfoldername\NetworkConfig.xml
を使用すると、長い名前を表示できます。
次の例では、"Group TestRG1 TestVNet1" という名前の仮想ネットワークのゲートウェイをリセットします (ポータルでは単に "TestVNet1" と表示されます)。
Reset-AzureVNetGateway –VnetName 'Group TestRG1 TestVNet1'
結果:
Error :
HttpStatusCode : OK
Id : f1600632-c819-4b2f-ac0e-f4126bec1ff8
Status : Successful
RequestId : 9ca273de2c4d01e986480ce1ffa4d6d9
StatusCode : OK
ゲートウェイ SKU のサイズを変更する方法
クラシック デプロイ モデルのゲートウェイのサイズを変更するには、Service Management PowerShell コマンドレットを使用する必要があります。 次のコマンドを使用します。
Resize-AzureVirtualNetworkGateway -GatewayId <Gateway ID> -GatewaySKU HighPerformance
次のステップ
- 接続が完成したら、仮想ネットワークに仮想マシンを追加することができます。 詳細については、Virtual Machines に関するページを参照してください。
- 強制トンネリングについては、強制トンネリングに関する記事を参照してください。