Azure Files で使用する Linux 上のポイント対サイト (P2S) VPN を構成する
ポイント対サイト (P2S) 仮想プライベート ネットワーク (VPN) 接続を使用すると、公開インターネット経由でデータを送信することなく、Azure の外部から Azure ファイル共有をマウントできます。 ポイント対サイト VPN 接続は、Azure と個々のクライアントの間の VPN 接続です。 Azure Files で P2S VPN 接続を使用するには、接続したいクライアントごとに P2S VPN 接続を構成する必要があります。 オンプレミス ネットワークから Azure ファイル共有に接続する必要のある多数のクライアントが存在する場合は、クライアントごとのポイント対サイト接続の代わりにサイト間 (S2S) VPN 接続を使用できます。 詳細については、「Azure Files で使用するサイト間 VPN を構成する」を参照してください。
このハウツー記事を読み進める前に、Azure Files で使用可能なネットワーク オプションの完全な説明について Azure Files のネットワークの概要に関するページを参照することを強くお勧めします。
この記事では、Azure ファイル共有をオンプレミスに直接マウントするために、Linux 上でポイント対サイト VPN を構成する手順について詳しく説明します。
適用対象
| ファイル共有の種類 | SMB | NFS |
|---|---|---|
| Standard ファイル共有 (GPv2)、LRS/ZRS |  |
 |
| Standard ファイル共有 (GPv2)、GRS/GZRS | |
|
| Premium ファイル共有 (FileStorage)、LRS/ZRS | |
|
前提条件
最新バージョンの Azure CLI。 Azure CLI をインストールする方法の詳細については、Azure PowerShell CLI のインストールに関するページを参照し、オペレーティング システムを選択してください。 必要に応じて Linux 上で Azure PowerShell モジュールを使うことができます。 ただし、次の手順は Azure CLI の場合です。
オンプレミスにマウントする Azure ファイル共有。 ストレージ アカウント内にデプロイされた Azure ファイル共有は、複数のファイル共有だけでなく、BLOB コンテナーやキューなどのその他のストレージ リソースをデプロイできるストレージの共有プールを表す管理構造です。 Azure ファイル共有とストレージ アカウントをデプロイする方法の詳細については、「Azure ファイル共有を作成する」を参照してください。
オンプレミスにマウントする Azure ファイル共有を含むストレージ アカウント用のプライベート エンドポイント。 プライベート エンドポイントを作成する方法については、「Azure Files ネットワーク エンドポイントの構成」を参照してください。
必要なソフトウェアのインストール
Azure 仮想ネットワーク ゲートウェイは、IPsec と OpenVPN を含むいくつかの VPN プロトコルを使用して VPN 接続を提供できます。 この記事では IPsec を使用する方法を示し、Linux 上で strongSwan パッケージを使ってサポートを提供します。
Ubuntu 18.10 で検証されています。
sudo apt update
sudo apt install strongswan strongswan-pki libstrongswan-extra-plugins curl libxml2-utils cifs-utils unzip
INSTALL_DIR="/etc/"
インストールが失敗した場合、または "EAP_IDENTITY not supported, sending EAP_NAK" (EAP_IDENTITY はサポートされていないため、EAP_NAK を送信します) などのエラーが発生した場合は、追加のプラグインをインストールする必要がある場合があります。
sudo apt install -y libcharon-extra-plugins
仮想ネットワークをデプロイする
ポイント対サイト VPN 経由でオンプレミスから Azure ファイル共有やその他の Azure リソースにアクセスするには、仮想ネットワーク (VNet) を作成する必要があります。 自動作成される P2S VPN 接続は、オンプレミスの Linux コンピューターとこの Azure 仮想ネットワークの間を橋渡しするものです。
次のスクリプトは、ストレージ アカウントのサービス エンドポイント用に 1 つ、ストレージ アカウントのプライベート エンドポイント用に 1 つ (これは、変化する可能性があるストレージ アカウントのパブリック IP のカスタム ルーティングを作成することなく、オンプレミスのストレージ アカウントにアクセスするために必要です)、および VPN サービスを提供する仮想ネットワーク ゲートウェイ用に 1 つの 3 つのサブネットを含む Azure 仮想ネットワークを作成します。
忘れずに、<region>、<resource-group>、および <desired-vnet-name> を実際の環境の適切な値に置き換えてください。
REGION="<region>"
RESOURCE_GROUP_NAME="<resource-group>"
VIRTUAL_NETWORK_NAME="<desired-vnet-name>"
VIRTUAL_NETWORK=$(az network vnet create \
--resource-group $RESOURCE_GROUP_NAME \
--name $VIRTUAL_NETWORK_NAME \
--location $REGION \
--address-prefixes "192.168.0.0/16" \
--query "newVNet.id" | tr -d '"')
SERVICE_ENDPOINT_SUBNET=$(az network vnet subnet create \
--resource-group $RESOURCE_GROUP_NAME \
--vnet-name $VIRTUAL_NETWORK_NAME \
--name "ServiceEndpointSubnet" \
--address-prefixes "192.168.0.0/24" \
--service-endpoints "Microsoft.Storage" \
--query "id" | tr -d '"')
PRIVATE_ENDPOINT_SUBNET=$(az network vnet subnet create \
--resource-group $RESOURCE_GROUP_NAME \
--vnet-name $VIRTUAL_NETWORK_NAME \
--name "PrivateEndpointSubnet" \
--address-prefixes "192.168.1.0/24" \
--query "id" | tr -d '"')
GATEWAY_SUBNET=$(az network vnet subnet create \
--resource-group $RESOURCE_GROUP_NAME \
--vnet-name $VIRTUAL_NETWORK_NAME \
--name "GatewaySubnet" \
--address-prefixes "192.168.2.0/24" \
--query "id" | tr -d '"')
VPN 認証用の証明書を作成する
オンプレミスの Linux マシンからの VPN 接続が仮想ネットワークにアクセスするための認証を受けるには、2 つの証明書を作成する必要があります。
- 仮想マシン ゲートウェイに提供されるルート証明書
- ルート証明書で署名されるクライアント証明書
次のスクリプトは、必要な証明書を作成します。
ROOT_CERT_NAME="P2SRootCert"
USERNAME="client"
PASSWORD="1234"
mkdir temp
cd temp
sudo ipsec pki --gen --outform pem > rootKey.pem
sudo ipsec pki --self --in rootKey.pem --dn "CN=$ROOT_CERT_NAME" --ca --outform pem > rootCert.pem
ROOT_CERTIFICATE=$(openssl x509 -in rootCert.pem -outform der | base64 -w0 ; echo)
sudo ipsec pki --gen --size 4096 --outform pem > "clientKey.pem"
sudo ipsec pki --pub --in "clientKey.pem" | \
sudo ipsec pki \
--issue \
--cacert rootCert.pem \
--cakey rootKey.pem \
--dn "CN=$USERNAME" \
--san $USERNAME \
--flag clientAuth \
--outform pem > "clientCert.pem"
openssl pkcs12 -in "clientCert.pem" -inkey "clientKey.pem" -certfile rootCert.pem -export -out "client.p12" -password "pass:$PASSWORD"
仮想ネットワーク ゲートウェイをデプロイする
Azure 仮想ネットワーク ゲートウェイは、オンプレミスの Linux コンピューターが接続するサービスです。 このサービスをデプロイするには、次の 2 つの基本的なコンポーネントが必要です。
- クライアントが世界中のどこに存在していてもゲートウェイを識別するパブリック IP アドレス
- 前に作成した、クライアントの認証に使用されるルート証明書
<desired-vpn-name-here> は、これらのリソースに必要な名前に置き換えてください。
Note
Azure 仮想ネットワーク ゲートウェイのデプロイには、最大で 45 分かかる場合があります。 このリソースがデプロイされている間にこの bash スクリプトを使用すると、デプロイが完了しなくなります。
P2S IKEv2/OpenVPN 接続は、Basic SKU ではサポートされていません。 そのため、このスクリプトでは、仮想ネットワーク ゲートウェイに VpnGw1 SKU を使用しています。
VPN_NAME="<desired-vpn-name-here>"
PUBLIC_IP_ADDR_NAME="$VPN_NAME-PublicIP"
PUBLIC_IP_ADDR=$(az network public-ip create \
--resource-group $RESOURCE_GROUP_NAME \
--name $PUBLIC_IP_ADDR_NAME \
--location $REGION \
--sku "Basic" \
--allocation-method "Dynamic" \
--query "publicIp.id" | tr -d '"')
az network vnet-gateway create \
--resource-group $RESOURCE_GROUP_NAME \
--name $VPN_NAME \
--vnet $VIRTUAL_NETWORK_NAME \
--public-ip-addresses $PUBLIC_IP_ADDR \
--location $REGION \
--sku "VpnGw1" \
--gateway-typ "Vpn" \
--vpn-type "RouteBased" \
--address-prefixes "172.16.201.0/24" \
--client-protocol "IkeV2" > /dev/null
az network vnet-gateway root-cert create \
--resource-group $RESOURCE_GROUP_NAME \
--gateway-name $VPN_NAME \
--name $ROOT_CERT_NAME \
--public-cert-data $ROOT_CERTIFICATE \
--output none
VPN クライアントを構成する
Azure 仮想ネットワーク ゲートウェイは、オンプレミスの Linux コンピューター上で VPN 接続を初期化するために必要な構成ファイルを含むダウンロード可能なパッケージを作成します。 次のスクリプトは、作成した証明書を正しい場所に配置し、ダウンロード可能なパッケージ内の構成ファイルの正しい値を使用して ipsec.conf ファイルを構成します。
VPN_CLIENT=$(az network vnet-gateway vpn-client generate \
--resource-group $RESOURCE_GROUP_NAME \
--name $VPN_NAME \
--authentication-method EAPTLS | tr -d '"')
curl $VPN_CLIENT --output vpnClient.zip
unzip vpnClient.zip
VPN_SERVER=$(xmllint --xpath "string(/VpnProfile/VpnServer)" Generic/VpnSettings.xml)
VPN_TYPE=$(xmllint --xpath "string(/VpnProfile/VpnType)" Generic/VpnSettings.xml | tr '[:upper:]' '[:lower:]')
ROUTES=$(xmllint --xpath "string(/VpnProfile/Routes)" Generic/VpnSettings.xml)
sudo cp "${INSTALL_DIR}ipsec.conf" "${INSTALL_DIR}ipsec.conf.backup"
sudo cp "Generic/VpnServerRoot.cer_0" "${INSTALL_DIR}ipsec.d/cacerts"
sudo cp "${USERNAME}.p12" "${INSTALL_DIR}ipsec.d/private"
sudo tee -a "${installDir}ipsec.conf" <<EOF
conn $VIRTUAL_NETWORK_NAME
keyexchange=$VPN_TYPE
type=tunnel
leftfirewall=yes
left=%any
leftauth=eap-tls
leftid=%client
right=$vpnServer
rightid=%$vpnServer
rightsubnet=$routes
leftsourceip=%config
auto=add
EOF
echo ": P12 client.p12 '$PASSWORD'" | sudo tee -a "${INSTALL_DIR}ipsec.secrets" > /dev/null
sudo ipsec restart
sudo ipsec up $VIRTUAL_NETWORK_NAME
Azure ファイル共有をマウントする
これでポイント対サイト VPN が設定されたので、Azure ファイル共有をマウントできます。 Linux への SMB ファイル共有のマウントまたは Linux への NFS ファイル共有のマウントに関する記事を参照してください。