コラム

CTC教育サービス・ホーム　＞　コラム　＞　なるほど、Microsoft Azure　＞　第5回　Azure 仮想ネットワークの概要とAzureとのVPN接続方法

なるほど、Microsoft Azure

CTC 教育サービス

[IT研修]注目キーワード Python UiPath(RPA) 最新技術動向 Microsoft Azure Docker Kubernetes

第5回　Azure 仮想ネットワークの概要とAzureとのVPN接続方法 (武田正樹) 2015年9月

本コラムはコラム「今からはじめる Microsoft Azure」にて、2020年補足版を公開しております。
今からはじめる Microsoft Azure - 第11回　Azure仮想ネットワークの概要（1）今からはじめる Microsoft Azure - 第12回　Azure仮想ネットワークの概要（2）今からはじめる Microsoft Azure - 第13回　Azure仮想ネットワークの概要（3）今からはじめる Microsoft Azure - 第14回　Azure仮想ネットワークの概要（4）

　今回のコラムでは、Microsoft Azure IaaS を構成する際に利用可能な仮想ネットワークの概要、そしてオンプレミスのデータセンターとAzure 間の VPN 接続方法をご紹介します。

Azure仮想ネットワーク概要

　Azureの仮想ネットワークは、Azure データセンター内に独自のネットワークを構築できるサービスです。また、仮想ネットワーク設定画面からゲートウェイを作成する事もでき、Azure上の仮想ネットワークとAzure 外部(例えばオンプレミス)のネットワークを安全に接続することも可能です。

ここからAzure上に仮想ネットワークを構築する際の設定項目のポイントをご紹介します。

Azureデータセンターの指定
Azureサービスを提供するデータセンターの中から１つを指定します。１つの仮想ネットワークを複数のデータセンターをまたいで構築することはできません。
アドレス空間の指定
仮想ネットワークで利用したいIPアドレス領域を指定します。クラスA (10.0.0.0/8), B (172.16.0.0/12), C(192.168.0.0/16) のプライベートIPアドレスを指定することも可能です。1つの仮想ネットワークに複数のアドレス空間をもつことも可能です。
サブネットの指定
１つのアドレス空間に対して、最低１つのサブネットが必要です。
また、1つのサブネットでの運用も可能ですが、アドレス空間を複数のサブネットに分割することもできます。同一アドレス空間内では特別な設定をしなくてもサブネット間の通信が可能ですが、サブネットを分けることでサブネット間の通信を制限するルーティング設定やサブネットごとのセキュリティ設定を行うことが可能になります。また、サブネットには、仮想マシン、クラウドサービス、App Service Environment の３種類のサービスを配置することが可能です。
DNSサーバー
Azure仮想ネットワーク上の名前解決には、Azureに標準で用意されているDNSサービスが利用できます。DNSサーバーの設定をしていないのに名前解決ができていることに驚かれるかもしれませんが、裏ではAzureのDNSサービスが動いています。もちろん、Active Directory環境を作る場合を含め、独自のDNSサーバーを利用することもできます。独自DNSサーバーは、仮想ネットワーク作成後であれば自由に追加、削除ができます。
ゲートウェイとVPN接続
ゲートウェイを構成することで、Azure の仮想ネットワークとオンプレミスのデータセンター間、および複数のAzure 仮想ネットワーク間でのVPN 接続が可能になります。1つの仮想ネットワークに対して１つのゲートウェイを構成することができます。VPN接続は、証明書ベースのポイント対サイト接続とIP Sec ベースのサイト対サイト接続の2 種類が用意されています。なお、仮想ネットワークはAzureの専用線接続サービス「ExpressRoute」とも接続できます。

Azure仮想ネットワークの作成

　早速、仮想ネットワークを作成して、仮想ネットワークのイメージをつかんでいただきたいと思います。

1)　https://portal.azure.com にログインし、画面左上の[新規]をクリックします。

2)　[ネットワーキング]-[Virtual Network]-[作成]の順にクリックして、仮想ネットワークを作成します。

3)　仮想ネットワークの設定画面が表示されますので、以下のように設定します。

[名前]には、仮想ネットワークの名前を入力します。
[アドレス空間] をクリックします。
仮想ネットワークで使用する下記の項目を入力します。
- アドレス空間:仮想ネットワークで使用するプライベートIPアドレス領域
- サブネットの名前
- サブネットで使用するプライベートIPアドレス
[OK] をクリックして、アドレス空間の設定を完了します。
リソースグループを設定します。
仮想ネットワークを作成するデータセンターを設定します。
[作成] をクリックすると、仮想ネットワークが作成されます。

4)　仮想ネットワークの作成が終了すると、仮想ネットワークの画面が表示されます。作成した仮想ネットワークが東日本のデータセンターに構築されており、アドレス空間が「192.168.0.0/16」でVPN接続が未設定である事がわかります。さらに、「すべての設定」-「サブネット」の順にクリックすると、「Subnet1」という名前のサブネットが「192.168.1.0/24」で作成されていることも確認できます。

よりご理解いただくために、作成した仮想ネットワークを先ほどご紹介したイメージ図に落とし込んだものもご紹介します。

サイト対サイト VPN接続を設定する

　仮想ネットワークの作成が完了しましたので、続いてオンプレミスのデータセンターとのサイト対サイト VPN接続の設定方法をご紹介します。このVPN 接続を容易にするために、オンプレミス側にAzure サイト対サイト VPN接続に対応したデバイスを用意しましょう。また、Azure側から接続先がわかるようにオンプレミスデータセンター側の「固定のグローバルIPアドレス」と「サブネットのIP アドレス領域」の2つの情報が必要です。

1)　先ほど作成した仮想ネットワークの画面にある「既存のVPN接続がありません。開始するにはここをクリックしてください」をクリックします。

2)　VPN 接続の設定画面が表示されます。「ローカルサイト」にオンプレミスのデータセンター側の設定情報を入力します。

[接続の種類]には、[サイト対サイト]を選択します。
[ローカルサイト] をクリックします。
以下のようにローカルサイトの設定情報を入力します。
- [名前]:設定情報の名称を任意で入力します。
- [VPN ゲートウェイの IP アドレス]: 固定のグローバルIPアドレスを入力します。
- [クライアントアドレス空間]: オンプレミスのデータセンター側のサブネットIP アドレス領域
[OK] をクリックして、設定を完了します。

3)　続いて仮想ネットワークのゲートウェイの設定を行います。

[ゲートウェイをすぐに作成する]にチェックをいれます。
今回は設定の確認のために[ゲートウェイの構成] をクリックします。
[サブネット] をクリックして、ゲートウェイが設置されるサブネットを確認します。
192.168.2.0/24（と表示されていますが実際は192.168.2.0/29 になります）にゲートウェイ用のサブネットが設定されたことを確認します。
[OK] をクリックします。
[OK] をクリックします。
[OK] をクリックすると、ローカルサイトとゲートウェイの構成が始まります。

4)　10分以上たつと、ゲートウェイの構成が完了します。ゲートウェイのIPアドレスが表示されていることを確認します。

fig10

5)　オンプレミスのVPN機材の設定
Azure サイト対サイト VPN接続に対応したデバイスであれば、VPN機器の設定を行うスクリプトや詳細な情報を得ることができますので、Azure VPN の設定画面から VPN デバイススクリプトをクリックし、該当するVPN機器を選び、スクリプトをダウンロードしてください。

なお、手動で設定をする際に必要となるVPN 接続用のPre Shared Key の取得方法にも触れておきます。現在プレビュー中の新Azure ポータルでは、VPN 接続用のPre Shared Key が表示されません。現行のhttps://manage.windowsazure.com 管理ポータルにアクセスして、Pre Shared Key を確認します。