IT・技術研修ならCTC教育サービス

サイト内検索 企業情報 サイトマップ

研修コース検索

コラム

なるほど、Microsoft Azure

CTC 教育サービス

 [IT研修]注目キーワード   Python  UiPath(RPA)  最新技術動向  OpenStack  システムトラブルシュート 

第5回 Azure 仮想ネットワークの概要とAzureとのVPN接続方法 (武田正樹) 2015年9月

 今回のコラムでは、Microsoft Azure IaaS を構成する際に利用可能な仮想ネットワークの概要、そしてオンプレミスのデータセンターとAzure 間の VPN 接続方法をご紹介します。

Azure仮想ネットワーク概要

 Azureの仮想ネットワークは、Azure データセンター内に独自のネットワークを構築できるサービスです。また、仮想ネットワーク設定画面からゲートウェイを作成する事もでき、Azure上の仮想ネットワークとAzure 外部(例えばオンプレミス)のネットワークを安全に接続することも可能です。

fig01

ここからAzure上に仮想ネットワークを構築する際の設定項目のポイントをご紹介します。

  • Azureデータセンターの指定
    Azureサービスを提供するデータセンターの中から1つを指定します。1つの仮想ネットワークを複数のデータセンターをまたいで構築することはできません。
  • アドレス空間の指定
    仮想ネットワークで利用したいIPアドレス領域を指定します。クラスA (10.0.0.0/8), B (172.16.0.0/12), C(192.168.0.0/16) のプライベートIPアドレスを指定することも可能です。1つの仮想ネットワークに複数のアドレス空間をもつことも可能です。
  • サブネットの指定
    1つのアドレス空間に対して、最低1つのサブネットが必要です。
    また、1つのサブネットでの運用も可能ですが、アドレス空間を複数のサブネットに分割することもできます。同一アドレス空間内では特別な設定をしなくてもサブネット間の通信が可能ですが、サブネットを分けることでサブネット間の通信を制限するルーティング設定やサブネットごとのセキュリティ設定を行うことが可能になります。また、サブネットには、仮想マシン、クラウドサービス、App Service Environment の3種類のサービスを配置することが可能です。
  • DNSサーバー
    Azure仮想ネットワーク上の名前解決には、Azureに標準で用意されているDNSサービスが利用できます。DNSサーバーの設定をしていないのに名前解決ができていることに驚かれるかもしれませんが、裏ではAzureのDNSサービスが動いています。もちろん、Active Directory環境を作る場合を含め、独自のDNSサーバーを利用することもできます。独自DNSサーバーは、仮想ネットワーク作成後であれば自由に追加、削除ができます。
  • ゲートウェイとVPN接続
    ゲートウェイを構成することで、Azure の仮想ネットワークとオンプレミスのデータセンター間、および複数のAzure 仮想ネットワーク間でのVPN 接続が可能になります。1つの仮想ネットワークに対して1つのゲートウェイを構成することができます。VPN接続は、証明書ベースのポイント対サイト接続とIP Sec ベースのサイト対サイト接続の2 種類が用意されています。なお、仮想ネットワークはAzureの専用線接続サービス「ExpressRoute」とも接続できます。
Azure仮想ネットワークの作成

 早速、仮想ネットワークを作成して、仮想ネットワークのイメージをつかんでいただきたいと思います。

1) https://portal.azure.com にログインし、画面左上の[新規]をクリックします。

fig02

2) [ネットワーキング]-[Virtual Network]-[作成]の順にクリックして、仮想ネットワークを作成します。

fig03

3) 仮想ネットワークの設定画面が表示されますので、以下のように設定します。

  1. [名前]には、仮想ネットワークの名前を入力します。
  2. [アドレス空間] をクリックします。
  3. 仮想ネットワークで使用する下記の項目を入力します。
    - アドレス空間:仮想ネットワークで使用するプライベートIPアドレス領域
    - サブネットの名前
    - サブネットで使用するプライベートIPアドレス
  4. [OK] をクリックして、アドレス空間の設定を完了します。
  5. リソースグループを設定します。
  6. 仮想ネットワークを作成するデータセンターを設定します。
  7. [作成] をクリックすると、仮想ネットワークが作成されます。

fig04

4) 仮想ネットワークの作成が終了すると、仮想ネットワークの画面が表示されます。作成した仮想ネットワークが東日本のデータセンターに構築されており、アドレス空間が「192.168.0.0/16」でVPN接続が未設定である事がわかります。さらに、「すべての設定」-「サブネット」の順にクリックすると、「Subnet1」という名前のサブネットが「192.168.1.0/24」で作成されていることも確認できます。

fig05

よりご理解いただくために、作成した仮想ネットワークを先ほどご紹介したイメージ図に落とし込んだものもご紹介します。

fig06

サイト対サイト VPN接続を設定する

 仮想ネットワークの作成が完了しましたので、続いてオンプレミスのデータセンターとのサイト対サイト VPN接続の設定方法をご紹介します。このVPN 接続を容易にするために、オンプレミス側にAzure サイト対サイト VPN接続に対応したデバイスを用意しましょう。また、Azure側から接続先がわかるようにオンプレミス データセンター側の「固定のグローバルIPアドレス」と「サブネットのIP アドレス領域」の2つの情報が必要です。

1) 先ほど作成した仮想ネットワークの画面にある「既存のVPN接続がありません。開始するにはここをクリックしてください」をクリックします。

fig07

2) VPN 接続の設定画面が表示されます。「ローカルサイト」にオンプレミスのデータセンター側の設定情報を入力します。

  1. [接続の種類]には、[サイト対サイト]を選択します。
  2. [ローカルサイト] をクリックします。
  3. 以下のようにローカルサイトの設定情報を入力します。
    - [名前]:設定情報の名称を任意で入力します。
    - [VPN ゲートウェイの IP アドレス]: 固定のグローバルIPアドレスを入力します。
    - [クライアント アドレス空間]: オンプレミスのデータセンター側のサブネットIP アドレス領域
  4. [OK] をクリックして、設定を完了します。

fig08

3) 続いて仮想ネットワークのゲートウェイの設定を行います。

  1. [ゲートウェイをすぐに作成する]にチェックをいれます。
  2. 今回は設定の確認のために[ゲートウェイの構成] をクリックします。
  3. [サブネット] をクリックして、ゲートウェイが設置されるサブネットを確認します。
  4. 192.168.2.0/24(と表示されていますが実際は192.168.2.0/29 になります) にゲートウェイ用のサブネットが設定されたことを確認します。
  5. [OK] をクリックします。
  6. [OK] をクリックします。
  7. [OK] をクリックすると、ローカルサイトとゲートウェイの構成が始まります。

fig09

4) 10分以上たつと、ゲートウェイの構成が完了します。ゲートウェイのIPアドレスが表示されていることを確認します。

fig10

5) オンプレミスのVPN機材の設定
Azure サイト対サイト VPN接続に対応したデバイスであれば、VPN機器の設定を行うスクリプトや詳細な情報を得ることができますので、Azure VPN の設定画面から VPN デバイス スクリプトをクリックし、該当するVPN機器を選び、スクリプトをダウンロードしてください。

fig11

なお、手動で設定をする際に必要となるVPN 接続用のPre Shared Key の取得方法にも触れておきます。現在プレビュー中の新Azure ポータルでは、VPN 接続用のPre Shared Key が表示されません。現行のhttps://manage.windowsazure.com 管理ポータルにアクセスして、Pre Shared Key を確認します。

fig12

6) 設定スクリプトの実行、もしくはゲートウェイのIPアドレスとPre Shared Key の情報をもとにオンプレミス側のルーターでVPN 接続設定します。以上で VPN 接続が完了します。上記の手順で実施した場合の仮想ネットワークと VPN 接続構成のイメージ図も参考までにご紹介します。

fig13

まとめ

 いかがでしょうか?仮想ネットワークの構成や VPN 接続方法の手順をご理解いただけたかと思います。今回で Azure IaaS の基本構成の説明は一旦終了になります。次回からは Azure PaaS をご紹介していく予定です。お楽しみに!

 


 

 [IT研修]注目キーワード   Python  UiPath(RPA)  最新技術動向  OpenStack  システムトラブルシュート