マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

Azure の VPN Gatewayを作成して、

構成

  • Azureの仮想ネットワークには VPN Gatewayを 1 つだけ作成できる。
  • VPN Gatewayは、GatewaySubnet?サブネットのVMとして作成される。
  • GatewaySubnet?サブネットには、VPN GatewayのVMに加え、踏み台となるVMが必要になる。
  • このVM は、ゲートウェイ固有の
    • ルーティング テーブル
    • ゲートウェイ サービス

を含む。

  • VPN Gatewayの
    • 部分である VM を直接構成することはできない。
    • GatewaySubnet?サブネットに、その他のリソースをデプロイしない。

SKU

https://azure.microsoft.com/ja-jp/pricing/details/vpn-gateway/

仕様

#SKUS2S/VNet間トンネルP2S接続合計スループット ベンチマーク
1VpnGw1最大 30最大 128650 Mbps
2VpnGw2最大 30最大 1281 Gbps
3VpnGw3最大 30最大 1281.25 Gbps
4Basic最大 10最大 128100 Mbps

https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-about-vpngateways

ワークロード

#ワークロードSKU
1運用環境のワークロードVpnGw1、VpnGw2、VpnGw3
2開発テスト環境のワークロードBasic

機能セット

#SKU機能
1Basicルート ベースの VPN10 個のトンネルと P2S、RADIUS 認証なし、IKEv2 なし
ポリシーベース VPN(IKEv1): 1 トンネル。P2S なし
2VpnGw1、VpnGw2、および VpnGw3ルートベース VPN最大 30 トンネル、P2S、BGP、アクティブ/アクティブ、カスタム IPsec/IKE ポリシー、ExpressRoute?/VPN 共存

従来の SKU

接続方法

Site-to-Site VPN (S2S)Point-to-Site VPN (P2S)は、
両者の構成要件がすべて両立する場合に、同じ VPN Gatewayを使って組み合わせて使用できる。

Site-to-Site VPN (S2S)

  • 拠点間接続とも言う。
  • サイト間とマルチサイト (IPsec/IKE VPN トンネル)

概要

  • サイト間
    VPN Gatewayから1つ VPN 接続を作成し、1つのオンプレミスのサイトに接続する。
    • IPsec/IKE (IKEv1 または IKEv2) VPN トンネルを介した接続。
    • オンプレミスの VPN デバイスが必要。
      • パブリック IP アドレスを割り当てられている。
      • NAT の内側に配置されていない。
    • クロスプレミスおよびハイブリッド構成に使用できる。
  • マルチサイト
    VPN Gatewayから複数の VPN 接続を作成し、複数のオンプレミスのサイトに接続する、サイト間接続の一種。
    • RouteBased? という VPN の種類を使用する
    • Azureの仮想ネットワークに配置できる VPN Gatewayは 1 つのみ。
    • VPN Gatewayを経由するすべての接続は、使用可能な帯域幅を共有する。

参考

Point-to-Site VPN (P2S)

  • 拠点対端末接続とも言う。
  • RADIUS 認証および IKEv2は 現在プレビューの段階

概要

  • 個々のクライアント コンピューターからAzureの仮想ネットワークへの、VPN接続する。
    • クライアント コンピューターから接続を開始することによって確立される。
    • オンプレミスの公開 IP アドレスまたは VPN デバイスは必要ない。
  • 用途
    • 在宅勤務など、リモートの場所から Azure VNet に接続する場合。
    • VNet への接続が必要なクライアントがごく少ない場合。
  • プロトコル
    • IKEv2
      • 標準の IPsec VPN ソリューション
      • Mac デバイスから接続する際に使用。
  • SSTP
    • SSL ベースの VPN トンネル。
    • Windows クライアント プラットフォームでのみサポートされる。
  • クライアント認証
    • ネイティブ Azure 証明書認証
    • AD DS + RADIUS サーバ

参考

VNet-to-VNet VPN (V2V)

ExpressRoute?

事業拠点と Microsoft Azure(パブリッククラウド)の環境を、
ダイレクトにインターネットを介さず接続(プライベート接続)。

構成手順

P2S(SSTP

  • VPN Gatewayの作成
    • サブネッティング可能な仮想ネットワークの作成
    • ゲートウェイ サブネットの追加
    • DNS サーバーの指定 (省略可能)
    • 仮想ネットワーク ゲートウェイの作成
      • [VPN の種類] : [ルート ベース]
      • [SKU] : [Basic]
  • 証明書の生成
    • ルート証明書の *.cer ファイルの取得
    • クライアント証明書を生成
  • クライアント アドレス プールの追加
    以下と重複しないプライベート IP アドレス範囲
  • 証明書の設定
    • ルート証明書の公開証明書データをAzureにアップロード
    • エクスポートしたクライアント証明書をクライアント端末にインストール
  • P2S VPN接続の確立
    • Azureで、VPN クライアント構成パッケージを生成
    • VPN クライアント構成パッケージをクライアント端末にインストール
    • [設定] > [ホーム] > [ネットワークとインターネット] > [VPN]から接続。
  • Azure への接続
    • GatewaySubnet?が存在する仮想ネットワークにサブネットを追加する。
      仮想ネットワーク間のサブネットの通信は既定で可能であるため)
    • ソコに、VMを追加して、プライベートIPアドレスでアクセスする。

P2S (IKEv2)

S2S

課金

  • WindowsかLinuxのインスタンスが1つ動いているので、一時利用の場合は、少々高くつく。
  • Linuxで、OpenVPNを使用したりすることで廉価に構築できる可能性はある。
  • VPN GatewayはVMと違って、停止がなく、削除するしかない。
  • なお、削除後、再作成した時にはIPアドレス変わるので、クライアントの設定変更が必要。

参考


Tags: :インフラストラクチャ, :クラウド, :Azure, :通信技術


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2019-10-21 (月) 15:15:29 (23d)