「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-戻る
--[[VPN]]
--[[Azure Subscriptionの管理@エンプラ]]
--[[Azure]]
---[[Azureの仮想ネットワーク]]

* 目次 [#p67836c5]
#contents

*概要 [#ra64e0e7]
Azure の [[VPN]] Gatewayを作成して、
-Microsoft ネットワークを経由して Azure 仮想ネットワーク間で暗号化されたトラフィックを送信
-Azure 仮想ネットワークとオンプレミスのサイトとの間で暗号化されたネットワーク トラフィックを送信
Azure の VPN Gatewayを作成して、
-Microsoft ネットワークを経由して [[Azureの仮想ネットワーク]]間で暗号化されたトラフィックを送信
-[[Azureの仮想ネットワーク]]とオンプレミスのサイトとの間で暗号化されたネットワーク トラフィックを送信

**構成 [#v9cad082]
-GatewaySubnetというサブネットにデプロイされる 2 台以上の VM で構成される。
-GatewaySubnetサブネットに配置される VM は、[[VPN]] Gatewayの作成時に作成される。
-[[Azureの仮想ネットワーク]]には VPN Gatewayを 1 つだけ作成できる。
-VPN Gatewayは、GatewaySubnetサブネットのVMとして作成される。
-GatewaySubnetサブネットには、VPN GatewayのVMに加え、踏み台となるVMが必要になる。

-このVM は、ゲートウェイ固有の
--ルーティング テーブル
--ゲートウェイ サービス

>を含む。

-[[VPN]] Gatewayの
-VPN Gatewayの
--部分である VM を直接構成することはできない。
--GatewaySubnetサブネットに、その他のリソースをデプロイしない。

**SKU [#q97301e5]
https://azure.microsoft.com/ja-jp/pricing/details/vpn-gateway/

***仕様 [#h28ab862]

|#|SKU|S2S/VNet間トンネル|P2S接続|合計スループット ベンチマーク|h
|1|VpnGw1|最大 30|最大 128|650 Mbps|
|2|VpnGw2|最大 30|最大 128|1 Gbps|
|3|VpnGw3|最大 30|最大 128|1.25 Gbps|
|4|Basic|最大 10|最大 128|100 Mbps|

https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-about-vpngateways

***ワークロード [#df98cc42]

|#|ワークロード|SKU|h
|1|運用環境のワークロード|VpnGw1、VpnGw2、VpnGw3|
|2|開発テスト環境のワークロード|Basic|

***機能セット [#pe39981d]

|#|SKU|>|機能|h
|1|Basic|ルート ベースの [[VPN]]|10 個のトンネルと P2S、RADIUS 認証なし、[[IKEv2>IPsec]] なし|
|~|~|ポリシーベース [[VPN]]|([[IKEv1>IPsec]]): 1 トンネル。P2S なし|
|2|VpnGw1、VpnGw2、および VpnGw3|ルートベース VPN|最大 30 トンネル、P2S、[[BGP>ルーティング プロトコル#z124d087]]、アクティブ/アクティブ、カスタム [[IPsec]]/IKE ポリシー、ExpressRoute/[[VPN]] 共存|

***従来の SKU [#g2534845]
-従来の Azure 仮想ネットワーク ゲートウェイ SKU~
https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-about-skus-legacy
-VPN Gateway の概要: Azure 仮想ネットワークへのクロスプレミス VPN 接続を作成する~
https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-about-vpngateways#migrate

*接続方法 [#ua368c2f]
[[Site-to-Site VPN (S2S)>#ede695a9]]と[[Point-to-Site VPN (P2S)>#rbc785d4]]は、~
両者の構成要件がすべて両立する場合に、同じ [[VPN]] Gatewayを使って組み合わせて使用できる。 
両者の構成要件がすべて両立する場合に、同じ VPN Gatewayを使って組み合わせて使用できる。 

**Site-to-Site VPN (S2S) [#ede695a9]
サイト間とマルチサイト (IPsec/IKE VPN トンネル)
-拠点間接続とも言う。

-サイト間とマルチサイト (IPsec/IKE VPN トンネル)

***概要 [#p4d178d8]
-サイト間~
[[VPN]] Gatewayから1つ [[VPN]] 接続を作成し、1つのオンプレミスのサイトに接続する。
VPN Gatewayから1つ [[VPN]] 接続を作成し、1つのオンプレミスのサイトに接続する。
--[[IPsec]]/IKE (IKEv1 または IKEv2) [[VPN]] トンネルを介した接続。
--オンプレミスの [[VPN]] デバイスが必要。
---パブリック IP アドレスを割り当てられている。
---NAT の内側に配置されていない。
--クロスプレミスおよびハイブリッド構成に使用できる。

-マルチサイト~
[[VPN]] Gatewayから複数の [[VPN]] 接続を作成し、複数のオンプレミスのサイトに接続する、サイト間接続の一種。
VPN Gatewayから複数の [[VPN]] 接続を作成し、複数のオンプレミスのサイトに接続する、サイト間接続の一種。
--RouteBased という [[VPN]] の種類を使用する
--各仮想ネットワークに配置できる [[VPN]] Gatewayは 1 つのみ。
--各[[Azureの仮想ネットワーク]]に配置できる VPN Gatewayは 1 つのみ。
--[[VPN]] Gatewayを経由するすべての接続は、使用可能な帯域幅を共有する。

***参考 [#o7b777ec]
-オンプレミスのネットワークを Azure 仮想ネットワークに接続する: サイト間 VPN: ポータル~
https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-howto-site-to-site-resource-manager-portal

**Point-to-Site VPN (P2S) [#rbc785d4]
-拠点対端末接続とも言う。

-ポイント対サイト ([[VPN]] over [[IKEv2>IPsec]] または [[SSTP]])
-P2S の RADIUS 認証および [[IKEv2>IPsec]]は 現在プレビューの段階

-RADIUS 認証および [[IKEv2>IPsec]]は 現在プレビューの段階

***概要 [#ifbadb00]
-個々のクライアント コンピューターから仮想ネットワークへの、VPN接続する。
-個々のクライアント コンピューターから[[Azureの仮想ネットワーク]]への、VPN接続する。
--クライアント コンピューターから接続を開始することによって確立される。
--オンプレミスの公開 IP アドレスまたは VPN デバイスは必要ない。

-用途
--在宅勤務など、リモートの場所から Azure VNet に接続する場合。
--VNet への接続が必要なクライアントがごく少ない場合。

-プロトコル
--[[IKEv2>IPsec]]:
---標準の IPsec VPN ソリューション
---Mac デバイスから接続する際に使用。

--[[SSTP]]:
---SSL ベースの [[VPN]] トンネル。
---Windows クライアント プラットフォームでのみサポートされる。

-クライアント認証
--ネイティブ Azure 証明書認証
--[[AD DS>ドメイン サービス (AD DS)]] + RADIUS サーバ

***参考 [#t2cd12cd]
-Azure ポイント対サイト VPN 接続について~
https://docs.microsoft.com/ja-jp/azure/vpn-gateway/point-to-site-about
-ポイント対サイト接続とネイティブ Azure 証明書認証を使用してコンピューターを Azure 仮想ネットワークに接続する: Azure Portal~

-VPN Gateway
--ポイント対サイト接続とネイティブ Azure 証明書認証を使用してコンピューターを Azure 仮想ネットワークに接続する:~
https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-howto-point-to-site-resource-manager-portal
---PowerShell
---Azure Portal
---Azure Portal (クラシック)

--ポイント対サイトの証明書の生成とエクスポート:~
https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-certificates-point-to-site
---PowerShell
---Makecert

--P2S クライアント証明書のインストール~
https://docs.microsoft.com/ja-jp/azure/vpn-gateway/point-to-site-how-to-vpn-client-install-azure-cert

--Azure 証明書認証用の P2S VPN クライアント構成ファイルを作成およびインストールする:~
https://docs.microsoft.com/ja-jp/azure/vpn-gateway/point-to-site-vpn-client-configuration-azure-cert

-VPN Gateway + RADIUS 認証
--ポイント対サイトと RADIUS 認証を使用してコンピューターを仮想ネットワークに接続する: PowerShell~
https://docs.microsoft.com/ja-jp/azure/vpn-gateway/point-to-site-how-to-radius-ps

**VNet-to-VNet VPN (V2V) [#v5d75b1f]
VNet 間接続 (IPsec/IKE VPN トンネル)で、[[Site-to-Site VPN (S2S)>#ede695a9]]と≒。
-VNet 間接続 (IPsec/IKE VPN トンネル)
-[[Site-to-Site VPN (S2S)>#ede695a9]]と≒。

**ExpressRoute [#t41d77d4]
ExpressRoute (プライベート接続)
事業拠点と Microsoft Azure(パブリッククラウド)の環境を、~
ダイレクトにインターネットを介さず接続(プライベート接続)。

*構成手順 [#ka4047f2]
***P2S([[SSTP]]) [#y54b3cc0]
-[[VPN Gateway]]の作成
--サブネッティング可能な[[仮想ネットワーク>Azureの仮想ネットワーク]]の作成
--ゲートウェイ サブネットの追加
--DNS サーバーの指定 (省略可能)
--仮想ネットワーク ゲートウェイの作成
---[VPN の種類] : [ルート ベース]
---[SKU] : [Basic]

-[[証明書]]の生成
--ルート証明書の *.cer ファイルの取得
--クライアント証明書を生成

-クライアント アドレス プールの追加~
以下と重複しないプライベート IP アドレス範囲
--オンプレミス
--[[仮想ネットワーク>Azureの仮想ネットワーク]]

-[[証明書]]の設定
--ルート証明書の公開証明書データをAzureにアップロード
--エクスポートしたクライアント証明書をクライアント端末にインストール

-P2S VPN接続の確立
--Azureで、VPN クライアント構成パッケージを生成
--VPN クライアント構成パッケージをクライアント端末にインストール
--[設定] > [ホーム] > [ネットワークとインターネット] > [VPN]から接続。

-Azure への接続
--GatewaySubnetが存在する[[仮想ネットワーク>Azureの仮想ネットワーク]]にサブネットを追加する。~
([[仮想ネットワーク>Azureの仮想ネットワーク]]間のサブネットの通信は既定で可能であるため)
--ソコに、VMを追加して、プライベートIPアドレスでアクセスする。

***P2S ([[IKEv2>IPsec]]) [#v7dd1cd7]

***S2S [#b15e05bf]

*課金 [#c6e0521e]
-WindowsかLinuxのインスタンスが1つ動いているので、一時利用の場合は、少々高くつく。
-Linuxで、OpenVPNを使用したりすることで廉価に構築できる可能性はある。

-VPN GatewayはVMと違って、停止がなく、削除するしかない。
-なお、削除後、再作成した時にはIPアドレス変わるので、クライアントの設定変更が必要。

*参考 [#a16cd476]
-Azure VPN Gateway のドキュメント - チュートリアル、API リファレンス~
https://docs.microsoft.com/ja-jp/azure/vpn-gateway/
--VPN Gateway の概要: Azure 仮想ネットワークへのクロスプレミス VPN 接続を作成する~
https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-about-vpngateways
--クロスプレミス接続の計画と設計: Azure VPN Gateway~
https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-plan-design

----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:通信技術]], [[:Azure]]
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]], [[:通信技術]]


トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS