「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
Azure の VPN Gatewayを作成して、
構成 †
- Azureの仮想ネットワークには VPN Gatewayを 1 つだけ作成できる。
- VPN Gatewayは、GatewaySubnet?サブネットのVMとして作成される。
- GatewaySubnet?サブネットには、VPN GatewayのVMに加え、踏み台となるVMが必要になる。
を含む。
- VPN Gatewayの
- 部分である VM を直接構成することはできない。
- GatewaySubnet?サブネットに、その他のリソースをデプロイしない。
SKU †
https://azure.microsoft.com/ja-jp/pricing/details/vpn-gateway/
仕様 †
# | SKU | S2S/VNet間トンネル | P2S接続 | 合計スループット ベンチマーク |
1 | VpnGw1 | 最大 30 | 最大 128 | 650 Mbps |
2 | VpnGw2 | 最大 30 | 最大 128 | 1 Gbps |
3 | VpnGw3 | 最大 30 | 最大 128 | 1.25 Gbps |
4 | Basic | 最大 10 | 最大 128 | 100 Mbps |
https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-about-vpngateways
ワークロード †
# | ワークロード | SKU |
1 | 運用環境のワークロード | VpnGw1、VpnGw2、VpnGw3 |
2 | 開発テスト環境のワークロード | Basic |
機能セット †
# | SKU | 機能 |
1 | Basic | ルート ベースの VPN | 10 個のトンネルと P2S、RADIUS 認証なし、IKEv2 なし |
ポリシーベース VPN | (IKEv1): 1 トンネル。P2S なし |
2 | VpnGw1、VpnGw2、および VpnGw3 | ルートベース VPN | 最大 30 トンネル、P2S、BGP、アクティブ/アクティブ、カスタム IPsec/IKE ポリシー、ExpressRoute?/VPN 共存 |
従来の SKU †
接続方法 †
Site-to-Site VPN (S2S)とPoint-to-Site VPN (P2S)は、
両者の構成要件がすべて両立する場合に、同じ VPN Gatewayを使って組み合わせて使用できる。
Site-to-Site VPN (S2S) †
- サイト間とマルチサイト (IPsec/IKE VPN トンネル)
概要 †
- サイト間
VPN Gatewayから1つ VPN 接続を作成し、1つのオンプレミスのサイトに接続する。
- IPsec/IKE (IKEv1 または IKEv2) VPN トンネルを介した接続。
- オンプレミスの VPN デバイスが必要。
- パブリック IP アドレスを割り当てられている。
- NAT の内側に配置されていない。
- クロスプレミスおよびハイブリッド構成に使用できる。
- マルチサイト
VPN Gatewayから複数の VPN 接続を作成し、複数のオンプレミスのサイトに接続する、サイト間接続の一種。
- RouteBased? という VPN の種類を使用する
- 各Azureの仮想ネットワークに配置できる VPN Gatewayは 1 つのみ。
- VPN Gatewayを経由するすべての接続は、使用可能な帯域幅を共有する。
参考 †
Point-to-Site VPN (P2S) †
- RADIUS 認証および IKEv2は 現在プレビューの段階
概要 †
- 個々のクライアント コンピューターからAzureの仮想ネットワークへの、VPN接続する。
- クライアント コンピューターから接続を開始することによって確立される。
- オンプレミスの公開 IP アドレスまたは VPN デバイスは必要ない。
- 用途
- 在宅勤務など、リモートの場所から Azure VNet に接続する場合。
- VNet への接続が必要なクライアントがごく少ない場合。
- プロトコル
- IKEv2:
- 標準の IPsec VPN ソリューション
- Mac デバイスから接続する際に使用。
- SSTP:
- SSL ベースの VPN トンネル。
- Windows クライアント プラットフォームでのみサポートされる。
- クライアント認証
- ネイティブ Azure 証明書認証
- AD DS + RADIUS サーバ
参考 †
VNet-to-VNet VPN (V2V) †
ExpressRoute? †
事業拠点と Microsoft Azure(パブリッククラウド)の環境を、
ダイレクトにインターネットを介さず接続(プライベート接続)。
構成手順 †
- VPN Gatewayの作成
- サブネッティング可能な仮想ネットワークの作成
- ゲートウェイ サブネットの追加
- DNS サーバーの指定 (省略可能)
- 仮想ネットワーク ゲートウェイの作成
- [VPN の種類] : [ルート ベース]
- [SKU] : [Basic]
- 証明書の生成
- ルート証明書の *.cer ファイルの取得
- クライアント証明書を生成
- クライアント アドレス プールの追加
以下と重複しないプライベート IP アドレス範囲
- 証明書の設定
- ルート証明書の公開証明書データをAzureにアップロード
- エクスポートしたクライアント証明書をクライアント端末にインストール
- P2S VPN接続の確立
- Azureで、VPN クライアント構成パッケージを生成
- VPN クライアント構成パッケージをクライアント端末にインストール
- [設定] > [ホーム] > [ネットワークとインターネット] > [VPN]から接続。
- Azure への接続
- GatewaySubnet?が存在する仮想ネットワークにサブネットを追加する。
(仮想ネットワーク間のサブネットの通信は既定で可能であるため)
- ソコに、VMを追加して、プライベートIPアドレスでアクセスする。
S2S †
課金 †
- WindowsかLinuxのインスタンスが1つ動いているので、一時利用の場合は、少々高くつく。
- Linuxで、OpenVPNを使用したりすることで廉価に構築できる可能性はある。
- VPN GatewayはVMと違って、停止がなく、削除するしかない。
- なお、削除後、再作成した時にはIPアドレス変わるので、クライアントの設定変更が必要。
参考 †
Tags: :インフラストラクチャ, :クラウド, :Azure, :通信技術