「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -戻る --[[VPN]] --[[Azure]] > [[Azureの仮想ネットワーク]] * 目次 [#p67836c5] #contents *概要 [#ra64e0e7] Azure の VPN Gatewayを作成して、 -Microsoft ネットワークを経由して [[Azureの仮想ネットワーク]]間で暗号化されたトラフィックを送信 -[[Azureの仮想ネットワーク]]とオンプレミスのサイトとの間で暗号化されたネットワーク トラフィックを送信 **構成 [#v9cad082] -[[Azureの仮想ネットワーク]]には VPN Gatewayを 1 つだけ作成できる。 -VPN Gatewayは、GatewaySubnetサブネットのVMとして作成される。 -GatewaySubnetサブネットには、VPN GatewayのVMに加え、踏み台となるVMが必要になる。 -このVM は、ゲートウェイ固有の --ルーティング テーブル --ゲートウェイ サービス >を含む。 -VPN Gatewayの --部分である VM を直接構成することはできない。 --GatewaySubnetサブネットに、その他のリソースをデプロイしない。 **SKU [#q97301e5] https://azure.microsoft.com/ja-jp/pricing/details/vpn-gateway/ ***仕様 [#h28ab862] |#|SKU|S2S/VNet間トンネル|P2S接続|合計スループット ベンチマーク|h |1|VpnGw1|最大 30|最大 128|650 Mbps| |2|VpnGw2|最大 30|最大 128|1 Gbps| |3|VpnGw3|最大 30|最大 128|1.25 Gbps| |4|Basic|最大 10|最大 128|100 Mbps| https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-about-vpngateways ***ワークロード [#df98cc42] |#|ワークロード|SKU|h |1|運用環境のワークロード|VpnGw1、VpnGw2、VpnGw3| |2|開発テスト環境のワークロード|Basic| ***機能セット [#pe39981d] |#|SKU|>|機能|h |1|Basic|ルート ベースの [[VPN]]|10 個のトンネルと P2S、RADIUS 認証なし、[[IKEv2>IPsec]] なし| |~|~|ポリシーベース [[VPN]]|([[IKEv1>IPsec]]): 1 トンネル。P2S なし| |2|VpnGw1、VpnGw2、および VpnGw3|ルートベース VPN|最大 30 トンネル、P2S、[[BGP>ルーティング プロトコル#z124d087]]、アクティブ/アクティブ、カスタム [[IPsec]]/IKE ポリシー、ExpressRoute/[[VPN]] 共存| ***従来の SKU [#g2534845] -従来の Azure 仮想ネットワーク ゲートウェイ SKU~ https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-about-skus-legacy -VPN Gateway の概要: Azure 仮想ネットワークへのクロスプレミス VPN 接続を作成する~ https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-about-vpngateways#migrate *接続方法 [#ua368c2f] [[Site-to-Site VPN (S2S)>#ede695a9]]と[[Point-to-Site VPN (P2S)>#rbc785d4]]は、~ 両者の構成要件がすべて両立する場合に、同じ VPN Gatewayを使って組み合わせて使用できる。 **Site-to-Site VPN (S2S) [#ede695a9] -拠点間接続とも言う。 -サイト間とマルチサイト (IPsec/IKE VPN トンネル) ***概要 [#p4d178d8] -サイト間~ VPN Gatewayから1つ [[VPN]] 接続を作成し、1つのオンプレミスのサイトに接続する。 --[[IPsec]]/IKE (IKEv1 または IKEv2) [[VPN]] トンネルを介した接続。 --オンプレミスの [[VPN]] デバイスが必要。 ---パブリック IP アドレスを割り当てられている。 ---NAT の内側に配置されていない。 --クロスプレミスおよびハイブリッド構成に使用できる。 -マルチサイト~ VPN Gatewayから複数の [[VPN]] 接続を作成し、複数のオンプレミスのサイトに接続する、サイト間接続の一種。 --RouteBased という [[VPN]] の種類を使用する --各[[Azureの仮想ネットワーク]]に配置できる VPN Gatewayは 1 つのみ。 --[[VPN]] Gatewayを経由するすべての接続は、使用可能な帯域幅を共有する。 ***参考 [#o7b777ec] -オンプレミスのネットワークを Azure 仮想ネットワークに接続する: サイト間 VPN: ポータル~ https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-howto-site-to-site-resource-manager-portal **Point-to-Site VPN (P2S) [#rbc785d4] -拠点対端末接続とも言う。 -ポイント対サイト ([[VPN]] over [[IKEv2>IPsec]] または [[SSTP]]) -RADIUS 認証および [[IKEv2>IPsec]]は 現在プレビューの段階 ***概要 [#ifbadb00] -個々のクライアント コンピューターから[[Azureの仮想ネットワーク]]への、VPN接続する。 --クライアント コンピューターから接続を開始することによって確立される。 --オンプレミスの公開 IP アドレスまたは VPN デバイスは必要ない。 -用途 --在宅勤務など、リモートの場所から[[VNET>Azureの仮想ネットワーク]]に接続する場合。 --[[VNET>Azureの仮想ネットワーク]]への接続が必要なクライアントがごく少ない場合。 -プロトコル --[[IKEv2>IPsec]]: ---標準の IPsec VPN ソリューション ---Mac デバイスから接続する際に使用。 --[[SSTP]]: ---SSL ベースの [[VPN]] トンネル。 ---Windows クライアント プラットフォームでのみサポートされる。 -クライアント認証 --ネイティブ Azure 証明書認証 --[[AD DS>ドメイン サービス (AD DS)]] + RADIUS サーバ ***参考 [#t2cd12cd] -Azure ポイント対サイト VPN 接続について~ https://docs.microsoft.com/ja-jp/azure/vpn-gateway/point-to-site-about -VPN Gateway --ポイント対サイト接続とネイティブ Azure 証明書認証を使用してコンピューターを Azure 仮想ネットワークに接続する:~ https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-howto-point-to-site-resource-manager-portal ---PowerShell ---Azure Portal ---Azure Portal (クラシック) --ポイント対サイトの証明書の生成とエクスポート:~ https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-certificates-point-to-site ---PowerShell ---Makecert --P2S クライアント証明書のインストール~ https://docs.microsoft.com/ja-jp/azure/vpn-gateway/point-to-site-how-to-vpn-client-install-azure-cert --Azure 証明書認証用の P2S VPN クライアント構成ファイルを作成およびインストールする:~ https://docs.microsoft.com/ja-jp/azure/vpn-gateway/point-to-site-vpn-client-configuration-azure-cert -VPN Gateway + RADIUS 認証 --ポイント対サイトと RADIUS 認証を使用してコンピューターを仮想ネットワークに接続する: PowerShell~ https://docs.microsoft.com/ja-jp/azure/vpn-gateway/point-to-site-how-to-radius-ps **VNet-to-VNet VPN (V2V) [#v5d75b1f] -[[VNET>Azureの仮想ネットワーク]]間接続 (IPsec/IKE VPN トンネル) -[[Site-to-Site VPN (S2S)>#ede695a9]]と≒。 **ExpressRoute [#t41d77d4] 事業拠点と Microsoft Azure(パブリッククラウド)の環境を、~ ダイレクトにインターネットを介さず接続(プライベート接続)。 *構成手順 [#ka4047f2] ***P2S([[SSTP]]) [#y54b3cc0] -[[VPN Gateway]]の作成 --サブネッティング可能な[[仮想ネットワーク>Azureの仮想ネットワーク]]の作成 --ゲートウェイ サブネットの追加 --DNS サーバーの指定 (省略可能) --仮想ネットワーク ゲートウェイの作成 ---[VPN の種類] : [ルート ベース] ---[SKU] : [Basic] -[[証明書]]の生成 --ルート証明書の *.cer ファイルの取得 --クライアント証明書を生成 -クライアント アドレス プールの追加~ 以下と重複しないプライベート IP アドレス範囲 --オンプレミス --[[仮想ネットワーク>Azureの仮想ネットワーク]] -[[証明書]]の設定 --ルート証明書の公開証明書データをAzureにアップロード --エクスポートしたクライアント証明書をクライアント端末にインストール -P2S VPN接続の確立 --Azureで、VPN クライアント構成パッケージを生成 --VPN クライアント構成パッケージをクライアント端末にインストール --[設定] > [ホーム] > [ネットワークとインターネット] > [VPN]から接続。 -Azure への接続 --GatewaySubnetが存在する[[仮想ネットワーク>Azureの仮想ネットワーク]]にサブネットを追加する。~ ([[仮想ネットワーク>Azureの仮想ネットワーク]]間のサブネットの通信は既定で可能であるため) --ソコに、VMを追加して、プライベートIPアドレスでアクセスする。 ***P2S ([[IKEv2>IPsec]]) [#v7dd1cd7] ***S2S [#b15e05bf] *課金 [#c6e0521e] -WindowsかLinuxのインスタンスが1つ動いているので、一時利用の場合は、少々高くつく。 -Linuxで、OpenVPNを使用したりすることで廉価に構築できる可能性はある。 -VPN GatewayはVMと違って、停止がなく、削除するしかない。 -なお、削除後、再作成した時にはIPアドレス変わるので、クライアントの設定変更が必要。 *参考 [#a16cd476] -Azure VPN Gateway のドキュメント - チュートリアル、API リファレンス~ https://docs.microsoft.com/ja-jp/azure/vpn-gateway/ --VPN Gateway の概要: Azure 仮想ネットワークへのクロスプレミス VPN 接続を作成する~ https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-about-vpngateways --クロスプレミス接続の計画と設計: Azure VPN Gateway~ https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-plan-design ---- Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]], [[:通信技術]]