オンプレミスとクラウドをVPN接続する方法

ハイブリッドクラウドへの道 ~The road to hybrid cloud.~Vol.5

「ハイブリッドクラウドへの道 ~The road to hybrid cloud.~」
今回は、オンプレミスとクラウドをVPN接続する方法を紹介します。
オンプレミスとAzure上の仮想マシンが仮想ネットワークを介してセキュアな環境で直接通信できるようになります。

1:Azure VPNゲートウェイ 3つの構成

AzureのVPNゲートウェイを利用した接続構成には大きく3つの種類があります。

1-1.サイト間接続(S2S)

オンプレミスとAzureを繋ぐ場合や、Azureと他のクラウドサービスを接続する場合の構成。オンプレミスと複数のAzureサイトを接続することも可能です。この場合はAzure側からオンプレミスにVPN接続を行います。

1-2.ポイント対サイト接続(P2S)

1台のPCとAzureをVPNで接続する構成です。この場合はPC側からAzureに対して接続を行います。リモートワークや、個人利用の環境から接続する場合に利用します。
接続するPCは複数同時に接続が可能です。

1ー3.仮想ネットワーク間接続(VNet2VNet)

Azure上の異なる地域(リージョン)間を接続する場合や、異なるサブスクリプション同士を接続する場合など、Azureの仮想ネットワーク同士を接続する構成です。VPNゲートウェイを利用しない「VNetピアリング」という接続方法もあります。

これらの接続構成は組み合わせて利用することも可能です。P2S接続と S2S接続は、同じVPN ゲートウェイを使って接続可能ですし、複数のサブネットを使い分けていくつかのVPNゲートウェイを配置することも可能です。※この他にも専用回線を利用した「ExpressRoute」接続という構成もありますが、今回は省略します。
仮想ネットワーク ゲートウェイ作成時に、そのゲートウェイのSKU(Stock Keeping Unitの略)=スペックを指定することになります。
それぞれの接続構成やSKUにより、利用料金が異なり、構成ごとの時間単位の利用料金と、データの転送容量による従量課金の合計となります。

参考:Azure VPN Gateway について( https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-about-vpngateways 

2:VPNゲートウェイ サイト間接続の作成

◆全体構成とゴール
実際にAzureとオンプレミスをVPNゲートウェイを使って接続する方法を紹介します。今回オンプレミス側はRRAS(Routing and Remote Access Service)をインストールした仮想マシンをゲートウェイとして、その配下に1台仮想マシンを接続しています。Azure上に仮想マシンを作成し、VPN接続で、オンプレミス側からAzure上の仮想マシンにローカルネットワークを介してリモートデスクトップ接続するところまでをゴールとします。

この構成ではRRASサーバーに固定のパブリックIPが必要となるため、VPNサービスなどを利用してオンプレミス環境を想定しています。社内ネットワークのゲートウェイに専用ルーターを配置している場合は、パブリックIPを保持しているルーター側にVPN接続機能(VPNホストサーバー)が必要となります。

◆作成手順
サイト間接続(S2S)の作成の手順は以下となります。
1. [Azure] 仮想ネットワークを作成
2. [Azure] 仮想ネットワークゲートウェイを作成 = VPNゲートウェイの作成
3. [Azure] ローカルネットワークゲートウェイを作成
4. [オンプレミス] RRASの構成
5. [Azure] 接続の作成
6. [オンプレミス] Pingとリモートデスクトップで接続確認

2ー1.[Azure] 仮想ネットワークを作成

Azure上でのローカルネットワークとなる、仮想ネットワークを作成します。
Azureポータルにログインし、「すべてのサービス」-「仮想ネットワーク」-「作成」を選択します。

仮想ネットワークが作成されました。

2ー2. [Azure] 仮想ネットワークゲートウェイを作成 = VPNゲートウェイの作成

仮想ネットワークゲートウェイを作成します。こちらが今回のポイントとなるVPNゲートウェイとなります。
「すべてのサービス」-「仮想ネットワークゲートウェイ」-「作成」を選択します。

先ほど作成した仮想ネットワークを指定します。
※参照: https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-about-vpngateways

仮想ネットワークゲートウェイ = VPNゲートウェイが作成されました。

2ー3. [Azure] ローカルネットワークゲートウェイを作成

オンプレミスへの接続情報となるローカルネットワークゲートウェイを作成します。

ローカルネットワークゲートウェイが作成されました。

2ー4. [オンプレミス] RRASの構成

オンプレミスを想定して、VPSを利用して固定のパブリックIPアドレスを割り当てた仮想マシンにRRASをインストールします。RRASのVPNサーバーの機能を利用して、Azureから接続します。このサーバーがオンプレミス側のゲートウェイとなります。社内ネットワークの場合はパブリックIPを割り当てたルーターに該当しますので、ルーターでVPNホストサーバーの機能を有効にします。仮想マシンに「リモートアクセス」の役割をインストールします。

「DirectAccessおよびVPN(RAS)」を選択します。

役割がインストールされたら、サーバー名を右クリックし、「ルーティングとリモートアクセスの構成と有効化」を選択しウィザードを起動します。

「アドレス範囲の割り当て」では接続してきたVPNクライアント=Azure VPN ゲートウェイ に割り当てるIPアドレスの範囲を指定します。

Windows ServerでActive Directory ドメインを構成している場合など、DNSやDHCPの構成がすでにある場合は後でセットアップするを選択しておきます。

RADIUSサーバーを使用しないを選択します。

ウィザードが完了すると、RRASサーバーとしての機能が有効になります。Azureからの接続を受け入れるための設定を追加してゆきます。
「ネットワークインターフェイス」を右クリックして、「新しいデマンドダイヤルインターフェイス」を選択します。

インターフェイスの名前を”fromAzure”とします。

「接続の種類」では「仮想プライベートネットワーク(VPN)を使って接続する」を選択します。

「VPNの種類」は「IKEv2」を選択します。

「接続先のアドレス」には、Azureで仮想ネットワークゲートウェイを作成したときに取得したパブリックアドレスを指定します。

「プロトコルとセキュリティ」では「このインターフェイス上のIPパケットの経路を選定する」を選択します。

リモートネットワークの静的ルートを追加します。Azureで仮想ネットワーク作成時に指定した、アドレス範囲を指定します。

リモートネットワークの静的ルートが追加されました。

「ダイヤルアウトのアカウント情報」は未入力でもOKです。

ウィザードでネットワークインターフェイスが作成されたら、プロパティーを開いてウィザードではできなかった項目を設定してゆきます。

「オプション」-「接続の種類」を「固定接続」とします。

「セキュリティ」-「認証に事前共有キーを使う」に任意のキー文字列を入力します。このキー文字列は後程Azure側にも設定することになります。

RRASの設定は以上となります

2ー5. [Azure] 接続の作成

Azureポータルに戻り、VPN接続のための設定を行います。作成した仮想ネットワークゲートウェイを選択し、「接続」をクリックします。

接続が作成されました。作成と同時にVPN接続を開始します。「状態」が接続済みとなっていれば成功です。

接続をクリックして詳細を表示しています。「状態」は接続済みとなっています。

RRAS側も接続状態が“接続”となっています。

2ー6. [オンプレミス] Pingとリモートデスクトップで接続確認

実際に接続を確認するために、Azure上に仮想マシンを作成します。作成時のポイントとしては「仮想ネットワーク」にVPNゲートウェイ用に作成した仮想ネットワークを指定する部分となります。

オンプレミス側の仮想マシン(192.168.0.2)から、Azure上の仮想マシン(10.0.1.4)にリモートデスクトップ接続を行っています。
Pingも双方問題なく通っているのが確認できました。

成功です!

オンプレミスとAzureがVPNで接続されました!

以上、Azure VPNゲートウェイを利用したサイト間接続 with RRASの紹介です。

これで、オンプレミスとAzureが一つのネットワークで繋がることになるので、オンプレミスのActive DirectoryにAzure上の仮想マシンがドメイン参加、その反対の構成も可能となります。また、オンプレミスはそのままに、リモートワークの拠点としてAzureを利用したり、マルチクラウド構築など、VPNゲートウェイの利用方法は様々に広がります。
VPNゲートウェイを利用することでハイブリッドクラウドはより簡単に構築することができるようになります。

著書の紹介欄

Hyper-Vで本格的なサーバー仮想環境を構築。仮想環境を設定・操作できる!

できるPRO Windows Server 2016 Hyper-V

◇Hyper-Vのさまざまな機能がわかる ◇インストールからの操作手順を解説 ◇チェックポイントやレプリカも活用できる Windows Server 2016 Hyper-Vは、仮想化ソフトウェア基盤を提供する機能であり、クラウドの実現に不可欠のものです。 本書では、仮想化の基礎知識から、Hyper-Vでの仮想マシンや仮想スイッチの設定・操作、プライベートクラウドの構築、Azureとの連携などを解説します。

初めてのWindows Azure Pack本が発売

Windows Azure Pack プライベートクラウド構築ガイド

本書は、Windows Azure PackとHyper-Vを利用し、企業内IaaS(仮想マシン提供サービス)を構成するための、IT管理者に向けた手引書です。試用したサーバーは、最小限度の物理サーバーと仮想マシンで構成しています。Windows Azure Packに必要なコンポーネントのダウンロード、実際にプライベートクラウド構築する過程を、手順を追って解説しています。これからプライベートクラウドの構築を検討するうえで、作業負担の軽減に役立つ一冊です。

ブログの著者欄

樋口 勝一

GMOインターネットグループ株式会社

1999年6月GMOインターネットグループ株式会社に入社。Windows Serverをプラットフォームとしたサービス開発から運用・保守まで幅広く担当。講演登壇や出版、ネット記事連載などでマイクロソフト社と強い信頼関係を構築。「マイクロソフトMVPアワード」を15度受賞し、インターネットソリューションのスペシャリストとして活躍。

採用情報

関連記事

KEYWORD

採用情報

SNS FOLLOW

GMOインターネットグループのSNSをフォローして最新情報をチェック