Azure の仮想ネットワークとオンプレミスネットワークを接続する方法
目次[非表示]
Microsoft Azure(※)(以下、Azure)は、マイクロソフト社が提供するクラウドプラットフォームサービスです。Azure は、Windows サーバや Office 製品などと連携がしやすいことから、クラウドサービスと従来のオンプレミス環境を組み合わせて利用する“ハイブリッドクラウド”の運用にも適しています。
ハイブリッドクラウドの運用は、クラウドサービスの柔軟性とオンプレミス環境のセキュリティの高さを両立できることが魅力です。
この記事では、Azure の仮想ネットワークとなる Azure Virtual Network(以下、VNet)とオンプレミス環境への接続方法について解説します。
※ Microsoft Azure は、マイクロソフト グループの企業の商標です。
なお、Azure でできることについてはこちらの記事で解説しています。
Azureとオンプレミス環境を接続する方法は2つ
Azure とオンプレミス環境を接続する方法には、S2S VPN と Azure ExpressRoute を使用する2つの方法があります。
S2S VPN
S2S VPN は、VNet とオンプレミス環境を VPN(Virtual Private Network)で接続する方法です。サイト間 VPN とも呼ばれます。
S2S VPN による接続には、オンプレミス側にパブリック IP アドレスを割り当てた VPN デバイスが必要です。
Azure ExpressRoute
Azure ExpressRoute(以下、ExpressRoute) は、外部のプロバイダーが提供する仮想でない専用回線を用いてオンプレミス環境と VNet を接続する方法です。
外部のプロバイダーを利用することから費用は高くなりやすいですが、公共のインターネット回線を経由しないため、安全性と信頼性が高く通信速度も安定しやすくなります。
VPN と併用すれば、ExpressRoute の回線で接続が切断されてしまった場合にも VPN に切り替えて対応できるようになります。重要な機密情報が保存されたシステムを扱う場合や、強固なセキュリティ対策とバックアップが求められる場合などに適していると考えられます。
なお、Azure 内やオンプレミス環境のデータをバックアップできる Azure Backup についてはこちらの記事で詳しく解説しています。併せてご確認ください。
S2S VPN で Azure とオンプレミスを接続する手順
ここからは、S2S VPN で Azure とオンプレミスを接続する手順について解説します。S2S VPN で接続する際には、仮想ネットワークと VPN ゲートウェイを作成する必要があります。
①仮想ネットワークを作成する
Microsoft Azure Portal(※)(以下、Azure Portal)を開いて、仮想ネットワークを作成します。
▼仮想ネットワークの作成手順
- Azure Portal にサインインする
- [リソース、サービス、ドキュメントの検索 (G+/)]に[仮想ネットワーク]を入力して開く
- [仮想ネットワーク]ページで[作成]を選択する
- [基本]タブにある[プロジェクトの詳細]および[インスタンスの詳細]の項目に VNet の情報を設定する
- [IP アドレス]ページを確認して、不要なアドレス空間またはサブネットを削除する
- [確認と作成]を開いて仮想ネットワークの設定を検証したあと、[作成]を選択して仮想ネットワークを作成する
※Microsoft Azure Portal は、マイクロソフト社が提供するサービスです。
②VPN ゲートウェイを作成する
仮想ネットワークを作成したあとは、Azure とオンプレミス間の通信を暗号化するための VPN ゲートウェイを作成します。
▼VPN ゲートウェイの作成手順
- [リソース、サービス、ドキュメントの検索(G+/)]に[仮想ネットワーク ゲートウェイ]を入力して開く
- [基本]タブから[プロジェクトの詳細]と[インスタンスの詳細]を設定する
- VPN ゲートウェイに紐づけるパブリック IP アドレスを設定する
- [確認と作成]で検証を実行したあと、[作成]を選択して VPN ゲートウェイを作成する
作成した VPN ゲートウェイのパブリック IP アドレスは、利用しているゲートウェイの[概要]ページから確認できます。
③ローカルネットワークゲートウェイを作成する
ローカルネットワークゲートウェイは、オンプレミスの場所を Azure から参照して接続するためのオブジェクトです。
▼ローカルネットワークゲートウェイの作成手順
- リソース、サービス、ドキュメントの検索 (G+/)]から[ローカルネットワークゲートウェイ]を入力して開く
- [基本]タブで、ローカルネットワークゲートウェイの設定を行う
- [確認と作成]を選択してページの検証を行ったあと、[作成]を選択してローカル ネットワークゲートウェイを作成する
④VPN 接続を作成する
仮想ネットワークの VPN ゲートウェイとオンプレミス側の VPN デバイスでサイト間 VPN 接続を行います。
▼VPN 接続の作成手順
- 仮想ネットワークの VNet ページを開いて、[接続デバイス]から VPN ゲートウェイを選択する
- VPN ゲートウェイのページで[接続]を選択する
- [接続]ページの上部にある[+ 追加]から、[接続の作成]ページを開く
- [基本]ページの[プロジェクトの詳細]からサブスクリプションとリソースが配置されているリソース グループを選んで、[接続の種類]に[サイト対サイト (IPsec)]を選択する
- [設定]をクリックして、仮想ネットワークゲートウェイとローカルネットワークゲートウェイをそれぞれのプルダウンメニューから選択する
- [共有キー]の項目に、オンプレミスの VPN デバイスで使用しているキーを入力する
- IKE プロトコルを[IKEv2]にして、DPD タイムアウト(秒)を 45 秒にする
- そのほかの項目は未選択もしくは既定値のままにする
- [NAT 規則の関連付け]の項目では、[イングレス]と[エグレス]の両方で 0 が選択されたままにする
- [確認および作成]を選択して接続設定の検証を行ったあと、VPN 接続を行う
⑤VPN 接続を確認する
最後に、VPN 接続が成功しているかどうかを確認します。
▼VPN 接続の確認手順
- Azure portal メニューの[すべてのリソース]から、仮想ネットワークゲートウェイを選ぶ
- 仮想ネットワークゲートウェイのブレードから[接続]をクリックして、VPN 接続状態を確認する
- 確認したい接続の名前をクリックして[要点]を開く
- VPN 接続に成功している場合は、[状態]の項目に[成功]と[接続済み]と表示される
ExpressRoute で Azure とオンプレミスを接続する手順
ExpressRoute を使用して Azure とオンプレミスと接続する場合は、プロバイダーを経由して VNet ゲートウェイ(ExpressRoute ゲートウェイ)を作成します。
①ExpressRoute 回線を作成する
始めに[ExpressRoute 回線]と呼ばれるリソースを作成して、サービスキーを表示します。サービスキーをプロバイダーに伝えることで、Azure 側の設定が可能になります。
▼ExpressRoute 回線作成の手順
- Azure Portal にサインインする
- [+ リソースの作成]から[ExpressRoute]を検索して[作成]を選択する
- [ExpressRoute の作成]の項目で、回線のリソースグループ・リージョン・名前を指定する
- [確認および作成]から、[作成]を選んで ExpressRoute 回線を作成する
Azure Portal の上部にある検索ボックスに“ExpressRoute 回線”と入力すると、作成した ExpressRoute 回線がすべて表示されます。
②ExpressRoute 回線のピアリングを作成する
ExpressRoute 回線を作成したあとは、プロバイダーとのピアリングを行います。ピアリングとは、ネットワーク同士がお互いに相手を認識・承認して通信を行える状態にすることです。
ルーターの管理・構成をプロバイダーが行う契約になっている場合には、プロバイダー側でピアリングの作成を行います。
▼ExpressRoute 回線のピアリングの作成手順
- [プロバイダーの状態]から、接続プロバイダーが回線をプロビジョニングしていることを確認する
- Azure プライベートピアリングを選択する
- すべてのパラメーターを指定して構成を保存する
③VNet を ExpressRoute 回線に接続する
ピアリングを作成したあとは、Azure portal から ExpressRoute 回線に VNet をリンクするための接続を作成します。
▼VNet と ExpressRoute 回線の接続手順
- ExpressRoute 回線と Azure プライベート ピアリングが正常に構成されていることを確認する
- 左側にある[設定]から[接続]を選び、[追加]をクリックする
- 接続の名前を入力して、[次へ: 設定 >]を選択する
- 回線にリンクさせたい仮想ネットワークに属しているゲートウェイを選択して、[確認および作成]を選択する
- 検証が完了したら[作成]を選択する
手順 1 において Azure プライベートピアリングの状態を確認する際は、以下の表示になっている必要があります。
▼Azure プライベートピアリングが正常に構成されている状態
項目 |
表示内容 |
[状態] |
プロビジョニング済み |
[プライマリサブネット][セカンダリサブネット] |
1個のサブネットが構成済み |
[最終更新者] |
顧客 |
ExpressRoute 回線に VNet が正常に接続されると、接続のオブジェクトの[状態]に[成功]と表示されます。
まとめ
この記事では、Azure の仮想ネットワークとオンプレミスネットワークの接続について以下の内容を解説しました。
- Azure とオンプレミス環境を接続する方法
- S2S VPN で接続する手順
- ExpressRoute で接続する手順
Azure とオンプレミス環境を接続する方法には、S2S VPN による接続と外部のプロバイダーが提供する専用回線で接続する ExpressRoute の2つがあります。
S2S VPN では、仮想ネットワーク上で VNet とオンプレミス環境を接続する構成となっており、VPN ゲートウェイとローカルネットワークゲートウェイの構築と VPN デバイスが必要になります。
ExpressRoute では、プロバイダーが提供する閉鎖された専用回線を使用して、VNet ゲートウェイとオンプレミス環境を接続する構成です。S2S VPN と比べて接続の安全性と通信品質は高くなりやすいですが、導入には費用がかかるため、取り扱う情報のセキュリティレベルや予算などを踏まえて検討することが重要です。
『 ez office 』では、Azure の導入や業務改善につなげる『 Azure サービスの活用支援』を提供しています。社内にあるリソースを Azure に集約したり、既存のオンプレミス環境とつないでリソースを拡張したりすることも可能です。
詳しくは、こちらから資料をダウンロードしていただけます。
