ポータルを使って異なるデプロイ モデルの仮想ネットワークを接続する
この記事では、クラシック VNet を Resource Manager VNet に接続し、異なるデプロイ モデルにあるリソースを相互に通信できるようにする方法について説明します。 この記事の手順では主に Azure Portal を使用しますが、PowerShell を使ってこの構成を作成することもできます。この場合は、次のリストから PowerShell に関する記事を選択してください。
この記事は、クラシック (レガシ) デプロイ モデルを使用して作成された VNet が既にあり、そのクラシック VNet を、最新のデプロイ モデルを使用して作成された別の VNet に接続する必要があるお客様を対象としています。 レガシ VNet がない場合は、代わりに、VNet 間接続の作成に関する記事を使用してください。
アーキテクチャ
クラシック VNet から Resource Manager VNet への接続は、VNet をオンプレミス サイトの場所に接続することと似ています。 どちらの接続タイプでも、VPN ゲートウェイを使用して、IPsec/IKE を使った安全なトンネルが確保されます。 別のサブスクリプション、別のリージョンに存在する VNet 間で接続を作成することができます。 オンプレミスのネットワークに既に接続されている VNet を接続することもできます。ただし、ゲートウェイは動的またはルート ベースである場合に限ります。 VNet 間接続の詳細については、「VNet 間接続に関してよく寄せられる質問」を参照してください。
この構成では、仮想ネットワーク間で IPsec/IKE VPN トンネルを介した VPN Gateway 接続を作成します。 VNet のアドレス範囲が、互いに重複していないこと、または接続先のすべてのローカル ネットワークと重複していないことを確認します。
次の表には、VNet の例とローカル サイトの定義方法の例を示します。
Virtual Network | アドレス空間 | リージョン | ローカル ネットワーク サイトへの接続 |
---|---|---|---|
ClassicVNet | (10.1.0.0/16) | 米国西部 | RMVNetSite (192.168.0.0/16) |
RMVNet | (192.168.0.0/16) | 米国東部 | ClassicVNetSite (10.1.0.0/16) |
前提条件
次の手順では、両方の VNet が既に作成されていることを前提にしています。 この記事を演習として使用しており、VNet がない場合は、手順内のリンクを使用して作成できます。
これらの VNet のアドレス範囲が互いに重複しておらず、ゲートウェイの接続先になる可能性のある他の接続の範囲と重複していないことを確認します。
この記事では、Azure Portal と PowerShell の両方を使います。 PowerShell は、クラシック VNet から Resource Manager VNet への接続を作成するために必要です。 Resource Manager と Service Management の両方に最新の PowerShell コマンドレットをインストールします。
Azure Cloud Shell 環境を使用していくつかの PowerShell コマンドを実行することは可能ですが、接続を適切に作成するには、両方のバージョンのコマンドレットをインストールする必要があります。
Service Management (クラシック) の PowerShell コマンドレット。 Service Management コマンドレットをインストールする際、クラシック バージョンの Azure モジュールをインストールするために、実行ポリシーの変更が必要になる場合があります。
詳細については、「 Azure PowerShell のインストールと構成の方法」を参照してください。
設定例
この値を使用して、テスト環境を作成できます。また、この値を参考にしながら、この記事の例を確認していくこともできます。
クラシック VNet
VNet name = ClassicVNet
アドレス空間 = 10.1.0.0/16
サブネット名 = Subnet1
サブネット アドレス範囲 = 10.1.0.0/24
サブスクリプション = 使用するサブスクリプション
Resource Group = ClassicRG
Location = West US
サブネット アドレス範囲 = 10.1.255.0/27
ローカル サイト名 = RMVNetSite
ゲートウェイ サイズ = Standard
Resource Manager の VNet
VNet name = RMVNet
Address space = 192.168.0.0/16
リソース グループ = RMRG
Location = East US
サブネット名 = Subnet1
アドレス範囲 = 192.168.1.0/24
GatewaySubnet = 192.168.255.0/27
Virtual network gateway name = RMGateway
Gateway type = VPN
VPN type = Route-based
SKU = VpnGw1
Location = East US
仮想ネットワーク = RMVNet (VPN ゲートウェイをこの VNet に関連付ける)
最初の IP 構成 = rmgwpip (ゲートウェイのパブリック IP アドレス)
ローカル ネットワーク ゲートウェイ = ClassicVNetSite
接続名 = RM-Classic
クラシック VNet を構成する
このセクションでは、クラシック VNet、ローカル ネットワーク (ローカル サイト)、および仮想ネットワーク ゲートウェイを作成します。 スクリーンショットは例として示されています。 例の値を実際の値で置き換えるか、例の値を使用してください。
VPN Gateway と共に VNet を既に使用している場合、そのゲートウェイが動的であることを確認してください。 静的である場合は、まず VPN ゲートウェイを削除してから、サイトとゲートウェイの構成に進む必要があります。
1.クラシック VNet の作成
クラシック VNet を所有しておらず、これらの手順を演習として使用している場合、サンプル値を使用して VNet を作成できます。 仮想ネットワークを作成する手順でナビゲーション方式を確実に使用して、以下の手順を実行してください。
サンプル値
- プロジェクトの詳細
- Resource Group = ClassicRG
- インスタンスの詳細
- 名前 = ClassicVNet
- アドレス空間 = 10.1.0.0/16
- サブネット名 = Subnet1
- サブネット アドレス範囲 = 10.1.0.0/24
- Location = West US
Azure Portal を開き、Azure アカウントでサインインします。
重要
クラシック VNet を作成するオプションを表示するには、以下の手順を使用してページに移動する必要があります。
ページの上部にある [+ リソースの作成] をクリックして、[Search services and marketplace] (サービスと Marketplace を検索) を示すページを開きます。
[Search services and marketplace] (サービスと Marketplace を検索) フィールドに「仮想ネットワーク」と入力します。
検索結果の一覧から仮想ネットワークを探してクリックし、[仮想ネットワーク] ページを開きます。
[仮想ネットワーク] ページの [作成] ボタンの下のテキストで、[(change to Classic)] ((クラシックに変更)) をクリックして、[Deploy with Classic] (クラシックでデプロイ) という文字列に切り替えます。 誤ってこれを行わないと、代わりに Resource Manager VNet が作成されます。
[作成] をクリックして [仮想ネットワークの作成 (クラシック)] ページを開きます。
値を入力し、[確認と作成] および [作成] をクリックしてクラシック VNet を作成します。
2. クラシック サイトと仮想ネットワーク ゲートウェイの構成
クラシック VNet に移動します。
左側のメニュー リストで [ゲートウェイ] をクリックしてから、バナーをクリックして、ゲートウェイを構成するページを開きます。
[VPN 接続とゲートウェイを構成する] ページの [接続] タブで、必要に応じて演習のサンプル値を使用して値を入力します。
- 接続の種類 = サイト間
- ローカル サイト名 = RMVNetSite
- VPN ゲートウェイの IP アドレス = Resource Manager VPN ゲートウェイのパブリック IP アドレスがわからない場合、またはまだ作成していない場合は、プレースホルダー値を使用します。 この設定は後で更新できます。
- ローカル サイトのクライアント アドレス = RM VNet のアドレス範囲。 たとえば、192.168.0.0/16 です。
ページの下部にある [次へ: ゲートウェイ] をクリックして、[ゲートウェイ] タブに進みます。
[ゲートウェイ] タブで、設定を構成します。
- サイズ = 標準
- ルーティングの種類 = 動的
- GatewaySubnet のアドレス範囲 = 10.1.255.0/27
[確認と作成] をクリックして設定を検証します。
[作成] をクリックして、ゲートウェイを作成します。 ゲートウェイの作成には最大 45 分かかることがあります。 ゲートウェイが構成されている間、次の手順に進むことができます。
Resource Manager VNet を構成する
このセクションでは、RM 仮想ネットワークと RM VPN ゲートウェイを作成します。 Resource Manager 仮想ネットワークと VPN ゲートウェイが既にある場合は、ゲートウェイがルート ベースであることを確認します。
1. RM 仮想ネットワークの作成
Resource Manager VNet を作成します。
手順については、仮想ネットワークの作成に関するページを参照してください。
値の例:
- プロジェクトの詳細
- Resource Group = RMRG
- インスタンスの詳細
- VNet name = RMVNet
- リージョン = 米国東部
- IP アドレス
- Address space = 192.168.0.0/16
- サブネット名 = Subnet1
- アドレス範囲 = 192.168.1.0/24
2. RM 仮想ネットワーク ゲートウェイの作成
次に、VNet の仮想ネットワーク ゲートウェイ (VPN ゲートウェイ) オブジェクトを作成します。 選択したゲートウェイ SKU によっては、ゲートウェイの作成に 45 分以上かかる場合も少なくありません。
手順については、「VPN ゲートウェイの作成」を参照してください。
値の例:
- インスタンスの詳細
- 名前 = RMGateway
- リージョン = 米国東部
- Gateway type = VPN
- VPN type = Route-based
- SKU = VpnGw2
- 世代 = Generation2
- 仮想ネットワーク = RMVNet
- GatewaySubnet のアドレス範囲 = 192.168.255.0/27
- パブリック IP アドレスの種類 = Basic
- パブリック IP アドレス
- パブリック IP アドレス = 新規作成
- パブリック IP アドレス名 = RMGWpip
3. RM ローカル ネットワーク ゲートウェイの作成
この手順では、ローカル ネットワーク ゲートウェイを作成します。 ローカル ネットワーク ゲートウェイは、クラシック VNet およびその仮想ネットワーク ゲートウェイに関連付けられているアドレス範囲とパブリック IP アドレス エンドポイントを指定するオブジェクトです。
手順については、「ローカル ネットワーク ゲートウェイの作成」を参照してください。
サンプル値
- プロジェクトの詳細
- リソース グループ = RMRG
- リージョン = 米国東部
- 名前 = ClassicVNetSite
- エンドポイント = IP アドレス
- IP アドレス = クラシック VNet のゲートウェイ パブリック IP アドレス。 必要に応じて、プレースホルダー IP アドレスを使用してから、後で戻って変更できます。
- アドレス空間 = 10.1.0.0/16 (クラシック VNet のアドレス空間)
サイトとローカル ネットワーク ゲートウェイの設定を変更する
両方のゲートウェイのデプロイが完了したら、次の手順に進むことができます。 次の手順では、各ゲートウェイに割り当てられているパブリック IP アドレスが必要です。
クラシック VNet ローカル サイトの設定を変更する
このセクションでは、パブリック IP アドレス フィールドを Resource Manager 仮想ネットワーク ゲートウェイのアドレスで更新することで、クラシック VNet のローカル ネットワーク サイトを変更します。
- これらの手順では、Resource Manager 仮想ネットワーク ゲートウェイのパブリック IP アドレスを取得する必要があります。 ゲートウェイ IP アドレスを見つけるには、RM 仮想ネットワーク ゲートウェイの [概要] ページに移動します。 IP アドレスをコピーします。
- 次に、クラシック VNet に移動します。
- 左側のメニューで、[サイト間接続] をクリックして [サイト間接続] ページを開きます。
- [名前] の下で、作成した RM サイトの名前をクリックします。 たとえば、RMVNetSite です。 これにより、ローカル サイトの [プロパティ] ページが開きます。
- [プロパティ] ページで [ローカル サイトの編集] をクリックします。
- VPN ゲートウェイの IP アドレスを、RMVNet ゲートウェイ (接続先のゲートウェイ) に割り当てられているパブリック IP アドレスに変更します。
- [OK] をクリックして設定を保存します。
RM VNet ローカル ネットワーク ゲートウェイの設定を変更する
このセクションでは、パブリック IP アドレス フィールドをクラシック仮想ネットワーク ゲートウェイのアドレスで更新することで、Resource Manager ローカル ネットワーク ゲートウェイ オブジェクトのローカル ネットワーク ゲートウェイ設定を変更します。
- これらの手順では、クラシック仮想ネットワーク ゲートウェイのパブリック IP アドレスを取得する必要があります。 ゲートウェイ IP アドレスを見つけるには、クラシック仮想ネットワークの [概要] ページに移動します。
- [すべてのリソース] で、ローカル ネットワーク ゲートウェイを見つけます。 この例では、ローカル ネットワーク ゲートウェイは ClassicVNetSite です。
- 左側のメニューで [構成] をクリックし、IP アドレスを更新します。 ページを閉じます。
手順については、「ローカル ネットワーク ゲートウェイの設定を変更する」を参照してください。
接続の構成
このセクションは、クラシック VNet を RM VNet に接続するのに役立ちます。 ポータルでクラシック VNet 接続を行うことができるように見える場合であっても、失敗します。 このセクションでは、「前提条件」で指定されているように、PowerShell をコンピューターにローカルにインストールする必要があります。
クラシック VNet の値の取得
Azure Portal で VNet を作成する場合、名前とサイトの完全な値がポータルに表示されません。 たとえば、Azure Portal に "ClassicVNet" という名前で表示されている VNet が、ネットワーク構成ファイルではそれよりもかなり長い名前である可能性があります。 つまり、実際には "Group ClassicRG ClassicVNet" のような名前である場合があります。 また、ローカル ネットワーク サイトの名前が、ポータルに表示される名前よりもはるかに長い場合もあります。
これらの手順では、ネットワーク構成ファイルをダウンロードし、次のセクションで使用する値を取得します。
1.Azure アカウントに接続する
管理者特権を使って PowerShell コンソールを開き、Azure アカウントにサインインします。 ログイン後にアカウント設定がダウンロードされ、Azure PowerShell で使用できるようになります。 次のコマンドレットを実行すると、Resource Manager デプロイ モデルの Azure アカウント用のサインイン資格情報を入力するよう求められます。
最初に、RM に接続します。
RM コマンドレットを使用するために接続します。
Connect-AzAccount
Azure サブスクリプションの一覧を取得します (省略可能)。
Get-AzSubscription
複数のサブスクリプションがある場合は、使用するサブスクリプションを指定します。
Select-AzSubscription -SubscriptionName "Name of subscription"
次に、クラシック PowerShell コマンドレットに接続する必要があります。
クラシック デプロイ モデルに Azure アカウントを追加するには、次のコマンドを使用します。
Add-AzureAccount
サブスクリプションの一覧を取得します (省略可能)。
Get-AzureSubscription
複数のサブスクリプションがある場合は、使用するサブスクリプションを指定します。
Select-AzureSubscription -SubscriptionName "Name of subscription"
2.ネットワーク構成ファイルの値を表示する
コンピューター上にディレクトリを作成します。 この例では、"AzureNet" という名前のディレクトリを作成しました。
ネットワーク構成ファイルをそのディレクトリにエクスポートします。 次の例では、ネットワーク構成ファイルは C:\AzureNet にエクスポートされます。
Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml
テキスト エディターでファイルを開き、クラシック VNet の名前を確認します。 PowerShell コマンドレットを実行するときは、ネットワーク構成ファイルの名前を使用します。
- VNet 名は VirtualNetworkSite name = と示されています
- サイト名は LocalNetworkSite name= と示されています
3.接続の作成
共有キーを設定し、クラシック VNet から Resource Manager VNet への接続を作成します。 接続は、Azure portal ではなく、PowerShell を使用して作成する必要があります。
エラーが表示された場合は、サイトと VNet の名前が正しいことを確認します。 また、両方の PowerShell バージョンで認証されているか、共有キーを設定できないことも確認してください。
- この例では、-VNetName はクラシック VNet の名前で、ネットワーク構成ファイルに示されているとおりです。
- -LocalNetworkSiteName はローカル サイトに指定した名前で、ネットワーク構成ファイルに示されているとおりです。 サイト名全体 (数値を含む) を使用します。
- -SharedKey は、生成および指定する値です。 この例では abc123 を使いましたが、さらに複雑な値を生成して使うことができます。 ここに指定する値は、Resource Manager からクラシックへの接続を作成するときに指定したものと同じ値である必要があります。
キーを設定します。
Set-AzureVNetGatewayKey -VNetName "Group ClassicRG ClassicVNet" ` -LocalNetworkSiteName "172B916_RMVNetSite" -SharedKey abc123
次のコマンドを実行して、VPN 接続を作成します。 実際の環境に合わせてコマンドを変更してください。
変数を設定します。
$vnet01gateway = Get-AzLocalNetworkGateway -Name ClassicVNetSite -ResourceGroupName RMRG $vnet02gateway = Get-AzVirtualNetworkGateway -Name RMGateway -ResourceGroupName RMRG
接続を作成します。 -ConnectionType が IPsec であり、Vnet2Vnet ではないことに注意してください。
New-AzVirtualNetworkGatewayConnection -Name RM-Classic -ResourceGroupName RMRG ` -Location "East US" -VirtualNetworkGateway1 ` $vnet02gateway -LocalNetworkGateway2 ` $vnet01gateway -ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'
接続の確認
Azure Portal または PowerShell を使って、接続を確認できます。 確認するときは、接続が作成されるまで 1 ~ 2 分待たなければならない場合があります。 接続が成功すると、接続性の状態が [接続中] から [接続済み] に変わります。
クラシック VNet から RM への接続を確認する
Azure Portal で目的の接続に移動することで、クラシック VNet VPN ゲートウェイの接続の状態を確認できます。 以下に示した手順は、目的の接続に移動して接続を確認する方法の一例です。
- Azure portal でクラシック仮想ネットワーク (VNet) に移動します。
- [仮想ネットワーク] ページで、表示する接続の種類をクリックします。 たとえば [サイト間接続] です。
- [サイト間接続] ページで、 [名前] から、表示するサイト接続を選択します。
- [プロパティ] ページで、接続に関する情報を確認します。
RM VNet からクラシックへの接続への確認
Azure portal で、接続に移動することで、VPN ゲートウェイの接続の状態を確認できます。 以下に示した手順は、目的の接続に移動して接続を確認する方法の一例です。
- Azure portal で仮想ネットワーク ゲートウェイに移動します。
- 仮想ネットワーク ゲートウェイのページで、[接続] をクリックします。 各接続の状態が確認できます。
- 確認する接続の名前をクリックします。 [基本] で、接続の詳しい情報を確認できます。 接続に成功していれば、 [状態] が "成功" と "接続済み" になります。
次のステップ
VNet 間接続の詳細については、「VPN Gateway に関する FAQ」を参照してください。