テナント ユーザー向けの Azure Stack Hub VPN ファースト パス

  • [アーティクル]

Azure Stack Hub VPN 高速機能とは

Azure Stack Hub では、VPN 高速機能の一部として、この記事で説明されている 3 つの新しい SKU が導入されています。 以前は、S2S トンネルは HighPerformance SKU を使用して最大帯域幅 200 Mbps に制限されていました。 新しい SKU を使用すると、より高いネットワーク スループットが必要な顧客シナリオが可能になります。 各 SKU のスループット値は一方向の値です。つまり、送受信トラフィックで指定されたスループットがサポートされます。

Azure Stack オペレーターが Azure Stack Hub スタンプで VPN 高速機能を有効にすると、テナント ユーザーは新しい SKU を使用して仮想ネットワーク ゲートウェイを作成できます。 仮想ネットワーク ゲートウェイとその接続を新しい SKU の 1 つで再作成することで、既存のセットアップを調整できます。

VPN 高速機能が有効になっているときに使用可能な新しい仮想ネットワーク ゲートウェイ SKU

3 つの新しい SKU に加えて、Azure Stack Hub VPN 容量全体が増加し、より多くの VPN 接続が可能になります。

次の表は、VPN 高速機能が有効になっている場合の各 SKU の新しいスループットを示しています。

SKU 最大 VPN 接続スループット
Basic 100 Mbps Tx/Rx
Standard 100 Mbps Tx/Rx
高パフォーマンス 200 Mbps Tx/Rx
VpnGwy1 650 Mbps Tx/Rx
VpnGwy2 1000 Mbps Tx/Rx
VpnGwy3 1250 Mbps Tx/Rx

新しい SKU を使用する仮想ネットワーク ゲートウェイを作成する

VPN ファースト パスを使用すると、テナント ユーザーは、Azure Stack Hub ポータルまたは PowerShell を使用して、新しい SKU を使用して仮想ネットワーク ゲートウェイを作成できます。

Azure Stack Hub ポータルを使用して新しい SKU を使用して仮想ネットワーク ゲートウェイを作成する

Azure Stack Hub ポータルを使用して仮想ネットワーク ゲートウェイを作成する場合は、ドロップダウン リストを使用して SKU を選択できます。 新しい VPN Fast Path SKU (VpnGwy1VpnGwy2VpnGwy3) は、クエリ パラメーター "?azurestacknewvpnskus=true" を URL に追加して更新した後にのみ表示されます。

次の URL の例では、新しい仮想ネットワーク ゲートウェイ SKU を Azure Stack Hub ユーザー ポータルに表示します。

https://portal.local.azurestack.local/?azurestacknewvpnskus=true

オペレーターは、これらのリソースを作成する前に、Azure Stack Hub スタンプで VPN ファースト パスを有効にする必要があります。

Azure VNG の新しい SKU

PowerShell を使用して新しい SKU を使用して仮想ネットワーク ゲートウェイを作成する

次の例では、AzureRM モジュールを使用します。

# Create PIP

$gwip = New-AzureRmPublicIpAddress -name 'VNet1GWPIP' -ResourceGroupName $rgName -Location $location -AllocationMethod Dynamic

# Gateway configuration. VNET is assumed to exist

$vnet = Get-AzureRmVirtualNetwork -Name 'VNet1' -ResourceGroupName $rgNAme
$subnet = Get-AzureRmVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
$gwipconfig = New-AzureRmVirtualNetworkGatewayIpConfig -Name 'gwipconfig1' -SubnetId $subnet.Id -PublicIpAddress $gwpip.Id

# Create virtual network gateway VPNGw3 SKU 

$vng = New-AzureRmVirtualNetworkGateway -Name 'VNet1GW' -ResourceGroupName $rgName -Location $location IpConfigurations $gwipconfig -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw3 #change vng SKU here

# Create local network gateway - remote VPN device endpoint configuration

$lng = New-AzureRmLocalNetworkGateway -Name 'Site1' -ResourceGroupName $rgName -Location $location -GatewayIpAddress $peerGWIP -AddressPrefix $addressprefix

# Create VPN Connection on the virtual network gateway

$vpnconnection = New-AzureRmVirtualNetworkGatewayConnection -Name 'Connection-01' -ResourceGroupName $rgName -Location $location -VirtualNetworkGateway1 $vng -LocalNetworkGateway2 $lng -ConnectionType IPSec -SharedKey $key

レガシ仮想ネットワーク ゲートウェイのアップグレード

仮想ネットワーク ゲートウェイを再作成せずに SKU を更新することはできません。そのため、仮想ネットワーク ゲートウェイに関連付けられているすべての接続を削除する必要があります。 新しい SKU を使用して仮想ネットワーク ゲートウェイを作成した後で、ローカル ネットワーク ゲートウェイ リソースを再利用できます。 ローカル ネットワーク ゲートウェイ リソースは、オンプレミス デバイスのアドレス空間と IP アドレスを定義し、その構成を保持します。

仮想ネットワーク ゲートウェイ SKU をアップグレードするには、次の手順に従います。

  1. 既存の仮想ネットワーク ゲートウェイ上のすべての接続を削除します。事前共有キーと、BGP フラグが有効に設定されているかどうかをメモします。
  2. レガシ SKU を使用して既存の仮想ネットワーク ゲートウェイを削除します。同じ仮想ネットワークに 2 つの仮想ネットワーク ゲートウェイを作成することはできないため、既存の仮想ネットワーク ゲートウェイを削除する必要があります。
  3. 新しい SKU を使用して新しい仮想ネットワーク ゲートウェイ リソースを作成する: VPN 高速機能で有効になっている新しい SKU のいずれかを選択できます。
  4. 新しい仮想ネットワーク ゲートウェイと既存のローカル ネットワーク ゲートウェイの間に新しい接続を作成します。カスタム IP 秒ポリシーを使用している場合は、PowerShell を使用して接続を作成します。 手順 1 で示した事前共有キーと BGP フラグを使用します。
  5. 新しい SKU に移動する他の接続に対して手順 4 を繰り返します。この手順は、マルチサイト シナリオに関連します。

VPN 接続トポロジ

VPN ゲートウェイにはさまざまな構成があります。 どの構成が自分のニーズに最適かを判断します。 次のセクションでは、次の VPN ゲートウェイ シナリオに関する情報とトポロジ図を表示できます。

  • サイト間接続
  • サイト間接続
  • Azure Stack Hub スタンプ間のサイト間接続またはサイト間接続

以降のセクションの図と説明は、要件を満たす接続トポロジを選択するために役立ちます。 図は主要なベースライン トポロジを示していますが、図をガイドとして使用して、より複雑な構成を構築することもできます。

サイト間接続

"サイト間" (S2S) VPN ゲートウェイ接続とは、IPsec/IKE (IKEv2) VPN トンネルを介した接続です。 この種類の接続では、オンプレミスに配置され、パブリック IP アドレスが割り当てられている、VPN デバイスが必要です。

サイト間接続トポロジを示す概念図。

サイト間接続

サイト間トポロジは、サイト間トポロジのバリエーションです。 仮想ネットワーク ゲートウェイから複数の VPN 接続を作成し、通常は複数のオンプレミスのサイトに接続します。

サイト間接続を示す概念図。

Azure Stack Hub スタンプ間のサイト間接続またはサイト間接続

2 つの Azure Stack Hub デプロイ間で作成できるサイト間 VPN 接続は 1 つだけです。 この制限は、同じ IP アドレスへの 1 つの VPN 接続のみを許可するプラットフォームの制限によるものです。 Azure Stack Hub では、Azure Stack Hub システム内のすべての VPN ゲートウェイに対して 1 つのパブリック IP を持つマルチテナント ゲートウェイが使用されるため、2 つの Azure Stack Hub システム間に使用できる VPN 接続は 1 つだけです。 この制限は、単一の IP アドレスを使用する VPN ゲートウェイに複数のサイト間 VPN 接続を接続する場合にも当てはまります。 Azure Stack Hub では、同じ IP アドレスを使用して複数のローカル ネットワーク ゲートウェイ リソースを作成することはできません。

次の図は、スタンプ間にメッシュ トポロジを作成する必要がある場合に、複数の Azure Stack Hub スタンプを相互接続する方法を示しています。 このシナリオでは、3 つの Azure Stack Hub スタンプがあり、それぞれに 1 つの仮想ネットワーク ゲートウェイがあり、2 つの接続と 2 つのローカル ネットワーク ゲートウェイがあります。 新しい SKU を使用すると、ユーザーは、最大 1250 Mbps Tx/Rx の VPN 接続スループットを持つスタンプ間でネットワークとワークロードを接続でき、各スタンプのゲートウェイ プール容量の 50% を割り当てます。 各スタンプの残りの容量は、他のユース ケースに必要な VPN 接続を増やすことができます。

スタンプ間の VPN ゲートウェイ設定を示す概念図。

次のステップ