チュートリアル: Azure portal を使用して仮想ネットワーク間の通信に関する問題を診断する

  • [アーティクル]

Azure VPN ゲートウェイは、仮想ネットワーク ゲートウェイの一種であり、パブリック インターネットを介して Azure 仮想ネットワークとオンプレミスの場所の間で暗号化されたトラフィックを送信するために使用できます。 VPN ゲートウェイを使用すると、Microsoft ネットワークを経由して Azure 仮想ネットワーク間で暗号化されたトラフィックを送信することもできます。 VPN ゲートウェイを使うと、オンプレミスの VPN デバイスと Azure VPN ゲートウェイへの複数の接続を作成できます。 各 VPN ゲートウェイ SKU で作成できる接続の数について詳しくは、「Gateway の SKU」をご覧ください。 VPN ゲートウェイまたはその接続に関する問題のトラブルシューティングが必要な場合は常に、Azure Network Watcher の VPN トラブルシューティングを使って、簡単で単純な手順で、VPN ゲートウェイまたはその接続を調べ、問題を見つけて解決できます。

このチュートリアルでは、Azure Network Watcher の VPN トラブルシューティング機能を使って、2 つの仮想ネットワークが相互に通信できない接続の問題を診断してトラブルシューティングする方法を説明します。 これら 2 つの仮想ネットワークは、VNet 間接続を使って VPN ゲートウェイ経由で接続されます。

以下の方法について説明します。

  • 仮想ネットワークを作成する
  • 仮想ネットワーク ゲートウェイ (VPN ゲートウェイ) を作成する
  • VPN ゲートウェイ間の接続を作成する
  • 接続性の問題を診断してトラブルシューティングする
  • 問題を解決します
  • 問題が解決したかどうか確認する

前提条件

  • アクティブなサブスクリプションが含まれる Azure アカウント。 お持ちでない場合は、開始する前に無料アカウントを作成してください。

Azure へのサインイン

Azure portal にサインインします。

仮想ネットワークを作成する

このセクションでは、仮想ネットワーク ゲートウェイを使用して後で接続する 2 つの仮想ネットワークを作成します。

最初の仮想ネットワークを作成する

  1. ポータルの上部にある検索ボックスに、「仮想ネットワーク」と入力します。 検索結果で、[仮想ネットワーク] を選択します。

    Azure portal での仮想ネットワークの検索を示すスクリーンショット。

  2. [+ 作成] を選択します。 [仮想ネットワークの作成][基本] タブで、次の値を入力するか選びます。

    設定
    プロジェクトの詳細
    サブスクリプション Azure サブスクリプションを選択します。
    リソース グループ [新規作成] を選択します。
    [名前] に「myResourceGroup」と入力します。
    [OK] を選択します。
    インスタンスの詳細
    Name myVNet1」と入力します。
    リージョン [米国東部] を選択します。

  3. [IP アドレス] タブを選択するか、ページ下部の [次へ: IP アドレス] ボタンを選択します。

  4. [IP アドレス] タブで、次の値を入力します。

    設定
    IPv4 アドレス空間 10.1.0.0/16」を入力します。
    サブネット名 mySubnet」と入力します。
    サブネットのアドレス範囲 10.1.0.0/24」と入力します。

  5. [確認と作成] タブを選ぶか、ページ下部にある [確認と作成] ボタンを選びます。

  6. 設定を確認し、 [作成] を選択します。

2 つ目の仮想ネットワークを作成する

前の手順を繰り返して、次の値を使用して 2 つ目の仮想ネットワークを作成します。

設定
Name myVNet2
IPv4 アドレス空間 10.2.0.0/16
サブネット名 mySubnet
サブネットのアドレス範囲 10.2.0.0/24

ストレージ アカウントとコンテナーを作成する

このセクションでは、ストレージ アカウントを作成し、そこにコンテナーを作成します。

使用するストレージ アカウントがある場合は、次の手順をスキップして「VPN ゲートウェイを作成する」に進むことができます。

  1. ポータルの上部にある検索ボックスに、「ストレージ アカウント」と入力します。 検索結果で [ストレージ アカウント] を選択します。

  2. [+ 作成] を選択します。 [ストレージ アカウントの作成][基本] タブで、次の値を入力するか選びます。

    設定
    プロジェクトの詳細
    サブスクリプション Azure サブスクリプションを選択します。
    リソース グループ [myResourceGroup] を選択します。
    インスタンスの詳細
    ストレージ アカウント名 一意の名前を入力します。 このチュートリアルでは mynwstorageaccount を使用します。
    リージョン [(米国) 米国東部] を選択します。
    パフォーマンス [Standard] を選択します。
    冗長性 [ローカル冗長ストレージ (LRS)] を選択します。

  3. [Review] (確認) タブを選択するか、[Review] (確認) ボタンを選択します。

  4. 設定を確認し、 [作成] を選択します。

  5. デプロイが完了したら、[リソースに移動] を選んで mynwstorageaccount[概要] ページに移動します。

  6. [データ ストレージ] で、[コンテナー] を選択します。

  7. [+ コンテナー] を選択します。

  8. [新しいコンテナー] で、次の値を入力するか選んでから [作成] を選びます。

    設定
    Name vpn」と入力します。
    パブリック アクセス レベル [プライベート (匿名アクセスなし)] を選択します。

VPN ゲートウェイの作成

このセクションでは、すでに作成した 2 つの仮想ネットワークの接続に使用する 2 つの VPN ゲートウェイを作成します。

最初の VPN ゲートウェイを作成する

  1. ポータルの上部にある検索ボックスに、「仮想ネットワーク ゲートウェイ」と入力します。 検索結果から [仮想ネットワーク ゲートウェイ] を選択します。

  2. [+ 作成] を選択します。 [仮想ネットワーク ゲートウェイの作成][基本] タブで、次の値を入力するか選びます。

    設定
    プロジェクトの詳細
    サブスクリプション Azure サブスクリプションを選択します。
    インスタンスの詳細
    Name VNet1GW」と入力します。
    リージョン [米国東部] を選択します。
    ゲートウェイの種類 [VPN] を選択します。
    VPN の種類 [ルート ベース] を選択します。
    SKU [VpnGw1] を選択します。
    Generation [Generation1] を選択します。
    仮想ネットワーク [myVNet1] を選択します。
    ゲートウェイ サブネットのアドレス範囲 10.1.1.0/27」と入力します。
    パブリック IP アドレス
    パブリック IP アドレス [新規作成] を選択します。
    パブリック IP アドレス名 VNet1GW-ip」と入力します。
    アクティブ/アクティブ モードの有効化 [無効] をクリックします。
    BGP の構成 [無効] をクリックします。

  3. [Review + create](レビュー + 作成) を選択します。

  4. 設定を確認し、 [作成] を選択します。 ゲートウェイの作成とデプロイが完了するまでに 45 分以上かかることがあります。

2 つ目の VPN ゲートウェイを作成する

2 つ目の VPN ゲートウェイを作成するには、次の値を使用して、最初の VPN ゲートウェイを作成する際に用いた前の手順を繰り返します。

設定
Name VNet2GW
仮想ネットワーク myVNet2
ゲートウェイ サブネットのアドレス範囲 10.2.1.0/27
パブリック IP アドレス名 VNet2GW-ip

ゲートウェイ接続を作成する

VNet1GWVNet2GW 仮想ネットワーク ゲートウェイを作成したら、VNet1VNet2 仮想ネットワーク間でセキュリティ保護された IPsec/IKE トンネル経由の通信が行えるように、両者間の接続を作成することができます。 IPsec/IKE トンネルを作成するには、次の 2 つの接続を作成します。

  • VNet1 から VNet2
  • VNet2 から VNet1

最初の接続を作成する

  1. VNet1GW ゲートウェイに移動します。

  2. [設定] で、 [接続] を選択します。

  3. [+ 追加] を選択して、VNet1 から VNet2 への接続を作成します。

  4. [接続の追加] で、次の値を入力または選択します。

    設定
    Name to-VNet2」と入力します。
    接続の種類 [VNet 対 VNet] を選択します。
    2 番目の仮想ネットワーク ゲートウェイ [VNet2GW] を選択します。
    共有キー (PSK) 123」と入力します。

  5. [OK] を選択します。

2 つ目の接続を作成する

  1. VNet2GW ゲートウェイに移動します。

  2. 次の値を使用し、最初の接続を作成する際に用いた前の手順に従って 2 つ目の接続を作成します。

    設定
    Name to-VNet1
    2 番目の仮想ネットワーク ゲートウェイ VNet1GW
    共有キー (PSK) 000

    Note

    2 つの Azure VPN ゲートウェイ間で IPsec/IKE トンネルを正常に作成するには、ゲートウェイ間の接続で同じ共有キーを使用する必要があります。 前の手順では、ゲートウェイ接続の問題を発生させるために 2 つの異なるキーを使用しました。

VPN の問題を診断する

このセクションでは、Network Watcher VPN トラブルシューティングを使用して、2 つの VPN ゲートウェイとその接続をチェックします。

  1. VNet2GW ゲートウェイの [設定] で、[接続] を選択します。

  2. [最新の情報に更新] を選択すると、接続とその現在の状態が表示されます。ここでは、[Not connected] (未接続) となっています (共有キーの不一致のため)。

    Azure portal でのゲートウェイ接続と、接続されていない状態を示すスクリーンショット。

  3. VNet2GW ゲートウェイの [Help] (ヘルプ) で、[VPN のトラブルシューティング] を選択します。

  4. [ストレージ アカウントの選択] を選択して、ログを保存するストレージ アカウントとコンテナーを選択します。

    トラブルシューティング開始前の Azure portal での VPN トラブルシューティングを示すスクリーンショット。

  5. 一覧から [VNet1GW][VNet2GW] を選択し、[トラブルシューティングの開始] を選択してゲートウェイのチェックを開始します。

  6. チェックが完了すると、両方のゲートウェイのトラブルシューティングの状態が [異常] に変わります。 ゲートウェイを選択すると、[状態] タブに詳細が表示されます。

    トラブルシューティング完了後に Azure portal に表示されたゲートウェイの状態と VPN トラブルシューティング テストの結果を示すスクリーンショット。

  7. VPN トンネルが切断されているため、接続を選択し、[トラブルシューティングの開始] を選択してチェックを開始します。

    Note

    ゲートウェイとその接続のトラブルシューティングは、1 ステップで行うことができます。 ただし、ゲートウェイのみをチェックする方が時間がかかりません。その結果に基づいて、接続をチェックする必要があるかどうかを判断します。

  8. チェックが完了すると、接続のトラブルシューティングの状態が [異常] に変わります。 接続を選択すると、[状態] タブに詳細が表示されます。

    トラブルシューティング完了後に Azure portal に表示された接続の状態と VPN トラブルシューティング テストの結果を示すスクリーンショット。

    VPN のトラブルシューティングで接続がチェックされ、共有キーの不一致が検出されました。

問題を解決し、VPN のトラブルシューティングで確認する

問題の解決

to-VNet1 接続のキーと to-VNet2 接続のキーが一致するように修正して、問題を解決します。

  1. to-VNet1 接続に移動します。

  2. [設定][共有キー] を選択します。

  3. [共有キー (PSK)] に「123」と入力し、[保存] を選択します。

    Azure portal での VPN 接続の共有キーの修正と保存を示すスクリーンショット。

接続状態をチェックする

  1. VNet2GW ゲートウェイに移動します (VNet1GW ゲートウェイからの接続状態も確認できます)。

  2. [設定] で、 [接続] を選択します。

    Azure portal でのゲートウェイ接続と、接続されている状態を示すスクリーンショット。

    Note

    数分待ってから [最新の情報に更新] を選択すると、接続状態が [Connected] (接続済み) と表示される場合があります。

VPN トラブルシューティングを使用して接続の正常性をチェックする

  1. VNet2GW[Help] (ヘルプ) で、[VPN のトラブルシューティング] を選択します。

  2. [ストレージ アカウントの選択] を選択して、ログを保存するストレージ アカウントとコンテナーを選択します。

  3. [VNet1GW][VNet2GW] を選択し、[トラブルシューティングの開始] を選択してゲートウェイのチェックを開始します。

    共有キーの修正後に Azure portal に表示されたゲートウェイとその接続の状態を示すスクリーンショット。

リソースをクリーンアップする

リソース グループとそれに含まれるすべてのリソースが不要になったら、それらを削除します。

  1. ポータル上部の [検索] ボックスに「myResourceGroup」と入力します。 検索結果に [myResourceGroup] が表示されたら、それを選択します。
  2. [リソース グループの削除] を選択します。
  3. [TYPE THE RESOURCE GROUP NAME:](リソース グループ名を入力してください:) に「myResourceGroup」と入力し、 [削除] を選択します。

次のステップ

このチュートリアルでは、VPN ゲートウェイ経由で接続されている 2 つの仮想ネットワーク間の接続の問題を診断する方法について説明しました。 VPN ゲートウェイを使った仮想ネットワークの接続について詳しくは、VNet 間接続に関する記事をご覧ください。

異常に関するログを確認できるように、仮想マシンとの間のネットワーク通信をログする方法については、次のチュートリアルに進んでください。

VM との間のネットワーク トラフィックのログを記録する