Azure Files で使用するサイト間 VPN を構成する

  • [アーティクル]

サイト間 (S2S) VPN 接続を使用すると、オープンなインターネット上にデータを送信することなく、オンプレミス ネットワークから Azure ファイル共有をマウントできます。 サイト間 VPN は、Azure リソース オファリングの VPN サービスであり、ストレージ アカウントまたはその他の Azure リソースと共にリソース グループにデプロイされる Azure VPN Gateway を使用して設定できます。

A topology chart illustrating the topology of an Azure VPN gateway connecting an Azure file share to an on-premises site using a S2S VPN

このハウツー記事を読み進める前に、Azure Files で使用可能なネットワーク オプションの完全な説明について Azure Files のネットワークの概要に関するページを参照することを強くお勧めします。

この記事では、Azure ファイル共有をオンプレミスに直接マウントするためにサイト間 VPN を構成する手順について詳細に説明します。 Azure File Sync の同期トラフィックをサイト間 VPN 経由でルーティングすることを検討している場合は、Azure File Sync のプロキシとファイアウォールの設定の構成に関するページを参照してください。

適用対象

ファイル共有の種類 SMB NFS
Standard ファイル共有 (GPv2)、LRS/ZRS Yes No
Standard ファイル共有 (GPv2)、GRS/GZRS Yes No
Premium ファイル共有 (FileStorage)、LRS/ZRS Yes Yes

前提条件

  • オンプレミスにマウントする Azure ファイル共有。 ストレージ アカウント内にデプロイされた Azure ファイル共有は、複数のファイル共有だけでなく、BLOB やキューなどのその他のストレージ リソースをデプロイできるストレージの共有プールを表す管理構造です。 Azure ファイル共有とストレージ アカウントをデプロイする方法の詳細については、「Azure ファイル共有を作成する」を参照してください。

  • オンプレミスにマウントする Azure ファイル共有を含むストレージ アカウント用のプライベート エンドポイント。 プライベート エンドポイントを作成する方法については、「Azure Files ネットワーク エンドポイントの構成」を参照してください。

  • Azure VPN Gateway と互換性のある、オンプレミスのデータセンター内のネットワーク アプライアンスまたはサーバー。 Azure Files は、選択されたオンプレミス ネットワーク アプライアンスに依存しませんが、Azure VPN Gateway にはテスト済みのデバイスの一覧が保持されています。 提供される機能、パフォーマンス特性、および管理機能はネットワーク アプライアンスによって異なるため、ネットワーク アプライアンスを選択する場合はこれらを考慮してください。

既存のネットワーク アプライアンスが存在しない場合、Windows Server には組み込みのサーバー ロールであるルーティングとリモート アクセス (RRAS) が含まれており、これをオンプレミス ネットワーク アプライアンスとして使用できます。 Windows Server でルーティングとリモート アクセスを構成する方法の詳細については、「RAS ゲートウェイ」を参照してください。

仮想ネットワークをストレージ アカウントに追加する

ストレージ アカウントに新規または既存の仮想ネットワークを追加するには、次の手順に従ってください。

  1. Azure portal にサインインし、オンプレミスにマウントする Azure ファイル共有を含むストレージ アカウントに移動します。

  2. ストレージ アカウントの目次で、[セキュリティとネットワーク]> [ネットワーク] を選択します。 ストレージ アカウントの作成時にそのアカウントに仮想ネットワークを追加していない限り、結果のウィンドウでは、[パブリック ネットワーク アクセス] の下に [すべてのネットワークから有効] ラジオ ボタンが選択されています。

  3. 仮想ネットワークを追加するには、[選択した仮想ネットワークと IP アドレスから有効] オプション ボタンを選択します。 [仮想ネットワーク] の小見出しで、[+ 既存の仮想ネットワークを追加] または [+ 新しい仮想ネットワークを追加] のどちらかを選択します。 新しい仮想ネットワークを作成すると、新しい Azure リソースが作成されます。 新規または既存の仮想ネットワーク リソースは、ストレージ アカウントと同じリージョンに存在する必要がありますが、同じリソース グループまたはサブスクリプションに存在する必要はありません。 ただし、仮想ネットワークをデプロイするリソース グループ、リージョン、サブスクリプションは、次の手順で仮想ネットワーク ゲートウェイをデプロイする場所と一致している必要があることに注意してください。

    Screenshot of the Azure portal giving the option to add an existing or new virtual network to the storage account.

    既存の仮想ネットワークを追加する場合は、まず仮想ネットワーク上にゲートウェイ サブネットを作成する必要があります。 その仮想ネットワークの 1 つ以上のサブネットを選択するよう要求されます。 新しい仮想ネットワークを作成する場合、作成プロセスの一環としてサブネットが作成されます。 後で、仮想ネットワークの Azure リソースの生成を通じてサブネットを追加できます。

    仮想ネットワークへのパブリック ネットワーク アクセスを有効にしていない場合は、Microsoft.Storage サービス エンドポイントを仮想ネットワーク サブネットに追加する必要があります。 ほとんどの場合は早く完了しますが、最大 15 分かかる場合があります。 この操作が完了するまで、そのストレージ アカウント内の Azure ファイル共有にはアクセスできません (VPN 接続経由を含む)。

  4. ページの最上部で [保存] を選択します。

仮想ネットワーク ゲートウェイをデプロイする

仮想ネットワーク ゲートウェイをデプロイするには、これらの手順に従います。

  1. Azure portal の上部にある検索ボックスで、仮想ネットワーク ゲートウェイを検索して選びます。 [仮想ネットワーク ゲートウェイ] ページが表示されるはずです。 ページの上部にある [+ 作成] を選びます。

  2. [基本] タブで、 [プロジェクトの詳細][インスタンスの詳細] の各値を入力します。 この仮想ネットワーク ゲートウェイは、仮想ネットワークを含むリソース グループと同じサブスクリプションおよびリージョン内にある必要があります。

    Screenshot showing how to create a virtual network gateway using the Azure portal.

    • サブスクリプション:使用するサブスクリプションをドロップダウンから選択します。
    • リソース グループ:この設定は、このページで仮想ネットワークを選択すると自動入力されます。
    • [名前]: 仮想ネットワーク ゲートウェイの名前を指定します。 ゲートウェイの名前付けは、ゲートウェイ サブネットの名前付けと同じではありません。 作成する仮想ネットワーク ゲートウェイ オブジェクトの名前です。
    • リージョン: このリソースを作成するリージョンを選択します。 仮想ネットワーク ゲートウェイのリージョンは、仮想ネットワークと同じにする必要があります。
    • ゲートウェイの種類: [VPN] を選択します。 VPN Gateway では、仮想ネットワーク ゲートウェイの種類として VPN を使用します。
    • SKU: 使用する機能をサポートするゲートウェイ SKU をドロップダウンから選択します。 SKU は、許可されるサイト間トンネルの数と VPN の目的のパフォーマンスを制御します。 ゲートウェイ SKU を参照してください。 IKEv2 認証 (ルート ベース VPN) を使用する場合は、Basic SKU を使わないでください。
    • 世代: 使用する世代を選択します。 Generation2 SKU を使用することをお勧めします。 詳細については、「ゲートウェイの SKU」を参照してください。
    • 仮想ネットワーク: ドロップダウンから、前の手順でストレージ アカウントに追加した仮想ネットワークを選択します。
    • サブネット: このフィールドは淡色表示され、作成したゲートウェイ サブネットの名前とその IP アドレス範囲の一覧が表示されているはずです。 代わりに、[ゲートウェイ サブネットのアドレス範囲] フィールドとテキスト ボックスが表示される場合は、まだ仮想ネットワークにゲートウェイ サブネットを構成してありません。

  3. 仮想ネットワーク ゲートウェイに関連付けられる [パブリック IP アドレス] の値を指定します。 このパブリック IP アドレスは、仮想ネットワーク ゲートウェイが作成されるときに、このオブジェクトに割り当てられます。 プライマリ パブリック IP アドレスが変わるのは、ゲートウェイが削除され、再度作成されたときのみです。 これは、サイズ変更、リセット、その他の内部メンテナンスやアップグレードを行っても変わりません。

    Screenshot showing how to specify the public IP address for a virtual network gateway using the Azure portal.

    • [パブリック IP アドレス]: インターネットに公開される仮想ネットワーク ゲートウェイの IP アドレス。 おそらく、新しい IP アドレスを作成する必要がありますが、既存の未使用の IP アドレスを使用することもできます。 [新規作成] を選択した場合は、仮想ネットワーク ゲートウェイと同じリソース グループ内に新しい IP アドレス Azure リソースが作成され、[パブリック IP アドレス名] は新しく作成された IP アドレスの名前になります。 [既存のものを使用] を選択した場合は、既存の未使用の IP アドレスを選択する必要があります。
    • パブリック IP アドレス名:このテキスト ボックスに、パブリック IP アドレス インスタンスの名前を入力します。
    • パブリック IP アドレス SKU: 設定が自動的に選択されます。
    • 割り当て: 通常、割り当ては自動的に選択され、[動的] または [静的] のいずれかになります。
    • [アクティブ/アクティブ モードの有効化]: [無効] を選びます。 アクティブ/アクティブ ゲートウェイ構成を作成する場合にのみ、この設定を有効にします。 アクティブ/アクティブ モードの詳細については、「高可用性のクロスプレミス接続および VNet 間接続」を参照してください。
    • [BGP の構成]: 構成で特に Border Gateway Protocol が必要ない限り、[無効] を選びます。 この設定が必要である場合、既定の ASN は 65515 です。ただし、この値は変わる場合があります。 この設定の詳細については、「BGP と Azure VPN Gateway について」を参照してください。

  4. [確認と作成] を選択して検証を実行します。 検証に合格したら、[作成] を選んで仮想ネットワーク ゲートウェイをデプロイします。 デプロイの完了までに最大で 45 分かかる場合があります。

オンプレミスのゲートウェイ用のローカル ネットワーク ゲートウェイを作成する

ローカル ネットワーク ゲートウェイは、オンプレミス ネットワーク アプライアンスを表す Azure リソースです。 これは、ストレージ アカウント、仮想ネットワーク、および仮想ネットワーク ゲートウェイと共にデプロイされる Azure リソースですが、ストレージ アカウントと同じリソース グループまたはサブスクリプションに存在する必要はありません。 ローカル ネットワーク ゲートウェイを作成するには、この手順に従ってください。

  1. Azure portal の上部にある検索ボックスで、ローカル ネットワーク ゲートウェイを検索して選びます。 [ローカル ネットワーク ゲートウェイ] ページが表示されるはずです。 ページの上部にある [+ 作成] を選びます。

  2. [基本] タブで、 [プロジェクトの詳細][インスタンスの詳細] の各値を入力します。

    Screenshot showing how to create a local network gateway using the Azure portal.

    • [サブスクリプション]: 目的の Azure サブスクリプション。 これは、仮想ネットワーク ゲートウェイまたはストレージ アカウントに使用されるサブスクリプションと一致している必要はありません。
    • [リソース グループ] : 目的のリソース グループ。 また、仮想ネットワーク ゲートウェイまたはストレージ アカウントに使用されるリソース グループと一致している必要はありません。
    • [リージョン]: ローカル ネットワーク ゲートウェイ リソースを作成する Azure リージョン。 これは、仮想ネットワーク ゲートウェイとストレージ アカウントのために選択したリージョンと一致している必要があります。
    • [名前] : ローカル ネットワーク ゲートウェイの Azure リソースの名前。 この名前には、管理に役立つ任意の名前を指定できます。
    • エンドポイント: IP アドレスを選択したままにします。
    • [IP アドレス] : オンプレミスのローカル ゲートウェイのパブリック IP アドレス。
    • [アドレス空間]: このローカル ネットワーク ゲートウェイが表すネットワークのアドレス範囲。 たとえば、192.168.0.0/16 です。 複数のアドレス空間範囲を追加する場合は、指定する範囲が、接続先の他のネットワークの範囲と重複しないようにしてください。 BGP 対応接続でこのローカル ネットワーク ゲートウェイを使用する予定の場合、宣言する必要がある最小プレフィックスは、VPN デバイス上の BGP ピア IP アドレスのホスト アドレスです。

  3. 組織で BGP が必要な場合は、[詳細] タブを選択して BGP 設定を構成します。 詳細については、「BGP と Azure VPN Gateway について」を参照してください。

  4. [確認と作成] を選択して検証を実行します。 検証に合格したら、[作成] を選んでローカル ネットワーク ゲートウェイを作成します。

オンプレミス ネットワーク アプライアンスを構成する

オンプレミス ネットワーク アプライアンスを構成するための具体的な手順は、組織が選択したネットワーク アプライアンスによって異なります。 組織が選択したデバイスによっては、テスト済みのデバイスの一覧に、Azure 仮想ネットワーク ゲートウェイと共に構成するためのデバイス ベンダーの指示へのリンクが含まれている可能性があります。

サイト間接続を作成する

S2S VPN のデプロイを完了するには、オンプレミス ネットワーク アプライアンス (ローカル ネットワーク ゲートウェイ リソースによって表されます) と Azure 仮想ネットワーク ゲートウェイの間の接続を作成する必要があります。 これを行うには、以下の手順を実行します。

  1. 作成した仮想ネットワーク ゲートウェイに移動します。 仮想ネットワーク ゲートウェイの目次で、[設定] > [接続] を選択し、[+ 追加] を選択します。

  2. [基本] タブで、 [プロジェクトの詳細][インスタンスの詳細] の各値を入力します。

    Screenshot showing how to create a site to site VPN connection using the Azure portal.

    • [サブスクリプション]: 目的の Azure サブスクリプション。
    • [リソース グループ] : 目的のリソース グループ。
    • [接続の種類]: これはサイト間接続であるため、ドロップダウン リストで [サイト間 (IPSec)] を選択します。
    • [名前] : 接続の名前。 仮想ネットワーク ゲートウェイは複数の接続をホストできるため、この特定の接続を区別する、管理に役立つ名前を選択します。
    • リージョン: 仮想ネットワーク ゲートウェイとストレージ アカウントのために選択したリージョンと一致している必要があります。

  3. [設定] タブで、次の情報を指定します。

    Screenshot showing how to configure the settings for a site to site VPN connection using the Azure portal.

    • [仮想ネットワーク ゲートウェイ]: 作成した仮想ネットワーク ゲートウェイを選択します。
    • [ローカル ネットワーク ゲートウェイ]: 作成したローカル ネットワーク ゲートウェイを選択します。
    • [共有キー (PSK)]: 接続の暗号化を確立するために使用される、文字と数字の組み合わせ。 仮想ネットワーク ゲートウェイとローカル ネットワーク ゲートウェイの両方で同じ共有キーを使用する必要があります。 ゲートウェイ デバイスに設定されていない場合は、ここで作成し、それをそのデバイスに指定することができます。
    • [IKE プロトコル]: VPN デバイスに応じて、ポリシー ベース VPN の場合は IKEv1 を選択し、ルート ベース VPN の場合は IKEv2 を選択します。 2 種類の VPN ゲートウェイの詳細については、「ポリシー ベースおよびルート ベースの VPN ゲートウェイについて」を参照してください。
    • [Azure プライベート IP アドレスを使用]: このオプションをオンにすると、Azure プライベート IP を使用して IPsec VPN 接続を確立できます。 このオプションを使用するには、VPN ゲートウェイでプライベート IP のサポートが設定されている必要があります。 これは、AZ ゲートウェイの SKU でのみサポートされます。
    • [BGP を有効にする]: 組織でこの設定が特に必要ない限り、オフのままにしておいてください。
    • [カスタム BGP アドレスを有効にする]: 組織でこの設定が特に必要ない限り、オフのままにしておいてください。
    • [FastPath]: FastPath の目的は、お使いのオンプレミス ネットワークと仮想ネットワークの間のデータ パスのパフォーマンスを向上させることです。 詳細情報。
    • [IPsec / IKE ポリシー]: 接続のためにネゴシエートされる IPsec / IKE ポリシー。 組織でカスタム ポリシーが必要でない限り、[無効] を選択したままにしてください。 詳細情報。
    • [ポリシー ベースのトラフィック セレクターを使用する]: Azure VPN ゲートウェイをオンプレミスのポリシー ベースの VPN ファイアウォールに接続するように構成する必要がない限り、無効のままにします。 このフィールドを有効にする場合は、オンプレミス ネットワーク (ローカル ネットワーク ゲートウェイ) プレフィックスと Azure Virtual Network プレフィックスのすべての組み合わせに対応するトラフィック セレクターが VPN デバイスに定義されている必要があります (any-to-any は不可)。 たとえば、オンプレミス ネットワークのプレフィックスが 10.1.0.0/16 と 10.2.0.0/16 で、仮想ネットワークのプレフィックスが 192.168.0.0/16 と 172.16.0.0/16 である場合、次のトラフィック セレクターを指定する必要があります。
      • 10.1.0.0/16 <====> 192.168.0.0/16
      • 10.1.0.0/16 <====> 172.16.0.0/16
      • 10.2.0.0/16 <====> 192.168.0.0/16
      • 10.2.0.0/16 <====> 172.16.0.0/16
    • [DPD タイムアウト (秒)]: 接続のデッド ピア検出のタイムアウト (秒)。 このプロパティの推奨値および既定値は 45 秒です。
    • 接続モード: 接続モードは、接続を開始できるゲートウェイを決定するために使われます。 この値が次のように設定されている場合:
      • 既定: Azure とオンプレミスの VPN ゲートウェイの両方で接続を開始できます。
      • ResponderOnly: Azure VPN ゲートウェイは接続を開始しません。 オンプレミス VPN ゲートウェイが接続を開始する必要があります。
      • InitiatorOnly: Azure VPN ゲートウェイは接続を開始し、オンプレミス VPN ゲートウェイからの接続試行を拒否します。

  4. [確認と作成] を選択して検証を実行します。 検証に合格したら、[作成] を選択して接続を作成します。 仮想ネットワーク ゲートウェイの [接続] ページで、接続が正常に作成されていることを確認できます。

Azure ファイル共有をマウントする

S2S VPN の構成の最後の手順では、それが Azure Files に対して機能することを確認します。 これは、オンプレミスの Azure ファイル共有をマウントすることによって行うことができます。 OS ごとのマウント手順については、次を参照してください。

関連項目